[go: up one dir, main page]

KR102263391B1 - 보호협조를 위한 배전 지능화용 보안 장치 - Google Patents

보호협조를 위한 배전 지능화용 보안 장치 Download PDF

Info

Publication number
KR102263391B1
KR102263391B1 KR1020190173749A KR20190173749A KR102263391B1 KR 102263391 B1 KR102263391 B1 KR 102263391B1 KR 1020190173749 A KR1020190173749 A KR 1020190173749A KR 20190173749 A KR20190173749 A KR 20190173749A KR 102263391 B1 KR102263391 B1 KR 102263391B1
Authority
KR
South Korea
Prior art keywords
intelligent distribution
protection cooperation
terminal device
protection
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020190173749A
Other languages
English (en)
Inventor
김홍산
김용삼
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020190173749A priority Critical patent/KR102263391B1/ko
Application granted granted Critical
Publication of KR102263391B1 publication Critical patent/KR102263391B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J3/00Circuit arrangements for AC mains or AC distribution networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

실시예에 따르면, 배전 지능화용 단말장치에 설치되어 타 배전 지능화용 단말장치에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달하는 보호 협조 라우터; 외부의 보호 협조 메시지를 수신하는 보호 협조 리시버; 상기 보호 협조 라우터로부터 전달받은 보호 협조 메시지를 외부로 송신하는 보호 협조 센더; CA인증서, 디바이스 인증서 및 세션 키를 저장하는 사용자 식별 모듈을 포함하는 것을 특징으로 하는 보호협조를 위한 배전 지능화용 보안 장치를 제공한다.

