KR101453980B1 - 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치 - Google Patents

패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치 Download PDF

Info

Publication number
KR101453980B1
KR101453980B1 KR1020130090189A KR20130090189A KR101453980B1 KR 101453980 B1 KR101453980 B1 KR 101453980B1 KR 1020130090189 A KR1020130090189 A KR 1020130090189A KR 20130090189 A KR20130090189 A KR 20130090189A KR 101453980 B1 KR101453980 B1 KR 101453980B1
Authority
KR
South Korea
Prior art keywords
packet
secs
protocol
network interface
network
Prior art date
Application number
KR1020130090189A
Other languages
English (en)
Inventor
김용범
유완옥
Original Assignee
(주)시스윈일렉트로닉스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)시스윈일렉트로닉스 filed Critical (주)시스윈일렉트로닉스
Priority to KR1020130090189A priority Critical patent/KR101453980B1/ko
Application granted granted Critical
Publication of KR101453980B1 publication Critical patent/KR101453980B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 SECS 프로토콜에 의해 전송되는 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치에 관한 것으로서, 네트워크를 통하여 전송되는 패킷 중 SECS 프로토콜에 따른 패킷 및 특정 포트 만을 유효한 패킷으로 분류하고 그 외의 패킷을 차단함으로써 네트워크에서의 보안 및 바이러스의 노출을 극도로 제한하여 제조설비를 운영을 원활하게 하기 위한 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치에 관한 것이다. 이를 위해 네트워크 통신을 통하여 외부로부터 패킷을 입력받거나 외부로 패킷을 출력하는 네트워크 인터페이스 모듈, 및 네트워크를 통하여 입력되는 패킷을 분석하여 SECS 프로토콜에 따른 유효한 SECS 패킷을 필터링하고 기 결정된 유효하지 않은 프로토콜에 따른 패킷을 차단하는 제어 모듈을 포함하는 것을 특징으로 하는 SECS 프로토콜에 의해 전송되는 패킷 중계 장치가 개시된다.

