KR20140043537A

Movatterモバイル変換

Info

Publication number: KR20140043537A
Application number: KR1020120105705A
Authority: KR
Inventors: 최문석; 백종목; 임용훈; 주성호; 김충효; 윤현진; 임유석
Original assignee: 한국전력공사
Priority date: 2012-09-24
Filing date: 2012-09-24
Publication date: 2014-04-10
Anticipated expiration: 2032-09-24
Also published as: KR102018064B1

Abstract

Translated fromKorean

SCADA(Supervisory Control And Data Acquisition) 통신 네트워크 보안을 위한 보안 통신 장치 및 방법이 개시된다. 본 발명에 따른, 마스터(master) 및 상기 마스터의 하위 노드인 아웃스테이션(outstation) 간의 SCADA 통신 네트워크 보안을 위한 보안 통신 장치는, 상기 마스터 또는 상기 아웃스테이션으로부터 DNP(Distributed Network Protocol) 제어 명령 또는 DNP 응답을 포함하는 DNP 데이터를 수신하는 제1 데이터 수신부; 상기 DNP 데이터에 DNP 표준 보안 정책에 대응하는 DNP 메시지 인증 데이터를 첨부하는 공세 모드를 적용하여 보안 DNP 데이터를 생성하는 공세 모드 구성부; 및 상기 DNP 데이터 또는 상기 보안 DNP 데이터를 다른 보안 통신 장치로 송신하는 제1 데이터 송신부를 포함한다.Disclosed are a secure communication apparatus and method for securing a SCADA (Supervisory Control And Data Acquisition) communication network. According to an embodiment of the present invention, a secure communication device for securing a SCADA communication network between a master and an outstation that is a subnode of the master may include a distributed network protocol (DNP) control command or a DNP from the master or the outstation. A first data receiver configured to receive DNP data including a response; An offensive mode component configured to generate secure DNP data by applying an offensive mode that attaches DNP message authentication data corresponding to a DNP standard security policy to the DNP data; And a first data transmitter for transmitting the DNP data or the secure DNP data to another secure communication device.

Description

Translated fromKorean

ＳＣＡＤＡ 통신 네트워크 보안을 위한 보안 통신 장치 및 방법{Secure communication apparatus and method for securing SCADA communication network}Secure communication apparatus and method for securing SCDA communication network

본 발명은 SCADA 통신 네트워크 보안을 위한 보안 통신 장치 및 방법에 관한 것으로서, DNP 데이터에 DNP 표준 보안 정책에 대응하는 DNP 메시지 인증 데이터를 첨부하는 공세 모드를 적용하여 보안 DNP 데이터를 생성하는 기능을 수행하는 보안 통신 장치를 이용하여 양방향 데이터 인증을 수행함으로써, 보다 안전하게 SCADA 통신 네트워크를 통제할 수 있고 DNP 데이터의 무결성 보장을 위한 보안 기능 수행에 따른 전송시간 지연을 최소화할 수 있는 SCADA 통신 네트워크 보안을 위한 보안 통신 장치 및 방법에 관한 것이다.The present invention relates to a secure communication apparatus and method for securing a SCADA communication network, and performs a function of generating secure DNP data by applying an offensive mode to attach DNP message authentication data corresponding to a DNP standard security policy to DNP data. By performing two-way data authentication using a secure communication device, SCADA communication network can be controlled more securely and security for SCADA communication network security that can minimize the transmission time delay caused by performing security functions to ensure the integrity of DNP data. A communication device and method are disclosed.

SCADA(Supervisory Control And Data Acquisition) 시스템은 원격지 시설 장치를 중앙 집중식으로 감시 제어하기 위한 시스템이다. SCADA 시스템은 특히 발전·송배전 분야에서 통신 경로상의 아날로그 또는 디지털 신호를 사용하여 원격장치의 상태정보 데이터를 원격소 장치인 아웃스테이션(Outstation)으로 수신하고 기록 및 표시하여 수집하고, 상기 정보를 중앙제어시스템인 마스터(Master)로 전달함으로써 중앙 제어 시스템에서 원격장치를 감시·제어하도록 한다.Supervisory Control And Data Acquisition (SCADA) system is a system for centralized monitoring and control of remote facility devices. The SCADA system receives, records, displays and collects the status information data of the remote device to an outstation, which is a remote device, using analog or digital signals on the communication path, especially in the field of power generation and distribution. By transmitting to Master, the system, the central control system monitors and controls the remote devices.

이러한 SCADA 시스템의 통신 네트워크 보호를 위해, IEEE 1815 DNP 3.0 표준에서 보안 인증(Secure Authentication)을 포함하고 있다. 보안 인증은 도청, 데이터 위변조 및 재전송 공격 등의 사이버공격으로부터 DNP 데이터 보호를 위해 기존 DNP 3.0 규격의 응용계층만 변경한 프로토콜로 인증과 무결성 보장을 위한 보안 메커니즘을 추가하였다. DNP 3.0 보안 인증은 메시지의 기밀성을 유지하기 위한 암호화 기능은 제공하지 않지만 마스터에서 아웃스테이션으로 전송하는 제어 명령과 같은 중요한 메시지들의 무결성을 보장하기 위해 인증 기능을 제공하고 있다. 보안 인증에서는 인증을 위해 챌린지-응답(Challenge-Response) 방식의 인증 모드를 제공한다. 챌린지-응답 모드는 기본 인증 모드로 도 1에 나타낸 것과 같이 인증을 위해 난수를 포함하는 인증 챌린지(Authentication Challenge)를 보내고 이에 대한 인증 응답(Authentication Response)을 수신하여 응답이 유효한지 검증하는 과정을 수행한다.In order to protect the communication network of such SCADA system, Secure Authentication is included in the IEEE 1815 DNP 3.0 standard. Security authentication is a protocol that changes only the application layer of the existing DNP 3.0 specification to protect DNP data from cyber attacks such as eavesdropping, data forgery, and retransmission attack, and adds a security mechanism to guarantee authentication and integrity. DNP 3.0 security authentication does not provide encryption to maintain the confidentiality of messages, but does provide authentication to ensure the integrity of sensitive messages, such as control commands sent from the master to the outstation. Secure authentication provides a challenge-response authentication mode for authentication. The challenge-response mode is a basic authentication mode, as shown in FIG. 1, sends an authentication challenge including a random number for authentication, receives an authentication response thereto, and verifies that the response is valid. do.

상기에서 기술한 것과 같이 SCADA 통신 네트워크 보호를 위해 IEEE 1815 표준에서 보안 인증이라는 보안 규격을 제시하고 있지만 기존의 전력제어 시스템은 보안성을 고려하지 않고 개발하여 운영되고 있고 DNP 3.0 보안 인증에서는 전력 제어시스템을 구성하는 마스터와 아웃스테이션에 보안 기능을 탑재하는 방식을 제안하고 있어 운영되고 있는 전력 제어 시스템에 보안 기능을 적용하는데 어려움이 있다.As described above, in order to protect the SCADA communication network, the IEEE 1815 standard proposes a security standard called security certification, but the existing power control system is developed and operated without considering security, and in the DNP 3.0 security certification, the power control system It is difficult to apply the security function to the power control system in operation because it proposes the method to install the security function in the master and the outstation.

첫째로, DNP 3.0 보안 인증은 응용레벨의 프로토콜로 기 구축된 대부분의 SCADA시스템에서 제공되지 않는 경우가 많으며 보안 인증에서 제시한 보안 기능을 제공하기 위해서는 기 구축된 시스템 전체를 보안기능이 추가된 신규시스템으로 교체해야 하기 때문에 보안을 위해 많은 구축비용을 필요로 하며 시스템 교체에 따른 전력서비스 공급 중단 문제 등 실질적으로 적용하는데 많은 문제점이 있다.First, DNP 3.0 security certification is often not provided in most SCADA systems that are already built as application level protocols, and in order to provide the security functions suggested by the security certification, the entire existing system is newly added. Since it needs to be replaced with a system, it requires a lot of construction cost for security, and there are many problems in practical application such as a power service supply interruption problem due to system replacement.

둘째로, 전력 서비스의 가용성 보장이 어렵다. 전력서비스는 현대 사회의 기본이 되는 서비스로 안정적인 전력 공급에 문제가 발생하게 되면 기본적인 사회 활동 유지에 어려움을 겪을 뿐만 아니라 국가적인 손실이 발생하게 된다. 전력 제어 시스템의 가장 큰 기능은 안정적인 전력 서비스의 공급에 있고 이를 위해 현재의 전력 제어시스템은 시스템 이중화 및 통신회선 이중화 등 다양한 메커니즘을 적용하고 있다. 그러나 전력 제어시스템을 구성하는 마스터와 아웃스테이션에 보안기능을 탑재한 경우 DNP 데이터의 무결성 보장을 위한 보안기능 오작동시 전력 제어시스템 전체에 영향을 주게 되므로 전력 설비 상태정보 수집 및 제어를 위한 DNP 데이터 송수신이 실패하게 된다. 결국에는 DNP 데이터 전송실패로 인해 전력 제어시스템의 기본 기능인 전력 서비스의 가용성 확보에 어려움이 발생한다.Second, it is difficult to guarantee the availability of power services. Electric power service is a basic service of modern society, and if there is a problem with stable power supply, it will not only be difficult to maintain basic social activities, but also cause national losses. The biggest function of power control system is to supply stable power service. To this end, current power control system applies various mechanisms such as system redundancy and communication line redundancy. However, when the security function is installed in the master and out station constituting the power control system, the security function to ensure the integrity of the DNP data affects the entire power control system when malfunctioning. Therefore, DNP data transmission and reception for power equipment status information collection and control is performed. Will fail. Eventually, the DNP data transmission failure causes difficulty in securing the availability of power service, which is a basic function of the power control system.

