KR101951672B1 - 조건부 양방향 통신 장치 및 방법 - Google Patents

조건부 양방향 통신 장치 및 방법 Download PDF

Info

Publication number
KR101951672B1
KR101951672B1 KR1020160174908A KR20160174908A KR101951672B1 KR 101951672 B1 KR101951672 B1 KR 101951672B1 KR 1020160174908 A KR1020160174908 A KR 1020160174908A KR 20160174908 A KR20160174908 A KR 20160174908A KR 101951672 B1 KR101951672 B1 KR 101951672B1
Authority
KR
South Korea
Prior art keywords
receiver
network module
internal network
external network
data
Prior art date
Application number
KR1020160174908A
Other languages
English (en)
Other versions
KR20180020852A (ko
Inventor
김동욱
민병길
정만현
이찬영
박응기
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20180020852A publication Critical patent/KR20180020852A/ko
Application granted granted Critical
Publication of KR101951672B1 publication Critical patent/KR101951672B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Abstract

조건부 양방향 통신 장치 및 방법이 개시된다. 본 발명에 따른 조건부 양방향 통신 장치는, 하나 이상의 내부망 기기로부터 수신한 데이터를 외부망 기기로 전달하고, 기 설정된 조건에 상응하도록 수신기의 동작 상태를 설정하며, 상기 수신기가 동작하는 허용된 시간 동안 양방향 통신을 지원하는 내부망 모듈, 그리고 상기 내부망 모듈로부터 데이터를 수신하고, 전송하고, 하나 이상의 상기 외부망 기기로부터 수신한 데이터를 상기 내부망 모듈로 전송하는 외부망 모듈을 포함한다.

Description

조건부 양방향 통신 장치 및 방법{APPARATUS AND METHOD FOR CONDITIONAL 2-WAY COMMUNICATION}
본 발명은 조건부 양방향 통신 기술에 관한 것으로, 특히 물리적으로 내부망 모듈 및 외부망 모듈로 구분된 양방향 통신 장치를 이용하여, 내부망 모듈의 수신기의 동작을 제어함으로써 조건부 양방향 통신을 수행하는 기술에 관한 것이다.
방화벽은 외부망과 내부망 사이에 위치한 장치로, 외부망에서 내부망으로의 침입을 차단하기 위해 사용된다. 그러나 종래의 방화벽은 보안정책의 오류 또는 관리자 실수 등으로 인하여, 외부 공격자로부터의 접근 차단을 실패할 수도 있다. 또한, 사이버 공격을 통해 방화벽의 관리자 권한이 노출되어, 외부 공격자의 접근을 차단하지 못할 수 있다.
근본적으로 외부의 공격을 원천 차단하기 위해서는 외부망과 내부망을 물리적으로 분리하는 망 분리가 필요하다. 그러나 내부망에 상응하는 로그정보 등을 전송할 필요성이 존재하며, 이를 위하여 외부의 공격을 원천 차단할 수 있는 물리적 단방향 데이터 전송 기술이 개발되었다.
종래 기술에 따른 물리적 단방향 데이터 전송 시스템은 송신 시스템 및 수신 시스템으로 구성된다. 송신 시스템은 내부망에 연결되고, 수신 시스템은 외부망에 연결된다. 그리고 물리적 단방향 데이터 전송 시스템은 송신 시스템에서 수신 시스템으로의 물리 회선만 허용하며, 수신시스템에서 송신시스템으로의 물리 회선은 연결되어 있지 않다.
송신 시스템은 하나 이상의 내부망 기기가 하나 이상의 외부망 기기로 전송하는 데이터를 중간에서 수신하고, 수신된 데이터를 수신 시스템으로 송신한다. 그리고 수신 시스템은 수신된 데이터를 외부망 기기로 송신한다. 이와 같이, 송신 시스템과 수신 시스템간 물리적 단방향 회선을 사용함으로써, 외부망에서 내부망으로의 사이버 공격을 원천적으로 차단할 수 있다.
그러나 종래의 단방향 데이터 전송 기술은 다음과 같은 한계점을 가진다. 내부망 기기가 TCP를 사용하여 외부망 기기로 데이터를 전송하는 경우, 내부망 기기는 외부망 기기가 전송하는 TCP ACK을 직접적으로는 수신할 수 없다. 따라서, 중간의 송신/수신시스템이 TCP ACK를 수신할 수 있도록 하는 역할을 대신 수행해야 한다. 즉, 프록시 시스템을 구현해야 한다.
그러나 프록시 시스템을 구현할 경우, 기존의 종단간 TCP 연결은 내부망 기기와 송신 시스템간 TCP 연결, 수신 시스템과 외부망 기기간 TCP 연결 및 송신 시스템과 수신 시스템간의 UDP 연결로 분할된다. 즉, 종단간 TCP 시맨틱이 유지되지 않는다. TCP 시맨틱이 유지되지 않으므로 종단 간 TCP 계층의 암호화를 적용할 수 없으며, 외부망 기기가 수신한 데이터의 신뢰성을 보장할 수 없다. 또한, 송신 시스템과 수신 시스템 사이에서의 데이터 손실 문제도 발생한다.
마찬가지로 양방향 통신을 하도록 구현된 응용 프로그램의 경우에도 중간의 송신 시스템 및 수신 시스템이 프록시 역할을 수행해야 한다. 즉, 송신 시스템 및 수신 시스템의 구현 복잡도가 높아진다.
예를 들어, 단방향 데이터 전송 시스템이 특정 환경(예, 원자력, 전력, 수력, 화력 등)에 적용되기 위해서는 해당 환경에서의 망간 자료 전송에 활용되는 모든 응용 프로그램들을 분석하고, 프록시 시스템을 구현하여 송신 시스템과 수신 시스템에 탑재해야 한다. 이와 같은 단방향 데이터 전송 기술의 한계점은 기존 시스템에 적용성을 떨어뜨리는 요인이 될 수도 있다.
따라서, 종래의 방화벽에서 발생할 수 있는 외부 네트워크의 장치에서 방화벽으로의 접속 문제, 외부에 관리자 권한이 노출되었을 때의 설정 변경 문제 등을 해결하고, 단방향 장치의 적용 및 활용성을 개선할 수 있는 양방향 통신 장치에 관한 기술의 개발이 필요하다.
