KR101227086B1 - Method and apparatus for data communication between physically separated networks - Google Patents
Method and apparatus for data communication between physically separated networks Download PDFInfo
- Publication number
- KR101227086B1 KR101227086B1 KR1020120088386A KR20120088386A KR101227086B1 KR 101227086 B1 KR101227086 B1 KR 101227086B1 KR 1020120088386 A KR1020120088386 A KR 1020120088386A KR 20120088386 A KR20120088386 A KR 20120088386A KR 101227086 B1 KR101227086 B1 KR 101227086B1
- Authority
- KR
- South Korea
- Prior art keywords
- communication
- network
- relay device
- data
- serial bus
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4282—Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
본 발명은 물리적으로 분리된 네트워크 사이의 데이터 통신에 관한 것으로서, 더욱 상세하게는, 물리적으로 분리된 네트워크 사이에서, 사용자가 설정한 정책에 따라, 양방향으로 데이터 통신을 중계할 수 있는 데이터 통신 방법 및 장치에 관한 것이다.
The present invention relates to data communication between physically separated networks, and more particularly, to a data communication method capable of relaying data communication in two directions according to a policy set by a user between physically separated networks. Relates to a device.
최근, 많은 기관과 기업들이 자신들의 업무 처리를 위한 내부 네트워크 및 서버를 설치하여 운영하고 있다. 도 1은 통상적인 내부 및 외부 네트워크 구성을 보여주는 도면으로서, 도 1에 도시된 바와 같이, 기관과 기업의 구성원들(장비 A, B, C, D 등)은 내부 네트워크(10)를 통하여 자신들의 업무를 처리하고, 다른 구성원과 데이터 통신을 수행하는 한편, 인터넷망 등의 공용 외부 네트워크(60)를 통하여, 외부 기관과 통신하거나 업무를 수행한다. 이와 같이, 하나의 장비가 기업의 내부 네트워크(10) 및 공용 외부 네트워크(60)에 동시에 연결되어 있으므로, 네트워크의 사용 환경에 따라, 해킹, 불법 자료 유출 등의 보안 사고가 빈번히 발생하고 있다. 이와 같은 문제를 해소하기 위하여, 내부 네트워크(10)와 외부 네트워크(60)를 물리적으로 분리시키는 방법도 고려되고 있다. 그러나, 내부 네트워크(10)와 외부 네트워크(60)를 물리적으로 분리시키면, 내부 네트워크(10)와 외부 네트워크(60) 사이의 통신이 완전히 단절되어, 보안성은 강화되지만, 업무 효율성이 저하되는 단점이 있다.
Recently, many organizations and companies have installed and operated internal networks and servers for their business processes. 1 is a diagram illustrating a typical internal and external network configuration, as shown in FIG. 1, members of institutions and corporations (equipment A, B, C, D, etc.) are connected through their
본 발명의 목적은, 내부 네트워크와 외부 네트워크 사이에 설치되어, 내부 및 외부 네트워크를 물리적으로 분리하면서도, 내부 및 외부 네트워크 사이의 데이터 통신을 가능하게 하는 방법 및 장치를 제공하는 것이다.It is an object of the present invention to provide a method and apparatus installed between an internal network and an external network to enable data communication between the internal and external networks while physically separating the internal and external networks.
본 발명의 다른 목적은, 사용자가 설정한 통신 인가 정책에 따라서, 통신 허용 여부와 통신 대상을 결정할 수 있는, 물리적으로 분리된 네트워크 사이의 데이터 통신 방법 및 장치를 제공하는 것이다. Another object of the present invention is to provide a method and apparatus for data communication between physically separated networks that can determine whether to allow communication and a communication target according to a communication authorization policy set by a user.
본 발명의 또 다른 목적은, 해킹, 불법 자료 유출 등의 보안 사고를 방지할 수 있는, 물리적으로 분리된 네트워크 사이의 데이터 통신 방법 및 장치를 제공하는 것이다.
Still another object of the present invention is to provide a method and apparatus for data communication between physically separated networks, which can prevent security incidents such as hacking and illegal data leakage.
상기 목적을 달성하기 위하여, 본 발명은, 제1 네트워크의 어느 하나의 장비에 설치되어 있는 제1 통신 중계 장치; 상기 제1 네트워크와 물리적으로 분리되어 있는 제2 네트워크의 어느 하나의 장비에 설치되어 있는 제2 통신 중계 장치; 및 상기 제1 통신 중계 장치와 제2 통신 중계 장치를 연결하는 직렬 버스를 포함하며, 상기 제1 통신 중계 장치는, 상기 제1 네트워크의 통신 프로토콜에 따라, 상기 제1 네트워크에 연결되어 있는 하나 이상의 장비로부터, 통신 데이터를 전달받고, 상기 직렬 버스 구간의 통신 프로토콜에 따라, 상기 제2 통신 중계 장치로 통신 데이터를 전달하며, 상기 제2 통신 중계 장치는, 상기 직렬 버스 구간의 통신 프로토콜에 따라, 상기 통신 데이터를 전달받아, 제2 네트워크의 통신 프로토콜에 따라, 제2 네트워크에 연결되어 있는 하나 이상의 장비로 통신 데이터를 전달하며, 상기 직렬 버스 구간의 통신 프로토콜은 상기 제1 및 제2 네트워크의 통신 프로토콜과 상이한 것인, 물리적으로 분리된 네트워크 사이의 데이터 통신 장치를 제공한다.
In order to achieve the above object, the present invention, the first communication relay device installed in any one of the equipment of the first network; A second communication relay device installed in any one device of a second network that is physically separated from the first network; And a serial bus connecting the first communication relay device and the second communication relay device, wherein the first communication relay device is connected to the first network according to a communication protocol of the first network. Receiving communication data from equipment, and transmitting communication data to the second communication relay device according to the communication protocol of the serial bus section, wherein the second communication relay device according to the communication protocol of the serial bus section, Receiving the communication data, according to the communication protocol of the second network, and transmits the communication data to one or more equipment connected to the second network, the communication protocol of the serial bus section is the communication of the first and second network It provides a data communication device between physically separated networks, which is different from the protocol.
