KR20220036141A - Security device and method for power control system - Google Patents

Security device and method for power control system Download PDF

Info

Publication number
KR20220036141A
KR20220036141A KR1020200118381A KR20200118381A KR20220036141A KR 20220036141 A KR20220036141 A KR 20220036141A KR 1020200118381 A KR1020200118381 A KR 1020200118381A KR 20200118381 A KR20200118381 A KR 20200118381A KR 20220036141 A KR20220036141 A KR 20220036141A
Authority
KR
South Korea
Prior art keywords
wireless communication
communication device
band wireless
dual
dnp
Prior art date
Application number
KR1020200118381A
Other languages
Korean (ko)
Other versions
KR102404066B1 (en
Inventor
장인석
이태윤
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020200118381A priority Critical patent/KR102404066B1/en
Publication of KR20220036141A publication Critical patent/KR20220036141A/en
Application granted granted Critical
Publication of KR102404066B1 publication Critical patent/KR102404066B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • H02J13/00001Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by the display of information or by user interaction, e.g. supervisory control and data acquisition systems [SCADA] or graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E60/00Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/12Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment
    • Y04S40/126Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment using wireless data transmission

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Human Computer Interaction (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

실시예에 따르면, 암호화 된 DNP데이터를 전송하는 FEP서버; 상기 FEP서버에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하고, 상기 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치에 전달하는 보안카드; 상기 제1평문 DNP데이터를 제1 FRTU에 전송하고, 상기 제1평문 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 마스터 듀얼밴드 무선 통신 장치; 및 상기 블록 암호화 된 DNP데이터를 복호화하여 제2 평문 DNP데이터를 생성하고, 상기 제2평문 DNP데이터를 제2 FRTU에 전송하는 슬레이브 듀얼밴드 무선 통신 장치를 포함하며, 상기 제1 FRTU는 자신의 단말장치 주소와 상기 제1평문 DNP데이터의 단말장치 주소가 일치하면 상기 제1평문 DNP데이터를 분석해서 동작을 수행하고, 상기 제2 FRTU는 자신의 단말장치 주소와 상기 제2평문 DNP데이터의 단말장치 주소가 일치하면 상기 제2평문 DNP데이터를 분석해서 동작을 수행하는 전력 제어 시스템을 위한 보안 장치를 제공한다.According to the embodiment, a FEP server transmitting encrypted DNP data; A security card that decrypts the encrypted DNP data received from the FEP server to generate first plain text DNP data, and transmits the first plain text DNP data to a master dual-band wireless communication device; a master dual-band wireless communication device that transmits the first plaintext DNP data to a first FRTU, blocks encrypts the first plaintext DNP data, and transmits the first plaintext DNP data to a slave dual-band wireless communication device; And a slave dual-band wireless communication device that decrypts the block-encrypted DNP data to generate second plaintext DNP data and transmits the second plaintext DNP data to a second FRTU, wherein the first FRTU is connected to its terminal. If the device address and the terminal device address of the first plaintext DNP data match, the first plaintext DNP data is analyzed and an operation is performed, and the second FRTU analyzes its own terminal device address and the terminal device address of the second plaintext DNP data. If the addresses match, a security device is provided for the power control system that performs the operation by analyzing the second plain text DNP data.

Description

전력 제어 시스템을 위한 보안 장치 및 방법{Security device and method for power control system} Security device and method for power control system {Security device and method for power control system}

본 발명의 일실시예는 전력 제어 시스템을 위한 보안 장치 및 방법에 관한 것이다.One embodiment of the present invention relates to a security device and method for a power control system.

SCADA(Supervisory Control And Data Acquisition) 시스템은 원격지 시설 장치를 중앙 집중식으로 감시 제어하기 위한 시스템이다. SCADA 시스템은 특히 발전·송배전 분야에서 통신 경로상의 아날로그 또는 디지털 신호를 사용하여 원격장치의 상태정보 데이터를 원격소 장치인 아웃스테이션(Outstation)으로 수신하고 기록 및 표시하여 수집하고, 상기 정보를 중앙제어시스템인 마스터(Master)로 전달함으로써 중앙 제어 시스템에서 원격장치를 감시·제어하도록 한다.The SCADA (Supervisory Control And Data Acquisition) system is a system for centrally monitoring and controlling remote facility devices. SCADA systems, especially in the field of power generation, transmission and distribution, use analog or digital signals on the communication path to receive, record and display status information data from remote devices to an outstation, a remote device, to collect and centrally control the information. By transmitting it to the system master, the central control system monitors and controls remote devices.

이러한 SCADA 시스템의 통신 네트워크 보호를 위해, IEEE 1815 DNP 3.0 표준에서 보안 인증(Secure Authentication)을 포함하고 있다. 보안 인증은 도청, 데이터 위변조 및 재전송 공격 등의 사이버공격으로부터 DNP 데이터 보호를 위해 기존 DNP 3.0 규격의 응용계층만 변경한 프로토콜로 인증과 무결성 보장을 위한 보안 메커니즘을 추가하였다. DNP 3.0 보안 인증은 메시지의 기밀성을 유지하기 위한 암호화 기능은 제공하지 않지만 마스터에서 아웃스테이션으로 전송하는 제어 명령과 같은 중요한 메시지들의 무결성을 보장하기 위해 인증 기능을 제공하고 있다. 보안 인증에서는 인증을 위해 챌린지-응답(Challenge-Response) 방식의 인증 모드를 제공한다. 챌린지-응답 모드는 기본 인증 모드로 인증을 위해 난수를 포함하는 인증 챌린지(Authentication Challenge)를 보내고 이에 대한 인증 응답(Authentication Response)을 수신하여 응답이 유효한지 검증하는 과정을 수행한다.To protect the communication network of these SCADA systems, the IEEE 1815 DNP 3.0 standard includes Secure Authentication. Security authentication is a protocol that changes only the application layer of the existing DNP 3.0 standard to protect DNP data from cyberattacks such as wiretapping, data forgery, and retransmission attacks, and a security mechanism for authentication and integrity assurance has been added. DNP 3.0 security authentication does not provide an encryption function to maintain message confidentiality, but provides an authentication function to ensure the integrity of important messages such as control commands transmitted from the master to the outstation. Security authentication provides a challenge-response authentication mode for authentication. Challenge-response mode is a basic authentication mode that sends an authentication challenge containing a random number for authentication, receives an authentication response in response, and verifies whether the response is valid.

위에서 설명한 바와 같이 SCADA 통신 네트워크 보호를 위해 IEEE 1815 표준에서 보안 인증이라는 보안 규격을 제시하고 있지만 기존의 전력 제어 시스템은 보안성을 고려하지 않고 개발하여 운영되고 있고 DNP 3.0 보안 인증에서는 전력 제어 시스템을 구성하는 마스터와 아웃스테이션에 보안 기능을 탑재하는 방식을 제안하고 있어 운영되고 있는 전력 제어 시스템에 보안 기능을 적용하는데 어려움이 있다.As explained above, the IEEE 1815 standard proposes a security standard called security certification to protect the SCADA communication network, but the existing power control system is developed and operated without considering security, and the DNP 3.0 security certification configures the power control system. A method of installing security functions on the master and outstation is proposed, making it difficult to apply security functions to the operating power control system.

첫째로, DNP 3.0 보안 인증은 응용레벨의 프로토콜로 기 구축된 대부분의 SCADA시스템에서 제공되지 않는 경우가 많으며 보안 인증에서 제시한 보안 기능을 제공하기 위해서는 기 구축된 시스템 전체를 보안기능이 추가된 신규시스템으로 교체해야 하기 때문에 보안을 위해 많은 구축비용을 필요로 하며 시스템 교체에 따른 전력서비스 공급 중단 문제 등 실질적으로 적용하는데 많은 문제점이 있다.First,  DNP 3.0 security certification is an application-level protocol and is often not provided in most SCADA systems that are already built. In order to provide the security functions suggested by the security certification, the entire existing system must be replaced with a new one with security functions added. Because the system must be replaced, it requires a lot of construction costs for security purposes, and there are many problems with practical application, such as problems with power service supply interruption due to system replacement.

둘째로, 전력 서비스의 가용성 보장이 어렵다. 전력서비스는 현대 사회의 기본이 되는 서비스로 안정적인 전력 공급에 문제가 발생하게 되면 기본적인 사회 활동 유지에 어려움을 겪을 뿐만 아니라 국가적인 손실이 발생하게 된다. 전력 제어 시스템의 가장 큰 기능은 안정적인 전력 서비스의 공급에 있고 이를 위해 현재의 전력 제어시스템은 시스템 이중화 및 통신회선 이중화 등 다양한 메커니즘을 적용하고 있다. 그러나 전력 제어시스템을 구성하는 마스터와 아웃스테이션에 보안기능을 탑재한 경우 DNP 데이터의 무결성 보장을 위한 보안기능 오작동시 전력 제어시스템 전체에 영향을 주게 되므로 전력 설비 상태정보 수집 및 제어를 위한 DNP 데이터 송수신이 실패하게 된다. 결국에는 DNP 데이터 전송실패로 인해 전력 제어시스템의 기본 기능인 전력 서비스의 가용성 확보에 어려움이 발생한다.Second, it is difficult to guarantee the availability of power services. Electricity service is a basic service in modern society, and if a problem occurs in the stable supply of electricity, not only will it be difficult to maintain basic social activities, but national losses will also occur. The biggest function of the power control system is to supply stable power services, and for this purpose, the current power control system applies various mechanisms such as system duplication and communication line duplication. However, if security functions are installed in the master and outstations that make up the power control system, malfunction of the security function to ensure the integrity of DNP data will affect the entire power control system, so sending and receiving DNP data for collecting and controlling power facility status information This will fail. Ultimately, due to DNP data transmission failure, difficulties arise in securing the availability of power service, which is the basic function of the power control system.