Description

보호협조를 위한 배전 지능화용 보안 장치{Power distribution security device for protection coordination}
본 발명의 일실시예는 보호협조를 위한 배전 지능화용 보안 장치에 관한 것이다.
배전 지능화 시스템은 배전선로를 종합적으로 감시하여 전력공급신뢰도를 향상시키기 위한 시스템이다. 배전 지능화 시스템은 배전선로에 설치되어 있는 다양한 개폐장치 및 배전설비의 현장 정보들을 배전 지능화용 단말 장치를 통해 감시 및 계측하여 실시간으로 주장치에 제공할 수 있다.
배전 지능화 시스템은 주장치, 통신장치, 단말 장치, 개폐장치를 포함하여 구성될 수 있다. 배전 지능화용 단말 장치는 배전선로에 흐르는 전류 및 전압을 계측하고 배전선로 사고 시 상태를 감지하여 주장치로 전송하거나, 주장치로부터 수신한 명령에 따라 개폐 장치의 제어 기능 등을 수행할 수 있다.
이러한 배전 지능화 시스템은 전력망의 운영이 점차 ICT화 됨에 따라, 각종 IoT 장비 등 통신 장치의 증가가 요구되고 있다. 그러나, 현재 배전선로에 설치된 단말 장치는 각종 계측 및 제어 명령어에 대한 데이터를 평문 메시지 형태로 통신하고 있어 보안이 매우 취약한 실정이다.
본 발명이 이루고자 하는 기술적 과제는 보안에 취약한 배전 지능화 시스템의 통신 구간에서 데이터 보안성 및 신뢰성을 확보할 수 있는 보호협조를 위한 배전 지능화용 보안 장치를 제공하는데 있다.
또한, 국가표준 암호화 알고리즘 준수에 따른 호환성을 확보할 수 있는 보호협조를 위한 배전 지능화용 보안 장치를 제공하는데 있다.
실시예에 따르면, 배전 지능화용 단말장치에 설치되어 타 배전 지능화용 단말장치에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달하는 보호 협조 라우터; 외부의 보호 협조 메시지를 수신하는 보호 협조 리시버; 상기 보호 협조 라우터로부터 전달받은 보호 협조 메시지를 외부로 송신하는 보호 협조 센더; CA인증서, 디바이스 인증서 및 세션 키를 저장하는 사용자 식별 모듈을 포함하는 것을 특징으로 하는 배전 지능화용 보안 장치를 제공한다.
상기 보호협조 센더는 DTLS통신을 이용하여 타 배전 지능화용 단말장치로 보호 협조 메시지를 전송할 수 있다.
상기 보호 협조 센더는 상기 보호 협조 라우터로부터 보호 협조 메시지를 전달받는 UDP 서버 및 보호 협조 메시지를 타 배전 지능화용 단말장치로 전송하는 DTLS 클라이언트를 포함할 수 있다.
상기 보호 협조 리시버는 DTLS통신을 이용하여 타 배전 지능화용 단말장치로부터 보호 협조 메시지를 전송받을 수 있다.
상기 보호 협조 리시버는 타 배전 지능화용 단말장치로부터 보호 협조 메시지를 전달받는 DTLS 서버 및 보호 협조 메시지를 상기 보호 협조 라우터로 전달하는 UDP 클라이언트를 포함할 수 있다.
상기 보호 협조 라우터는 시리얼 통신 및 UDP 통신 연결을 초기화하여 연결을 수행하는 시리얼 라우터; 상기 보호 협조 센더와 UDP 통신을 수행하여 보호 협조 메시지를 상기 보호 협조 센더로 전달하는 보호협조 S-라우터 및 상기 보호 협조 리시버와 UDP 통신을 수행하여 보호 협조 메시지를 배전 지능화용 단말 장치로 전달하는 보호협조 R-라우터를 포함할 수 있다.
실싱예에 따르면CA(Certificate Authority) 인증서, 디바이스 인증서 및 세션 키를 저장하는 사용자 식별 모듈; 배전 지능화용 단말 장치에서 수신된 DNP(Distributed Network Protocol) 데이터를 암호화 하고, 주장치로부터 수신한 암호문 데이터를 평문 DNP데이터로 복호화하는 암복호 모듈; 상기 CA인증서, 디바이스 인증서 및 세션 키를 이용하여 상기 주장치와 TLS(Transport Layer Security) 프로토콜에 따라 데이터 통신을 수행하며, 상기 암복호 모듈에서 암호화 된 데이터를 상기 주장치로 전송하고 상기 주장치로부터 수신한 암호문 데이터를 수신하는 통신모듈; 배전 지능화용 단말장치에 설치되어 타 배전 지능화용 단말장치에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달하는 보호 협조 라우터; 외부의 보호 협조 메시지를 수신하는 보호 협조 리시버; 및 상기 보호 협조 라우터로부터 전달받은 보호 협조 메시지를 외부로 송신하는 보호 협조 센더를 포함하는 배전 지능화용 보안 장치를 제공한다.
본 발명인 보호협조를 위한 배전 지능화용 보안 장치는 보안에 취약한 배전 지능화 시스템의 통신 구간에서 데이터 보안성 및 신뢰성을 확보할 수 있다.
또한, 국가표준 암호화 알고리즘 준수에 따른 호환성을 확보할 수 있다.
도1은 실시예에 따른 배전 지능화 시스템의 개념도이다.
도2는 실시예에 따른 배전 지능화용 보안 장치의 구성 블록도이다.
도3 은 실시예에 따른 배전 지능화 시스템 보안 서비스 제공 방법의 순서도이다.
도4는 실시예에 따른 자가 테스트 동작을 설명하기 위한 도면이다.
도5는 실시예에 따른 사용자 인증 과정을 설명하기 위한 도면이다.
도6 및 도7은 실시예에 따른 세션 값 검증 과정을 설명하기 위한 도면이다.
도8은 실시예에 따른 암복호 서비스 과정을 설명하기 위한 도면이다.
도9는 실시에에 따른 전자서명 및 전자서명 검증 과정을 설명하기 위한 도면이다.
도 10은 실시예에 따른 배전 지능화용 보안 장치의 동작을 설명하기 위한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.
다만, 본 발명의 기술 사상은 설명되는 일부 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있고, 본 발명의 기술 사상 범위 내에서라면, 실시 예들간 그 구성 요소들 중 하나 이상을 선택적으로 결합, 치환하여 사용할 수 있다.
또한, 본 발명의 실시예에서 사용되는 용어(기술 및 과학적 용어를 포함)는, 명백하게 특별히 정의되어 기술되지 않는 한, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 일반적으로 이해될 수 있는 의미로 해석될 수 있으며, 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미를 고려하여 그 의미를 해석할 수 있을 것이다.
또한, 본 발명의 실시예에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다.