한국 공개 특허 제10-2006-0021565호, 2006년 03월 08일 공개(명칭: 할당된 시간 동안 양방향으로 데이터를 송수신하는 방법 및 그 방법을 이용하는 무선 디바이스)
본 발명의 목적은 내부망과 외부망 간, 두 개의 단방향 통신을 활용하여 조건부 양방향을 허용하는 통신 장치를 제공하는 것이다.
또한, 본 발명의 목적은 별도의 설정을 필요로 하는 기존 방화벽과 달리, 별도의 설정 없이도 외부망에서 내부망 모듈로의 네트워크를 통한 접근을 원천적으로 차단할 수 있도록 하는 것이다.
또한, 본 발명의 목적은 단방향을 적용하려는 응용 프로그램 각각에 대한 프록시 프로그램을 구현하는 종래의 문제점을 해결하는 것이다.
또한, 본 발명의 목적은 한정된 시간 동안에만 양방향 통신을 지원함으로써 TCP 종단간 시맨틱을 유지할 수 있으며, 이를 통하여 종단간 암호화를 적용할 수 있도록 하는 것이다.
또한, 본 발명의 목적은 외부망 모듈에서는 내부망 모듈의 수신기가 활성화 상태인지, 비활성화 상태인지 판단이 불가능하도록 함으로써, 내부망 모듈 및 내부망 기기의 외부 노출 위협을 줄이는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 조건부 양방향 통신 장치는 하나 이상의 내부망 기기로부터 수신한 데이터를 외부망 기기로 전달하고, 기 설정된 조건에 상응하도록 수신기의 동작 상태를 설정하며, 상기 수신기가 동작하는 허용된 시간 동안 양방향 통신을 지원하는 내부망 모듈, 그리고 상기 내부망 모듈로부터 데이터를 수신하고, 전송하고, 하나 이상의 상기 외부망 기기로부터 수신한 데이터를 상기 내부망 모듈로 전송하는 외부망 모듈을 포함한다.
이때, 상기 내부망 모듈은, 내부망을 통하여 상기 내부망 기기와 통신을 수행하는 제1 송수신기, 상기 내부망 기기로부터 수신된 데이터를 상기 외부망 모듈로 전송하는 제1 송신기, 상기 외부망 모듈로부터 데이터를 수신하는 제1 수신기, 그리고 기 설정된 조건을 기반으로, 상기 제1 수신기의 동작 상태를 설정하여, 상기 내부망으로부터 시작되는 TCP 세션에 대한 상기 양방향 통신을 지원하는 수신기 제어부를 포함할 수 있다.
이때, 상기 수신기 제어부는, 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 기반으로, 상기 제1 수신기의 동작 상태를 설정할 수 있다.
이때, 상기 수신기 제어부는, 상기 제1 송신기가 상기 내부망 기기로부터 수신된 TCP 데이터를 전송하는 경우, 현재 시간이 상기 링크 가용 시간에 상응하는지 여부를 기반으로 상기 제1 수신기의 동작 상태를 설정할 수 있다.
이때, 상기 수신기 제어부는, 상기 화이트 리스트에 기 설정된 수신 허용 시간에 상응하는 경우, 상기 제1 수신기의 동작을 활성화 상태로 설정할 수 있다.
이때, 상기 수신기 제어부는, 상기 제1 수신기가 메시지를 수신한 후, 임계 시간 동안 다른 메시지가 수신되지 않는 경우, 연결이 종료된 것으로 판단하여 상기 제1 수신기의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 수신기 제어부는, 상기 외부망 모듈 및 상기 내부망 기기 중 적어도 어느 하나로부터 TCP 연결 종료 메시지를 수신하는 경우, 상기 제1 수신기의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 수신기 제어부는, 상기 외부망 모듈로부터 허용되지 않은 데이터를 임계 횟수 이상 수신한 경우, 상기 제1 수신기의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 수신기 제어부는, 상기 외부망 모듈로부터 수신된 데이터의 크기의 합이 임계 크기 이상인 경우, 상기 제1 수신기의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 외부망 모듈은, 외부망을 통하여 상기 외부망 기기와 통신을 수행하는 제2 송수신기, 상기 내부망 모듈의 상기 제1 수신기로 데이터를 전송하는 제2 송신기, 그리고 상기 내부망 모듈의 상기 제1 송신기로부터 데이터를 수신하는 제2 수신기를 포함하며, 상기 제2 송신기가 상기 제1 수신기로 전송하는 데이터는, 상기 제1 수신기가 동작하는 허용된 시간 동안에만 상기 내부망 모듈로 전송될 수 있다.
또한, 본 발명의 또 다른 실시예에 다른 조건부 양방향 통신 장치는 하나 이상의 내부망 기기로부터 수신한 데이터를 외부망 기기로 전달하고, 기 설정된 조건에 상응하도록 수신기 및 스위치 중 적어도 어느 하나의 동작 상태를 설정하며, 상기 수신기 및 상기 스위치를 모두 활성화 상태로 설정한 경우, 양방향 통신을 지원하는 내부망 모듈, 그리고 상기 내부망 모듈로부터 데이터를 수신하고, 전송하고, 하나 이상의 상기 외부망 기기로부터 수신한 데이터를 상기 내부망 모듈로 전송하는 외부망 모듈을 포함한다.
이때, 상기 내부망 모듈은, 내부망을 통하여 상기 내부망 기기와 통신을 수행하는 제1 송수신기, 상기 내부망 기기로부터 수신된 데이터를 상기 외부망 모듈로 전송하는 제1 송신기, 상기 외부망 모듈로부터 데이터를 수신하는 제1 수신기, 그리고 기 설정된 조건을 기반으로 상기 제1 수신기 및 상기 스위치 중 적어도 어느 하나의 동작 상태를 설정하여, 상기 내부망으로부터 시작되는 TCP 세션에 대한 상기 양방향 통신을 지원하는 제어부를 포함할 수 있다.
이때, 상기 제어부는, 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 기반으로, 상기 제1 수신기 및 상기 스위치 중 적어도 어느 하나의 동작 상태를 설정할 수 있다.
이때, 상기 제어부는, 상기 스위치로 인가되는 전원의 공급을 제어하거나, 상기 스위치의 바이패스 경로를 설정하여, 상기 스위치의 동작 상태를 설정할 수 있다.