본 발명이 이루고자 하는 기술적 과제는 듀얼 밴드 통신 장치간의 무선 통신 구간에 동적 키를 사용하여 데이터를 암복호화 함으로써 보안성을 향상시킬 수 있는 전력 제어 시스템을 위한 보안 장치 및 방법을 제공하는데 있다.The technical problem to be achieved by the present invention is to provide a security device and method for a power control system that can improve security by encrypting and decrypting data using a dynamic key in the wireless communication section between dual-band communication devices.

실시예에 따르면, 암호화 된 DNP데이터를 전송하는 FEP서버; 상기 FEP서버에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하고, 상기 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치에 전달하는 보안카드; 상기 제1평문 DNP데이터를 제1 FRTU에 전송하고, 상기 제1평문 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 마스터 듀얼밴드 무선 통신 장치; 및 상기 블록 암호화 된 DNP데이터를 복호화하여 제2 평문 DNP데이터를 생성하고, 상기 제2평문 DNP데이터를 제2 FRTU에 전송하는 슬레이브 듀얼밴드 무선 통신 장치를 포함하며, 상기 제1 FRTU는 자신의 단말장치 주소와 상기 제1평문 DNP데이터의 단말장치 주소가 일치하면 상기 제1평문 DNP데이터를 분석해서 동작을 수행하고, 상기 제2 FRTU는 자신의 단말장치 주소와 상기 제2평문 DNP데이터의 단말장치 주소가 일치하면 상기 제2평문 DNP데이터를 분석해서 동작을 수행하는 전력 제어 시스템을 위한 보안 장치를 제공한다.According to the embodiment, a FEP server transmitting encrypted DNP data; A security card that decrypts the encrypted DNP data received from the FEP server to generate first plain text DNP data, and transmits the first plain text DNP data to a master dual-band wireless communication device; a master dual-band wireless communication device that transmits the first plaintext DNP data to a first FRTU, blocks encrypts the first plaintext DNP data, and transmits the first plaintext DNP data to a slave dual-band wireless communication device; And a slave dual-band wireless communication device that decrypts the block-encrypted DNP data to generate second plaintext DNP data and transmits the second plaintext DNP data to a second FRTU, wherein the first FRTU is connected to its terminal. If the device address and the terminal device address of the first plaintext DNP data match, the first plaintext DNP data is analyzed and the operation is performed, and the second FRTU analyzes its own terminal device address and the terminal device address of the second plaintext DNP data. If the addresses match, a security device is provided for the power control system that performs the operation by analyzing the second plain text DNP data.

상기 보안 카드는 카드 형태의 인쇄 회로 기판으로 상기 마스터 듀얼밴드 무선 통신 장치에 장착될 수 있다.The security card is a card-shaped printed circuit board and can be mounted on the master dual-band wireless communication device.

상기 FEP서버는 DNP SA API함수 및 TLS API함수를 이용하여 평문 DNP데이터를 DNP SA 및 TLS의 세션키에 따라 암호화하는 FEP보안 에이전트를 포함할 수 있다.The FEP server may include a FEP security agent that encrypts plain text DNP data according to the DNP SA and TLS session keys using the DNP SA API function and the TLS API function.

상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치는 상호간 공유하고 있는 동적 키를 이용하여 DNP데이터의 블록 암호화 또는 블록 복호화를 수행할 수 있다.The master dual-band wireless communication device and the slave dual-band wireless communication device can perform block encryption or block decryption of DNP data using a dynamic key shared between them.

상기 마스터 듀얼밴드 무선 통신 장치는 키생성 API함수를 이용하여 상기 동적 키를 생성하고, 상기 슬레이브 듀얼밴드 무선 통신 장치로부터 수신한 공개 키를 이용하여 상기 동적 키를 암호화하여 상기 슬레이브 듀얼밴드 무선 통신 장치에 전송할 수 있다.The master dual-band wireless communication device generates the dynamic key using a key generation API function, and encrypts the dynamic key using the public key received from the slave dual-band wireless communication device to generate the dynamic key in the slave dual-band wireless communication device. can be transmitted to.

상기 마스터 듀얼밴드 무선 통신 장치는 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치의 재부팅 조건, 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치간의 통신 재연결 조건 및 기 설정된 상기 동적 키의 생성 주기 조건 중 적어도 하나의 조건을 만족하는 경우 상기 동적 키를 재생성 할 수 있다.The master dual-band wireless communication device may set reboot conditions of the master dual-band wireless communication device or the slave dual-band wireless communication device, communication reconnection conditions between the master dual-band wireless communication device or the slave dual-band wireless communication device, and preset conditions. If at least one condition among the generation cycle conditions of the dynamic key is satisfied, the dynamic key can be regenerated.

실시예에 따르면, FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계; 상기 보안 카드가 상기 마스터 듀얼밴드 무선 통신 장치가 상기 FEP서버에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하는 단계; 상기 보안 카드가 상기 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치에 전달하는 단계; 상기 마스터 듀얼밴드 무선 통신 장치가 상기 제1평문 DNP데이터를 제1 FRTU에 전송하는 단계; 상기 제1 FRTU가 자신의 단말장치 주소와 상기 제1평문 DNP데이터의 단말장치 주소가 일치하면 상기 제1평문 DNP데이터를 분석해서 동작을 수행하는 단계; 상기 마스터 듀얼밴드 무선 통신 장치가 상기 제1평문 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 단계; 상기 슬레이브 듀얼밴드 무선 통신 장치가 상기 블록 암호화 된 DNP데이터를 복호화하여 제2 평문 DNP데이터를 생성하고, 상기 제2평문 DNP데이터를 제2 FRTU에 전송하는 단계; 및 상기 제2 FRTU가 자신의 단말장치 주소와 상기 제2평문 DNP데이터의 단말장치 주소가 일치하면 상기 제2평문 DNP데이터를 분석해서 동작을 수행하는 단계를 포함하는 전력 제어 시스템을 위한 보안 방법을 제공한다.According to the embodiment, the FEP server transmits the encrypted DNP data to the security card; generating first plaintext DNP data by the security card decrypting the encrypted DNP data received from the FEP server by the master dual-band wireless communication device; transmitting, by the security card, the first plaintext DNP data to a master dual-band wireless communication device; transmitting, by the master dual-band wireless communication device, the first plain text DNP data to a first FRTU; If the first FRTU matches its own terminal address and the terminal device address of the first plaintext DNP data, analyzing the first plaintext DNP data and performing an operation; the master dual-band wireless communication device block-encrypting the first plaintext DNP data and transmitting it to a slave dual-band wireless communication device; The slave dual-band wireless communication device decrypts the block-encrypted DNP data to generate second plaintext DNP data, and transmitting the second plaintext DNP data to a second FRTU; And a security method for a power control system comprising the step of the second FRTU analyzing the second plaintext DNP data and performing an operation when the terminal device address of the second FRTU matches the terminal device address of the second plaintext DNP data. to provide.

상기 FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계 전에, 상기 FEP서버가 DNP SA API함수 및 TLS API함수를 이용하여 평문 DNP데이터를 DNP SA 및 TLS의 세션키에 따라 암호화하는 단계를 더 포함할 수 있다.Before the FEP server transmits the encrypted DNP data to the security card, the FEP server further encrypts the plain text DNP data according to the DNP SA and TLS session keys using the DNP SA API function and the TLS API function. It can be included.

상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치는 상호간 공유하고 있는 동적 키를 이용하여 DNP데이터의 블록 암호화 또는 블록 복호화를 수행할 수 있다.The master dual-band wireless communication device and the slave dual-band wireless communication device can perform block encryption or block decryption of DNP data using a dynamic key shared between them.

상기 FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계 전에, 상기 마스터 듀얼밴드 무선 통신 장치가 키생성 API함수를 이용하여 상기 동적 키를 생성하는 단계; 상기 슬레이브 듀얼밴드 무선 통신 장치로부터 수신한 공개 키를 이용하여 상기 동적 키를 암호화하여 상기 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 단계를 더 포함할 수 있다.Before the FEP server transmits the encrypted DNP data to the security card, the master dual-band wireless communication device generates the dynamic key using a key generation API function; The method may further include encrypting the dynamic key using a public key received from the slave dual-band wireless communication device and transmitting the dynamic key to the slave dual-band wireless communication device.

상기 마스터 듀얼밴드 무선 통신 장치가 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치의 재부팅 조건, 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치간의 통신 재연결 조건 및 기 설정된 상기 동적 키의 생성 주기 조건 중 적어도 하나의 조건을 만족하는 경우 상기 동적 키를 재생성하는 단계를 더 포함할 수 있다.The master dual-band wireless communication device sets reboot conditions of the master dual-band wireless communication device or the slave dual-band wireless communication device, communication reconnection conditions between the master dual-band wireless communication device or the slave dual-band wireless communication device, and preset conditions. The method may further include regenerating the dynamic key when at least one condition among the generation cycle conditions of the dynamic key is satisfied.