본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함할 수 있고, "A 및(와) B, C 중 적어도 하나(또는 한 개 이상)"로 기재되는 경우 A, B, C로 조합할 수 있는 모든 조합 중 하나 이상을 포함할 수 있다.
또한, 본 발명의 실시 예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다.
이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등으로 한정되지 않는다.
그리고, 어떤 구성 요소가 다른 구성요소에 '연결', '결합' 또는 '접속'된다고 기재된 경우, 그 구성 요소는 그 다른 구성 요소에 직접적으로 연결, 결합 또는 접속되는 경우뿐만 아니라, 그 구성 요소와 그 다른 구성 요소 사이에 있는 또 다른 구성 요소로 인해 '연결', '결합' 또는 '접속' 되는 경우도 포함할 수 있다.
또한, 각 구성 요소의 "상(위) 또는 하(아래)"에 형성 또는 배치되는 것으로 기재되는 경우, 상(위) 또는 하(아래)는 두 개의 구성 요소들이 서로 직접 접촉되는 경우뿐만 아니라 하나 이상의 또 다른 구성 요소가 두 개의 구성 요소들 사이에 형성 또는 배치되는 경우도 포함한다. 또한, "상(위) 또는 하(아래)"으로 표현되는 경우 하나의 구성 요소를 기준으로 위쪽 방향뿐만 아니라 아래쪽 방향의 의미도 포함할 수 있다.
이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도1은 실시예에 따른 배전 지능화 시스템의 개념도이고, 도2는 실시예에 따른 배전 지능화용 보안 장치의 구성 블록도이다. 도1 및 도2를 참조하면, 배전 지능화 시스템(1)은 배전선로에 설치되는 개폐기(10), 배전 지능화용 단말 장치(20)와 운영실에서 배전 지능화 기기를 원격 감시 제어하기 위한 주 장치(30)로 구성될 수 있다. 배전 지능화 시스템(1)은 주 장치(30)와 통신장치(미도시)간의 데이터 통신에 의해 현장에 설치된 배전 지능화용 단말 장치(20)로부터 배전선로의 각종 데이터를 취득하고 이를 이용하여 배전계통을 감시 관리할 수 있다.
배전 지능화 단말 장치(20)는 데이터 계측 및 배전 지능화 시스템(1)의 주 장치(30)로의 데이터 전송 기능과 이벤트 발생시 보고 기능, 그리고 개폐기(10)의 개폐 감지기능 및 제어기능을 수행할 수 있다. 배전 지능화 단말 장치(20)로부터 수집된 데이터는 단말측 통신장치(미도시)와 주 장치측 통신장치(미도시)를 거쳐 주 장치(30)로 전송될 수 있다.
실시예에 따른 배전 지능화용 보안 장치(100)는 사용자 식별 모듈(110), 암복호 모듈 (120), 통신 모듈(130), 보호 협조 라우터(140), 보호 협조 센더(150) 및 보호 협조 리시버(160)를 포함할 수 있다.
실시예에 따른 배전 지능화용 보안 장치(100)는 배전 지능화용 단말장치(20)에 설치되어 주 장치(30), 타 배전 지능화용 단말장치와 데이터 통신을 수행할 수 있다.
사용자 식별 모듈(SIM, Subscriber Identification Module)(110)은 CA(Certificate Authority) 인증서, 디바이스 인증서 및 세션 키를 저장할 수 있다.
사용자 식별 모듈(110)은 통신 모듈(130)의 동작 상태에 따라 CA 인증서, 디바이스 인증서 및 세션 키의 사용을 위한 별도의 저장공간을 구비할 수 있다. 사용자 식별 모듈(110)은 보안 장치 내 칩(chip) 형태의 저장공간으로 상호 인증을 위해 발급된 CA 인증서, 디바이스 인증서 및 세션 키를 저장할 수 있다. 사용자 식별 모듈(110)은 보안 장치(100) 구동 시 저장된 CA 인증서, 디바이스 인증서 및 세션 키 객체를 취득하여 보안 장치(100)의 공유 메모리(Shared memory)에 암호화 하여 저장할 수 있다.
사용자 식별 모듈(110)은 보안 장치(100)가 구동되면 칩에 저장되어 있는 CA 인증서, 디바이스 인증서 및 세션 키 객체를 취득하며, 공유 메모리를 생성한 후 단말 장치 (20)또는 주 장치(30)가 CA 인증서, 디바이스 인증서 및 세션 키에 접근할 수 있도록 암호화 하여 저장할 수 있다. 사용자 식별 모듈(110)은 다양한 라이브러리를 이용하여 CA 인증서, 디바이스 인증서 및 세션 키 객체의 저장, 조회, 삭제, 변경 등의 기능을 제공할 수 있다.
암복호 모듈(120) 배전 지능화용 단말 장치(20)에서 수신된 평문 DNP(Distributed Network Protocol) 데이터를 암호화 하고, 주 장치(30)로부터 수신한 암호문 데이터를 평문 DNP 데이터로 복호화할 수 있다.
암복호 모듈(120)은 세션 키를 이용하여 평문 DNP데이터를 암호화할 수 있다.
암복호 모듈(120)은 세션 키를 이용하여 암호문 데이터를 평문 DNP데이터로 복호화할 수 있다.
암복호 모듈(120)은 암호화 또는 복호화 과정에서 한국 암호 모듈 검증 제도(KCMVP) 인증을 거친 라이브러리 형태의 ARIA(Academy, Research Institute, Agency)암호 알고리즘을 적용할 수 있다.
암복호 모듈(120)은 세션 키를 이용하여 주 장치 또는 단말 장치로부터 수신한 전자서명 요청 또는 전자서명 검증 요청을 처리할 수 있다.
암복호 모듈(120)은 통신 모듈(130)의 동작 상태에 따라 대칭키 연산, 비대칭키 연산, HMAC(Hash-based Message Authentication Code), 해시(HASH) 연산 등을 수행할 수 있다.
암복호 모듈(120)은 ARIA(Academy, Research Institute, Agency)알고리즘 및 LEA(Lightweight Encryption Algorithm)알고리즘의 ECB(electronic codebook), CBC(cipher-block chaining), CTR(Counter), CCM (Counter with CBC-MAC), GCM(Galois/Counter mode)모드와, 노패딩(NoPadding) ARIA 및 LEA알고리즘의 ECB, CBC모드를 이용한 암호화, 키주입 매커니즘과 전자서명 및 검증을 위한 매커니즘을 수행할 수 있다.
암복호 모듈(120)은 기존 암호화 되지 않은 데이터를 암복호화 하는 모듈로, 단말 장치(20)로부터 수신한 평문 DNP 데이터를 암호할 수 있다. 암호화 된 데이터는 통신 모듈(130)의 TLS(Transport Layer Security)프로토콜 처리부(133)를 거쳐 변환 후 주 장치(30)로 송신될 수 있다.