이때, 상기 제어부는, 상기 제1 송신기가 상기 내부망 기기로부터 수신된 TCP 데이터를 전송하는 경우, 현재 시간이 상기 링크 가용 시간에 상응하는지 여부를 기반으로 상기 제1 수신기 및 상기 스위치 중 적어도 어느 하나의 동작 상태를 설정할 수 있다.
이때, 상기 제어부는, 상기 화이트 리스트에 기 설정된 수신 허용 시간에 상응하는 경우, 상기 제1 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 활성화 상태로 설정할 수 있다.
이때, 상기 제어부는, 상기 제1 수신기가 메시지를 수신한 후, 임계 시간 동안 다른 메시지가 수신되지 않는 경우, 연결이 종료된 것으로 판단하여 상기 제1 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 제어부는, 상기 외부망 모듈 및 상기 내부망 기기 중 적어도 어느 하나로부터 TCP 연결 종료 메시지를 수신하는 경우, 상기 제1 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 제어부는, 상기 외부망 모듈로부터 허용되지 않은 데이터를 임계 횟수 이상 수신한 경우, 상기 제1 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 제어부는, 상기 외부망 모듈로부터 수신된 데이터의 크기의 합이 임계 크기 이상인 경우, 상기 제1 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 외부망 모듈은, 외부망을 통하여 상기 외부망 기기와 통신을 수행하는 제2 송수신기, 상기 내부망 모듈의 상기 제1 수신기로 데이터를 전송하는 제2 송신기, 그리고 상기 내부망 모듈의 상기 제1 송신기로부터 데이터를 수신하는 제2 수신기를 포함하며, 상기 제2 송신기가 상기 제1 수신기로 전송하는 데이터는, 상기 제1 수신기가 동작하는 허용된 시간 동안에만 상기 스위치를 통하여 상기 내부망 모듈로 전송될 수 있다.
또한, 본 발명의 일실시예에 따른 조건부 양방향 통신 장치에 의해 수행되는 조건부 양방향 통신 방법은 내부망 모듈의 수신기 및 송수신기 중 적어도 어느 하나로부터 데이터를 캡쳐하는 단계, 캡쳐된 상기 데이터가 외부망 모듈로 전송되거나, 상기 외부망 모듈로부터 수신된 데이터인지 여부를 판단하는 단계, 캡쳐된 상기 데이터가 상기 외부망 모듈에 상응하는 데이터인 경우, 기 설정된 조건에 상응하도록 상기 수신기의 동작 상태를 설정하는 단계, 그리고 캡쳐된 상기 데이터를 상기 외부망 모듈 및 상기 내부망 모듈에 상응하는 내부망 기기 중 어느 하나로 전송하는 단계를 포함한다.
이때, 상기 수신기의 동작 상태를 설정하는 단계는, 상기 내부망 모듈의 수신기의 동작 상태를 설정하여, 내부망으로부터 시작되는 TCP 세션에 대한 양방향 통신을 지원할 수 있다.
이때, 상기 수신기의 동작 상태를 설정하는 단계는, 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 기반으로, 상기 수신기의 동작 상태를 설정할 수 있다.
이때, 상기 수신기의 동작 상태를 설정하는 단계는, 상기 내부망 모듈의 송신기가 상기 내부망 기기로부터 수신된 TCP 데이터를 전송하는 경우, 현재 시간이 상기 링크 가용 시간에 상응하는지 여부를 기반으로 상기 수신기의 동작 상태를 설정할 수 있다.
이때, 상기 수신기의 동작 상태를 설정하는 단계는, 상기 화이트 리스트에 기 설정된 수신 허용 시간에 상응하는 경우, 상기 수신기의 동작을 활성화 상태로 설정할 수 있다.
이때, 상기 수신기의 동작 상태를 설정하는 단계는, 상기 수신기가 메시지를 수신한 후, 임계 시간 동안 다른 메시지가 수신되지 않는 경우, 연결이 종료된 것으로 판단하여 상기 수신기의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 수신기의 동작 상태를 설정하는 단계는, 상기 외부망 모듈 및 상기 내부망 기기 중 적어도 어느 하나로부터 TCP 연결 종료 메시지를 수신하는 경우, 상기 수신기의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 수신기의 동작 상태를 설정하는 단계는, 상기 외부망 모듈로부터 허용되지 않은 데이터를 임계 횟수 이상 수신한 경우, 상기 수신기의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 제1 수신기의 동작 상태를 설정하는 단계는, 상기 외부망 모듈로부터 수신된 데이터의 크기의 합이 임계 크기 이상인 경우, 상기 수신기의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 송수신기로부터 캡쳐된 상기 데이터가 ARP 요청 패킷인지 여부를 판단하는 단계, 그리고 상기 데이터가 상기 ARP 요청 패킷인 경우, 기 정의된 프록시 ARP 타깃 장치 IP 리스트를 기반으로 ARP 응답 패킷을 생성하여 상기 외부망 모듈로 전송하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 조건부 양방향 통신 장치에 의해 수행되는 조건부 양방향 통신 방법은 내부망 모듈의 수신기 및 송수신기 중 적어도 어느 하나로부터 데이터를 캡쳐하는 단계, 캡쳐된 상기 데이터가 외부망 모듈로 전송되거나, 상기 외부망 모듈로부터 수신된 데이터인지 여부를 판단하는 단계, 캡쳐된 상기 데이터가 상기 외부망 모듈에 상응하는 데이터인 경우, 기 설정된 조건에 상응하도록 상기 수신기의 동작 상태 및 상기 수신기로 상기 데이터를 전달하는 스위치의 동작 상태 중 적어도 어느 하나의 동작 상태를 설정하는 단계, 그리고 캡쳐된 상기 데이터를 상기 외부망 모듈 및 상기 내부망 모듈에 상응하는 내부망 기기 중 어느 하나로 전송하는 단계를 포함한다.
이때, 상기 동작 상태를 설정하는 단계는, 상기 내부망 모듈의 수신기 및 내부망 모듈의 상기 수신기와 상기 외부망 모듈의 송신기 사이에 구비된 상기 스위치 중 적어도 어느 하나의 동작 상태를 설정하여, 내부망으로부터 시작되는 TCP 세션에 대한 양방향 통신을 지원할 수 있다.