Description

패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치{Packet relay and transmission apparatus for semiconductor manufacturing equipment}
본 발명은 SECS 프로토콜에 의해 전송되는 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치에 관한 것으로서, 보다 상세하게는 네트워크를 통하여 전송되는 패킷 중 SECS 프로토콜에 따른 패킷 및 특정 포트 만을 유효한 패킷으로 분류하고 그 외의 패킷을 차단함으로써 네트워크에서의 보안 및 바이러스의 노출을 극도로 제한하여 제조설비를 운영을 원활하게 하기 위한 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치에 관한 것이다.
반도체 제조 소자의 집적도 증가에 따라 제조 현장의 고도의 청정도 유지 및 제품의 신뢰도 향상을 위한 제조 공정의 자동화 요구는 날로 증가하고 있다. 또한, 기업의 각 업무간을 컴퓨터를 이용 통합 제어 함으로써 경영의 효율화를 도모하려는 CIM(Computer Integrated Manufacturing) 구현의 일단으로서 생산 현장의 자동화는 반드시 실현 되어야 할 과제로서 부각되고 있다.
오늘날 반도체 공장에는 이미 자동반송장치, AGV(Automatic Guided Vehicle), 로보트 등을 이용하여 생산 현장의 무인화를 위한 많은 진전이 이루어지고 있으며, 관련 기술 개발을 통한 생산성 향상을 도모하기 위해 노력을 경주하고 있다.
이와 같은 내외적인 요구에 따라 관련 기술의 표준화를 위해 SEMI(Semiconductor Equipment and Materials International)의 장비 자동화 부문(Equipment Automation Division)에서 반도체 장비와 외부 컴퓨터간의 인터페이스를 위한 데이타 통신의 표준 규약인 SECS(SEMI Equipment Communications Standard) 프로토콜을 제창하였고, 반도체 장비 생산 업체에게 이를 옵션으로 적용 하도록 요구하게 됨으로써 대부분의 반도체 생산 관련 장비가 인터페이스 부문에서 이 표준을 따르게 되었다.
반도체 제조장비가 제조공정 수행을 위해 호스트로부터 작업지시를 받거나 장비의 가동상태나 공정조건 등의 파라미터 데이터를 호스트로 전송하여 분석/활용될 수 있도록 하는 등 생산 자원의 중앙집중 관리를 위해서는 상호간에 물리적으로 연결된 네트워크가 구성되어야 한다. 따라서 전송된 데이터를 인지하고 응답할 수 있는 통신 규약이 필요한데 SECS 프로토콜은 이러한 상호간의 통신을 규정하는 표준 규약으로서 도 1에 도시된 바와 같이 메시지 전송 체계를 규정하는 SECS-Ⅰ 또는 HSMS 및 메시지 내용의 구조를 규정하는 SECS-Ⅱ 부문으로 구성된다. SECS-Ⅰ은 RS-232C 프로토콜에 기반한 전송 체계이고, HSMS(High Speed SECS Message Service)는 TCP/IP 네트워크 프로토콜을 사용하여 메시지를 교환하는 프로토콜이다. 참고로, 도 1에 도시된 GEM(Generic Equipment Model)은 반도체 제조설비의 동작에 대한 시나리오와 이때 사용되는 메시지를 묶어서 장비 구동에 관한 표준을 마련한 것이고, SEM(Specific Equipment Model)은 GEM만으로 반도체 생산에 투입되는 모든 장비의 사양을 규정하는 것이 실제로 불가능하므로 특정 종류의 전용 장비를 위해 구체적인 사양을 마련한 것으로서 ISEM(Inspection and Review Equipment), HSEM(Handler Equipment), IBSEM(Inter Bay/Intra Bay AMHS), STKSEM(Stocker) 등이 있다(상술한 SECS 프로토콜은 공지된 내용을 참조하여 본 발명에서 설명될 수 있다).
SECS-Ⅰ은 RS-232C에 기반한 메시지 전송 체계이므로 본 발명에서 설명되는 보안이나 바이러스 등에 취약한 점이 낮으나, HSMS의 경우에는 도 2에 도시된 바와 같이 TCP/IP 네트워크 프로토콜을 사용하므로 반도체/LCD/LED 제조설비의 주 제어기에 네트워크 연결이 필수적으로 필요하게 되며, 불가피하게 보안이나 바이러스 등에 노출될 수 밖에 없다.
따라서 TCP/IP 프로토콜을 사용하여 외부 서버와 반도체 제조설비의 주 제어기를 네트워크적으로 연결시 보안 또는 바이러스 등에 취약하지 않은 장치의 개발이 필요하게 되었다.
선행기술문헌인 대한민국 공개특허공보 제10-2003-0001299(발명의 명칭 : 모니터링 서버를 네트워크와 접속하는 통신 모니터링 시스템)에 따르면 통신 모니터링 시스템은 네트워크에 접속된 반도체 제조장치, 그 네트워크와 접속된 호스트 컴퓨터, 및 그 네트워크와 접속된 모니터링 유닛으로 구성된다. 반도체 제조장치 및 호스트 컴퓨터는 네트워크를 통하여 반도체 제조장치의 처리에 대한 시퀀스 통신을 행하고, 모니터링 유닛은 반도체 제조장치와 호스트 컴퓨터 사이의 네트워크를 통하여 제 1 시퀀스 통신의 제 1 세트의 패킷들과 제 2 시퀀스 통신의 제 2 세트의 패킷들을 취하고, 그 제 1 및 제 2 세트의 패킷들에 기초하여, 반도체 제조장치와 호스트 컴퓨터 사이의 통신이 정상인지 또는 비정상인지를 판단하는 통신 모니터링 시스템에 관한 발명이 공지되어 있다.
따라서, 본 발명은 전술한 바와 같은 문제점을 해결하기 위하여 창출된 것으로서, SECS 프로토콜에 따른 SECS 메시지 이외의 데이터 패킷 및 특정 포트 이외의 포트 번호를 통해 들어오는 패킷을 차단함으로써 반도체 제조설비의 운영을 안전하고 원활하게 할 수 있는 발명을 제공하는데 그 목적이 있다.
그러나, 본 발명의 목적들은 상기에 언급된 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
전술한 본 발명의 목적은 네트워크 통신을 통하여 외부로부터 패킷을 입력받거나 외부로 패킷을 출력하는 네트워크 인터페이스 모듈, 및 네트워크를 통하여 입력되는 패킷을 분석하여 SECS 프로토콜에 따른 유효한 SECS 패킷을 필터링하고 기 결정된 유효하지 않은 프로토콜에 따른 패킷을 차단하는 제어 모듈을 포함하는 것을 특징으로 하는 SECS 프로토콜에 의해 전송되는 패킷 중계 장치를 제공함으로써 달성될 수 있다.