또한, 암복호 모듈(120)은 주 장치(30)부터 수신한 암호화 데이터를 복호할 수 있다. 복호화 된 데이터는 TCP(Transmission Control Protocol)프로토콜 처리부(131)를 거쳐 변환 후 단말 장치(20)로 송신될 수 있다.
암복호 모듈(120)은 이를 위하여 암복호화를 수행하기 위한 대칭키 알고리즘(ARIA, HMAC), 비대칭키 알고리즘(RSA: Rivet, Shamir, Adelman), 해시 알고리즘, 난수발생기 알고리즘 등을 지원할 수 있다.
통신 모듈(130)은 CA인증서, 디바이스 인증서 및 세션 키를 이용하여 주 장치와 TLS프로토콜에 따라 데이터 통신을 수행하며, 암복호 모듈(120)에서 암호화 된 데이터를 주 장치(30)로 전송하고 주 장치(30)로부터 수신한 암호문 데이터를 수신할 수 있다.
통신 모듈(130)은 사용자 식별 모듈(110)에 저장되어 있는 CA인증서 및 디바이스 인증서를 검증하여 세션 키를 생성하여 주 장치(30)에 전송할 수 있다.
통신 모듈(130)은 단말 장치(20) 또는 주 장치(30)로부터 크리티컬 메시지를 수신하면 재확인 요청 메시지를 전송할 수 있다.
통신 모듈(130)은 단말 장치(20) 및 주 장치(30)와의 데이터 통신을 수행하기 위하여, 송수신되는 메시지에 대하여 TCP프로토콜 처리, DNP/SA((Distributed Network Protocol/Secure Authentication))프로토콜 처리, TLS프로토콜 처리를 수행할 수 있다.
통신 모듈(130)은 단말 장치(20)와의 이더넷 통신을 위한 TCP프로토콜 처리부(131), TCP프로토콜 처리에 따라 송수신되는 데이터를 암복호 모듈과 연계하여 처리하는 DNP/SA프로토콜 처리부(132), 주 장치(30)와 통신하기 위해 암복호 모듈(120)과 연계하여 암호화 통신을 수행하는 TLS프로토콜 처리부(133)를 포함할 수 있다.
실시예에서, DNP/SA프로토콜 처리부(132)는 DNP 프로토콜에 보안 기능을 적용하여 메시지 인증을 위한 절차를 추가적으로 수행할 수 있다. DNP/SA프로토콜 처리부(132)는 크리티컬 메시지(Critical Message) 통신시 해당 메시지를 송신한 단말 장치(20) 또는 주 장치(30)에 대하여 재확인 절차(Challenge-response)를 수행할 수 있다.
보호 협조 라우터(140)는 타 배전 지능화용 단말장치(21)에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달할 수 있다.
실시예에서 보호 협조 라우터(140)는 시리얼 라우터(141), 보호협조 S-라우터(142) 및 보호협조 R-라우터(143)를 포함할 수 있다.
시리얼 라우터(141)는 배전 지능화용 단말 장치(20)와의 통신과 보호 협조 센더(150) 및 보호 협조 리시버(160)와의 통신을 위한 시리얼 통신과 UDP 통신 연결을 초기화하여 세션 연결을 수립할 수 있다.
보호 협조 S-라우터(142)는 보호 협조 센더(150)와 UDP(User Datagram Protocol)통신을 수행하여 보호 협조 메시지를 보호 협조 센더(150)로 전달할 수 있다.
보호 협조 R-라우터(143)는 보호 협조 리시버(160)와 UDP 통신을 수행하여 시리얼 라우터(141)를 통하여 보호 협조 메시지를 배전 지능화용 단말 장치(20)로 전달할 수 있다.
보호 협조 센더(150)는 보호 협조 라우터(140)로부터 전달받은 보호 협조 메시지를 외부로 송신할 수 있다.
보호협조 센더(150)는 DTLS(Datagram Transport Layer Security)통신을 이용하여 타 배전 지능화용 단말장치(21)로 보호 협조 메시지를 전송할 수 있다.
실시예에서 보호 협조 센더(150)는 보호 협조 라우터(140)로부터 보호 협조 메시지를 전달받는 UDP 서버(151) 및 보호 협조 메시지를 타 배전 지능화용 단말장치(21)로 전송하는 DTLS 클라이언트(152)를 포함할 수 있다.
보호 협조 리시버(160)는 외부의 보호 협조 메시지를 수신할 수 있다.
보호 협조 리시버(160)는 DTLS통신을 이용하여 타 배전 지능화용 단말장치(21)로부터 보호 협조 메시지를 전송받을 수 있다.
실시에에서 보호 협조 리시버(160)는 타 배전 지능화용 단말 장치(21)로부터 보호 협조 메시지를 전달받는 DTLS 서버(161) 및 보호 협조 메시지를 보호 협조 라우터로 전달하는 UDP 클라이언트(162)를 포함할 수 있다.
실시예에 따르면, 배전 지능화용 단말 장치(20)와 배전 지능화용 보안 장치(100)는 시리얼 통신을 통하여 보호 협조 메시지를 송수신하며, 이를 시리얼 라우터(141)와 보호협조 S-라우터(142)를 통해 UDP로 변환한 후 보호 협조 센더(150)에서 DTLS 프로토콜로 변환하여 타 배전 지능화용 단말장치(21)에 보호 협조 메시지를 전송할 수 있다.
또한, 보호 협조 리시버(160)는 타 배전 지능화용 단말 장치(21)로부터 DTLS 프로토콜로 보호 협조 메시지를 수신하여 UDP프로토콜에 따라 변환한 후, 보호협조 R-라우터(143)와 시리얼 라우터(141)를 통해 배전 지능화용 단말장치(20)로 보호 협조 메시지를 전달할 수 있다.
실시예에서, 보호 협조 메시지는 암복호 모듈을 거치지 않는 대신에 보안에 취약한 UDP 프로토콜 DTLS 프로토콜로 변환하여 배전 지능화용 단말 장치(20, 21)간에 보호 협조 메시지를 송수신할 수 있다.
배전 지능화용 보안 장치(100)는 타 배전 지능화용 단말장치(21)와의 DTLS 핸드 쉐이킹 과정에서 사용자 식별 모듈(110)에 저장된 CA 인증서, 디바이스 인증서 및 세션 키를 사용할 수 있다.
배전 지능화용 보안 장치(100)는 보호 협조 대상인 배전 지능화용 단말 장치를 선정하여 사용자 식별 모듈(110)에 단말장치의 개수, IP 등 관련 정보를 저장할 수 있다.
배전 지능화용 보안 장치(100)는 최대 10개의 배전 지능화용 단말장치와 세션 연결을 수립할 수 있으며, 세션 연결 개수는 선정된 배전 지능화용 단말 장치의 개수에 따라 설정될 수 있다.
배전 지능화용 보안 장치(100)는 사전에 정의된 통신 포트를 사용하며 보호 협조 리시버(160)의 UDP 클라이언트(162)가 보호 협조 메시지를 송신할 때까지 대기 상태로 존재하며, 보호 협조 메시지를 수신하면 이를 배전 지능화용 단말장치(20)로 전달할 수 있다.
도3 은 실시예에 따른 배전 지능화 시스템 보안 서비스 제공 방법의 순서도이다.