이때, 상기 동작 상태를 설정하는 단계는, 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 기반으로, 상기 수신기 및 상기 스위치 중 적어도 어느 하나의 동작 상태를 설정할 수 있다.
이때, 상기 동작 상태를 설정하는 단계는, 상기 스위치로 인가되는 전원의 공급을 제어하여, 상기 스위치의 동작 상태를 설정할 수 있다.
이때, 상기 동작 상태를 설정하는 단계는, 상기 내부망 모듈의 송신기가 상기 내부망 기기로부터 수신된 TCP 데이터를 전송하는 경우, 현재 시간이 상기 링크 가용 시간에 상응하는지 여부를 기반으로 상기 수신기 및 상기 스위치 중 적어도 어느 하나의 동작 상태를 설정할 수 있다.
이때, 상기 동작 상태를 설정하는 단계는, 상기 화이트 리스트에 기 설정된 수신 허용 시간에 상응하는 경우, 상기 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 활성화 상태로 설정할 수 있다.
이때, 상기 동작 상태를 설정하는 단계는, 상기 수신기가 메시지를 수신한 후, 임계 시간 동안 다른 메시지가 수신되지 않는 경우, 연결이 종료된 것으로 판단하여 상기 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 수신기의 동작 상태를 설정하는 단계는, 상기 외부망 모듈 및 상기 내부망 기기 중 적어도 어느 하나로부터 TCP 연결 종료 메시지를 수신하는 경우, 상기 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 수신기의 동작 상태를 설정하는 단계는, 상기 외부망 모듈로부터 허용되지 않은 데이터를 임계 횟수 이상 수신한 경우, 상기 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 제1 수신기의 동작 상태를 설정하는 단계는, 상기 외부망 모듈로부터 수신된 데이터의 크기의 합이 임계 크기 이상인 경우, 상기 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 비활성화 상태로 설정할 수 있다.
이때, 상기 송수신기로부터 캡쳐된 상기 데이터가 ARP 요청 패킷인지 여부를 판단하는 단계, 그리고 상기 데이터가 상기 ARP 요청 패킷인 경우, 기 정의된 프록시 ARP 타깃 장치 IP 리스트를 기반으로 ARP 응답 패킷을 생성하여 상기 외부망 모듈로 전송하는 단계를 더 포함할 수 있다.
본 발명에 따르면, 내부망과 외부망 간, 두 개의 단방향 통신을 활용하여 조건부 양방향을 허용하는 통신 장치를 제공할 수 있다.
또한 본 발명에 따르면, 별도의 설정을 필요로 하는 기존 방화벽과 달리, 별도의 설정 없이도 외부망에서 내부망 모듈로의 네트워크를 통한 접근을 원천적으로 차단할 수 있다.
또한 본 발명에 따르면, 단방향을 적용하려는 응용 프로그램 각각에 대한 프록시 프로그램을 구현하는 종래의 문제점을 해결할 수 있다.
또한 본 발명에 따르면, 한정된 시간 동안에만 양방향 통신을 지원함으로써 TCP 종단간 시맨틱을 유지할 수 있으며, 이를 통하여 종단간 암호화를 적용할 수 있다.
또한 본 발명에 따르면, 외부망 모듈에서는 내부망 모듈의 수신기가 활성화 상태인지, 비활성화 상태인지 판단이 불가능하므로, 내부망 모듈 및 내부망 기기의 외부 노출 위협을 줄일 수 있다.
도 1은 본 발명의 일실시예에 따른 조건부 양방향 통신 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 조건부 양방향 통신 방법을 설명하기 위한 순서도이다.
도 4는 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 제1 송수신기의 동작을 설명하기 위한 순서도이다.
도 5는 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 제1 수신기의 동작을 설명하기 위한 순서도이다.
도 6은 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 데이터 흐름을 설명하기 위한 도면이다.
도 7은 본 발명의 또 다른 실시예에 따른 조건부 양방향 통신 장치의 구성을 나타낸 블록도이다.
도 8은 본 발명의 또 다른 실시예에 따른 조건부 양방향 통신 방법을 설명하기 위한 순서도이다.
도 9는 본 발명의 또 다른 실시예에 따른 조건부 양방향 통신 장치의 데이터 흐름을 설명하기 위한 도면이다.
도 10은 본 발명의 일실시예에 따른 내부망 모듈 활용 장치 IP 리스트를 나타낸 표이다.
도 11은 본 발명의 일실시예에 따른 내부망의 프록시 ARP 타깃 장치 IP 리스트를 나타낸 표이다.
도 12는 본 발명의 일실시예에 따른 화이트 리스트를 나타낸 표이다.
도 13은 본 발명의 일실시예에 따른 링크 가용 시간 관리를 설명하기 위한 표이다.
도 14는 본 발명의 일실시예에 따른 외부망 모듈 활용 장치 IP 리스트를 나타낸 표이다.
도 15는 본 발명의 일실시예에 따른 외부망의 프록시 ARP 타깃 장치 IP 리스트를 나타낸 표이다.
도 16은 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 일 적용 예를 도시한 예시도이다.
도 17은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일실시예에 따른 조건부 양방향 통신 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 1에 도시한 바와 같이, 조건부 양방향 통신 장치(200)는 물리적으로 분리된 내부망(100)과 외부망(200) 간 데이터 통신을 지원한다. 여기서 내부망(100)은 하나 이상의 내부망 기기들(150)과 연결되고, 외부망(300)은 하나 이상의 외부망 기기들(350)과 연결된다.
여기서, 외부망 기기들(350)은 외부망(300)을 통하여 내부망(200)에 상응하는 서비스인 FTP(File Transfer Protocol), Telnet, SSH (Secure Shell) 및 HTTP (HyperText Transfer Protocol) 등에 접속할 수 없다.
조건부 양방향 통신 장치(200)는 내부망(100)과 연결되는 내부망 모듈, 외부망(300)과 연결되는 외부망 모듈을 포함한다. 그리고 조건부 양방향 통신 장치(200)의 내부망 모듈은 내부망(100)을 통하여 하나 이상의 내부망 기기들(150)로부터 데이터를 수신한다. 그리고 내부망 모듈은 기 설정된 조건에 의하여 외부망 모듈과의 통신에 이용되는 수신기의 동작 상태를 결정하거나, 내부망 모듈과 외부망 모듈 사이에 구비된 바이패스 스위치의 동작 상태 또는 바이패스 스위치로 전원 공급 중 적어도 어느 하나를 설정할 수 있다.
