[go: up one dir, main page]

KR101288233B1 - Access control apparatus and access controlling method in scada system - Google Patents

Access control apparatus and access controlling method in scada system Download PDF

Info

Publication number
KR101288233B1
KR101288233B1 KR1020110114959A KR20110114959A KR101288233B1 KR 101288233 B1 KR101288233 B1 KR 101288233B1 KR 1020110114959 A KR1020110114959 A KR 1020110114959A KR 20110114959 A KR20110114959 A KR 20110114959A KR 101288233 B1 KR101288233 B1 KR 101288233B1
Authority
KR
South Korea
Prior art keywords
access
access control
unit
message
database engine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020110114959A
Other languages
Korean (ko)
Other versions
KR20130049911A (en
Inventor
제정광
Original Assignee
엘에스산전 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘에스산전 주식회사 filed Critical 엘에스산전 주식회사
Priority to KR1020110114959A priority Critical patent/KR101288233B1/en
Publication of KR20130049911A publication Critical patent/KR20130049911A/en
Application granted granted Critical
Publication of KR101288233B1 publication Critical patent/KR101288233B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24215Scada supervisory control and data acquisition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

스카다 시스템에 있어서의 접근제어 장치 및 접근제어 방법이 개시된다. 본 발명에 따른 접근제어 장치는 사용자로부터 장치제어 메세지를 입력받는 데이터베이스 엔진부, 상기 데이터베이스 엔진부로부터 전달받은 장치제어 메세지를 정형화된 포맷으로 변환하는 접근제어 연동부 및 상기 접근제어 연동부에서 변환된 정형화된 포맷을 가지는 메세지에 대하여 접근 권한을 결정하는 접근제어부를 포함한다. 이에 의하여 불법적인 사용자에 대한 자원 접근을 방지함과 아울러 운영자의 미숙으로 인한 오작동을 방지할 수 있게 된다.Disclosed are an access control apparatus and an access control method in a SCADA system. An access control apparatus according to the present invention includes a database engine unit for receiving a device control message from a user, an access control interworking unit for converting a device control message received from the database engine unit into a standardized format, and the access control interworking unit converted from the access control interworking unit. It includes an access control unit for determining the access authority for a message having a formal format. This prevents illegal access to resources and prevents malfunction due to immaturity of the operator.

Description

스카다 시스템에 있어서의 접근제어 장치 및 접근제어 방법{ACCESS CONTROL APPARATUS AND ACCESS CONTROLLING METHOD IN SCADA SYSTEM}ACCESS CONTROL APPARATUS AND ACCESS CONTROLLING METHOD IN SCADA SYSTEM}

본 발명은 접근제어 장치 및 접근제어 방법에 관한 것으로서, 더욱 상세하게는 스카다(SCADA) 네트워크에 대한 불법적인 접근을 방지할 수 있는 접근제어 장치 및 접근제어 방법에 관한 것이다.
The present invention relates to an access control apparatus and an access control method, and more particularly, to an access control apparatus and an access control method capable of preventing illegal access to a SCADA network.

종래의 스카다(Supervisory Control and Data Acquisition, SCADA) 시스템은 인증된 사용자는 시스템의 어떠한 제어나 감시도 가능했다. 하지만 이처럼 폐쇄적으로 운영되던 종래의 스카다 시스템과 달리 점차 개방화되고 있는 스카다 네트워크에서 있어서, 불법적인 접근이 이루어짐으로써 주요 시설의 테러와 해킹이 일어날 우려가 있다. Conventional Supervisory Control and Data Acquisition (SCADA) systems allow authorized users to control or monitor the system. However, unlike the conventional SCADA system which was operated in such a closed manner, in the SCADA network which is gradually opened, there is a fear that the illegal access is made and the terrorism and hacking of the main facilities occur.

스카다 시스템은 일반적으로 집중 원방 감시제어 시스템으로 통칭되며, 점차로 고도화 되어가는 산업설비를 경제성 있고, 효율적으로 운영하기 위해 각 현장에 설비 상황을 계측 및 제어하는 RTU(Remote Terminal Unit) 장비를 설치하고 중앙통제실에 컴퓨터 및 소프트웨어를 설치, 중앙 통제실과 RTU 간을 데이터 통신으로 접속해 운영하는 통합계측감시제어 시스템이다. Skada system is generally referred to as centralized remote monitoring and control system, and RTU (Remote Terminal Unit) equipment is installed at each site to measure and control the equipment situation in order to economically and efficiently operate the increasingly advanced industrial facilities. It is an integrated measurement and monitoring control system that installs computers and software in the central control room and connects and operates the data between the central control room and the RTU.

첨부된 도 1을 참조하여 구체적으로 설명하면, 종래의 스카다 시스템은 도 1과 같이 중앙제어센터인 MTU(Master Terminal Unit, 10), 각 현장 설비의 상황을 계측하고 제어하는 RTU(Remote Terminal Unit, 20), 그리고 이들 상호간을 연결하는 FEP(Front End Processor, 30)로 구성된다.Referring to FIG. 1, the conventional SCADA system is a MTU (Master Terminal Unit, 10), which is a central control center as shown in FIG. 1, and a remote terminal unit (RTU) for measuring and controlling the situation of each field facility. , 20), and FEP (Front End Processor, 30) connecting the two.