또한, 네트워크 인터페이스 모듈은, 외부 서버와 네트워크 통신을 통해 패킷을 전송 받는 제1 네트워크 인터페이스부, 및 제1 네트워크 인터페이스부를 통해 입력된 패킷 중 제어 모듈에 의해 정상적인 패킷으로 분석된 SECS 패킷만을 제조설비의 주 제어기로 네트워크 통신을 통해 전송하는 제2 네트워크 인터페이스부를 포함하는 것을 특징으로 한다.
또한, 네트워크 통신은, 이더넷 및 TCP/IP 프로토콜에 의해 데이터 패킷을 전송하는 것을 특징으로 한다.
또한, 제1 네트워크 인터페이스부는 WAN 단자를 통해 외부 서버와 접속되고,
제2 네트워크 인터페이스부는 LAN 단자를 통해 제조설비의 주 제어기와 접속되는 것을 특징으로 한다.
또한, 제어 모듈은, 제1 네트워크 인터페이스부를 통해 입력된 패킷의 메시지를 분석하여 SECS 프로토콜에 따른 정상적인 메시지인지 여부를 판단하는 SECS 메시지 분석부, 제1 네트워크 인터페이스부를 통해 입력된 패킷의 포트 번호를 분석하여 기 결정된 포트 번호에 따른 패킷을 유효한 패킷으로 판단하는 포트 분석부, 패킷 분석을 통해 SECS 프로토콜에 따른 정상적인 SECS 메시지가 아니거나 기 결정된 포트 번호에 따른 유효한 패킷이 아닌 경우 패킷을 폐기하는 패킷 폐기부, 및 SECS 메시지 분석부의 패킷 분석을 통해 정상적인 메시지로 판단되거나 기 결정된 포트 번호로 판단된 경우 제1 네트워크 인터페이스부를 통해 입력된 패킷과 상응하도록 패킷을 재구성하여 제2 네트워크 인터페이스부로 중계하는 패킷 중계부를 포함하는 것을 특징으로 한다.
또한, 기 결정된 포트 번호를 저장하는 메모리 모듈을 더 포함하고,
포트 분석부는, 메모리 모듈에 저장된 허용 가능한 포트 번호와 외부에서 전송된 패킷에 포함된 포트 번호를 상대적으로 비교하여 제1 네트워크 인터페이스부를 통해 입력된 패킷의 정상 유무를 결정하는 것을 특징으로 한다.
한편, 본 발명의 목적은 SECS 프로토콜에 의해 전송되는 패킷 중계 장치, 패킷 중계 장치로부터 네트워크 통신을 통해 SECS 패킷을 전송받는 제조설비의 주 제어기를 포함하는 것을 특징으로 하는 제조설비의 패킷 전송 장치룰 제공함으로써 달성될 수 있다.
또한, 제조설비의 가동상태 또는 공정조건 등의 파라미터를 SECS 프로토콜을 통해 전송받거나 제조설비의 가동 지시를 SECS 프로토콜을 통해 전송하는 서버를 더 포함하는 것을 특징으로 한다.
또한, 복수의 패킷 중계 장치, 및 서버로부터 네트워크 통신을 통해 SECS 패킷을 전송 받아 복수의 패킷 중계 장치로 SECS 패킷을 전송하거나, 복수의 패킷 중계 장치로부터 SECS 패킷을 전송받아 서버로 SECS 패킷을 전송하며, 복수의 패킷 중계 장치의 IP를 동일하게 구성하도록 하는 공유기를 더 포함하는 것을 특징으로 한다.
일반적인 목적의 바이러스 백신이나 방화벽 소프트웨어의 경우 특수 목적의 반도체/LCD/LED 등의 생산 설비에 사용하는 데는 부적절한 점이 많다. 특히, 이러한 백신이나 방화벽은 반도체 제조설비의 성능이나 기능에 심각한 영향을 준다. 즉, 정기적인 바이러스 검사나 업데이트시 시스템에 일시적인 부하를 주어 24시간 상시적으로 운영되는 반도체 제조설비에 심각한 오류를 야기 시킨다. 또한 이러한 업데이트 등을 위해 수작업으로 진행하는 불편이 초래된다. 또한, 완벽한 백신이나 방화벽은 없으며, 알려지지 않은 바이러스나 고의적인 네트워크를 통한 침입에 대해 모두 막을 수는 없는 경우가 존재한다.
전술한 바와 같은 본 발명에 의하면 하드웨어 부착 방식의 SECS 메시지 중계기를 사용하는 경우 생산에 필요한 SECS 메시지 및 포트 번호를 제외하고는 기본적으로 모두 차단함으로써 문제의 발생을 근본적으로 막을 수 있으며, 유지관리가 용이하고, 필요한 네트워크의 연결 포트를 선택적으로 열어줌으로써 추가적인 기능을 정의하여 사용할 수 있는 효과가 있다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 일실시예를 예시하는 것이며, 발명의 상세한 설명과 함께 본 발명의 기술적 사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석 되어서는 아니 된다.
도 1은 종래의 SECS 프로토콜을 나타낸 도면이고,
도 2는 종래의 바이러스 및 보안에 취약한 네트워크 구조를 나타낸 도면이고,
도 3은 본 발명에 따른 패킷 중계 장치가 외부 서버와 주 제어기 사이에 접속되는 구성을 도시한 도면이고,
도 4는 본 발명에 따른 패킷 중계 장치의 세부 구성과 패킷 중계 장치와 외부 서버 및 주 제어기간의 네트워크 연결관계를 도시한 도면이고,
도 5는 본 발명에 따른 이더넷 패킷을 도시한 도면이고,
도 6은 본 발명에 따른 TCP/IP 패킷을 도시한 도면이고,
도 7은 본 발명에 따른 SECS 메시지 헤더를 나타낸 도면이고,
도 8은 본 발명에 따른 공유기가 부가된 반도체 제조설비의 패킷 전송 장치의 구성을 나타낸 도면이다.
이하, 도면을 참조하여 본 발명의 바람직한 일실시예에 대해서 설명한다. 또한, 이하에 설명하는 일실시예는 특허청구범위에 기재된 본 발명의 내용을 부당하게 한정하지 않으며, 본 실시 형태에서 설명되는 구성 전체가 본 발명의 해결 수단으로서 필수적이라고는 할 수 없다.
< SECS 프로토콜에 의해 전송되는 패킷 중계 장치>
(패킷 중계 장치의 기능 및 구성)
도 3에 도시된 바와 같이 본 발명에 따른 SECS 프로토콜에 의해 전송되는 패킷 중계 장치(200,200')는 반도체/LCD/LED 제조설비(100)의 주 제어기와 호스트 서버(300)와의 사이에 접속되어 네트워크 통신에 의해 패킷을 중계한다. 이렇게 패킷 중계 장치(200,200')를 통하여 패킷을 주 제어기에 전달함으로써 반도체/LCD/LED 생산에 필요한 SECS 프로토콜에 따른 패킷을 제외하고는 기본적으로 다른 패킷을 차단할 수 있다. 물론 SECS 프로토콜 이외의 사용자가 허용하고자 하는 다른 프로토콜을 정의하여 따라서 외부로 유효한 프로토콜로 인식할 수도 있다. 본 발명의 일실시예에서는 설명의 편의를 위하여 SECS 프로토콜에 따른 메시지(패킷)만을 유효한 메시지로 판단하나 그외 사용자의 정의에 의하여 앞서 설명한 바와 같이 유효한 프로토콜을 추가할 수도 있을 것이다. 이렇게 허용 가능한 프로토콜을 정의하여 통과시킴으로써 외부로부터의 바이러스 침입이나 보안을 더욱 잘 차단할 수 있어 안전하고 효율적으로 제조설비를 운영할 수 있다. 이하에서는 첨부된 도면을 참조하여 본 발명에 따른 패킷 중계 장치(200)의 구성 및 기능을 설명하도록 한다.