또한, 내부망 모듈은 수신기, 바이패스 스위치 및 바이패스 스위치의 전원 공급부 중 적어도 어느 하나의 동작 상태를 결정한 후, 내부망 기기들(150)로부터 수신된 데이터를 외부망 모듈로 전송한다. 이때, 내부망 모듈은 수신기가 활성화된 상태에서만 외부망 모듈로부터 데이터를 수신할 수 있다. 또한, 내부망 모듈은 바이패스 스위치로 전원이 인가되고, 바이패스 스위치가 활성화된 상태에서만 외부망 모듈로부터 데이터를 수신할 수 있다.
그리고 외부망 모듈은 내부망 모듈로부터 데이터를 수신하고, 수신된 데이터를 외부망(300)으로 전달한다. 또한, 외부망 모듈은 외부망(300)을 통하여 하나 이상의 외부망 기기들(350)로부터 데이터를 수신하고, 외부망(300)으로부터 수신된 데이터를 내부망(100)으로 전송할 수 있다. 이때, 외부망 모듈은 내부망 모듈의 수신기 동작 상태를 판단할 수 없으며, 내부망 모듈은 내부망 모듈의 수신기가 활성화된 상태에서만 외부망 모듈로부터 데이터를 수신할 수 있다.
내부망 모듈은 외부망 모듈의 송신기로부터 데이터를 수신하는 수신기 또는 바이패스 스위치의 활성화 상태를 제어할 수 있는 물리적 회로 또는 논리적 회로를 포함할 수 있다. 또한, 내부망 모듈은 허용된 데이터를 외부망 모듈로 전송하기 이전에, 기 설정된 조건에 따라 내부망의 수신기 및 바이패스 스위치 중 적어도 어느 하나의 활성화 상태를 제어할 수 있다.
그리고 내부망 모듈은 기 설정된 조건을 만족하여, 양방향 통신의 조건에 부합하는 것으로 판단된 경우 기 설정된 시간에 대해 한시적으로 내부망 모듈의 수신기 및 바이패스 스위치를 활성화 상태로 설정할 수 있다. 또한, 내부망 모듈은 특정 시간대에만 기 설정된 조건을 만족하는지 여부를 판단하고, 특정 시간대에 기 설정된 조건을 만족하는 경우에만 양방향 통신을 지원할 수 있다.
이와 같이, 본 발명의 일실시예에 따른 조건부 양방향 통신 장치(200)는 통신 장치를 내부망 모듈 및 외부망 모듈로 물리적으로 구분하고, 내부망 모듈의 단방향 수신기의 동작 상태 및 바이패스 스위치의 동작 상태 중 적어도 어느 하나를 필요에 따라 활성화함으로써, 종래의 양방향 통신 장치에 비해 보안성을 향상시킬 수 있다.
설명의 편의상, 내부망 모듈이 기 설정된 조건을 만족하는 경우에만 내부망 모듈의 수신기 및 바이패스 스위치를 활성화하는 것으로 설명하였으나 이에 한정하지 않고, 기 설정된 조건을 만족하는 경우에는 내부망 모듈의 수신기 및 바이패스 스위치 중 적어도 어느 하나를 비활성화 상태로 설정하도록 구현될 수도 있다.
그리고 조건부 양방향 통신 장치(200)는 방화벽과 함께 사용될 수 있으며, 단방향 통신 장치의 프록시와 함께 사용될 수도 있다. 또한, 내부망 기기들(150)이 DPI(Deep Packet Inspection)를 이용하여 화이트 리스트 기반의 데이터 필터링을 수행하여 허용된 데이터만을 전송하고, 조건부 양방향 통신 장치(200)가 내부망 기기들(150)의 수신기 및 바이패스 스위치 중 적어도 어느 하나를 조건부로 활성화 또는 비활성화 상태로 제어함으로써, 내부망의 보안 정책에 따라 차등적 보안을 적용할 수도 있다.
도 2는 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 구성을 나타낸 블록도이다.
도 2에 도시한 바와 같이, 조건부 양방향 통신 장치(200)는 내부망 모듈(210) 및 외부망 모듈(230)을 포함한다. 이때, 내부망 모듈(210)은 각종 리스트 및 기 설정된 조건 등을 관리하는 관리 기능, 송수신 데이터 필터링 기능, 데이터 캡쳐 기능, 제1 수신기 제어 기능, 데이터 전달 기능 중 적어도 어느 하나의 기능을 수행할 수 있다. 그리고 외부망 모듈(230)은 관리 기능, 데이터 캡쳐 기능, 데이터 전달 기능 중 적어도 어느 하나의 기능을 수행할 수 있다.
또한, 내부망 모듈(210)과 외부망 모듈(230)은 RJ-45(UTP), RS-232, fiber optic, STP, Coax, 10baseT, 802.11 PHY 중 어느 하나의 물리 인터페이스를 통하여 연결될 수 있다.
내부망 모듈(210)은 제1 송수신기(211), 제1 송신기(213), 제1 수신기(215) 및 수신기 제어부(217)을 포함한다. 그리고 외부망 모듈(230)은 제2 송수신기(231), 제2 송신기(233) 및 제2 수신기(235)를 포함한다.
여기서, 제1 송신기(213) 및 제2 송신기(233)는 송신 인터페이스를 의미하고, 제1 수신기(215) 및 제2 수신기(235)는 수신 인터페이스를 의미한다. 이와 같이, 조건부 양방향 통신 장치(200)는 쌍을 이루는 송신 인터페이스와 수신 인터페이스를 포함할 수 있다.
제1 송수신기(211) 및 제2 송수신기(231)는 송신 기능 및 수신 기능을 지원한다. 반면, 제1 송신기(213) 및 제2 송신기(233)는 송신 기능만 지원하고 수신은 불가능하며, 제1 수신기(215) 및 제2 수신기(235)는 수신 기능만 지원하고 송신은 불가능하다.
내부망 모듈(210)의 제1 송수신기(211)는 내부망에 연결되어 있고, 제1 송신기(213)는 외부망 모듈(230)의 제2 수신기(235)와 연결되며, 제1 수신기(215)는 외부망 모듈(230)의 제2 송신기(233)와 연결된다.