실시예에 따르면, 전술한 전력 제어 시스템을 위한 보안 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 컴퓨터에서 판독 가능한 기록매체를 제공한다.According to an embodiment, a computer-readable recording medium is provided on which a program for executing the above-described security method for the power control system on the computer is recorded.

본 발명인 전력 제어 시스템을 위한 보안 장치 및 방법은 듀얼 밴드 통신 장치간의 무선 통신 구간에 동적 키를 사용하여 데이터를 암복호화 함으로써 보안성을 향상시킬 수 있다.The security device and method for a power control system of the present invention can improve security by encrypting and decrypting data using a dynamic key in the wireless communication section between dual-band communication devices.

또한, 주기적으로 동적 키를 갱신하여 보안성을 향상시킬 수 있다.Additionally, security can be improved by periodically updating dynamic keys.

또한. 듀얼 밴드 통신 장치와 FEP서버간의 유선 통신 구간에 전송 계층 보안(TLS, Transport Layer Security)를 구현하여 보안성을 향상시킬 수 있다.also. Security can be improved by implementing Transport Layer Security (TLS) in the wired communication section between the dual-band communication device and the FEP server.

도1은 실시예에 따른 전력 제어 시스템을 위한 보안 장치의 구성 블록도이다.
도2는 실시예에 따른 FEP서버의 구성 블록도이다.
도3은 실시예에 따른 마스터 듀얼밴드 무선 통신 장치의 구성 블록도이다.
도4는 실시예에 따른 슬레이브 듀얼밴드 무선 통신 장치의 구성 블록도이다.
도5는 실시예에 따른 동적 키의 생성 과정을 설명하기 위한 도면이다.
도6은 실시예에 따른 전력 제어 시스템을 위한 보안 장치의 동작을 설명하기 위한 도면이다.Figure 1 is a block diagram of a security device for a power control system according to an embodiment.
Figure 2 is a block diagram of the configuration of a FEP server according to an embodiment.
Figure 3 is a block diagram of a master dual-band wireless communication device according to an embodiment.
Figure 4 is a block diagram of a slave dual-band wireless communication device according to an embodiment.
Figure 5 is a diagram for explaining the dynamic key generation process according to an embodiment.
Figure 6 is a diagram for explaining the operation of a security device for a power control system according to an embodiment.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the attached drawings.

다만, 본 발명의 기술 사상은 설명되는 일부 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있고, 본 발명의 기술 사상 범위 내에서라면, 실시 예들간 그 구성 요소들 중 하나 이상을 선택적으로 결합, 치환하여 사용할 수 있다.However, the technical idea of the present invention is not limited to some of the described embodiments, but may be implemented in various different forms, and as long as it is within the scope of the technical idea of the present invention, one or more of the components may be optionally used between the embodiments. It can be used by combining and replacing.

또한, 본 발명의 실시예에서 사용되는 용어(기술 및 과학적 용어를 포함)는, 명백하게 특별히 정의되어 기술되지 않는 한, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 일반적으로 이해될 수 있는 의미로 해석될 수 있으며, 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미를 고려하여 그 의미를 해석할 수 있을 것이다.In addition, terms (including technical and scientific terms) used in the embodiments of the present invention, unless explicitly specifically defined and described, are generally understood by those skilled in the art to which the present invention pertains. It can be interpreted as meaning, and the meaning of commonly used terms, such as terms defined in a dictionary, can be interpreted by considering the contextual meaning of the related technology.

또한, 본 발명의 실시예에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다.Additionally, the terms used in the embodiments of the present invention are for describing the embodiments and are not intended to limit the present invention.

본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함할 수 있고, "A 및(와) B, C 중 적어도 하나(또는 한 개 이상)"로 기재되는 경우 A, B, C로 조합할 수 있는 모든 조합 중 하나 이상을 포함할 수 있다.In this specification, the singular may also include the plural unless specifically stated in the phrase, and when described as "at least one (or more than one) of A and B and C", it is combined with A, B, and C. It can contain one or more of all possible combinations.

또한, 본 발명의 실시 예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다.Additionally, when describing the components of an embodiment of the present invention, terms such as first, second, A, B, (a), and (b) may be used.

이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등으로 한정되지 않는다.These terms are only used to distinguish the component from other components, and are not limited to the essence, order, or order of the component.

그리고, 어떤 구성 요소가 다른 구성요소에 '연결', '결합' 또는 '접속'된다고 기재된 경우, 그 구성 요소는 그 다른 구성 요소에 직접적으로 연결, 결합 또는 접속되는 경우뿐만 아니라, 그 구성 요소와 그 다른 구성 요소 사이에 있는 또 다른 구성 요소로 인해 '연결', '결합' 또는 '접속' 되는 경우도 포함할 수 있다.And, when a component is described as being 'connected', 'coupled' or 'connected' to another component, the component is not only directly connected, coupled or connected to that other component, but also is connected to that component. It can also include cases where other components are 'connected', 'combined', or 'connected' due to another component between them.

또한, 각 구성 요소의 "상(위) 또는 하(아래)"에 형성 또는 배치되는 것으로 기재되는 경우, 상(위) 또는 하(아래)는 두 개의 구성 요소들이 서로 직접 접촉되는 경우뿐만 아니라 하나 이상의 또 다른 구성 요소가 두 개의 구성 요소들 사이에 형성 또는 배치되는 경우도 포함한다. 또한, "상(위) 또는 하(아래)"으로 표현되는 경우 하나의 구성 요소를 기준으로 위쪽 방향뿐만 아니라 아래쪽 방향의 의미도 포함할 수 있다. Additionally, when described as being formed or disposed "above" or "below" each component, "above" or "below" refers not only to cases where two components are in direct contact with each other, but also to one This also includes cases where another component described above is formed or placed between two components. In addition, when expressed as "top (above) or bottom (bottom)", it may include not only the upward direction but also the downward direction based on one component.

실시예에 따른 전력 제어 시스템은 원격지 장치를 중앙 집중식으로 감시 및 제어하기 위한 시스템으로, 원격지에 위치한 설비의 감시 및 운전을 담당하는 아웃스테이션(원격소 장치), 아날로그 또는 디지털 신호를 사용하여 원격장치 상태정보를 수집하여 원격소 장치를 원격에서 감시하고 제어하는 마스터(제어서버), 및 마스터로부터 DNP 메시지를 수신하여 각 아웃스테이션로 전송하는 시리얼데이터수집장치(SIO: Serial Input Output Module)와 시리얼 모뎀으로 구성될 수 있다.The power control system according to the embodiment is a system for centrally monitoring and controlling remote devices, using an outstation (remote site device) in charge of monitoring and operation of facilities located in a remote location, and a remote device using analog or digital signals. A master (control server) that collects status information and remotely monitors and controls remote devices, and a serial data collection device (SIO: Serial Input Output Module) and serial modem that receive DNP messages from the master and transmit them to each outstation. It can be composed of:

보안 기능이 적용된 제어시스템은 각 지역단위의 제어센터 역할을 수행하는 마스터, 마스터의 하위 노드인 아웃스테이션, 마스터와 아웃스테이션을 연결하는 제어 통신 네트워크를 통해 전송되는 DNP 데이터에 대하여 암복호화 연산을 수행함으로써 DNP 메시지의 인증, 무결성 검사, 기밀성 유지, 재전송 방지 등의 보안 기능을 제공하기 위한 마스터 듀얼밴드 무선 통신 장치, 슬레이브 듀얼밴드 무선 통신 및 FEP 서버를 포함하여 구성될 수 있다.The control system with security functions performs encryption and decryption operations on the master that acts as a control center for each region, the outstation, which is a subordinate node of the master, and the DNP data transmitted through the control communication network connecting the master and the outstation. By doing so, it can be configured to include a master dual-band wireless communication device, a slave dual-band wireless communication, and a FEP server to provide security functions such as authentication, integrity check, confidentiality, and retransmission prevention of DNP messages.

이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, embodiments will be described in detail with reference to the attached drawings, but identical or corresponding components will be assigned the same reference numbers regardless of reference numerals, and duplicate descriptions thereof will be omitted.

도1은 실시예에 따른 전력 제어 시스템을 위한 보안 장치의 구성 블록도이다. 도1을 참조하면 실시예에 따른 전력 제어 시스템을 위한 보안 장치는 FEP(Front End Processor)서버, 마스터 듀얼밴드 무선 통신 장치 및 슬레이브 듀얼밴드 무선 통신 장치를 포함할 수 있다.Figure 1 is a block diagram of a security device for a power control system according to an embodiment. Referring to Figure 1, a security device for a power control system according to an embodiment may include a Front End Processor (FEP) server, a master dual-band wireless communication device, and a slave dual-band wireless communication device.

도2는 실시예에 따른 FEP서버의 구성 블록도이다. 도1 및 도2를 참조하면, FEP서버(10)는 FEP 프로세서(11) 및 FEP 보안 에이전트(12)를 포함할 수 있다. Figure 2 is a block diagram of the configuration of a FEP server according to an embodiment. Referring to Figures 1 and 2, the FEP server 10 may include a FEP processor 11 and a FEP security agent 12.