먼저, 도 3에 도시된 바와 같이 본 발명에 따른 패킷 중계 장치(200,200')는 각각 반도체 제조설비(LCD 및 LED 제조설비도 포함되며 이를 아울러 반도체 제조장비라 함)의 주 제어기와 호스트 서버(300)와의 사이에 하드웨어적으로 접속된다. SECS-Ⅱ에 의하면 TCP/IP 프로토콜을 이용하여 데이터를 주 제어기(100)와 외부 서버(200) 사이에 주고 받기 때문에 네트워크를 통한 바이러스 침투 및 보안에 취약한 면이 있다. 따라서 주 제어기(100)와 외부 서버(300) 사이에 하드웨적으로 패킷을 필터링할 수 있는 패킷 중계 장치(200)를 접속함으로써 이러한 취약점을 해결할 수 있다.
패킷 중계 장치(200)는 도 4에 도시된 바와 같이 대략적으로 네트워크 모듈(210), 제어 모듈(220), 메모리 모듈(230)로 이루어진다. 네트워크 모듈(210)은 제1 네트워크 인터페이스부(213) 및 제2 네트워크 인터페이스부(211)로 이루어진다. 제1 네트워크 인터페이스부(213)는 WAN 단자부(214) 및 제1 이더넷 프로세서(215)로 구성되고, 제2 네트워크 인터페이스부(211)는 LAN 단자부(212) 및 제2 이더넷 프로세서(216)로 구성된다. 제1 네트워크 인터페이스부(213)는 외부 서버(300)와 이더넷으로 접속되며, TCP/IP 프로토콜에 의해 데이터를 서로 주고 받는다. 제1 네트워크 인터페이스부(213)의 WAN 단자부(214)는 RJ 45로 구체화될 수 있으며, WAN(Wide Area Networks) 단자부(214)를 통하여 수신된 이더넷(TCP/IP) 패킷은 제1 이더넷 프로세서(215)에 의해 이더넷 패킷이 분석된다. 이때, 서버(300)로부터 수신된 이더넷 패킷에는 목적지의 IP 주소가 포함되어 있다. 제1 이더넷 프로세서(215) 및 OS(225)를 통과한 패킷의 IP 주소가 맞다면 이더넷 패킷을 유효하게 수신한다. 유효한 이더넷 패킷은 제1 네트워크 인터페이스부(213)에서 후술하는 제어 모듈(220)로 전송된다. 다만, 이러한 이더넷 패킷의 분석은 후술하는 제어 모듈(220)에서 수행할 수도 있다. 따라서 본 발명에 따른 제1 네트워크 인터페이스부(213)는 WAN 단자부(214)와 제1 이더넷 프로세서(215)가 포함된 랜카드(도면 미도시)로 구체화될 수 있을 것이다. 그 외 WAN 단자부(214)를 통해 이더넷 패킷을 수신받고 분석할 수 있는 회로부(일예로 이더넷 및 TCP/IP 프로토콜을 구현할 수 있는 아날로그 및 디지털 회로부 또는 I/O 인터페이스 회로부)가 더 포함되어 있을 수 있다.
제2 네트워크 인터페이스부(211)는 반도체 제조설비의 주 제어기(100)와 이더넷으로 접속되며, 제어 모듈(220)에서 유효한 SECS 메시지로 판단된 패킷을 다시 주 제어기(100)로 네트워크 전송하기 위해 SECS 메시지가 포함된 이더넷 패킷을 재구성하여 TCP/IP 프로토콜에 의해 데이터를 주 제어기(100)로 전송한다. 제2 네트워크 인터페이스부(211)의 LAN(Local Area Networks) 단자부(212)는 RJ 45로 구체화될 수 있으며, 유효한 SECS 메시지를 제어 모듈(220)로부터 수신받아 제2 이더넷 프로세서(216)에 의해 SECS 메시지가 포함된 이더넷 패킷을 재구성하여 LAN 단자부(212)를 통하여 주 제어기로 패킷을 전송한다. 따라서 본 발명에 따른 제2 네트워크 인터페이스부(211)는 LAN 단자부(212) 및 제2 이더넷 프로세서(216)를 포함하는 랜카드(도면 미도시)로 구체화될 수 있다. 그 외 LAN 단자부(212)를 통해 이더넷 패킷을 전송할 수 있는 회로부(일예로 이더넷 및 TCP/IP 프로토콜을 구현할 수 있는 아날로그 및 디지털 회로부 또는 I/O 인터페이스 회로부)가 더 포함되어 있을 수 있다.
한편, 외부 서버(300) 및 주 제어기(100)에는 SECS 프로토콜에 따른 데이터 패킷을 생성하고 SECS 메시지를 해석할 수 있는 회로 모듈이 포함되며, 더 나아가 이더넷 및 TCP/IP 패킷을 만들고 전송할 수 있는 이더넷 프로세서를 포함한 회로 모듈(일예로서 랜카드)이 더 포함된다.
본 발명에 따른 제어 모듈(220)은 SECS 메시지 분석부(221), 포트 분석부(222), 패킷 폐기부(223), 패킷 중계부(224), 오퍼레이팅 시스템부(225) 및 오퍼레이팅 시스템부(225)와 상호작용하는 마이크로 프로세서부(226)로 대략 이루어진다. 제1 네트워크 인터페이스부(213)의 WAN 단자부(214)를 통해 입력된 도 5에 도시된 바와 같은 이더넷 패킷(10)은 제1 이더넷 프로세서(215)에 의해 패킷이 분석되고 필터링된다. 즉, 랜카드의 제1 이더넷 프로세서(215)는 입력된 이더넷 패킷(10)의 패리티 비트(Parity bit) 검사 등 물리적인 프로토콜을 처리함으로써 이더넷 패킷의 데이터(11) 부분에 포함된 TCP/IP 패킷을 필터링한다.
도 6에 도시된 바와 같이 제1 이더넷 프로세서(215)에 의해 필터링된 TCP/IP 패킷은 오퍼레이팅 시스템부(225) 및 마이크로 프로세서(226)에 의해 패킷이 재분석된다. 이때, 본 발명의 일실시예에서는 오퍼레이팅 시스템을 리눅스로 구성하고, 마이크로 프로세서(226)를 ARM 코어가 포함된 프로세서로 구성하나 운영체제 및 마이크로 프로세스는 필요에 따라 임베디드 시스템에 적합한 구성이 채택될 수 있을 것이다. 이하에서는 오퍼레이팅 시스템 및 마이크로 프로세서를 포함한 구성을 리눅스 시스템으로 명명하여 설명하기로 한다. 필터링된 TCP/IP 패킷(20)은 리눅스 시스템의 TCP/IP 모듈(운영체제에 올려진)에 의해 패킷이 재분석된다. 본 발명의 SECS 메시지가 포함된 패킷은 TCP/IP 패킷의 데이터(21) 부분에 포함될 수 있으며, 리눅스 시스템의 패킷 재분석에 의해 TCP/IP 패킷의 데이터(21) 부분에 포함된 패킷이 필터링된다.
리눅스 시스템을 통해 TCP/IP 패킷의 데이터(21) 부분에 포함된 패킷을 전송받은 패킷 중계부(224)는 패킷을 SECS 메시지 분석부(221)로 전송한다. SECS 메시지 분석부(221)는 패킷을 수신받아 SECS 프로토콜에 따른 유효한 패킷인지 여부를 분석한다.
유효한 SECS 패킷인지 여부는 SECS 메시지 헤더 및 메시지 바디를 검사함으로써 달성될 수 있다. SECS 메시지 헤더는 도 7과 같으며, 이에 대한 자세한 설명은 공지된 SECS 프로토콜을 참조하여 본 발명에서 설명될 수 있을 것이다.
