[go: up one dir, main page]

KR20250063100A - Power grid access security system and method for intermittent communication ports - Google Patents

Power grid access security system and method for intermittent communication ports Download PDF

Info

Publication number
KR20250063100A
KR20250063100A KR1020240011715A KR20240011715A KR20250063100A KR 20250063100 A KR20250063100 A KR 20250063100A KR 1020240011715 A KR1020240011715 A KR 1020240011715A KR 20240011715 A KR20240011715 A KR 20240011715A KR 20250063100 A KR20250063100 A KR 20250063100A
Authority
KR
South Korea
Prior art keywords
connection
external device
network
power grid
grid access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
KR1020240011715A
Other languages
Korean (ko)
Inventor
윤기하
유학
김근용
김성창
김철원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US18/781,498 priority Critical patent/US20250141786A1/en
Publication of KR20250063100A publication Critical patent/KR20250063100A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J4/00Circuit arrangements for mains or distribution networks not specified as AC or DC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 간헐적 통신포트의 전력망 접근보안 시스템은 통신포트의 연결을 관리 및 감시하는 연결 관리부와, 상기 통신포트의 기능 동작을 위해 필요한 전력을 공급하는 전원부와, 네트워크 연결 및 보안 서비스를 위한 인터페이스를 통합 제공하는 복합 인터페이스부를 포함하되, 상기 연결 관리부는 연결 설정 정보에 기초하여 외부 장치에 대한 네트워크 연결 여부를 확인하고, 연결 설정 정보에 기초하여 상기 네트워크 연결을 위한 조건을 만족하지 않는 경우 상기 외부 장치로부터 수신된 데이터를 파기한다.The power grid access security system of an intermittent communication port according to the present invention comprises a connection management unit for managing and monitoring the connection of the communication port, a power supply unit for supplying power required for the functional operation of the communication port, and a composite interface unit for integrating and providing an interface for network connection and security services, wherein the connection management unit confirms whether a network connection is established for an external device based on connection setting information, and if the conditions for the network connection are not satisfied based on the connection setting information, data received from the external device is discarded.

Description

간헐적 통신포트의 전력망 접근보안 시스템 및 방법{POWER GRID ACCESS SECURITY SYSTEM AND METHOD FOR INTERMITTENT COMMUNICATION PORTS}{POWER GRID ACCESS SECURITY SYSTEM AND METHOD FOR INTERMITTENT COMMUNICATION PORTS}

본 발명은 간헐적 통신포트의 전력망 접근보안 시스템 및 방법에 관한 것이다.The present invention relates to a power grid access security system and method for an intermittent communication port.

도 1은 종래 IT와 OT가 혼재된 산업용 네트워크(열린 네트워크, 100: 110, 120)를 설명하기 위한 도면이다.Figure 1 is a diagram for explaining a conventional industrial network (open network, 100: 110, 120) where IT and OT are mixed.

열린 네트워크(100)에서는 네트워크의 열린 부분에 대한 보안 강화가 필요하며, 이를 위해 인터넷망과 자체 네트워크의 연결부에 방화벽 장치가 도입되었다. 이 방화벽은 다양한 보안 정책을 통해 외부로부터 알려진 방식 기반의 부정적인 외부 접근 및 악성코드 공격을 효과적으로 대비할 수 있도록 설계되어 있다. 이러한 보안 대책을 유지하기 위해서는 방화벽 장치에 대한 유지보수가 필요하다.In an open network (100), security reinforcement for the open part of the network is required, and for this purpose, a firewall device has been introduced at the connection between the Internet and the private network. This firewall is designed to effectively counter negative external access and malicious code attacks based on known methods from the outside through various security policies. Maintenance of the firewall device is required to maintain these security measures.

도 2는 전력분야 네트워크(200)의 사이버 위협의 예시를 설명하기 위한 도면이다.Figure 2 is a drawing to explain an example of a cyber threat to a power field network (200).

도 2와 같은 폐쇄망 구성의 산업용 네트워크(200)는 외부와의 연결이 제한된 폐쇄적인 특성을 가지고 있다. 그러나 이러한 폐쇄망에서도 장치의 유지보수, 업그레이드 등 산업 장비 관리 측면에서는 엔지니어링 PC의 접속이나 저장장치의 연결이 필요할 수 있다.An industrial network (200) with a closed network configuration such as that of Fig. 2 has a closed characteristic with limited connection to the outside. However, even in such a closed network, connection of an engineering PC or connection of a storage device may be required for industrial equipment management such as maintenance and upgrade of devices.

이러한 물리적인 접근으로 인해 사이버 위협이 발생할 수 있다. 특히 엔지니어링 PC의 접속이나 저장장치의 연결을 통해 멀웨어, 바이러스와 같은 악성코드의 감염이 발생할 수 있다.Such physical access can lead to cyber threats, especially malware and viruses that can be infected through access to engineering PCs or storage devices.

도 3은 종래 네트워크 중계장비(310)의 접속 구조를 설명하기 위한 도면이다.Figure 3 is a drawing for explaining the connection structure of a conventional network relay device (310).

도 3은 종래 네트워크 중계장비(310)의 일반적인 칩 단위 구조를 나타낸 것으로, 이러한 구성은 연결된 IT 및 OT 장치(320)에 대하여 MDI(Medial Dependent Interface) 규격이 동일하다면 물리적인 연결이 가능하며, 또한 네트워크 중계장비(310)에서 허용하는 네트워크 프로토콜의 경우, 연결된 IT 및 OT 장치(320)의 네트워크 접속이 가능하게 된다.Figure 3 shows a typical chip unit structure of a conventional network relay device (310). This configuration enables physical connection if the MDI (Medial Dependent Interface) standard is the same for connected IT and OT devices (320), and in the case of a network protocol allowed by the network relay device (310), network connection of connected IT and OT devices (320) is enabled.

하지만, 이 경우 접속 가능한 네트워크 프로토콜의 취약점을 통해 제3자의 네트워크 접속으로 악의적인 통신장애 유발이나 악성코드 배포 등의 사이버 위협에 노출될 우려가 있다.However, in this case, there is a risk of exposure to cyber threats such as malicious communication failure or malware distribution through third-party network access through vulnerabilities in accessible network protocols.