FEP 프로세서(11)는 FEP 보안에이전트와 TCP/IP통신 방식으로 데이터 통신을 수행하여, DNP(Distributed Network Protocol) 데이터를 전송할 수 있다. FEP 보안 에이전트(12)는 보안 카드(21)와 TLS(Transport Layer Security)통신 방식 또는 DNP SA방식으로 데이터 통신을 수행할 수 있다. FEP 보안 에이전트(12)는 데이터의 암호화 및 복호화를 수행할 수 있으며, FEP 프로세서(11)와 TCP/IP통신 방식으로 DNP데이터의 송수신을 수행할 수 있다. FEP 보안 에이전트(12)는 Linux 기반의 라이브러리 API함수를 제공할 수 있다. 이를 통하여, DNP SA API함수 및 TLS API함수를 이용하여 평문 DNP데이터를 DNP SA 및 TLS의 세션키에 따라 암호화하고, FEP서버(10)는 암호화 된 DNP데이터를 보안 카드(21)로 전송할 수 있다.The FEP processor 11 can perform data communication with the FEP security agent using TCP/IP communication and transmit Distributed Network Protocol (DNP) data. The FEP security agent 12 can perform data communication with the security card 21 using TLS (Transport Layer Security) communication or DNP SA. The FEP security agent 12 can perform encryption and decryption of data, and can transmit and receive DNP data using TCP/IP communication with the FEP processor 11. The FEP security agent 12 can provide Linux-based library API functions. Through this, plain text DNP data is encrypted according to the DNP SA and TLS session keys using the DNP SA API function and the TLS API function, and the FEP server 10 can transmit the encrypted DNP data to the security card 21. .

도3은 실시예에 따른 마스터 듀얼밴드 무선 통신 장치의 구성 블록도이다. 도1 및 도3을 참조하면, 마스터 듀얼밴드 무선 통신 장치(20)는 보안 카드(21), 마스터 프로세서(22), 마스터 보안 에이전트(23)를 포함할 수 있다.Figure 3 is a block diagram of a master dual-band wireless communication device according to an embodiment. Referring to Figures 1 and 3, the master dual-band wireless communication device 20 may include a security card 21, a master processor 22, and a master security agent 23.

보안 카드(21)는 Linux 운영체제가 구현된 카드 형태의 인쇄 회로 기판으로 마스터 듀얼밴드 무선 통신 장치(20)장치에 장착될 수 있다. 보안 카드(21)는 FEP 보안 에이전트(12)와 TLS통신 방식또는 DNP SA방식으로 데이터 통신을 수행할 수 있다. 보안 카드(21)는 FEP서버(10)에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하고, 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치(20)에 전달할 수 있다. 보안 카드(21)는 TCP/IP통신방식으로 마스터 듀얼밴드 무선 통신 장치(20)에 DNP데이터를 전송하고, UART통신방식으로 보안 카드(21)의 상태 정보를 전송할 수 있다. The security card 21 is a card-shaped printed circuit board on which the Linux operating system is implemented and can be mounted on the master dual-band wireless communication device 20. The security card 21 can perform data communication with the FEP security agent 12 using TLS communication or DNP SA. The security card 21 can decrypt the encrypted DNP data received from the FEP server 10, generate first plaintext DNP data, and transmit the first plaintext DNP data to the master dual-band wireless communication device 20. The security card 21 can transmit DNP data to the master dual-band wireless communication device 20 through TCP/IP communication and transmit status information of the security card 21 through UART communication.

마스터 프로세서(22)는 무선통신의 상위 장비로서, 슬레이브 듀얼밴드 무선 통신 장치(30)와 TCP/IP통신방식으로 데이터 통신을 수행하여, 블록 암호화 된 DNP데이터를 전송할 수 있다. 또한, 마스터 프로세서(22)는 보안 카드(21)와 UART통신방식으로 데이터 통신을 수행하여 보안 카드(21)의 상태 정보를 수신할 수 있다. 마스터 프로세서(22)는 제1 FRTU(41)와 UART통신방식으로 데이터 통신을 수행하여 DNP데이터를 전송할 수 있다.The master processor 22 is an upper level device for wireless communication and can perform data communication with the slave dual-band wireless communication device 30 using TCP/IP communication and transmit block-encrypted DNP data. Additionally, the master processor 22 can receive status information of the security card 21 by performing data communication with the security card 21 using UART communication. The master processor 22 can transmit DNP data by performing data communication with the first FRTU 41 using UART communication.

마스터 보안 에이전트(23)는 동적 키의 생성, 분배 및 관리 기능을 수행할 수 있다. 마스터 보안 에이전트(23)는 Linux 기반의 라이브러리 API함수를 제공할 수 있으며, 이를 통하여 DNP 데이터의 블록 암호화 및 복호화를 수행할 수 있다.The master security agent 23 can perform dynamic key generation, distribution, and management functions. The master security agent 23 can provide a Linux-based library API function, through which block encryption and decryption of DNP data can be performed.

실시예에서, 동적키란 통신 주체간 암호 키가 지속적으로 변경되는 방식의 암호 키를 의미할 수 있다. In an embodiment, a dynamic key may mean an encryption key in which the encryption key between communication entities is continuously changed.

마스터 보안 에이전트(23)는 블록 암호 및 HMAC의 키를 생성하기 위한 인터페이스를 포함할 수 있다. 마스터 보안 에이전트(23)는 동적 키의 길이와 암호 알고리즘 정보를 입력받아 각 알고리즘에 사용될 동적 키를 생성할 수 있다. 마스터 보안 에이전트(23)는 ARIA, LEA 동적 키 생성 시 입력 동적 키의 길이가 128비트가 아닌 경우에는 에러를 출력하고, HMAC 동적 키 생성 시 출력 동적 키 길이의 난수를 생성해서 출력할 수 있다. 또한, 마스터 보안 에이전트(23)는 동적 키 생성을 위해 난수 발생기 인터페이스를 사용하고, 반환 값은 난수 발생기 오류 발생 시의 값을 반환할 수 있다.The master security agent 23 may include an interface for generating keys for block ciphers and HMAC. The master security agent 23 can receive the dynamic key length and encryption algorithm information and generate a dynamic key to be used for each algorithm. The master security agent 23 outputs an error if the length of the input dynamic key is not 128 bits when generating an ARIA or LEA dynamic key, and generates and outputs a random number for the output dynamic key length when generating an HMAC dynamic key. Additionally, the master security agent 23 uses a random number generator interface to generate dynamic keys, and the return value may return a value when a random number generator error occurs.

또한, 마스터 보안 에이전트(23)는 블록 암호를 이용하여 입력된 메시지를 암호화하는 인터페이스 기능을 포함할 수 있다. 이러한 인터페이스 기능은 입력되는 암호 알고리즘과 운영모드에 대하여, 입력 동적키를 이용하여 입력 메시지의 암호화를 수행할 수 있다. 실시예에서, 블록 암호는 ARIA-128 및 LEA-128중 적어도 하나이고, 운영 모드는ECB, CBC, CTR, CCM 및 GCM 중 적어도 하나일 수 있다. GCM, CCM 운영모드는 태그값을 함께 출력할 수 있다. ECB, CBC 운영모드의 경우에는 pkcs 패딩을 사용할 수 있다. 마스터 보안 에이전트(23)는 입력되는 키의 길이가 16바이트가 아닌 경우, ECB 운영모드 이외에서 pIV가 NULL인 경우, GCM 운영모드에서 Tag의 버퍼가 NULL인 경우 또는, 평문과 암호문의 버퍼가 같은 경우에는 에러를 반환할 수 있다.Additionally, the master security agent 23 may include an interface function that encrypts the input message using a block cipher. This interface function can perform encryption of the input message using the input dynamic key for the input encryption algorithm and operating mode. In an embodiment, the block cipher may be at least one of ARIA-128 and LEA-128, and the operating mode may be at least one of ECB, CBC, CTR, CCM, and GCM. GCM and CCM operation modes can output tag values together. For ECB and CBC operating modes, pkcs padding can be used. The master security agent (23) operates when the length of the input key is not 16 bytes, when pIV is NULL in other than ECB operating mode, when the Tag buffer is NULL in GCM operating mode, or when the buffers of plaintext and ciphertext are the same. In this case, an error may be returned.

또한, 마스터 보안 에이전트(23)는 블록 암호를 이용하여 입력된 메시지를 복호화하는 인터페이스 기능을 포함할 수 있다. 이러한 인터페이스 기능은 입력되는 암호 알고리즘과 운영모드에 대하여, 입력 동적키를 이용하여 입력 암호문의 복호화를 수행할 수 있다. 실시예에서, 블록 암호는 ARIA-128 및 LEA-128중 적어도 하나이고, 운영 모드는ECB, CBC, CTR, CCM 및 GCM 중 적어도 하나일 수 있다. GCM, CCM 운영모드의 경우 Tag 값을 검증하여 검증 실패 시 평문을 출력하지 않으며, ECB, CBC 운영모드의 경우에는 pkcs 패딩을 이용할 수 있다. 마스터 보안 에이전트(23)는 입력되는 키의 길이가 16바이트가 아닌 경우, ECB 운영모드 이외에서 pIV가 NULL인 경우, GCM 운영모드에서 Tag의 버퍼가 NULL인 경우 또는, 평문과 암호문의 버퍼가 같은 경우 또는 태그값 검증이 실패한 경우에는 에러를 반환할 수 있다.Additionally, the master security agent 23 may include an interface function to decrypt the input message using a block cipher. This interface function can decrypt the input ciphertext using the input dynamic key for the input encryption algorithm and operating mode. In an embodiment, the block cipher may be at least one of ARIA-128 and LEA-128, and the operating mode may be at least one of ECB, CBC, CTR, CCM, and GCM. In the case of GCM and CCM operation modes, the tag value is verified and plaintext is not output if verification fails. In the case of ECB and CBC operation modes, pkcs padding can be used. The master security agent (23) operates when the length of the input key is not 16 bytes, when pIV is NULL in other than ECB operating mode, when the Tag buffer is NULL in GCM operating mode, or when the buffers of plaintext and ciphertext are the same. In this case, or if tag value verification fails, an error may be returned.