또한, 본 발명은, 제1 네트워크 및 제2 네트워크는 물리적으로 분리되어 있고, 제1 네트워크의 어느 하나의 장비에는 제1 통신 중계 장치가 설치되고, 제2 네트워크의 어느 하나의 장비에는 제2 통신 중계 장치가 설치되며, 상기 제1 통신 중계 장치와 제2 통신 중계 장치는 직렬 버스로 연결되어 있는, 물리적으로 분리된 네트워크에 있어서, 상기 제1 네트워크의 통신 프로토콜에 따라, 상기 제1 네트워크에 연결되어 있는 하나 이상의 장비로부터, 제1 통신 중계 장치로 통신 데이터를 전달하는 단계; 상기 직렬 버스 구간의 통신 프로토콜에 따라, 상기 제1 통신 중계 장치로부터 제2 네트워크의 제2 통신 중계 장치로 통신 데이터를 전달하는 단계; 및 제2 네트워크의 통신 프로토콜에 따라, 상기 제2 통신 중계 장치로부터, 제2 네트워크에 연결되어 있는 하나 이상의 장비로 통신 데이터를 전달하는 단계를 포함하며, 상기 직렬 버스 구간의 통신 프로토콜은 상기 제1 및 제2 네트워크의 통신 프로토콜과 상이한 것인, 데이터 통신 방법을 제공한다.
In addition, the present invention, the first network and the second network is physically separated, the first communication relay device is installed in any one device of the first network, the second communication in any one device of the second network. In a physically separated network in which a relay device is installed and the first communication relay device and the second communication relay device are connected by a serial bus, the first communication relay device and the second communication relay device are connected to the first network according to a communication protocol of the first network. Transferring communication data from the at least one device to the first communication relay device; Transferring communication data from the first communication relay device to a second communication relay device of a second network according to the communication protocol of the serial bus section; And transferring communication data from the second communication relay device to one or more equipment connected to the second network according to the communication protocol of the second network, wherein the communication protocol of the serial bus section is the first protocol. And a data communication method different from the communication protocol of the second network.
본 발명에 따른 물리적으로 분리된 네트워크 사이의 데이터 통신 방법 및 장치에 의하면, 사용자가 설정한 통신 인가 정책에 따라서, 통신 허용 여부와 통신 대상을 결정할 수 있으므로, 내부 및 외부 네트워크 사이의 통신 관리가 용이할 뿐만 아니라, 해킹, 불법 자료 유출 등의 보안 사고를 방지할 수 있다.
According to the method and apparatus for data communication between physically separated networks according to the present invention, whether to allow communication and a target of communication can be determined according to a communication authorization policy set by a user, so communication between internal and external networks can be easily managed. In addition, security incidents such as hacking and illegal data leakage can be prevented.
도 1은 통상적인 외부 및 내부 네트워크 구성을 보여주는 도면.
도 2 및 3은, 본 발명의 일 실시예에 따라, 물리적으로 분리된 네트워크 사이의 데이터 통신을 수행하기 위한 네트워크 구성을 보여주는 도면.
도 4는, 종래의 IEEE 1394 케이블로 두 개의 장비를 연결한 경우, 두 장비 사이에서, 데이터 전송 상태를 보여주는 도면.
도 5는 종래의 TCP/IP를 이용한 IEEE 1394 네트워크 프로토콜과 본 발명에 사용되는 직렬 버스용 통신 프로토콜의 차이를 보여주는 OSI 7 레이어 대비 도면.
도 6는, 본 발명의 일 실시예에 따라, 물리적으로 분리된 네트워크에 속하는 각각의 장비들 사이에서, 데이터 통신이 중계되는 과정을 보여주는 도면.
도 7는, 본 발명에 따른 네트워크 사이의 데이터 통신에 있어서, 직렬 버스 구간의 통신을 중계하는 통신 중계 장치의 세부 구성을 보여주는 도면.
도 8은 물리적으로 분리된 두 개의 네트워크를 하나의 직렬 버스로 연결하고, 본 발명에 따라 양방향 데이터 통신을 수행하는 것을 보여주는 도면.
도 9는 물리적으로 분리된 두 개의 네트워크를 다수의 직렬 버스로 연결하고, 본 발명에 따라 양방향 데이터 통신을 수행하는 것을 보여주는 도면.
도 10은 물리적으로 분리된 두 개의 네트워크를 다수의 직렬 버스로 연결하되, 송신(통신 요청)과 수신(통신 응답)을 물리적으로 다른 직렬 버스를 이용하여 각각 별개로 전송하는 것을 보여주는 도면.1 shows a typical external and internal network configuration.
2 and 3 illustrate a network configuration for performing data communication between physically separated networks, according to an embodiment of the invention.
4 is a diagram illustrating a data transmission state between two devices when two devices are connected by a conventional IEEE 1394 cable.
5 is an OSI 7 layer comparison showing the difference between the conventional IEEE 1394 network protocol using TCP / IP and the communication protocol for the serial bus used in the present invention.
6 is a diagram illustrating a process in which data communication is relayed between respective devices belonging to a physically separated network according to an embodiment of the present invention.
7 is a diagram showing the detailed configuration of a communication relay apparatus for relaying communication in a serial bus section in data communication between networks according to the present invention.
8 illustrates connecting two physically separated networks into a single serial bus and performing bidirectional data communication in accordance with the present invention.
9 illustrates connecting two physically separated networks into multiple serial buses and performing bidirectional data communication in accordance with the present invention.
FIG. 10 is a diagram illustrating two physically separated networks connected to multiple serial buses, each transmitting transmission (communication request) and reception (communication response) separately using physically different serial buses.