내부망 모듈(210)의 제1 송수신기(211)는 내부망을 통하여 하나 이상의 내부망 기기와 통신을 수행한다. 그리고 제1 송신기(213)는 내부망 기기로부터 수신된 데이터를 외부망 모듈(230)로 전송한다. 이때, 제1 송신기(213)는 외부망 모듈(230)의 제2 수신기(235)로 데이터를 전송할 수 있다.
제1 송수신기(211)는 IP 주소가 할당될 수 있으며, 내부망 모듈(210)은 제1 수신기의 동작 상태 정보, 비정상 상황에 대한 로그 정보 등을 사용자에게 전달할 수 있다. 이때, 비정상 상황은 제1 수신기가 활성화된 상태에서 화이트 리스트에 위배되는 패킷을 수신한 상황을 포함할 수 있다.
또한, 제1 수신기(215)는 외부망 모듈(230)의 제2 송신기(233)로부터 데이터를 수신하고, 수신기 제어부(217)는 기 설정된 조건을 기반으로 제1 수신기(215)의 동작 상태를 설정한다. 이때, 수신기 제어부(217)는 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 기반으로 제1 수신기(215)의 동작 상태를 설정할 수 있다. 이와 같이, 수신기 제어부(217)는 제1 수신기(215)의 동작 상태를 설정함으로써, 내부망으로부터 시작되는 TCP 세션에 대한 양방향 통신을 지원할 수 있다.
설명의 편의상, 외부망 모듈(230)로부터 데이터를 수신하는 내부망 모듈(210)의 구성 요소를 제1 수신기(215)로 명명하였으나, 내부망 모듈(210) 및 외부망 모듈(230)이 각각에 구비된 송수신기를 이용하여 양방향 통신을 수행하는 경우, 제1 수신기(215)는 내부망 모듈(210)이 외부망 모듈(230)로부터 데이터를 수신하는 송수신기를 의미할 수도 있다. 즉, 본 발명의 일실시예에 따른 내부망 모듈(210)의 수신기 제어부(217)는 기 설정된 조건을 기반으로 외부망 모듈(230)로부터 데이터를 수신하는 송수신기의 동작 상태를 설정하여 조건부 양방향 통신을 지원할 수 있다.
그리고 내부망 모듈(210)은 내부망 모듈 활용 장치 IP 리스트 및 프록시 ARP 타깃 장치 IP 리스트를 관리하고, 화이트 리스트, TCP 세선 및 링크 가용 시간을 관리할 수 있다.
다음으로 외부망 모듈(230)은 외부망을 통하여 하나 이상의 외부망 기기와 통신을 수행하는 제2 송수신기(231), 내부망 모듈(210)의 제1 수신기(215)로 데이터를 전송하는 제2 송신기(233) 및 내부망 모듈(210)의 제1 송신기(213)로부터 데이터를 수신하는 제2 수신기(235)를 포함한다.
이때, 제2 송신기(233)가 제1 수신기(215)로 전송하는 데이터는, 제1 수신기(215)가 동작하는 경우에만 내부망 모듈(210)로 전달될 수 있으며, 외부망 모듈(230)은 내부망 모듈(210)의 제1 수신기(215)의 동작 상태를 판단할 수 없다.
그리고 외부망 모듈(230)은 외부망 모듈 활용 장치 IP 리스트 및 프록시 ARP 타깃 장치 IP 리스트를 관리할 수 있다.
이하에서는 도 3을 통하여 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 조건부 양방향 통신 방법에 대하여 더욱 상세하게 설명한다.
도 3은 본 발명의 일실시예에 따른 조건부 양방향 통신 방법을 설명하기 위한 순서도이다.
후술할 도 3의 조건부 양방향 통신 방법은 조건부 양방향 통신 장치(200)에 의해 수행되며, 특히 조건부 양방향 통신 장치(200)의 내부망 모듈에 의해 수행될 수 있다.
먼저, 조건부 양방향 통신 장치(200)는 내부망 모듈의 제1 수신기 및 제1 송신기 중 적어도 어느 하나로부터 수신된 데이터를 캡쳐한다(S310).
그리고 조건부 양방향 통신 장치(200)는 캡쳐된 데이터가 외부망 모듈에 상응하는 데이터인지 여부를 판단한다(S320).
이때, 조건부 양방향 통신 장치(200)는 캡쳐된 데이터가 외부망 모듈로 전송되는 데이터이거나, 외부망 모듈로부터 수신된 데이터인지 여부를 판단할 수 있다.
캡쳐된 데이터가 외부망 모듈에 상응하는 데이터가 아닌 경우, 조건부 양방향 통신 장치(200)는 S310 단계로 회귀하거나, 조건부 양방향 통신 과정을 종료할 수 있다.
그리고 조건부 양방향 통신 장치(200)는 소스 IP(source IP) 또는 목적지 IP(Destination IP)가 내부망 모듈의 IP 주소에 상응하는 경우, 캡쳐 대상에서 제외할 수 있다.
반면, 캡쳐된 데이터가 외부망 모듈에 상응하는 데이터인 경우, 조건부 양방향 통신 장치(200)는 기 설정된 조건에 상응하도록 제1 수신기의 동작 상태를 설정한다(S330).
이때, 조건부 양방향 통신 장치(200)는 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 기반으로 제1 수신기의 동작 상태를 설정할 수 있다. 조건부 양방향 통신 장치(200)는 내부망 모듈의 제1 송신기가 내부망 기기로부터 수신된 TCP 데이터를 전송하는 경우, 현재 시간이 링크 가용 시간에 상응하는지 여부를 판단하여 제1 수신기의 동작 상태를 설정할 수 있다.
그리고 조건부 양방향 통신 장치(200)는 화이트 리스트에 기 설정된 수신 허용 시간을 기반으로 제1 수신기의 동작 상태를 설정할 수 있다.
또한, 제1 수신기가 메시지를 수신한 후 임계 시간 동안 다른 메시지가 수신되지 않는 경우, 조건부 양방향 통신 장치(200)는 연결이 종료된 것으로 판단하여 제1 수신기의 동작을 비활성화 상태로 설정할 수 있다.
조건부 양방향 통신 장치(200)는 외부망 모듈 및 내부망 기기 중 적어도 어느 하나로부터 TCP 연결 종료 메시지를 수신하는 경우, 제1 수신기의 동작을 비활성화 상태로 설정할 수 있다. 즉, 조건부 양방향 통신 장치(200)는 내부망 모듈로부터 수신된 TCP FIN 메시지를 외부망 모듈로 전송하고, 외부망 모듈로부터 TCP ACK 메시지를 수신한 경우, TCP 연결 종료 메시지를 수신한 것으로 판단하고, 제1 수신기의 동작을 비활성화 상태로 설정할 수 있다.
그리고 조건부 양방향 통신 장치(200)는 외부망 모듈로부터 허용되지 않은 데이터를 임계 횟수 이상 수신한 경우, 제1 수신기의 동작을 비활성화 상태로 설정하거나, 외부망 모듈로부터 수신된 데이터의 크기의 합이 임계 크기 이상인 경우, 제1 수신기의 동작을 비활성화 상태로 설정할 수 있다.
이때, 조건부 양방향 통신 장치(200)는 기 설정된 시간 동안 허용되지 않은 데이터를 제2 임계 횟수 이상 수신하거나, 기 설정된 시간 동안 수신된 허용되지 않은 데이터의 크기가 제2 임계 크기 이상인 경우에도, 제1 수신기의 동작을 비활성화 상태로 설정할 수 있다. 그리고 조건부 양방향 통신 장치(200)가 제1 수신기의 동작 상태를 설정하는 조건은 이에 한정되지 않으며, 상황 또는 사용자의 필요에 따라 다양하게 조건이 설정되어 구현될 수 있다. 또한, 제1 수신기의 동작 상태를 설정하는 조건은 화이트 리스트의 항목으로 정의되어 있을 수 있다.
이와 같이, 조건부 양방향 통신 장치(200)는 내부망 모듈의 제1 수신기의 동작 상태를 설정함으로써 내부망으로부터 시작되는 TCP 세션에 대한 양방향 통신을 지원할 수 있다.
설명의 편의상, 조건부 양방향 통신 장치(200)가 캡쳐된 데이터가 외부망 모듈에 상응하는 데이터인지 판단한 후, 바로 수신기의 동작 상태를 설정하는 S330 단계를 수행하는 것으로 설명하였다. 그러나 이에 한정하지 않고 조건부 양방향 통신 장치(200)는 캡쳐된 데이터를 화이트 리스트 기반으로 필터링하는 과정을 더 수행할 수 있다.
마지막으로 조건부 양방향 통신 장치(200)는 캡쳐된 데이터를 외부망 모듈 또는 내부망 기기로 전송한다(S340).
조건부 양방향 통신 장치(200)는 캡쳐된 데이터를 제1 송신기 또는 제1 송수신기로 전달하여, 외부망 모듈 또는 내부망 기기로 전송할 수 있다.
S310 단계에서 내부망 기기로부터 외부망으로 전송되는 UDP 데이터 또는 TCP 데이터가 제1 송수신기로부터 캡쳐된 경우, 조건부 양방향 통신 장치(200)의 내부망 모듈은 캡쳐된 데이터를 제1 송신기로 전송한다.
반면, 내부망 기기로부터 UDP 데이터 또는 TCP 데이터가 아닌 프록시 ARP 타깃 장치 IP 리스트에 존재하는 ARP 요청 패킷을 캡쳐한 경우, 조건부 양방향 통신 장치(200)의 내부망 모듈은 ARP 응답 메시지를 생성하고, 생성된 ARP 응답 메시지를 제1 송수신기로 전달할 수 있다.
또한, S310 단계에서 캡쳐된 데이터가 제1 수신기로부터 캡쳐된 데이터인 경우, 조건부 양방향 통신 장치(200)는 내부망 모듈의 제1 송수신기를 통하여 내부망 기기로 전송할 수 있다.
조건부 양방향 통신 장치(200)의 제1 송수신기가 데이터를 캡쳐한 경우의 동작 과정은 후술할 도 4를 통하여 더욱 상세하게 설명하고, 제1 수신기가 데이터를 캡쳐한 경우의 동작 과정은 후술할 도 5를 통하여 더욱 상세하게 설명한다.
이하에서는 도 4 및 도 5를 통하여 조건부 양방향 통신 장치가 데이터를 캡쳐하여 처리한 후 전송하는 과정에 대하여 더욱 상세하게 설명한다.
도 4는 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 제1 송수신기의 동작을 설명하기 위한 순서도이다.
먼저, 조건부 양방향 통신 장치(200)는 제1 송수신기의 데이터를 캡쳐하고(S410). 캡쳐된 데이터가 어떠한 패킷인지 식별한다(S420).
S410 단계에서, 조건부 양방향 통신 장치(200)는 제1 송수신기가 내부망을 통하여 수신한 데이터를 캡쳐할 수 있다.
그리고 조건부 양방향 통신 장치(200)는 캡쳐된 데이터가 ARP 패킷인 경우, 후술할 S425 단계를 수행하고, 캡쳐된 데이터가 IP 패킷인 경우 후술할 S430 단계를 수행한다. 반면, 캡쳐된 패킷이 ARP 패킷 또는 IP 패킷이 아닌 경우, 조건부 양방향 통신 장치(200)는 다시 S410 단계를 수행하거나, 조건부 양방향 통신 과정을 종료할 수 있다.
캡쳐된 데이터가 ARP 패킷인 경우, 조건부 양방향 통신 장치(200)는 ARP 응답 패킷을 생성한다(S425). 그리고 조건부 양방향 통신 장치(200)는 생성된 ARP 응답 패킷을 제1 송수신기로 전송한다(S427).
이때, 조건부 양방향 통신 장치(200)는 후술할 도 11의 내부망의 프록시 ARP 타깃 장치 IP 리스트를 기반으로 ARP 응답 패킷을 생성할 수 있다.
반면, 캡쳐된 데이터가 IP 패킷인 경우, 조건부 양방향 통신 장치(200)는 캡쳐된 데이터가 외부망 모듈에 상응하는 데이터인지 여부를 판단한다(S430).
그리고 캡쳐된 데이터가 내부망에서 외부망으로 전달되는 데이터인 경우, 조건부 양방향 통신 장치(200)는 화이트 리스트를 기반으로 필터링을 수행한다(S440).