도4는 실시예에 따른 슬레이브 듀얼밴드 무선 통신 장치의 구성 블록도이다. 도1 및 도4를 참조하면, 슬레이브 듀얼밴드 무선 통신 장치(30)는 슬레이브 프로세서(31), 슬레이브 보안 에이전트(32)를 포함할 수 있다.Figure 4 is a block diagram of a slave dual-band wireless communication device according to an embodiment. Referring to Figures 1 and 4, the slave dual-band wireless communication device 30 may include a slave processor 31 and a slave security agent 32.

슬레이브 프로세서(31)는 무선통신의 하위 장비로서, 마스터 듀얼밴드 무선 통신 장치(20)와 TCP/IP통신방식으로 데이터 통신을 수행하여, 블록 암호화 된 DNP데이터를 수신할 수 있다. 또한, 슬레이브 프로세서(31)는 제2 FRTU(42)와 UART통신방식으로 데이터 통신을 수행하여 DNP데이터를 전송할 수 있다.The slave processor 31 is a subordinate device of wireless communication and can perform data communication with the master dual-band wireless communication device 20 through TCP/IP communication and receive block-encrypted DNP data. Additionally, the slave processor 31 can transmit DNP data by performing data communication with the second FRTU 42 using UART communication.

슬레이브 보안 에이전트(32)는 동적 키의 관리 기능을 수행할 수 있다. 슬레이브 보안 에이전트(32)는 Linux 기반의 라이브러리 API함수를 제공할 수 있으며, 이를 통하여 DNP 데이터의 블록 암호화 및 복호화를 수행할 수 있다.The slave security agent 32 may perform a dynamic key management function. The slave security agent 32 can provide a Linux-based library API function, through which block encryption and decryption of DNP data can be performed.

제1 FRTU(41)(Feeder Remote Terminal Unit) 및 제2 FRTU(42)는 배전지능화용 단말장치로 배전설비 현장에 분포되어 있는 배전선로 개폐기를 정보 통신 기술을 이용하여 주장치에서 원격 감시, 제어하고 배전선로 고장발생(배전선로의 단락, 지락사고 등)시에 고장구간을 자동을 검출 할 수 있는 장치의 집합체를 의미할 수 있다. 각 FRTU는 UART통신 방식을 통하여 마스터 듀얼밴드 무선 통신 장치(20) 또는 슬레이브 듀얼밴드 무선 통신 장치(30)와 데이터 통신을 수행할 수 있다. The 1st FRTU (41) (Feeder Remote Terminal Unit) and the 2nd FRTU (42) are terminal devices for distribution intelligence that remotely monitor and control distribution line switches distributed at distribution facility sites from the main unit using information and communication technology. It can refer to a collection of devices that can automatically detect the fault section when a distribution line failure occurs (distribution line short circuit, ground fault, etc.). Each FRTU can perform data communication with the master dual-band wireless communication device 20 or the slave dual-band wireless communication device 30 through the UART communication method.

실시예에서, 제1 FRTU(41)는 자신의 단말장치 주소와 제1평문 DNP데이터의 단말장치 주소가 일치하면 제1평문 DNP데이터를 분석해서 동작을 수행할 수 있다. 제1 FRTU(41)는 마스터 듀얼밴드 무선 통신 장치(20)로부터 제1평문 DNP데이터를 수신하면, 자신의 단말장치 주소와 제1평문 DNP데이터의 단말장치 주소를 비교하고, 주소가 일치한 경우에만 제1평문 DNP데이터를 분석해서 동작을 수행할 수 있다. 제1 FRTU(41)는 주소가 일치하지 않은 경우에는 해당되는 제1평문 DNP데이터의 분석을 수행하지 않을 수 있다.In an embodiment, the first FRTU 41 may perform an operation by analyzing the first plaintext DNP data if its own terminal device address and the terminal device address of the first plaintext DNP data match. When the first FRTU (41) receives the first plaintext DNP data from the master dual-band wireless communication device (20), it compares its own terminal device address with the terminal device address of the first plaintext DNP data, and if the addresses match, Only by analyzing the first plaintext DNP data can the operation be performed. If the addresses do not match, the first FRTU 41 may not perform analysis of the corresponding first plaintext DNP data.

실시예에서, 제2 FRTU(42)는 자신의 단말장치 주소와 제2평문 DNP데이터의 단말장치 주소가 일치하면 제2평문 DNP데이터를 분석해서 동작을 수행할 수 있다. 제2 FRTU(42)는 슬레이브 듀얼밴드 무선 통신 장치(30)로부터 제2평문 DNP데이터를 수신하면, 자신의 단말장치 주소와 제2평문 DNP데이터의 단말장치 주소를 비교하고, 주소가 일치한 경우에만 제2평문 DNP데이터를 분석해서 동작을 수행할 수 있다. 제2 FRTU(42)는 주소가 일치하지 않은 경우에는 해당되는 제2평문 DNP데이터의 분석을 수행하지 않을 수 있다.In an embodiment, the second FRTU 42 may analyze the second plaintext DNP data and perform an operation if its own terminal device address and the terminal device address of the second plaintext DNP data match. When the second FRTU (42) receives the second plaintext DNP data from the slave dual-band wireless communication device (30), it compares its own terminal device address with the terminal device address of the second plaintext DNP data, and if the addresses match, Only by analyzing the second plaintext DNP data can the operation be performed. If the addresses do not match, the second FRTU 42 may not perform analysis of the corresponding second plaintext DNP data.

실시예에서, 마스터 듀얼밴드 무선 통신 장치(20) 및 슬레이브 듀얼밴드 무선 통신 장치(30)는 상호간 공유하고 있는 동적 키를 이용하여 DNP데이터의 블록 암호화 또는 블록 복호화를 수행할 수 있다.In an embodiment, the master dual-band wireless communication device 20 and the slave dual-band wireless communication device 30 may perform block encryption or block decryption of DNP data using a dynamic key shared between them.

마스터 듀얼밴드 무선 통신 장치(20)는 키생성 API함수를 이용하여 동적 키를 생성하고, 슬레이브 듀얼밴드 무선 통신 장치(30)로부터 수신한 공개 키를 이용하여 동적 키를 암호화하여 슬레이브 듀얼밴드 무선 통신 장치(30)에 전송할 수 있다.The master dual-band wireless communication device 20 generates a dynamic key using the key generation API function and encrypts the dynamic key using the public key received from the slave dual-band wireless communication device 30 to enable slave dual-band wireless communication. It can be transmitted to the device 30.

또한, 마스터 듀얼밴드 무선 통신 장치(20)는 마스터 듀얼밴드 무선 통신 장치(20) 또는 슬레이브 듀얼밴드 무선 통신 장치(30)의 재부팅 조건, 마스터 듀얼밴드 무선 통신 장치(20) 또는 슬레이브 듀얼밴드 무선 통신 장치(30)간의 통신 재연결 조건 및 기 설정된 동적 키의 생성 주기 조건 중 적어도 하나의 조건을 만족하는 경우 동적 키를 재생성할 수 있다.In addition, the master dual-band wireless communication device 20 determines the reboot conditions of the master dual-band wireless communication device 20 or the slave dual-band wireless communication device 30, the master dual-band wireless communication device 20, or the slave dual-band wireless communication device. If at least one condition of the communication reconnection condition between the devices 30 and the preset dynamic key generation cycle condition is satisfied, the dynamic key can be regenerated.

이하 도5를 참고하여, 동적 키의 생성 과정을 설명하기로 한다.Below, with reference to Figure 5, the dynamic key generation process will be described.

도5를 참고하면, 먼저 슬레이브 듀얼밴드 무선 통신 장치는 마스터 듀얼밴드 무선 통신 장치와 TCP/IP통신 세션을 수립한다(S501).Referring to Figure 5, first, the slave dual-band wireless communication device establishes a TCP/IP communication session with the master dual-band wireless communication device (S501).

다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 슬레이브 듀얼밴드 무선 통신 장치의 공개 키를 포함하는 인증서를 마스터 듀얼밴드 무선 통신 장치에 전송한다(S502).Next, the slave dual-band wireless communication device transmits a certificate containing the public key of the slave dual-band wireless communication device to the master dual-band wireless communication device (S502).

다음으로, 마스터 듀얼밴드 무선 통신 장치는 슬레이브 듀얼밴드 무선 통신 장치의 인증서 전송 성공 메시지를 슬레이브 듀얼밴드 무선 통신 장치에 전송한다(S503).Next, the master dual-band wireless communication device transmits a certificate transmission success message of the slave dual-band wireless communication device to the slave dual-band wireless communication device (S503).