이하, 첨부된 도면을 참조하여, 본 발명을 상세히 설명한다.Hereinafter, with reference to the accompanying drawings, the present invention will be described in detail.
도 2 및 3은, 본 발명의 일 실시예에 따라, 물리적으로 분리된 네트워크 사이의 데이터 통신을 수행하기 위한 네트워크 구성을 보여주는 도면이다. 도 2 및 3에 도시된 바와 같이, 본 발명이 구현되는 네트워크에 있어서, 내부 네트워크(10, 제1 네트워크) 및 외부 네트워크(60, 제2 네트워크)는 물리적으로 분리(단절)되어 있고, 상기 내부 네트워크(10)에 속하는 어느 하나의 장비, 예를 들면, 내부 컴퓨터(20)와 상기 외부 네트워크(60)에 속하는 어느 하나의 장비, 예를 들면, 외부 컴퓨터(70)는 직렬 버스(100)로 연결되어 있다.
2 and 3 are diagrams illustrating a network configuration for performing data communication between physically separated networks according to an embodiment of the present invention. 2 and 3, in the network in which the present invention is implemented, the internal network 10 (first network) and the external network 60 (second network) are physically separated (disconnected), and the internal Any device belonging to the
본 발명에 있어서, 상기 내부 네트워크(10)는, 예를 들면, 보안이 유지될 필요가 있는 특정 조직의 사설 네트워크를 의미하고, 상기 외부 네트워크(60)는, 예를 들면, 공용 인터넷망을 의미하지만, 이에 한정되지 않고, 네트워크에 의한 통신이 분리될 필요가 있는 둘 이상의 네트워크를 포괄적으로 의미한다. 따라서, 이하, 필요에 따라, 상기 내부 네트워크(10)를 제1 네트워크라 하고, 상기 외부 네트워크(60)를 제2 네트워크라 한다. 본 발명에 있어서, 상기 내부 네트워크(10) 및 외부 네트워크(60)가 물리적으로 분리되어 있다는 것은, 어느 하나의 네트워크, 예를 들면, 내부 네트워크(10)에 있는 내부 컴퓨터(20), 통신 장비, 보안 장비들과 다른 하나의 네트워크, 예를 들면, 외부 네트워크(60)에 있는 외부 컴퓨터(70), 통신 장비, 보안 장비들이 네트워크적으로 완전히 단절되어 있는 것, 즉, 상기 내부 네트워크(10) 및/또는 외부 네트워크(60)에 사용되는 통신 프로토콜이 상기 내부 네트워크(10)와 외부 네트워크(60) 사이의 데이터 통신에 사용되지 않음을 의미한다.
In the present invention, the
상기 내부 네트워크(10)에 속하는 어느 하나의 장비와 상기 외부 네트워크(60)에 속하는 어느 하나의 장비를 연결하는 직렬 버스(100)로는 IEEE 1394 케이블, USB(Universal Serial Bus), SUB(Subminiature) 시리얼 버스 등을 단독 또는 둘 이상 조합하여 사용할 수 있고, 바람직하게는 IEEE 1394 케이블을 사용할 수 있다. IEEE 1394 케이블은 미국 애플 컴퓨터사와 텍사스인스트루먼트사가 공동 개발한 고속 시리얼 버스 인터페이스(Serial Bus Interface)로서, 파이어와이어(Firewire)라고도 한다. IEEE 1394 버스는 직렬 방식의 디지털 인터페이스로서, IEEE A Type(속도: 400 Mbps)과 IEEE B Type(속도: 800 Mbps)이 있으며, 1995년 IEEE 기구에서 공식 표준으로 채택되어, 현재까지 많은 컴퓨터에서 IEEE 1394 케이블 연결을 위한 IEEE 1394 포트를 제공하고 있다. IEEE 1394의 초기 목적은, 컴퓨터(personal computer: PC)와 다른 장비(카메라, 캠코더, 프린터 등)를 직접 연결하여, 소량의 데이터를 전송하기 위한 것이었다. 즉, IEEE 1394에 의해 연결된 장비들이 통신 프로그램에 의해 통신하거나, 네트워크를 통하여 데이터가 전달되는 것이 아니라, IEEE 1394 케이블에 의해 직접 연결된 장비들 사이에서만 단순히 데이터가 전달되도록, 초기 IEEE 1394 버스가 설계되었다. 도 4는, 종래의 IEEE 1394 케이블로 두 개의 장비를 연결한 경우, 두 장비 사이에서, 데이터 전송 상태를 보여주는 도면이다. 도 4에 도시된 바와 같이, 초기 IEEE 1394 케이블을 이용한 장치의 연결은, peer-to-peer 연결 형태로서, 좌측 장비에서 우측 장비로만 데이터를 전송하거나(도 4의 A), 우측 장비에서 좌측 장비로만 데이터를 전송할 수 있다(도 4의 B). 즉, IEEE 1394 케이블을 이용한 종래의 데이터 전송의 경우, 한 번에 하나의 데이터만 전송할 수 있고, 동시에 양쪽 방향으로 데이터를 전송하거나, 동시에 여러 데이터를 전송할 수 없는 제약이 있었다.
The
이러한 초기 IEEE 1394의 기능을 확장하여, TCP/IP 네트워킹 기술을 이용한IEEE 1394 네트워크 기술이 개발되었으며(이를 1394 Net 이라 한다), 이에 의해, IEEE 1394 포트를 가진 장비들을 IEEE 1394 케이블로 연결하면, 연결된 장비들 사이에 TCP/IP 통신이 가능하게 되었다. 그러나, 이러한 통신 방식은 TCP/IP를 이용하므로, 네트워크를 물리적으로 분리할 수 없고, 물리적으로 분리된 네트워크 사이에서 통신 중계를 수행할 수도 없다. 물리적으로 분리된 네트워크(10, 60, 도 3 참조) 상의 장비들(장비 A 및 장비 C) 사이에서 통신을 중계하기 위해서는, 내부 또는 외부 네트워크(10, 60)에 사용되는 통신 프로토콜을 그대로 사용하는 것이 가장 간단하지만, 이 경우, 두 개의 네트워크(10, 60)는 본 발명에서 의미하는 물리적으로 분리된 네트워크가 아니며, 두 네트워크(10, 60) 사이의 통신을 관리할 수 없고, 보안이 강화되지도 않는다.