제어명령은 MTU(10)의 일구성인 커뮤니케이션 인터페이스(communication interface)를 통해 FEP(30)에게 전달되고, 이는 다시 RTU(20)에게 전달되어 최종적으로 제어를 수행한다.The control command is transmitted to the FEP 30 through a communication interface, which is one component of the MTU 10, which is in turn transmitted to the RTU 20 to finally perform control.

감시 데이터는 FEP(30)가 RTU(20)로부터 취득하여 MTU(10)의 커뮤니케이션 인터페이스를 통해 MTU(10)에 전달된다.The surveillance data is acquired by the FEP 30 from the RTU 20 and transmitted to the MTU 10 through the communication interface of the MTU 10.

FEP(30)와 RTU(20)간은 시리얼 통신을 사용해 데이터를 송수신한다.The FEP 30 and the RTU 20 transmit and receive data using serial communication.

이와 같은 종래 스카다 시스템은 아래와 같은 문제점이 있다.Such a conventional Skada system has the following problems.

첫째, 인증된 운영자는 스카다 네트워크를 전체적으로 제어하거나 감시할 수 있게 된다. 스카다 시스템에서 제공되는 아이디나 패스워드 기반의 인증을 획득한 운영자는 스카다 네트워크의 어떤 제어나 감시도 가능하게 된다. 이는 인증만 획득한다면 그 권한으로 스카다 네트워크 리소스를 사용할 수 있고, 결국 네트워크의 어떠한 보호도 이루어지지 않을 수 있다는 문제점을 가진다. 또한 감시 데이터에 대한 보안 등급이 전혀 구분되지 않아 모든 사용자에게 전체 데이터에 대한 모니터링을 허용하게 된다.First, authorized operators will be able to control or monitor the entire SCADA network. Operators with ID or password-based authentication provided by the SCADA system will be able to control or monitor the SCADA network. This has the problem that if only authentication is obtained, the SCADA network resources can be used with the right, and thus no protection of the network can be achieved. In addition, the security level for surveillance data is not distinguished at all, allowing all users to monitor the entire data.

둘째, 운영자의 운영 미숙으로 인한 오명령이 전송될 우려가 있다. 스카다 운영자에 의해 전달된 제어명령은 FEP(30)를 통해 RTU(20)에게 전달되어 설비제어가 이루어진다. 이때 사용자의 실수나 미숙으로 인해 의도치 않은 제어가 이루어질 수 있다. 이와 같은 오명령은 설비의 큰 위협요소로 작용될 여지가 있다.Second, there is a fear that a false order may be transmitted due to the inexperienced operation of the operator. Control commands transmitted by the SCADA operator are transmitted to the RTU 20 through the FEP 30 to control equipment. In this case, unintended control may be made due to a user's mistake or immaturity. Such a misplacement can pose a major threat to the installation.

셋째, FEP(30)와 RTU(20)간의 네트워크는 시리얼 통신을 이용하기 때문에 상기 문제점을 해소하기 위해 방화벽을 설치할 수도 없는 상황이다.Third, since the network between the FEP 30 and the RTU 20 uses serial communication, it is impossible to install a firewall to solve the problem.

따라서 이와 같은 문제점을 해결할 수 있는 스카다 시스템이 요구된다.
Therefore, there is a need for a SCADA system that can solve such problems.

본 발명은 상술한 문제점을 감안하여 안출된 것으로, 본 발명의 목적은 불법적인 사용자에 대한 자원 접근을 방지함과 아울러 운영자의 미숙으로 인한 오작동을 방지할 수 있는 접근제어 장치 및 접근제어 방법을 제공함에 있다.
The present invention has been made in view of the above-described problems, and an object of the present invention is to provide an access control apparatus and an access control method capable of preventing resource access to an illegal user and preventing malfunction due to an immaturity of an operator. Is in.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 접근제어 장치는, 사용자로부터 장치제어 메세지를 입력받는 데이터베이스 엔진부; 상기 데이터베이스 엔진부로부터 전달받은 장치제어 메세지를 정형화된 포맷으로 변환하는 접근제어 연동부; 및 상기 접근제어 연동부에서 변환된 정형화된 포맷을 가지는 메세지에 대하여 접근 권한을 결정하는 접근제어부;를 포함한다.An access control apparatus according to an embodiment of the present invention for achieving the above object, the database engine unit for receiving a device control message from the user; An access control interworking unit converting the device control message received from the database engine unit into a standardized format; And an access control unit for determining an access right to a message having a standardized format converted by the access control interworking unit.

그리고 상기 데이터베이스 엔진부는, 상기 접근제어부에 의해 접근 권한이 인정된 경우, 상기 장치제어 메세지를 FEP(Front end processor)로 전달할 수 있다.When the access right is granted by the access control unit, the database engine unit may transmit the device control message to a front end processor (FEP).

