KR101593168B1 - 물리적 단방향 통신 장치 및 방법 - Google Patents

물리적 단방향 통신 장치 및 방법 Download PDF

Info

Publication number
KR101593168B1
KR101593168B1 KR1020140120001A KR20140120001A KR101593168B1 KR 101593168 B1 KR101593168 B1 KR 101593168B1 KR 1020140120001 A KR1020140120001 A KR 1020140120001A KR 20140120001 A KR20140120001 A KR 20140120001A KR 101593168 B1 KR101593168 B1 KR 101593168B1
Authority
KR
South Korea
Prior art keywords
data
internal
system unit
external
unidirectional
Prior art date
Application number
KR1020140120001A
Other languages
English (en)
Inventor
김경호
윤정한
김희민
정만현
김우년
박응기
박상우
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140120001A priority Critical patent/KR101593168B1/ko
Priority to US14/790,074 priority patent/US9749011B2/en
Priority to JP2015135998A priority patent/JP6106718B2/ja
Application granted granted Critical
Publication of KR101593168B1 publication Critical patent/KR101593168B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B3/00Line transmission systems
    • H04B3/50Systems for transmission between fixed stations via two-conductor transmission lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/60Router architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Dc Digital Transmission (AREA)

Abstract

본 발명은 데이터가 전송될 수 없는 전기적 신호를 사용하는 구조를 적용하고, 이를 이용하는 전송 방법을 통해 데이터 전송의 신뢰성을 보장하는 것이 목적이다. 이를 위해서, 내부망과 통신을 수행하는 내부망 연계 시스템부;와 외부망과 통신을 수행하는 외부망 연계 시스템부;와 상기 내부망 연계 시스템부에서 상기 외부망 연계 시스템부 방향으로만 데이터 전송이 가능한 물리적 단방향성을 가지는 단방향 데이터 전송라인;와 상기 내부망 연계 시스템부와 상기 외부망 연계 시스템부 사이에서 형성된 통신라인으로 상기 외부망 연계 시스템부에서 생성된 데이터 수신상태 정보를 상기 내부망 연계 시스템부로 제공하는 데이터 수신상태 전송라인; 및 상기 단방향 데이터 전송라인를 통해 전송되는 데이터의 수신상태에 관한 데이터 수신상태 정보를 생성하고, 이를 상기 데이터 수신상태 전송라인를 통해 내부망 시스템에 알려주어 오류가 발생한 데이터를 재전송할 수 있도록 관리하는 관리부;를 포함하는 물리적 단방향 통신 장치가 제공된다.

Description

물리적 단방향 통신 장치 및 방법{PHYSICAL ONE DIRECTION COMMUNICATION DEVICE AND METHOD THEREOF}
본 발명은 물리적 단방향 통신 구조 및 방법에 관한 것으로, 보다 상세하게는 물리적 단방향 자료전달 구조적 한계로 인해 발생하는 전송의 신뢰성 문제를 데이터가 오갈 수 없는 별도의 전기적 신호 전송 경로를 생성하여 수신 측의 상태를 송신 측에서 파악할 수 있는 통신 장치 및 방법에 대한 것이다.
물리적 단방향 자료전달 시스템은 내부에서 외부로의 데이터 전송은 가능하게 하면서 외부망에서 내부망으로의 데이터 전송을 물리적으로 차단하여 외부망을 통한 침입을 원천적으로 차단하는 네트워크 보안장비이다.
물리적 단방향 자료전달 기술은 UTP 케이블의 RX라인을 절단하여 사용하는 기술, 시리얼 케이블을 절단하여 사용하는 기술, 광 컨버터의 RX 선을 제거하는 기술 등이 있다.
하지만 선을 절단하여 물리적으로 단방향 데이터를 전송하는 방식은 데이터 손실에 대한 위험이 존재한다. 이를 보강하기 위하여 버퍼의 크기 및 전송 속도를 조절하는 방법, 별도의 제어회선(데이터 사용)을 사용하는 방법 등이 있다. 하지만 수신측의 상태를 알 수 없는 상황에서 버퍼나 속도 조절방법은 완벽한 보완책이 아니다. 또한 별도의 제어회선을 사용하는 방법은 제어회선 자체가 침투경로로 악용될 가능성이 존재한다.
즉, 기존 물리적 단방향 자료전달 기술은 물리적 단방향을 보장하기 위하여 데이터 전송 구간에서 내부망 연계 시스템의 RX 라인을 제거한다. 이 방법을 통하여 외부망 연계 시스템에서의 악의적인 자료전달을 원천적으로 봉쇄할 수는 있으나, 데이터의 신뢰성 저하의 문제가 발생한다.
대한민국 특허공개번호 제10-2011-0040004인 '일방향 데이터 전송 시스템 및 방법'은 높은 보안이 필요한 네트워크에서 낮은 보안이 필요한 네트워크로 데이터를 전송하는 일방향 데이터 전송 시스템 및 방법에 관한 것으로서, 높은 보안이 필요한 네트워크에서 낮은 보안이 필요한 네트워크로 데이터를 전송하는 동안 낮은 보안의 네트워크에서 높은 보안의 네트워크로 접근하는 것을 물리적으로 차단하는 기술이 기재되어 있다. 그러나, 수신 측의 상태 정보를 전달할 수 있는 별도의 단방향 라인을 적용하고, 이 라인을 통하여 수신 측의 상태를 송신 측으로 전달하는 기술은 언급되어 있지 않다. 즉, 데이터 수신 실패 또는 수신 측 문제 발생 등의 상황을 전달함으로써 데이터 재전송 또는 지연 전송과 같은 방법을 통하여 단방향 구간에서 데이터 전송의 신뢰성을 보장하는 기술에 대한 것은 언급되어 있지 않다.
본 발명은 종래의 문제점을 해결하기 위해서, 데이터가 전송될 수 없는 전기적 신호를 사용하는 구조를 적용하고, 이를 이용하는 전송 방법을 통해 데이터 전송의 신뢰성을 보장하는 것이 목적이다.
본 발명의 다른 목적들은 이하의 실시예에 대한 설명을 통해 쉽게 이해될 수 있을 것이다.
본 발명의 일측에 따르면, 단방향 데이터 전송라인;과 데이터 수신상태 전송라인;과 내부망 전송 호스트와 통신을 수행하며, 상기 단방향 데이터 전송라인을 통해 전송데이터를 외부망 연계 시스템부로 전송하는 내부망 연계 시스템부; 및 외부망 수신 호스트와 통신을 수행하며, 상기 내부망 연계 시스템부로부터 상기 전송데이터를 수신하고, 상기 전송데이터의 수신상태 정보를 생성하여 상기 데이터 수신상태 전송라인을 통해 상기 내부망 연계 시스템부로 전송하는 외부망 연계 시스템부;를 포함하는 물리적 단방향 통신 장치가 제공된다.
여기서, 상기 내부망 연계 시스템부는, 상기 내부망 전송 호스트로부터 상기 전송데이터를 수신하고 상기 전송데이터를 단방향 통신관리자로 전송하는 내부 통신 에이전트; 및 상기 전송데이터를 상기 단방향 데이터 전송라인을 통해 상기 외부망 연계 시스템부로 전송하는 내부 단방향 통신 관리자;를 포함하고 있고, 상기 외부망 연계 시스템부는, 상기 내부망 연계 시스템부로부터 수신한 상기 전송데이터를 상기 외부망 수신 호스트로 전송하는 외부 통신 에이전트; 및 상기 내부망 연계 시스템부로부터 수신한 상기 전송데이터를 분석하여 상기 수신상태 정보를 생성하고 상기 수신상태 정보를 상기 내부 단방향 통신 관리자로 전송하는 외부 단방향 통신 관리자;를 포함하는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
여기서, 상기 단방향 데이터 전송라인은 상기 내부망 연계 시스템부에서 상기 외부망 연계 시스템부로만 상기 전송데이터가 전송되도록 다이오드가 연결되어 있는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
여기서, 상기 데이터 수신상태 전송라인은 N(N은 자연수)개의 라인으로 구성되어 있으며, 각각의 라인은 데이터를 전송할 수는 없고 전기적인 온(ON), 오프(OFF) 상태만을 전송하는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
여기서, 상기 데이터 수신상태 전송라인의 각 라인은 다이오드가 연결되어 있어 상기 외부망 연계 시스템부에서 상기 내부망 연계 시스템부로만 전기적 신호가 전달되는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
여기서, 상기 내부 단방향 통신 관리자 또는 상기 외부 단방향 통신 관리자는 상기 단방향 데이터 전송라인을 통해 외부망에서 내부망으로 데이터가 전송되는 것을 방지하도록 auto-MDIX(Medium Dependent Interface Crossover) 기능을 제거하는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
여기서, 상기 외부 단방향 통신 관리자는 수신한 상기 전송데이터를 분석하여 오류가 발생한 전송데이터의 재전송을 요구하는 상기 수신상태 정보를 생성하여 상기 내부 단방향 통신 관리자로 전송하고, 상기 내부 단방향 통신 관리자는 상기 수신상태 정보를 수신하고 이를 분석하여 오류가 발생한 전송데이터를 알아내서 오류가 발생한 전송데이터 이후의 데이터를 재전송하도록 제어하는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
여기서, 상기 내부 단방향 통신 관리자는 상기 내부 통신 에이전트와 통신한 정보를 저장하는 메모리를 포함하고 있으며, 상기 내부 통신 에이전트와 통신한 정보가 남지 않도록 상기 메모리를 주기적으로 초기화하고, 상기 외부 단방향 통신 관리자는 상기 외부 통신 에이전트와 통신한 정보를 저장하는 메모리를 포함하고 있으며, 상기 외부 통신 에이전트와 통신한 정보가 남지 않도록 상기 메모리를 주기적으로 초기화하는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
여기서, 모니터링 장치를 더 포함하고 있어 상기 모니터링 장치를 통해 물리적 단방향 통신 장치의 동작 및 데이터 통신 상태를 모니터링하는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
여기서, 상기 모니터링 장치가 내부망에 존재하는 경우에 내부망 연계 시스템부는 모니터링 정보 관리자를 더 포함하고 있고, 상기 모니터링 장치는 상기 모니터링 정보 관리자와 직접 연결되어 있고 상기 외부망 연계 시스템부와는 물리적 단방향 통신 시스템을 통해 연결되어 있는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
여기서, 상기 모니터링 장치가 외부망에 존재하는 경우에는 상기 내부망 연계 시스템부와는 물리적 단방향 통신 시스템을 통해 연결되어 있는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
여기서, 상기 모니터링 장치가 상기 내부망 연계 시스템부 및 상기 외부망 연계 시스템부와 각각 물리적 단방향 통신 시스템을 통해 연결되어 있는 것을 특징으로 하는 물리적 단방향 통신 장치이다.
또한, 내부망 연계 시스템부가 내부망으로부터 전송데이터를 수신하는 단계;와 상기 전송데이터가 물리적으로 구성된 단방향 데이터 전송라인을 통해 외부망 연계 시스템부로 전송되는 단계;와 외부 단방향 통신 관리자가 상기 전송데이터의 데이터 수신상태 정보를 생성하여 이를 데이터 수신상태 전송라인를 통해 상기 내부망 연계 시스템부로 전송하는 단계;와 내부 단방향 통신 관리자가 상기 데이터 수신상태 정보를 분석하는 단계; 및 상기 내부 단방향 통신 관리자가 오류가 발생한 데이터를 상기 단방향 데이터 전송라인을 통해 상기 외부망 연계 시스템부로 재전송하는 단계;를 포함하는 물리적 단방향 통신 방법이 제공된다.
여기서, 상기 전송데이터가 물리적으로 구성된 단방향 데이터 전송라인을 통해 외부망 연계 시스템부로 전송되는 단계;는 auto-MDIX(Medium Dependent Interface Crossover) 기능을 제거하여, 상기 내부망 연계 시스템부에서 상기 외부망 연계 시스템부로의 단방향으로만 데이터가 전달되도록하는 것을 특징으로 하는 물리적 단방향 통신 방법이다.
여기서, 상기 내부 단방향 통신 관리자는 내부 통신 에이전트와 통신한 정보를 저장하는 메모리를 포함하고 있으며, 상기 내부 통신 에이전트와 통신한 정보가 남지 않도록 상기 메모리를 주기적으로 초기화하고, 상기 외부 단방향 통신 관리자는 외부 통신 에이전트와 통신한 정보를 저장하는 메모리를 포함하고 있으며, 상기 외부 통신 에이전트와 통신한 정보가 남지 않도록 상기 메모리를 주기적으로 초기화하는 것을 특징으로 하는 물리적 단방향 통신 방법이다.
여기서, 상기 내부 단방향 통신 관리자는 상기 데이터 수신상태 정보를 분석한 결과, 동일한 데이터에 대한 재전송 상황이 반복해서 발생하면, 재전송 횟수를 카운트하고 상기 재전송 횟수가 일정횟수 이상이 되면 상기 전송데이터를 상기 외부망 연계 시스템부로 전송하는 것을 중단하는 단계;를 더 포함하는 것을 특징으로 하는 물리적 단방향 통신 방법이다.
여기서, 모니터링 장치를 더 포함하고 있어 상기 모니터링 장치를 통해 물리적 단방향 통신 장치의 동작 및 데이터 통신 상태를 모니터링하는 단계;를 더 포함하는 것을 특징으로 하는 물리적 단방향 통신 방법이다.
본 발명은 데이터 수신상태 정보를 전달할 수 있는 별도의 데이터 수신상태 전송라인를 추가하여 수신 측의 상태와 데이터 수신 상태 등을 송신 측에 전달함으로써, 단방향 구간에서 데이터 전송의 신뢰성을 보장할 수 있는 효과가 있다.
또한, 데이터의 신뢰성이 중요한 각종 제어시스템을 안정적으로 동작할 수 있도록 하는 효과가 있다.
도1은 본 발명의 일실시예로 물리적 단방향 통신 장치의 구성도이다.
도2는 본 발명의 일실시예로 물리적 단방향 통신 장치를 내부망 및 외부망과 연결을 나타낸 도면이다.
도3은 본 발명의 일실시예로 물리적 단방향 통신 장치의 단방향 데이터 전송라인의 물리적 단방향성을 구현하기 위해 다이오드를 연결한 도면이다.
도4는 본 발명의 일실시예로 물리적 단방향 통신 장치의 데이터 수신상태 전송라인의 물리적 단방향성을 구현하기 위해 다이오드를 연결한 도면이다.
도5는 본 발명의 일실시예로 물리적 단방향 통신 장치에 내부망에 위치하는 모니터링 장치를 연결한 것을 도시한 도면이다.
도6은 본 발명의 일실시예로 물리적 단방향 통신 장치에 외부망에 위치하는 모니터링 장치를 연결한 것을 도시한 도면이다.
도7은 본 발명의 일실시예로 물리적 단방향 통신 장치의 모니터링 장치에 외부 침입이 불가능하도록 구성한 것을 도시한 도면이다.
도8은 본 발명의 일실시예로 물리적 단방향 통신 방법을 도시한 도면이다.
도9는 본 발명의 일실시예로 물리적 단방향 통신 장치가 오류가 발생한 데이터를 재전송하도록 관리하는 과정을 나타낸 순서도이다.
도10은 본 발명의 일실시예로 오류가 발생한 데이터를 표시하는 방법을 나타낸 도면이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명에서 사용한 용어는 단지 특정 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
이하, 본 발명의 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다.
도1은 본 발명의 일실시예로 물리적 단방향 통신 장치의 구성도이다.
본 발명의 물리적 단방향 통신 장치(100)는 내부망 연계 시스템부(110), 외부망 연계 시스템부(120), 단방향 데이터 전송라인(130) 및 데이터 수신상태 전송라인(140)를 포함한다.
내부망 연계 시스템부(110)는 내부망 전송 호스트(200)와 연결되어 통신을 수행한다.
외부망 연계 시스템부(120)는 외부망 수신 호스트(300)과 연결되어 통신을 수행한다.
단방향 데이터 전송라인(130)은 내부망 연계 시스템부(110)에서 외부망 연계 시스템부(120) 방향으로만 데이터 전송이 가능한 물리적 단방향성을 가지는 전송라인이다.
이를 위해서 단방향 데이터 전송라인(130)은 내부망 연계 시스템부(110)에서 외부망 연계 시스템부(120) 방향으로만 데이터 전송이 가능한 전송라인만 남겨두고 외부망 연계 시스템부(120)에서 내부망 연계 시스템부(110) 방향으로 데이터 전송이 가능한 전송라인은 제거한다.
따라서, 단방향 데이터 전송라인(130)은 내부망의 데이터를 외부망으로 전송할 수만 있고, 외부망에서 내부망으로의 데이터는 전송되지 않는다. 이러한 단방향 데이터 전송라인(130)의 특징으로 인해서 외부망에서 내부망으로의 침입을 원천적으로 방지할 수 있는 것이다.
데이터 수신상태 전송라인(140)은 내부망 연계 시스템부(110)와 외부망 연계 시스템부(120) 사이에서 형성된 통신라인으로 외부망 연계 시스템부(120)에서 생성된 데이터 수신상태 정보를 내부망 연계 시스템부(110)로 제공하는 전송부이다.
내부망 연계 시스템부(110)는 내부 통신 에이전트(111)와 내부 단방향 통신 관리자(112)를 포함한다.
내부 통신 에이전트(111)는 내부망 전송 호스트(200)와 통신을 기능을 수행한다.
내부 단방향 통신 관리자(112)는 내부 통신 에이전트(111)로부터 수신한 내부망의 데이터를 단방향 데이터 전송라인(130)을 통해 외부망 연계 시스템부(120)로 전송한다.
외부망 연계 시스템부(120)는 외부 통신 에이전트(121)와 외부 단방향 통신 관리자(122)를 포함한다.
외부 통신 에이전트(121)는 외부망 전송 호스트(300)와 통신을 기능을 수행한다.
외부 단방향 통신 관리자(122)는 단방향 데이터 전송라인(130)을 통해 내부망 연계 시스템부(110)로부터 수신한 데이터를 분석하여 데이터 수신상태 정보를 생성한다. 그리고, 생성한 데이터 수신상태 정보를 데이터 수신상태 전송라인(140)을 통해 내부망 연계 시스템부(110)로 전송한다.
여기서, 내부 단방향 통신 관리자(112)는 외부 단방향 통신 관리자(122)로부터 수신한 데이터 수신상태 정보를 분석하여 오류가 발생한 데이터를 알아내고 오류가 발생한 데이터를 재전송하도록 제어할 수 있다.
일반적으로 데이터 전송 구간은 이더넷 통신 구조를 이용한다. 따라서 이더넷 통신을 위한 칩을 사용하게 되는데, 최근에 다이렉트 케이블과 크로스 케이블을 자동으로 인식하여 통신 케이블의 기능을 유동적으로 결정해주는 auto-MDIX 모드를 지원한다.
그런데 이러한 auto-MDIX 모드를 지원하는 경우에는 일 방향의 시스템이 침해된 경우에 타 방향의 시스템까지 침해되는 보안 문제가 발생할 가능성이 존재한다. 따라서 본 발명에서는 내부 단방향 통신 관리자(112) 또는 외부 단방향 통신 관리자(122)는 auto-MDIX 기능을 비활성화시켜 단방향 데이터 전송라인(130)에서 외부망에서 내부망으로 데이터가 전송되는 것을 차단하는 기능을 수행할 수도 있다.
본 발명의 물리적 단방향 통신 장치(100)는 모니터링 장치(170)와 연결될 수 있다. 따라서, 모니터링 장치(170)를 통해 물리적 단방향 통신 장치(100)의 동작 및 데이터의 통신 상태를 모니터링할 수 있다.
도2는 본 발명의 일실시예로 물리적 단방향 통신 장치를 내부망 및 외부망과 연결을 나타낸 도면이다.
물리적 단방향 통신 장치(100)는 내부망의 내부망 전송 호스트(200)과는 내부망 연계 시스템부(110)를 통해 연결된다. 이를 위해서 내부망 연계 시스템부(110)에는 내부 통신 에이전트(111)가 포함되어 있다. 내부 통신 에이전트(111)는 내부망 전송 호스트(200)를 통해 내부망 시스템과 데이터를 송수신한다.
물리적 단방향 통신 장치(100)는 외부망과는 외부망 연계 시스템부(120)를 통해 연결된다. 이를 위해서 외부망 연계 시스템부(120)에는 외부 통신 에이전트(121)가 포함되어 있다. 외부 통신 에이전트(121)는 외부망 수신 호스트(300)를 통해 외부망 시스템과 데이터를 송수신한다.
본 발명의 물리적 단방향 통신 장치(100)의 데이터 흐름을 설명하면 다음과 같다.
본 발명의 물리적 단방향 통신 장치(100)의 내부망 연계 시스템부(110)의 내부 통신 에이전트(111)는 내부망 전송 호스트(200)와 통신을 수행하여 내부망 시스템의 데이터를 수신한다.
그리고 수신한 내부망 데이터는 단방향 데이터 전송라인(130)을 통해 외부망 연계 시스템부(120)로 전송된다.
여기서, 외부망 연계 시스템부(120)의 외부 단방향 통신 관리자(122)는 수신한 내부망 데이터의 수신상태 정보를 포함하는 데이터 수신상태 정보를 생성하여 내부망 연계 시스템부(110)의 내부 단방향 통신 관리자(112)로 알려준다.
여기서, 데이터 수신상태 정보는 데이터 수신상태 전송라인(140)를 통해 내부망 연계 시스템부(110)의 내부 단방향 통신 관리자(112)로 전송된다.
내부 단방향 통신 관리자(112)는 수신한 데이터 전송상태 정보를 분석하여 오류가 발생한 데이터를 알아내고 오류가 발생한 데이터를 재전송하도록 할 수 있다.
여기서, 데이터 수신상태 전송라인(140)은 데이터를 전달할 수는 없고 단지 전기적인 ON/OFF 신호만 이용할 수 있는 전송라인으로 외부망의 여러 상태 정보를 내부망 연계 시스템부(110)에게 안전하게 전달하기 위한 용도로만 사용된다.
데이터 수신상태 전송라인(140)은 가용한 N개의 라인으로 구성할 수 있다. 본 발명에서는 8개의 라인을 포함하고 있는 데이터 수신상태 전송라인(140)을 예로 들고 있다.
데이터 수신상태 전송라인(140)의 각 라인의 용도 및 전송데이터에 오류가 발생한 경우에 데이터를 재전송하는 방법은 도10에서 후술하기로 한다.
본 발명의 물리적 단방향 통신 장치(100)의 기본 기능은 망을 분리하면서 데이터를 연계하는 것이다. 이 과정에서 연계되는 데이터가 특정 상황에서 물리적 단방향 통신 장치(100)에 남아있을 수 있다. 이로 인해 데이터의 노출 문제가 발생할 수 있다. 본 발명에서는 이를 방지하기 위하여 두 가지 방법을 제시한다.
먼저 내부망 연계 시스템부(110)에서 내부 통신 에이전트(111)가 내부망 전송 호스트(200)로부터 데이터를 수신하고, 이 데이터를 내부 단방향 통신 관리자(112)로 전달하는 과정에 데이터 노출 가능성이 존재한다. 따라서, 데이터를 전달하고, 데이터를 보관하던 메모리를 모두 초기화한다. 내부 단방향 통신 관리자 (112) 역시 수신한 데이터를 단방향 데이터 전송라인(130)로 전송하고 해당 메모리를 초기화한다.
외부망 연계 시스템부(120)의 외부 단방향 통신 관리자(122)와 외부 통신 에이전트(121) 역시 같은 방식으로 메모리를 초기화함으로써 정보 노출의 위협을 감소시킬 수 있다.
또한, 내부 통신 에이전트(111)와 내부 단방향 통신 관리자(112)의 데이터 교환 과정에서 특정 파일에 정보가 남을 가능성이 존재한다. 이를 보완하기 위하여 본 발명의 내부 단방향 통신 관리자(112)는 시스템 초기화시(재부팅 등), 에러 발생시, 통신에 사용되었던 파일을 모두 제거하여 파일을 통한 정보 노출을 감소시킨다.
도3은 본 발명의 일실시예로 물리적 단방향 통신 장치의 단방향 데이터 전송라인에 물리적 단방향성을 구현하기 위해 다이오드를 연결한 도면이다.
도3은 단방향 데이터 전송라인(130)의 물리적 단방향성을 보장하기 위해서 다이오드(131)를 단방향 데이터 전송라인(130)에 연결하였다.
다이오드(131)는 전기적 특성으로 인하여 한쪽 방향으로만 전기를 보낼 수 있다. 따라서, 역방향의 데이터 전달은 원천적으로 불가능하다. 이러한 다이오드(131)의 특성을 이용하여 단방향 데이터 전송라인(130)에서 외부망으로부터 내부망으로의 데이터가 전달될 수 없도록 한다.
도4는 본 발명의 일실시예로 물리적 단방향 통신 장치의 데이터 수신상태 전송라인의 물리적 단방향성을 구현하기 위해 다이오드를 연결한 도면이다.
도4는 데이터 수신상태 전송라인(140)의 물리적 단방향성을 보장하기 위해서 각각의 라인에 다이오드(141,142,143,144,145,146,147,148)를 연결하였다.
상술한 바와 같이 데이터 수신상태 전송라인(140)은 데이터를 전달할 수 없고 전기적인 ON/OFF 신호만 이용할 수 있으나, 데이터 수신상태 전송라인(140)의 각 라인을 통한 공격의 가능성을 차단하기 위하여, 본 발명에서는 데이터 수신상태 전송라인(140)의 각 라인에 다이오드(141,142,143,144,145,146,147,148)를 연결하여 전기적인 신호가 역방향으로 갈 수 있는 가능성을 원천 차단하는 구조를 제시한다.
도5는 본 발명의 일실시예로 물리적 단방향 통신 장치에 내부망에 위치하는 모니터링 장치를 연결한 것을 도시한 도면이다.
본 발명은 망을 분리하면서 데이터를 연계하는 장치 및 방법에 대한 것이다. 따라서, 물리적 단방향 통신 장치(100)의 상태를 원격지에서 파악하기 위한 필요가 있지만, 함부로 모니터링을 할 수 없다. 그 이유는 물리적 단방향 통신 구조를 가지기 위하여 내부적으로 내부망과 외부망을 분리하기 때문이다. 따라서, 내부망과 외부망의 상태를 한 곳에서 파악할 수 없다.
만일 내부망과 외부망을 동시에 직접 연결하여 모니터링을 하면, 모니터링을 위한 모니터링 시스템 자체가 우회 경로로 악용되어 물리적 단방향성을 보장할 수 없게 된다.
본 발명에서는 물리적 단방향 통신 장치(100)의 상태 정보를 지정된 IP, PORT로 UDP를 이용하여 전송한다. 시스템의 보안을 위하여 별도의 연결은 생성하지 않고 내부망 및 외부망의 상태를 하나의 모니터링 장치(170)에서 확인할 수 있는 구조를 제시한다.
본 발명에서 제시하고 있는 모니터링 구조는 모니터링 상황에 따라 세 가지의 예를 들 수 있다. 첫째, 모니터링 장치(170)가 내부망에 존재할 경우, 둘째, 모니터링 장치(170)가 외부망에 존재할 경우, 셋째, 모니터링 장치(170)에 대한 침입이 절대 불가능할 경우이다.
도5는 물리적 단방향 통신 장치(100)에 내부망에 위치하는 모니터링 장치(170)를 연결하는 것을 예로 들고 있다.
내부망 연계 시스템부(110)와 모니터링 장치(170)를 연결하기 위해 내부망 연계 시스템부(110)에 모니터링 정보 관리자(113)를 두어 모니터링 장치(170)와 연결한다. 그리고, 외부망 연계 시스템부(120)와 모니터링 장치(170)를 연결하기 위해 외부망 연계 시스템부(120)에 모니터링 정보 관리자(123)를 두어 모니터링 장치(170)와 연결한다.
여기서, 모니터링 장치(170)가 외부망의 상태를 확인하기 위해서는 외부망과는 네트워크가 연결되어야 한다. 이 연결의 안전을 보장하기 위하여 모니터링 장치(170)는 외부망과는 별도의 물리적 단방향 통신 장치(400)를 통해 연결된다.
도6은 본 발명의 일실시예로 물리적 단방향 통신 장치에 외부망에 위치하는 모니터링 장치를 연결한 것을 도시한 도면이다.
도6은 물리적 단방향 통신 장치(100)에 외부망에 위치하는 모니터링 장치(170)를 연결하는 것을 예로 들고 있다.
모니터링 장치(170)가 외부망에 존재할 경우, 물리적 단방향 통신 장치(100)와 연결된 외부 네트워크에 연결한다. 모니터링 장치(170)가 내부망의 상태를 확인하기 위해서는 내부망과는 네트워크가 연결되어야 한다. 이 연결의 안전을 보장하기 위하여 모니터링 장치(170)는 내부망과는 별도의 물리적 단방향 통신 장치(400)를 통해 연결된다.
도7은 본 발명의 일실시예로 물리적 단방향 통신 장치의 모니터링 장치에 외부 침입이 불가능하도록 구성한 것을 도시한 도면이다.
도7은 물리적 단방향 통신 장치(100)와 연결된 모니터링 장치(170)를 내부망과 외부망에서 절대 침입이 불가능하도록 구성한 것을 예로 들고 있다.
이러한 구성을 위해서 도7에 도시된 바와 같이 모니터링 장치(170)는 별도의 물리적 단방향 통신 장치(400)를 통해 각각 내부망 및 외부망과 연결이 된다.
여기서, 도면에 도시하고 있지는 않으나 내부망과 외부망에 각각 별도의 모니터링 장치(170)를 연결하여 내부망과 외부망의 상태를 각각의 모니터링 장치(170)를 통해 파악할 수도 있다.
도5 내지 도7에서 제시한 구조를 활용하면 모니터링 장치(170)를 보호할 수 있고, 우회경로로 악용될 수 있는 가능성을 원천 차단할 수 있다. 이를 통해 시스템 상태를 모두 원격지에서 파악할 수 있어 편의성과 보안성을 유지할 수 있다.
도8은 본 발명의 일실시예로 물리적 단방향 통신 방법을 도시한 도면이다.
S100은 내부망으로부터 전송데이터를 수신하는 단계이다.
S101은 내부망 연계 시스템부(110)에서 단방향 데이터 전송라인(130)을 통해 전송데이터를 외부망 연계 시스템부(120)로 전송하는 단계이다.
S102는 외부망 연계 시스템부(120)가 전송데이터를 외부망으로 전송하는 단계이다.
S103은 외부망으로부터 전송데이터의 수신 상태 정보를 수신하는 단계이다.
여기서, S103 단계는 전송데이터의 목적지인 외부망에 존재하는 특정 시스템이 수신한 전송데이터를 분석하여 전송데이터의 수신상태 정보를 생성하는 경우에만 해당하는 단계이다.
S104은 전송데이터의 수신상태에 따라 외부망 연계 시스템부(120)의 외부 단방향 통신 관리자(122)에서 데이터 수신상태 정보를 생성하는 단계이다.
S106은 생성된 데이터 수신상태 정보를 데이터 수신상태 전송라인(140)을 통해 외부망 연계 시스템부(120)에서 내부망 연계 시스템부(110)로 전송하는 단계이다.
S106은 내부망 연계 시스템부(110)의 내부 단방향 통신 관리자(112)가 수신한 데이터 수신상태 정보를 분석하는 단계이다.
S107은 내부 단방향 통신 관리자(112)가 데이터 수신상태 정보를 분석한 결과 오류가 발생한 전송데이터가 있는 경우에 오류가 발생한 전송데이터를 재전송하도록 내부망 시스템에 요구하는 단계이다.
S108은 내부망 시스템으로부터 오류가 발생한 전송데이터를 재전송 받는 단계이다.
S109은 내부망 연계 시스템부(110)가 오류가 발생한 데이터를 단방향 데이터 전송라인(130)을 통해 외부망 연계 시스템부(120)로 재전송하는 단계이다.
S110은 외부망 연계 시스템부(120)가 전송데이터를 해당 외부망으로 재전송하는 단계이다.
도9는 본 발명의 일실시예로 물리적 단방향 통신 장치가 오류가 발생한 데이터를 재전송하도록 관리하는 과정을 나타낸 순서도이다.
S200은 물리적 단방향 통신 장치(100)가 전송데이터를 수신하는 단계이다.
본 발명의 물리적 단방향 통신 장치(100)가 내부망의 데이터를 외부망으로 전송하는 중계 역할을 하는 경우에 내부망으로부터 전송데이터를 수신하는 단계이다.
S210은 전송데이터에 오류가 발생하였는지를 판단하는 단계이다.
여기서, 전송데이터의 오류 판단은 전송데이터를 수신하는 외부망 시스템이 수행할 수도 있고, 본 발명의 물리적 단방향 통신 장치(100)의 외부 단방향 통신 관리자(122)가 수행할 수도 있다.
S220은 전송데이터에 오류가 발생한 경우에 외부 단방향 통신 관리자(122)에서 오류 데이터가 발생한 정보를 포함하는 데이터 수신상태 정보를 생성하는 단계이다.
S230은 전송데이터에 오류가 발생하지 않은 경우에 외부 단방향 통신 관리자 (122)에서 정상적인 데이터 수신상태 정보를 생성하는 단계이다.
S240은 내부 단방향 통신 관리자(112)에서 데이터 수신상태 전송라인(140)을 통해 수신한 데이터 수신상태 정보를 분석하는 단계이다. 내부 단방향 통신 관리자 (112)는 데이터 수신상태 정보를 분석하여 전송데이터에 관한 정보를 알아낸다.
S250은 내부 단방향 통신 관리자(112)가 데이터 수신상태 정보를 분석하여 전송한 데이터에 오류가 발생하였는지를 알아내는 단계이다.
S260은 내부망 연계 시스템부(110)가 오류가 발생한 시점의 데이터를 포함하여 이후의 데이터를 재전송하는 단계이다.
도10은 본 발명의 일실시예로 오류가 발생한 데이터를 표시하는 방법을 나타낸 도면이다.
상술한 바와 같이 데이터 수신상태 전송라인(140)은 데이터를 전달할 수 없고 전기적인 ON/OFF 신호만 전송한다.
여기서, 데이터 수신상태 전송라인(140)은 N개의 라인으로 구성할 수 있다.
각 라인의 ON/OFF의 설정은 외부망 연계 시스템부(120)의 외부 단방향 통신 관리자(122)만 할당할 수 있다. 그리고, 내부망 연계 시스템부(110)의 내부 단방향 통신 관리자(112)는 각 라인의 상태를 읽고 이를 활용하여 데이터 재전송 등의 동작을 수행한다.
데이터 수신상태 전송라인(140)의 각 라인의 용도 예시는 다음 [표1]과 같다.
번호 설 명
System Code 1 단방향 구간 전송 준비 상태
2 단방향 구간 전송 모드
(모든 패킷 피드백, N개의 패킷 단위 피드백)
3 단방향 구간 수신에 대한 피드백
4 외부 인터페이스 연결 상태 피드백
Error Code 5-8 추가적인 에러 상태
예를 들어, 단방향 데이터 전송라인(130)에서의 데이터 손실을 없애기 위한 데이터 수신상태 전송라인(140)의 활용 방안은 다음과 같다.
[표1]에 서술된 용도를 기준으로 할 때, 내부망 연계 시스템부(110)에서 단방향 데이터 전송라인(130)를 통하여 외부망 연계 시스템부(120)로 데이터1~5를 전송하고, 외부망 연계 시스템부(120)에서는 데이터4가 오류나서 데이터 1~3,5만을 수신하였다고 가정한다.
이때, 외부망 연계 시스템부(120)의 외부 단방향 통신 관리자(122)는 데이터 4번이 손실된 것을 확인하고 데이터 수신상태 전송라인(140)의 라인 3을 OFF 상태로 전환시킨다. 내부망 연계 시스템부(110)의 내부 단방향 통신 관리자(112)는 데이터 수신상태 전송라인(140)의 라인 3이 OFF 상태로 전환된 것을 확인하고 오류가 발생한 시점 이후의 데이터를 재전송한다. 즉, 데이터4부터 재전송을 수행한다. 여기서, 체크하는 패킷의 단위는 가변적으로 적용 가능하다.
도10은 이러한 상기의 과정을 도시하고 있다.
다음으로 외부망 연계 시스템 자체의 문제로 인한 손실을 막기 위하여 데이터 수신상태 전송라인(140)를 활용하는 방법은 다음과 같다. 이미 서술한 데이터 수신상태 전송라인(140)의 각 라인의 용도를 기준으로 하였을 때, 이 문제를 해결하기 위하여 라인1을 활용한다. 외부망 연계 시스템이 정상 동작하고 있을 때는 라인1을 ON 상태로 설정하고, 시스템에서 에러가 발생하면 OFF 상태로 전환한다.
이 방법을 이용하면, 외부망 연계 시스템의 상태를 내부망 연계 시스템이 알 수 없어 데이터를 전송함으로 인해 발생하는 데이터 손실을 막을 수 있다.
다음으로 외부망 연계 시스템의 문제로 인한 손실을 막기 위하여 데이터 수신상태 전송라인(140)의 각 라인을 활용하는 방법은 예를 들어 다음과 같다.
이미 서술한 데이터 수신상태 전송라인(140)의 라인의 용도를 기준으로 하였을 때 이 문제를 해결하기 위하여 라인4를 활용하여 막을 수 있다. 본 발명의 물리적 단방향 통신 장치(100)에서 제공하는 서비스(데이터 전달) 특성상 외부망 수신 호스트(300)와 연결이 되어야 한다. 따라서 연결 상태(연결 확립, 연결 미확립)를 확인하여 연결이 확립되지 않았으면 데이터 수신상태 전송라인(140)의 라인4를 OFF 상태로 설정한다. 내부망 연계 시스템부(110)에서는 데이터 수신상태 전송라인(140)의 라인4의 상태가 OFF이면 해당 서비스에 대한 전송 자체를 수행하지 않는다. 이 방법을 이용하여 외부망 수신 호스트(300)의 문제로 인한 데이터 손실을 막을 수 있다.
데이터 수신상태 전송라인(140)를 통한 악의적인 행위의 가능성은 세 가지 정도로 정의해볼 수 있다. Overflow 취약점을 이용한 방법, 데이터 수신상태 전송라인(140) 구간을 통한 데이터 전송 가능성, 데이터 수신상태 전송라인(140)의 라인 상태를 조합하여 이상행동을 유발하는 방법이다. 본 발명에서는 이러한 일말의 가능성을 차단하고자 다음과 같은 방법을 제시한다.
먼저 Overflow 취약점을 이용한 방법에 대한 방지 방법이다. 본 발명에서 제한하는 데이터 수신상태 전송라인(140)은 전기적인 ON/OFF 신호를 통한 상태 전달 기능을 수행한다. 따라서, 해당 라인을 통한 데이터 전송은 불가하다. 또한 데이터 수신상태 전송라인(140)의 구간 정보를 설정하고, 해제하는 외부 단방향 통신 관리자(122)는 각 라인당의 상태를 하나의 변수로 관리한다. 이 변수는 데이터 수신상태 전송라인(140) 라인의 수인 N 개이며, 시간에 따라 증가하거나 감소하지 않는다.
또한 해당 변수의 상태는 TRUE 또는 FALSE 만 가능하다. 따라서 Overflow 취약점을 이용한 악성행위는 원천적으로 불가능하다.
데이터 수신상태 전송라인(140)을 통한 데이터 전송 가능성은 데이터 수신상태 전송라인(140)을 통한 데이터 전송에 대한 일말의 가능성이 존재할 수 있다. 하지만 본 발명에서는 데이터 수신상태 전송라인(140)의 각 라인을 ON/OFF의 상태 정보만을 가지도록 하여, 데이터 수신상태 전송라인(140)을 통한 데이터 전송은 원천적으로 불가능한 구조를 가진다.
데이터 수신상태 전송라인(140)의 라인 상태를 조합하여 이상행동을 유발하는 방법 역시 외부망 연계 시스템이 공격자에게 장악된 상태를 가정한다.
시스템의 가용성에 영향을 미치는 부분은 데이터 수신상태 전송라인(140) 구간 중 예시로 든 System Code 1~4 라인이다. 공격자가 의미 있는 결과를 위하여 라인3과 라인4를 조작한다고 가정한다.
라인3은 단방향 구간의 데이터 신뢰성을 보장하기 위한 구조로, 라인3이 OFF 되면 해당 부분의 데이터를 재전송한다. 공격자가 라인3의 상태를 임의로 OFF 할당할 때 내부망 연계 시스템은 해당 부분의 데이터를 무한 재전송할 가능성이 있다.
따라서 본 발명에서는 동일한 데이터에 대한 재전송 횟수를 카운트하고 재전송 횟수가 일정횟수 이상이 되면 외부망 연계 시스템으로 전송을 중단하고 내부망 전송 호스트(200)와의 연결 및 데이터 연계를 종료한다.
라인4는 외부 인터페이스에 대한 설정 정보를 제공한다. 공격자가 이를 조작하여 외부망 수신 호스트(300)와 통신이 불가한 상황에서 데이터 연계를 시작할 경우 외부망 연계 시스템부(120)에 부하 및 오류가 생길 가능성이 있다. 따라서, 데이터 수신상태 전송라인(140)의 상태 정보를 확인하는 내부망 연계 시스템부(110)의 내부 단방향 통신 관리자(112)는 정상적인 상황에 대한 화이트리스트를 가지고 있으며 이를 통해 기능을 수행하는 구조를 가진다. 이러한 방법을 통하여 데이터 수신상태 전송라인(140)을 통한 악성 행위를 방어할 수 있다.
상기에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100 : 물리적 단방향 통신 장치 110 : 내부망 연계 시스템부
111 : 내부통신 에이전트 112 : 내부 단방향 통신 관리자
113 : 모니터링 정보 관리자 120 : 외부망 연계 시스템부
121 : 외부통신 에이전트 122 : 외부 단방향 통신 관리자
130 : 단방향 데이터 전송라인 140 : 데이터 수신상태 전송라인
170 : 모니터링 장치 200 : 내부망 전송 호스트
300 : 외부망 수신 호스트

Claims (17)

  1. 단방향 데이터 전송라인;
    데이터 수신상태 전송라인;
    내부망 전송 호스트와 통신을 수행하며, 상기 단방향 데이터 전송라인을 통해 전송데이터를 외부망 연계 시스템부로 전송하는 내부망 연계 시스템부; 및
    외부망 수신 호스트와 통신을 수행하며, 상기 내부망 연계 시스템부로부터 상기 전송데이터를 수신하고, 상기 전송데이터의 수신상태 정보를 생성하여 상기 데이터 수신상태 전송라인을 통해 상기 내부망 연계 시스템부로 전송하는 외부망 연계 시스템부;를 포함하고,
    외부 단방향 통신 관리자는 수신한 상기 전송데이터를 분석하여 오류가 발생한 전송데이터의 재전송을 요구하는 상기 수신상태 정보를 생성하여 내부 단방향 통신 관리자로 전송하고,
    상기 내부 단방향 통신 관리자는 상기 수신상태 정보를 수신하고 상기 수신상태 정보를 분석하여 오류가 발생한 전송데이터를 알아내서 오류가 발생한 전송데이터 이후의 데이터를 재전송하도록 제어하는 것을 특징으로 하는 물리적 단방향 통신 장치.
  2. 제1항에 있어서,
    상기 내부망 연계 시스템부는,
    상기 내부망 전송 호스트로부터 상기 전송데이터를 수신하고 상기 전송데이터를 단방향 통신관리자로 전송하는 내부 통신 에이전트; 및
    상기 전송데이터를 상기 단방향 데이터 전송라인을 통해 상기 외부망 연계 시스템부로 전송하는 내부 단방향 통신 관리자;를 포함하고 있고,
    상기 외부망 연계 시스템부는,
    상기 내부망 연계 시스템부로부터 수신한 상기 전송데이터를 상기 외부망 수신 호스트로 전송하는 외부 통신 에이전트; 및
    상기 내부망 연계 시스템부로부터 수신한 상기 전송데이터를 분석하여 상기 수신상태 정보를 생성하고 상기 수신상태 정보를 상기 내부 단방향 통신 관리자로 전송하는 외부 단방향 통신 관리자;를 포함하는 것을 특징으로 하는 물리적 단방향 통신 장치.
  3. 제1항에 있어서,
    상기 단방향 데이터 전송라인은 상기 내부망 연계 시스템부에서 상기 외부망 연계 시스템부로만 상기 전송데이터가 전송되도록 다이오드가 연결되어 있는 것을 특징으로 하는 물리적 단방향 통신 장치.
  4. 제1항에 있어서,
    상기 데이터 수신상태 전송라인은 N(N은 자연수)개의 라인으로 구성되어 있으며, 각각의 라인은 데이터를 전송할 수는 없고 전기적인 온(ON), 오프(OFF) 상태만을 전송하는 것을 특징으로 하는 물리적 단방향 통신 장치.
  5. 제4항에 있어서,
    상기 데이터 수신상태 전송라인의 각 라인은 다이오드가 연결되어 있어 상기 외부망 연계 시스템부에서 상기 내부망 연계 시스템부로만 전기적 신호가 전달되는 것을 특징으로 하는 물리적 단방향 통신 장치.
  6. 제2항에 있어서,
    상기 내부 단방향 통신 관리자 또는 상기 외부 단방향 통신 관리자는 상기 단방향 데이터 전송라인을 통해 외부망에서 내부망으로 데이터가 전송되는 것을 방지하도록 auto-MDIX(Medium Dependent Interface Crossover) 기능을 제거하는 것을 특징으로 하는 물리적 단방향 통신 장치.
  7. 삭제
  8. 제2항에 있어서,
    상기 내부 단방향 통신 관리자는 상기 내부 통신 에이전트와 통신한 정보를 저장하는 메모리를 포함하고 있으며, 상기 내부 통신 에이전트와 통신한 정보가 남지 않도록 상기 메모리를 주기적으로 초기화하고,
    상기 외부 단방향 통신 관리자는 상기 외부 통신 에이전트와 통신한 정보를 저장하는 메모리를 포함하고 있으며, 상기 외부 통신 에이전트와 통신한 정보가 남지 않도록 상기 메모리를 주기적으로 초기화하는 것을 특징으로 하는 물리적 단방향 통신 장치.
  9. 제2항에 있어서,
    모니터링 장치를 더 포함하고 있어 상기 모니터링 장치를 통해 물리적 단방향 통신 장치의 동작 및 데이터 통신 상태를 모니터링하는 것을 특징으로 하는 물리적 단방향 통신 장치.
  10. 제9항에 있어서,
    상기 모니터링 장치가 내부망에 존재하는 경우에 내부망 연계 시스템부는 모니터링 정보 관리자를 더 포함하고 있고, 상기 모니터링 장치는 상기 모니터링 정보 관리자와 직접 연결되어 있고 상기 외부망 연계 시스템부와는 물리적 단방향 통신 시스템을 통해 연결되어 있는 것을 특징으로 하는 물리적 단방향 통신 장치.
  11. 제9항에 있어서,
    상기 모니터링 장치가 외부망에 존재하는 경우에는 상기 내부망 연계 시스템부와는 물리적 단방향 통신 시스템을 통해 연결되어 있는 것을 특징으로 하는 물리적 단방향 통신 장치.
  12. 제9항에 있어서,
    상기 모니터링 장치가 상기 내부망 연계 시스템부 및 상기 외부망 연계 시스템부와 각각 물리적 단방향 통신 시스템을 통해 연결되어 있는 것을 특징으로 하는 물리적 단방향 통신 장치.
  13. 내부망 연계 시스템부가 내부망으로부터 전송데이터를 수신하는 단계;
    상기 전송데이터가 물리적으로 구성된 단방향 데이터 전송라인을 통해 외부망 연계 시스템부로 전송되는 단계;
    외부 단방향 통신 관리자가 상기 전송데이터의 데이터 수신상태 정보를 생성하여 이를 데이터 수신상태 전송라인를 통해 상기 내부망 연계 시스템부로 전송하는 단계;
    내부 단방향 통신 관리자가 상기 데이터 수신상태 정보를 분석하는 단계; 및
    상기 내부 단방향 통신 관리자가 오류가 발생한 데이터를 상기 단방향 데이터 전송라인을 통해 상기 외부망 연계 시스템부로 재전송하는 단계;를 포함하고,
    상기 외부망 연계 시스템부로 재전송하는 단계는
    상기 외부망 연계 시스템부가 수신한 상기 전송데이터를 분석하여 오류가 발생한 전송데이터의 재전송을 요구하는 상기 수신 상태 정보를 생성하여 상기 내부망 연계 시스템부로 전송하는 단계; 및
    상기 내부망 연계 시스템부가 상기 수신 상태 정보를 수신하고 상기 수신 상태 정보를 분석하여 오류가 발생한 전송 데이터를 알아내서 오류가 발생한 전송 데이터 이후의 데이터를 재전송하도록 제어하는 단계;를 포함하는 것을 특징으로 하는 물리적 단방향 통신 방법.
  14. 제13항에 있어서,
    상기 전송데이터가 물리적으로 구성된 단방향 데이터 전송라인을 통해 외부망 연계 시스템부로 전송되는 단계;는
    auto-MDIX(Medium Dependent Interface Crossover) 기능을 제거하여, 상기 내부망 연계 시스템부에서 상기 외부망 연계 시스템부로의 단방향으로만 데이터가 전달되도록하는 것을 특징으로 하는 물리적 단방향 통신 방법.
  15. 제13항에 있어서,
    상기 내부 단방향 통신 관리자는 내부 통신 에이전트와 통신한 정보를 저장하는 메모리를 포함하고 있으며, 상기 내부 통신 에이전트와 통신한 정보가 남지 않도록 상기 메모리를 주기적으로 초기화하고,
    상기 외부 단방향 통신 관리자는 외부 통신 에이전트와 통신한 정보를 저장하는 메모리를 포함하고 있으며, 상기 외부 통신 에이전트와 통신한 정보가 남지 않도록 상기 메모리를 주기적으로 초기화하는 것을 특징으로 하는 물리적 단방향 통신 방법.
  16. 제13항에 있어서,
    상기 내부 단방향 통신 관리자는 상기 데이터 수신상태 정보를 분석한 결과, 동일한 데이터에 대한 재전송 상황이 반복해서 발생하면, 재전송 횟수를 카운트하고 상기 재전송 횟수가 일정횟수 이상이 되면 상기 전송데이터를 상기 외부망 연계 시스템부로 전송하는 것을 중단하는 단계;
    를 더 포함하는 것을 특징으로 하는 물리적 단방향 통신 방법.
  17. 제13항에 있어서,
    모니터링 장치를 더 포함하고 있어 상기 모니터링 장치를 통해 물리적 단방향 통신 장치의 동작 및 데이터 통신 상태를 모니터링하는 단계;
    를 더 포함하는 것을 특징으로 하는 물리적 단방향 통신 방법.
KR1020140120001A 2014-09-11 2014-09-11 물리적 단방향 통신 장치 및 방법 KR101593168B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020140120001A KR101593168B1 (ko) 2014-09-11 2014-09-11 물리적 단방향 통신 장치 및 방법
US14/790,074 US9749011B2 (en) 2014-09-11 2015-07-02 Physical unidirectional communication apparatus and method
JP2015135998A JP6106718B2 (ja) 2014-09-11 2015-07-07 物理的単方向通信装置および方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140120001A KR101593168B1 (ko) 2014-09-11 2014-09-11 물리적 단방향 통신 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101593168B1 true KR101593168B1 (ko) 2016-02-18

Family

ID=55455851

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140120001A KR101593168B1 (ko) 2014-09-11 2014-09-11 물리적 단방향 통신 장치 및 방법

Country Status (3)

Country Link
US (1) US9749011B2 (ko)
JP (1) JP6106718B2 (ko)
KR (1) KR101593168B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180018137A (ko) * 2016-08-12 2018-02-21 한국전자통신연구원 단방향 전송 장치, 단방향 수신 장치 및 이를 이용한 단방향 재전송 방법
KR20180058539A (ko) * 2016-11-24 2018-06-01 (주)이센티아 분리망 연계 시스템 및 그 제어방법
KR20190045892A (ko) * 2019-04-19 2019-05-03 한국전자통신연구원 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
KR20200007060A (ko) * 2020-01-10 2020-01-21 한국전자통신연구원 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
KR20210037178A (ko) * 2019-09-27 2021-04-06 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6083549B1 (ja) * 2016-06-03 2017-02-22 株式会社制御システム研究所 特定パケット中継機能付きデータダイオード装置
KR102539421B1 (ko) 2016-10-18 2023-06-05 한국전자통신연구원 단방향 데이터 송신 장치, 단방향 데이터 수신 장치 및 단방향 데이터 전송 방법
CN106685992B (zh) * 2017-02-14 2023-05-23 厦门畅享信息技术有限公司 基于单向传输技术跨网安全交换及交互式应用系统及方法
CN107493292B (zh) * 2017-09-03 2023-04-07 深圳市中锐源科技有限公司 异构多通道安全隔离的信息传输系统及方法
ES2948909T3 (es) * 2019-06-14 2023-09-21 Siemens Mobility GmbH Sistema informático y procedimiento para operar un sistema informático
JP7224310B2 (ja) * 2020-01-29 2023-02-17 三菱電機株式会社 ネットワークシステム
US11539756B2 (en) 2020-10-23 2022-12-27 BlackBear (Taiwan) Industrial Networking Security Ltd. Switch device for one-way transmission
US11575652B2 (en) 2020-12-18 2023-02-07 BlackBear (Taiwan) Industrial Networking Security Ltd. Communication system and communication method for one-way transmission
US11496233B2 (en) 2020-12-23 2022-11-08 BlackBear (Taiwan) Industrial Networking Security Ltd. Communication system and communication method for one-way transmission
US11477048B2 (en) 2021-01-15 2022-10-18 BlackBear (Taiwan) Industrial Networking Security Ltd. Communication method for one-way transmission based on VLAN ID and switch device using the same
US20220366090A1 (en) * 2021-05-17 2022-11-17 Semiconductor Components Industries, Llc Secure serial bus with automotive applications
US11611409B2 (en) * 2021-06-14 2023-03-21 BlackBear (Taiwan) Industrial Networking Security Ltd. Communication system and communication method for reporting compromised state in one-way transmission
US11991185B2 (en) 2022-02-14 2024-05-21 BlackBear (Taiwan) Industrial Networking Security Ltd. Method for secure data transmission and system using the same

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090128405A (ko) * 2007-03-12 2009-12-15 마이크로소프트 코포레이션 Nat 연결 상태 킵-얼라이브의 비용 감소
CN101527665B (zh) * 2008-03-07 2012-07-18 巴比禄股份有限公司 网络装置、指定网络装置的安装位置的方法和通知装置
KR20130024660A (ko) * 2011-08-31 2013-03-08 한국남부발전 주식회사 발전소 통합 제어 시스템의 네트워크 보안 시스템
KR20130046276A (ko) * 2011-10-27 2013-05-07 한국전력공사 단방향 네트워크 인터페이스 장치 및 그 방법

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4422171A (en) * 1980-12-29 1983-12-20 Allied Corporation, Law Department Method and system for data communication
US5703562A (en) * 1996-11-20 1997-12-30 Sandia Corporation Method for transferring data from an unsecured computer to a secured computer
JP3900058B2 (ja) 2002-09-30 2007-04-04 株式会社日立製作所 データ通信方法および情報処理装置
US7941526B1 (en) * 2007-04-19 2011-05-10 Owl Computing Technologies, Inc. Transmission of syslog messages over a one-way data link
US7649452B2 (en) * 2007-06-29 2010-01-19 Waterfall Solutions Ltd. Protection of control networks using a one-way link
KR101063152B1 (ko) 2009-10-13 2011-09-08 한국전자통신연구원 일방향 데이터 전송 시스템 및 방법
WO2012012266A2 (en) * 2010-07-19 2012-01-26 Owl Computing Technologies. Inc. Secure acknowledgment device for one-way data transfer system
US8938795B2 (en) * 2012-11-19 2015-01-20 Owl Computing Technologies, Inc. System for real-time cross-domain system packet filtering
US8997202B2 (en) * 2012-12-06 2015-03-31 Owl Computing Technologies, Inc. System for secure transfer of information from an industrial control system network
JP2014140096A (ja) 2013-01-21 2014-07-31 Mitsubishi Electric Corp 通信システム
JP5911439B2 (ja) 2013-01-28 2016-04-27 三菱電機株式会社 監視制御システム
US9094401B2 (en) * 2013-02-19 2015-07-28 Owl Computing Technologies, Inc. Secure front-end interface
US8898227B1 (en) * 2013-05-10 2014-11-25 Owl Computing Technologies, Inc. NFS storage via multiple one-way data links
US9380064B2 (en) * 2013-07-12 2016-06-28 Owl Computing Technologies, Inc. System and method for improving the resiliency of websites and web services
US20150261810A1 (en) * 2014-03-13 2015-09-17 Electronics And Telecommunications Research Institute Data transfer apparatus and method
US8891546B1 (en) * 2014-04-27 2014-11-18 Waterfall Security Solutions Ltd. Protocol splitter

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090128405A (ko) * 2007-03-12 2009-12-15 마이크로소프트 코포레이션 Nat 연결 상태 킵-얼라이브의 비용 감소
CN101527665B (zh) * 2008-03-07 2012-07-18 巴比禄股份有限公司 网络装置、指定网络装置的安装位置的方法和通知装置
KR20130024660A (ko) * 2011-08-31 2013-03-08 한국남부발전 주식회사 발전소 통합 제어 시스템의 네트워크 보안 시스템
KR20130046276A (ko) * 2011-10-27 2013-05-07 한국전력공사 단방향 네트워크 인터페이스 장치 및 그 방법

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180018137A (ko) * 2016-08-12 2018-02-21 한국전자통신연구원 단방향 전송 장치, 단방향 수신 장치 및 이를 이용한 단방향 재전송 방법
KR101953552B1 (ko) 2016-08-12 2019-03-04 한국전자통신연구원 단방향 전송 장치, 단방향 수신 장치 및 이를 이용한 단방향 재전송 방법
KR20180058539A (ko) * 2016-11-24 2018-06-01 (주)이센티아 분리망 연계 시스템 및 그 제어방법
KR101896551B1 (ko) * 2016-11-24 2018-09-10 (주)이센티아 분리망 연계 시스템 및 그 제어방법
KR20190045892A (ko) * 2019-04-19 2019-05-03 한국전자통신연구원 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
KR102067186B1 (ko) * 2019-04-19 2020-01-16 한국전자통신연구원 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
KR102441200B1 (ko) 2019-09-27 2022-09-08 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20210134258A (ko) * 2019-09-27 2021-11-09 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20210037178A (ko) * 2019-09-27 2021-04-06 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20210131297A (ko) * 2019-09-27 2021-11-02 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20210131962A (ko) * 2019-09-27 2021-11-03 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20210131964A (ko) * 2019-09-27 2021-11-03 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20210131963A (ko) * 2019-09-27 2021-11-03 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20210131965A (ko) * 2019-09-27 2021-11-03 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20210133916A (ko) * 2019-09-27 2021-11-08 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20210134259A (ko) * 2019-09-27 2021-11-09 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20210134260A (ko) * 2019-09-27 2021-11-09 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR102441751B1 (ko) 2019-09-27 2022-09-13 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR102333245B1 (ko) * 2019-09-27 2021-12-02 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR102441198B1 (ko) 2019-09-27 2022-09-08 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR102441199B1 (ko) 2019-09-27 2022-09-08 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR102441753B1 (ko) 2019-09-27 2022-09-13 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR102441196B1 (ko) 2019-09-27 2022-09-08 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR102441195B1 (ko) 2019-09-27 2022-09-08 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR102441197B1 (ko) 2019-09-27 2022-09-08 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR102441752B1 (ko) 2019-09-27 2022-09-13 한국전력공사 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR20200007060A (ko) * 2020-01-10 2020-01-21 한국전자통신연구원 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
KR102175953B1 (ko) 2020-01-10 2020-11-10 한국전자통신연구원 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법

Also Published As

Publication number Publication date
JP6106718B2 (ja) 2017-04-05
JP2016059034A (ja) 2016-04-21
US20160080033A1 (en) 2016-03-17
US9749011B2 (en) 2017-08-29

Similar Documents

Publication Publication Date Title
KR101593168B1 (ko) 물리적 단방향 통신 장치 및 방법
US8320242B2 (en) Active response communications network tap
US11251898B2 (en) Device and method for the unidirectional transmission of data
US11729185B2 (en) Transparent bridge for monitoring crypto-partitioned wide-area network
US7660236B2 (en) System and method of multi-nodal APS control protocol signaling
US20060026292A1 (en) Data communication method and information processing apparatus for acknowledging signal reception by using low-layer protocol
CN107104902B (zh) 一种rdma数据传输的方法、相关装置与系统
US10382481B2 (en) System and method to spoof a TCP reset for an out-of-band security device
CN114448896B (zh) 一种网络优化方法和装置
KR20180069843A (ko) Can 컨트롤러에 의해 버스에 연결된 노드를 이용하여 can 버스에서의 조작을 방지하기 위한 방법 및 장치
WO2017000096A1 (zh) 一种链路恢复方法和网络设备
WO2015180265A1 (zh) 多链路保护倒换的方法及装置
CN109586932B (zh) 组播方法及终端设备
US7724755B2 (en) Communications apparatus
CN109067663B (zh) 一种针对应用程序内控制请求响应速率的系统和方法
JP4645839B2 (ja) セキュリティ通信装置およびシーケンスナンバー管理方法
CN106534331A (zh) 一种基于动态端口切换的数据传输方法和系统
JP2008236733A (ja) 帯域制御装置、帯域制御システム、帯域制御方法
KR20000040467A (ko) 네트워크의 데이터통신 제어방법
JP2004236333A (ja) データパケットの安全送信の監視方法および装置
JP2966579B2 (ja) パケット交換網における片切れ呼検出方式
CN115412398B (zh) 一种can网桥数据通讯方法、can网桥及可读存储介质
KR101713911B1 (ko) 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템
JPWO2004064341A1 (ja) Ipネットワークにおける回線故障時の無瞬断転送方法
JP6898742B2 (ja) 処理装置およびパケットの処理方法

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20200129

Year of fee payment: 5