한편, SECS 메시지 헤더의 검사는 세션 ID(유효한 디바이스 ID인지 여부를 확인)를 검사하거나, 메시지 ID(사용 가능한 스트림과 펑션 여부)를 검사하거나, 블럭 ID(P type, S type)를 검사하거나, 시스템 바이트를 검사함으로써 SECS 프로토콜에 맞는 패킷만을 필터링할 수 있다. 또한, 메시지 바디 검사(스트림 및 펑션에 해당하는 메시지 바디에 대한 오류 여부 및 유효성 검사), 메시지 시퀀스 확인(불필요한 패킷 차단)을 통하여 유효한 SECS 패킷을 걸러낼 수 있다. 메시지 바디는 헤더 뒤에 뒤따라 오는 부분으로서 실제로 중요한 데이터 체크를 필요로 한다. 이러한 메시지 바디는 SECS-Ⅱ 규정에 따르는 것으로서 SECS-Ⅱ에 표준으로 정의된 부분도 있고, 고객사나 제조설비에서 정의되어 사용되기도 한다.
SECS 메시지 분석부(221)는 상술한 SECS 메시지 헤더 및 메시지 바디를 검사하여 유효한 SECS 메시지만을 유효한 패킷으로 간주한다. 다만, 제조설비의 환경에 따라 추가로 허용가능한 프로토콜이 필요한 경우 이를 허용할 수 있음은 당연하다.
포트 분석부(222)는 TCP/IP 패킷의 데이터(21)에 포함된 패킷을 패킷 중계부(224)로부터 전송받아 패킷의 포트 넘버가 기 결정된 포트 넘버인 경우 유효한 패킷으로 간주한다. 따라서 포트 분석부(222)는 후술하는 메모리 모듈(230)에 테이블로 저장된 유효한 포트 넘버와 TCP/IP 패킷의 데이터(21)에 포함된 패킷의 포트 넘버를 비교함으로써 유효한 포트 넘버를 가진 패킷인지 여부를 판단할 수 있다.
패킷 폐기부(223)는 SECS 메시지 분석부(221)에서 유효하지 않은 패킷으로 간주하거나 포트 분석부(222)에서 유효하지 않은 패킷으로 간주한 패킷을 폐기한다. 패킷의 폐기는 메모리 모듈의 RAM(231)에 저장되거나 마이크로 프로세서 등의 메모리에 저장되어 있는 현 단계의 유효하지 않은 패킷을 지우거나 무시하는 경우 달성될 수 있다. 본 발명의 특징 중 하나인 유효한 포트 넘버를 이용함으로써 불필요하게 정의되지 않은 포트 넘버를 가진 패킷을 차단하고, 또한 SECS 프로토콜에 맞는 패킷 이외의 패킷을 차단함으로써 네트워크 통신이 갖는 취약한 보안 및 바이러스 침투를 사전에 예방할 수 있을 것이다.
패킷 중계부(224)는 패킷 폐기부(223)에서 폐기되지 않은 유효한 SECS 패킷을 제2 네트워크 인터페이스부(211)의 LAN 단자부(212)로 전송한다. 제2 네트워크 인터페이스부(211)는 패킷 중계부(224)로부터 전송된 유효한 SECS 메시지를 이더넷 패킷으로 재구성하여 LAN 단자부(212)를 통해 주 제어기(100)로 전송한다.
한편, 상술한 제어 모듈(220)은 메모리 모듈(230)과 통신하여 메모리 모듈(230)에 데이터를 저장하거나, 이전에 메모리 모듈(230)에 저장된 데이터를 읽어 들일 수 있다. 제어 모듈(220)은 오퍼레이팅 시스템 및 마이크로 프로세서를 포함한 아날로그 회로, 디지털 회로, 또는 이들의 조합에 의해 구현될 수 있다. 특히 제어 모듈(220)의 마이크로 프로세서는 바람직하게는 ARM 코어를 포함한 MCU, MPU, DSP 등의 원 칩 및 이에 따른 부가적 논리 회로에 의해 구현할 수 있으며, 또한 FPGA 또는 ASIC 등의 집적회로의 설계에 의해서도 구현할 수 있다.
또한, 상술한 제어 모듈(220)에서 설명된 각 부(221,222,223,224)는 설명의 편의를 위하여 그 기능을 분리하여 설명하였을 뿐 필요에 따라 하나의 기능으로 통합될 수도 있고, 제1 네트워크 인터페이스부(213) 또는 제2 네트워크 인터페이스부(211)에 그 기능이 포함될 수도 있다. 한편, 상술한 제어 모듈(220)에서 설명된 각 부(221,222,223,224)의 일실시예는 리눅스 상에서 라이브러리를 통해 구현되는 어플리케이션 일 수 있다.
메모리 모듈(230)은 전원이 오프된 경우 저장된 데이터를 잃는 RAM(231)과 전원이 오프된 경우에도 저장된 데이터를 기억하는 ROM(232)으로 구성된다. RAM(231)은 제1 네트워크 인터페이스부(211)에서 전송된 유효한 패킷을 임시적으로 저장하거나 오퍼레이팅 시스템의 구동에 필요한 메모리 변수 등을 저장한다. ROM(232)에는 본 발명에서 기 결정한 유효한 포트 번호 및 허용 가능한 프로토콜에 대한 정의가 테이블로 저장되어 있으며, 제어 모듈(220)의 액세스에 의해 포트 번호 테이블 및 허용 가능한 프로토콜의 종를 제어 모듈(220)로 전송한다. 상술한 ROM(232)에 저장된 유효한 포트 번호 및 허용 가능한 프로토콜의 종류(정의)는 필요에 따라 변경되거나 추가될 수 있을 것이다.
메모리 모듈(230)은 하나 이상의 유형의 메모리를 포함할 수 있다. 예를 들어, 메모리 모듈(23)은 ROM(232) 및 RAM(231)를 포함할 수 있다. 메모리 모듈(230)은 제어 모듈(220)의 프로세서에 의해 추후 읽기 가능한 형태로 데이터를 저장하는 데 적합한 다른 유형의 메모리도 포함할 수 있다. 예를 들어, EPROM, EEPROM, 플래시 메모리뿐만 아니라 다른 적합한 형태의 메모리도 메모리 모듈(230) 내에 포함될 수 있다. 이때, 메모리 모듈(230)은 상술한 메모리를 이용하여 독립적으로 구현하거나, MCU, MPU, DSP 등에 내장된 내부 메모리를 이용하여 구현할 수도 있다. 또한, FPGA 또는 ASIC 등의 집적회로 설계에 의해서도 동일하게 구현을 할 수 있다.
( SECS 프로토콜에 따른 패킷의 전송 흐름)
먼저, 외부 서버(300)에서 주 제어기(100)로 SECS 메시지를 전달하는 경우에는 외부 서버(300)에서 반도체 제조설비(100)의 작업지시에 관한 명령을 SECS 프로토콜에 따라 SECS 메시지(패킷)를 생성한다. 생성된 SECS 메시지를 이더넷 패킷에 포함하여 TCP/IP 프로토콜에 맞춰 패킷 중계기(200)의 WAN 단자부(214)로 전송한다. 따라서 외부 서버(300)에도 상술한 제1,2 네트워크 인터페이스부(213,211)에 포함된 것과 같은 랜카드 등이 포함될 수 있다. 다만, WAN 단자부(214)와 외부 서버(300) 사이에는 라우터, 스위치, 허브 등이 네트워크적으로 접속되어 있을 수 있으며, 이때는 외부 서버(300)에서 전송된 이더넷 패킷이 이들을 경유하여 WAN 단자부(214)로 수신된다.