또한 상기 접근제어부는, 정책설정 및 관리를 위한 PAP(Policy Administration Point); 권한 결정을 위한 PDP(Policy Decision Point); XACML(eXtensible Access Control Language) 컨텍스트 변환을 위한 컨텍스트 핸들러(Context Handler); 속성정보를 저장하는 PIP; 및 접근요구 및 응답의 송수신 에이전트 역할을 담당하기 위한 PEP를 포함할 수 있다.In addition, the access control unit, Policy Administration Point (PAP) for policy setting and management; Policy Decision Point (PDP) for authorization determination; A context handler for converting eXtensible Access Control Language (XACML) context; A PIP for storing attribute information; And a PEP for acting as a transmission / reception agent of an access request and a response.

그리고 접근 제어를 위한 속성 정보를 저장하는 PIP;를 더 포함하며, 상기 속성 정보는 접근주체, 접근대상 및 접근환경에 대한 정보일 수 있다And a PIP storing attribute information for access control, wherein the attribute information may be information about an access subject, an access target, and an access environment.

또한 상기 접근제어부는, 상기 PDP를 통해 접근요구에 대한 권한 검증을 수행하고, 그 결과를 XACML 접근응답 메세지에 포함하여 상기 컨텍스트 핸들러에서 메세지 변환 작업을 수행한 후, 결정된 최종 접근 권한 여부를 상기 PEP를 통해 상기 데이터베이스 엔진부;로 전달할 수 있다.In addition, the access control unit performs an authority verification for the access request through the PDP, and includes the result in the XACML access response message to perform a message conversion operation in the context handler, and then determine whether the determined final access authority is the PEP. Through the database engine unit; can be delivered to.

그리고 상기 접근제어부는, 상기 메세지의 접근 권한이 인정된 경우, 상기 데이터베이스 엔진부로 접근허용 메세지를 전송할 수 있다.The access control unit may transmit an access permission message to the database engine unit when the access authority of the message is granted.

한편 상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 접근제어 방법은 사용자로부터 장치제어 메세지를 입력받는 단계; 상기 입력받은 장치제어 메세지를 정형화된 포맷으로 변환하는 단계; 상기 변환된 정형화된 포맷을 가지는 메세지에 대하여 접근 권한을 결정하는 단계; 및 상기 메세지에 대한 접근 권한이 인정된 경우, 상기 메세지를 FEP(Front end processor)로 전달하는 단계;를 포함한다.On the other hand, an access control method according to an embodiment of the present invention for achieving the above object comprises the steps of receiving a device control message from the user; Converting the input device control message into a standardized format; Determining access rights to the message having the converted formatted format; And if the access right to the message is granted, forwarding the message to a front end processor (FEP).

그리고 상기 접근 권한을 결정하는 단계는, 접근요구에 대한 권한 검증을 수행하는 단계; 상기 검증 결과를 XACML 접근응답 메세지에 포함하여 메세지 변환 작업을 수행하는 단계; 및 최종 접근 권한 여부를 결정하는 단계;를 포함할 수 있다.
The determining of the access authority may include: performing authority verification on an access request; Performing a message conversion operation by including the verification result in an XACML access response message; And determining whether or not final access authority.

상기 구성에 따른 접근제어 장치 및 접근제어 방법에 의하면 불법적인 사용자에 대한 자원 접근을 방지함과 아울러 운영자의 미숙으로 인한 오작동을 방지할 수 있는 기술적 효과를 갖는다.
According to the access control device and the access control method according to the above configuration, it has a technical effect to prevent resource access to illegal users and to prevent malfunction due to immaturity of the operator.

도 1은 종래의 스카다 시스템의 구성을 나타내는 도면,
도 2는 접근 제어를 위한 XACML 컴포넌트 간의 데이터 흐름을 설명하기 위한 도면,
도 3은 본 발명의 일 실시예에 따른 접근제어 장치를 포함하는 시스템의 전체 구조를 나타내는 도면,
도 4는 본 발명의 일 실시예에 따른 접근제어 장치의 일구성인 접근제어부의 구성을 나타내는 도면,
도 5에서는 본 발명의 일 실시예에 따른 접근제어 장치의 동작을 설명하기 위한 도면, 그리고,
도 6은 본 발명의 일 실시예에 따른 접근제어 방법을 나타내는 흐름도이다.1 is a view showing the configuration of a conventional skada system,
2 is a view for explaining a data flow between XACML components for access control;
3 is a view showing the overall structure of a system including an access control device according to an embodiment of the present invention;
4 is a view showing a configuration of an access control unit which is one configuration of an access control apparatus according to an embodiment of the present invention;
5 is a view for explaining the operation of the access control device according to an embodiment of the present invention, and
6 is a flowchart illustrating an access control method according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It is to be understood, however, that the invention is not to be limited to the specific embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail.