DNP 3.0 보안 인증의 다른 문제점으로는 일방향 데이터 인증에 있다. 제어 명령에 대한 응답 및 계측, 감시 등의 변전소 운영정보는 스위치 개폐 등의 전력 설비의 운영을 결정하는 중요한 기초 정보이므로 이와 같은 운영정보가 위변조 되어 전력시스템 서버로 전달될 경우 시스템 운영자가 현재의 전력설비 운영 현황을 오판하게 되어 잘못된 제어명령을 내릴 수 있고 이로 인해 전력 공급에 문제가 발생할 수 있다. 전력설비의 운전에 직접적으로 영향을 미치는 제어 명령에 대한 보호도 필요하지만 상기에서 기술한 바와 같이 제어 명령에 대한 응답 및 계측, 감시 등의 변전소 운영정보도 중요한 정보이므로 이에 대한 보호가 필요하다.Another problem with DNP 3.0 security authentication is one-way data authentication. Substation operation information such as response to control command, measurement, and monitoring are important basic information to determine the operation of power equipment such as switch opening and closing. Therefore, if such operation information is forged and transmitted to the power system server, the system operator can change the current power. The misoperation of the plant's operation can lead to incorrect control commands, which can lead to power supply problems. It is also necessary to protect the control command that directly affects the operation of the power plant, but as described above, substation operation information such as response to the control command, measurement, and monitoring is also important information, and thus protection is required.

그러나 DNP 3.0 보안 인증에서 제시하는 챌린지-응답 방식의 인증 구조는 도 1에 도식한 것과 같이 제어 명령에 대한 일방향 인증 기능만을 제공하고 응답에 대한 인증 기능을 제공하지 않고 있다.However, the challenge-response authentication scheme presented in DNP 3.0 security authentication provides only one-way authentication for control commands and no response for response, as shown in FIG.

또한, DNP 3.0 규격 자체가 가지고 있는 보안 취약점을 공개되어 있어 악의적인 의도를 가진 공격자가 상기의 취약점을 이용해 DNP 기반의 SCADA시스템을 공격할 가능성이 점차 커지고 있지만 종래의 SCADA 시스템에는 위변조된 DNP 메시지를 탐지하고 차단하기 위한 방법이 제공되지 않고 있다.In addition, since the security vulnerability of the DNP 3.0 specification itself is disclosed, it is increasingly possible for an attacker with malicious intention to attack the DNP-based SCADA system using the above vulnerability, but in the conventional SCADA system, a forged DNP message is used. There is no way to detect and block.

그러므로 전력 제어시스템의 교체 및 개선비용은 최소화하면서 DNP 요청 및 응답 데이터의 무결성을 보장하기 위한 DNP 보안시스템의 개발이 필요하다. 또한 상기의 DNP 보안시스템은 위변조된 DNP 메시지를 탐지하고 차단할 수 있어야 하며 보안기능 오작동시에도 간단한 조작만으로 DNP 요청 및 응답데이터를 안정적으로 전달할 수 있도록 구성하여 전력공급서비스의 가용성 확보에 심각한 영향을 미치지 않아야 한다.Therefore, it is necessary to develop a DNP security system to ensure the integrity of the DNP request and response data while minimizing the cost of replacing and improving the power control system. In addition, the DNP security system should be able to detect and block forged DNP messages, and in the event of a malfunction of the security function, it can be configured to deliver DNP request and response data stably with a simple operation. Should not.

관련하여, 한국공개특허 제2010-0078584호는 "SCADA 통신 보안을 위한 다중 암호화 장치 및 그 방법"을 개시하고 있다.In this regard, Korean Patent Laid-Open Publication No. 2010-0078584 discloses "a multiple encryption apparatus and method for SCADA communication security".

본 발명의 목적은 DNP 데이터에 DNP 표준 보안 정책에 대응하는 DNP 메시지 인증 데이터를 첨부하는 공세 모드를 적용하여 보안 DNP 데이터를 생성하는 기능을 수행하는 보안 통신 장치를 이용하여 양방향 데이터 인증을 수행함으로써, 보다 안전하게 SCADA 통신 네트워크를 통제할 수 있고 DNP 데이터의 무결성 보장을 위한 보안 기능 수행에 따른 전송시간 지연을 최소화할 수 있는 SCADA 통신 네트워크 보안을 위한 보안 통신 장치 및 방법을 제공하는 것이다.An object of the present invention is to perform a two-way data authentication by using a secure communication device that performs the function of generating a secure DNP data by applying the offensive mode of attaching DNP message authentication data corresponding to the DNP standard security policy to the DNP data, The present invention provides a secure communication apparatus and method for SCADA communication network security that can more safely control the SCADA communication network and minimize the transmission time delay caused by performing security functions to ensure the integrity of DNP data.

본 발명의 일 실시예에 따른, 마스터(master) 및 상기 마스터의 하위 노드인 아웃스테이션(outstation) 간의 SCADA(Supervisory Control And Data Acquisition) 통신 네트워크 보안을 위한 보안 통신 장치는, 상기 마스터 또는 상기 아웃스테이션으로부터 DNP(Distributed Network Protocol) 제어 명령 또는 DNP 응답을 포함하는 DNP 데이터를 수신하는 제1 데이터 수신부; 상기 DNP 데이터에 DNP 표준 보안 정책에 대응하는 DNP 메시지 인증 데이터를 첨부하는 공세 모드를 적용하여 보안 DNP 데이터를 생성하는 공세 모드 구성부; 및 상기 DNP 데이터 또는 상기 보안 DNP 데이터를 다른 보안 통신 장치로 송신하는 제1 데이터 송신부를 포함하여 구성된다.According to an embodiment of the present invention, a secure communication device for securing a Supervisory Control And Data Acquisition (SCADA) communication network between a master and an outstation that is a sub-node of the master is the master or the outstation. A first data receiving unit for receiving DNP data including a DNP control command or a DNP response from the first data receiving unit; An offensive mode component configured to generate secure DNP data by applying an offensive mode that attaches DNP message authentication data corresponding to a DNP standard security policy to the DNP data; And a first data transmitter for transmitting the DNP data or the secure DNP data to another secure communication device.

상기 공세 모드 구성부는, 상기 DNP 제어 명령 또는 상기 DNP 응답의 기능 코드(function code)에 따라 분류된 등급별 제어용 세션키 또는 등급별 감시용 세션키를 이용하여 상기 DNP 메시지 인증 데이터를 생성할 수 있다.The offensive mode configuration unit may generate the DNP message authentication data using a class-specific control session key or class-specific monitoring session key classified according to the DNP control command or the function code of the DNP response.

상기 공세 모드 구성부는, 상기 DNP 데이터의 프레임 별로 공세 모드를 적용하여 보안 DNP 데이터를 생성할 수 있다.The offensive mode configuration unit may generate secure DNP data by applying an offensive mode for each frame of the DNP data.

상기 SCADA 통신 네트워크 보안을 위한 보안 통신 장치는, 상기 제1 데이터 수신부에서 수신된 DNP 데이터의 기능 코드를 분석하여 상기 DNP 데이터가 전력 공급과 관련된 크리티컬(critical) DNP 데이터에 해당하는지 여부를 판단하여, 상기 DNP 데이터가 크리티컬 DNP 데이터인 경우에는 상기 DNP 데이터를 상기 공세 모드 구성부로 전달하고, 아닌 경우에는 상기 DNP 데이터를 상기 제1 데이터 송신부로 전달하는 데이터 판단부를 더 포함할 수 있다.The secure communication device for securing the SCADA communication network, by analyzing the function code of the DNP data received from the first data receiving unit to determine whether the DNP data corresponds to the critical (critical) DNP data related to power supply, If the DNP data is the critical DNP data may further include a data determination unit for transmitting the DNP data to the offensive mode configuration unit, and if not the DNP data to deliver the DNP data to the first data transmission unit.

상기 데이터 판단부는, 상기 제1 데이터 수신부에서 수신된 DNP 데이터가 상기 마스터로부터 수신된 DNP 제어 명령을 포함하는 DNP 데이터일 때, 상기 DNP 제어 명령이 인가된 SCADA 서버로부터 수신된 것인지 여부를 판단하여, 상기 DNP 제어 명령이 인가된 SCADA 서버로부터 수신된 경우에는 상기 제1 데이터 수신부에서 수신된 DNP 데이터가 크리티컬 DNP 데이터에 해당하는지 여부를 판단하고, 아닌 경우에는 상기 DNP 데이터의 패킷(packet)을 드롭(drop)할 수 있다.The data determining unit determines whether the DNP control command is received from an authorized SCADA server when the DNP data received by the first data receiving unit is DNP data including a DNP control command received from the master, When the DNP control command is received from the authorized SCADA server, it is determined whether the DNP data received by the first data receiver corresponds to the critical DNP data. Otherwise, the packet of the DNP data is dropped ( drop).

상기 SCADA 통신 네트워크 보안을 위한 보안 통신 장치는, 다른 보안 통신 장치로부터 DNP 데이터 또는 보안 DNP 데이터를 수신하는 제2 데이터 수신부; 상기 제2 데이터 수신부에서 수신된 데이터가 보안 DNP 데이터인 경우, 상기 보안 DNP 데이터에 첨부된 DNP 메시지 인증 데이터가 상기 DNP 표준 보안 정책에 대응하는지 여부를 검증하는 보안 DNP 데이터 검증부; 상기 보안 DNP 데이터 검증부에서 상기 DNP 메시지 인증 데이터가 상기 DNP 표준 보안 정책에 대응하는 것으로 검증되는 경우, 상기 보안 DNP 데이터를 상기 DNP 데이터로 재구성하는 데이터 재구성부; 및 상기 제2 데이터 수신부로부터 수신된 DNP 데이터 또는 상기 데이터 재구성부에서 재구성된 DNP 데이터를 상기 마스터 또는 상기 아웃스테이션으로 송신하는 제2 데이터 송신부를 더 포함할 수 있다.The secure communication device for the SCADA communication network security, the second data receiving unit for receiving DNP data or secure DNP data from another secure communication device; A secure DNP data verification unit verifying whether the DNP message authentication data attached to the secure DNP data corresponds to the DNP standard security policy when the data received by the second data receiver is secure DNP data; A data reconstruction unit reconstructing the secure DNP data into the DNP data when the DNP message authentication data is verified by the secure DNP data verification unit to correspond to the DNP standard security policy; And a second data transmitter for transmitting the DNP data received from the second data receiver or the DNP data reconstructed by the data reconstruction unit to the master or the out station.

상기 SCADA 통신 네트워크 보안을 위한 보안 통신 장치는, 상기 보안 DNP 데이터 검증부에서 검증된 상기 보안 DNP 데이터가 상기 마스터로부터 수신된 DNP 제어 명령을 포함하는 보안 DNP 데이터일 때, 제어 명령 위변조 탐지 시그너쳐(signature) 데이터베이스에 기반하여 상기 보안 DNP 데이터의 위변조 여부를 탐지하고, 정상인 경우에는 상기 보안 DNP 데이터를 상기 데이터 재구성부로 전달하고, 위변조가 탐지된 경우에는 상기 보안 DNP 데이터의 패킷을 드롭하는 제어 명령 위변조 탐지부를 더 포함할 수 있다.The secure communication device for securing the SCADA communication network, the control command forgery detection signature (signature) when the secure DNP data verified by the secure DNP data verification unit is secure DNP data including a DNP control command received from the master A control command forgery detection for detecting whether the security DNP data is forged or not based on a database; It may further include wealth.

본 발명의 일 실시예에 따른, 마스터(master) 및 상기 마스터의 하위 노드인 아웃스테이션(outstation) 간의 SCADA(Supervisory Control And Data Acquisition) 통신 네트워크 보안을 위한 보안 통신 방법은, (a) 마스터 보안 통신 장치가 상기 마스터로부터 DNP(Distributed Network Protocol) 제어 명령을 포함하는 DNP 제어 명령 데이터를 수신하는 단계; (b) 상기 DNP 제어 명령 데이터에 DNP 표준 보안 정책에 대응하는 DNP 제어 명령 인증 데이터를 첨부하는 공세 모드를 적용하여 보안 DNP 제어 명령 데이터를 생성하는 단계; 및 (c) 상기 DNP 제어 명령 데이터 또는 상기 보안 DNP 제어 명령 데이터를 슬레이브 보안 통신 장치로 송신하는 단계를 포함하여 구성된다.According to an embodiment of the present invention, a secure communication method for securing a Supervisory Control And Data Acquisition (SCADA) communication network between a master and an outstation that is a sub-node of the master may include (a) master secure communication. Receiving, by the device, DNP control command data including a Distributed Network Protocol (DNP) control command from the master; (b) generating secure DNP control command data by applying an offensive mode to attach DNP control command authentication data corresponding to a DNP standard security policy to the DNP control command data; And (c) transmitting the DNP control command data or the secure DNP control command data to a slave secure communication device.

상기 (b) 단계는, 상기 DNP 제어 명령의 기능 코드(function code)에 따라 분류된 등급별 제어용 세션키를 이용하여 상기 DNP 제어 명령 인증 데이터를 생성하는 단계를 포함할 수 있다.The step (b) may include generating the DNP control command authentication data by using a session-specific session key for classification according to a function code of the DNP control command.

상기 (b) 단계는, 상기 DNP 제어 명령 데이터의 프레임 별로 공세 모드를 적용하여 보안 DNP 제어 명령 데이터를 생성하는 단계를 포함할 수 있다.Step (b) may include generating secure DNP control command data by applying an offensive mode for each frame of the DNP control command data.

상기 SCADA 통신 네트워크 보안을 위한 보안 통신 방법은, (d) 상기 (a) 단계에서 수신된 DNP 제어 명령 데이터의 기능 코드를 분석하여 상기 DNP 제어 명령 데이터가 전력 공급과 관련된 크리티컬(critical) DNP 데이터에 해당하는지 여부를 판단하는 단계를 더 포함할 수 있다. 이 때, 상기 DNP 제어 명령 데이터가 크리티컬 DNP 데이터인 경우에는 상기 (b) 단계를 수행하고, 아닌 경우에는 상기 (c) 단계를 수행할 수 있다.The secure communication method for the SCADA communication network security, (d) analyzing the function code of the DNP control command data received in the step (a) and the DNP control command data to the critical (critical) DNP data related to power supply The method may further include determining whether it is applicable. In this case, when the DNP control command data is critical DNP data, step (b) may be performed. Otherwise, step (c) may be performed.

상기 SCADA 통신 네트워크 보안을 위한 보안 통신 방법은, (e) 상기 DNP 제어 명령이 인가된 SCADA 서버로부터 수신된 것인지 여부를 판단하는 단계를 더 포함할 수 있다. 이 때, 상기 DNP 제어 명령이 인가된 SCADA 서버로부터 수신된 경우에는 상기 (d) 단계를 수행하고, 아닌 경우에는 상기 DNP 제어 명령 데이터의 패킷(packet)을 드롭(drop)하는 단계를 수행할 수 있다.The secure communication method for securing the SCADA communication network may further include (e) determining whether the DNP control command is received from an authorized SCADA server. In this case, if the DNP control command is received from an authorized SCADA server, the step (d) may be performed. If not, the step of dropping a packet of the DNP control command data may be performed. have.

상기 SCADA 통신 네트워크 보안을 위한 보안 통신 방법은, (f) 상기 슬레이브 보안 통신 장치가 상기 마스터 보안 통신 장치로부터 DNP 제어 명령 데이터 또는 보안 DNP 제어 명령 데이터를 수신하는 단계; (g) 상기 (f) 단계에서 수신된 데이터가 보안 DNP 제어 명령 데이터인 경우, 상기 보안 DNP 제어 명령 데이터에 첨부된 DNP 제어 명령 인증 데이터가 상기 DNP 표준 보안 정책에 대응하는지 여부를 검증하는 단계; (h) 상기 DNP 제어 명령 인증 데이터가 상기 DNP 표준 보안 정책에 대응하는 것으로 검증되는 경우, 상기 보안 DNP 제어 명령 데이터를 상기 DNP 제어 명령 데이터로 재구성하는 단계; 및 (i) 상기 (f) 단계에서 수신된 DNP 제어 명령 데이터 또는 상기 (h) 단계에서 재구성된 DNP 제어 명령 데이터를 상기 아웃스테이션으로 송신하는 단계를 더 포함할 쉬 있다.The secure communication method for securing the SCADA communication network may include: (f) receiving, by the slave secure communication device, DNP control command data or secure DNP control command data from the master secure communication device; (g) if the data received in step (f) is secure DNP control command data, verifying whether the DNP control command authentication data attached to the secure DNP control command data corresponds to the DNP standard security policy; (h) reconstructing the secure DNP control command data into the DNP control command data when the DNP control command authentication data is verified to correspond to the DNP standard security policy; And (i) transmitting the DNP control command data received in step (f) or the DNP control command data reconstructed in step (h) to the out station.

상기 SCADA 통신 네트워크 보안을 위한 보안 통신 방법은, (j) 제어 명령 위변조 탐지 시그너쳐(signature) 데이터베이스에 기반하여 상기 (g) 단계에서 검증된 상기 보안 DNP 제어 명령 데이터의 위변조 여부를 탐지하는 단계를 더 포함할 수 있다. 이 때, 상기 보안 DNP 제어 명령 데이터가 정상인 경우에는 상기 (h) 단계를 수행하고, 위변조가 탐지된 경우에는 상기 보안 DNP 데이터의 패킷을 드롭하는 단계를 수행할 수 있다.The secure communication method for security of the SCADA communication network may further include detecting (j) forgery of the secure DNP control command data verified in step (g) based on a control command forgery detection signature database. It may include. In this case, if the secure DNP control command data is normal, step (h) may be performed, and if forgery is detected, dropping the packet of the secure DNP data may be performed.

본 발명의 다른 실시예에 따른, 마스터(master) 및 상기 마스터의 하위 노드인 아웃스테이션(outstation) 간의 SCADA(Supervisory Control And Data Acquisition) 통신 네트워크 보안을 위한 보안 통신 방법은, (k) 슬레이브 보안 통신 장치가 상기 아웃스테이션으로부터 DNP(Distributed Network Protocol) 응답을 포함하는 DNP 응답 데이터를 수신하는 단계; (l) 상기 DNP 응답 데이터에 DNP 표준 보안 정책에 대응하는 DNP 응답 인증 데이터를 첨부하는 공세 모드를 적용하여 보안 DNP 응답 데이터를 생성하는 단계; 및 (m) 상기 DNP 응답 데이터 또는 상기 보안 DNP 응답 데이터를 마스터 보안 통신 장치로 송신하는 단계를 포함할 수 있다.According to another embodiment of the present invention, a secure communication method for securing a Supervisory Control And Data Acquisition (SCADA) communication network between a master and an outstation that is a subordinate node of the master is (k) slave secure communication. A device receiving DNP response data including a Distributed Network Protocol (DNP) response from the outstation; (1) generating secure DNP response data by applying an offensive mode to attach DNP response authentication data corresponding to a DNP standard security policy to the DNP response data; And (m) transmitting the DNP response data or the secure DNP response data to a master secure communication device.

상기 (l) 단계는, 상기 DNP 응답의 기능 코드(function code)에 따라 분류된 등급별 감시용 세션키를 이용하여 상기 DNP 응답 인증 데이터를 생성하는 단계를 포함할 수 있다.The step (l) may include generating the DNP response authentication data by using a monitoring session key for each level classified according to a function code of the DNP response.

상기 (l) 단계는, 상기 DNP 응답 데이터의 프레임 별로 공세 모드를 적용하여 보안 DNP 응답 데이터를 생성하는 단계를 포함할 수 있다.The step (l) may include generating secure DNP response data by applying an offensive mode for each frame of the DNP response data.

상기 SCADA 통신 네트워크 보안을 위한 보안 통신 방법은, (n) 상기 (k) 단계에서 수신된 DNP 응답 데이터의 기능 코드를 분석하여 상기 DNP 응답 데이터가 전력 공급과 관련된 크리티컬(critical) DNP 데이터에 해당하는지 여부를 판단하는 단계를 더 포함할 수 있다. 이 때, 상기 DNP 응답 데이터가 크리티컬 DNP 데이터인 경우에는 상기 (l) 단계를 수행하고, 아닌 경우에는 상기 (m) 단계를 수행할 수 있다.The secure communication method for securing the SCADA communication network may include (n) analyzing a function code of the DNP response data received in step (k) to determine whether the DNP response data corresponds to critical DNP data related to power supply. The method may further include determining whether or not. In this case, if the DNP response data is critical DNP data, step (l) may be performed, and if not, step (m) may be performed.

상기 SCADA 통신 네트워크 보안을 위한 보안 통신 방법은, (o) 상기 마스터 보안 통신 장치가 상기 슬레이브 보안 통신 장치로부터 DNP 응답 데이터 또는 보안 DNP 응답 데이터를 수신하는 단계; (p) 상기 (o) 단계에서 수신된 데이터가 보안 DNP 응답 데이터인 경우, 상기 보안 DNP 응답 데이터에 첨부된 DNP 응답 인증 데이터가 상기 DNP 표준 보안 정책에 대응하는지 여부를 검증하는 단계; (q) 상기 DNP 응답 인증 데이터가 상기 DNP 표준 보안 정책에 대응하는 것으로 검증되는 경우, 상기 보안 DNP 응답 데이터를 상기 DNP 응답 데이터로 재구성하는 단계; 및 (r) 상기 (o) 단계에서 수신된 DNP 응답 데이터 또는 상기 (q) 단계에서 재구성된 DNP 응답 데이터를 상기 마스터로 송신하는 단계를 더 포함할 수 있다.The secure communication method for securing the SCADA communication network may include: (o) receiving, by the master secure communication device, DNP response data or secure DNP response data from the slave secure communication device; (p) if the data received in step (o) is secure DNP response data, verifying whether the DNP response authentication data attached to the secure DNP response data corresponds to the DNP standard security policy; (q) reconstructing the secure DNP response data into the DNP response data when the DNP response authentication data is verified to correspond to the DNP standard security policy; And (r) transmitting the DNP response data received in step (o) or the DNP response data reconstructed in step (q) to the master.

본 발명의 일 측면에 따르면, DNP 데이터에 DNP 표준 보안 정책에 대응하는 DNP 메시지 인증 데이터를 첨부하는 공세 모드를 적용하여 보안 DNP 데이터를 생성하는 기능을 수행하는 보안 통신 장치를 이용하여 양방향 데이터 인증을 수행함으로써, 보다 안전하게 SCADA 통신 네트워크를 통제할 수 있고 DNP 데이터의 무결성 보장을 위한 보안 기능 수행에 따른 전송시간 지연을 최소화할 수 있는 SCADA 통신 네트워크 보안을 위한 보안 통신 장치 및 방법을 제공할 수 있다.According to an aspect of the present invention, two-way data authentication is performed using a secure communication device that performs a function of generating secure DNP data by applying an offensive mode to attach DNP message authentication data corresponding to a DNP standard security policy to DNP data. By performing the above, it is possible to provide a secure communication apparatus and method for SCADA communication network security that can more securely control the SCADA communication network and minimize the transmission time delay due to the security function to ensure the integrity of the DNP data.

도 1은 DNP 표준에서 권고하는 종래의 인증 방식인 챌린지-응답 방식에 대한 프로토콜 흐름도이다.
도 2는 본 발명을 실시하기 위한 전체 시스템의 구성의 일 예를 도시한 도면이다.
도 3은 DNP 표준에서 권고하는 종래의 챌린지-응답 방식을 이용한 SCADA 통신 네트워크 보안을 위한 보안 통신 장치의 인증 및 통제방식에 대한 프로토콜 흐름도이다.
도 4는 본 발명의 일 실시예에서 적용되는 공세 모드 인증 방식에 대한 프로토콜 흐름도이다.
도 5는 본 발명의 일 실시예에서 적용되는 공세 모드를 이용한 SCADA 통신 네트워크 보안을 위한 보안 통신 장치의 인증 및 통제 방식에 대한 프로토콜 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 보안 통신 장치의 구성에 대한 블록도이다.
도 7는 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 마스터 보안 통신 장치의 구성에 대한 블록도이다.
도 8은 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 슬레이브 보안 통신 장치의 구성에 대한 블록도이다.
도 9는 마스터로부터 데이터를 수신한 마스터 보안 통신 장치에서의 메시지 인증 및 통제 방법의 일 예를 설명하는 흐름도이다.
도 10은 마스터 보안통신장치로부터 데이터를 수신한 슬레이브 보안 통신 장치에서의 메시지 검증 및 위변조 탐지 방법의 일 예를 설명하는 흐름도이다.
도 11은 아웃스테이션으로부터 데이터를 수신한 슬레이브 보안 통신 장치에서의 메시지 인증 및 통제 방법의 일 예를 설명하는 흐름도이다.
도 12는 슬레이브 보안 통신 장치로부터 데이터를 수신한 마스터 보안통신장치에서의 메시지 검증 방법의 일 예를 설명하는 흐름도이다.1 is a protocol flow diagram for a challenge-response scheme, which is a conventional authentication scheme recommended in the DNP standard.
2 is a view showing an example of the configuration of the entire system for practicing the present invention.
3 is a protocol flow diagram for a method of authenticating and controlling a secure communication device for securing a SCADA communication network using a conventional challenge-response method recommended in the DNP standard.
4 is a protocol flowchart for an offensive mode authentication method applied in an embodiment of the present invention.
FIG. 5 is a protocol flowchart of an authentication and control method of a secure communication device for securing a SCADA communication network using an offensive mode applied in an embodiment of the present invention.
6 is a block diagram of the configuration of a secure communication device for SCADA communication network security according to an embodiment of the present invention.
7 is a block diagram of a configuration of a master secure communication device for securing a SCADA communication network according to an embodiment of the present invention.
8 is a block diagram of a configuration of a slave secure communication device for securing a SCADA communication network according to an embodiment of the present invention.
9 is a flowchart illustrating an example of a message authentication and control method in a master secure communication device that receives data from a master.
10 is a flowchart illustrating an example of a message verification and forgery detection method in a slave secure communication device that receives data from a master secure communication device.
11 is a flowchart illustrating an example of a message authentication and control method in a slave secure communication device that receives data from an out station.
12 is a flowchart illustrating an example of a message verification method in a master secure communication device receiving data from a slave secure communication device.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

도 2는 본 발명을 실시하기 위한 전체 시스템의 구성의 일 예를 도시한 도면이다.2 is a view showing an example of the configuration of the entire system for practicing the present invention.

도 2를 참조하면, 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 보안 통신 시스템은 마스터(10), 상기 마스터(10)의 하위 노드인 아웃스테이션(20), 상기 마스터(10)와 아웃스테이션(20) 간 SCADA 통신 네트워크(30)를 통해 전송되는 DNP(Distribute Network Protocol) 데이터에 대하여 DNP 데이터 인증 기능 및 위변조 탐지 기능을 제공하기 위한 마스터 보안 통신 장치(110)와 슬레이브 보안 통신 장치(120)를 포함하여 구성될 수 있다.Referring to FIG. 2, a secure communication system for securing a SCADA communication network according to an embodiment of the present invention includes amaster 10, anout station 20 that is a subordinate node of themaster 10, and themaster 10. The mastersecure communication device 110 and the slave secure communication device for providing DNP data authentication function and forgery detection function for DNP (Distribute Network Protocol) data transmitted through theSCADA communication network 30 between the out station 20 ( 120).

본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 보안 통신 시스템에 따르면, 마스터(10)로부터 DNP 제어 명령(request)을 포함하는 DNP 제어 명령 데이터가 마스터 보안 통신 장치(110)로 송신되면, 마스터 보안 통신 장치(110)에서 DNP 제어 명령 데이터가 분석되고 공세 모드로 메시지 인증을 수행하여 보안 DNP 제어 명령 데이터를 생성한다. 생성된 보안 DNP 제어 명령 데이터는 SCADA 통신 네트워크(30)를 통해 슬레이브 보안 통신 장치(120)로 전송되며 슬레이브 보안 통신 장치(120)는 보안 DNP 제어 명령 데이터에 대한 검증을 수행하고 위변조 여부를 탐지한 후 아웃스테이션(20)으로 전송한다.According to the secure communication system for SCADA communication network security according to an embodiment of the present invention, when the DNP control command data including the DNP control command (request) from themaster 10 is transmitted to the mastersecure communication device 110, In the mastersecure communication device 110, the DNP control command data is analyzed and message authentication is performed in an offensive mode to generate secure DNP control command data. The generated secure DNP control command data is transmitted to the slavesecure communication device 120 through theSCADA communication network 30, and the slavesecure communication device 120 performs verification on the secure DNP control command data and detects the forgery. After transmission to theoutstation 20.

한편, 아웃스테이션(20)으로부터 DNP 응답(response)을 포함하는 DNP 응답 데이터가 슬레이브 보안 통신 장치(120)로 송신되면, 슬레이브 보안 통신 장치(120)에서 DNP 응답 데이터가 분석되고 공세 모드로 메시지 인증을 수행하여 보안 DNP 응답 데이터를 생성한다. SCADA 통신 네트워크(30)를 통해 마스터 보안 통신 장치(110)로 전송되며 마스터 보안 통신 장치(110)는 보안 DNP 응답 데이터에 대한 검증을 수행하고 마스터(10)로 전송한다.On the other hand, when the DNP response data including the DNP response from theoutstation 20 is transmitted to the slavesecure communication device 120, the DNP response data is analyzed in the slavesecure communication device 120 and the message is authenticated in the offensive mode. To generate secure DNP response data. It is transmitted to the mastersecure communication device 110 via theSCADA communication network 30, the mastersecure communication device 110 performs verification on the secure DNP response data and transmits to the master (10).

본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 보안 통신 시스템은 도 2에 도시한 바와 같이 SCADA 통신 네트워크(30)에서 마스터(10)와 마스터(10)의 하위 노드인 아웃스테이션(20) 상호 간에 SCADA 통신 네트워크(30)를 통해 전송되는 DNP 데이터를 보호하기 위한 보안 통신 장치를 별도로 구성하여 DNP 데이터 보호를 위한 기존 전력 제어시스템 변경은 최소화화였다. 또한, 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 보안 통신 시스템은 보안 기능 오작동시에도 통신 회선 절체 및 보안 통신 장치 제거 등의 간단한 동작만으로 DNP 제어명령 송수신이 원활히 이뤄질 수 있도록 할 수 있다.As shown in FIG. 2, the secure communication system for securing a SCADA communication network according to an embodiment of the present invention includes anout station 20 that is a sub-node of themaster 10 and themaster 10 in theSCADA communication network 30. The change of the existing power control system for DNP data protection was minimized by separately configuring a secure communication device for protecting DNP data transmitted through theSCADA communication network 30. In addition, the secure communication system for SCADA communication network security according to an embodiment of the present invention can be made to transmit and receive the DNP control command smoothly by a simple operation, such as switching the communication line and removing the secure communication device even when the security function malfunctions. .

그러나 보안 기능 수행을 위해 도 2와 같은 SCADA 통신 네트워크 보안을 위한 보안 통신 시스템에 DNP 3.0 보안 인증 표준에서 제시하는 챌린지-응답 방식(도 1 참조)의 인증 구조를 제어 명령과 이에 대한 응답에 모두 적용할 경우에는 전력시스템의 정상적인 운영에 문제가 발생할 수 있는데 이는 도 3을 참조하여 설명하도록 한다.
However, the authentication structure of the challenge-response method (see FIG. 1) proposed by the DNP 3.0 security authentication standard is applied to both the control command and the response to the secure communication system for SCADA communication network security as shown in FIG. In this case, problems may occur in normal operation of the power system, which will be described with reference to FIG. 3.

도 3은 DNP 표준에서 권고하는 종래의 챌린지-응답 방식을 이용한 SCADA 통신 네트워크 보안을 위한 보안 통신 장치의 인증 및 통제방식에 대한 프로토콜 흐름도이다.3 is a protocol flow diagram for a method of authenticating and controlling a secure communication device for securing a SCADA communication network using a conventional challenge-response method recommended in the DNP standard.

도 3을 참조하면, 도 2에서 설명한 SCADA 통신 네트워크 보안을 위한 보안 통신 시스템에 챌린지-응답 방식(도 1 참조)의 인증 구조를 제어 명령과 이에 대한 응답에 모두 적용할 경우 통신 흐름을 도시하고 있다. 이 때, 보안 통신 시스템은 별도의 보안통신장치가 보안 기능을 수행하기 때문에, 인증 챌린지, 인증 응답 등의 송수신되는 데이터가 많아지게 되며, 전력설비에 대한 제어 명령을 수행하고 그 결과를 확인하기 위한 절차가 지나치게 복잡하게 된다. 이에 따라, DNP 데이터의 전송 시간이 증가하게 되고 최악의 경우 전력 제어 시스템이 정상적인 데이터를 수신하였다 하더라도 시스템에서 지정한 최대 전송 시간을 초과하게 되어 해당 데이터를 비정상 데이터로 처리하게 되어 전력 시스템의 정상적인 운영에 문제가 발생할 수 있다.Referring to FIG. 3, a communication flow is shown when an authentication structure of the challenge-response method (see FIG. 1) is applied to both the control command and the response to the secure communication system for securing the SCADA communication network described in FIG. 2. . At this time, since the secure communication system is a separate security communication device performs a security function, the data transmitted and received, such as the authentication challenge, the authentication response is increased, to perform a control command for the power equipment and confirm the result The procedure is too complicated. As a result, the transmission time of the DNP data is increased, and in the worst case, even if the power control system receives normal data, the maximum transmission time specified by the system is exceeded, and the data is treated as abnormal data. Problems may arise.

이와 같은 문제점을 해결하기 위해서는 도 2에서 설명한 SCADA 통신 네트워크 보안을 위한 보안 통신 시스템에 제어 명령과 응답 모두에 대해 챌린지-응답 방식의 인증 모드를 적용함으로써 발생하는 지연 시간을 최소화하기 위한 인증 방법을 고안할 필요가 있다. 이를 위해, 일 실시예에서, SCADA 통신 네트워크 보안을 위한 보안 통신 시스템은 DNP 메시지 무결성 보장을 위한 인증 데이터를 추가한 보안 DNP 데이터를 공세 모드로 전달함으로써 보안 기능 수행 시간을 단축할 수 있다. 공세 모드는 아래의 도 4를 참조하여 설명하도록 한다.
In order to solve this problem, the authentication method for minimizing the delay time caused by applying the challenge-response authentication mode to both the control command and the response to the secure communication system for the SCADA communication network security described in FIG. Needs to be. To this end, in one embodiment, the secure communication system for SCADA communication network security can shorten the execution time of the security function by delivering secure DNP data in addition to the authentication data for ensuring DNP message integrity in offensive mode. Offensive mode will be described with reference to FIG. 4 below.

도 4는 본 발명의 일 실시예에서 적용되는 공세 모드 인증 방식에 대한 프로토콜 흐름도이다.4 is a protocol flowchart for an offensive mode authentication method applied in an embodiment of the present invention.

도 4를 참조하면, 공세 모드는 챌린지-응답 모드에서 발생하는 지연과 오버헤드를 제거하기 위한 인증 방식으로, 마스터(10)가 인증을 필요로 하는 제어 명령 데이터에 인증 응답(Authentication Response)을 포함하는 인증 데이터를 첨부하여 전송하는 방식이다. 공세 모드에서는 일반적인 메시지 전송에서의 챌린지-응답 절차를 따로 수행하지 않으므로, 송수신되는 데이터가 적기 때문에 보안 기능 수행에 따른 전송시간 지연을 최소화할 수 있다.
Referring to FIG. 4, the offensive mode is an authentication method for eliminating delays and overhead occurring in the challenge-response mode, and includes an authentication response in control command data requiring themaster 10 to authenticate. It is a method of attaching and transmitting authentication data. In the offensive mode, since the challenge-response procedure in general message transmission is not performed separately, transmission time delay due to the execution of a security function can be minimized because there is less data transmitted and received.

도 5는 본 발명의 일 실시예에서 적용되는 공세 모드를 이용한 SCADA 통신 네트워크 보안을 위한 보안 통신 장치의 인증 및 통제 방식에 대한 프로토콜 흐름도이다.FIG. 5 is a protocol flowchart of an authentication and control method of a secure communication device for securing a SCADA communication network using an offensive mode applied in an embodiment of the present invention.

본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 보안 통신 장치에서 메시지 인증 및 위변조 탐지는, 마스터(10)에서 DNP 제어 명령 데이터가 도착하면 마스터 보안 통신 장치(110)에서는 DNP 제어 명령 데이터를 분석하여 SCADA 서버별 크리티컬(critical) DNP 데이터인지 판단한다. 크리티컬 DNP 데이터는 전력 공급과 관련된 제어 명령 또는 응답으로서 전달에 이상이 발생할 경우 전력 공급에 차질을 빚을 수 있는 데이터를 말한다. 이 때, 크리티컬 DNP 데이터인데 불구하고 인가되지 않은 SCADA 서버에서 제어 명령이 내려온 경우 해당 데이터 패킷을 드롭(drop)한다. 인가된 SCADA 서버로부터 수신된 제어 명령일지라도 허가된 기능 코드가 아닌 경우에도 패킷을 드롭한다. 인가된 SCADA 서버의 허가된 기능 코드로 구성된 크리티컬 DNP 데이터인 경우 공세 모드로 보안 DNP 제어 명령 데이터를 구성하여 즉, DNP 제어 명령 데이터에 DNP 메시지 인증 데이터를 포함하여 보안 DNP 제어 명령 데이터를 구성하여 SCADA 통신 네트워크(30)를 통하여 슬레이브 보안 통신 장치(120)로 전송한다. 슬레이브 보안 통신 장치(120)에서는 DNP 제어 명령 데이터에 대한 DNP 메시지 인증 데이터를 검증한 후 제어 명령 위변조 탐지 시그너쳐 데이터베이스에 기반하여 DNP 제어 명령 데이터 위변조 여부를 탐지하고 정상인 경우 DNP 제어 명령 데이터를 아웃스테이션(20)으로 전송하고 위변조가 탐지되면 패킷을 드롭한다.Message authentication and forgery detection in a secure communication device for SCADA communication network security according to an embodiment of the present invention, when the DNP control command data arrives from themaster 10, the mastersecure communication device 110 receives the DNP control command data; The analysis determines whether the critical DNP data for each SCADA server. Critical DNP data is a control command or response related to the power supply, and refers to data that may disrupt the power supply when an error occurs in the transmission. At this time, if the control command is issued from the unauthorized SCADA server despite the critical DNP data, the corresponding data packet is dropped. Drop the packet even if it is not an authorized function code even if it is a control command received from an authorized SCADA server. In the case of critical DNP data composed of authorized function codes of an authorized SCADA server, SCADA is configured by configuring secure DNP control command data in offensive mode, that is, by constructing secure DNP control command data including DNP message authentication data in the DNP control command data. The slave network communicates with the slavesecure communication device 120 through thecommunication network 30. After verifying the DNP message authentication data for the DNP control command data, the slavesecure communication device 120 detects whether the DNP control command data is forged or not based on the control command forgery detection signature database, and if it is normal, outputs the DNP control command data to the outstation ( 20) and drop the packet if forgery is detected.

한편, 상기 아웃스테이션(20)에서 제어 명령에 대한 DNP 응답 데이터가 도착하면 슬레이브 보안 통신 장치(120)에서는 DNP 응답 데이터를 분석하여 SCADA 서버별 크리티컬 DNP 데이터인지 판단한다. 인가된 SCADA 서버의 크리티컬 DNP 데이터인 경우 공세 모드로 보안 DNP 응답 데이터를 구성하여 즉, DNP 응답 데이터에 DNP 메시지 인증 데이터를 포함하여 보안 DNP 응답 데이터를 구성하여 SCADA 통신 네트워크(30)를 통하여 마스터 보안 통신 장치(110)로 전송한다. 마스터 보안 통신 장치(110)에서는 DNP 응답 데이터에 대한 DNP 메시지 인증 데이터를 검증한 후 DNP 응답 데이터를 마스터(10)로 전송한다.
On the other hand, when the DNP response data for the control command arrives from theoutstation 20, the slavesecurity communication device 120 analyzes the DNP response data to determine whether the critical DNP data for each SCADA server. In the case of the critical DNP data of the authorized SCADA server, the secure DNP response data is configured in the offensive mode, that is, the secure DNP response data is configured by including the DNP message authentication data in the DNP response data to secure the master through theSCADA communication network 30. Send tocommunication device 110. The mastersecure communication device 110 verifies the DNP message authentication data for the DNP response data and then transmits the DNP response data to themaster 10.

도 6은 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 보안 통신 장치의 구성에 대한 블록도이다.6 is a block diagram of the configuration of a secure communication device for SCADA communication network security according to an embodiment of the present invention.

도 6을 참조하면, 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 보안 통신 장치(100)는 제1 데이터 수신부(101), 데이터 판단부(102), 공세 모드 구성부(103), 제1 데이터 송신부(104), 제2 데이터 수신부(105), 보안 DNP 데이터 검증부(106), 제어 명령 위변조 탐지부(107), 데이터 재구성부(108) 및 제2 데이터 송신부(109)를 포함하여 구성될 수 있다. 도 6에 도시된 SCADA 통신 네트워크 보안을 위한 보안 통신 장치(100)는 일 실시예에 따른 것이고, 그 구성요소들이 도 6에 도시된 실시예에 한정되는 것은 아니며, 필요에 따라 일부 구성요소가 부가, 변경 또는 삭제될 수 있다.Referring to FIG. 6, thesecure communication apparatus 100 for SCADA communication network security according to an embodiment of the present invention may include afirst data receiver 101, adata determiner 102, anoffensive mode component 103, Afirst data transmitter 104, asecond data receiver 105, a secure DNPdata verification unit 106, a control commandforgery detection unit 107, adata reconstruction unit 108, and asecond data transmitter 109. Can be configured. Thesecure communication apparatus 100 for SCADA communication network security shown in FIG. 6 is according to an embodiment, and its components are not limited to the embodiment shown in FIG. 6, and some components may be added as necessary. , Can be changed or deleted.

제1 데이터 수신부(101)는 마스터(10) 또는 아웃스테이션(20)으로부터 DNP 제어 명령 또는 DNP 응답을 포함하는 DNP 데이터를 수신한다. 즉, 보안 통신 장치(100)가 마스터 보안 통신 장치인 경우에는 마스터(10)로부터 상기 DNP 데이터를 수신하고, 보안 통신 장치(100)가 슬레이브 보안 통신 장치인 경우에는 아웃스테이션(20)으로부터 상기 DNP 데이터를 수신한다.Thefirst data receiver 101 receives DNP data including a DNP control command or a DNP response from themaster 10 or theout station 20. That is, when thesecure communication device 100 is a master secure communication device, the DNP data is received from themaster 10, and when thesecure communication device 100 is a slave secure communication device, the DNP is received from theoutstation 20. Receive data.

데이터 판단부(102)는 제1 데이터 수신부(101)에서 수신된 DNP 데이터의 기능 코드를 분석하여 상기 DNP 데이터가 전력 공급과 관련된 크리티컬 DNP 데이터에 해당하는지 여부를 판단하여, 상기 DNP 데이터가 크리티컬 DNP 데이터인 경우에는 상기 DNP 데이터를 공세 모드 구성부(103)로 전달하고, 아닌 경우에는 상기 DNP 데이터를 상기 제1 데이터 송신부(104)로 전달한다. DNP 데이터의 기능 코드는 해당 DNP 데이터의 기능을 기록한 코드로서, DNP 데이터가 수행하는 기능을 통하여 해당 DNP 데이터가 전력 공급에 미치는 영향을 알아낼 수 있어, 기능 코드를 기초로 DNP 데이터의 중요도를 획득할 수 있다.Thedata determining unit 102 analyzes the function code of the DNP data received by the firstdata receiving unit 101 to determine whether the DNP data corresponds to the critical DNP data related to power supply, and the DNP data is the critical DNP. In the case of data, the DNP data is transmitted to the offensivemode configuration unit 103, and otherwise, the DNP data is transmitted to the firstdata transmission unit 104. The function code of the DNP data is a code that records the function of the corresponding DNP data. The function of the DNP data can be used to find out the influence of the corresponding DNP data on the power supply. Can be.

또한, 데이터 판단부(102)는 제1 데이터 수신부(101)에서 수신된 DNP 데이터가 마스터(10)로부터 수신된 DNP 제어 명령을 포함하는 DNP 데이터일 때, 상기 DNP 제어 명령이 인가된 SCADA 서버로부터 수신된 것인지 여부를 판단하여, 상기 DNP 제어 명령이 인가된 SCADA 서버로부터 수신된 경우에는 제1 데이터 수신부(101)에서 수신된 DNP 데이터가 크리티컬 DNP 데이터에 해당하는지 여부를 판단하고, 아닌 경우에는 상기 DNP 데이터의 패킷을 드롭할 수 있다.In addition, thedata determination unit 102, when the DNP data received by the firstdata receiving unit 101 is DNP data including the DNP control command received from themaster 10, from the SCADA server to which the DNP control command is applied; If the DNP control command is received from an authorized SCADA server, it is determined whether the received DNP data corresponds to the critical DNP data. A packet of DNP data can be dropped.

공세 모드 구성부(103)는 DNP 데이터에 DNP 표준 보안 정책에 대응하는 DNP 메시지 인증 데이터를 첨부하는 공세 모드를 적용하여 보안 DNP 데이터를 생성한다. 이 때, 공세 모드 구성부(103)는 상기 DNP 제어 명령 또는 상기 DNP 응답의 기능 코드에 따라 분류된 등급별 제어용 세션키 또는 등급별 감시용 세션키를 이용하여 상기 DNP 메시지 인증 데이터를 생성할 수 있다. 또한, 공세 모드 구성부(103)는 상기 DNP 데이터의 프레임 별로 공세 모드를 적용하여 보안 DNP 데이터를 생성할 수 있다.The offensivemode configuration unit 103 generates secure DNP data by applying the offensive mode of attaching DNP message authentication data corresponding to the DNP standard security policy to the DNP data. At this time, the offensivemode configuration unit 103 may generate the DNP message authentication data using a class-specific control session key or class-specific monitoring session key classified according to the DNP control command or the function code of the DNP response. In addition, the offensivemode configuration unit 103 may generate the secure DNP data by applying the offensive mode for each frame of the DNP data.

제1 데이터 송신부(104)는 상기 DNP 데이터 또는 상기 보안 DNP 데이터를 다른 보안 통신 장치(100')로 송신한다. 즉, 보안 통신 장치(100)가 마스터 보안 통신 장치인 경우에는 상기 DNP 데이터 또는 상기 보안 DNP 데이터를 슬레이브 보안 통신 장치로 송신하고, 보안 통신 장치(100)가 슬레이브 보안 통신 장치인 경우에는 상기 DNP 데이터 또는 상기 보안 DNP 데이터를 마스터 보안 통신 장치로 송신한다. 이 때, 제1 데이터 송신부(104)는 SCADA 통신 네트워크를 통하여 상기 DNP 데이터 또는 상기 보안 DNP 데이터를 다른 보안 통신 장치(100')로 송신할 수 있다.Thefirst data transmitter 104 transmits the DNP data or the secure DNP data to another secure communication device 100 '. That is, when thesecure communication device 100 is a master secure communication device, the DNP data or the secure DNP data is transmitted to a slave secure communication device, and when thesecure communication device 100 is a slave secure communication device, the DNP data. Or transmit the secure DNP data to a master secure communication device. In this case, thefirst data transmitter 104 may transmit the DNP data or the secure DNP data to anothersecure communication device 100 ′ through a SCADA communication network.

제2 데이터 수신부(105)는 다른 보안 통신 장치로부터 DNP 데이터 또는 보안 DNP 데이터를 수신한다. 즉, 보안 통신 장치(100)가 슬레이브 보안 통신 장치인 경우에는 마스터 보안 통신 장치로부터 상기 DNP 데이터 또는 상기 보안 DNP 데이터를 수신하고, 보안 통신 장치(100)가 슬레이브 보안 통신 장치인 경우에는 마스터 보안 통신 장치로부터 상기 DNP 데이터 또는 상기 보안 DNP 데이터를 수신한다.Thesecond data receiver 105 receives the DNP data or the secure DNP data from another secure communication device. That is, when thesecure communication device 100 is a slave secure communication device, the DNP data or the secure DNP data is received from a master secure communication device, and when thesecure communication device 100 is a slave secure communication device, the master secure communication device. Receive the DNP data or the secure DNP data from a device.

보안 DNP 데이터 검증부(106)는 제2 데이터 수신부(105)에서 수신된 데이터가 보안 DNP 데이터인 경우, 상기 보안 DNP 데이터에 첨부된 DNP 메시지 인증 데이터가 상기 DNP 표준 보안 정책에 대응하는지 여부를 검증한다.When the data received by thesecond data receiver 105 is secure DNP data, the secure DNPdata verification unit 106 verifies whether the DNP message authentication data attached to the secure DNP data corresponds to the DNP standard security policy. do.

제어 명령 위변조 탐지부(107)는 보안 DNP 데이터 검증부(106)에서 검증된 상기 보안 DNP 데이터가 마스터(10)로부터 수신된 DNP 제어 명령을 포함하는 보안 DNP 데이터일 때, 제어 명령 위변조 탐지 시그너쳐(signature) 데이터베이스에 기반하여 상기 보안 DNP 데이터의 위변조 여부를 탐지하고, 정상인 경우에는 상기 보안 DNP 데이터를 상기 데이터 재구성부로 전달하고, 위변조가 탐지된 경우에는 상기 보안 DNP 데이터의 패킷을 드롭한다. 제어 명령 위변조 탐지 시그너쳐 데이터베이스는 DNP 데이터의 불법 명령, 방해 공격, 위변조 등을 탐지하기 위하여 DNP 데이터 링크 및 응용 계층에 대한 취약성 등을 기록한 데이터베이스이다.The control commandforgery detection unit 107 controls the control command forgery detection signature when the security DNP data verified by the security DNPdata verification unit 106 is secure DNP data including a DNP control command received from themaster 10. signature) detects whether the secure DNP data is forged or not based on a database, and if it is normal, transmits the secure DNP data to the data reconstruction unit, and drops a packet of the secure DNP data when the forgery is detected. The control command forgery detection signature database is a database that records vulnerabilities on the DNP data link and application layer to detect illegal commands, tampering attacks, and forgeries, etc. of the DNP data.

데이터 재구성부(108)는 보안 DNP 데이터 검증부(106)에서 상기 DNP 메시지 인증 데이터가 상기 DNP 표준 보안 정책에 대응하는 것으로 검증되는 경우, 상기 보안 DNP 데이터를 상기 DNP 데이터로 재구성한다.Thedata reconstruction unit 108 reconstructs the secure DNP data into the DNP data when the secure DNPdata verification unit 106 verifies that the DNP message authentication data corresponds to the DNP standard security policy.

제2 데이터 송신부(109)는 제2 데이터 수신부(105)로부터 수신된 DNP 데이터 또는 상기 데이터 재구성부(108)에서 재구성된 DNP 데이터를 마스터(10) 또는 아웃스테이션(20)으로 송신한다. 즉, 보안 통신 장치(100)가 마스터 보안 통신 장치인 경우에는 상기 DNP 데이터를 마스터(10)로 송신하고, 보안 통신 장치(100)가 슬레이브 보안 통신 장치인 경우에는 상기 DNP 데이터를 아웃스테이션(20)으로 송신한다.
Thesecond data transmitter 109 transmits the DNP data received from thesecond data receiver 105 or the DNP data reconstructed by thedata reconstruction unit 108 to themaster 10 or theout station 20. That is, when thesecure communication device 100 is a master secure communication device, the DNP data is transmitted to themaster 10, and when thesecure communication device 100 is a slave secure communication device, the DNP data is transmitted to theoutstation 20. To send).

도 7는 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 마스터 보안 통신 장치의 구성에 대한 블록도이다.7 is a block diagram of a configuration of a master secure communication device for securing a SCADA communication network according to an embodiment of the present invention.

도 7을 참조하면, 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 마스터 보안 통신 장치(110)는 마스터(10) 및 슬레이브 보안 통신 장치(120)와 연결되어 있다. 또한, 마스터 보안 통신 장치(110)는 제1 데이터 수신부(111), 데이터 판단부(112), 공세 모드 구성부(113), 제1 데이터 송신부(114), 제2 데이터 수신부(115), 보안 DNP 데이터 검증부(116), 데이터 재구성부(118) 및 제2 데이터 송신부(119)를 포함하여 구성될 수 있다. 도 7에 도시된 SCADA 통신 네트워크 보안을 위한 마스터 보안 통신 장치(100)는 일 실시예에 따른 것이고, 그 구성요소들이 도 7에 도시된 실시예에 한정되는 것은 아니며, 필요에 따라 일부 구성요소가 부가, 변경 또는 삭제될 수 있다.Referring to FIG. 7, a mastersecure communication device 110 for securing a SCADA communication network according to an embodiment of the present invention is connected to amaster 10 and a slavesecure communication device 120. In addition, the mastersecure communication device 110 includes afirst data receiver 111, adata determiner 112, an offensivemode configuration unit 113, afirst data transmitter 114, asecond data receiver 115, and security. The DNPdata verification unit 116, thedata reconstruction unit 118, and the seconddata transmission unit 119 may be configured. The mastersecure communication device 100 for securing the SCADA communication network shown in FIG. 7 is according to an embodiment, and its components are not limited to the embodiment shown in FIG. 7. It can be added, changed or deleted.

도 7에 따르면, 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 마스터 보안 통신 장치(110)는 제어 명령 위변조 탐지부를 포함하고 있지 아니한데, 이는 DNP 제어 명령 데이터의 위변조 여부의 탐지가 슬레이브 보안 통신 장치(120)에서 이루어지므로 마스터 보안 통신 장치(110)에서는 DNP 제어 명령 데이터의 위변조 여부의 탐지를 중복으로 수행할 필요가 없기 때문이다.
According to FIG. 7, the mastersecure communication apparatus 110 for securing the SCADA communication network according to an embodiment of the present invention does not include a control command forgery detection unit, which detects whether the forgery of the DNP control command data is slave. This is because the mastersecure communication device 110 does not need to duplicately detect whether the DNP control command data is forged or not because it is made by thesecure communication device 120.

도 8은 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 슬레이브 보안 통신 장치의 구성에 대한 블록도이다.8 is a block diagram of a configuration of a slave secure communication device for securing a SCADA communication network according to an embodiment of the present invention.

도 8을 참조하면, 본 발명의 일 실시예에 따른 SCADA 통신 네트워크 보안을 위한 슬레이브 보안 통신 장치(120)는 마스터 보안 통신 장치(110) 및 아웃스테이션(20)과 연결되어 있다. 또한, 슬레이브 보안 통신 장치(120)는 제1 데이터 수신부(121), 데이터 판단부(122), 공세 모드 구성부(123), 제1 데이터 송신부(124), 제2 데이터 수신부(125), 보안 DNP 데이터 검증부(126), 제어 명령 위변조 탐지부(127), 데이터 재구성부(128) 및 제2 데이터 송신부(129)를 포함하여 구성될 수 있다. 도 8에 도시된 SCADA 통신 네트워크 보안을 위한 슬레이브 보안 통신 장치(120)는 일 실시예에 따른 것이고, 그 구성요소들이 도 8에 도시된 실시예에 한정되는 것은 아니며, 필요에 따라 일부 구성요소가 부가, 변경 또는 삭제될 수 있다.Referring to FIG. 8, a slavesecure communication device 120 for securing a SCADA communication network according to an embodiment of the present invention is connected to a mastersecure communication device 110 and anout station 20. In addition, the slavesecure communication device 120 includes afirst data receiver 121, adata determiner 122, an offensivemode configuration unit 123, afirst data transmitter 124, asecond data receiver 125, and security. The DNPdata verification unit 126, the control commandforgery detection unit 127, thedata reconstruction unit 128, and the seconddata transmission unit 129 may be configured. The slavesecure communication device 120 for securing the SCADA communication network shown in FIG. 8 is according to one embodiment, and its components are not limited to the embodiment shown in FIG. It can be added, changed or deleted.

슬레이브 보안 통신 장치(120)의 데이터 판단부(122)에서는 DNP 데이터가 인가된 SCADA 서버로부터 수신된 것인지 여부를 판단하지 않는데, 이는 마스터 보안 통신 장치(110)에서 비인가된 SCADA 서버로부터의 제어 명령을 포함하는 DNP 데이터의 패킷은 드롭되므로, 슬레이브 보안 통신 장치(120)에서는 DNP 데이터가 인가된 SCADA 서버로부터 수신된 것인지 여부를 판단할 필요가 없기 때문이다.
Thedata determination unit 122 of the slavesecure communication device 120 does not determine whether the DNP data is received from an authorized SCADA server, which controls a control command from an unauthorized SCADA server in the mastersecure communication device 110. This is because the packet of the DNP data included is dropped, so that the slavesecure communication device 120 does not need to determine whether the DNP data is received from an authorized SCADA server.

도 9는 마스터로부터 데이터를 수신한 마스터 보안 통신 장치에서의 메시지 인증 및 통제 방법의 일 예를 설명하는 흐름도이다.9 is a flowchart illustrating an example of a message authentication and control method in a master secure communication device that receives data from a master.

도 9를 참조하면, 먼저 마스터 보안 통신 장치(110)가 TCP/IP를 통하여 마스터(10)로부터 DNP 제어 명령을 포함하는 DNP 제어 명령 데이터를 수신(S100)하면 DNP 제어 명령 데이터를 분석(S110)하고 상기 DNP 제어 명령이 인가된 SCADA 서버로부터 수신된 것인지 여부를 판단(S120)한다. 단계(S120)에서는 상기 DNP 제어 명령이 인가된 SCADA 서버로부터 수신된 경우에는 DNP 제어 명령 데이터가 전력 공급과 관련된 크리티컬 DNP 데이터에 해당하는지 여부를 판단(S130)하고, 아닌 경우에는 경고 후 상기 DNP 제어 명령 데이터의 패킷을 드롭(S160)한다. 단계(S130)에서는 상기 DNP 제어 명령 데이터가 크리티컬 DNP 데이터인 경우에는 프레임 별로 공세 모드를 적용하여 보안 DNP 제어 명령 데이터를 생성(S140)한다. 단계(S140)에서는 DNP 제어 명령 데이터에 대하여 등급별 제어용 세션키를 이용하여 MAC(Message Authentication Code)를 인증 데이터로 생성한 후 DNP 제어 명령 데이터 뒤에 인증 데이터를 추가함으로써 보안 DNP 제어 명령 데이터를 구성할 수 있다. 그리고, 단계(S140)에서 생성된 보안 DNP 제어 명령 데이터를 슬레이브 보안 통신 장치(120)로 전송(S150)한다. 이 때, 단계(S130)에서 상기 DNP 제어 명령 데이터가 크리티컬 DNP 데이터가 아닌 경우 인증 데이터를 추가하지 않고 원래의 DNP 제어 명령 데이터를 슬레이브 보안 통신 장치(120)로 전송(S150)한다.
9, when the mastersecure communication device 110 receives the DNP control command data including the DNP control command from themaster 10 through TCP / IP (S100), the DNP control command data is analyzed (S110). Then, it is determined whether the DNP control command is received from an authorized SCADA server (S120). In step S120, when the DNP control command is received from an authorized SCADA server, it is determined whether the DNP control command data corresponds to the critical DNP data related to power supply (S130). The packet of command data is dropped (S160). In the step S130, if the DNP control command data is the critical DNP data, secure DNP control command data is generated by applying an offensive mode for each frame (S140). In step S140, the secure DNP control command data may be configured by generating MAC (Message Authentication Code) as authentication data for the DNP control command data using the session-specific session key for authentication, and then adding authentication data after the DNP control command data. have. In operation S150, the secure DNP control command data generated in step S140 is transmitted to the slavesecure communication device 120. At this time, if the DNP control command data is not the critical DNP data in step S130, the original DNP control command data is transmitted to the slavesecure communication device 120 without adding authentication data (S150).

도 10은 마스터 보안통신장치로부터 데이터를 수신한 슬레이브 보안 통신 장치에서의 메시지 검증 및 위변조 탐지 방법의 일 예를 설명하는 흐름도이다.10 is a flowchart illustrating an example of a message verification and forgery detection method in a slave secure communication device that receives data from a master secure communication device.

도 10을 참조하면, 먼저 슬레이브 보안 통신 장치(120)가 SCADA 통신 네트워크(30)를 통하여 마스터 보안 통신 장치(110)로부터 DNP 제어 명령 데이터 또는 보안 DNP 제어 명령 데이터를 수신(S200)하면 보안 DNP 제어 명령 데이터(공세 모드 DNP 제어 명령 데이터)인지 일반 DNP 제어 명령 데이터인지 판단(S210)한다. 공세 모드로 구성된 보안 DNP 제어 명령 데이터인 경우 등급별 제어용 세션키를 이용하여 보안 DNP 제어 명령 데이터에 대한 메시지 인증 값을 검증(S220)한다. 즉, 단계(S220)에서 보안 DNP 제어 명령 데이터에 첨부된 DNP 제어 명령 인증 데이터가 상기 DNP 표준 보안 정책에 대응하는지 여부를 검증한다.Referring to FIG. 10, when the slavesecure communication device 120 receives DNP control command data or secure DNP control command data from the mastersecure communication device 110 through the SCADA communication network 30 (S200), the secure DNP control is performed. It is determined whether the command data (offensive mode DNP control command data) or the general DNP control command data (S210). In the case of the secure DNP control command data configured in the offensive mode, the message authentication value for the secure DNP control command data is verified using a session key for each level control (S220). That is, it is verified in step S220 whether the DNP control command authentication data attached to the secure DNP control command data corresponds to the DNP standard security policy.

보안 DNP 제어 명령 데이터가 검증되거나 일반 DNP 제어 명령 데이터인 경우 데이터를 분석하여 데이터의 위변조 및 공격을 탐지(S230)한다. 여기서, 위변조 여부 탐지(S230)에서는 제어 명령 위변조 탐지 시그너쳐 데이터베이스가 사용된다. 보안 DNP 제어 명령 데이터의 위변조 여부 탐지(S230)을 통하여 보안 DNP 제어 명령 데이터가 정상인지 여부를 판별(S240)하고 정상이 아닌 경우 패킷을 드롭시키고 경고를 발생(S260)하며 정상인 경우 보안 DNP 제어 명령 데이터를 DNP 제어 명령 데이터로 재구성(S250)하고 DNP 제어 명령 데이터를 아웃스테이션(20)으로 송신(S270)한다.
When the security DNP control command data is verified or normal DNP control command data, the data is analyzed to detect forgery and attack of the data (S230). Here, in the forgery detection (S230), the control command forgery detection signature database is used. Determining whether or not the security DNP control command data is forged through the detection (S230) (S240), if it is not normal, drops the packet and generates a warning (S260), and if it is normal, secure DNP control command Reconstruct the data into the DNP control command data (S250) and transmit the DNP control command data to the out station 20 (S270).

도 11은 아웃스테이션으로부터 데이터를 수신한 슬레이브 보안 통신 장치에서의 메시지 인증 및 통제 방법의 일 예를 설명하는 흐름도이다.11 is a flowchart illustrating an example of a message authentication and control method in a slave secure communication device that receives data from an out station.

도 11을 참조하면, 먼저 슬레이브 보안 통신 장치(120)가 아웃스테이션(20)으로부터 DNP 응답을 포함하는 DNP 응답 데이터를 수신(S300)하면 DNP 응답 데이터를 분석(S310)하고 크리티컬 DNP 데이터인지 판단(S320)한다. 여기서, 마스터 보안 통신 장치(110)에서 비인가된 서버로부터의 제어 명령은 패킷을 드롭하므로 슬레이브 보안 통신 장치(120)에서는 크리티컬 DNP 데이터인지만 판별한다.Referring to FIG. 11, when the slavesecure communication device 120 receives the DNP response data including the DNP response from the outstation 20 (S300), it analyzes the DNP response data (S310) and determines whether it is the critical DNP data ( S320). Here, since the control command from the unauthorized server in the mastersecure communication device 110 drops the packet, the slavesecure communication device 120 determines only the critical DNP data.

단계(S320)에서는 상기 DNP 응답 데이터가 크리티컬 DNP 데이터인 경우에는 프레임 별로 공세 모드를 적용하여 보안 DNP 응답 데이터를 생성(S330)한다. 단계(S330)에서는 DNP 응답 데이터에 대하여 등급별 감시용 세션키를 이용하여 MAC를 인증 데이터로 생성한 후 DNP 응답 데이터 뒤에 인증 데이터를 추가함으로써 보안 DNP 응답 데이터를 구성할 수 있다. 그리고, 단계(S330)에서 생성된 보안 DNP 응답 데이터를 마스터 보안 통신 장치(110)로 전송(S340)한다. 이 때, 단계(S320)에서 상기 DNP 응답 데이터가 크리티컬 DNP 데이터가 아닌 경우 인증 데이터를 추가하지 않고 원래의 DNP 응답 데이터를 마스터 보안 통신 장치(110)로 전송(S340)한다.
In step S320, if the DNP response data is critical DNP data, secure DNP response data is generated by applying an offensive mode for each frame (S330). In step S330, the secure DNP response data may be configured by generating MAC as authentication data using the session-specific monitoring session key for the DNP response data, and then adding authentication data after the DNP response data. Then, the secure DNP response data generated in step S330 is transmitted to the master secure communication device 110 (S340). At this time, if the DNP response data is not the critical DNP data in step S320, the original DNP response data is transmitted to the mastersecure communication device 110 without adding authentication data (S340).

도 12는 슬레이브 보안 통신 장치로부터 데이터를 수신한 마스터 보안통신장치에서의 메시지 검증 방법의 일 예를 설명하는 흐름도이다.12 is a flowchart illustrating an example of a message verification method in a master secure communication device receiving data from a slave secure communication device.

도 12를 참조하면, 먼저 마스터 보안 통신 장치(110)가 SCADA 통신 네트워크(30)를 통하여 슬레이브 보안 통신 장치(120)로부터 DNP 응답 데이터 또는 보안 DNP 응답 데이터를 수신(S400)하면 보안 DNP 응답 데이터(공세 모드 DNP 응답 데이터)인지 일반 DNP 제어 명령 데이터인지 판단(S410)한다. 공세 모드로 구성된 보안 DNP 응답 데이터인 경우 등급별 감시용 세션키를 이용하여 보안 DNP 응답 데이터에 대한 메시지 인증 값을 검증(S420)한다. 즉, 단계(S420)에서 보안 DNP 응답 데이터에 첨부된 DNP 응답 인증 데이터가 상기 DNP 표준 보안 정책에 대응하는지 여부를 검증한다.12, when the mastersecure communication device 110 receives the DNP response data or the secure DNP response data from the slavesecure communication device 120 through the SCADA communication network 30 (S400), the secure DNP response data ( It is determined whether offensive mode DNP response data) or general DNP control command data (S410). In the case of the secure DNP response data configured in the offensive mode, the message authentication value for the secure DNP response data is verified by using a session key for monitoring by grade (S420). That is, in step S420, it is verified whether the DNP response authentication data attached to the secure DNP response data corresponds to the DNP standard security policy.

보안 DNP 응답 데이터가 검증되면, 보안 DNP 응답 데이터를 DNP 응답 데이터로 재구성(S430)하고, DNP 응답 데이터를 마스터(10)으로 송신(S440)한다. 여기서, 제어 명령에 대한 위변조 탐지가 슬레이브 보안 통신 장치(120)에서 이루어졌으므로 마스터 보안 통신 장치(110)에서 제어 명령 응답에 대한 검증만을 사용하고 위변조 공격에 대한 탐지는 사용하지 않는다.
When the secure DNP response data is verified, the secure DNP response data is reconstructed into the DNP response data (S430), and the DNP response data is transmitted to the master 10 (S440). Here, since the forgery detection for the control command is made in the slavesecure communication device 120, the mastersecure communication device 110 uses only the verification of the control command response and does not use the detection for the forgery attack.

전술한 SCADA 통신 네트워크 보안을 위한 보안 통신 방법은 도면에 제시된 흐름도를 참조로 하여 설명되었다. 간단히 설명하기 위하여 상기 방법은 일련의 블록들로 도시되고 설명되었으나, 본 발명은 상기 블록들의 순서에 한정되지 않고, 몇몇 블록들은 다른 블록들과 본 명세서에서 도시되고 기술된 것과 상이한 순서로 또는 동시에 일어날 수도 있으며, 동일한 또는 유사한 결과를 달성하는 다양한 다른 분기, 흐름 경로, 및 블록의 순서들이 구현될 수 있다. 또한, 본 명세서에서 기술되는 방법의 구현을 위하여 도시된 모든 블록들이 요구되지 않을 수도 있다.
The aforementioned secure communication method for securing the SCADA communication network has been described with reference to the flowchart shown in the drawings. While the above method has been shown and described as a series of blocks for purposes of simplicity, it is to be understood that the invention is not limited to the order of the blocks, and that some blocks may be present in different orders and in different orders from that shown and described herein And various other branches, flow paths, and sequences of blocks that achieve the same or similar results may be implemented. Also, not all illustrated blocks may be required for implementation of the methods described herein.

이상 본 발명의 특정 실시예를 도시하고 설명하였으나, 본 발명의 기술사상은 첨부된 도면과 상기한 설명내용에 한정하지 않으며 본 발명의 사상을 벗어나지 않는 범위 내에서 다양한 형태의 변형이 가능함은 이 분야의 통상의 지식을 가진 자에게는 자명한 사실이며, 이러한 형태의 변형은, 본 발명의 정신에 위배되지 않는 범위 내에서 본 발명의 특허청구범위에 속한다고 볼 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is clearly understood that the same is by way of illustration and example only and is not to be taken as limitations. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

10마스터
100보안 통신 장치
110마스터 보안 통신 장치
120슬레이브 보안 통신 장치
20슬레이브
30SCADA 통신 네트워크10 master
100 secure communication devices
110 Master Secure Communication Device
120 Slave Secure Communication Device
20 slave
30 SCADA Communication Network