다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 마스터 듀얼밴드 무선 통신 장치에 동적 키를 요청한다(S504).Next, the slave dual-band wireless communication device requests a dynamic key from the master dual-band wireless communication device (S504).

다음으로, 마스터 듀얼밴드 무선 통신 장치는 키생성 API함수를 이용하여 동적 키를 생성하고, 이를 저장한다(S504).Next, the master dual-band wireless communication device generates a dynamic key using the key generation API function and stores it (S504).

다음으로, 마스터 듀얼밴드 무선 통신 장치는 슬레이브 듀얼밴드 무선 통신 장치 공개 키를 이용하여 동적 키를 암호화한다(S506).Next, the master dual-band wireless communication device encrypts the dynamic key using the slave dual-band wireless communication device public key (S506).

다음으로, 마스터 듀얼밴드 무선 통신 장치는 암호화 된 동적 키를 슬레이브 듀얼밴드 무선 통신 장치에 전송한다(S507).Next, the master dual-band wireless communication device transmits the encrypted dynamic key to the slave dual-band wireless communication device (S507).

다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 슬레이브 듀얼밴드 무선 통신 장치 개인 키를 이용하여 암호화 된 동적 키를 복호화한다(S508).Next, the slave dual-band wireless communication device decrypts the encrypted dynamic key using the slave dual-band wireless communication device private key (S508).

다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 동적 키를 저장한다(S509). Next, the slave dual-band wireless communication device stores the dynamic key (S509).

이후, 마스터 듀얼밴드 무선 통신 장치는 동적 키의 재생성 조건이 발생하였는지를 판단한다. 마스터 듀얼밴드 무선 통신 장치는 동적 키의 재생성 조건이 발생한 경우에는 동적 키를 재생성하여 슬레이브 듀얼밴드 무선 통신 장치에 분배한다. 실시예에서 동적 키 재생성 조건은 마스터 듀얼밴드 무선 통신 장치 또는 슬레이브 듀얼밴드 무선 통신 장치의 재부팅 조건, 마스터 듀얼밴드 무선 통신 장치 또는 슬레이브 듀얼밴드 무선 통신 장치간의 통신 재연결 조건 및 기 설정된 동적 키의 생성 주기 조건 중 적어도 하나를 포함할 수 있다(S510).Thereafter, the master dual-band wireless communication device determines whether a dynamic key regeneration condition has occurred. When a dynamic key regeneration condition occurs, the master dual-band wireless communication device regenerates the dynamic key and distributes it to the slave dual-band wireless communication device. In the embodiment, the dynamic key regeneration conditions include reboot conditions of the master dual-band wireless communication device or the slave dual-band wireless communication device, communication reconnection conditions between the master dual-band wireless communication device or the slave dual-band wireless communication device, and generation of a preset dynamic key. At least one of the cycle conditions may be included (S510).

다음으로, 마스터 듀얼밴드 무선 통신 장치는 동적 키를 사용하여 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송한다(S511~512).Next, the master dual-band wireless communication device blocks encrypts the DNP data using a dynamic key and transmits it to the slave dual-band wireless communication device (S511 to 512).

다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 공유하고 있는 동적 키를 사용하여 DNP데이터를 블록 복호화하여 평문 DNP데이터를 생성하고, 이를 저장한다(S513~514).Next, the slave dual-band wireless communication device blocks decrypts the DNP data using the shared dynamic key to generate plain text DNP data and stores it (S513-514).

도6은 실시예에 따른 전력 제어 시스템을 위한 보안 방법의 순서도이다. Figure 6 is a flowchart of a security method for a power control system according to an embodiment.

도6을 참조하면, 먼저 FEP서버는 FEP프로세서와 FEP 보안 에이전트를 실행한다. 이 때, FEP서버는 FEP프로세서를 암호화 통신 모드로 설정하여 동작시킨다(S601).Referring to Figure 6, first, the FEP server runs the FEP processor and FEP security agent. At this time, the FEP server sets the FEP processor to the encrypted communication mode and operates it (S601).

다음으로, FEP프로세서는 FEP 보안 에이전트의 DNP SA API함수에 평문 DNP데이터를 전달하고, FEP 보안 에이전트는 전달받은 DNP데이터를 DNP SA로 암호화한다(S602).Next, the FEP processor transmits plain text DNP data to the DNP SA API function of the FEP security agent, and the FEP security agent encrypts the received DNP data with DNP SA (S602).

다음으로, FEP프로세서는 FEP 보안 에이전트의 TLS API함수에 DNP데이터를 전달하고, FEP 보안 에이전트는 전달받은 DNP데이터를 TLS의 세션 키로 암호화한다(S603).Next, the FEP processor transmits the DNP data to the TLS API function of the FEP security agent, and the FEP security agent encrypts the received DNP data with the TLS session key (S603).

다음으로, FEP 보안 에이전트는 암호화 된 DNP데이터를 TLS통신을 이용하여 보안 카드에 전송한다(S604).Next, the FEP security agent transmits the encrypted DNP data to the security card using TLS communication (S604).

다음으로, 보안 카드는 FEP 보안 에이전트로부터 전달받은 암호화 된 DNP데이터를 TLS의 세션 키 및 DNP SA로 복호화하여제1 평문 DNP데이터를 생성한다(S605).Next, the security card decrypts the encrypted DNP data received from the FEP security agent with the TLS session key and DNP SA to generate first plaintext DNP data (S605).

다음으로, 보안 카드는 제1평문 DNP데이터를 TCP/IP통신을 이용하여 마스터 프로세서에 전달하고, 마스터 프로세서는 제1평문 DNP데이터를 UART통신을 이용하여 제1 FRTU에 전송한다(S606).Next, the security card transmits the first plaintext DNP data to the master processor using TCP/IP communication, and the master processor transmits the first plaintext DNP data to the first FRTU using UART communication (S606).

다음으로, 제1 FRTU는 자신의 단말장치 주소와 제1 평문 DNP데이터의 단말장치 주소를 비교한다(S607).Next, the first FRTU compares its own terminal device address with the terminal device address of the first plain text DNP data (S607).

제1 FRTU는 단말장치 주소와 제1 평문 DNP데이터의 단말장치 주소가 일치하면 제1평문 DNP데이터를 분석해서 FRTU의 동작을 수행하고, 주소가 불일치하면 제1 평문 DNP데이터의 분석을 수행하지 않는다(S608).If the terminal device address and the terminal device address of the first plaintext DNP data match, the first FRTU analyzes the first plaintext DNP data and performs the FRTU operation. If the addresses do not match, it does not perform analysis of the first plaintext DNP data. (S608).

다음으로, 마스터 프로세서는 마스터 보안 에이전트의 블록 암호화 API함수에 제1평문 DNP데이터를 전달하고, 마스터 보안 에이전트는 동적 키를 이용하여 전달받은 제1평문 DNP데이터를 블록 암호화하여 마스터 프로세서에 전달한다(S609).Next, the master processor transmits the first plaintext DNP data to the block encryption API function of the master security agent, and the master security agent blocks encrypts the received first plaintext DNP data using a dynamic key and delivers it to the master processor ( S609).

다음으로, 마스터 프로세서는 블록 암호화 된 DNP데이터를 TCP/IP통신을 이용하여 슬레이브 듀얼밴드 무선 통신 장치에 전송한다(S610).Next, the master processor transmits the block-encrypted DNP data to the slave dual-band wireless communication device using TCP/IP communication (S610).

다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 마스터 듀얼밴드 무선 통신 장치에서 전달받은 블록 암호화 된 DNP데이터를 슬레이브 보안 에이전트의 블록 암호화 API함수에 전달하고, 슬레이브 보안 에이전트는 전달받은 동적 키를 이용하여 블록 암호화 된 DNP데이터를 복호화하여 제2평문 DNP데이터를 생성하고, 이를 슬레이브 프로세서에 전달한다(S611).Next, the slave dual-band wireless communication device transmits the block-encrypted DNP data received from the master dual-band wireless communication device to the block encryption API function of the slave security agent, and the slave security agent encrypts the block using the received dynamic key. The decoded DNP data is decrypted to generate second plain text DNP data, and this is delivered to the slave processor (S611).

다음으로, 슬레이브 프로세서는 제2평문 DNP데이터를 UART통신을 이용하여 제2 FRTU에 전송한다(S612).Next, the slave processor transmits the second plain text DNP data to the second FRTU using UART communication (S612).

다음으로, 제2 FRTU는 자신의 단말장치 주소와 제2 평문 DNP데이터의 단말장치 주소를 비교한다(S613).Next, the second FRTU compares its own terminal device address with the terminal device address of the second plain text DNP data (S613).

제2 FRTU는 단말장치 주소와 제2 평문 DNP데이터의 단말장치 주소가 일치하면 제2평문 DNP데이터를 분석해서 FRTU의 동작을 수행하고, 주소가 불일치하면 제2 평문 DNP데이터의 분석을 수행하지 않는다(S614).If the terminal device address and the terminal device address of the second plaintext DNP data match, the second FRTU analyzes the second plaintext DNP data and performs the FRTU operation. If the addresses do not match, it does not perform analysis of the second plaintext DNP data. (S614).