본 발명의 구체적인 설명에 앞서 본 발명의 전제가 되는 XACML(eXtensible Access Control Language)에 대해서 설명하기로 한다. XACML(eXtensible Access Control Language)은 접근제어 정책을 이용해 리소스에 대한 미세한 접근을 제어할 수 있는 XML 기반의 언어이다. 이 정책에서의 리소스는 XML을 사용해 표현되는 어떠한 객체도 될 수 있으며, XACML은 XPath나 LDAP 등 다양한 프로토콜과 함께 바인딩하여 사용될 수 있다. XACML은 크게 서브젝트(subject), 리소스(resource), 액션(action)의 3가지 요소로 구성된다. 서브젝트(subject)는 접근 주체를 나타내며, 사용자의 ID나 그룹이 될 수 있다. 리소스(resource)는 서브젝트(subject)가 접근할 데이터를 의미하며, 액션(action)은 리소스(resource)에 대한 수행 가능한 동작으로 구성된다.Prior to the detailed description of the present invention will be described for eXtensible Access Control Language (XACML) that is a premise of the present invention. EXtensible Access Control Language (XACML) is an XML-based language that can control fine-grained access to resources using access control policies. Resources in this policy can be any object represented using XML, and XACML can be used in conjunction with various protocols such as XPath or LDAP. XACML consists of three main components: subject, resource, and action. A subject represents an access subject and may be an ID or a group of a user. A resource refers to data that a subject will access, and an action consists of an action that can be performed on the resource.

도 2는 접근 제어를 위한 XACML 컴포넌트 간의 데이터 흐름을 나타낸다. 먼저 입증된 접근요구 메세지를 PEP(Policy Enforcement Point)에게 전송한다. 이후 특정 도메인 기반의 접근요구 메세지를 속성정보를 참조해 결정 요청 메세지를 생성한 뒤, PDP(Policy Decision Point)에게 권한 결정을 요청한다. PDP는 정책 저장소의 접근제어 정책을 기반으로 권한을 전달한다. 이 결과에 따라 접근요구는 자원에 대한 접근허가 또는 접근거부로 동작하게 된다. 본 발명은 이와 같이 XACML을 이용해 접근제어를 수행한다.2 shows a data flow between XACML components for access control. First, a Proven Access Request message is sent to a Policy Enforcement Point (PEP). Thereafter, a decision request message is generated by referring to the attribute information of a specific domain-based access request message, and then an authorization decision is requested from a policy decision point (PDP). PDP transfers permissions based on the policy control's access control policy. As a result, the access request acts as a grant or deny access to the resource. The present invention performs access control using XACML.

도 3은 본 발명의 일 실시예에 따른 접근제어 장치를 포함하는 시스템의 전체 구조를 나타낸다. 접근제어 시스템은 도 3과 같이 접근제어 장치(100), 통신 모듈(200) 및 FEP(210)로 이루어진다. 3 shows the overall structure of a system including an access control device according to an embodiment of the present invention. The access control system includes an access control device 100, a communication module 200, and an FEP 210 as shown in FIG. 3.

접근제어 장치(100)는 데이터베이스 엔진부(110), 접근제어 연동부(120) 및 접근제어부(130)로 구성된다. 데이터베이스 엔진부(110)는 FEP(210)와 통신 모듈(200)을 이용해 데이터 통신을 수행하며 시스템이 동작하게 된다.The access control apparatus 100 includes a database engine unit 110, an access control interworking unit 120, and an access control unit 130. The database engine 110 performs data communication using the FEP 210 and the communication module 200, and the system operates.

접근제어 연동부(120)는 전송받은 제어 메세지로부터 사용자 권한 속성을 분석하여 접근제어부(130)의 PEP(미도시)와 통신하며 접근 요구/응답 메세지를 처리한다.The access control interworking unit 120 analyzes the user authority attribute from the received control message and communicates with the PEP (not shown) of the access control unit 130 and processes the access request / response message.

접근제어 연동부(120)는 스카다 시스템과 접근제어부(130)의 상호 연동을 목적으로 하는데, 이를 위해 기존 스카다의 동작방식에 맞는 기능구조를 가질 수 있다. 접근제어 연동부(120)는 스카다의 고유한 접근제어 요청을 하나의 정형화된 형태로 변환하여, XACML 서비스로 전달하는 기능을 수행한다. 따라서 접근제어 요구를 위한 통합적인 요청양식을 정의하고, 다양한 형태의 요청을 하나의 통합된 형태로 변환하는 과정을 수행한다. 이를 위해 접근제어 연동부(120)는 접근요청 정보 분석기능과 접근요구 및 응답 메세지의 변환기능을 갖는다.The access control interworking unit 120 is for the purpose of interworking between the Skada system and the access control unit 130, for this purpose may have a functional structure suitable for the operation method of the existing Skada. The access control interworking unit 120 converts the unique access control request of the SCADA into a standardized form and performs a function of delivering the XACML service. Therefore, it defines the integrated request form for the access control request and performs the process of converting various types of requests into one integrated form. For this purpose, the access control interworking unit 120 has an access request information analysis function and an access request and response message conversion function.

접근제어부(130)는 제어 메세지가 통신 모듈(200)에 전달되기 전에 사용자의 권한 여부를 도 2에서 설명한 접근제어 정책을 통해 검사한 후 그 결과를 반환한다. The access control unit 130 checks whether or not the user's authority through the access control policy described in FIG. 2 before returning the control message to the communication module 200 and returns the result.

