KR101628467B1 - Apparatus and method for transferring data in one-way - Google Patents

Apparatus and method for transferring data in one-way Download PDF

Info

Publication number
KR101628467B1
KR101628467B1 KR1020140097514A KR20140097514A KR101628467B1 KR 101628467 B1 KR101628467 B1 KR 101628467B1 KR 1020140097514 A KR1020140097514 A KR 1020140097514A KR 20140097514 A KR20140097514 A KR 20140097514A KR 101628467 B1 KR101628467 B1 KR 101628467B1
Authority
KR
South Korea
Prior art keywords
data
unit
transmission
server
transmitted
Prior art date
Application number
KR1020140097514A
Other languages
Korean (ko)
Other versions
KR20160015058A (en
Inventor
임유석
전경석
김충효
최문석
임용훈
주성호
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020140097514A priority Critical patent/KR101628467B1/en
Publication of KR20160015058A publication Critical patent/KR20160015058A/en
Application granted granted Critical
Publication of KR101628467B1 publication Critical patent/KR101628467B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/08Arrangements for detecting or preventing errors in the information received by repeating transmission, e.g. Verdan system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/18Automatic repetition systems, e.g. Van Duuren systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 일방향 데이터 전송 장치 및 그 방법에 관한 것으로, 내부망과의 데이터 송수신을 수행하는 제1 송수신부; 내부망으로부터 전송되는 데이터를 송신서버로 전송하는 데이터링크 절체부; 상기 송신서버로 입력되는 입력 데이터의 비트 에너지를 계산하는 입력데이터 에너지 계산부; 상기 송신서버에서 수신서버로 전송되어, 외부망으로 출력되는 출력 데이터의 비트 에너지를 계산하는 출력데이터 에너지 계산부; 상기 입력 데이터의 비트 에너지와 상기 출력 데이터의 비트 에너지를 비교하는 데이터 에너지 비교부; 및 데이터 비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 데이터 처리부;를 포함한다. The present invention relates to a one-way data transmission apparatus and a method thereof, and more particularly, to a first data transmission apparatus and a method thereof, including a first transmission / reception unit for performing data transmission / reception with an internal network; A data link switch for transmitting data transmitted from an internal network to a transmission server; An input data energy calculation unit for calculating bit energy of input data input to the transmission server; An output data energy calculation unit for calculating bit energy of output data transmitted from the transmission server to the reception server and output to the external network; A data energy comparing unit for comparing the bit energy of the input data and the bit energy of the output data; And a data processor for requesting the first transceiver to respond or retransmit the corresponding data according to a result of the data comparison.

Figure R1020140097514
Figure R1020140097514

Description

일방향 데이터 전송 장치 및 그 방법{APPARATUS AND METHOD FOR TRANSFERRING DATA IN ONE-WAY}[0001] APPARATUS AND METHOD FOR TRANSFERRING DATA IN ONE-WAY [0002]

본 발명은 일방향 데이터 전송 장치 및 그 방법에 관한 것으로, 보다 자세하게는 입력 데이터와 출력 데이터의 비트 에너지를 비교하여 데이터의 유실을 방지하고 데이터의 안전한 전송을 보장하기 위한 일방향 데이터 전송 장치 및 그 방법에 관한 것이다.The present invention relates to a unidirectional data transmission apparatus and method thereof, and more particularly, to a unidirectional data transmission apparatus and a method thereof for preventing loss of data by comparing bit energy of input data and output data and ensuring safe transmission of data .

제어시스템과 같이 보안 수준이 높은 레벨을 보호하기 위한 네트워크 보호장치(일방향 자료전달시스템)는 제어망에서 업무망으로 연계되는 데이터들 중 단방향의 데이터만 연계가 가능하다. 하지만 일반적으로 TCP 기반의 데이터연계는 상대방으로부터 ACK를 수신해야하는 등 양?향성을 갖는 서비스가 대부분이고, 기존 응용서비스들은 대다수가 TCP기반으로 되어있어 일방향 자료전달시스템을 통해 자료를 연계하기 위해서는 별도의 처리과정이 필요하다. 이에 따라 일방향 자료전달시스템에는 각각의 응용서비스를 단방향으로 연계하기 위한 서비스 에이전트가 별도로 존재하게 된다. 이러한 일방향 자료전달시스템은 단방향 데이터 연계를 위해 송신서버와 수신서버를 별도로 구성하여 운영하는데 이때 각각의 서버에 서비스 에이전트가 설치되어 운용된다. A network protection device (unidirectional data transmission system) for protecting a security level such as a control system can connect only unidirectional data among the data linked from the control network to the business network. However, in general, TCP-based data association is mostly bi-directional services such as receiving ACK from the other party. In order to connect data through one-way data delivery system, Processing is required. Accordingly, there is a service agent for unidirectionally linking each application service to the unidirectional data delivery system. In this unidirectional data delivery system, a transmission server and a reception server are separately configured and operated for unidirectional data association, in which a service agent is installed and operated in each server.

일방향 자료전달시스템을 통한 데이터 연계과정을 살펴보면, 먼저 제어망에서 업무망으로 전송하는 데이터가 일방향 자료전달시스템의 송신서버로 전송되고 송신서버측 서비스 에이전트는 해당 데이터의 응답처리를 한다. 그리고 해당 데이터는 일방향 자료전달시스템의 수신서버로 전송되고 수신서버는 해당 데이터의 응용서버로 전송된 뒤 응용서버로부터 수신되는 응답은 수신서버의 서비스 에이전트가 응답처리를 수행하여 데이터전송 처리를 완료한다.First, the data transmitted from the control network to the business network is transmitted to the transmission server of the one-way data delivery system, and the service agent of the transmission server performs the response processing of the corresponding data. Then, the corresponding data is transmitted to the reception server of the one-way data delivery system, and the reception server transmits the data to the application server of the corresponding data, and the response received from the application server is processed by the service agent of the reception server to complete the data transmission processing .

그러나 예를 들어 송신서버에 전송된 데이터에 대해 송신서버측 서비스 에이전트는 응답처리를 하였으나(제어망에서 데이터를 전송한 서버는 데이터 전송이 완료된 것으로 판단), 이후 데이터 연계 상에 전송오류 등의 원인으로 데이터가 유실되었을 경우에 데이터의 재전송을 요청할 수 없어 해당 데이터는 응용서버에 기록될 수 없다. 이러한 원인은 일방향 자료전달시스템의 수신서버에서 송신서버로 데이터를 전송할 수 없기 때문에 데이터 유실에 대한 사실을 통보하거나 재전송 요청 패킷을 전송할 수 없는 구조로 인해 발생한다.However, for example, the transmission server side service agent performs response processing on the data transmitted to the transmission server (the server that has transmitted the data in the control network determines that the data transmission is completed), and thereafter, The data can not be requested to be retransmitted and the corresponding data can not be written to the application server. This is caused by the fact that data can not be transmitted from the receiving server to the transmitting server of the unidirectional data transmission system, and thus the fact of data loss can not be notified or the retransmission request packet can not be transmitted.

또한, 현재 일방향 자료전달시스템의 역방향 전송 불가로 인해 제어망과 업무망 사이에 데이터를 암호화 및 인증 등의 프로세스를 적용하기에 일부 제한이 되어, 제어망으로부터 전송되는 데이터의 신뢰성을 확보하기 어려운 상황이다. 특히, 제어망의 내부정보를 받아 외부망에서 접근할 수 있도록 구현된 응용서버는 쉽게 접근이 가능한 영역으로 데이터의 위변조 및 사이버 공격에 취약할 가능성이 있어 두 네트워크간 연계되는 자료에 대한 보호가 필요하다.In addition, due to the impossibility of reverse transmission of the unidirectional data transmission system, it is difficult to secure the reliability of data transmitted from the control network because the process of encrypting and authenticating data between the control network and the business network is limited. to be. In particular, an application server that receives internal information of the control network and is accessible from an external network is an easily accessible area, and is likely to be vulnerable to forgery and cyber attack of data. Therefore, it is necessary to protect data linked between the two networks Do.

이와 관련하여, 한국공개특허 제2011-0040004호는 "일방향 데이터 전송 시스템 및 방법"에 관하여 개시하고 있다.In this regard, Korean Patent Publication No. 2011-0040004 discloses a " one-way data transmission system and method ".

본 발명은 상기와 같은 문제점을 해결하기 위해 발명된 것으로, 입력 데이터와 출력 데이터의 비트 에너지를 비교하여 일치하는 경우 해당 데이터의 응답을 송신하고, 일치하지 않는 경우 입력 데이터를 발신한 송신서버에 데이터 재전송을 요청하는 일방향 데이터 전송 장치 및 그 방법을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been developed in order to solve the above-mentioned problems, and it is an object of the present invention to provide a data transmission method and a data transmission method in which, when bit energy of input data and output data is matched, And to provide a one-way data transmission apparatus for requesting retransmission and a method thereof.

또한, 본 발명은 송신서버에서 전송되어 수신서버를 통해 전달되는 데이터는 공개키 기반의 인증을 수행하는 일방향 데이터 전송 장치 및 그 방법을 제공하는데 그 목적이 있다.It is another object of the present invention to provide a one-way data transmission apparatus for performing public key based authentication on data transmitted from a transmission server and transmitted through a reception server, and a method thereof.

상기한 목적을 달성하기 위한 본 발명에 따른 일방향 데이터 전송 장치는 내부망과의 데이터 송수신을 수행하는 제1 송수신부; 내부망으로부터 전송되는 데이터를 송신서버로 전송하는 데이터링크 절체부; 상기 송신서버로 입력되는 입력 데이터의 비트 에너지를 계산하는 입력데이터 에너지 계산부; 상기 송신서버에서 수신서버로 전송되어, 외부망으로 출력되는 출력 데이터의 비트 에너지를 계산하는 출력데이터 에너지 계산부; 상기 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값을 비교하는 데이터 에너지 비교부; 및 비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 데이터 처리부;를 포함한다.According to an aspect of the present invention, there is provided a one-way data transmission apparatus including a first transmission / reception unit for transmitting / receiving data to / from an internal network; A data link switch for transmitting data transmitted from an internal network to a transmission server; An input data energy calculation unit for calculating bit energy of input data input to the transmission server; An output data energy calculation unit for calculating bit energy of output data transmitted from the transmission server to the reception server and output to the external network; A data energy comparing unit for comparing a bit energy value of the input data with a bit energy value of the output data; And a data processor for requesting the first transceiver to respond or retransmit the corresponding data according to the comparison result.

또한, 상기 데이터 처리부는, 상기 데이터 에너지 비교부의 비교 결과, 상기 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값이 일치하는 경우, 상기 제1 송수신부에 해당 데이터에 대한 응답을 송신하고, 상기 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값이 일치하지 않는 경우, 상기 제1 송수신부에 데이터 재전송을 요청하는 것을 특징으로 한다.If the bit energy value of the input data matches the bit energy value of the output data as a result of the comparison by the data energy comparison unit, the data processing unit may transmit a response to the data to the first transceiver unit, When the bit energy value of the input data does not match the bit energy value of the output data, the first transmission / reception unit requests the first transmission / reception unit to retransmit the data.

또한, 상기 데이터 처리부는 상기 제1 송수신부에 데이터 재전송을 요청하는 경우 기 설정된 횟수 이하로 데이터 재전송을 요청하되, 기 설정된 횟수 이후에도 상기 제1 송수신부에서 데이터가 상기 수신서버로 전송되지 않는 경우 네트워크 에러(Error)로 판단하는 것을 특징으로 한다.In addition, the data processor may request data retransmission of a predetermined number of times or less in response to a data retransmission request from the first transceiver, and when the data is not transmitted to the reception server after a predetermined number of times, It is determined as an error (Error).

또한, 상기 데이터 처리부는 네트워크 에러로 판단되면 상기 데이터링크 절체부에 에러 데이터를 전송하고, 상기 데이터링크 절체부는 수신한 에러 데이터를 바이패스(by-pass) 링크부로 전송하는 것을 특징으로 한다.The data processing unit may transmit error data to the data link switch unit when it is determined that there is a network error, and the data link switch unit may transmit the received error data to the by-pass link unit.

또한, 상기 바이패스 링크부로 에러 데이터가 전송되면 일방향 데이터 전송 장치의 상태 점검을 위한 점검 알림신호를 출력하는 알람발생부를 더 포함하는 것을 특징으로 한다.The apparatus may further include an alarm generation unit for outputting a maintenance notification signal for checking the status of the one-way data transmission apparatus when the error data is transmitted to the bypass link unit.

또한, 상기 수신서버로부터 출력된 출력 데이터를 암,복호화하는 보안 모듈부를 더 포함하는 것을 특징으로 한다.The server further includes a security module for encrypting and decrypting output data output from the reception server.

또한, 상기 보안 모듈부는, 난수를 생성하는 난수생성부; 암호 및 인증에 관한 정책을 관리하는 암호 및 인증 정책관리부; 상기 외부망의 응용서버로부터 전송되는 응용서버 ID를 검증하는 검증부; 개인키를 생성하는 개인키 생성부; 공유키를 생성하는 공유키 생성부; 공유키를 관리하는 키 관리부; 상기 응용서버로부터 전송되는 공개키를 개인키로 복호화한 다음 상기 응용서버로부터 전송되는 난수와 생성된 난수를 포함하여 상기 출력 데이터를 상기 응용서버로부터 전송된 공개키로 암호화하여 전송하는 암복호화부; 및 암호화된 상기 출력 데이터를 전자서명 데이터로 생성하고 검증하는 전자서명 및 검증부;를 포함하는 것을 특징으로 한다.The security module may further include: a random number generator for generating a random number; A password and an authentication policy management unit for managing a password and an authentication policy; A verification unit verifying an application server ID transmitted from an application server of the external network; A private key generation unit for generating a private key; A shared key generation unit for generating a shared key; A key management unit for managing a shared key; An encryption / decryption unit decrypting the public key transmitted from the application server with a private key, encrypting the output data including the random number transmitted from the application server and the generated random number using the public key transmitted from the application server, and transmitting the output data; And an electronic signature and verification unit for generating and verifying the encrypted output data as digital signature data.

또한, 상기 외부망과의 데이터 송수신을 수행하는 제2 송수신부를 더 포함하는 것을 특징으로 한다.
The apparatus may further include a second transmitting / receiving unit for transmitting / receiving data to / from the external network.

상기한 목적을 달성하기 위한 본 발명에 따른 일방향 데이터 전송 방법은 제2 송수신부에 의해, 내부망과의 데이터 송수신을 수행하는 단계; 데이터링크 절체부에 의해, 내부망으로부터 전송되는 데이터를 송신서버로 전송하는 단계;입력데이터 에너지 계산부에 의해, 상기 송신서버로 입력되는 입력 데이터의 비트 에너지를 계산하는 단계; 출력데이터 에너지 계산부에 의해, 상기 송신서버에서 수신서버로 전송되어, 외부망으로 출력되는 출력 데이터의 비트 에너지를 계산하는 단계; 데이터 에너지 비교부에 의해, 상기 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값을 비교하는 단계: 및 데이터 처리부에 의해, 비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 단계;를 포함한다.According to another aspect of the present invention, there is provided a one-way data transmission method comprising: performing transmission and reception of data with an internal network by a second transceiver; Transmitting data transmitted from an internal network to a transmission server by a data link switching unit, calculating bit energy of input data input to the transmission server by an input data energy calculation unit, Calculating bit energy of output data transmitted from the transmission server to the reception server by the output data energy calculation unit and output to the external network; Comparing a bit energy value of the input data with a bit energy value of the output data by a data energy comparing unit; and a data processing unit, responsive to the comparison result, for responding to or retransmitting the data to the first transmitting / And a step of requesting a request.

또한, 데이터 비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 단계에서, 비교 결과, 상기 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값이 일치하는 경우, 상기 제1 송수신부에 해당 데이터에 대한 응답을 송신하고, 상기 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값이 일치하지 않는 경우, 상기 제1 송수신부에 데이터 재전송을 요청하는 것을 특징으로 한다.In addition, when the bit energy value of the input data matches the bit energy value of the output data in the step of requesting the first transceiver to respond or retransmit the data according to a result of the data comparison, And transmits a response to the corresponding data to the first transmission / reception unit. When the bit energy value of the input data does not match the bit energy value of the output data, the first transmission / reception unit is requested to retransmit the data .

또한, 데이터 비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 단계는, 상기 제1 송수신부에 데이터 재전송을 요청하는 경우 기 설정된 횟수 이하로 데이터 재전송을 요청하되, 기 설정된 횟수 이후에도 상기 제1 송수신부에서 데이터가 상기 수신서버로 전송되지 않는 경우 네트워크 에러(Error)로 판단하는 것을 특징으로 한다.The step of requesting the first transceiver to respond or retransmit the data according to a result of the data comparison may include requesting data retransmission of a predetermined number of times or less when requesting data retransmission to the first transceiver, And if the data is not transmitted to the reception server by the first transmission / reception unit after the preset number of times, it is determined as a network error.

또한, 데이터 비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 단계에서, 네트워크 에러로 판단되면 상기 데이터링크 절체부에 에러 데이터를 전송하고, 상기 데이터링크 절체부는 수신한 에러 데이터를 바이패스(by-pass) 링크부로 전송하는 단계를 포함하는 것을 특징으로 한다.If it is determined that a network error occurs in the step of requesting the first transceiver to respond or retransmit the data according to a result of the data comparison, the data link change unit transmits the error data to the data link change- And transmitting the error data to the by-pass link unit.

또한, 네트워크 에러로 판단되면 상기 데이터링크 절체부에 에러 데이터를 전송하고, 상기 데이터링크 절체부는 수신한 에러 데이터를 바이패스(by-pass) 링크부로 전송하는 단계 이후에, 상기 바이패스 링크부로 에러 데이터가 전송되면 알람발생부에 의해, 일방향 데이터 전송 장치의 상태 점검을 위한 점검 알림신호가 출력되는 것을 특징으로 한다.In addition, if it is determined as a network error, error data is transmitted to the data link change-over unit, and after the step of transmitting the received error data to the by-pass link unit, the data link change- When the data is transmitted, an alarm generating unit outputs a maintenance notification signal for checking the status of the one-way data transmission apparatus.

상기와 같은 구성을 갖는 본 발명에 의한 일방향 데이터 전송 장치 및 방법은 입력 데이터와 출력 데이터의 비트 에너지를 비교하여 일치하는 경우 해당 데이터의 응답을 송신하고, 일치하지 않는 경우 입력 데이터를 발신한 송신서버에 데이터 재전송을 요청함으로써, 데이터의 유실을 방지하고 데이터의 안전한 전송을 보장할 수 있는 효과가 있다.The one-way data transmission apparatus and method according to the present invention having the above-described structure compares the bit energy of the input data and the output data and transmits a response of the corresponding data if they match, It is possible to prevent loss of data and guarantee secure transmission of data.

또한, 본 발명은 송신서버에서 전송되어 수신서버를 통해 전달되는 데이터는 공개키 기반의 인증을 수행함으로써, 데이터의 위변조를 방지할 수 있는 효과가 있다.In addition, according to the present invention, data transmitted from a transmission server and transmitted through a reception server performs authentication based on a public key, thereby preventing forgery and corruption of data.

도 1은 본 발명에 따른 일방향 데이터 전달장치의 구성을 나타내는 도면이다.
도 2는 본 발명에 따른 일방향 데이터 전달장치에 채용되는 보안 모듈부의 세부 구성을 나타내는 도면이다.
도 3은 도 2에 따른 보안 모듈부와 외부망의 응용서버와의 키 교환 방식을 설명하기 위한 도면이다.
도 4는 본 발명에 따른 일방향 데이터 전달방법의 순서를 나타내는 순서도이다.1 is a block diagram illustrating a configuration of a one-way data transmission apparatus according to the present invention.
2 is a detailed block diagram of a security module used in a one-way data transmission device according to the present invention.
FIG. 3 is a view for explaining a key exchange method between the security module according to FIG. 2 and an application server of an external network.
4 is a flowchart illustrating a procedure of a one-way data transfer method according to the present invention.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시예를 첨부 도면을 참조하여 설명하기로 한다. 우선, 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings in order to facilitate a person skilled in the art to easily carry out the technical idea of the present invention. . First, in adding reference numerals to the constituents of the drawings, it is to be noted that the same constituents are denoted by the same reference symbols as possible even if they are displayed on different drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

이하에서는, 본 발명의 실시 예에 따른 일방향 데이터 전송 장치 및 그 방법에 대하여 첨부한 도면을 참고로 하여 상세히 설명한다.
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a one-way data transmission apparatus and method according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

본 발명에 따른 일방향 데이터 전송 장치는 내부망과 외부망 사이에 위치하여, 내부망으로부터 데이터 유입을 차단하고 내부망에서 외부망으로 데이터를 단방향으로 전달한다. 즉, 이와 같이 전송된 내부망의 데이터는 외부망의 응용서버로 전달되고, 관리자는 응용서버에 접근하여 데이터를 열람할 수 있다.The one-directional data transmission apparatus according to the present invention is located between an internal network and an external network, blocks data inflow from the internal network, and transmits data from the internal network to the external network in a unidirectional manner. That is, the data of the internal network transmitted in this way is transmitted to the application server of the external network, and the administrator can access the application server and browse the data.

본 발명은 상기와 같이 구성된 일방향 데이터 전송 장치가 외부망으로부터 유입되는 사이버공격을 효율적으로 차단하고, 내부망과 외부망 간의 데이터연계를 신뢰성 있게 유지하기 위한 발명으로, 이하 자세하게 설명하기로 한다.
The present invention is an invention for efficiently blocking the cyber attack from the external network and reliably maintaining the data association between the internal network and the external network, which will be described in detail below.

도 1은 본 발명에 따른 일방향 데이터 전달장치의 구성을 나타내는 도면이다.1 is a block diagram illustrating a configuration of a one-way data transmission apparatus according to the present invention.

도 1을 참조하여 설명하면, 본 발명에 따른 일방향 데이터 전달장치(100)는 크게 제1 송수신부(110), 데이터링크 절체부(120), 입력 데이터 에너지 계산부(130), 송신서버(140a), 수신서버(140b), 출력데이터 에너지 계산부(150), 데이터 에너지 비교부(160), 데이터 처리부(170), 바이패스 링크부(173), 알람 발생부(175), 보안 모듈부(180) 및 제2 송수신부(190)를 포함한다.1, the one-way data transmission apparatus 100 according to the present invention includes a first transmission / reception unit 110, a data link transfer unit 120, an input data energy calculation unit 130, a transmission server 140a An output data energy calculation unit 150, a data energy comparison unit 160, a data processing unit 170, a bypass link unit 173, an alarm generation unit 175, a security module unit 180 and a second transceiver 190.

제1 송수신부(110)는 내부망(10)과의 데이터 송수신을 수행한다.The first transmission / reception unit 110 performs data transmission / reception with the internal network 10.

데이터링크 절체부(120)는 내부망(10)으로부터 전송되는 데이터를 송신서버(140a)로 전송한다.The data link switching unit 120 transmits data transmitted from the internal network 10 to the transmission server 140a.

입력데이터 에너지 계산부(130)는 송신서버(140a)로 입력되는 입력 데이터의 비트 에너지를 계산한다. 이때, 비트 에너지는 디지털 통신시스템 간 비교를 위해 종종 사용되는 신호 크기를 의미한다.The input data energy calculation unit 130 calculates the bit energy of the input data input to the transmission server 140a. Here, the bit energy means a signal size often used for comparison between digital communication systems.

송신서버(140a)는 내부망(10)으로부터 전송되는 입력 데이터를 수신서버(140b)로 송신한다.The transmission server 140a transmits the input data transmitted from the internal network 10 to the reception server 140b.

수신서버(140b)는 송신서버(140a)로부터 전송되는 출력 데이터를 수신받는다.The reception server 140b receives the output data transmitted from the transmission server 140a.

여기서, 입력 데이터와 출력 데이터는 동일한 데이터로, 설명의 편의상 송신서버(140a)로 입력되는 데이터는 입력 데이터로, 송신서버(140b)에서 출력되는 데이터는 출력 데이터로 정의하였다. Here, the input data and the output data are the same data. For convenience of description, data input to the transmission server 140a is defined as input data, and data output from the transmission server 140b is defined as output data.

출력데이터 에너지 계산부(150)는 송신서버(140a)에서 수신서버(140b)로 전송되어, 외부망(20)으로 출력되는 출력 데이터의 비트 에너지를 계산한다.The output data energy calculation unit 150 calculates the bit energy of output data transmitted from the transmission server 140a to the reception server 140b and output to the external network 20. [

데이터 에너지 비교부(160)는 입력 데이터의 비트 에너지와 출력 데이터의 비트 에너지를 비교한다. 즉, 데이터 에너지 비교부(160)는 입력데이터 에너지 계산부(130)를 통해 계산된 입력 데이터의 비트 에너지 값과 출력데이터 에너지 계산부(150)를 통해 계산된 출력 데이어의 비트 에너지 값을 비교한다.The data energy comparison unit 160 compares the bit energy of the input data and the bit energy of the output data. That is, the data energy comparison unit 160 compares the bit energy value of the input data calculated through the input data energy calculation unit 130 with the bit energy value of the output data calculated through the output data energy calculation unit 150 do.

데이터 처리부(170)는 비교 결과에 따라 제1 송수신부(110)에 해당 데이터에 대한 응답 또는 재전송을 요청한다. 데이터 처리부(170)는 데이터 에너지 비교부의 비교 결과, 입력 데이터의 비트 에너지 값과 출력 데이터의 비트 에너지 값이 일치하는 경우, 제1 송수신부(110)에 해당 데이터에 대한 응답을 송신하고, 입력 데이터의 비트 에너지 갑과 출력 데이터의 비트 에너지 값이 일치하지 않는 경우, 제1 송수신부(110)에 데이터 재전송을 요청한다. The data processor 170 requests the first transceiver 110 to respond to the data or to retransmit the data according to the comparison result. If the bit energy value of the input data matches the bit energy value of the output data as a result of the comparison by the data energy comparison unit 170, the data processing unit 170 transmits a response to the corresponding data to the first transmission / reception unit 110, And the bit energy of the output data does not coincide with the bit energy of the output data, the first transmission / reception unit 110 is requested to retransmit the data.

또한, 데이터 처리부(170)는 제1 송수신부(110)에 데이터 재전송을 요청하는 경우 기 설정된 횟수 이하로 데이터 재전송을 요청하되, 기 설정된 횟수 이후에도 제1 송수신부(110)에서 데이터가 수신서버(140b)로 전송되지 않는 경우 네트워크 에러(Error)로 판단한다. 즉, 데이터 처리부(170)는 데이터 재전송 요청 횟수를 3회로 제한다고 가정하면, 2회 이상의 재전송 요청에도 데이터가 수신서버(140b)로 전송되지 않거나 수신서버(140b)에서 응답처리가 이루어지지 않으면 네트워크 에러로 간주하고, 데이터 링크 절체부(120)를 통해 에러 데이터를 바이패스 링크부(173)로 전송한다.In addition, when requesting data retransmission by the first transmission / reception unit 110, the data processing unit 170 requests data retransmission of a predetermined number of times or less. However, after a predetermined number of times, the first transmission / 140b, it is determined as a network error (Error). That is, assuming that the data processing unit 170 deletes the number of data retransmission requests three times, if the data is not transmitted to the reception server 140b or the response processing is not performed in the reception server 140b even in two or more retransmission requests, And transmits the error data to the bypass link unit 173 through the data link switch unit 120. [

바이패스 링크부(173)는 데이터 링크 절체부(120)로부터 전송되는 에러 데이터를 수신한다.The bypass link unit 173 receives error data transmitted from the data link switch unit 120.

알람 발생부(175)는 바이패스 링크부(173)로 에러 데이터가 전송되면 일방향 데이터 전송 장치의 상태 점검을 위한 점검 알림신호를 출력한다. 알람 발생부(175)는 점검 알람신호를 출력하여 시스템 관리자에게 통보하여 일방향 데이터 전송 장치의 서버 상태를 점검할 수 있도록 한다. 따라서, 알람 발생부(175)는 시스템 관리자에 의해 서버를 복구하고 일방향 링크 절체 등을 수행할 수 있도록 한다.When the error data is transmitted to the bypass link unit 173, the alarm generating unit 175 outputs a check notification signal for checking the status of the one-way data transmission apparatus. The alarm generating unit 175 outputs a check alarm signal to notify the system administrator to check the server status of the one-way data transfer apparatus. Accordingly, the alarm generating unit 175 can restore the server by the system administrator and perform one-way link switching or the like.

보안 모듈부(180) 수신서버(140b)로부터 출력된 출력 데이터를 암,복호화한다. 이때, 암호화는 보안 모듈부(180)와 외부망(20)의 응용서버가 공유하는 비밀키를 사용하고 공유키를 교환한다. 이에 대해서는 이후에 설명되는 도 2 및 도 3을 통해 자세하게 설명하기로 한다.The security module 180 encrypts and decrypts output data output from the receiving server 140b. At this time, the encryption uses the secret key shared by the security module 180 and the application server of the external network 20 and exchanges the shared key. This will be described in detail with reference to FIG. 2 and FIG. 3 which will be described later.

제2 송수신부(190)는 외부망(20)과의 데이터 송수신을 수행한다.
The second transceiver 190 performs data transmission / reception with the external network 20.

도 2는 본 발명에 따른 일방향 데이터 전달장치에 채용되는 보안 모듈부의 세부 구성을 나타내는 도면이고, 도 3은 도 2에 따른 보안 모듈부와 외부망의 응용서버와의 키 교환 방식을 설명하기 위한 도면이다.FIG. 2 is a diagram illustrating a detailed configuration of a security module used in a one-way data transferring apparatus according to the present invention. FIG. 3 is a diagram for explaining a key exchange method between a security module according to FIG. to be.

도 2를 참조하여 설명하면, 본 발명에 따른 보안 모듈부(180)는 수신서버(140a)로부터 출력된 출력 데이터를 암,복호화한다.Referring to FIG. 2, the security module 180 according to the present invention encrypts and decrypts output data output from the reception server 140a.

이를 위해, 보안 모듈부(180)는 난수 생성부(181), 암호 및 인증 정책부(182), 검증부(183), 공개키 및 개인키 생성부(184), 공유키 생성부(185), 키 관리부(186), 암복호화부(187) 및 전자서명 및 검증부(188)를 포함한다.To this end, the security module 180 includes a random number generator 181, an encryption and authentication policy unit 182, a verification unit 183, a public key and private key generation unit 184, a shared key generation unit 185, A key management unit 186, an encryption / decryption unit 187, and an electronic signature and verification unit 188.

난수 생성부(181)는 난수를 생성한다.The random number generation unit 181 generates a random number.

암호 및 인증 정책관리부(182)는 암호 및 인증에 관한 정책을 관리한다. 암호 및 인증 정책관리부(182)에서 정의한 알고리즘을 외부망(20)의 응용서버(21)에 전달하고, 응용서버(21)는 암호 및 인증 정책 데이터베이스에 정책을 업데이트하여 활용한다.The encryption and authentication policy management unit 182 manages policies relating to encryption and authentication. The application server 21 delivers the algorithm defined by the encryption and authentication policy management unit 182 to the application server 21 of the external network 20 and the application server 21 updates and uses the policy in the password and authentication policy database.

검증부(183)는 외부망(20)의 응용서버(21)로부터 전송되는 응용서버 ID를 검증한다.The verification unit 183 verifies the application server ID transmitted from the application server 21 of the external network 20. [

공개키 및 개인키 생성부(184)는 개인키를 생성한다. 공개키 및 개인키 생성부(184)는 암호 및 인증 정책관리부의 정책을 바탕으로 공개키 및 개인키를 생성한다. 이때, 생성된 공개키는 공개된다.The public key and private key generation unit 184 generates a private key. The public key and private key generation unit 184 generates a public key and a private key based on the policy of the encryption and authentication policy management unit. At this time, the generated public key is disclosed.

공유키 생성부(185)는 공유키를 생성한다. The shared key generation unit 185 generates a shared key.

키 관리부(186)는 공유키를 관리한다.The key management unit 186 manages the shared key.

암복호화부(187)는 응용서버(21)로부터 전송되는 공개키를 개인키로 복호화한 다음 응용서버(21)로부터 전송되는 난수와 생성된 난수를 포함하여 출력 데이터를 응용서버(21)로부터 전송된 공개키로 암호화하여 전송한다.The encryption / decryption unit 187 decrypts the public key transmitted from the application server 21 with the private key, and then outputs the output data including the random number transmitted from the application server 21 and the generated random number to the application server 21 Encrypts it with the public key and transmits it.

전자서명 및 검증부(188)는 암호화된 출력 데이터를 전자서명 데이터로 생성하고 검증한다.The digital signature and verification unit 188 generates and verifies the encrypted output data as digital signature data.

도 3에 도시된 바와 같이, 상기와 같이 구성된 보안 모듈부(180)를 이용하여 키 교환 방식을 설명하면, 먼저 응용서버(21)는 자신의 고유 ID(IDA)와 공개키(KAU), 난수(NA)를 내부의 난수발생부을 통해 생성하고 ‘timestamp1’를 포함하여 보안 모듈부(180)의 공개키(KOU)로 암호화하여 보안 모듈부(180)로 전송한다. 이를 수신한 보안 모듈부(180)는 자신의 개인키로 복호화한 뒤 응용서버(21) ID를 전자서명 및 검증부(188)를 통해 검증한 뒤, 난수 발생부(181)를 통해 자신의 난수(No)를 생성하여 응용서버921)에게서 받은 난수(NA)와 새로 생성된‘timestamp2’를 포함하여 응용서버(21)의 공개키(KAU)로 암호화하여 전송한다. 이후 응용서버(21)는 보안 모듈부(180)로부터 수신한 난수(No)를 다시 한번 보안 모듈부(180)의 공개키(KOU)로 암호화하여 ‘timestamp3’과 전송한다. 보안 모듈부(180)는 자신의 난수를 확인한 뒤 공유키 생성부(185)를 통해 공유키(KS)와 ‘timestamp4’를 생성하여 응용서버(21)에 전달하고 키 관리부(186)에 공유키를 안전하게 보관한 뒤 데이터 암복호화에 활용한다. 암호화된 데이터는 전자서명 및 검증부(188)를 통해 서명 되어지며, 이때 전자서명 방식은 ECKCDSA 등 검증된 방식을 사용하며, 암호화는 SEED, ARIA 등 국가정보원에서 검증이 완료된 방식을 사용한다. 이때 블록암호 길이는 안전을 위해 128bit 이상을 적용하며, 이에 따라 해시함수도 SHA-256 이상의 것을 사용한다.3, the key exchange method using the security module unit 180 configured as described above will be described. First, the application server 21 transmits its own unique ID (IDA), a public key (KAU) (NA) is generated through an internal random number generating unit and encrypted with the public key (KOU) of the security module unit 180 including 'timestamp1', and transmitted to the security module unit 180. The security module 180 decrypts the received private key with its own private key and verifies the ID of the application server 21 through the digital signature and verification unit 188. The security module 180 verifies the random number No) is generated and transmitted by encrypting the random number NA received from the application server 921 with the public key KAU of the application server 21 including the newly generated 'timestamp2'. Thereafter, the application server 21 encrypts the random number (No) received from the security module 180 with the public key KOU of the security module 180 and transmits it with 'timestamp 3'. The security module 180 generates a shared key KS and a timestamp 4 through the shared key generator 185 and transmits the shared key KS and the timestamp 4 to the application server 21, And use it for data encryption and decryption. The encrypted data is signed through the digital signature and verification unit 188, wherein the digital signature scheme uses a verified method such as ECKCDSA, and the encryption uses a method such as SEED or ARIA that has been verified by the National Intelligence Service. At this time, the block cipher length is 128 bits or more for security, and the hash function is also SHA-256 or more.

한편, 응용서버(21)는 서명된 데이터를 검증하고 해당 데이터를 복호화해서 내부의 응용프로그램으로 전달한다. 위의 일련의 과정 중 키 생성 및 교환 등 암호화 및 인증시스템 운용에 대한 과정은 일방향 데이터 전송 장치가 초기 세팅되는 시기에 처리되고, 향후 키 갱신 등의 절차는 정책에 따라 수행된다.
On the other hand, the application server 21 verifies the signed data, decrypts the data, and transfers the decrypted data to an internal application program. During the above process, the process of encryption and authentication system operation such as key generation and exchange is processed at the time of initial setting of the one-way data transmission device, and the procedure of key update and the like is performed according to the policy in the future.

도 4는 본 발명에 따른 일방향 데이터 전달방법의 순서를 나타내는 순서도이다.4 is a flowchart illustrating a procedure of a one-way data transfer method according to the present invention.

도 4를 참조하여 설명하면, 본 발명에 따른 일방향 데이터 전달방법은 앞서 설명한 일방향 데이터 전달장치를 이용하는 것으로, 이하 중복되는 설명은 생략하기로 한다.Referring to FIG. 4, the one-way data transmission method according to the present invention uses the one-way data transmission apparatus described above, and a duplicate description will be omitted.

먼저, 내부망으로부터 데이터를 수신받는다(S100).First, data is received from the internal network (S100).

다음. 송신서버로 입력되는 입력 데이터의 비트 에너지를 계산한다(S110).next. The bit energy of the input data input to the transmission server is calculated (S110).

다음, 입력 데이터의 비트 에너지 값을 데이터 에너지 비교부에 송신한다(S111)Next, the bit energy value of the input data is transmitted to the data energy comparison unit (S111)

다음, 수신서버로 입력되는 출력 데이터의 비트 에너지를 계산한다(S120).Next, the bit energy of the output data input to the reception server is calculated (S120).

다음, 출력 데이터의 비트 데너지 값을 데이터 에너지에 송신한다(S121).Next, the bit energy value of the output data is transmitted to the data energy (S121).

다음, 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값이 일치하는지 판단한다(S130).Next, it is determined whether the bit energy value of the input data matches the bit energy value of the output data (S130).

다음, 비교 결과, 입력 데이터의 비트 에너지 값과 출력 데이터의 비트 에너지 값이 일치하는 경우, 제1 송수신부에 해당 데이터에 대한 응답을 송신한다(S140).If the bit energy value of the input data matches the bit energy value of the output data, a response to the corresponding data is transmitted to the first transceiver at step S140.

다음, 비교 결과, 입력 데이터의 비트 에너지 값과 출력 데이터의 비트 에너지 값이 일치하지 않는 경우, 제1 송수신부에 데이터 재전송을 요청한다(S150).Next, if the bit energy value of the input data does not match the bit energy value of the output data as a result of the comparison, the first transmission / reception unit is requested to retransmit the data (S150).

다음, 제1 송수신부에 데이터 재전송을 요청하는 경우 기 설정된 횟수 이하로 데이터 재전송을 요청한다(S151).Next, when data retransmission is requested to the first transmission / reception unit, data retransmission is requested less than a predetermined number of times (S151).

다음, 기 설정된 횟수 이후에도 상기 제1 송수신부에서 데이터가 상기 수신서버로 전송되지 않는 경우 네트워크 에러(Error)로 판단하여 에러 데이터를 발생킨다(S160).If the data is not transmitted to the reception server by the first transmission / reception unit after a predetermined number of times, it is determined as a network error and error data is generated in step S160.

다음, 에러 데이터를 토대로 점검 알람신호를 발생시킨다(S170).Next, a check alarm signal is generated based on the error data (S170).

다음, 서버 복구를 수행한다(S180).Next, server recovery is performed (S180).

다음, 일방향 링크 절체를 수행한다(S190).
Next, one-way link switching is performed (S190).

이처럼, 본 발명에 의한 일방향 데이터 전송 장치 및 방법은 입력 데이터와 출력 데이터의 비트 에너지를 비교하여 일치하는 경우 해당 데이터의 응답을 송신하고, 일치하지 않는 경우 입력 데이터를 발신한 송신서버에 데이터 재전송을 요청함으로써, 데이터의 유실을 방지하고 데이터의 안전한 전송을 보장할 수 있다.As described above, the one-way data transmission apparatus and method according to the present invention compares the bit energy of input data and output data and, if they match, transmits a response of the corresponding data, and if not, transmits data to the transmission server that transmitted the input data By requesting, it is possible to prevent loss of data and ensure secure transmission of data.

또한, 본 발명은 송신서버에서 전송되어 수신서버를 통해 전달되는 데이터는 공개키 기반의 인증을 수행함으로써, 데이터의 위변조를 방지할 수 있다.
In addition, according to the present invention, data transmitted from a transmission server and transmitted through a reception server performs public key based authentication, thereby preventing forgery and falsification of data.

이상에서, 본 발명에 따른 바람직한 실시예에 대해 설명하였으나, 다양한 형태로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형예 및 수정예를 실시할 수 있을 것으로 이해된다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is evident that many alternatives, modifications, and variations will be apparent to those skilled in the art without departing from the scope of the appended claims. As will be understood by those skilled in the art.

100 : 일방향 데이터 전송 장치
110 : 제1 송수신부 120 : 데이터 링크 절체부
130 : 입력 데이터 에너지 계산부 140a: 송신 서버
140b: 수신 서버 150 : 출력 데이터 에너지 계산부
160 : 데이터 에너지 비교부 170 : 데이터 처리부
173 : 바이패스 링크부 175 : 알람 발생부
180 : 보안 모듈부 190 : 제2 송수신부100: One-way data transmission device
110: first transmission / reception unit 120: data link transfer unit
130: Input data energy calculation unit 140a:
140b: reception server 150: output data energy calculation unit
160: Data energy comparing unit 170: Data processing unit
173: bypass link unit 175: alarm generating unit
180: Security module module 190: Second transmission /

Claims (13)

송신서버 및 수신서버를 포함하는 일방향 데이터 전송 장치에 있어서,
내부망과의 데이터 송수신을 수행하는 제1 송수신부;
내부망으로부터 전송되는 데이터를 상기 송신서버로 전송하는 데이터링크 절체부;
상기 송신서버로 입력되는 입력 데이터의 비트 에너지를 계산하는 입력데이터 에너지 계산부;
상기 송신서버에서 상기 수신서버로 전송되어, 외부망으로 출력되는 출력 데이터의 비트 에너지를 계산하는 출력데이터 에너지 계산부;
상기 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값을 비교하는 데이터 에너지 비교부; 및
비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 데이터 처리부;
를 포함하는 것을 특징으로 하는 일방향 데이터 전송 장치.A one-way data transmission apparatus including a transmission server and a reception server,
A first transmission / reception unit for transmitting / receiving data to / from an internal network;
A data link switch for transmitting data transmitted from an internal network to the transmission server;
An input data energy calculation unit for calculating bit energy of input data input to the transmission server;
An output data energy calculation unit for calculating bit energy of output data transmitted from the transmission server to the reception server and output to the external network;
A data energy comparing unit for comparing a bit energy value of the input data with a bit energy value of the output data; And
A data processor for requesting the first transceiver to respond or retransmit the corresponding data according to the comparison result;
Wherein the one-way data transmission apparatus comprises: 제1항에 있어서,
상기 데이터 처리부는, 상기 데이터 에너지 비교부의 비교 결과, 상기 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값이 일치하는 경우, 상기 제1 송수신부에 해당 데이터에 대한 응답을 송신하고, 상기 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값이 일치하지 않는 경우, 상기 제1 송수신부에 데이터 재전송을 요청하는 것을 특징으로 하는 일방향 데이터 전송 장치.The method according to claim 1,
Wherein the data processing unit transmits a response to the data to the first transmitting and receiving unit when the bit energy value of the input data matches the bit energy value of the output data as a result of the comparison by the data energy comparing unit, And requests retransmission of data to the first transceiver unit when the bit energy value of the data does not match the bit energy value of the output data. 제1항에 있어서,
상기 데이터 처리부는 상기 제1 송수신부에 데이터 재전송을 요청하는 경우 기 설정된 횟수 이하로 데이터 재전송을 요청하되, 기 설정된 횟수 이후에도 상기 제1 송수신부에서 데이터가 상기 수신서버로 전송되지 않는 경우 네트워크 에러(Error)로 판단하는 것을 특징으로 하는 일방향 데이터 전송 장치.The method according to claim 1,
Wherein the data processing unit requests data retransmission of a predetermined number of times or less when requesting data retransmission to the first transceiver unit, and when the data is not transmitted from the first transceiver unit to the receiving server after a predetermined number of times, Error). ≪ / RTI > 제3항에 있어서,
상기 데이터 처리부는 네트워크 에러로 판단되면 상기 데이터링크 절체부에 에러 데이터를 전송하고, 상기 데이터링크 절체부는 수신한 에러 데이터를 바이패스(by-pass) 링크부로 전송하는 것을 특징으로 하는 일방향 데이터 전송 장치.The method of claim 3,
Wherein the data processing unit transmits error data to the data link switch unit when it is determined to be a network error, and the data link switch unit transmits the received error data to the by-pass link unit. . 제4항에 있어서,
상기 바이패스 링크부로 에러 데이터가 전송되면 일방향 데이터 전송 장치의 상태 점검을 위한 점검 알림신호를 출력하는 알람발생부를 더 포함하는 것을 특징으로 하는 일방향 데이터 전송 장치.5. The method of claim 4,
Further comprising an alarm generation unit for outputting a maintenance notification signal for checking the status of the one-way data transmission apparatus when the error data is transmitted to the bypass link unit. 제1항에 있어서,
상기 수신서버로부터 출력된 출력 데이터를 암,복호화하는 보안 모듈부를 더 포함하는 것을 특징으로 하는 일방향 데이터 전송 장치.The method according to claim 1,
And a security module for encrypting and decrypting the output data output from the reception server. 제6항에 있어서,
상기 보안 모듈부는,
난수를 생성하는 난수생성부;
암호 및 인증에 관한 정책을 관리하는 암호 및 인증 정책관리부;
상기 외부망의 응용서버로부터 전송되는 응용서버 ID를 검증하는 검증부;
개인키를 생성하는 개인키 생성부;
공유키를 생성하는 공유키 생성부;
공유키를 관리하는 키 관리부;
상기 응용서버로부터 전송되는 공개키를 개인키로 복호화한 다음 상기 응용서버로부터 전송되는 난수와 생성된 난수를 포함하여 상기 출력 데이터를 상기 응용서버로부터 전송된 공개키로 암호화하여 전송하는 암복호화부; 및
암호화된 상기 출력 데이터를 전자서명 데이터로 생성하고 검증하는 전자서명 및 검증부;
를 포함하는 것을 특징으로 하는 일방향 데이터 전송 장치.The method according to claim 6,
The security module unit,
A random number generator for generating a random number;
A password and an authentication policy management unit for managing a password and an authentication policy;
A verification unit verifying an application server ID transmitted from an application server of the external network;
A private key generation unit for generating a private key;
A shared key generation unit for generating a shared key;
A key management unit for managing a shared key;
An encryption / decryption unit decrypting the public key transmitted from the application server with a private key, encrypting the output data including the random number transmitted from the application server and the generated random number using the public key transmitted from the application server, and transmitting the output data; And
An electronic signature and verification unit for generating and verifying the encrypted output data as digital signature data;
Wherein the one-way data transmission apparatus comprises: 제1항에 있어서,
상기 외부망과의 데이터 송수신을 수행하는 제2 송수신부를 더 포함하는 것을 특징으로 하는 일방향 데이터 전송 장치.The method according to claim 1,
And a second transmission / reception unit for performing data transmission / reception with the external network. 송신서버 및 수신서버를 포함하는 일방향 데이터 전송 장치에 의한 일방향 데이터 전송 방법에 있어서,
제1 송수신부에 의해, 내부망과의 데이터 송수신을 수행하는 단계;
데이터링크 절체부에 의해, 내부망으로부터 전송되는 데이터를 상기 송신서버로 전송하는 단계;
입력데이터 에너지 계산부에 의해, 상기 송신서버로 입력되는 입력 데이터의 비트 에너지를 계산하는 단계;
출력데이터 에너지 계산부에 의해, 상기 송신서버에서 상기 수신서버로 전송되어, 외부망으로 출력되는 출력 데이터의 비트 에너지를 계산하는 단계;
데이터 에너지 비교부에 의해, 상기 입력 데이터의 비트 에너지 값과 상기 출력 데이터의 비트 에너지 값을 비교하는 단계: 및
데이터 처리부에 의해, 비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 단계;
를 포함하는 것을 특징으로 하는 일방향 데이터 전송 방법.A one-way data transmission method by a one-way data transmission apparatus including a transmission server and a reception server,
Transmitting and receiving data to and from the internal network by the first transceiver;
Transmitting data transmitted from an internal network to the transmission server by a data link switching unit;
Calculating a bit energy of input data input to the transmission server by an input data energy calculation unit;
Calculating bit energy of output data transmitted from the transmission server to the reception server by the output data energy calculation unit and output to the external network;
Comparing a bit energy value of the input data with a bit energy value of the output data by a data energy comparison unit;
Requesting, by the data processing unit, a response or retransmission of the data to the first transceiver unit according to a result of the comparison;
And transmitting the one-way data. 제9항에 있어서,
데이터 비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 단계에서,
비교 결과, 상기 입력 데이터의 비트 에너지값과 상기 출력 데이터의 비트 에너지값이 일치하는 경우, 상기 제1 송수신부에 해당 데이터에 대한 응답을 송신하고, 상기 입력 데이터의 비트 에너지값과 상기 출력 데이터의 비트 에너지 값이 일치하지 않는 경우, 상기 제1 송수신부에 데이터 재전송을 요청하는 것을 특징으로 하는 일방향 데이터 전송 방법.10. The method of claim 9,
In response to the data comparison result, in the step of requesting the first transceiver to respond or retransmit the corresponding data,
And transmits a response to the corresponding data to the first transceiving unit when the bit energy value of the input data matches the bit energy value of the output data, And if the bit energy values do not match, requesting the first transceiver to retransmit the data. 제9항에 있어서,
데이터 비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 단계는,
상기 제1 송수신부에 데이터 재전송을 요청하는 경우 기 설정된 횟수 이하로 데이터 재전송을 요청하되, 기 설정된 횟수 이후에도 상기 제1 송수신부에서 데이터가 상기 수신서버로 전송되지 않는 경우 네트워크 에러(Error)로 판단하는 것을 특징으로 하는 일방향 데이터 전송 방법.10. The method of claim 9,
Wherein the step of requesting the first transceiver to respond or retransmit the data according to a result of the data comparison comprises:
When the first transmission / reception unit requests data retransmission, requests data retransmission of a predetermined number of times or less. If the first transmission / reception unit does not transmit data to the reception server after a predetermined number of times, it is determined as a network error To the one-way data transmission method. 제11항에 있어서,
데이터 비교 결과에 따라 상기 제1 송수신부에 해당 데이터에 대한 응답 또는 재전송을 요청하는 단계에서,
네트워크 에러로 판단되면 상기 데이터링크 절체부에 에러 데이터를 전송하고, 상기 데이터링크 절체부는 수신한 에러 데이터를 바이패스(by-pass) 링크부로 전송하는 단계를 포함하는 것을 특징으로 하는 일방향 데이터 전송 방법.12. The method of claim 11,
In response to the data comparison result, in the step of requesting the first transceiver to respond or retransmit the corresponding data,
And transmitting the error data to the data link switch unit when the network error is determined, and the data link switch unit transmits the received error data to the by-pass link unit. . 제12항에 있어서,
네트워크 에러로 판단되면 상기 데이터링크 절체부에 에러 데이터를 전송하고, 상기 데이터링크 절체부는 수신한 에러 데이터를 바이패스(by-pass) 링크부로 전송하는 단계 이후에,
상기 바이패스 링크부로 에러 데이터가 전송되면 알람발생부에 의해, 일방향 데이터 전송 장치의 상태 점검을 위한 점검 알림신호가 출력되는 것을 특징으로 하는 일방향 데이터 전송 방법.13. The method of claim 12,
When it is determined that a network error has occurred, the error data is transmitted to the data link change-over unit, and the data link change-over unit transmits the received error data to the by-pass link unit,
Wherein when the error data is transmitted to the bypass link unit, an alarm notifying signal for checking the status of the one-way data transmission apparatus is output by the alarm generating unit.
KR1020140097514A 2014-07-30 2014-07-30 Apparatus and method for transferring data in one-way KR101628467B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140097514A KR101628467B1 (en) 2014-07-30 2014-07-30 Apparatus and method for transferring data in one-way

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140097514A KR101628467B1 (en) 2014-07-30 2014-07-30 Apparatus and method for transferring data in one-way

Publications (2)

Publication Number Publication Date
KR20160015058A KR20160015058A (en) 2016-02-12
KR101628467B1 true KR101628467B1 (en) 2016-06-08

Family

ID=55355023

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140097514A KR101628467B1 (en) 2014-07-30 2014-07-30 Apparatus and method for transferring data in one-way

Country Status (1)

Country Link
KR (1) KR101628467B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014046442A1 (en) 2012-09-20 2014-03-27 한국전력공사 System and method for unidirectional data transmission

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014046442A1 (en) 2012-09-20 2014-03-27 한국전력공사 System and method for unidirectional data transmission

Also Published As

Publication number Publication date
KR20160015058A (en) 2016-02-12

Similar Documents

Publication Publication Date Title
CN103595530B (en) Software secret key updating method and device
CN109981639B (en) Block chain based distributed trusted network connection method
US20170012949A1 (en) Dynamic identity verification and authentication continuous, dynamic one-time-pad/one-time passwords and dynamic distributed key infrastructure for secure communications with a single key for any key-based network security controls
Galvin et al. Security protocols for version 2 of the simple network management protocol (SNMPv2)
US8577039B2 (en) Cryptographic communication apparatus and cryptographic communication system
US20130227286A1 (en) Dynamic Identity Verification and Authentication, Dynamic Distributed Key Infrastructures, Dynamic Distributed Key Systems and Method for Identity Management, Authentication Servers, Data Security and Preventing Man-in-the-Middle Attacks, Side Channel Attacks, Botnet Attacks, and Credit Card and Financial Transaction Fraud, Mitigating Biometric False Positives and False Negatives, and Controlling Life of Accessible Data in the Cloud
CN101789866B (en) High-reliability safety isolation and information exchange method
JP5877623B2 (en) Transmission terminal, reception terminal, and information distribution system
CN108418691A (en) Dynamic network identity identifying method based on SGX
US10263782B2 (en) Soft-token authentication system
CN102571748A (en) Enrollment of physically unclonable functions
JP2004515117A (en) Encrypted data security system and method
CN107438230A (en) Safe wireless ranging
CN102783081A (en) Method for the secure unidirectional transmission of signals
US9773129B2 (en) Anti-replay protected flash
KR20140023799A (en) Method for guarantying the confidentiality and integrity of a data in controller area networks
CN110362984B (en) Method and device for operating service system by multiple devices
KR20150135032A (en) System and method for updating secret key using physical unclonable function
CN105072110A (en) Two-factor remote identity authentication method based on smart card
CN102986161A (en) Method for the cryptographic protection of an application
US20090103733A1 (en) Method and system for the manipulation-protected generation of a cryptographic key
KR20030080095A (en) Method and apparatus for providing secure processing and data storage for a wireless communication device
KR102228686B1 (en) Method for providing a communication channel for secure management between a physically separated uniway data transmitting and receiving device in uniway security gateway system and uniway data transmitting and receiving device providing two uniway communication channels therefor
Galvin et al. SNMP Security Protocols
CN112866988B (en) Privacy protection method and device for terminal and terminal

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190529

Year of fee payment: 4