등록특허공보 제10-1662118호(2016.10.05)Patent Registration No. 10-1662118 (October 5, 2016)

본 발명이 해결하고자 하는 과제는 각종 산업분야에서의 IoT(Internet of Things) 장치 도입이 증가함에 따라, 공용 네트워크 또는 열린 네트워크에서 OT(Operation Technology) 및 IT(Information Technology) 프로토콜이 동시에 관리되는 상황에서 발생할 수 있는 물리적 위협과 논리적 위협에 대응할 수 있는, 간헐적 통신포트의 전력망 접근보안 시스템 및 방법을 제공하는 것이다.The problem to be solved by the present invention is to provide a power grid access security system and method for an intermittent communication port capable of responding to physical and logical threats that may occur in a situation where OT (Operation Technology) and IT (Information Technology) protocols are simultaneously managed in a public network or an open network as the introduction of IoT (Internet of Things) devices in various industrial fields increases.

다만, 본 발명이 해결하고자 하는 과제는 상기된 바와 같은 과제로 한정되지 않으며, 또다른 과제들이 존재할 수 있다.However, the problems to be solved by the present invention are not limited to the problems described above, and other problems may exist.

상술한 과제를 해결하기 위한 본 발명의 제1 측면에 따른 간헐적 통신포트의 전력망 접근보안 시스템은 통신포트의 연결을 관리 및 감시하는 연결 관리부와, 상기 통신포트의 기능 동작을 위해 필요한 전력을 공급하는 전원부와, 네트워크 연결 및 보안 서비스를 위한 인터페이스를 통합 제공하는 복합 인터페이스부를 포함한다. 이때, 상기 연결 관리부는 연결 설정 정보에 기초하여 외부 장치에 대한 네트워크 연결 여부를 확인하고, 연결 설정 정보에 기초하여 상기 네트워크 연결을 위한 조건을 만족하지 않는 경우 상기 외부 장치로부터 수신된 데이터를 파기한다.According to the first aspect of the present invention for solving the above-described problem, a power grid access security system of an intermittent communication port includes a connection management unit for managing and monitoring the connection of the communication port, a power supply unit for supplying power required for the functional operation of the communication port, and a composite interface unit for integrating and providing an interface for network connection and security services. At this time, the connection management unit checks whether or not a network is connected to an external device based on connection setting information, and if the conditions for the network connection are not satisfied based on the connection setting information, data received from the external device is discarded.

본 발명의 일부 실시예에 있어서, 상기 복합 인터페이스부는 상기 외부 장치에 대한 식별정보, 접근허용 시간, 연결방법, 암호화 사용 여부 및 암호키 중 적어도 하나를 포함하는 외부 장치의 정보를 획득하고, 상기 연결 관리부는 상기 외부 장치의 정보에 기초하여 상기 연결 설정 정보를 변경할 수 있다.In some embodiments of the present invention, the composite interface unit obtains information of the external device including at least one of identification information, access permission time, connection method, use of encryption, and encryption key for the external device, and the connection management unit can change the connection setting information based on the information of the external device.

본 발명의 일부 실시예에 있어서, 상기 연결 관리부는 상기 연결 설정 정보를 만족하는 경우 상기 외부 장치의 네트워크 연결을 허용하고, 상기 네트워크 연결된 외부 장치에 대한 미허가 통신 프로토콜의 감지 이벤트, 연결 해제 이벤트 및 연결시간 도과 이벤트 중 적어도 하나를 포함하는 이벤트를 감지시 관리 장치로 상기 이벤트를 보고할 수 있다.In some embodiments of the present invention, the connection management unit may allow the network connection of the external device if the connection setting information is satisfied, and may report the event to the management device if an event including at least one of a detection event of an unauthorized communication protocol for the network-connected external device, a connection release event, and a connection timeout event is detected.

본 발명의 일부 실시예는, 상기 네트워크 연결된 외부 장치와의 송수신되는 데이터를 대상으로 소정의 패킷 암호화 및 복호화를 수행하는 암호화부를 더 포함할 수 있다.Some embodiments of the present invention may further include an encryption unit that performs predetermined packet encryption and decryption on data transmitted and received with the network-connected external device.

본 발명의 일부 실시예에 있어서, 상기 전력망 접근보안 시스템은 네트워크 중계장비의 통신포트에 삽입되는 모듈 형태로 구현될 수 있다.In some embodiments of the present invention, the power grid access security system may be implemented in the form of a module inserted into a communication port of a network relay device.

본 발명의 일부 실시예에 있어서, 상기 전력망 접근보안 시스템은 네트워크 중계장비의 PCB 단위로 구현되거나, 네트워크 릴레이 칩 셋 내에 SoC 또는 SoP 형태로 내장되도록 구현될 수 있다.In some embodiments of the present invention, the power grid access security system may be implemented as a PCB unit of a network relay equipment, or may be implemented to be embedded in a network relay chipset in the form of an SoC or SoP.

또한, 본 발명의 제2 측면에 따른 간헐적 통신포트의 전력망 접근보안 방법은 전원이 인가됨에 따라 네트워크 연결 차단 상태를 유지하는 단계; 상기 네트워크 연결을 위한 연결 설정 정보의 구성이 완료됨에 따라 인터페이스 대기 상태로 동작하는 단계; 외부 장치에 대한 네트워크 연결 시도를 감지함에 따라, 상기 연결 설정 정보에 기초하여 네트워크 연결 허용 여부를 판단하는 단계; 및 상기 연결 설정 정보를 만족하지 않는 경우 상기 외부 장치로부터 수신되는 데이터를 파기하는 단계를 포함한다.In addition, a power grid access security method of an intermittent communication port according to a second aspect of the present invention includes a step of maintaining a network connection blocking state when power is supplied; a step of operating in an interface standby state when configuration of connection setting information for the network connection is completed; a step of determining whether to allow a network connection based on the connection setting information when detecting a network connection attempt to an external device; and a step of destroying data received from the external device if the connection setting information is not satisfied.

본 발명의 일부 실시예에 있어서, 상기 네트워크 연결을 위한 연결 설정 정보의 구성이 완료됨에 따라 인터페이스 대기 상태로 동작하는 단계는, 상기 외부 장치에 대한 식별정보, 접근허용 시간, 연결방법, 암호화 사용 여부 및 암호키 중 적어도 하나를 포함하는 외부 장치의 정보를 획득하는 단계; 및 상기 외부 장치의 정보에 기초하여 상기 연결 설정 정보를 변경하는 단계를 포함할 수 있다.In some embodiments of the present invention, the step of operating in an interface standby state upon completion of configuring connection setup information for the network connection may include the step of acquiring information of the external device including at least one of identification information of the external device, an access permission time, a connection method, whether to use encryption, and an encryption key; and the step of changing the connection setup information based on the information of the external device.

본 발명의 일부 실시예는, 상기 연결 설정 정보를 만족하는 경우 상기 외부 장치의 네트워크 연결을 허용하는 단계; 및 상기 네트워크 연결된 외부 장치에 대한 미허가 통신 프로토콜의 감지 이벤트, 연결 해제 이벤트 및 연결시간 도과 이벤트 중 적어도 하나를 포함하는 이벤트를 감지시 관리 장치로 상기 이벤트를 보고하는 단계를 더 포함할 수 있다.Some embodiments of the present invention may further include a step of allowing a network connection of the external device if the connection setting information is satisfied; and a step of reporting an event including at least one of a detection event of an unauthorized communication protocol for the network-connected external device, a connection release event, and a connection timeout event to a management device.

본 발명의 일부 실시예는, 상기 네트워크 연결된 외부 장치와의 송수신되는 데이터를 대상으로 소정의 패킷 암호화 및 복호화를 수행하는 단계를 더 포함할 수 있다.Some embodiments of the present invention may further include a step of performing predetermined packet encryption and decryption on data transmitted and received with the network-connected external device.

상술한 과제를 해결하기 위한 본 발명의 다른 면에 따른 컴퓨터 프로그램은, 하드웨어인 컴퓨터와 결합되어 간헐적 통신포트의 전력망 접근보안 방법을 실행하며, 컴퓨터 판독가능 기록매체에 저장된다.According to another aspect of the present invention for solving the above-described problem, a computer program is coupled with a computer as hardware to execute a method for securing power grid access of an intermittent communication port, and is stored in a computer-readable recording medium.

본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Other specific details of the present invention are included in the detailed description and drawings.

본 발명의 일 실시예는 종래의 산업용 네트워크에서 발생할 수 있는 다양한 사이버보안 문제에 대응하여 향상된 안전성과 보안성을 제공할 수 있다. 산업용 네트워크는 흔히 알려진 네트워크 프로토콜을 사용하고 있어, 이로 인해 악의적인 제3자가 다양한 방법으로 허용되지 않은 네트워크 연결을 시도할 수 있다. 이는 OT 장치 및 단말에서 오동작과 통신오류를 유발할 수 있으며, 국제적으로 사이버보안 문제로 인식되고 있다.One embodiment of the present invention can provide improved safety and security in response to various cybersecurity issues that may occur in conventional industrial networks. Industrial networks commonly use well-known network protocols, which allows malicious third parties to attempt unauthorized network connections in various ways. This can cause malfunctions and communication errors in OT devices and terminals, and is recognized internationally as a cybersecurity issue.

본 발명의 일 실시예는 이러한 문제에 효과적으로 대응하여 네트워크 연결을 제한하고 안전성을 강화할 수 있다. 먼저, 연결되는 장치의 식별, 통신포트의 시간, 통신속도 등을 조절하여 네트워크 연결을 효과적으로 제한할 수 있으며, 이를 통해 허용되지 않은 네트워크 연결을 미리 방지하고, 시스템의 안전성을 높일 수 있다.One embodiment of the present invention can effectively address these problems by limiting network connections and enhancing security. First, network connections can be effectively limited by controlling the identification of the connected device, the time of the communication port, the communication speed, etc., thereby preventing unauthorized network connections in advance and enhancing the security of the system.

또한, 본 발명의 일 실시예는 연결된 통신포트의 연결을 물리적으로 단절시키는 기능을 제공할 수 있다. 이는 물리적인 차원에서 제3자의 악의적인 접근을 차단함으로써 보안 수준을 향상시킬 수 있다. 그리고 허용되지 않은 물리적인 네트워크 접근을 방지함으로써 시스템의 무결성을 보호하고, 잠재적인 위협으로부터 안전한 환경을 유지할 수 있다.In addition, one embodiment of the present invention can provide a function for physically disconnecting a connected communication port. This can improve the level of security by blocking malicious access by a third party in a physical dimension. In addition, by preventing unauthorized physical network access, the integrity of the system can be protected and an environment can be maintained that is safe from potential threats.

또한, 본 발명의 일 실시예는 연결이 허용된 장치나 단말에 대해서는 네트워크 접근사유에 따라 연결시간 및 프로토콜을 제한할 수 있다. 이는 허가된 사용자에게는 적절한 권한을 부여하면서도 불필요한 연결을 방지함으로써 보안 및 안전성을 확보할 수 있다.In addition, one embodiment of the present invention can restrict connection time and protocols for devices or terminals that are allowed to connect, depending on the reason for network access. This can secure security and safety by preventing unnecessary connections while granting appropriate authority to authorized users.

본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The effects of the present invention are not limited to the effects mentioned above, and other effects not mentioned will be clearly understood by those skilled in the art from the description below.