Extending these early IEEE 1394 capabilities, IEEE 1394 network technology using TCP / IP networking technology has been developed (called 1394 Net), whereby devices with IEEE 1394 ports can be connected using an IEEE 1394 cable. TCP / IP communication between devices is now possible. However, since this communication method uses TCP / IP, the network cannot be physically separated, and communication relaying cannot be performed between physically separated networks. In order to relay communications between devices (equipment A and C) on physically separated
따라서, 본 발명에 있어서는, 두 개의 네트워크(10, 60)가 물리적으로 분리된 구간에서, 내부 또는 외부 네트워크(10, 60)에 사용되는 통신 프로토콜과는 상이한 통신 프로토콜을 사용하여 데이터 통신(통신 중계 및 전송)을 수행한다. 상기 분리된 네트워크(10, 60) 사이의 통신 중계에 사용되는 통신 프로토콜은 일반적으로 알려지지 않은 것이거나, 일반적으로 알려진 것이더라도, 제3자가 사용된 통신 프로토콜의 종류를 쉽게 알 수 없는 것이 바람직하며, 본 발명에서는 이와 같은 통신 프로토콜을 직렬 버스용 통신 프로토콜 또는 1394-크로스넷(CrossNet) 프로토콜이라 칭한다. 이와 같이 네트워크가 분리된 직렬 버스 구간에서, 네트워크의 통신 프로토콜과 상이한(즉, 네트워크의 장비와 직접 통신할 수 없는) 직렬 버스용 통신 프로토콜을 사용하여 통신을 중계함으로서, 분리된 망간의 불법적인 통신을 차단하고, 인가된 통신만 허용하는 보안 기능을 제공할 수 있다. 도 5는 종래의 TCP/IP를 이용한 IEEE 1394 네트워크("1394 Net") 프로토콜과 본 발명에 사용되는 직렬 버스용 통신 프로토콜의 차이를 보여주는 OSI 7 레이어(Open Systems Interconnection Layer) 대비 도면이다. 도 5에 도시된 바와 같이, 종래의 IEEE 1394 네트워크는 공지된 TCP/IP를 전송 인터페이스로 사용하지만, 본 발명의 직렬 버스용 통신 프로토콜은, 범용적으로 사용되는 통신 프로토콜과는 상이한 것으로서, 커널 디바이스 드라이버 위에서 작동하며, OSI의 Layer 3 ~ 7의 범위에서 구현된다.
Therefore, in the present invention, data communication (communication relaying) is performed using a communication protocol different from the communication protocol used for the internal or
다시, 도 2를 참조하면, 상기 제1 네트워크(10)의 어느 하나의 장비(예를 들면, 내부 컴퓨터(20))에는, 직렬 버스(100)가 연결되고, 상기 직렬 버스(100)를 제어하기 위한 직렬 버스 (IEEE 1394) 컨트롤러 및 직렬 버스(IEEE 1394) 디바이스 드라이버가 설치되며, 상기 직렬 버스(100)를 통한 통신을 관리 및 제어하기 위한 제1 통신 중계 장치(30)가 설치된다. 마찬가지로, 상기 제2 네트워크(10)의 어느 하나의 장비(예를 들면, 외부 컴퓨터(70))에도, 상기 직렬 버스(100)가 연결되고, 상기 직렬 버스(100)를 제어하기 위한 IEEE 1394 버스 컨트롤러 및 IEEE 1394 디바이스 드라이버가 설치되며, 상기 직렬 버스(100)를 통한 통신을 관리 및 제어하기 위한 제2 통신 중계 장치(80)가 설치된다. 따라서, 상기 제1 통신 중계 장치(30)와 제2 통신 중계 장치(80)는 직렬 버스(100)로 연결되고, 직렬 버스(100)를 통한 데이터 통신을 관리 및 제어한다.
Referring back to FIG. 2, a
도 6는, 본 발명의 일 실시예에 따라, 물리적으로 분리된 네트워크에 속하는 각각의 장비들 사이에서, 데이터 통신이 중계되는 과정을 보여주는 도면이다. 본 발명은, IEEE 1394 케이블을 이용하여, peer-to-peer 방식으로 단순히 데이터를 전송하거나, 1394Net과 같이 TCP/IP 방식으로 통신하는 것이 아니라, 도 6에 도시된 바와 같이, 제1 네트워크(10)와 제2 네트워크(60)는 물리적으로 분리되어 있고, 제1 네트워크(10)의 어느 하나의 장비에는 제1 통신 중계 장치(30)가 설치되고, 제2 네트워크(60)의 어느 하나의 장비에는 제2 통신 중계 장치(80)가 설치되며, 상기 제1 통신 중계 장치(30)와 제2 통신 중계 장치(80)는 직렬 버스(100)로 연결된다. 상기 제1 통신 중계 장치(30)는, 제1 네트워크(10)의 통신 프로토콜에 따라, 제1 네트워크(10)에 연결되어 있는 장비 A로부터 통신 요청(통신 데이터)을 받아서(S 1), 통신 선로의 상태에 따라 연결 수신 또는 대기 요청을 하고(S 2), 네트워크(10, 60)가 단절된 구간인 직렬 버스(100) 구간(예를 들면, IEEE 1394 케이블 구간)의 통신 프로토콜에 따라, 제2 네트워크(60)의 제2 통신 중계 장치(80)에 통신 연결 요청(통신 데이터를 전달)을 하며(S 3), 제2 통신 중계 장치(80)는 자신 또는 통신 선로의 상태에 따라 연결 수신 또는 대기 요청을 하고(S 4), 상기 직렬 버스(100) 구간의 통신 프로토콜에 따라, 상기 통신 데이터를 전달받아, 제2 네트워크(60)의 통신 프로토콜에 따라, 제2 네트워크(60)에 연결되어 있는 장비 C로 통신 연결 요청(통신 데이터)을 전달한다(S 5). 상기 제2 네트워크(60)의 장비 C로부터 제1 네트워크들(10)의 장비 A로의 연결 응답은 상기 S 1 ~ S 5 과정과 반대의 과정으로 수행된다.