기존에는 마스터 듀얼밴드 무선 통신 장치와 슬레이브 듀얼밴드 무선 통신 장치의 무선구간에 고정 키를 사용하여 데이터를 암호화함으로써, 고정 키 해킹시 모든 데이터가 보안에 취약해질 수 밖에 없었다. 또한, 이러한 고정 키를 변경하는 과정에서도 어려움이 있었다. 실시에예 따른 전력 제어 시스템을 위한 보안 장치 및 방법은 마스터 듀얼밴드 무선 통신 장치와 슬레이브 듀얼밴드 무선 통신 장치의 무선구간에 주기적 또는 일정 조건에 따라 갱신되는 동적 키를 사용하여 데이터를 암호화함으로써, 해킹이 발생하더라도 일부 데이터를 제외한 나머지 데이터의 보안성을 확보할 수 있다.Previously, data was encrypted using a fixed key in the wireless section of the master dual-band wireless communication device and the slave dual-band wireless communication device, so all data was inevitably vulnerable to security when the fixed key was hacked. Additionally, there were difficulties in changing these fixed keys. A security device and method for a power control system according to an embodiment encrypts data using a dynamic key that is updated periodically or according to certain conditions in the wireless section of the master dual-band wireless communication device and the slave dual-band wireless communication device, thereby preventing hacking. Even if this occurs, the security of all data except for some data can be secured.

또한, 기존에는 듀얼밴드 무선 통신 장치에는 TCP/IP통신 세션만 구현되어 있고, TLS통신 세션을 구현할 수 없어, 마스터 듀얼밴드 무선 통신 장치와 FEP서버의 유선 구간에 데이터를 암호화할 수 없어 보안에 취약하다는 문제가 있었다. 실시에예 따른 전력 제어 시스템을 위한 보안 장치 및 방법은 보안 카드를 사용하여 마스터 듀얼밴드 무선 통신 장치와 FEP서버의 유선구간에 TLS통신 세션을 수립하여 DNP데이터에 대한 암호화를 구현할 수 있다. 또한, 듀얼밴드 무선 통신 장치의 보안 에이전트와 FEP의 보안 에이전트를 적용함으로써, 기존 프로그램의 수정을 최소화한 상태에서 통신 보안을 구현할 수 있다.In addition, existing dual-band wireless communication devices only implement TCP/IP communication sessions, and TLS communication sessions cannot be implemented, making it vulnerable to security as data cannot be encrypted in the wired section between the master dual-band wireless communication device and the FEP server. There was a problem. The security device and method for the power control system according to the embodiment can implement encryption for DNP data by establishing a TLS communication session between the master dual-band wireless communication device and the wired section of the FEP server using a security card. Additionally, by applying the security agent of the dual-band wireless communication device and the security agent of the FEP, communication security can be implemented with minimal modification of the existing program.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 기록 매체에 기록될 수 있다. 이때, 매체는 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수 개의 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 `매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 어플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable recording medium. At this time, the medium may continuously store a computer-executable program, or temporarily store it for execution or download. In addition, the medium may be a variety of recording or storage means in the form of a single or several pieces of hardware combined. It is not limited to a medium directly connected to a computer system and may be distributed over a network. Examples of media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical recording media such as CD-ROMs and DVDs, and magneto-optical media such as floptical disks. , and ROM, RAM, flash memory, etc. may be configured to store program instructions. Additionally, examples of other media include recording media or storage media managed by app stores that distribute applications, sites that supply or distribute various other software, and servers.

본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.The term '~unit' used in this embodiment refers to software or hardware components such as FPGA (field-programmable gate array) or ASIC, and the '~unit' performs certain roles. However, '~part' is not limited to software or hardware. The '~ part' may be configured to reside in an addressable storage medium and may be configured to reproduce on one or more processors. Therefore, as an example, '~ part' refers to components such as software components, object-oriented software components, class components, and task components, processes, functions, properties, and procedures. , subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays, and variables. The functions provided within the components and 'parts' may be combined into a smaller number of components and 'parts' or may be further separated into additional components and 'parts'. Additionally, components and 'parts' may be implemented to regenerate one or more CPUs within a device or a secure multimedia card.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. Although the present invention has been described above with reference to preferred embodiments, those skilled in the art may make various modifications and changes to the present invention without departing from the spirit and scope of the present invention as set forth in the claims below. You will understand that you can do it.

10: FEP서버
11: FEP 프로세서
12: FEP 보안 에이전트
20: 마스터 듀얼밴드 무선 통신 장치
21: 보안 카드
22: 마스터 프로세서
23: 마스터 보안 에이전트
30: 슬레이브 듀얼밴드 무선 통신 장치
31: 슬레이브 프로세서
32: 슬레이브 보안 에이전트
41: 제1 FRTU
42: 제2 FRTU10: FEP server
11: FEP processor
12: FEP security agent
20: Master dual-band wireless communication device
21: Security card
22: master processor
23: Master Security Agent
30: Slave dual-band wireless communication device
31: slave processor
32: Slave security agent
41: 1st FRTU
42: 2nd FRTU

Claims (12)