WAN 단자부(214)를 통해 이더넷 패킷을 수신한 제1 이더넷 프로세서(215)는 이더넷에 대한 물리적인 프로토콜을 처리하여 도 5의 데이터(11) 부분에 포함된 TCP/IP 패킷을 유효하게 추출한다. 유효하게 추출된 TCP/IP 패킷은 제1 네트워크 인터페이스부(213)에서 리눅스 시스템(오퍼레이팅 시스템 및 ARM 코어가 포함된 마이크로 프로세서)으로 전송되며, 리눅스 시스템은 도 6의 데이터(21) 부분에 포함된 패킷을 추출한다.
리눅스 시스템에 의해 추출된 패킷은 메모리(RAM)에 저장된다. SECS 메시지 분석부(221)는 메모리에 저장된 패킷을 분석하여 SECS 프로토콜에 적합한 패킷인지 여부를 판단한다. SECS 프로토콜에 기반한 패킷인 경우에는 유효한 SECS 패킷으로 간주하고, 그러하지 아니한 경우에는 유효하지 않은 패킷으로 간주한다. 포트 분석부(222)는 메모리에 저장된 패킷에 포함된 포트 번호를 기 결정된 포트 번호와 비교하여 유효한 포트 번호인지를 판단하여 패킷의 유효성을 검사한다. 패킷 폐기부(223)는 상술한 메시지 분석부(221) 및 포트 분석부(222)에서 유효하지 않은 패킷으로 간주된 패킷을 폐기한다. 유효한 패킷은 패킷 중계부(224)를 거쳐 제2 이더넷 프로세서(216) 및 리눅스 시스템에 의해 이더넷 및 TCP/IP 패킷으로 재구성되어 LAN 단자부(212)를 통해 반도체 제조설비(100)로 전송된다. 반도체 제조설비(100)는 허용 가능한 SECS 메시지를 패킷 중계기(200)로부터 전송받아 메시지를 분석함으로써 반도체 제조설비의 가동에 관한 명령을 수행한다.
주 제어기(100)에서 외부 서버(300)로 SECS 메시지를 전달하는 경우에는 앞서의 외부 서버(300)에서 주 제어기(100)로 SECS 메시지를 전달하는 경우와 반대의 경로로 데이터가 전송된다. 즉, 반도체 제조설비의 현재 가동상태에 관한 데이터 또는 공정조건에 관한 파라미터 데이터를 SECS 프로토콜에 맞춰 데이터 패킷을 주 제어기(100)가 생성한다. 생성된 SECS 패킷은 주 제어기(100)에 포함된 랜카드 및 리눅스 시스템에 의해 이더넷 및 TCP/IP 패킷으로 변환되며, 변환된 패킷은 제2 네트워크 인터페이스(211)의 LAN 단자부(212)에 전송된다. 앞서와 마찬가지로 바이러스 또는 보안에 취약한 네트워크 통신 구조로 인해 LAN 단자부(212)로 수신된 패킷은 제2 이더넷 프로세서(216)에 의해 TCP/IP 패킷이 추출되고, 리눅스 시스템에 의해 TCP/IP의 데이터 부분에 포함된 패킷이 추출된다. 따라서 추출된 패킷은 다시 제어 모듈(220)의 각 부(221,222,223,224)를 거쳐 유효한 패킷인지 여부가 검사되며, 패킷이 유효한 경우 제1 네트워크 인터페이스부(213) 및 리눅스 시스템에 의해 유효한 SECS 메시지가 이더넷 및 TCP/IP 패킷으로 재구성되어 WAN 단자부(214)를 통해 외부 서버(300)로 전송된다.
<반도체 제조설비의 패킷 전송 장치의 구성 및 기능>
반도체/LCD/LED 제조설비의 상태 및 제어에 관한 데이터 패킷을 외부 서버로 전송하거나 외부 서버로부터 전송받기 위해 상술한 패킷 중계기(200)가 외부 서버(300)와 반도체 제조설비의 주 제어기(100) 사이에 네트워크적으로 접속된다. 이때, 도 8에 도시된 바와 같이 반도체 제조설비(101,102)가 공장의 제조라인 내에 복수로 구비될 수 있으며, 따라서 패킷 중계기(200,200')도 복수로 구비된다. 제1 패킷 중계기(200)는 제1 반도체 제조설비(101)와 네트워크적으로 접속되며, 제2 패킷 중계기(200')는 제2 반도체 제조설비(102)와 네트워크적으로 접속된다.
한편, 패킷 중계기(200,200')의 제1 네트워크 인터페이스부(213)의 WAN 단자부(214)와 외부 서버(300) 사이에 공유기(400)가 접속되는 경우에는 WAN 단자부(214)는 LAN 단자부(214)로 변경될 수 있다.
공유기(400)의 WAN 단자부(410)는 외부 서버(300)와 네트워크적으로 접속되며, 공유기(400)의 제1 LAN 단자부(420)는 제1 패킷 중계기(200)의 LAN 단자부(214)와 네트워크적으로 접속되며, 제2 LAN 단자부(420')는 제2 패킷 중계기(200')의 LAN 단자부(214)와 네트워크적으로 접속된다.
공유기(400)는 제1 및 제2 패킷 중계기(200,200'), 또는 더 나아가 더 많은 패킷 중계기가 제조설비 라인에 존재하는 경우 동일한 IP 주소를 공유하여 외부 서버(300)와 TCP/IP 통신을 수행할 수 있도록 한다. 즉, 공유기의 WAN 단자부(410)를 통해 외부 서버(300)로 전송되는 패킷은 하나의 IP 주소(다만 포트 번호가 다를 수 있다)가 되며, 공유기의 LAN 단자부(420,420')를 통해 패킷 중계기로 전송되는 패킷의 IP 주소는 NAT(Network Address Translation) 기능에 의해 각 패킷의 헤더의 주소가 변환되어 여러 가지 IP 주소를 가질 수 있다.
이때, 공유기(400)에는 NAT(Network Address Translation) 기능을 가진 라우터 및 DHCP 서버가 포함될 수 있으며, 이러한 라우터 및 DHCP 서버는 본 발명의 기술적 사상의 범위 안에서 참조될 수 있을 것이다.
이상 설명한 SECS 프로토콜은 일반적으로 공지된 SECS 프로토콜을 참조하여 본 발명의 기술적 사상의 범위 내에서 참조될 수 있을 것이다.
이상, 본 발명의 일실시예를 참조하여 설명했지만, 본 발명이 이것에 한정되지는 않으며, 다양한 변형 및 응용이 가능하다. 즉, 본 발명의 요지를 일탈하지 않는 범위에서 많은 변형이 가능한 것을 당업자는 용이하게 이해할 수 있을 것이다.
10 : 이더넷 패킷
11 : 데이터
20 : TCP/IP 패킷
21 : 데이터
200, 200' : 패킷 중계기
210 : 네트워크 모듈
211 : 제2 네트워크 인터페이스부
212 : LAN 단자부
213 : 제1 네트워크 인터페이스부
214 : WAN 단자부
215 : 제1 이더넷 프로세서
216 : 제2 이더넷 프로세서
220 : 제어 모듈
221 : SECS 메시지 분석부
222 : 포트 분석부
223 : 패킷 폐기부
224 : 패킷 중계부
225 : 오퍼레이팅 시스템부
226 : 마이크로 프로세서부
230 : 메모리 모듈
231 : RAM
232 : ROM
300 : 외부 서버
400 : 공유기
410 : WAN 단자부
420, 420' : LAN 단자부