6 is a diagram illustrating a process in which data communication is relayed between respective devices belonging to a physically separated network according to an embodiment of the present invention. The present invention does not simply transmit data in a peer-to-peer manner using an
도 7는, 본 발명에 따른 네트워크 사이의 데이터 통신에 있어서, 직렬 버스 구간의 통신을 중계하는 통신 중계 장치(30, 80)의 세부 구성을 보여주는 도면이다. 도 7에 도시된 바와 같이, 제1 네트워크(10)의 제1 통신 중계 장치(30)는, 제2 네트워크(60)의 장비 C와 통신을 요청하는 제1 네트워크(10)의 장비 A로부터, 제1 네트워크(10)의 통신 프로토콜에 따라 통신 요청을 받는 통신 수신부(R-1), 상기 장비 A로부터 받은 통신 요청의 세션을 유지하는 네트워크 세션 유지부(R-2), 상기 장비 A로부터 전송된 통신 패킷을, 네트워크의 통신 프로토콜에 따라, 통신 데이터로 복원하는 네트워크 패킷 엔진(E-1), 복원된 통신 데이터를, IEEE 1394 등의 직렬 버스(100)를 통해 전송되는 직렬 버스용 통신 패킷으로 변경하는 직렬 버스용 패킷 엔진(E-2), 상기 직렬 버스용 통신 패킷의 전송 상태를 제어하는 직렬 통신 컨트롤러(C-1), 상기 직렬 통신 컨트롤러(C-1)로부터 받은 직렬 통신의 연결 세션을 유지하는 직렬 통신 세션 관리부(C-2), 직렬 버스(100)를 통해, 상기 직렬 버스용 통신 패킷을 제2 네트워크(60)로 전송하는 패킷 전송부(C-3), 및 상기 제2 네트워크(60)로부터, 상기 직렬 버스(100)를 통해 전달되는 직렬 버스용 통신 패킷을 수신하는 패킷 수신부(C-4)를 포함한다.
FIG. 7 is a diagram showing a detailed configuration of
상기 제1 통신 중계 장치(30)의 통신 중계 과정을 보다 구체적으로 설명하면 다음과 같다. 제1 네트워크(10)의 장비 A로부터 제2 네트워크(60)의 장비 C로의 통신 요청(통신 데이터)이 발생하면, 제1 통신 중계 장치(30)의 통신 수신부(R-1)가 이를 수신하고, 통신 수신부(R-1)에 수신된 통신 요청(통신 데이터)이, 허가된 통신 요청(예를 들면, 허가된 장비 또는 사용자로부터의 통신 요청)인 경우, 네트워크 세션 유지부(R-2)는 제2 네트워크(60)에 대한 연결을 허가하여, 통신 연결 상태를 유지시킨다. 다음으로, 상기 네트워크 패킷 엔진(E-1)은, 상기 제1 네트워크(10)의 장비 A로부터 전송된 통신 패킷(제1 네트워크(10)의 통신 프로토콜에 따른 통신 패킷)을 분석 및 재조립하여, 상기 제1 네트워크(10)의 장비 A가 전송한 통신 데이터를 복원한다. 이와 같이 장비 A가 전송한 통신 데이터의 분석이 완료되면, 직렬 버스용 패킷 엔진(E-2)은, 복원된 통신 데이터를 직렬 버스(100)를 통해 전송되는 직렬 버스용 통신 패킷으로 변경한다. 구체적으로, 상기 직렬 버스용 패킷 엔진(E-2)은, 직렬 버스(100, IEEE 1394구간)에서 전송 가능한 크기에 맞추어, 통신 데이터를 재구성(분리)하고, 재구성한 내용을 암호화하고, 암호화된 내용에 대한 검증 방법으로서, 체크섬(checksum) 결과를 암호화된 내용 앞에 추가한 후, 직렬 버스(100)를 이용한 통신에 사용되는 직렬 버스용 통신 프로토콜(1394-CrossNet 프로토콜)에 따라, 직렬 버스용 통신 패킷(1394-CrossNet 패킷)을 생성한다. 생성된 직렬 버스용 통신 패킷의 전송에 대한 관리 정보는 직렬 통신 컨트롤러(C-1)에 기록되고, 직렬 버스용 패킷의 통신 연결의 세션 정보는 직렬 통신 세션 관리부(C-2)에 기록된다. 패킷 전송부(C-3)는, 직렬 버스(100)를 통해, 상기 직렬 버스용 패킷을 제2 네트워크(60)의 제2 통신 중계 장치(80)로 전송한다.