암호화 된 DNP데이터를 전송하는 FEP서버;
상기 FEP서버에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하고, 상기 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치에 전달하는 보안카드;
상기 제1평문 DNP데이터를 제1 FRTU에 전송하고, 상기 제1평문 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 마스터 듀얼밴드 무선 통신 장치; 및
상기 블록 암호화 된 DNP데이터를 복호화하여 제2 평문 DNP데이터를 생성하고, 상기 제2평문 DNP데이터를 제2 FRTU에 전송하는 슬레이브 듀얼밴드 무선 통신 장치를 포함하며,
상기 제1 FRTU는 자신의 단말장치 주소와 상기 제1평문 DNP데이터의 단말장치 주소가 일치하면 상기 제1평문 DNP데이터를 분석해서 동작을 수행하고,
상기 제2 FRTU는 자신의 단말장치 주소와 상기 제2평문 DNP데이터의 단말장치 주소가 일치하면 상기 제2평문 DNP데이터를 분석해서 동작을 수행하는 전력 제어 시스템을 위한 보안 장치.
FEP server that transmits encrypted DNP data;
A security card that decrypts the encrypted DNP data received from the FEP server to generate first plain text DNP data, and transmits the first plain text DNP data to a master dual-band wireless communication device;
a master dual-band wireless communication device that transmits the first plaintext DNP data to a first FRTU, blocks encrypts the first plaintext DNP data, and transmits the first plaintext DNP data to a slave dual-band wireless communication device; and
A slave dual-band wireless communication device that decrypts the block-encrypted DNP data to generate second plaintext DNP data and transmits the second plaintext DNP data to a second FRTU,
If the terminal device address of the first FRTU matches the terminal device address of the first plaintext DNP data, the first FRTU analyzes the first plaintext DNP data and performs an operation,
A security device for a power control system in which the second FRTU analyzes the second plaintext DNP data and performs an operation when its own terminal device address and the terminal device address of the second plaintext DNP data match.
 제1항에 있어서,
상기 보안 카드는 카드 형태의 인쇄 회로 기판으로 상기 마스터 듀얼밴드 무선 통신 장치에 장착되는 전력 제어 시스템을 위한 보안 장치.
According to paragraph 1,
The security card is a card-shaped printed circuit board and is a security device for a power control system mounted on the master dual-band wireless communication device.
 제1항에 있어서,
상기 FEP서버는 DNP SA API함수 및 TLS API함수를 이용하여 평문 DNP데이터를 DNP SA 및 TLS의 세션키에 따라 암호화하는 FEP보안 에이전트를 포함하는 전력 제어 시스템을 위한 보안 장치.
According to paragraph 1,
The FEP server is a security device for a power control system that includes a FEP security agent that encrypts plaintext DNP data according to session keys of DNP SA and TLS using DNP SA API functions and TLS API functions.
 제1항에 있어서,
상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치는 상호간 공유하고 있는 동적 키를 이용하여 DNP데이터의 블록 암호화 또는 블록 복호화를 수행하는 전력 제어 시스템을 위한 보안 장치.
According to paragraph 1,
A security device for a power control system in which the master dual-band wireless communication device and the slave dual-band wireless communication device perform block encryption or block decryption of DNP data using a dynamic key shared between them.
 제4항에 있어서,
상기 마스터 듀얼밴드 무선 통신 장치는 키생성 API함수를 이용하여 상기 동적 키를 생성하고, 상기 슬레이브 듀얼밴드 무선 통신 장치로부터 수신한 공개 키를 이용하여 상기 동적 키를 암호화하여 상기 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 전력 제어 시스템을 위한 보안 장치.
According to paragraph 4,
The master dual-band wireless communication device generates the dynamic key using a key generation API function, and encrypts the dynamic key using the public key received from the slave dual-band wireless communication device to generate the dynamic key in the slave dual-band wireless communication device. A security device for power control systems transmitting to .
 제5항에 있어서,
상기 마스터 듀얼밴드 무선 통신 장치는 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치의 재부팅 조건, 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치간의 통신 재연결 조건 및 기 설정된 상기 동적 키의 생성 주기 조건 중 적어도 하나의 조건을 만족하는 경우 상기 동적 키를 재생성하는 전력 제어 시스템을 위한 보안 장치.
According to clause 5,
The master dual-band wireless communication device may set reboot conditions of the master dual-band wireless communication device or the slave dual-band wireless communication device, communication reconnection conditions between the master dual-band wireless communication device or the slave dual-band wireless communication device, and preset conditions. A security device for a power control system that regenerates the dynamic key when at least one condition among the generation cycle conditions of the dynamic key is satisfied.
 FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계;
상기 보안 카드가 상기 마스터 듀얼밴드 무선 통신 장치가 상기 FEP서버에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하는 단계;
상기 보안 카드가 상기 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치에 전달하는 단계;
상기 마스터 듀얼밴드 무선 통신 장치가 상기 제1평문 DNP데이터를 제1 FRTU에 전송하는 단계;
상기 제1 FRTU가 자신의 단말장치 주소와 상기 제1평문 DNP데이터의 단말장치 주소가 일치하면 상기 제1평문 DNP데이터를 분석해서 동작을 수행하는 단계;
상기 마스터 듀얼밴드 무선 통신 장치가 상기 제1평문 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 단계;
상기 슬레이브 듀얼밴드 무선 통신 장치가 상기 블록 암호화 된 DNP데이터를 복호화하여 제2 평문 DNP데이터를 생성하고, 상기 제2평문 DNP데이터를 제2 FRTU에 전송하는 단계; 및
상기 제2 FRTU가 자신의 단말장치 주소와 상기 제2평문 DNP데이터의 단말장치 주소가 일치하면 상기 제2평문 DNP데이터를 분석해서 동작을 수행하는 단계를 포함하는 전력 제어 시스템을 위한 보안 방법.
The FEP server transmits the encrypted DNP data to the security card;
generating first plain text DNP data by the security card decrypting the encrypted DNP data received from the FEP server by the master dual-band wireless communication device;
transmitting, by the security card, the first plaintext DNP data to a master dual-band wireless communication device;
transmitting, by the master dual-band wireless communication device, the first plain text DNP data to a first FRTU;
If the first FRTU matches its own terminal address and the terminal device address of the first plaintext DNP data, analyzing the first plaintext DNP data and performing an operation;
the master dual-band wireless communication device block-encrypting the first plaintext DNP data and transmitting it to a slave dual-band wireless communication device;
The slave dual-band wireless communication device decrypts the block-encrypted DNP data to generate second plaintext DNP data, and transmitting the second plaintext DNP data to a second FRTU; and
A security method for a power control system comprising the step of the second FRTU analyzing the second plaintext DNP data and performing an operation when its own terminal device address and the terminal device address of the second plaintext DNP data match.
 제7항에 있어서,
상기 FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계 전에,
상기 FEP서버가 DNP SA API함수 및 TLS API함수를 이용하여 평문 DNP데이터를 DNP SA 및 TLS의 세션키에 따라 암호화하는 단계를 더 포함하는 전력 제어 시스템을 위한 보안 방법.
In clause 7,
Before the FEP server transmits the encrypted DNP data to the security card,
A security method for a power control system further comprising the step of the FEP server encrypting plaintext DNP data according to session keys of DNP SA and TLS using the DNP SA API function and the TLS API function.
 제7항에 있어서,
상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치는 상호간 공유하고 있는 동적 키를 이용하여 DNP데이터의 블록 암호화 또는 블록 복호화를 수행하는 전력 제어 시스템을 위한 보안 방법.
In clause 7,
A security method for a power control system in which the master dual-band wireless communication device and the slave dual-band wireless communication device perform block encryption or block decryption of DNP data using a dynamic key shared between them.
 제9항에 있어서,
상기 FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계 전에,
상기 마스터 듀얼밴드 무선 통신 장치가 키생성 API함수를 이용하여 상기 동적 키를 생성하는 단계;
상기 슬레이브 듀얼밴드 무선 통신 장치로부터 수신한 공개 키를 이용하여 상기 동적 키를 암호화하여 상기 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 단계를 더 포함하는 전력 제어 시스템을 위한 보안 방법.
According to clause 9,
Before the FEP server transmits the encrypted DNP data to the security card,
generating, by the master dual-band wireless communication device, the dynamic key using a key generation API function;
A security method for a power control system further comprising encrypting the dynamic key using a public key received from the slave dual-band wireless communication device and transmitting it to the slave dual-band wireless communication device.
 제10항에 있어서,
상기 마스터 듀얼밴드 무선 통신 장치가 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치의 재부팅 조건, 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치간의 통신 재연결 조건 및 기 설정된 상기 동적 키의 생성 주기 조건 중 적어도 하나의 조건을 만족하는 경우 상기 동적 키를 재생성하는 단계를 더 포함하는 전력 제어 시스템을 위한 보안 방법.
According to clause 10,
The master dual-band wireless communication device sets reboot conditions of the master dual-band wireless communication device or the slave dual-band wireless communication device, communication reconnection conditions between the master dual-band wireless communication device or the slave dual-band wireless communication device, and preset conditions. A security method for a power control system further comprising regenerating the dynamic key when at least one condition among the generation cycle conditions of the dynamic key is satisfied.
 제7항 내지 제11항 중 어느 한 항의 전력 제어 시스템을 위한 보안 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 컴퓨터에서 판독 가능한 기록매체.
A computer-readable recording medium recording a program for executing the security method for the power control system of any one of claims 7 to 11 on a computer.
KR1020200118381A 2020-09-15 2020-09-15 Security device and method for power control system KR102404066B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200118381A KR102404066B1 (en) 2020-09-15 2020-09-15 Security device and method for power control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200118381A KR102404066B1 (en) 2020-09-15 2020-09-15 Security device and method for power control system

Publications (2)

Publication Number Publication Date
KR20220036141A true KR20220036141A (en) 2022-03-22
KR102404066B1 KR102404066B1 (en) 2022-05-31

Family

ID=80988491

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200118381A KR102404066B1 (en) 2020-09-15 2020-09-15 Security device and method for power control system

Country Status (1)

Country Link
KR (1) KR102404066B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102570359B1 (en) * 2022-05-31 2023-08-29 한전케이디엔주식회사 A method and device for recertification of devices in power grid system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070006860A (en) * 2004-05-03 2007-01-11 톰슨 라이센싱 Certificate validity checking
KR101036262B1 (en) * 2010-07-21 2011-05-23 (주)이노비드 Control method for frtu using binary cdma technology
KR20120113690A (en) * 2011-04-05 2012-10-15 애플 인크. Apparatus and methods for storing electronic access clients
KR101691201B1 (en) * 2014-09-30 2017-01-10 한국전력공사 Secure communication apparatus and method of distribute network protocol message
KR102125047B1 (en) * 2018-12-26 2020-06-19 한전케이디엔 주식회사 Key Management and Operation Method for Improving Security of Distribution Intelligence System

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070006860A (en) * 2004-05-03 2007-01-11 톰슨 라이센싱 Certificate validity checking
KR101036262B1 (en) * 2010-07-21 2011-05-23 (주)이노비드 Control method for frtu using binary cdma technology
KR20120113690A (en) * 2011-04-05 2012-10-15 애플 인크. Apparatus and methods for storing electronic access clients
KR101691201B1 (en) * 2014-09-30 2017-01-10 한국전력공사 Secure communication apparatus and method of distribute network protocol message
KR102125047B1 (en) * 2018-12-26 2020-06-19 한전케이디엔 주식회사 Key Management and Operation Method for Improving Security of Distribution Intelligence System

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102570359B1 (en) * 2022-05-31 2023-08-29 한전케이디엔주식회사 A method and device for recertification of devices in power grid system

Also Published As

Publication number Publication date
KR102404066B1 (en) 2022-05-31

Similar Documents

Publication Publication Date Title
CN109412794B (en) Quantum key automatic charging method and system suitable for power business
EP3691216B1 (en) Key offsite storage-based data encryption storage system and method
US20030233573A1 (en) System and method for securing network communications
WO2013006296A1 (en) Methods and apparatus for secure data sharing
US8300830B2 (en) Secure group communications
KR20170047717A (en) Server and method for managing smart home environment thereby, method for joining smart home environment and method for connecting communication session with smart device
Shang et al. NDN-ACE: Access control for constrained environments over named data networking
KR101568871B1 (en) Encrypting method for vital control system
CN111082929A (en) Method for realizing encrypted instant communication
CN109981271A (en) A kind of network multimedia security protection encryption method
CN112865965B (en) Train service data processing method and system based on quantum key
KR102404066B1 (en) Security device and method for power control system
KR101359789B1 (en) System and method for security of scada communication network
KR102609578B1 (en) Apparatus, method and computer program for managing quantum cryptography key
CN100376092C (en) Firewall and invasion detecting system linkage method
CN103856938A (en) Encryption and decryption method, system and device
KR102096637B1 (en) Distributed Ledger for logging inquiry time in blockchain
Zhang et al. An adaptive security protocol for a wireless sensor‐based monitoring network in smart grid transmission lines
KR102571495B1 (en) Security system and method for optical transmission facilities
CN100596350C (en) Method for encrypting and decrypting industrial control data
CN115174071A (en) Safe transmission method and system for remote upgrading scene of train-mounted software
KR102096639B1 (en) Distributed Ledger for Integrity of Information Retrieval in Block Chain Using UUID
CN112054905A (en) Secure communication method and system of mobile terminal
CN105426771A (en) Method for realizing security of big data
Jain “Sec-KeyD” an efficient key distribution protocol for critical infrastructures

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant