KR101489759B1 - 스토리지 장치를 이용한 파일전송 프로토콜 제어 방법 - Google Patents
스토리지 장치를 이용한 파일전송 프로토콜 제어 방법 Download PDFInfo
- Publication number
- KR101489759B1 KR101489759B1 KR20130130155A KR20130130155A KR101489759B1 KR 101489759 B1 KR101489759 B1 KR 101489759B1 KR 20130130155 A KR20130130155 A KR 20130130155A KR 20130130155 A KR20130130155 A KR 20130130155A KR 101489759 B1 KR101489759 B1 KR 101489759B1
- Authority
- KR
- South Korea
- Prior art keywords
- file
- file transfer
- data
- control
- network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은 스토리지 장치를 이용하여 네트워크를 분리하여 운영하는 환경에서, 네트워크 사이에 위치하는 스토리지 장치를 이용하여 파일전송을 중계하고, 허가되지 않은 자료에 대한 파일전송을 차단하는 방법에 관한 것이다. 특히, 스토리지 장치를 이용한 파일전송 프로토콜 제어방법은 파일전송 중계부가 파일전송 프로토콜 중 제어신호 채널을 통해 제어신호 메시지를 파일전송 단말로부터 수신하는 단계, 파일전송 중계부가 제어신호 메시지를 제어파일로 변환하는 단계, 파일전송 중계부가 제어 파일을 스토리지 장치에 저장하는 단계, 파일전송 중계부에 해당하는 망과 다른 망에 위치하는 파일전송 대행부가 스토리지 장치에 저장된 제어 파일을 읽는 단계, 파일전송 대행부가 제어 파일을 제어신호 메시지로 변환하는 단계, 및 파일전송 대행부가 제어신호 메시지를 파일저장 서버로 전송하는 단계를 포함한다.
Description
본 발명은 스토리지 장치를 이용한 파일전송 프로토콜 제어 방법에 관한 것으로, 특히 스토리지 장치를 이용하여 네트워크를 분리하여 운영하는 환경에서, 네트워크 사이에 위치하는 스토리지 장치를 이용하여 파일전송을 중계하고, 허가되지 않은 자료에 대한 파일전송을 차단하는 방법에 관한 것이다.
스토리지 기반의 망분리 기술은 단일 기계 장치를 망간에 배치하고, 해당 장치에 실장된 네트워크 인터페이스를 A망과 B망에 각각 연결하여 사용하는 것을 의미한다.
예를 들어, A망과 B망 인터페이스의 송수신 기능을 수신 전용과 송신 전용으로 특성화하여 일방향으로 전달할 경우, A망의 자료가 B망으로 전달되는 것을 방지 할 수 있으며 또한, 시스템의 내부 커널을 수정하거나 디바이스 드라이버를 변경하여 시스템 내부에 있는 리소스들의 동작을 제한하는 구조를 고려할 수 있다.
정보의 전달을 통제하는 종래의 기술은 대부분 격리된 환경에서 A망 및 B망이라는 형태로 정보의 흐름을 통제하는 특수 목적으로 사용되고 있다.
종래에는 서로 다른 보안 수준의 네트워크끼리는 서로 연결하지 않았으며 불가피하게 양단의 시스템 간에 서로 자료를 교환해야 하는 일이 발생하면 중간에서 사람이 개입되어 상대 시스템에게 전달되는 데이터를 검토하여 연결해주는 방식을 사용하거나 직접 전달하는 방식을 이용하였다. 이와 같은 방법은 데이터 전송속도도 느려질 뿐만 아니라 오류도 발생할 수 있는 문제점이 있다.
최근에는 보안수준이 매우 높은 네트워크의 사용자라 할지라도 인터넷에 있는 자료에 접근에 제한이 있다.
예를 들어, 자동차 회사의 핵심 기술 부서와 제작 업체 간에 공동으로 작업을 수행하는 환경에서는 내부 네트워크에 있는 자원에 외부에 있는 일부 사용자가 접근할 수 있도록 제한적으로 허용하여야만 할 필요가 생겼다. 이와 같은 목적으로, 망을 분리하면서 자동적으로 자료를 교환할 수 있는 기술이 개발되고 있으며, 이러한 기술들은 스토리지를 이용하여 망을 분리하고 있다.
그러나, 한국공개특허 제10-2011-0100952호 "가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법"과 같은 현재 운영되는 망 분리 장치들은 대부분의 장치들이 단일 시스템으로 구성되어 망 분리 장치 자체에 대한 악의적인 공격에 의해 침해되는 경우 분리 망 간 피해가 파급될 수 있으며, 일방향 자료전송만을 지원하는 한계점도 가지고 있다.
본 발명의 목적은 스토리지 장치를 이용하여 네트워크를 분리하여 운영하는 환경에서, 네트워크 사이에 위치하는 스토리지 장치를 이용하여 파일전송을 중계하고, 허가되지 않은 자료에 대한 파일전송을 차단하는 방법을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 스토리지 장치를 이용한 파일전송 프로토콜 제어방법은
파일전송 중계부가 상기 파일전송 프로토콜 중 제어신호 채널을 통해 제어신호 메시지를 파일전송 단말로부터 수신하는 단계; 상기 파일전송 중계부가 상기 제어신호 메시지를 제어파일로 변환하는 단계; 상기 파일전송 중계부가 상기 제어 파일을 상기 스토리지 장치에 저장하는 단계; 상기 파일전송 중계부에 해당하는 망과 다른 망에 위치하는 파일전송 대행부가 상기 스토리지 장치에 저장된 제어 파일을 읽는 단계; 상기 파일전송 대행부가 상기 제어 파일을 상기 제어신호 메시지로 변환하는 단계; 및 상기 파일전송 대행부가 상기 제어신호 메시지를 파일저장 서버로 전송하는 단계를 포함한다.
이 때, 상기 제어신호 메시지를 파일전송 단말로부터 수신하는 단계는 지정된 포트를 통해 상기 파일전송 단말로부터 TCP 세션을 수신하는 단계; 상기 TCP 세션을 통해 발신지 주소와 수신지 주소를 검사하는 단계; 검사한 결과를 토대로 상기 파일전송 단말이 허용된 단말에 해당하는지를 식별하는 단계; 및 상기 파일전송 단말이 허용된 단말에 해당하는 경우 상기 제어신호 메시지를 상기 파일전송 단말로부터 수신하는 단계를 포함한다.
이 때, 상기 제어신호 메시지를 파일전송 단말로부터 수신하는 단계는 상기 TCP 세션이 포함하는 명령어가 파일 전송에 한정된 파일 전송 명령어에 해당하는지를 확인하고, 파일 전송 명령어에 해당하는 경우에 상기 제어신호 메시지를 파일전송 단말로부터 수신하는 것을 특징으로 한다.
이 때, 상기 스토리지 장치에 저장하는 단계는 상기 파일전송 중계부가 상기 제어 파일을 상기 스토리지 장치가 포함하는 요청 파일 저장부에 저장하는 것을 특징으로 한다.
이 때, 상기 파일전송 중계부가 상기 요청 파일 저장부에 읽기쓰기 권한을 가지고, 상기 파일전송 대행부가 상기 요청 파일 저장부에 읽기권한 만을 가지는 것을 특징으로 한다.
이 때, 상기 제어신호 메시지를 파일저장 서버로 전송하는 단계는 상기 제어신호 메시지에 대응하는 응답 메시지를 전달받는 단계; 및 상기 응답 메시지를 상기 스토리지 장치가 포함하는 응답 파일 저장부에 저장하는 단계를 더 포함하는 것을 특징으로 한다.
이 때, 상기 파일전송 대행부가 상기 응답 파일 저장부에 읽기쓰기 권한을 가지고, 상기 파일전송 중계부가 상기 응답 파일 저장부에 읽기권한 만을 가지는 것을 특징으로 한다.
또한, 본 발명의 일실시예에 따른 스토리지 장치를 이용한 파일전송 프로토콜 제어방법은
파일전송 중계부가 상기 파일전송 프로토콜 중 데이터 채널을 통해 데이터를 파일전송 단말로부터 수신하는 단계; 상기 파일전송 중계부가 상기 데이터를 데이터 파일로 변환하고, 데이터 파일을 상기 스토리지 장치에 저장하는 단계; 파일 통제 장치가 상기 스토리 장치에 저장된 데이터 파일에 대한 반출 허용 여부를 확인하는 단계; 상기 파일 통제 장치가 상기 데이터 파일이 반출 승인된 파일일 경우에 상기 스토리 장치에 저장하는 단계; 상기 파일전송 중계부에 해당하는 망과 다른 망에 위치하는 파일전송 대행부가 상기 스토리지 장치에 저장된 상기 데이터 파일을 읽는 단계; 및 상기 파일전송 대행부가 상기 데이터 파일을 상기 데이터로 변환하고, 변환한 상기 데이터를 파일저장 서버로 전송하는 단계를 포함한다.
이 때, 상기 스토리 장치에 저장하는 단계는 상기 파일 통제 장치가 상기 데이터 파일이 반출 승인된 파일일 경우에, 상기 데이터 파일을 상기 스토리지 장치가 포함하는 반출승인 파일 저장부에 저장하는 것을 특징으로 한다.
이 때, 상기 파일 통제 장치가 상기 반출승인 파일 저장부에 읽기쓰기 권한을 가지는 것을 특징으로 한다.
이 때, 상기 파일전송 대행부가 상기 반출승인 파일 저장부에 읽기권한 만을 가지는 것을 특징으로 한다.
이 때, 상기 스토리지 장치에 저장하는 단계는 상기 데이터 파일에 대한 반출 허용 여부를 확인하기 이전에 상기 스토리지 장치가 포함하는 반출대기 파일 저장부에 저장하는 것을 특징으로 한다.
이 때, 상기 파일전송 중계부가 상기 반출대기 파일 저장부에 읽기쓰기 권한을 가지는 것을 특징으로 한다.
이 때, 상기 파일 통제 장치가 상기 반출대기 파일 저장부에 읽기권한 만을 가지는 것을 특징으로 한다.
본 발명에 따르면, 스토리지 장치를 이용하여 네트워크를 물리적으로 분리한 상태에서 통신연결 없이 단속적으로 자료전송을 중계할 수 있다.
또한, 본 발명은 스토리지 장치를 이용하여 접근제어를 수행하여 각 시스템의 접근 경로를 분리하고, 일방향 전송을 보장할 수 있으며, 마찬가지 방식으로 독립적인 역방향 전송도 보장할 수 있다.
또한, 본 발명에 따르면 스토리지 장치는 전송되는 파일을 검사한 후, 검사한 결과를 토대로 허가된 파일만이 전송되도록 할 수 있다.
도 1은 본 발명의 실시예에 따른 스토리지 장치를 이용하여 파일전송 프로토콜을 제어하는 방법이 적용되는 환경을 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 스토리지 장치를 이용하여 파일전송 프로토콜을 제어하는 방법이 적용되는 환경을 보다 구체적으로 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 A망 파일전송 중계부, 반출파일 검사부 및 B망 파일전송 대행부 및 스토리지 장치의 세부 구성을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 제어신호 채널을 통해 파일을 제어하는 방법을 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 데이터 채널을 통해 파일을 제어하는 방법을 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 스토리지 장치를 이용하여 파일전송 프로토콜을 제어하는 방법이 적용되는 환경을 보다 구체적으로 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 A망 파일전송 중계부, 반출파일 검사부 및 B망 파일전송 대행부 및 스토리지 장치의 세부 구성을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 제어신호 채널을 통해 파일을 제어하는 방법을 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 데이터 채널을 통해 파일을 제어하는 방법을 나타내는 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예 따른 스토리지 장치를 이용한 파일전송 프로토콜 제어 방법에 대하여 첨부한 도면을 참조하여 상세하게 설명한다.
먼저, 본 발명의 실시예에 따른 스토리지 장치는 분리되어 있는 정보통신망 간에 파일을 전송하기 위하여 파일전송 프로토콜(File Transfer Protocol)을 사용한다.
도 1은 본 발명의 실시예에 따른 스토리지 장치를 이용하여 파일전송 프로토콜을 제어하는 방법이 적용되는 환경을 나타내는 도면이다.
도 1을 참고하면, 본 발명의 실시예에 따른 스토리지 장치(600)는 A망과 연결되는 A망 파일 전송 장치(300), 전송되는 파일을 검사하는 파일 통제 장치(400) 및 B망과 연결되는 B망 파일 전송 장치(500)과 연동하여 동작한다.
A망(100)에는 파일전송 프로토콜을 지원하는 단말에 해당하는 제1 파일전송 단말(110)과, 제1 파일저장 서버(120)가 위치한다. 또한, B망(200)에는 파일전송 프로토콜을 지원하는 단말에 해당하는 제2 파일전송 단말(210), 제2 파일저장 서버(220)가 위치한다.
예를 들어, A망(100)에 위치하는 제1 파일전송 단말(110)은 B망(200)에 위치하는 제2 파일저장 서버(220)에 파일을 전송할 수 있다. 이때, 제1 파일전송 단말(110)은 A망 파일 전송 장치(300)로만 접근이 가능하다.
제1 파일전송 단말(110)로부터 파일 전송 요청을 받은 A망 파일 전송 장치(300)는 파일전송 요청 프로토콜 메시지를 파일로 변환하고, 변환 결과에 해당하는 파일을 스토리지 장치(600)의 지정된 저장부에 저장한다.
스토리지 장치(600)의 지정된 저장부에 저장된 파일은 B망 파일 전송 장치(500)에 의해 분석된다. 즉, B망 파일 전송 장치(500)는 스토리지 장치(600)의 지정된 저장부에 저장된 파일을 파일전송 프로토콜 메시지로 다시 변환하여, 파일전송 프로토콜 메시지를 B망(200)에 위치하는 제2 파일저장 서버(220)로 전송한다.
이러한 절차 즉, A망(100)에 위치하는 제1 파일전송 단말(110)이 B망(200)에 위치하는 제2 파일저장 서버(220)로 파일을 전송하는 절차를 통해 제1 파일전송 단말(110)과 제2 파일저장 서버(220) 사이에는 상호간의 TCP 세션이 생성된다.
일반적으로, 파일전송 프로토콜(FTP)은 제어통신 채널과 데이터통신 채널이 분리되어 동작한다. 상기 절차에 의해 제어통신 채널과 데이터통신 채널이 생성되어 파일이 전송되는 경우, A망 파일 전송 장치(300)은 수신 패킷을 파일로 스토리지 장치(600)의 지정된 저장부에 저장한다. 지정된 저장부에 저장된 파일은 파일 통제 장치(400)에 의해 검사된다. 이때, 파일 통제 장치(400)는 지정된 저장부에 저장된 파일이 B망(200)으로 전송하도록 허용된 파일인지를 검사한다. 그러면, B망 파일 전송 장치(500)는 파일 통제 장치(400)에 의해 검사된 파일을 B망(200)으로 전송한다.
도 1을 참고하면, 이중화 스위치(710 및 720)는 본 발명의 실시예에 따른 스토리지 장치의 안전성을 보장하기 위하여 액티브와 스탠바이로 동작하는 이중화된 장치로의 패킷 전송을 조절한다. 이때, A망 파일 전송 장치(300'), 파일 통제 장치(400') 및 B망 파일 전송 장치(500')는 스탠바이로 동작한다.
다음, A망 파일 전송 장치(300), B망 파일 전송 장치(500) 및 파일 통제 장치(400)의 구성 및 스토리지 장치(600)의 구성을 도 2를 참조하여 상세하게 설명한다.
도 2는 본 발명의 실시예에 따른 스토리지 장치를 이용하여 파일전송 프로토콜을 제어하는 방법이 적용되는 환경을 보다 구체적으로 나타내는 도면이다.
도 2를 참고하면, A망 파일전송 장치(300)는 A망 파일전송 중계부(310) 및 A망 파일전송 대행부(320)를 포함한다.
B망 파일 전송 장치(500)는 B망 파일전송 대행부(510) 및 B망 파일전송 중계부(520)를 포함한다.
파일 통제 장치(400)는 반출파일 검사부(410) 및 반입파일 검사부(420)를 포함한다.
파일전송 프로토콜(FTP)은 제어신호 채널과 데이터 채널로 구별되며, A망 파일전송 중계부(310)는 상기 채널 즉, 제어신호 채널과 데이터 채널을 구분하여 처리한다.
A망 파일전송 중계부(310)는 제어신호 채널을 통해 제1 파일전송 단말(110)로부터 수신되는 제어신호 메시지를 제어 파일로 변환하고, 변환한 제어파일을 스토리지 장치(600)의 요청파일 저장부(611)에 저장한다.
요청파일 저장부(611)는 A망 파일전송 중계부(310)에 의해 읽기쓰기(Read-Write, RW) 권한을 가지며, 요청파일 저장부(611)에 저장된 파일은 B망 파일전송 대행부(510)에 의해 읽기(Read-Only, RO) 권한이 부여된다.
B망 파일전송 대행부(510)는 요청파일 저장부(611)에 저장된 파일을 읽기 권한으로 접근 및 분석을 수행하고, 이를 통해 파일전송 프로토콜(FTP)의 제어신호 메시지를 생성한다. 다음, B망 파일전송 대행부(510)는 파일전송 프로토콜(FTP)의 제어신호 메시지를 이용하여 B망(200)에 위치하는 제2 파일저장 서버(220)로 접속 요청을 한다.
다음, B망 파일전송 대행부(510)는 접속 요청에 대한 응답을 수신하는 경우, 응답 메시지를 파일로 생성하며, 생성한 파일을 읽기쓰기(Read-Write, RW) 권한을 가지는 응답파일 저장부(612)에 저장한다.
응답파일 저장부(612)에 저장된 파일은 A망 파일전송 중계부(310)에 의해 읽기(Read-Only, RO) 권한으로 접근된다.
즉, A망 파일전송 중계부(310)는 응답파일 저장부(612)에 저장된 파일을 분석하여, A망(100)에 위치하여 제어신호 메시지를 전송한 제1 파일전송 단말(110)로 전송한다. 이때, A망 파일전송 중계부(310)는 제1 파일전송 단말(110)의 정보 및 세션 정보를 관리하여, 다수의 세션 요청을 수용할 수 있다.
이와 같이, 파일전송 프로토콜(FTP)의 제어신호 채널이 생성되면, 파일을 전송하기 위한 데이터 채널을 생성한다.
A망 파일전송 중계부(310)는 생성되는 데이터 채널에 대한 서비스 연결 번호(예를 들어, 포트 번호 등)을 포함하는 파일을 생성하고, 생성한 파일을 요청파일 저장부(611)에 저장한다.
요청파일 저장부(611)에 저장된 파일은 B망 파일전송 대행부(510)에 의해 읽기(Read-Only, RO) 권한으로 접근된다.
B망 파일전송 대행부(510)는 요청파일 저장부(611)에 저장된 파일을 읽기(Read-Only, RO) 권한으로 접근 및 분석을 수행하고, 이를 통해 파일전송 프로토콜(FTP)의 데이터 신호 메시지를 생성한다. 다음, B망 파일전송 대행부(510)는 파일전송 프로토콜(FTP)의 데이터 신호 메시지를 이용하여 B망(200)에 위치하는 제2 파일저장 서버(220)로 데이터 채널 생성 요청을 한다.
다음, B망 파일전송 대행부(510)는 생성 요청에 대한 응답을 수신하는 경우, 응답 메시지를 파일로 생성하여, 생성한 파일을 응답파일 저장부(612)에 저장한다.
응답파일 저장부(612)에 저장된 파일은 A망 파일전송 중계부(310)에 의해 요청한 제1 파일전송 단말(110)로 응답된다.
앞에서 설명한 것과 같은 동작 과정에서, A망 파일전송 중계부(310)는 제어신호 메시지에 대한 허용 여부를 검사한다. 즉, A망 파일전송 중계부(310)에서 파일전송 프로토콜(FTP)의 명령어 사용을 통제함으로써, 제1 파일전송 단말(110)에서 제2 파일저장 서버(220)로의 일방향 전송을 보장할 수 있다.
구체적으로, 제1 파일전송 단말(110)에서 디렉토리 변경 명령어(CHDIR), 파일 다운로드(GET), 권한변경(CHMOD) 등의 명령어를 사용하면, A망 파일전송 중계부(310)는 제1 파일전송 단말(110)로 에러 메시지를 전송한다. 여기서, 허용되는 명령어는 파일 전송에 한정된 파일 전송(PUT) 명령어만을 보장한다.
A망 파일전송 중계부(310)는 제1 파일전송 단말(110)에서 데이터 채널로 전송되는 패킷을 반출대기 파일 저장부(613)에 파일로 저장한다.
반출파일 검사부(410)는 반출대기 파일 저장부(613)에 저장된 파일에 읽기 권한으로 접근하여, 해당 파일에 대한 반출 승인 여부를 검사한다. 이때, 반출파일 검사부(410)는 해당 파일이 반출 승인된 파일일 경우, 해당 파일을 반출승인 파일 저장부(614)에 저장한다.
B망 파일전송 대행부(510)는 반출승인 파일 저장부(614)에 저장된 파일을 제2 파일저장 서버(220)와 연결된 데이터 채널을 통해 전송한다.
이와 같이, 본 발명의 실시예에 따른 스토리지 장치(600)를 이용한 파일전송 프로토콜 제어 방법은 A망(100)에서 B망(200)으로 일방향을 보장하면서 전송되는 파일에 대한 검사를 수행하는 동시에, B망(200)에 위치하는 제2 파일전송 단말기(210)에서 A망 (100)에 위치하는 제2 파일저장 서버(120)로 파일을 전송하는데 있어서 일방향 전송을 보장한다.
도 2에서의 B망 파일전송 중계부(520)와 A망 파일전송 대행부(320)는 위에서 기재한 A망 파일전송 중계부(310)와 B망 파일전송 대행부(510)의 동작과 동일하므로, 구체적인 설명을 생략한다.
B망 파일전송 중계부(520)에서 데이터 채널을 통해 수신된 패킷은 파일로 반입대기 파일 저장부(624)에 저장된다. 반입파일 검사부(420)는 반입대기 파일 저장부(624)에 저장된 파일에 읽기(Read-Only, RO) 권한으로 접근하여, 파일에 대한 검사를 수행한다.
반입파일 검사부(420)는 반입대기 파일 저장부(624)에 저장된 파일이 악성코드에 감염되었는지 여부를 판단하고, 파일을 차단하거나 허용하도록 한다. 이때, 반입파일 검사부(420)에 의해 허용된 파일은 반입승인 파일 저장부(623)에 저장되고, A망 파일전송 대행부(320)에 의해 제1 파일저장 서버(120)로 전송된다.
본 발명의 실시예에 따른 스토리지 장치(600)에 파일을 저장하는 방법에 있어서, A망 파일전송 중계부(310), B망 파일전송 중계부(520), A망 파일전송 대행부(320) 및 B망 파일전송 대행부(510)는 읽기(Read-Only, RO) 권한을 가지는 파일 저장부에 대해서 폴링(Polling)을 수행한다. 즉, A망 파일전송 중계부(310)는 응답파일 저장부(612)에 대하여 폴링을 수행하여, B망 파일전송 대행부(510)에 의해 저장된 파일을 즉시 접근할 수 있도록 한다. 여기서, 파일에 대한 접근 방식은 동기 파일과 데이터 파일로 구별된다. 데이터 파일은 데이터 채널을 통해 전송된 실제 파일을 의미하며, 동기 파일은 각 중계부 및 대행부에서 데이터 파일을 해당 저장부에 저장한 후에 생성하는 파일이다. 각 중계부 및 대행부는 동기 파일에 대한 폴링을 수행하며, 동기 파일이 생성되면 해당 데이터 파일에 접근하여 파일을 읽게 된다. 이러한 방식은 대용량의 데이터 파일이 저장되고 있는 동안 다른 중계부 또는 대행부가 파일에 접근하는 것을 방지하도록 한다.
A망 파일전송 중계부(310)와 A망 파일전송 대행부(320), B망 파일전송 대행부(510)와 B망 파일전송 중계부(520)는 각각 동일한 하드웨어 장치에서 동작한다. 그러나, 각 기능에 따라 사용하는 자원을 분리하기 위하여 중계부, 대행부, 검사부는 가상머신(Virtual Machine)에서 동작한다.
다음, A망 파일전송 중계부(310), 반출파일 검사부(410) 및 B망 파일전송 대행부(510) 및 스토리지 장치(600)의 세부 구성 및 파일전송 프로토콜 제어 방법을 도 3 내지 도 5를 참조하여 상세하게 설명한다.
도 3은 본 발명의 실시예에 따른 A망 파일전송 중계부, 반출파일 검사부 및 B망 파일전송 대행부 및 스토리지 장치의 세부 구성을 나타내는 도면이다.
도 3을 참고하면, A망 파일전송 중계부(310)는 세션수신모듈(311), IP 주소 검사모듈(312), 세션관리모듈(313), 명령어 검사모듈(314), 제어파일 관리모듈(315), 파일읽기모듈(316), 세션전송모듈(317), 데이터 수신모듈(318) 및 전송파일 생성모듈(319)을 포함한다.
B망 파일전송 대행부(510)는 제어파일 읽기모듈(511), 세션통제모듈(512), 제어파일 생성모듈(513), 전송파일 읽기모듈(514) 및 파일전송모듈(515)를 포함한다.
반출파일 검사부(410)는 파일읽기모듈(411), 통제정책모듈(412), 파일생성모듈(413), 차단정보기록부(414)를 포함한다. 여기서, 통제정책모듈(412)과 차단정보기록부(414)는 반출차단 파일 저장부(630)와 연동하여 동작한다.
도 4는 본 발명의 실시예에 따른 제어신호 채널을 통해 파일을 제어하는 방법을 나타내는 도면이다.
도 4를 참고하면, A망 파일전송 중계부(310)의 세션수신모듈(311)은 지정된 포트를 통해 TCP 세션을 수신(S401)하고, 수신한 TCP 세션에 대하여 프로세스 단위로 처리한다.
IP 주소 검사모듈(312)은 S401 단계에서 수신한 TCP 세션을 통해 발신지 주소와 수신지 주소를 검사(S402)하고, 검사한 결과를 토대로 허용된 파일전송 단말 즉, 제1 파일전송 단말(110)인지, 허용된 파일저장 서버 즉, 제2 파일저장 서버(220)인지를 식별한다.
세션관리모듈(313)은 수신한 TCP 세션을 분석 및 관리함으로써(S403), TCP 세션이 포함하는 명령어를 검출한다.
명령어 검사모듈(314)은 검출한 명령어가 허용되는 명령어에 해당하는지를 검사한다(S404). 구체적으로, TCP 세션을 전달한 제1 파일전송 단말(110)에서 디렉토리 변경 명령어(CHDIR), 파일 다운로드(GET), 권한변경(CHMOD) 등의 명령어를 사용하면, 명령어 검사모듈(314)은 제1 파일전송 단말(110)로 에러 메시지를 전송한다. 여기서, 허용되는 명령어는 파일 전송에 한정된 파일 전송(PUT) 명령어만을 보장한다.
제어파일 관리모듈(315)은 제어신호 채널을 통해 제1 파일전송 단말(110)로부터 수신되는 제어신호 메시지에 대응하는 제어 파일을 생성하고(S405), 생성한 제어 파일을 스토리지 장치(600)의 요청파일 저장부(611)에 전달한다(S406).
요청파일 저장부(611) 제어 파일에 대해 읽기 권한을 가지는 B망 파일전송 대행부(510)에 전달한다(S407).
B망 파일전송 대행부(510)의 제어파일 읽기모듈(511)은 요청파일 저장부(611)에 저장된 파일을 읽어온다(S408).
세션통제모듈(512)은 B망(200)의 제2 파일저장 서버(220)로 TCP 세션을 설정 및 통제함으로써(S409), 제1 파일전송 단말(110)을 대신하여 제2 파일저장 서버(220)에 접속한다(S410).
이와 같이, B망 파일전송 대행부(510)는 접속 요청에 대한 응답을 수신한다.
그러면, B망 파일전송 대행부(510)의 제어파일 생성모듈(513)은 응답 메시지에 대응하는 제어파일을 생성한다. 제어파일 생성모듈(513)은 응답 메시지에 대응하는 제어파일을 응답파일 저장부(612)에 저장한다.
응답파일 저장부(612)에 저장된 파일은 A망 파일전송 중계부(310)의 파일읽기모듈(316)에 의해 읽기(Read-Only, RO) 권한으로 접근된다.
세션전송모듈(317)은 파일읽기모듈(316)에서 읽은 파일을 분석하여, A망(100)에 위치하여 제어신호 메시지를 전송한 제1 파일전송 단말(110)로 전송한다.
도 5는 본 발명의 실시예에 따른 데이터 채널을 통해 파일을 제어하는 방법을 나타내는 도면이다.
도 5를 참고하면, A망 파일전송 중계부(310)에서 데이터 수신모듈(318)은 제1 파일전송 단말(110)로부터 데이터를 수신한다(S501).
전송파일 생성모듈(319)은 S501 단계에서 수신한 데이터를 데이터 파일로 변환한다.
A망 파일전송 중계부(310)는 생성한 데이터 파일을 스토리지 장치(600)의 반출대기 파일 저장부(613)에 저장한다(S503).
파일 통제 장치(400)의 반출파일 검사부(410)는 반출대기 파일 저장부(613)에 저장된 파일에 읽기 권한으로 접근하여, 데이터 파일을 읽는다(S504).
반출파일 검사부(410)는 S504 단계에서 읽은 파일에 대한 반출 허용 여부를 확인한다(S505).
반출파일 검사부(410)는 S505 단계에서 파일이 반출 승인된 파일일 경우에 파일을 스토리지 장치(600)의 반출승인 파일 저장부(614)에 저장한다(S506).
반출승인 파일 저장부(614)는 읽기 권한을 가지는 B망 파일전송 대행부(510)로 파일을 전달한다(S507).
B망 파일전송 대행부(510)의 전송파일 읽기모듈(514)은 반출승인 파일 저장부(614)에 저장된 파일을 읽는다(S508).
파일전송모듈(515)은 전송파일 읽기모듈(514)에서 읽은 파일을 제2 파일저장 서버(220)와 연결된 데이터 채널을 통해 전송한다(S509).
이와 같이, 본 발명의 실시예에 따른 파일전송 프로토콜 제어 방법은 스토리지 장치를 이용하여 분리 망으로 운영하는 환경에서 망간 전송되는 자료에 대한 내용검사를 통해 허가되지 않은 자료 유출을 방지할 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
100; A망 110; 제1 파일전송 단말
120; 제1 파일저장 서버 200; B망
210; 제2 파일전송 단말 220; 제2 파일저장 서버
300; A망 파일 전송 장치 310; A망 파일전송 중계부
311; 세션수신모듈 312; IP 주소 검사모듈
313; 세션관리모듈 314; 명령어 검사모듈
315; 제어파일 관리모듈 316; 파일읽기모듈
317; 세션전송모듈 318; 데이터 수신모듈
319; 전송파일 생성부 320; A망 파일전송 대행부
400; 파일 통제 장치 411; 파일 읽기 모듈
412; 파일 생성 모듈 413; 통제정책 모듈
414; 차단정보 기록부 410; 반출파일 검사부
420; 반입파일 검사부
500; B망 파일 전송 장치 510; B망 파일전송 대행부
511; 제어파일 읽기모듈 512; 세션통제모듈
513; 제어파일 생성모듈 514; 전송파일 읽기모듈
515; 파일전송모듈 520; B망 파일전송 중계부
600; 스토리지 장치 611; 요청 파일 저장부
612; 응답 파일 저장부 613; 반출대기 파일 저장부
614; 반출승인 파일 저장부 630; 반출차단 파일 저장부
120; 제1 파일저장 서버 200; B망
210; 제2 파일전송 단말 220; 제2 파일저장 서버
300; A망 파일 전송 장치 310; A망 파일전송 중계부
311; 세션수신모듈 312; IP 주소 검사모듈
313; 세션관리모듈 314; 명령어 검사모듈
315; 제어파일 관리모듈 316; 파일읽기모듈
317; 세션전송모듈 318; 데이터 수신모듈
319; 전송파일 생성부 320; A망 파일전송 대행부
400; 파일 통제 장치 411; 파일 읽기 모듈
412; 파일 생성 모듈 413; 통제정책 모듈
414; 차단정보 기록부 410; 반출파일 검사부
420; 반입파일 검사부
500; B망 파일 전송 장치 510; B망 파일전송 대행부
511; 제어파일 읽기모듈 512; 세션통제모듈
513; 제어파일 생성모듈 514; 전송파일 읽기모듈
515; 파일전송모듈 520; B망 파일전송 중계부
600; 스토리지 장치 611; 요청 파일 저장부
612; 응답 파일 저장부 613; 반출대기 파일 저장부
614; 반출승인 파일 저장부 630; 반출차단 파일 저장부
Claims (14)
- 스토리지 장치를 이용한 파일전송 프로토콜 제어방법에 있어서,
파일전송 중계부가 상기 파일전송 프로토콜 중 제어신호 채널을 통해 제어신호 메시지를 파일전송 단말로부터 수신하는 단계;
상기 파일전송 중계부가 상기 제어신호 메시지를 제어파일로 변환하는 단계;
상기 파일전송 중계부가 상기 제어 파일을 상기 스토리지 장치에 저장하는 단계;
상기 파일전송 중계부에 해당하는 망과 다른 망에 위치하는 파일전송 대행부가 상기 스토리지 장치에 저장된 제어 파일을 읽는 단계;
상기 파일전송 대행부가 상기 제어 파일을 상기 제어신호 메시지로 변환하는 단계; 및
상기 파일전송 대행부가 상기 제어신호 메시지를 파일저장 서버로 전송하는 단계를 포함하고,
상기 제어신호 메시지를 파일전송 단말로부터 수신하는 단계는, 지정된 포트를 통해 상기 파일전송 단말로부터 TCP 세션을 수신하는 단계; 상기 TCP 세션을 통해 발신지 주소와 수신지 주소를 검사하는 단계; 검사한 결과를 토대로 상기 파일전송 단말이 허용된 단말에 해당하는지를 식별하는 단계; 및 상기 파일전송 단말이 허용된 단말에 해당하는 경우 상기 제어신호 메시지를 상기 파일전송 단말로부터 수신하는 단계를 포함하는 파일전송 프로토콜 제어방법. - 삭제
- 청구항 1에 있어서,
상기 제어신호 메시지를 파일전송 단말로부터 수신하는 단계는
상기 TCP 세션이 포함하는 명령어가 파일 전송에 한정된 파일 전송 명령어에 해당하는지를 확인하고, 파일 전송 명령어에 해당하는 경우에 상기 제어신호 메시지를 파일전송 단말로부터 수신하는 것을 특징으로 하는 파일전송 프로토콜 제어방법. - 청구항 1에 있어서,
상기 스토리지 장치에 저장하는 단계는
상기 파일전송 중계부가 상기 제어 파일을 상기 스토리지 장치가 포함하는 요청 파일 저장부에 저장하는 것을 특징으로 하는 파일전송 프로토콜 제어방법. - 청구항 4에 있어서,
상기 파일전송 중계부가 상기 요청 파일 저장부에 읽기쓰기 권한을 가지고, 상기 파일전송 대행부가 상기 요청 파일 저장부에 읽기권한 만을 가지는 것을 특징으로 하는 파일전송 프로토콜 제어방법. - 청구항 1에 있어서,
상기 제어신호 메시지를 파일저장 서버로 전송하는 단계는
상기 제어신호 메시지에 대응하는 응답 메시지를 전달받는 단계; 및
상기 응답 메시지를 상기 스토리지 장치가 포함하는 응답 파일 저장부에 저장하는 단계를 더 포함하는 것을 특징으로 하는 파일전송 프로토콜 제어방법. - 청구항 6에 있어서,
상기 파일전송 대행부가 상기 응답 파일 저장부에 읽기쓰기 권한을 가지고, 상기 파일전송 중계부가 상기 응답 파일 저장부에 읽기권한 만을 가지는 것을 특징으로 하는 파일전송 프로토콜 제어방법. - 스토리지 장치를 이용한 파일전송 프로토콜 제어방법에 있어서,
파일전송 중계부가 상기 파일전송 프로토콜 중 데이터 채널을 통해 데이터를 파일전송 단말로부터 수신하는 단계;
상기 파일전송 중계부가 상기 데이터를 데이터 파일로 변환하고, 데이터 파일을 상기 스토리지 장치에 저장하는 단계;
파일 통제 장치가 상기 스토리 장치에 저장된 데이터 파일에 대한 반출 허용 여부를 확인하는 단계;
상기 파일 통제 장치가 상기 데이터 파일이 반출 승인된 파일일 경우에 상기 스토리 장치에 저장하는 단계;
상기 파일전송 중계부에 해당하는 망과 다른 망에 위치하는 파일전송 대행부가 상기 스토리지 장치에 저장된 상기 데이터 파일을 읽는 단계; 및
상기 파일전송 대행부가 상기 데이터 파일을 상기 데이터로 변환하고, 변환한 상기 데이터를 파일저장 서버로 전송하는 단계를 포함하는 파일전송 프로토콜 제어방법. - 청구항 8에 있어서,
상기 스토리 장치에 저장하는 단계는
상기 파일 통제 장치가 상기 데이터 파일이 반출 승인된 파일일 경우에, 상기 데이터 파일을 상기 스토리지 장치가 포함하는 반출승인 파일 저장부에 저장하는 것을 특징으로 하는 파일전송 프로토콜 제어방법. - 청구항 9에 있어서,
상기 파일 통제 장치가 상기 반출승인 파일 저장부에 읽기쓰기 권한을 가지는 것을 특징으로 하는 파일전송 프로토콜 제어방법. - 청구항 9에 있어서,
상기 파일전송 대행부가 상기 반출승인 파일 저장부에 읽기권한 만을 가지는 것을 특징으로 하는 파일전송 프로토콜 제어방법. - 청구항 8에 있어서,
상기 스토리지 장치에 저장하는 단계는
상기 데이터 파일에 대한 반출 허용 여부를 확인하기 이전에 상기 스토리지 장치가 포함하는 반출대기 파일 저장부에 저장하는 것을 특징으로 하는 파일전송 프로토콜 제어방법. - 청구항 12에 있어서,
상기 파일전송 중계부가 상기 반출대기 파일 저장부에 읽기쓰기 권한을 가지는 것을 특징으로 하는 파일전송 프로토콜 제어방법. - 청구항 12에 있어서,
상기 파일 통제 장치가 상기 반출대기 파일 저장부에 읽기권한 만을 가지는 것을 특징으로 하는 파일전송 프로토콜 제어방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20130130155A KR101489759B1 (ko) | 2013-10-30 | 2013-10-30 | 스토리지 장치를 이용한 파일전송 프로토콜 제어 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20130130155A KR101489759B1 (ko) | 2013-10-30 | 2013-10-30 | 스토리지 장치를 이용한 파일전송 프로토콜 제어 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101489759B1 true KR101489759B1 (ko) | 2015-02-06 |
Family
ID=52591324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR20130130155A KR101489759B1 (ko) | 2013-10-30 | 2013-10-30 | 스토리지 장치를 이용한 파일전송 프로토콜 제어 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101489759B1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180130306A (ko) | 2017-05-29 | 2018-12-07 | 한국전력공사 | 물리적인 망분리 환경의 자료 전달 시스템 및 그 방법 |