도 1은 종래 IT와 OT가 혼재된 산업용 네트워크(열린 네트워크)를 설명하기 위한 도면이다.
도 2는 전력분야 네트워크의 사이버 위협의 예시를 설명하기 위한 도면이다.
도 3은 종래 네트워크 중계장비의 접속 구조를 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 전력망 접근보안 시스템의 블록도이다.
도 5a 및 도 5b는 본 발명의 일 실시예에 따른 전력망 접근보안 시스템의 구현 실시예를 설명하기 위한 도면이다.
도 6은 통신포트 단위의 모듈형 구조로 구현한 실시예를 설명하기 위한 도면이다.
도 7은 암호화 모듈을 동시에 사용한 실시예를 설명하기 위한 도면이다.
도 8은 본 발명의 일 실시예에 따른 전력망 접근보안 방법의 순서도이다.Figure 1 is a diagram explaining an industrial network (open network) where conventional IT and OT are mixed.
Figure 2 is a diagram illustrating an example of a cyber threat to a power sector network.
Figure 3 is a drawing for explaining the connection structure of a conventional network relay equipment.
FIG. 4 is a block diagram of a power grid access security system according to one embodiment of the present invention.
FIG. 5a and FIG. 5b are drawings for explaining an implementation example of a power grid access security system according to one embodiment of the present invention.
Figure 6 is a drawing for explaining an embodiment implemented with a modular structure of communication port units.
Figure 7 is a drawing for explaining an embodiment in which encryption modules are used simultaneously.
Figure 8 is a flowchart of a power grid access security method according to one embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야의 통상의 기술자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. The advantages and features of the present invention, and the methods for achieving them, will become clear with reference to the embodiments described in detail below together with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various different forms, and the present embodiments are provided only to make the disclosure of the present invention complete and to fully inform a person skilled in the art of the scope of the present invention, and the present invention is defined only by the scope of the claims.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.The terminology used herein is for the purpose of describing embodiments only and is not intended to limit the present invention. In this specification, the singular also includes the plural unless specifically stated otherwise in the phrase. The terms "comprises" and/or "comprising" as used in the specification do not exclude the presence or addition of one or more other components in addition to the mentioned components. Like reference numerals refer to like components throughout the specification, and "and/or" includes each and every combination of one or more of the mentioned components. Although "first", "second", etc. are used to describe various components, it is to be understood that these components are not limited by these terms. These terms are merely used to distinguish one component from another. Therefore, it should be understood that a first component mentioned below may also be a second component within the technical spirit of the present invention.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used in this specification may be used with the meaning commonly understood by those skilled in the art to which the present invention belongs. In addition, terms defined in commonly used dictionaries shall not be ideally or excessively interpreted unless explicitly specifically defined.

본 발명은 간헐적 통신포트의 전력망 접근보안 시스템 및 방법에 관한 것이다.The present invention relates to a power grid access security system and method for an intermittent communication port.

본 발명의 일 실시예는 산업 분야에서 활용되는 열린 네트워크 환경에서의 통신포트(단자)에 대한 접근보안 및 관리 기능을 강화하기 위한 것으로 특히, 각 장치의 유지보수를 위해 간헐적으로 사용되는 네트워크 통신포트에 대하여 엄격한 연결제한 및 효과적인 관리 기능을 부여하여 네트워크의 보안성을 높일 수 있다.One embodiment of the present invention is to enhance access security and management functions for communication ports (terminals) in an open network environment utilized in the industrial field, and in particular, to enhance network security by granting strict connection restrictions and effective management functions to network communication ports used intermittently for maintenance of each device.

즉, 본 발명의 일 실시예는, 간헐적으로 사용되는 통신포트에 대한 접근은 엄격하게 제한한다. 이는 외부에서의 무단 접근을 방지하고, 해당 통신포트를 통한 잠재적인 보안 위협을 최소화하며, 연결된 각 장치의 유지보수 작업을 위한 접근에 대해서도 보안 절차를 강화하는 것을 말한다.That is, one embodiment of the present invention strictly restricts access to a communication port that is used intermittently. This means preventing unauthorized access from the outside, minimizing potential security threats through the communication port, and strengthening security procedures for access for maintenance work on each connected device.

또한, 본 발명의 일 실시예는, 간헐적으로 사용되는 통신포트에 대한 상세한 제어와 감시를 제공한다. 이는 해당 통신포트를 통해 연결된 장치의 식별정보, 접근 권한, 연결 방법, 암호화 설정 등을 철저히 관리함으로써 네트워크의 투명성과 안정성을 유지할 수 있도록 한다.In addition, one embodiment of the present invention provides detailed control and monitoring of intermittently used communication ports. This enables the transparency and stability of the network to be maintained by thoroughly managing the identification information, access rights, connection method, encryption settings, etc. of the devices connected through the communication ports.

이처럼, 본 발명의 일 실시예는 열린 네트워크 환경에서 간헐적으로 사용되는 통신포트에 대한 보안성을 강화하고 유지보수 작업을 안전하게 수행하기 위한 효과적인 접근 및 관리 기능을 제공하여 산업 분야의 네트워크 보안을 향상시킬 수 있도록 한다.In this way, one embodiment of the present invention enhances the security of communication ports that are intermittently used in an open network environment and provides effective access and management functions for safely performing maintenance work, thereby improving network security in the industrial field.

이하에서는 도 4 내지 도 7을 참조하여 본 발명의 일 실시예에 따른 간헐적 통신포트의 전력망 접근보안 시스템(이하 전력망 접근보안 시스템)에 대해 설명하도록 한다.Hereinafter, a power grid access security system (hereinafter referred to as the power grid access security system) of an intermittent communication port according to one embodiment of the present invention will be described with reference to FIGS. 4 to 7.

도 4는 본 발명의 일 실시예에 따른 전력망 접근보안 시스템(400)의 블록도이다.FIG. 4 is a block diagram of a power grid access security system (400) according to one embodiment of the present invention.

본 발명의 일 실시예에 따른 전력망 접근보안 시스템(400)은 연결 관리부(410), 전원부(420), 복합 인터페이스부(430) 및 암호화부(440)를 포함한다.A power grid access security system (400) according to one embodiment of the present invention includes a connection management unit (410), a power supply unit (420), a composite interface unit (430), and an encryption unit (440).

연결 관리부(Link Manager, 410)는 통신포트의 연결을 관리 및 감시한다. 즉, 해당 통신포트에 대한 연결의 설정, 유지 및 해제를 담당할 수 있다.The Link Manager (410) manages and monitors the connection of the communication port. That is, it can be responsible for establishing, maintaining, and releasing a connection to the communication port.

전원부(PWR, 420)는 전원을 제공하는 부분으로, 통신포트의 기능 동작을 위해 필요한 전력을 공급한다.The power supply unit (PWR, 420) provides power and supplies the power required for the functional operation of the communication port.

복합 인터페이스부(MI; Multi Interface, 430)는 네트워크 연결 및 보안 서비스를 위한 인터페이스를 통합 제공한다. The Multi Interface (MI; 430) provides an integrated interface for network connection and security services.