Claims (9)

  1. 외부 서버와 네트워크 통신을 통해 패킷을 전송 받는 제1 네트워크 인터페이스부와 상기 제1 네트워크 인터페이스부를 통해 입력된 패킷 중 제어 모듈에 의해 정상적인 패킷으로 분석된 SECS 패킷만을 제조설비의 주 제어기로 네트워크 통신을 통해 전송하는 제2 네트워크 인터페이스부를 포함하는 네트워크 인터페이스 모듈, 및
    상기 네트워크를 통하여 입력되는 패킷을 분석하여 SECS 프로토콜에 따른 유효한 SECS 패킷을 필터링하고 기 결정된 유효하지 않은 프로토콜에 따른 패킷을 차단하는 제어 모듈을 포함하며,
    상기 제어 모듈은,
    상기 제1 네트워크 인터페이스부를 통해 입력된 패킷의 메시지를 분석하여 SECS 프로토콜에 따른 정상적인 메시지인지 여부를 판단하는 SECS 메시지 분석부,
    상기 제1 네트워크 인터페이스부를 통해 입력된 패킷의 포트 번호를 분석하여 기 결정된 포트 번호에 따른 패킷을 유효한 패킷으로 판단하는 포트 분석부,
    패킷 분석을 통해 SECS 프로토콜에 따른 정상적인 SECS 메시지가 아니거나 상기 기 결정된 포트 번호에 따른 유효한 패킷이 아닌 경우 패킷을 폐기하는 패킷 폐기부, 및
    상기 SECS 메시지 분석부의 패킷 분석을 통해 상기 정상적인 메시지로 판단되거나 상기 기 결정된 포트 번호로 판단된 경우 상기 제1 네트워크 인터페이스부를 통해 입력된 패킷과 상응하도록 패킷을 재구성하여 상기 제2 네트워크 인터페이스부로 중계하는 패킷 중계부를 포함하는 것을 특징으로 하는 SECS 프로토콜에 의해 전송되는 패킷 중계 장치.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 네트워크 통신은,
    이더넷 및 TCP/IP 프로토콜에 의해 데이터 패킷을 전송하는 것을 특징으로 하는 SECS 프로토콜에 의해 전송되는 패킷 중계 장치.
  4. 제 3 항에 있어서,
    상기 제1 네트워크 인터페이스부는 WAN 단자를 통해 외부 서버와 접속되고,
    상기 제2 네트워크 인터페이스부는 LAN 단자를 통해 제조설비의 주 제어기와 접속되는 것을 특징으로 하는 SECS 프로토콜에 의해 전송되는 패킷 중계 장치.
  5. 삭제
  6. 제 1 항에 있어서,
    상기 기 결정된 포트 번호를 저장하는 메모리 모듈을 더 포함하고,
    상기 포트 분석부는,
    상기 메모리 모듈에 저장된 허용 가능한 포트 번호와 상기 외부에서 전송된 패킷에 포함된 포트 번호를 상대적으로 비교하여 상기 제1 네트워크 인터페이스부를 통해 입력된 패킷의 정상 유무를 결정하는 것을 특징으로 하는 SECS 프로토콜에 의해 전송되는 패킷 중계 장치.
  7. 제 1 항, 제 3 항, 제 4 항 및 제 6 항 중 어느 하나의 항에 따른 SECS 프로토콜에 의해 전송되는 패킷 중계 장치,
    상기 패킷 중계 장치로부터 네트워크 통신을 통해 SECS 패킷을 전송받는 제조설비의 주 제어기를 포함하는 것을 특징으로 하는 제조설비의 패킷 전송 장치.
  8. 제 7 항에 있어서,
    상기 제조설비의 가동상태 또는 공정조건 등의 파라미터를 SECS 프로토콜을 통해 전송받거나 상기 제조설비의 가동 지시를 SECS 프로토콜을 통해 전송하는 서버를 더 포함하는 것을 특징으로 하는 제조설비의 패킷 전송 장치.
  9. 제 8 항에 있어서,
    복수의 패킷 중계 장치, 및
    상기 서버로부터 네트워크 통신을 통해 SECS 패킷을 전송 받아 상기 복수의 패킷 중계 장치로 SECS 패킷을 전송하거나, 상기 복수의 패킷 중계 장치로부터 SECS 패킷을 전송받아 상기 서버로 SECS 패킷을 전송하며, 상기 복수의 패킷 중계 장치의 IP를 동일하게 구성하도록 하는 공유기를 더 포함하는 것을 특징으로 하는 제조설비의 패킷 전송 장치.
KR1020130090189A 2013-07-30 2013-07-30 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치 KR101453980B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130090189A KR101453980B1 (ko) 2013-07-30 2013-07-30 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130090189A KR101453980B1 (ko) 2013-07-30 2013-07-30 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치