The communication relay process of the first
이와 같이 제1 네트워크(10)의 제1 통신 중계 장치(30)에서 전송된 직렬 버스용 통신 패킷은 제2 네트워크(60)의 통신 중계 장치(80)에서 수신되고, 상기 제1 통신 중계 장치(30)에서의 통신 데이터 변환 과정과 반대 과정을 거쳐, 제2 네트워크(60)의 장비 C로 전송된다. 따라서, 상기 제2 통신 중계 장치(80)는 제1 통신 중계 장치(30)와 실질적으로 동일한 구성을 가진다. 이를 구체적으로 살펴보면, 상기 제2 통신 중계 장치(80)의 패킷 수신부(C-4)는, 상기 직렬 버스(100)를 통해 제1 통신 중계 장치(30)로부터 전달되는 직렬 버스용 통신 패킷을 수신한다. 상기 제2 통신 중계 장치(80)의 직렬 통신 세션 관리부(C-2)에 통신 연결의 세션 정보가 기록되고, 직렬 통신 컨트롤러(C-1)를 통해, 직렬 버스용 패킷 엔진(E-2)으로 직렬 버스용 패킷이 전달된다. 직렬 버스용 패킷 엔진(E-2)은, 직렬 버스용 통신 패킷을 분석하고, 체크섬이 맞는 경우, 암호화된 내용을 복호화하여, 통신 데이터를 복원한다. 네트워크 패킷 엔진(E-1)은, 복호화된 통신 데이터로부터, 통신 연결 대상에 대한 정보를 얻고, 제2 네트워크 패킷(제2 네트워크(60)의 통신 프로토콜에 따른 통신 패킷) 형태로 통신 데이터를 변환한다. 네트워크 세션 유지부(S-2)는, 수신된 통신 요청이, 허가된 통신 요청(예를 들면, 정책에 따라 허가된 장비 또는 사용자들 사이의 통신 요청)인 경우, 통신 연결 상태를 유지시키고, 통신 수신부(S-1)는 제2 네트워크(60)의 장비 C로 제2 네트워크 패킷을 전달한다.
As such, the communication packet for the serial bus transmitted from the first
이와 같은 과정을 반복함으로서, 물리적으로 단절된 제1 및 제2 네트워크(10, 60)에 각각 속하는 하나 이상의 장비(예를 들면, 장비 A 및 장비 C)가 허가된 조건에 따라 반복적으로 통신할 수 있다. 이와 같이, 상기 통신 중계 장치(30, 80)는 송신부 및 수신부로서 동시에 기능하므로, 통신 중계 장치(30, 80)의 각각의 구성 요소들은 특정의 송신 기능과 그 반대 기능(수신 기능)을 모두 수행하도록 되어 있는 것이 바람직하다. 예를 들면, 상기 통신 중계 장치(30)의 네트워크 패킷 엔진(E-1)은, 상기 제1 네트워크(10)의 장비 A로부터 전송된 통신 패킷을 분석 및 재조립하여, 통신 데이터를 복원할 뿐 만 아니라(송신 기능), 제2 네트워크(60)에서 전송된 통신 데이터를 상기 제1 네트워크 통신 패킷으로 변환할 수 있다(수신 기능).
By repeating this process, one or more equipment (eg, equipment A and equipment C) belonging to the physically disconnected first and
도 8은 물리적으로 분리된 두 개의 네트워크를 하나의 직렬 버스(IEEE 1394 케이블)로 연결하고, 본 발명에 따라 양방향 데이터 통신을 수행하는 것을 보여주는 도면이고, 도 9는 물리적으로 분리된 두 개의 네트워크를 다수의 직렬 버스로 연결하고(다중 통신 연결 채널), 본 발명에 따라 양방향 데이터 통신을 수행하는 것을 보여주는 도면이다. 본 발명에 따른 데이터 통신 방법 및 장치에 의하면, 도 8에 도시된 바와 같이, 두 개의 네트워크(제1 통신 중계 장치(30)와 제2 통신 중계 장치(80))는 하나의 직렬 버스로 연결되고, 상기 하나의 직렬 버스를 이용하여, 상기 제1 네트워크(10) 및 제2 네트워크(60)에 연결되어 있는 하나 이상의 장비로부터 전달된 통신 데이터를 동시에 양방향으로 중계할 수 있지만, 설정에 따라서, 도 9에 도시된 바와 같이, 두 개의 네트워크는 다수의 직렬 버스로 연결되고(다중 통신 채널), 상기 다수의 직렬 버스를 이용하여, 상기 제1 네트워크(10) 및 제2 네트워크(60)에 연결되어 있는 하나 이상의 장비로부터 전달된 통신 데이터를 동시에 양방향으로 중계할 수도 있다. 도 9에 도시된 바와 같이, 다중 통신 연결 채널을 사용하면, 연결된 모든 채널(다수의 직렬 버스)로 통신 데이터를 분산하여 전송할 수 있으며, 상기 다수의 직렬 버스의 어느 하나의 연결 채널에 장애가 발생하더라도, 다른 연결 채널로 통신 데이터를 중계할 수 있는 장점이 있다. 또한, 본 발명에 의하면, 도 10에 도시된 바와 같이, 물리적으로 분리된 두 개의 네트워크(예를 들면, 도 6의 제1 통신 중계 장치(30) 및 제2 통신 중계 장치(80))를 다수의 직렬 버스로 연결하되, 상기 다수의 직렬 버스는 전송 전용 직렬 버스와 수신 전용 직렬 버스로 구분되고, 상기 전송 전용 직렬 버스로는 통신 데이터의 전송(Send) 만이 수행되고, 상기 수신 전용 직렬 버스로는 통신 데이터의 수신(Receive) 만이 수행되도록 할 수도 있다. 도 9 및 10에 도시된 바와 같이, 다수의 직렬 버스(100)를 이용하면, 직렬 버스(100)의 물리적인 전송 속도 한계를 극복하여, 통신 트래픽 문제를 해소할 수 있으며, 전송 선로의 이중화에 의해, 선로 장애에 의한 통신 장애 문제를 감소시킬 수 있다.