일 실시예로, 복합 인터페이스부(430)는 외부 장치에 대한 식별정보, 접근허용 시간, 연결방법, 암호화 사용 여부 및 암호키 중 적어도 하나를 포함하는 외부 장치의 정보를 획득할 수 있다.In one embodiment, the composite interface unit (430) can obtain information of an external device including at least one of identification information for the external device, access permission time, connection method, whether encryption is used, and an encryption key.

이에 따라, 연결 관리부(410)는 보안서비스 관리서버 또는 엣지장치(Edge Computing Device)로부터 연결이 허용된 외부 장치의 정보에 기초하여 연결 설정 정보를 변경할 수 있다.Accordingly, the connection management unit (410) can change the connection setting information based on information of an external device allowed to be connected from a security service management server or an edge computing device.

또한, 연결 관리부(410)는 연결 설정 정보에 기초하여 외부 장치에 대한 네트워크 연결 여부를 확인한다. 그리고 연결 설정 정보에 기초하여 네트워크 연결을 위한 조건을 만족하지 않는 경우 외부 장치로부터 수신된 데이터, 패킷 등을 모두 파기한다.In addition, the connection management unit (410) checks whether there is a network connection to an external device based on the connection setting information. And, if the conditions for network connection are not satisfied based on the connection setting information, all data, packets, etc. received from the external device are discarded.

이와 달리, 연결 관리부(410)는 연결 설정 정보를 만족하는 경우 외부 장치의 네트워크 연결을 허용할 수 있다. 그리고 연결 관리부(410)는 이후 네트워크 연결된 외부 장치에 대한 미허가 통신 프로토콜 감지 이벤트, 연결 해제 이벤트 및 연결시간 도과 이벤트 중 적어도 하나를 포함하는 이벤트 감지시 관리 장치(보안서비스 관리서버 또는 엣지장치)로 이벤트를 보고할 수 있다. 또한, 연결 설정 정보를 만족하지 않는 외부 장치의 접근 또는 연결 이벤트 감지시 관리 장치로 해당 이벤트를 보고할 수 있다.In contrast, the connection management unit (410) may allow the network connection of the external device if the connection setting information is satisfied. Then, the connection management unit (410) may report an event to the management device (security service management server or edge device) when detecting an event including at least one of an unauthorized communication protocol detection event, a connection release event, and a connection timeout event for the external device connected to the network. In addition, when detecting an access or connection event of an external device that does not satisfy the connection setting information, the corresponding event may be reported to the management device.

일 실시예로, 암호화부(440)는 네트워크 연결된 외부 장치와의 송수신되는 데이터를 대상으로 소정의 패킷 암호화 및 복호화를 수행할 수 있다. 즉, 암호화부(440)는 제3자에 의한 임의 연결을 제한하기 위하여 보안서비스에서 결정한 패킷 암호화 및 복호화를 수행한다. 암호화부(440)는 블록 암호 기반의 공개된 암호알고리즘 또는 특별히 설계된 암호화 알고리즘을 구현하여 적용될 수 있다.In one embodiment, the encryption unit (440) may perform predetermined packet encryption and decryption on data transmitted and received with a network-connected external device. That is, the encryption unit (440) performs packet encryption and decryption determined by the security service in order to limit arbitrary connections by a third party. The encryption unit (440) may be applied by implementing a public encryption algorithm based on a block cipher or a specially designed encryption algorithm.

도 5a 및 도 5b는 본 발명의 일 실시예에 따른 전력망 접근보안 시스템(510, 520)의 구현 실시예를 설명하기 위한 도면이다.FIG. 5a and FIG. 5b are drawings for explaining an implementation example of a power grid access security system (510, 520) according to one embodiment of the present invention.

일 실시예로, 본 발명에 따른 전력망 접근보안 시스템(510)은 도 5a와 같이 네트워크 중계장비의 통신포트에 삽입되는 모듈 형태로 구현될 수 있다. 즉, 도 5a와 같이 종래의 네트워크 중계장비의 통신포트에 꼽히는 모듈 형태로 구현됨으로써 통신 장비의 모듈화 및 확대된 유연성 제공이 가능하다는 장점이 있다. 이는 특히 종래의 장비에 쉽게 통합 연결이 가능하여 기존 네트워크 인프라를 업그레이드하거나 개선하는 데에 용이하다는 장점이 있다. 또한, 특정 통신포트와 겸하는 전원을 공급할 때 해당 전원을 활용할 수 있는 기능 블록으로 대체할 수 있어 전력 관리 측면에서 효율성을 증대시킬 수 있다.In one embodiment, the power grid access security system (510) according to the present invention can be implemented in the form of a module inserted into a communication port of a network relay equipment as shown in FIG. 5a. That is, since it is implemented in the form of a module inserted into a communication port of a conventional network relay equipment as shown in FIG. 5a, it has the advantage of providing modularization and expanded flexibility of the communication equipment. This has the advantage of being particularly easy to integrate and connect to conventional equipment, making it easy to upgrade or improve existing network infrastructure. In addition, when power is supplied to a specific communication port, it can be replaced with a function block that can utilize the power, thereby increasing efficiency in terms of power management.

다른 실시예로, 본 발명에 따른 전력망 접근보안 시스템(520)은 도 5b와 같이 네트워크 중계장비의 PCB 단위로 구현되거나, 네트워크 릴레이 칩 셋 내에 SoC(System on a Chip) 또는 SoP(System on a Package) 형태로 내장되도록 구현될 수 있다. 이러한 구조를 통해 본 발명의 일 실시예는 집적도를 높여 성능과 효율성을 극대화시킬 수 있다. In another embodiment, the power grid access security system (520) according to the present invention may be implemented as a PCB unit of a network relay device as shown in FIG. 5b, or may be implemented to be embedded in a network relay chipset in the form of a SoC (System on a Chip) or SoP (System on a Package). Through this structure, one embodiment of the present invention can maximize performance and efficiency by increasing the degree of integration.

도 6은 통신포트 단위의 모듈형 구조(600)로 구현한 실시예를 설명하기 위한 도면이다. Figure 6 is a drawing for explaining an embodiment implemented with a modular structure (600) of communication port units.