Publications (1)

Publication Number Publication Date
KR101453980B1 true KR101453980B1 (ko) 2014-11-03

Family

ID=52288311

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130090189A KR101453980B1 (ko) 2013-07-30 2013-07-30 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치

Country Status (1)

Country Link
KR (1) KR101453980B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101736223B1 (ko) * 2016-11-23 2017-05-16 주식회사 나온웍스 산업용 네트워크 보안 방법 및 장치
KR101859740B1 (ko) * 2017-11-24 2018-05-21 주식회사 나온웍스 산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070072856A (ko) * 2004-07-27 2007-07-06 엠케이에스 인스트루먼츠 인코포레이티드 지능형 제어 디바이스 및 지능형 제어 방법의 오작동 방지스위칭

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070072856A (ko) * 2004-07-27 2007-07-06 엠케이에스 인스트루먼츠 인코포레이티드 지능형 제어 디바이스 및 지능형 제어 방법의 오작동 방지스위칭

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101736223B1 (ko) * 2016-11-23 2017-05-16 주식회사 나온웍스 산업용 네트워크 보안 방법 및 장치
KR101859740B1 (ko) * 2017-11-24 2018-05-21 주식회사 나온웍스 산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치

Similar Documents

Publication Publication Date Title
US8737398B2 (en) Communication module with network isolation and communication filter
US11363035B2 (en) Configurable robustness agent in a plant security system
JP6749106B2 (ja) 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法
CN107852359B (zh) 安全系统、通信控制方法
US20080195747A1 (en) Control protocol encapsulation
CN105450782B (zh) 一种无丢包零停机重启网络服务的方法和系统
US10966004B2 (en) Hardware-enforced one-way information flow control device
CN111052705B (zh) 检查在工业自动化系统内传输的数据报的方法和自动化和/或通信设备
JP2019049968A (ja) プロセス制御システムにおける暗号化されたトラフィックのためのファイアウォール
KR101453980B1 (ko) 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치
US11159485B2 (en) Communication system, communication control apparatus, and communication control method using IP addresses for relay server managing connections
CN104079444A (zh) 一种用于工业以太网数据帧深度检测的方法和装置
Tippenhauer et al. Vbump: Securing ethernet-based industrial control system networks with vlan-based traffic aggregation
CN105580323A (zh) 通过网络过滤装置过滤数据包
Colelli et al. Securing connection between IT and OT: the Fog Intrusion Detection System prospective
WO2019123523A1 (ja) 通信装置、通信システム、通信制御方法、プログラム
US11916972B2 (en) Traffic capture mechanisms for industrial network security
JP2018064228A (ja) パケット制御装置
Cisco Configuring Source-Route Bridging
JP2017163505A (ja) 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム
WO2017143969A1 (zh) 一种控制端口状态的方法、路由设备及网络处理器
JP7114769B2 (ja) 通信システム
JP2014023136A (ja) ゲートウェイ装置、ゲートウェイシステムおよび計算機システム
KR20180067871A (ko) 네트워크 보안 정책을 테스트하는 방법, 장치 및 컴퓨터 프로그램
KR20150090597A (ko) Sdn 기반 네트워크에서 우선순위 기반의 메시지 혼잡 처리 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171010

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181016

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191015

Year of fee payment: 6