도3을 참조하면, 배전 지능화용 보안 장치는 최초 구동시 암복호 알고리즘에 대한 자가 테스트를 수행하는 단계를 더 포함할 수 있다. 배전 지능화용 보안 장치는 자가 테스트 실패시 오류 메시지를 반환하고 서비스를 종료할 수 있다(S301).
도4는 실시예에 따른 자가 테스트 동작을 설명하기 위한 도면이다. 도4를 참조하면, 실시예에서 자가 테스트란 암복호 서비스를 수행하기 위한 사전 단계로써, 암호 알고리즘에 대한 자가 테스트를 의미할 수 있다. 배전 지능화용 보안 장치는 최초 구동시 암복호 알고리즘에 대한 자가 테스트를 수행할 수 있다(S401). 실시예에서, 자가 테스트는 난수 발생기, 엔트로피 수집, 블록암호, 메시지 압축, 메시지 인증코드, 타원곡선 키 교환, ECDSA(Elliptic Curve Digital Signature Algorithm)전자서명 등의 테스트 및 무결성 검사 중 적어도 하나를 통하여 수행될 수 있다.
배전 지능화용 보안 장치는 자가 테스트가 정상적으로 수행되면 암복호 서비스를 제공하며, 자가 테스트가 정상적으로 수행되지 않는 경우 암복호 서비스를 제공하지 않을 수 있다. 배전 지능화용 보안 장치는 자가 테스트 실패 시 오류 메시지를 반환하고 암복호 서비스를 종료할 수 있다(S402~404).
다음으로, 배전 지능화용 보안 장치는 주 장치 또는 배전 지능화용 단말 장치로부터 사용자 인증 요청 메시지를 수신할 수 있다(S302).
다음으로, 배전 지능화용 보안 장치는 사용자 인증 요청 메시지에 대응하여 사용자 인증을 수행할 수 있다(S303).
다음으로, 배전 지능화용 보안 장치가 인증된 사용자에 대하여 세션 값을 생성하여 전송할 수 있다. 세션 값은 키 객체 및 인증서 객체를 포함할 수 있다(S304).
사용자 인증은 사용자가 TCP프로토콜 통신을 통해 배전 지능화용 보안 장치에게 사용자 인증 요청 메시지를 보내면 사용자 인증 과정을 수행 후, 세션 값을 사용자에게 전송하는 과정일 수 있다. 사용자 인증에 실패할 경우 배전 지능화용 보안 장치는 통신을 종료하고 대기 모드로 진입할 수 있다.
배전 지능화용 보안 장치는 사용자 인증이 성공한 경우 암복호 서비스 요청 메시지 수신 대기 모드로 진입할 수 있다.
사용자 인증을 수행하는 단계는, 사용자 인증에 필요한 공개키를 교환하는 단계; MAC(Media Access Control)검증에 필요한 시드(Seed) 및 난수를 교환하는 단계; 및 MAC 검증을 수행하는 단계를 포함할 수 있다.
도5는 실시예에 따른 사용자 인증 과정을 설명하기 위한 도면이다. 도5를 참조하면, 먼저 주 장치 또는 배전 지능화용 단말 장치가 배전 지능화용 보안 장치에 접속한다(S501).
다음으로, 배전 지능화용 보안 장치는 RSA 2048bit 키를 생성한다(S502).
다음으로, 배전 지능화용 보안 장치는 생성한 RSA의 공개키를 주 장치 또는 배전 지능화용 단말 장치로 전송한다(S503).
다음으로, 주 장치 또는 배전 지능화용 단말 장치는 시드 값을 생성한 후 RSA 공개키로 암호화 한다(S504).
다음으로, 주 장치 또는 배전 지능화용 단말 장치는 공개키로 암호화 된 시드 값을 배전 지능화용 보안 장치에게 전송한다(S505).
다음으로, 배전 지능화용 보안 장치는 공개키로 암호화 된 시드 값을 RSA 개인키로 복호화한다(S506).
다음으로, 배전 지능화용 보안 장치는 난수발생기를 이용하여 난수를 생성 후 주 장치 또는 배전 지능화용 단말 장치로 전송한다(S507).
다음으로, 배전 지능화용 보안 장치와 주 장치 또는 배전 지능화용 단말 장치는 키 난독화 과정을 수행한다(S508).
다음으로, 키 난독화에서 생성된 HAMC키와 배전 지능화용 보안 장치에서 생성된 랜덤(Random) 값을 이용하여 MAC 값을 계산한다(S509).
다음으로, 주 장치 또는 배전 지능화용 단말 장치는 계산된 MAC 값을 배전 지능화용 보안 장치로 전송한다(S510).
다음으로, 배전 지능화용 보안 장치는 주 장치 또는 배전 지능화용 단말 장치 에서 수신한 MAC 값과 계산된 MAC 값을 비교한다(S511).
다음으로, 배전 지능화용 보안 장치는 두 값이 불일치 할 경우 주 장치 또는 배전 지능화용 단말 장치와의 통신 세션을 종료하고 일치할 경우 배전 지능화용 보안 장치의 암복호 서비스를 사용할 수 있는 세션 값을 생성하여 송신한다(S512).
다음으로, 배전 지능화용 보안 장치는 인증된 사용자로부터 암복호 서비스 요청 메시지를 수신할 수 있다(S305).
다음으로, 배전 지능화용 보안 장치는 암복호 서비스 요청 메시지를 전송한 사용자의 세션 값을 검증할 수 있다(S306).
배전 지능화용 보안 장치는 암복호 서비스 요청 메시지를 수신하면 세션 값을 검증할 수 있다. 배전 지능화용 보안 장치는 세션 값이 비정상일 경우 해당 세션을 종료하고 대기 모드로 진입할 수 있다. 배전 지능화용 보안 장치는 세션 값이 정상일 경우 암복호 서비스 요청 메시지를 확인하고 해당 메시지에 따라 암복호 서비스를 수행할 수 있다. 배전 지능화용 보안 장치는 키 생성, 객체 주입, 객체 조회 및 객체 삭제 중 적어도 하나의 과정을 통하여 사용자의 세션 값을 검증할 수 있다.
도6 및 도7은 실시예에 따른 세션 값 검증 과정을 설명하기 위한 도면이다.
도6 내지 도7을 참조하여 세션 값 검증 과정을 설명하기로 한다.
도6(a)의 키 생성 과정에서는, 주 장치 또는 배전 지능화용 단말 장치가 라벨(label) 데이터를 포함하여 키 생성 암호화 서비스를 요청한다(S601).
다음으로, 배전 지능화용 보안 장치는 난수발생기를 이용하여 난수를 생성한다(S602).
다음으로, 배전 지능화용 보안 장치는 생성된 난수와 입력받은 라벨을 이용하여 키를 생성한다(S603).
다음으로, 배전 지능화용 보안 장치는 키 생성 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S604).
도6(b)의 객체 주입 과정에서는, 주 장치 또는 배전 지능화용 단말 장치는 라벨과 객체 데이터를 포함하여 객체 주입 암호화 서비스를 요청한다(S611).
다음으로, 배전 지능화용 보안 장치는 수신 받은 라벨과 객체 데이터를 이용하여 객체를 생성한다(S612).
다음으로, 배전 지능화용 보안 장치는 객체 주입 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S613).
도7(a)의 객체 조회 과정에서는, 주 장치 또는 배전 지능화용 단말 장치는 라벨 데이터를 포함하여 객체 조회 암호화 서비스를 요청한다(S701).
다음으로, 배전 지능화용 보안 장치는 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무를 확인한다(S702).
다음으로, 배전 지능화용 보안 장치는 객체 조회 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S703).
도7(b)의 객체 삭제 과정에서는, 주 장치 또는 배전 지능화용 단말 장치는 라벨 데이터를 포함하여 객체 삭제 암호화 서비스를 요청한다(S711).
다음으로, 배전 지능화용 보안 장치는 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체에 유무 확인 후 객체가 존재하는 경우 객체를 삭제한다(S712).
다음으로, 배전 지능화용 보안 장치는 객체 삭제 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S713).
다음으로, 배전 지능화용 보안 장치는 세션 값이 검증된 경우 암복호 서비스 요청 메시지에 따른 암복호 서비스를 수행하고, 암복호 서비스 수행 결과를 회신할 수 있다(S307~308).
배전 지능화용 보안 장치는 암복호 서비스가 정상적으로 수행 되면 결과 값을 반환하고 암호 서비스 메시지 수신 대기 모드로 진입할 수 있다. 배전 지능화용 보안 장치는 암복호 서비스가 정상적으로 수행되지 않았을 경우 리턴 값을 반환 후, 암호 서비스 메시지 수신 대기 모드로 진입할 수 있다. 실시예에서, 암복호 서비스를 수행하는 단계는 KCMVP 인증을 거친 라이브러리 형태의 ARIA 암호 알고리즘을 적용하는 단계를 포함할 수 있다.
도8은 실시예에 따른 암복호 서비스 과정을 설명하기 위한 도면이다. 도8을 참조하여 세션 값 검증 과정을 설명하기로 한다.
도8(a)의 암호화 과정에서는, 배전 지능화용 단말 장치가 라벨 데이터와 DNP 평문 데이터를 포함하여 데이터 암호화를 요청한다(S801).
다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키 객체를 조회한다(S802).
다음으로, 배전 지능화용 보안 장치는 조회한 키 객체와 DNP 평문 데이터를 이용하여 암호화 서비스를 수행한다(S803).
다음으로, 배전 지능화용 보안 장치는 암호화 데이터를 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S804).
도8(b)의 복호화 과정에서는, 주 장치가 라벨 데이터와 암호 데이터를 포함하여 데이터 복호화를 요청한다(S811).
다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키를 조회한다(S812).
다음으로, 배전 지능화용 보안 장치는 조회한 키와 암호 데이터를 이용하여 복호화 서비스를 수행한다(S813).
다음으로, 배전 지능화용 보안 장치는 복호화 데이터를 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S814).
또한, 배전 지능화용 보안 장치는 세션 키를 이용하여 주 장치 또는 단말 장치로부터 수신한 전자서명 요청 또는 전자서명 검증 요청을 처리할 수 있다(S309). 도3에서는 암복호 서비스 수행 결과값 반환 이후 전자서명 요청 또는 검증 요청을 처리하는 과정이 도시되어 있으나, 이와는 달리 사용자 인증 이후 각 단계의 중간에 전자서명 요청 또는 검증 요청을 처리하는 과정이 포함될 수 있다.
배전 지능화용 보안 장치는 조회한 키 객체와 평문 데이터를 이용하여 전자서명 서비스를 수행 후 서비스 요청에 포함된 전자서명 데이터와 비교할 수 있다. 다음으로, 배전 지능화용 보안 장치는 전자서명 검증 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환할 수 있다.
도9는 실시예에 따른 전자서명 및 전자서명 검증 과정을 설명하기 위한 도면이다.
도9를 참조하며 전자서명 및 전자서명 검증 과정을 설명하기로 한다.
도9(a)의 전자 서명 과정에서는, 주 장치 또는 배전 지능화용 단말 장치가 라벨 데이터와 DNP 평문 데이터를 포함하여 전자서명을 요청한다(S901).
다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키 객체를 조회한다(S902).
다음으로, 배전 지능화용 보안 장치는 조회한 키 객체와 평문 데이터를 이용하여 전자서명 서비스를 수행한다(S903).
다음으로, 배전 지능화용 보안 장치는 전자서명 데이터를 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S904).
도9(b)의 전자 서명 검증 과정에서는, 주 장치 또는 배전 지능화용 단말 장치가 라벨 데이터와 평문데이터, 전자서명 데이터를 포함하여 전자서명검증을 요청한다(S911).
다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키 객체를 조회한다(S912).
다음으로, 배전 지능화용 보안 장치는 조회한 키 객체와 평문 데이터를 이용하여 전자서명 서비스를 수행 후 서비스 요청에 포함된 전자서명 데이터와 비교한다(S913).
다음으로, 배전 지능화용 보안 장치는 전자서명 검증 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S914).
도 10은 실시예에 따른 배전 지능화용 보안 장치의 동작을 설명하기 위한 도면이다. 도10을 참조하면, 배전 지능화용 보안 장치는 주 장치와 통신시 TLS프로토콜을 사용하여 암호화 통신을 수행할 수 있다. TLS 통신을 하기 위해서는 상호 핸드 쉐이킹(Handshaking) 과정을 거치는데 이 과정에서 CA인증서, 디바이스 인증서, 디바이스 키가 이용될 수 있다. TLS 통신을 위한 핸드 쉐이킹 과정은 보안 장치에서 취득된 인증서를 검증하여 세션 키를 생성 후 보안 장치에 저장하는 과정을 포함한다. 배전 지능화용 보안 장치는 저장된 세션키로 데이터 암복호화를 수행하여 데이터를 송수할 수 있다. 이때, 배전 지능화용 보안 장치는 KCMVP 인증을 거친 라이브러리 형태의 ARIA 암호 모듈을 사용할 수 있다. 배전 지능화용 보안 장치는 TLS 통신 종료 시 저장된 세션 키를 삭제할 수 있다.
본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
1: 배전 지능화 시스템
10: 개폐기
20: 배전 지능화용 단말 장치
30: 주 장치
100: 배전 지능화용 보안 장치
110: 사용자 식별 모듈
120: 암복호 모듈
130: 통신 모듈
140: 보호 협조 라우터
150: 보호 협조 센더
160: 보호 협조 리시버

Claims (7)

  1. 배전 지능화용 단말장치에 설치되어 타 배전 지능화용 단말장치에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달하는 보호 협조 라우터;
    외부의 보호 협조 메시지를 수신하는 보호 협조 리시버;
    상기 보호 협조 라우터로부터 전달받은 보호 협조 메시지를 외부로 송신하는 보호 협조 센더; 및
    CA인증서, 디바이스 인증서 및 세션 키의 저장 기능, 객체 주입 기능, 객체 조회 기능 및 삭제 기능을 제공하는 사용자 식별 모듈을 포함하며,
    상기 사용자 식별 모듈은 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨과 객체 데이터를 포함하는 객체 주입 암호화 서비스 요청 수신시, 수신 받은 라벨과 객체 데이터를 이용하여 객체를 생성하고, 객체 주입 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하며,
    상기 사용자 식별 모듈은 상기 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨 데이터를 포함하는 객체 조회 암호화 서비스 요청 수신시, 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무를 확인하고, 객체 조회 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하며,
    상기 사용자 식별 모듈은 상기 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨 데이터를 포함하는 객체 삭제 암호화 서비스 요청 수신시, 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무 확인 후 객체가 존재하는 경우 객체를 삭제하고, 객체 삭제 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하는 보호협조를 위한 배전 지능화용 보안 장치.
  2. 제1항에 있어서,
    상기 보호협조 센더는 DTLS통신을 이용하여 타 배전 지능화용 단말장치로 보호 협조 메시지를 전송하는 보호협조를 위한 배전 지능화용 보안 장치.
  3. 제2항에 있어서,
    상기 보호 협조 센더는 상기 보호 협조 라우터로부터 보호 협조 메시지를 전달받는 UDP 서버 및 보호 협조 메시지를 타 배전 지능화용 단말장치로 전송하는 DTLS 클라이언트를 포함하는 보호협조를 위한 배전 지능화용 보안 장치.
  4. 제1항에 있어서,
    상기 보호 협조 리시버는 DTLS통신을 이용하여 타 배전 지능화용 단말장치로부터 보호 협조 메시지를 전송받는 보호협조를 위한 배전 지능화용 보안 장치.
  5. 제4항에 있어서,
    상기 보호 협조 리시버는 타 배전 지능화용 단말장치로부터 보호 협조 메시지를 전달받는 DTLS 서버 및 보호 협조 메시지를 상기 보호 협조 라우터로 전달하는 UDP 클라이언트를 포함하는 보호협조를 위한 배전 지능화용 보안 장치.
  6. 제1항에 있어서,
    상기 보호 협조 라우터는 시리얼 통신 및 UDP 통신 연결을 초기화하여 연결을 수행하는 시리얼 라우터; 상기 보호 협조 센더와 UDP 통신을 수행하여 보호 협조 메시지를 상기 보호 협조 센더로 전달하는 보호협조 S-라우터 및 상기 보호 협조 리시버와 UDP 통신을 수행하여 보호 협조 메시지를 배전 지능화용 단말 장치로 전달하는 보호협조 R-라우터를 포함하는 보호협조를 위한 배전 지능화용 보안 장치.
  7. CA(Certificate Authority) 인증서, 디바이스 인증서 및 세션 키의 저장 기능, 객체 주입 기능, 객체 조회 기능 및 삭제 기능을 제공하는 사용자 식별 모듈;
    배전 지능화용 단말 장치에서 수신된 DNP(Distributed Network Protocol) 데이터를 암호화 하고, 주장치로부터 수신한 암호문 데이터를 평문 DNP데이터로 복호화하는 암복호 모듈;
    상기 CA인증서, 디바이스 인증서 및 세션 키를 이용하여 상기 주장치와 TLS(Transport Layer Security) 프로토콜에 따라 데이터 통신을 수행하며, 상기 암복호 모듈에서 암호화 된 데이터를 상기 주장치로 전송하고 상기 주장치로부터 수신한 암호문 데이터를 수신하는 통신모듈;
    배전 지능화용 단말장치에 설치되어 타 배전 지능화용 단말장치에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달하는 보호 협조 라우터;
    외부의 보호 협조 메시지를 수신하는 보호 협조 리시버; 및
    상기 보호 협조 라우터로부터 전달받은 보호 협조 메시지를 외부로 송신하는 보호 협조 센더를 포함하며,
    상기 사용자 식별 모듈은 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨과 객체 데이터를 포함하는 객체 주입 암호화 서비스 요청 수신시, 수신 받은 라벨과 객체 데이터를 이용하여 객체를 생성하고, 객체 주입 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하며,
    상기 사용자 식별 모듈은 상기 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨 데이터를 포함하는 객체 조회 암호화 서비스 요청 수신시, 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무를 확인하고, 객체 조회 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하며,
    상기 사용자 식별 모듈은 상기 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨 데이터를 포함하는 객체 삭제 암호화 서비스 요청 수신시, 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무 확인 후 객체가 존재하는 경우 객체를 삭제하고, 객체 삭제 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하는 보호협조를 위한 배전 지능화용 보안 장치.
KR1020190173749A 2019-12-24 2019-12-24 보호협조를 위한 배전 지능화용 보안 장치 Active KR102263391B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190173749A KR102263391B1 (ko) 2019-12-24 2019-12-24 보호협조를 위한 배전 지능화용 보안 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190173749A KR102263391B1 (ko) 2019-12-24 2019-12-24 보호협조를 위한 배전 지능화용 보안 장치