도 6과 같이 본 발명의 일 실시예를 통신포트 단위의 모듈형 구조(600)로 구현한 보안모듈 형태(600)는 보다 강력한 보안성을 제공할 수 있다. 이 모듈은 통신포트에 단단히 고정되는 구조, 즉 Safety Lock Object를 적용함으로써 보안을 강화할 수 있다.As shown in Fig. 6, a security module type (600) that implements one embodiment of the present invention in a modular structure (600) of communication ports can provide stronger security. This module can enhance security by applying a structure that is firmly fixed to the communication port, that is, a Safety Lock Object.

Safety Lock Object는 모듈(600)이 통신포트에 안전하게 고정되어 있어, 보안모듈(600)이 강제로 탈착되는 시도가 있을 경우에는 네트워크 중계장비(610)의 통신포트에 연결된 임의의 장치나 단말이 이를 파손하게 된다. 이로써 보안모듈(600)의 강제 탈착을 시도한 경우에는 허가되지 않은 제3자의 네트워크 연결을 차단하고, 시스템의 무결성을 보호할 수 있다.The Safety Lock Object safely fixes the module (600) to the communication port, so that if there is an attempt to forcibly remove the security module (600), any device or terminal connected to the communication port of the network relay equipment (610) will damage it. Accordingly, if there is an attempt to forcibly remove the security module (600), unauthorized third-party network connections can be blocked, and the integrity of the system can be protected.

도 7은 암호화 모듈(720)을 동시에 사용한 실시예를 설명하기 위한 도면이다.Figure 7 is a drawing for explaining an embodiment in which encryption modules (720) are used simultaneously.

도 7와 같이 보안모듈(710)과 암호화 모듈(720)을 동시에 사용하면 네트워크 중계장비(710)의 통신포트에 상시 암호화 운용을 적용할 수 있다. 이는 통상적인 통신 연결장치를 통한 네트워크 연결 및 접속이 불가능하게 하여 더욱 엄격한 연결관리를 가능케 할 수 있다. 이러한 암호화 모듈(720)은 데이터를 안전하게 암호화하고 복호화함으로써 민감한 정보를 보호하며, 네트워크의 무결성과 보안성을 한층 강화시킬 수 있도록 한다.As shown in Fig. 7, if a security module (710) and an encryption module (720) are used simultaneously, constant encryption operation can be applied to the communication port of the network relay device (710). This can enable stricter connection management by making network connection and access through a conventional communication connection device impossible. This encryption module (720) protects sensitive information by safely encrypting and decrypting data, and further enhances the integrity and security of the network.

도 8은 본 발명의 일 실시예에 따른 전력망 접근보안 방법의 순서도이다.Figure 8 is a flowchart of a power grid access security method according to one embodiment of the present invention.

먼저, 전원이 인가됨에 따라(S101), 네트워크 연결 차단 상태를 유지시킨다(S102).First, when power is applied (S101), the network connection is maintained in a disconnected state (S102).

다음으로, 네트워크 연결을 위한 연결 설정 정보의 구성이 완료됨에 따라(S103), 인터페이스 대기 상태로 동작한다(S104). 이때, 본 발명의 일 실시예는 외부 장치에 대한 식별정보, 접근허용 시간, 연결방법, 암호화 사용 여부 및 암호키 중 적어도 하나를 포함하는 외부 장치의 정보를 획득하고, 외부 장치의 정보에 기초하여 상기 연결 설정 정보를 변경할 수 있다.Next, as the configuration of connection setup information for network connection is completed (S103), the interface is operated in a standby state (S104). At this time, one embodiment of the present invention obtains information of the external device including at least one of identification information for the external device, access permission time, connection method, use of encryption, and encryption key, and can change the connection setup information based on the information of the external device.

다음으로, 외부 장치에 대한 네트워크 연결 시도를 감지함에 따라(S105), 통신연결 대기 상태를 유지하도록 하고(S106), 연결 설정 정보에 기초하여 네트워크 연결 허용 여부를 판단한다(S107). Next, when a network connection attempt to an external device is detected (S105), a communication connection standby state is maintained (S106), and whether to allow the network connection is determined based on the connection setting information (S107).

판단 결과 연결 설정 정보를 만족하지 않는 경우 외부 장치로부터 수신되는 데이터를 파기하고 해당 이벤트를 관리 장치로 보고할 수 있다(S108).If the judgment result does not satisfy the connection setup information, the data received from the external device can be discarded and the event can be reported to the management device (S108).

이와 달리, 판단 결과 연결 설정 정보를 만족하는 경우 외부 장치의 네트워크 연결을 허용한다(S109).In contrast, if the judgment result satisfies the connection setup information, the network connection of the external device is permitted (S109).

그 다음, 네트워크 연결된 외부 장치에 대한 미허가 통신 프로토콜의 감지 이벤트(S110), 연결 해제 이벤트(S111) 및 연결시간 도과 이벤트(S112) 중 적어도 하나를 포함하는 이벤트를 감지시 관리 장치로 이벤트를 보고한다(S108).Next, when an event including at least one of a detection event of an unauthorized communication protocol for a network-connected external device (S110), a disconnection event (S111), and a connection timeout event (S112) is detected, the event is reported to the management device (S108).

한편, 상술한 설명에서, 단계 S101 내지 S112은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다. 아울러, 도 4 내지 도 7의 내용과 도 8의 내용은 상호 적용될 수 있다.Meanwhile, in the above description, steps S101 to S112 may be further divided into additional steps or combined into fewer steps, depending on the implementation of the present invention. In addition, some steps may be omitted as needed, and the order between the steps may be changed. In addition, the contents of FIGS. 4 to 7 and the contents of FIG. 8 may be mutually applied.

이상에서 전술한 본 발명의 일 실시예는, 하드웨어인 컴퓨터와 결합되어 실행되기 위해 프로그램(또는 어플리케이션)으로 구현되어 매체에 저장될 수 있다.The above-described embodiment of the present invention can be implemented as a program (or application) to be executed in combination with a computer, which is hardware, and stored in a medium.

상기 전술한 프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C, C++, JAVA, Ruby, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.The above-described program may include codes coded in a computer language, such as C, C++, JAVA, Ruby, or machine language, that can be read by the processor (CPU) of the computer through the device interface of the computer, so that the computer reads the program and executes the methods implemented as a program. Such codes may include functional codes related to functions that define functions necessary for executing the methods, and may include control codes related to execution procedures necessary for the processor of the computer to execute the functions according to a predetermined procedure. In addition, such codes may further include memory reference-related codes regarding which location (address address) of the internal or external memory of the computer should be referenced for additional information or media necessary for the processor of the computer to execute the functions. In addition, if the processor of the computer needs to communicate with another computer or server located remotely in order to execute the functions, the code may further include communication-related code regarding how to communicate with another computer or server located remotely using the communication module of the computer, what information or media to send and receive during communication, etc.

상기 저장되는 매체는, 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 구체적으로는, 상기 저장되는 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있지만, 이에 제한되지 않는다. 즉, 상기 프로그램은 상기 컴퓨터가 접속할 수 있는 다양한 서버 상의 다양한 기록매체 또는 사용자의 상기 컴퓨터상의 다양한 기록매체에 저장될 수 있다. 또한, 상기 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장될 수 있다.The above storage medium means a medium that stores data semi-permanently and can be read by a device, rather than a medium that stores data for a short period of time, such as a register, cache, or memory. Specifically, examples of the storage medium include, but are not limited to, ROM, RAM, CD-ROM, magnetic tape, floppy disk, or optical data storage device. That is, the program can be stored in various storage media on various servers that the computer can access or in various storage media on the user's computer. In addition, the medium can be distributed to computer systems connected to a network, so that a computer-readable code can be stored in a distributed manner.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The above description of the present invention is for illustrative purposes, and those skilled in the art will understand that the present invention can be easily modified into other specific forms without changing the technical idea or essential characteristics of the present invention. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive. For example, each component described as a single component may be implemented in a distributed manner, and likewise, components described as distributed may be implemented in a combined form.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is indicated by the claims described below rather than the detailed description above, and all changes or modifications derived from the meaning and scope of the claims and their equivalent concepts should be interpreted as being included in the scope of the present invention.

400: 전력망 접근보안 시스템
410: 연결 관리부
420: 전원부
430: 복합 인터페이스부
440: 암호화부400: Power Grid Access Security System
410: Connection Management
420: Power supply
430: Composite interface section
440: Encryption Unit

Claims (10)

통신포트의 연결을 관리 및 감시하는 연결 관리부와,
상기 통신포트의 기능 동작을 위해 필요한 전력을 공급하는 전원부와,
네트워크 연결 및 보안 서비스를 위한 인터페이스를 통합 제공하는 복합 인터페이스부를 포함하되,
상기 연결 관리부는 연결 설정 정보에 기초하여 외부 장치에 대한 네트워크 연결 여부를 확인하고, 연결 설정 정보에 기초하여 상기 네트워크 연결을 위한 조건을 만족하지 않는 경우 상기 외부 장치로부터 수신된 데이터를 파기하는 것인,
간헐적 통신포트의 전력망 접근보안 시스템.
A connection management unit that manages and monitors the connection of communication ports,
A power supply unit that supplies the power required for the functional operation of the above communication port,
Including a composite interface section that provides an integrated interface for network connection and security services,
The above connection management unit determines whether a network connection is made to an external device based on the connection setting information, and if the conditions for the network connection are not satisfied based on the connection setting information, the data received from the external device is discarded.
Power grid access security system for intermittent communication ports.
 제1항에 있어서,
상기 복합 인터페이스부는 상기 외부 장치에 대한 식별정보, 접근허용 시간, 연결방법, 암호화 사용 여부 및 암호키 중 적어도 하나를 포함하는 외부 장치의 정보를 획득하고,
상기 연결 관리부는 상기 외부 장치의 정보에 기초하여 상기 연결 설정 정보를 변경하는 것인,
간헐적 통신포트의 전력망 접근보안 시스템.
In the first paragraph,
The above composite interface unit obtains information of the external device including at least one of identification information, access permission time, connection method, use of encryption, and encryption key for the external device,
The above connection management unit changes the connection setting information based on the information of the external device.
Power grid access security system for intermittent communication ports.
 제2항에 있어서,
상기 연결 관리부는 상기 연결 설정 정보를 만족하는 경우 상기 외부 장치의 네트워크 연결을 허용하고, 상기 네트워크 연결된 외부 장치에 대한 미허가 통신 프로토콜의 감지 이벤트, 연결 해제 이벤트 및 연결시간 도과 이벤트 중 적어도 하나를 포함하는 이벤트를 감지시 관리 장치로 상기 이벤트를 보고하는 것인,
간헐적 통신포트의 전력망 접근보안 시스템.
In the second paragraph,
The above connection management unit allows the network connection of the external device when the connection setting information is satisfied, and reports the event to the management device when detecting an event including at least one of a detection event of an unauthorized communication protocol for the network-connected external device, a connection release event, and a connection timeout event.
Power grid access security system for intermittent communication ports.
 제3항에 있어서,
상기 네트워크 연결된 외부 장치와의 송수신되는 데이터를 대상으로 소정의 패킷 암호화 및 복호화를 수행하는 암호화부를 더 포함하는,
간헐적 통신포트의 전력망 접근보안 시스템.
In the third paragraph,
Further comprising an encryption unit that performs packet encryption and decryption for data transmitted and received with the external device connected to the network.
Power grid access security system for intermittent communication ports.
 제1항에 있어서,
상기 전력망 접근보안 시스템은 네트워크 중계장비의 통신포트에 삽입되는 모듈 형태로 구현되는 것인,
간헐적 통신포트의 전력망 접근보안 시스템.
In the first paragraph,
The above power grid access security system is implemented in the form of a module inserted into the communication port of a network relay equipment.
Power grid access security system for intermittent communication ports.
 제1항에 있어서,
상기 전력망 접근보안 시스템은 네트워크 중계장비의 PCB 단위로 구현되거나, 네트워크 릴레이 칩 셋 내에 SoC 또는 SoP 형태로 내장되도록 구현되는 것인,
간헐적 통신포트의 전력망 접근보안 시스템.
In the first paragraph,
The above power grid access security system is implemented as a PCB unit of a network relay equipment or is implemented to be embedded in the form of SoC or SoP within a network relay chipset.
Power grid access security system for intermittent communication ports.
 간헐적 통신포트의 전력망 접근보안 시스템에 의해 수행되는 방법에 있어서,
전원이 인가됨에 따라 네트워크 연결 차단 상태를 유지하는 단계;
상기 네트워크 연결을 위한 연결 설정 정보의 구성이 완료됨에 따라 인터페이스 대기 상태로 동작하는 단계;
외부 장치에 대한 네트워크 연결 시도를 감지함에 따라, 상기 연결 설정 정보에 기초하여 네트워크 연결 허용 여부를 판단하는 단계; 및
상기 연결 설정 정보를 만족하지 않는 경우 상기 외부 장치로부터 수신되는 데이터를 파기하는 단계를 포함하는,
간헐적 통신포트의 전력망 접근보안 방법.
In a method performed by a power grid access security system of an intermittent communication port,
Step of maintaining a network connection disconnected state when power is applied;
A step of operating in an interface standby state upon completion of configuration of connection setup information for the above network connection;
Upon detecting a network connection attempt to an external device, a step of determining whether to allow the network connection based on the connection setting information; and
Comprising a step of destroying data received from the external device if the above connection setting information is not satisfied.
A method for securing power grid access for intermittent communication ports.
 제5항에 있어서,
상기 네트워크 연결을 위한 연결 설정 정보의 구성이 완료됨에 따라 인터페이스 대기 상태로 동작하는 단계는,
상기 외부 장치에 대한 식별정보, 접근허용 시간, 연결방법, 암호화 사용 여부 및 암호키 중 적어도 하나를 포함하는 외부 장치의 정보를 획득하는 단계; 및
상기 외부 장치의 정보에 기초하여 상기 연결 설정 정보를 변경하는 단계를 포함하는,
간헐적 통신포트의 전력망 접근보안 방법.
In paragraph 5,
The step of operating in the interface standby state as the configuration of the connection setup information for the above network connection is completed is as follows:
A step of acquiring information of an external device including at least one of identification information, access permission time, connection method, use of encryption, and encryption key for the external device; and
Comprising a step of changing the connection setting information based on information of the external device,
A method for securing power grid access for intermittent communication ports.
 제6항에 있어서,
상기 연결 설정 정보를 만족하는 경우 상기 외부 장치의 네트워크 연결을 허용하는 단계; 및
상기 네트워크 연결된 외부 장치에 대한 미허가 통신 프로토콜의 감지 이벤트, 연결 해제 이벤트 및 연결시간 도과 이벤트 중 적어도 하나를 포함하는 이벤트를 감지시 관리 장치로 상기 이벤트를 보고하는 단계를 더 포함하는,
간헐적 통신포트의 전력망 접근보안 방법.
In Article 6,
A step for allowing network connection of the external device if the above connection setting information is satisfied; and
Further comprising a step of reporting the event to a management device upon detection of an event including at least one of a detection event of an unauthorized communication protocol for the network-connected external device, a disconnection event, and a connection timeout event.
A method for securing power grid access for intermittent communication ports.
 제9항에 있어서,
상기 네트워크 연결된 외부 장치와의 송수신되는 데이터를 대상으로 소정의 패킷 암호화 및 복호화를 수행하는 단계를 더 포함하는,
간헐적 통신포트의 전력망 접근보안 방법.In Article 9,
Further comprising a step of performing a predetermined packet encryption and decryption on data transmitted and received with the external device connected to the network.
A method for securing power grid access for intermittent communication ports.
KR1020240011715A 2023-10-31 2024-01-25 Power grid access security system and method for intermittent communication ports Pending KR20250063100A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US18/781,498 US20250141786A1 (en) 2023-10-31 2024-07-23 Power grid access security system and method for intermittent communication ports