| KR20190046391A (ko) | 2017-10-26 | 2019-05-07 | 한국전자통신연구원 | 분리망 간 서비스 연동 장치, 분리망 간 데이터 통제 장치 및 방법 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110108525A (ko) * | 2010-03-29 | 2011-10-06 | 이일경 | 스토리지를 이용한 망분리 시스템간 암호화된 데이터 송수신 시스템 및 그 방법 |
-
2013
- 2013-10-30 KR KR20130130155A patent/KR101489759B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110108525A (ko) * | 2010-03-29 | 2011-10-06 | 이일경 | 스토리지를 이용한 망분리 시스템간 암호화된 데이터 송수신 시스템 및 그 방법 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180130306A (ko) | 2017-05-29 | 2018-12-07 | 한국전력공사 | 물리적인 망분리 환경의 자료 전달 시스템 및 그 방법 |
| US11386240B2 (en) | 2017-05-29 | 2022-07-12 | Korea Electric Power Corporation | Data transmission system and method in physical network separation environment |
| KR20190046391A (ko) | 2017-10-26 | 2019-05-07 | 한국전자통신연구원 | 분리망 간 서비스 연동 장치, 분리망 간 데이터 통제 장치 및 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100906119B1 (ko) | 분배 파일 시스템 네트워크에 있어서의 보안성 제공 방법및 시스템 | |
| US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| US8713646B2 (en) | Controlling access to resources on a network | |
| CN105939239B (zh) | 虚拟网卡的数据传输方法及装置 | |
| US20200252434A1 (en) | Systems and methods for allowing flexible chip configuration by external entity | |
| GB2493597A (en) | Multiple Independent Levels of Security (MILS) host with plura stack offload engines | |
| US11563799B2 (en) | Peripheral device enabling virtualized computing service extensions | |
| JP6470597B2 (ja) | キャプティブポータル対応のvpn通信端末、その通信制御方法及びそのプログラム | |
| CN105049412A (zh) | 一种不同网络间数据安全交换方法、装置及设备 | |
| CN109479013A (zh) | 计算机网络中的业务的日志记录 | |
| CN110177010B (zh) | 一种链路切换方法及装置 | |
| US20210089239A1 (en) | Peripheral device for configuring compute instances at client-selected servers | |
| CN114885332A (zh) | 流量处理方法及装置、存储介质及电子设备 | |
| KR101489759B1 (ko) | 스토리지 장치를 이용한 파일전송 프로토콜 제어 방법 | |
| WO2015182873A1 (ko) | Dns 서버 선별 차단 및 proxy를 이용한 dns 주소 변경 방법 | |
| US20150261810A1 (en) | Data transfer apparatus and method | |
| CN108040122B (zh) | 文件传输方法及装置 | |
| KR20080054593A (ko) | 네트워크 스토리지 시스템 | |
| EP3180705B1 (en) | End point secured network | |
| US20210286906A1 (en) | Memory device, data transfer device and method for transferring data | |
| CN102123102B (zh) | 节点保护方法、包过滤装置及虚拟网络系统 | |
| CN109691158A (zh) | 移动流量重定向系统 | |
| KR20190014424A (ko) | 보안연동장치 및 보안연동장치의 보안 서비스 방법 | |
| CN112491830B (zh) | 一种Ceph分布式块存储接入认证方法、介质及装置 | |
| US11159544B2 (en) | Systems and methods for secure communication in cloud computing environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20180102 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20181226 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20200106 Year of fee payment: 6 |