접근제어부(130)는 FEP(210)를 통하여 RTU(미도시)에게 제어 명령이 전달되기 전에 사용자에 대한 접근 권한을 검증하는 기능을 갖는다. 접근제어부(130)는 접근 제어정책을 기반으로 하여 권한을 검증하는 역할을 수행하며, 다양한 응용이나 환경에 적용하기 위한 서비스 인터페이스를 제공하고 있어 스카다 네트워크 환경에 맞는 접근제어 관리를 할 수 있다. 이러한 접근제어부(130)의 구성을 도 4에 더욱 상세히 도시하였다.The access control unit 130 has a function of verifying an access right for the user before the control command is transmitted to the RTU (not shown) through the FEP 210. The access control unit 130 performs the role of verifying the authority based on the access control policy, and provides a service interface for applying to various applications or environments, so that access control management suitable for the SCADA network environment can be performed. The configuration of the access control unit 130 is shown in more detail in FIG.

접근제어부(130)는 도 4에 도시된 바와 같이 PAP(Policy Administration Point, 139), PDP(Policy Decision Point, 135), XACML(eXtensible Access Control Language) 컨텍스트 변환을 위한 컨텍스트 핸들러(Context Handler, 133), 속성정보를 관리하기 위한 PIP(137) 및 접근요구 및 응답의 송수신 에이전트 역할을 담당하기 위한 PEP(131)를 포함한다.As illustrated in FIG. 4, the access control unit 130 may be configured as a context handler for converting a PAP (Policy Administration Point) 139, a PDP (Policy Decision Point, 135), and an XACML (eXtensible Access Control Language) context. It includes a PIP (137) for managing attribute information and a PEP (131) for the role of the transmission and reception agent of the access request and response.

PAP(139)는 정책설정 및 관리 기능을 가지며, PDP(137)는 권한 결정 기능을 갖고, 컨텍스트 핸들러(133)는 XACML 컨텍스트 변환 기능을 가진다. 또한 PIP(137)는 속성 정보를 관리하며, PEP(131)는 접근 요구 및 응답의 송수신 에이전트 역할을 담당한다.The PAP 139 has a policy setting and management function, the PDP 137 has a permission decision function, and the context handler 133 has a XACML context conversion function. In addition, the PIP 137 manages the attribute information, and the PEP 131 serves as a transmission / reception agent for access requests and responses.

도 5에서는 본 발명의 일 실시예에 따른 접근제어 장치의 동작을 설명하기 위한 도면이다.5 is a view for explaining the operation of the access control apparatus according to an embodiment of the present invention.

접근제어를 위한 주요 컴포넌트로는 HMI에서 발생된 제어 메세지를 전달하는 데이터베이스 엔진부(110), 접근제어부(130)와의 통합적인 연동을 위한 접근제어 연동부(120), 접근 권한에 대한 결정을 수행하는 접근제어부(130), 접근 제어를 위한 속성정보를 저장하는 속성정보 저장부(140), 마지막으로 접근하려하는 객체인 FEP(210)로 구성된다.The main components for access control include the database engine unit 110 for transmitting control messages generated by the HMI, the access control interlocking unit 120 for integrated interworking with the access control unit 130, and determining access authority. It consists of an access control unit 130, an attribute information storage unit 140 for storing the attribute information for access control, and finally the FEP 210, which is the object to be accessed.

도 5에서는 각 컴포넌트 사이를 오가는 메세지의 흐름을 통해 그 동작을 설명하기로 한다. 사용자에 의해 전달되는 장치제어 메세지는 데이터베이스 엔진부(110)에 전달되고, 이는 다시 접근제어 연동부(120)에 전달되어 접근제어부(130)와 통신을 위해 정형화된 포맷으로 변환된다.In FIG. 5, an operation thereof will be described through a flow of messages between components. The device control message transmitted by the user is transmitted to the database engine unit 110, which is in turn transferred to the access control interworking unit 120 and converted into a standardized format for communication with the access control unit 130.

그후 정형화된 형식을 가지는 접근요구 메세지는 접근제어부(130)의 에이전트 역할을 담당하는, PEP(131)로 전달되고, 접근제어부(130)는 접근요구 메세지의 내용을 기반으로 XACML 접근요구 문서를 생성하기 위해 속성정보를 속성정보 저장부(140)로부터 가져온다. 여기서 속성정보는 접근주체, 접근대상인 FEP, 접근제어를 위한 접근환경정보 등을 포함한다.Thereafter, the access request message having a formalized form is transferred to the PEP 131, which plays an agent role of the access control unit 130, and the access control unit 130 generates an XACML access request document based on the contents of the access request message. In order to obtain the attribute information from the attribute information storage unit 140. Here, the attribute information includes the access subject, the access target FEP, and access environment information for access control.

접근제어부(130)의 PDP(135)는 접근 요구에 대한 권한 검증을 수행하며 이에 대한 결과는 XACML 접근 응답 메세지에 포함되어 컨텍스트 핸들러(133)의 도메인 기반의 메세지 변환 작업을 수행한 후, PEP(131)를 거쳐 데이터베이스 엔진부(110)로 최종 접근 권한 결과를 전달함으로써 접근 제어에 대한 트랜젝션이 종료된다.The PDP 135 of the access control unit 130 performs authority verification for the access request, and the result thereof is included in the XACML access response message to perform domain-based message conversion of the context handler 133, and then PEP ( The transaction for the access control is terminated by transmitting the final access right result to the database engine unit 110 through 131.