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020230148311 2023-10-31
KR20230148311 2023-10-31

Publications (1)

Publication Number Publication Date
KR20250063100A true KR20250063100A (en) 2025-05-08

Family

ID=95711945

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020240011715A Pending KR20250063100A (en) 2023-10-31 2024-01-25 Power grid access security system and method for intermittent communication ports

Country Status (1)

Country Link
KR (1) KR20250063100A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101662118B1 (en) 2016-03-17 2016-10-05 이미애 Security Ethernet Port

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101662118B1 (en) 2016-03-17 2016-10-05 이미애 Security Ethernet Port

Similar Documents

Publication Publication Date Title
Wang et al. Security issues and challenges for cyber physical system
Abou el Kalam Securing SCADA and critical industrial systems: From needs to security mechanisms
Katulić et al. Protecting modbus/TCP-based industrial automation and control systems using message authentication codes
Tsai et al. Strategy for implementing of zero trust architecture
CN100386994C (en) Client device, server device and authority control method
US20130081103A1 (en) Enhanced Security SCADA Systems and Methods
TW200529002A (en) System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication
CN103441926B (en) Security gateway system of numerically-controllmachine machine tool network
Varadharajan et al. Techniques for enhancing security in industrial control systems
US10616235B2 (en) On-demand authorization of access to protected resources
KR101143847B1 (en) Network security apparatus and method thereof
CN118337549A (en) Smart home system, safety protection method and device taking safety protection into consideration
Kim et al. A study on the security requirements analysis to build a zero trust-based remote work environment
Maurya et al. Blockchain-powered solution to safeguard iot devices against attacks
US20060294249A1 (en) Communication system, communication terminal comprising virtual network switch, and portable electronic device comprising organism recognition unit
KR20250063100A (en) Power grid access security system and method for intermittent communication ports
KR20150114921A (en) System and method for providing secure network in enterprise
KR20100067383A (en) Server security system and server security method
US20250141786A1 (en) Power grid access security system and method for intermittent communication ports
KR101818508B1 (en) System, method and computer readable recording medium for providing secure network in enterprise
Zwarico O‐RAN Security
Choi IoT (Internet of Things) based Solution Trend Identification and Analysis Research
Baocheng et al. The research of security in NB-IoT
KR101175667B1 (en) Network access management method for user terminal using firewall
CN114301693B (en) Hidden channel security defense system for cloud platform data

Legal Events

Date Code Title Description
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902