FIG. 8 is a diagram illustrating two physically separated networks connected by one serial bus (
일반적으로, IEEE 1394 케이블 등의 직렬 버스를 사용하여 둘 이상의 장비를 연결시키는 경우, 둘 이상의 직렬 버스를 동시에 사용할 수 없으며, 동일한 작업을 분산하여 동시에 처리할 수도 없다. 그러나, 본 발명에 의하면, 두 장비를 연결하는 둘 이상의 직렬 버스를 이용하여, 직렬 버스용 패킷을 분산하여 처리할 수 있다. 도 10에 도시된 바와 같이, 송신 전용 채널과 수신 전용 채널을 설치한 경우, 어느 하나의 IEEE 1394 케이블(송신 전용 채널)을 통해서는 통신 요청 패킷 만 전송하고, 다른 하나의 IEEE 1394 케이블(수신 전용 채널)을 통해서는 통신 응답 패킷만 전송할 수 있으므로, 통신 패킷의 송신(Send)과 수신(Receive)이 구분되고, 디바이스 레벨에서 IEEE 1394 케이블선의 분리 사용이 가능하다. 하나의 케이블 만을 이용하여 통신을 중계하는 경우에는, 통신의 전체 내용이 감청되기 쉽지만, 도 9 및 10에 나타낸 바와 같이, 물리적으로 구분된 케이블을 사용하여 통신 요청 패킷 및 통신 응답 패킷을 분산하여 전송하면, 보안성을 향상시킬 수 있다.
In general, when two or more devices are connected by using a serial bus such as an
본 발명에 따른 데이터 통신 방법 및 장치에 의하면, 두 개의 네트워크를 물리적으로 분리하고, 어느 하나의 네트워크에 있는 하나 이상의 장비가 다른 네트워크에 있는 하나 이상의 장비에 통신을 요청하면, 상기 두 개의 네트워크에서 사용되는 네트워크 통신 프로토콜과는 상이한 직렬 버스 통신 프로토콜을 이용하여, 통신을 중계함으로서, 물리적으로 분리된 네트워크 사이의 통신이 가능하도록 한다. 직렬 버스 통신 프로토콜을 이용한 통신 중계는, 사용자가 설정한 통신 인가 정책에 따라서, 통신의 허용 여부와 통신 대상을 결정할 수 있다. 본 발명에 따른 통신 중계 기능을 이용하면, 두 개의 네트워크를 네트워크로 연결하지 않고도, 두 네트워크에 연결된 장비들이 통신할 수 있을 뿐만 아니라, 정책에 따라 허가되지 않은 통신 연결을 차단할 수 있다. 또한, 외부와 통신 연결하는 경우, 실제 통신하는 내부 장비의 IP주소와 통신포트를 공개하지 않을 수 있으므로, 내부 네트워크의 보안이 침해될 가능성을 감사시킬 수 있다. 또한, 보안 관리자는, 어떤 장비에서 어떤 장비로 언제 얼마나 자주 통신연결이 이루어졌는지 등의 정보를 조회(이력관리)할 수 있을 뿐만 아니라, 인가되지 않은 통신 요청에 대하여는 중계를 거부하여, 내부 네트워크를 보호할 수 있는 장점이 있다. According to the data communication method and apparatus according to the present invention, when two networks are physically separated and one or more devices in one network request communication to one or more devices in another network, they are used in the two networks. By relaying communication using a serial bus communication protocol different from the network communication protocol, communication between physically separated networks is possible. The communication relay using the serial bus communication protocol can determine whether to allow the communication and the communication target according to the communication authorization policy set by the user. By using the communication relay function according to the present invention, the devices connected to the two networks can communicate as well as block unauthorized communication connections according to the policy without connecting the two networks to the network. In addition, when connecting to the outside, since the IP address and communication port of the internal device that actually communicates may not be disclosed, it is possible to audit the possibility that the security of the internal network is breached. In addition, the security manager not only can query (history management) information such as when and how often the communication connection is made from which device to which device, but also refuses the relay for unauthorized communication requests, There is an advantage to protect.
Claims (7)
상기 제1 네트워크와 물리적으로 분리되어 있는 제2 네트워크의 어느 하나의 장비에 설치되어 있는 제2 통신 중계 장치; 및
상기 제1 통신 중계 장치와 제2 통신 중계 장치를 연결하는 직렬 버스를 포함하며,
상기 제1 통신 중계 장치는, 상기 제1 네트워크의 통신 프로토콜에 따라, 상기 제1 네트워크에 연결되어 있는 하나 이상의 장비로부터, 통신 데이터를 전달받고, 상기 직렬 버스 구간의 통신 프로토콜에 따라, 상기 제2 통신 중계 장치로 통신 데이터를 전달하며, 상기 제2 통신 중계 장치는, 상기 직렬 버스 구간의 통신 프로토콜에 따라, 상기 통신 데이터를 전달받아, 제2 네트워크의 통신 프로토콜에 따라, 제2 네트워크에 연결되어 있는 하나 이상의 장비로 통신 데이터를 전달하며,
상기 직렬 버스 구간의 통신 프로토콜은 상기 제1 및 제2 네트워크의 통신 프로토콜과 상이하고, 상기 제1 통신 중계 장치와 제2 통신 중계 장치는 상기 직렬 버스를 통한 데이터 통신을 관리 및 제어하여, 사용자가 설정한 통신 인가 정책에 따라서, 통신 허용 여부와 통신 대상을 결정하는 것인, 물리적으로 분리된 네트워크 사이의 데이터 통신 장치.A first communication relay device installed in any one device of the first network;
A second communication relay device installed in any one device of a second network that is physically separated from the first network; And
A serial bus connecting the first communication relay device and the second communication relay device;
The first communication relay device receives communication data from at least one device connected to the first network according to the communication protocol of the first network, and according to the communication protocol of the serial bus section, the second communication relay device. And transmits communication data to a communication relay device, wherein the second communication relay device receives the communication data according to a communication protocol of the serial bus section, and is connected to a second network according to a communication protocol of a second network. Communication data to one or more devices,
The communication protocol of the serial bus section is different from the communication protocols of the first and second networks, and the first communication relay device and the second communication relay device manage and control data communication through the serial bus, The apparatus for data communication between physically separated networks is to determine whether to allow communication and a communication target according to the established communication authorization policy.