접근이 허용된 경우에는 제어 메제시를 해당 FEP(210)로 전달하며, 허용되지 않은 경우에는 제어 메세지에 대한 트랜젝션을 종료하고 그 사용자는 해당 장치의 제어가 불가능해진다.If the access is allowed, the control message is transmitted to the corresponding FEP 210. If the access is not allowed, the transaction for the control message is terminated and the user cannot control the device.

이와 같은 구성을 통해 접근 권한이 없는 불법적인 사용자에 대한 자원 접근을 방지함과 아울러 운영자의 미숙으로 인한 오작동을 방지할 수 있는 기술적 효과를 갖는다.Such a configuration has a technical effect to prevent resource access to illegal users who do not have access rights and to prevent malfunction due to immaturity of the operator.

한편 본 발명에서는 스카다 네트워크 환경이 적합한 접근제어 정책을 RBAC(Role Based Access Control) 모델을 기반으로 설계됨이 바람직하다.Meanwhile, in the present invention, it is preferable that the SCADA network environment is designed based on an RBAC (Role Based Access Control) model.

아래 표 1은 Policy의 타켓(target)에 포함되는 정보를 나타낸다.Table 1 below shows the information included in the target of the policy.

Subject(role)Subject (role) Resource(resourece type)Resource (resourece type) Action(service type)Action (service type) administratoradministrator anyany controlcontrol managermanager anyany db changedb change

Subject는 사용자의 역할을 적용하고 Resource는 FEP의 타입을 적용한다. 그리고 Action은 FEP에 대한 제어 서비스의 타입을 적용한다. Policy의 타겟(target)에 대한 조건이 만족되면 Rule의 타겟에 대한 검사를 수행한다.Subject applies user's role and Resource applies FEP type. And Action applies the type of control service for FEP. If the condition of the policy target is satisfied, the rule target is checked.

표 2는 Rule의 타겟에 포함되는 정보를 나타낸다.Table 2 shows information included in the target of the rule.

Subject(id)Subject (id) Resource(name)Resource (name) Action(name)Action (name) 212206212206 FEP1FEP1 FEP ReloadFEP Reload 212207212207 FEP2FEP2 FEP SwitchFEP Switch

Subject는 사용자의 ID를 적용하며, Resource는 FEP의 이름(name), Action은 FEP에 대한 제어명령 이름을 포함한다. Rule의 타겟 조건이 만족되면 Condition이 수행된다.Subject applies user's ID, Resource includes FEP name and Action includes control command name for FEP. Condition is executed when target condition of Rule is satisfied.

Condition은 다양한 접근제어를 위한 연산을 제공하며 본 논문에서는 접근 허용 시간에 대한 검사를 수행하도록 설정하였다. 표 3은 Condition에서의 접근 허용 시간에 대한 설정을 나타낸다.Condition provides a variety of operations for access control. In this paper, we set up to check the access time. Table 3 shows the settings for allowable time in Condition.

ApplyApply Access TimeAccess time Until TimeUntil Time 12:00:0012:00:00 After TimeAfter Time 18:00:0018:00:00

접근 권한에 대한 결과는 접근제어 정책에 대한 접근 요구의 타당성을 검증하여 결정한다. XACML 접근 요구 메세지는 사용자에 대한 접근 요구를 XACML로 표현한 것이며, XACML Context 스키마에서 정의한 형식을 따른다. XACML 접근 요구 메세지를 구성하는 요소는 표 4에서와 같이 Subject, Resource, Action, Environment이며, 각 요소들은 XACML 정책 문서의 Policy 타겟과 Rule 타겟에서 권한 검증을 위해 사용된다. The result of the access authority is determined by verifying the validity of the access request for the access control policy. XACML access request message expresses access request to user in XACML and follows format defined in XACML Context schema. The elements that compose XACML access request message are Subject, Resource, Action, Environment as shown in Table 4, and each element is used for authorization verification in Policy target and Rule target of XACML policy document.

SubjectSubject ResourceResource ActionAction Env.Env. role(policy)role (policy) type(policy)type (policy) service type(policy)service type (policy) cur. time(condition)cur. time (condition) id(rule)id (rule) name(rule)name (rule) name(rule)name (rule) xx

subject는 Policy에서 적용되는 Role과 Rule에서 적용되는 FEP의 이름(name)을 포함한다. 그리고 Action은 Policy에서 적용되는 제어 서비스의 Type과 Rule에서 적용되는 제어 명령의 이름(name)을 포함한다.subject contains the Role applied in the Policy and the name of the FEP applied in the Rule. And Action includes type of control service applied in policy and name of control command applied in rule.

Environment는 접근시간이 접근허용 시간의 범위에 포함되는지를 검사하기 위해 접근 시간(current time)에 대한 정보를 포함한다.The environment contains information about the current time to check whether the access time falls within the range of allowed access time.

마지막으로 도 6은 본 발명의 일 실시예에 따른 접근제어 방법을 단계별로 나타낸 흐름도이다.6 is a flowchart illustrating step by step an access control method according to an embodiment of the present invention.

사용자로부터 장치제어 메세지를 입력받는다(S300). 이후 입력된 장치제어 메세지는 정형화된 포멧으로 변환된다(S310). 이와 관련해서는 상술한 바와 같다.The device control message is input from the user (S300). Thereafter, the input device control message is converted into a standardized format (S310). In this regard, it is as described above.