Publications (1)

Publication Number Publication Date
KR102263391B1 true KR102263391B1 (ko) 2021-06-10

Family

ID=76377866

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190173749A Active KR102263391B1 (ko) 2019-12-24 2019-12-24 보호협조를 위한 배전 지능화용 보안 장치

Country Status (1)

Country Link
KR (1) KR102263391B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130022760A (ko) * 2011-08-26 2013-03-07 한국전력공사 배전계통 관리 시스템 및 방법
KR20170102076A (ko) * 2014-06-24 2017-09-06 구글 인코포레이티드 메쉬 네트워크 커미셔닝
KR20190084171A (ko) * 2017-12-22 2019-07-16 단국대학교 산학협력단 사물 인터넷 디바이스를 위한 dtls 기반 종단간 보안 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130022760A (ko) * 2011-08-26 2013-03-07 한국전력공사 배전계통 관리 시스템 및 방법
KR20170102076A (ko) * 2014-06-24 2017-09-06 구글 인코포레이티드 메쉬 네트워크 커미셔닝
KR20190084171A (ko) * 2017-12-22 2019-07-16 단국대학교 산학협력단 사물 인터넷 디바이스를 위한 dtls 기반 종단간 보안 방법

Similar Documents

Publication Publication Date Title
US12003629B2 (en) Secure server digital signature generation for post-quantum cryptography key encapsulations
JP5815294B2 (ja) セキュアなフィールドプログラマブルゲートアレイ(fpga)アーキテクチャ
US12047519B2 (en) Physical unclonable function based mutual authentication and key exchange
US12192184B2 (en) Secure session resumption using post-quantum cryptography
US8295489B2 (en) Method for sharing a link key in a ZigBee network and a communication system therefor
US8913747B2 (en) Secure configuration of a wireless sensor network
US10652738B2 (en) Authentication module
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
CN103036872B (zh) 数据传输的加密和解密方法、设备及系统
CA2662166A1 (en) Method and system for establishing real-time authenticated and secured communications channels in a public network
KR101608815B1 (ko) 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법
US20250023712A1 (en) Securely and reliably transmitting messages between network devices
CN114707160A (zh) 一种基于量子密钥的vpn密钥管理系统、方法、设备及计算机可读介质
US20090055645A1 (en) Method and apparatus for checking round trip time based on challenge response, and computer readable medium having recorded thereon program for the method
KR102384677B1 (ko) 배전 지능화용 보안 장치
KR102263391B1 (ko) 보호협조를 위한 배전 지능화용 보안 장치
KR102442280B1 (ko) 배전 지능화 시스템 보안 서비스 제공 방법
KR101880999B1 (ko) 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법
KR102384678B1 (ko) 배전 지능화용 보안 장치의 암호화 객체 관리 장치
KR20160146090A (ko) 스마트홈 시스템에서의 통신 방법 및 그 장치
Toğay et al. Secure gateway for the internet of things
KR20220146159A (ko) 메시지 암호화를 위한 종단 장치 및 그 방법
US20070177725A1 (en) System and method for transmitting and receiving secret information, and wireless local communication device using the same
KR101886367B1 (ko) 사물 간 통신 네트워크에서의 기기 개별 세션키 생성 및 이를 이용한 기기 간의 암호화 및 복호화 기능 검증 방법
KR102733036B1 (ko) 데이터 암복호화 장치 및 방법

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20191224

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20201217

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20210602

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20210604

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20210607

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20240528

Start annual number: 4

End annual number: 4