상기 제1 네트워크의 통신 프로토콜에 따라, 상기 제1 네트워크에 연결되어 있는 하나 이상의 장비로부터, 제1 통신 중계 장치로 통신 데이터를 전달하는 단계;
상기 직렬 버스 구간의 통신 프로토콜에 따라, 상기 제1 통신 중계 장치로부터 제2 네트워크의 제2 통신 중계 장치로 통신 데이터를 전달하는 단계; 및
제2 네트워크의 통신 프로토콜에 따라, 상기 제2 통신 중계 장치로부터, 제2 네트워크에 연결되어 있는 하나 이상의 장비로 통신 데이터를 전달하는 단계를 포함하며,
상기 직렬 버스 구간의 통신 프로토콜은 상기 제1 및 제2 네트워크의 통신 프로토콜과 상이하고, 상기 제1 통신 중계 장치와 제2 통신 중계 장치는 상기 직렬 버스를 통한 데이터 통신을 관리 및 제어하여, 사용자가 설정한 통신 인가 정책에 따라서, 통신 허용 여부와 통신 대상을 결정하는 것인, 데이터 통신 방법.The first network and the second network are physically separated, the first communication relay device is installed in any one device of the first network, the second communication relay device is installed in any one device of the second network, In the physically separated network, wherein the first communication relay device and the second communication relay device are connected by a serial bus,
Transferring communication data from one or more equipment connected to the first network to a first communication relay device according to the communication protocol of the first network;
Transferring communication data from the first communication relay device to a second communication relay device of a second network according to the communication protocol of the serial bus section; And
Transmitting, according to a communication protocol of a second network, communication data from the second communication relay device to one or more equipment connected to the second network,
The communication protocol of the serial bus section is different from the communication protocols of the first and second networks, and the first communication relay device and the second communication relay device manage and control data communication through the serial bus, The data communication method is to determine whether to allow communication and a communication target according to the set communication authorization policy.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120088386A KR101227086B1 (en) | 2012-08-13 | 2012-08-13 | Method and apparatus for data communication between physically separated networks |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120088386A KR101227086B1 (en) | 2012-08-13 | 2012-08-13 | Method and apparatus for data communication between physically separated networks |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101227086B1 true KR101227086B1 (en) | 2013-01-28 |
Family
ID=47842722
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120088386A KR101227086B1 (en) | 2012-08-13 | 2012-08-13 | Method and apparatus for data communication between physically separated networks |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101227086B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101448028B1 (en) | 2013-04-30 | 2014-10-08 | (주)오픈에스앤에스 | Apparatus and method for remote access network division |
KR101495522B1 (en) * | 2014-08-06 | 2015-02-26 | 주식회사 한싹시스템 | Communication system for high speed data interlocking in multi-network separation environment and communication method therefor |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030062732A (en) * | 2002-01-18 | 2003-07-28 | 엘지전자 주식회사 | Apparatus for converting protocols and method for controlling devices of home network system using the same |
KR20040014365A (en) * | 2002-08-09 | 2004-02-14 | 가부시끼가이샤 도시바 | Network relay apparatus and network relay method |
-
2012
- 2012-08-13 KR KR1020120088386A patent/KR101227086B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030062732A (en) * | 2002-01-18 | 2003-07-28 | 엘지전자 주식회사 | Apparatus for converting protocols and method for controlling devices of home network system using the same |
KR20040014365A (en) * | 2002-08-09 | 2004-02-14 | 가부시끼가이샤 도시바 | Network relay apparatus and network relay method |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101448028B1 (en) | 2013-04-30 | 2014-10-08 | (주)오픈에스앤에스 | Apparatus and method for remote access network division |
KR101495522B1 (en) * | 2014-08-06 | 2015-02-26 | 주식회사 한싹시스템 | Communication system for high speed data interlocking in multi-network separation environment and communication method therefor |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107018134B (en) | Power distribution terminal safety access platform and implementation method thereof | |
US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
AU2016266557B2 (en) | Secure dynamic communication network and protocol | |
KR100994666B1 (en) | Access and control system for network-enabled devices | |
US9219709B2 (en) | Multi-wrapped virtual private network | |
KR20050086734A (en) | Access and control system for network-enabled devices | |
CN110266725B (en) | Password security isolation module and mobile office security system | |
AU2008328833A1 (en) | Method for securing a bi-directional communication channel and device for implementing said method | |
US8155036B1 (en) | Portable multi-level security communications system | |
KR101227086B1 (en) | Method and apparatus for data communication between physically separated networks | |
CN103152328B (en) | A kind of conferencing information control system based on wireless network and control method thereof | |
AU2015301504B2 (en) | End point secured network | |
CN114553577B (en) | Network interaction system and method based on multi-host double-isolation secret architecture | |
US11588798B1 (en) | Protocol free encrypting device | |
JP2009177239A (en) | Network relay apparatus | |
CN100583891C (en) | Communication encryption method and system | |
EP2878102B1 (en) | Secure data transfer | |
US11032250B2 (en) | Protective apparatus and network cabling apparatus for the protected transmission of data | |
JP2005130511A (en) | Computer network management method and system | |
JP4390965B2 (en) | Network connection management system under the Internet environment | |
KR101495522B1 (en) | Communication system for high speed data interlocking in multi-network separation environment and communication method therefor | |
CN104718736B (en) | Communication system | |
US20070274323A1 (en) | User access control method and apparatus in bus network and bus network system | |
CN116248360A (en) | T-Box transmission method and device based on STG server | |
JP2003198636A (en) | Security system for network and its security method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20151220 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180121 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20190102 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20191119 Year of fee payment: 8 |