다음으로 정형화된 포맷으로 변환된 장치제어 메세지에 대한 접근권한이 결정된다(S320). 장치제어 메세지가 접근권한이 있는지 없는지를 결정하고, 접근권한이 인정된다면(S330-Yes), 메세지를 FEP로 전달한다(S340). 반면 접근권한이 인정되지 않는다면(S330-No), 메세지를 FEP로 전달하지 않는다(S350). 각 단계와 관련한 상세 동작은 위에서 설명한 바와 동일하기에 중복 설명은 생략하기로 한다.Next, the access right to the device control message converted to the standardized format is determined (S320). The device control message determines whether there is an access right or not, and if the access right is recognized (S330-Yes), the message is transmitted to the FEP (S340). On the other hand, if the access permission is not recognized (S330-No), do not transmit the message to the FEP (S350). Detailed operations associated with each step are the same as described above, and thus redundant descriptions thereof will be omitted.

이와 같은 구성을 통해 접근 권한이 없는 불법적인 사용자에 대한 자원 접근을 방지함과 아울러 운영자의 미숙으로 인한 오작동을 방지할 수 있는 기술적 효과를 갖는다.Such a configuration has a technical effect to prevent resource access to illegal users who do not have access rights and to prevent malfunction due to immaturity of the operator.

상기한 바에서, 다양한 실시예에서 설명한 각 구성요소 및/또는 기능은 서로 복합적으로 결합하여 구현될 수 있으며, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
In the foregoing description, each component and / or function described in various embodiments may be implemented in combination with each other, and those skilled in the art may recognize the present invention described in the claims below. It will be understood that various modifications and variations can be made in the present invention without departing from the spirit and scope.

100.......................................접근제어 장치
110.......................................데이터베이스 엔진부
120.......................................접근제어 연동부
130.......................................접근제어부
200.......................................통신 모듈
210.......................................FEP100 ...................................... Access Control Unit
110 ............. Database engine part
120 ............................ Access control linkage
130 ...................................... Access Control Unit
200 ....................... Communication module
210 ......................... FEP

Claims (8)

사용자로부터 장치제어 메세지를 입력받는 데이터베이스 엔진부;
상기 데이터베이스 엔진부로부터 전달받은 장치제어 메세지를 정형화된 포맷으로 변환하는 접근제어 연동부; 및
상기 접근제어 연동부에서 변환된 정형화된 포맷을 가지는 메세지에 대하여 접근 권한을 결정하는 접근제어부를 포함하고, 상기 접근제어 연동부는, 접근제어 요구를 위한 통합적인 요청양식을 정의하고, 다양한 형태의 요청을 하나의 통합된 형태로 변환하고, 상기 접근제어부는,
정책설정 및 관리를 위한 PAP(Policy Administration Point);
권한 결정을 위한 PDP(Policy Decision Point);
XACML(eXtensible Access Control Language) 컨텍스트 변환을 위한 컨텍스트 핸들러(Context Handler);
속성정보를 저장하는 PIP; 및
접근요구 및 응답의 송수신 에이전트 역할을 담당하기 위한 PEP를 포함하는 접근제어 장치.A database engine unit for receiving a device control message from a user;
An access control interworking unit converting the device control message received from the database engine unit into a standardized format; And
The access control interworking unit includes an access control unit for determining an access authority for a message having a standardized format converted by the access control interlocking unit, the access control interlocking unit, defines an integrated request form for the access control request, request of various types Convert into a single integrated form, the access control unit,
Policy Administration Point (PAP) for policy setting and management;
Policy Decision Point (PDP) for authorization determination;
A context handler for converting eXtensible Access Control Language (XACML) context;
A PIP for storing attribute information; And
Access control device including a PEP for acting as a transmission and reception agent of the access request and response. 제 1항에 있어서,
상기 데이터베이스 엔진부는,
상기 접근제어부에 의해 접근 권한이 인정된 경우, 상기 장치제어 메세지를 FEP(Front end processor)로 전달하는 것을 특징으로 하는 접근제어 장치.The method of claim 1,
The database engine unit,
And when the access right is granted by the access control unit, transmitting the device control message to a front end processor (FEP). 삭제delete 제 1항에 있어서,
상기 속성 정보는 접근주체, 접근대상 및 접근환경에 대한 정보인 것을 특징으로 하는 접근제어 장치.The method of claim 1,
The attribute information is an access control device, characterized in that the information about the access subject, the access target and the access environment. 제 1항에 있어서,
상기 접근제어부는,
상기 PDP를 통해 접근요구에 대한 권한 검증을 수행하고,
그 결과를 XACML 접근응답 메세지에 포함하여 상기 컨텍스트 핸들러에서 메세지 변환 작업을 수행한 후, 결정된 최종 접근 권한 여부를 상기 PEP를 통해 상기 데이터베이스 엔진부;로 전달하는 것을 특징으로 하는 접근제어 장치.The method of claim 1,
The access control unit,
The authority verification for the access request is performed through the PDP,
And including the result in the XACML access response message and performing a message conversion operation in the context handler, and then transmitting the determined final access authority to the database engine unit through the PEP. 제 1항에 있어서,
상기 접근제어부는,
상기 메세지의 접근 권한이 인정된 경우, 상기 데이터베이스 엔진부로 접근허용 메세지를 전송하는 것을 특징으로 하는 접근제어 장치.The method of claim 1,
The access control unit,
And when the access right of the message is granted, transmitting the access permission message to the database engine unit. 삭제delete 삭제delete
KR1020110114959A 2011-11-07 2011-11-07 Access control apparatus and access controlling method in scada system Active KR101288233B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110114959A KR101288233B1 (en) 2011-11-07 2011-11-07 Access control apparatus and access controlling method in scada system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110114959A KR101288233B1 (en) 2011-11-07 2011-11-07 Access control apparatus and access controlling method in scada system

Publications (2)

Publication Number Publication Date
KR20130049911A KR20130049911A (en) 2013-05-15
KR101288233B1 true KR101288233B1 (en) 2013-07-26

Family

ID=48660468

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110114959A Active KR101288233B1 (en) 2011-11-07 2011-11-07 Access control apparatus and access controlling method in scada system

Country Status (1)

Country Link
KR (1) KR101288233B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210006199A (en) 2019-07-08 2021-01-18 장영배 Power facility system with security function and method for controlling power the same

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019109210A1 (en) * 2017-12-04 2019-06-13 Telefonaktiebolaget Lm Ericsson (Publ) Network management device and centralized authorization server for netconf

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060206442A1 (en) * 2005-03-08 2006-09-14 Rockwell Automation Technologies, Inc. Systems and methods for managing control systems through java extensions
KR20070061555A (en) * 2004-09-30 2007-06-13 사이트릭스 시스템스, 인크. Method and apparatus for assigning access control levels in providing access to networked content files

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070061555A (en) * 2004-09-30 2007-06-13 사이트릭스 시스템스, 인크. Method and apparatus for assigning access control levels in providing access to networked content files
US20060206442A1 (en) * 2005-03-08 2006-09-14 Rockwell Automation Technologies, Inc. Systems and methods for managing control systems through java extensions

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
"Access Policy Specification for SCADA Networks" http://waset.org/journals/waset/v66/v66-161.pdf *
"Access Policy Specification for SCADA Networks" http://waset.org/journals/waset/v66/v66-161.pdf*
"Security Information Architecture for Automation and Control Networks" EDUARDO FEITOSA 외6인, http://sbseg2008.inf.ufrgs.br/anais/data/pdf/st01_02_artigo.pdf *
"Security Information Architecture for Automation and Control Networks" EDUARDO FEITOSA 외6인, http://sbseg2008.inf.ufrgs.br/anais/data/pdf/st01_02_artigo.pdf*

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210006199A (en) 2019-07-08 2021-01-18 장영배 Power facility system with security function and method for controlling power the same

Also Published As

Publication number Publication date
KR20130049911A (en) 2013-05-15

Similar Documents

Publication Publication Date Title
US11658966B2 (en) Personnel profiles and fingerprint authentication for configuration engineering and runtime applications
EP2620893B1 (en) Role-based access control permissions
Hatakeyama et al. Zero trust federation: Sharing context under user control towards zero trust in identity federation
CN201479143U (en) Intranet safety management system
EP3042487B1 (en) Secured mobile communications device
US11165569B2 (en) Method and device for securely operating a field device
CN108966216B (en) A mobile communication method and system applied to distribution network
CN1863195B (en) Home network system and method with secure registration function
KR20140148441A (en) System and method for automatic provisioning of managed devices
CN107257337A (en) A kind of shared authority control method of multiterminal and its system
CN115801472A (en) Authority management method and system based on authentication gateway
US11490176B2 (en) Selective delivery state change of valve of remote metering device
KR101288233B1 (en) Access control apparatus and access controlling method in scada system
Braband What's Security Level got to do with Safety Integrity Level?
CN103310138B (en) account management device and method
KR101408276B1 (en) Security system and method of portable device control with rights management policy in based
JP2011221846A (en) Access monitoring device, access monitoring method and program thereof
CN101730100B (en) Supervisory method and supervisory entity of authorization service of identify providing entity
KR20190026394A (en) METHOD FOR ACCESS CONTROL BETWEEN IoT TERMINALS
KR100777537B1 (en) Platform system and integrated management method for integrated management of distributed network system
KR102001996B1 (en) System for managing access control based on agent
KR101400709B1 (en) System and method for the terminal service access control in a cloud computing environment
KR100872515B1 (en) Home network security system and method using remote management server
CN121128137A (en) Sovereign Cloud
TWI676912B (en) Programming interface safety protection and real-time format transform system and method

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20111107

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20121207

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20130705

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20130715

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20130715

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20160701

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20170703

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20180702

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20180702

Start annual number: 6

End annual number: 6

FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 7

PR1001 Payment of annual fee

Payment date: 20190701

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20210712

Start annual number: 9

End annual number: 9

PR1001 Payment of annual fee

Payment date: 20220622

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20230627

Start annual number: 11

End annual number: 11

PR1001 Payment of annual fee

Payment date: 20240624

Start annual number: 12

End annual number: 12