조건부 양방향 통신 장치(200)는 내부망 기기로부터 수신된 데이터를 외부망으로 전송하기 전에 화이트 리스트 기반 필터링을 수행함으로써, 허용된 데이터에 대해서만 외부망으로 전송할 수 있다. 그리고 허용되지 않은 데이터인 경우, 조건부 양방향 통신 장치(200)는 경고 또는 알림 정보에 대한 로그를 생성하여 사용자에게 제공할 수 있다.
그리고 캡쳐된 데이터가 화이트 리스트에 상응하는 경우, 조건부 양방향 통신 장치(200)는 캡쳐된 데이터가 TCP 패킷 및 DUP 패킷 중 어떠한 패킷에 상응하는지 여부를 판단한다(S450).
캡쳐된 데이터가 UDP 패킷에 상응하는 경우, 조건부 양방향 통신 장치(200)는 후술할 S490 단계를 통하여 해당 UDP 패킷을 제1 송신기로 전송할 수 있다.
반면, 캡쳐된 데이터가 TCP 패킷에 상응하는 경우, 조건부 양방향 통신 장치(200)는 링크 가용 시간에 해당하는지 여부를 판단한다(S460).
현재 시간이 링크 가용 시간에 해당하지 않는 경우, 조건부 양방향 통신 장치(200)는 제1 수신기를 비활성화 상태로 설정하고(S465), 후술할 S490 단계를 수행한다.
그리고 현재 시간이 링크 가용 시간에 해당하는 경우, 조건부 양방향 통신 장치(200)는 TCP 세션을 관리하고(S470), 제1 수신기의 동작 상태를 설정한다(S480).
조건부 양방향 통신 장치(200)의 외부망 모듈은 S465 단계 및 S480 단계에서 조건부 양방향 통신 장치(200)가 설정한 내부망 모듈의 제1 수신기의 동작 상태를 판단할 수 없으며, 이를 통하여 보안성을 강화할 수 있다.
이와 같이, 조건부 양방향 통신 장치(200)는 화이트 리스트 및 링크 가용 시간을 기반으로 내부망 모듈의 제1 수신기의 동작 상태를 설정함으로써, 내부망으로부터 시작되는 TCP 세션에 대한 양방향 통신을 지원할 수 있다.
마지막으로, 조건부 양방향 통신 장치(200)는 캡쳐된 데이터를 제1 송신기로 전송한다(S490). 이때, 제1 송신기로 전송되는 데이터는 내부망으로부터 외부망으로 전송되는 데이터로, UDP 패킷이거나, TCP 패킷일 수 있다.
설명의 편의상, 캡쳐된 데이터가 TCP/IP 데이터가 아닌 경우에 대해서는 도 4에 도시하지 않았으나, 조건부 양방향 통신 장치(200)는 캡쳐된 데이터가 TCP/IP 데이터가 아닌 경우 UDP 패킷을 캡쳐하였을 때와 실질적으로 동일한 과정을 수행할 수 있다.
도 5는 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 제1 수신기의 동작을 설명하기 위한 순서도이다.
먼저, 조건부 양방향 통신 장치(200)는 제1 수신기의 데이터를 캡쳐한다(S510).
조건부 양방향 통신 장치(200)는 내부망 모듈의 제1 수신기가 수신한 데이터를 캡쳐한다.
그리고 조건부 양방향 통신 장치(200)는 캡쳐된 데이터가 외부망 모듈에 상응하는 IP 패킷인지 여부를 판단한다(S520).
조건부 양방향 통신 장치(200)는 캡쳐된 데이터가 외부망 모듈로부터 수신된 IP 패킷인지 여부를 판단한다. 캡쳐된 데이터가 외부망 모듈에 상응하는 IP 패킷이 아닌 경우, 조건부 양방향 통신 장치(200)는 다시 S510 단계를 수행하거나, 조건부 양방향 통신 과정을 종료할 수 있다.
반면, 캡쳐된 데이터가 외부망 모듈에 상응하는 IP 패킷인 경우, 조건부 양방향 통신 장치(200)는 캡쳐된 데이터가 화이트 리스트에 존재하는지 여부를 판단한다(S530).
조건부 양방향 통신 장치(200)는 화이트 리스트를 기반으로 필터링을 수행하고, 캡쳐된 데이터가 화이트 리스트에 존재하는 경우, 데이터가 TCP 패킷 및 UDP 패킷 중 어떤 패킷인지 식별한다(S540).
캡쳐된 데이터가 UDP 패킷인 경우, 조건부 양방향 통신 장치(200)는 후술할 S590 단계를 수행한다.
반면 캡쳐된 데이터가 TCP 패킷인 경우, 조건부 양방향 통신 장치(200)는 현재 시간이 링크 가용 시간에 상응하는지 여부를 판단한다(S550).
링크 가용 시간에 상응하지 않는 경우, 조건부 양방향 통신 장치(200)는 제1 수신기를 비활성화 상태로 설정한다(S560). 그리고 조건부 양방향 통신 장치(200)는 후술할 S590 단계를 수행할 수 있다.
조건부 양방향 통신 장치(200)는 링크 가용 시간에 상응하지 않는 시간에는 제1 수신기를 비활성화 상태로 설정함으로써, 필요한 경우 또는 데이터의 수신이 허용된 경우에만 내부망 모듈이 외부망 모듈로부터 데이터를 수신할 수 있도록 한다.
반면, 링크 가용 시간에 상응하는 경우 조건부 양방향 통신 장치(200)는 TCP 세션을 관리하고(S570), 제1 수신기의 동작 상태를 설정한다(S580).
TCP 세션은 내부망 기기로부터 화이트 리스트에 존재하는 TCP SYN 패킷을 수신하면 생성되고, TCP 세션 종료 과정에서 TCP 패킷을 수신하면 TCP 세션이 정상 종료된다. 그리고 조건부 양방향 통신 장치(200)는 내부망 기기가 외부망 기기로 TCP 데이터를 전송함에 있어, TCP 세션이 생성되는 시점부터 종료되는 시점까지를 관리할 수 있다.
조건부 양방향 통신 장치(200)는 TCP 세션 관리 시, TCP 세션의 잔여 허용 시간을 관리할 수 있으며, 잔여 허용 시간의 초기값은 화이트 리스트에 정의된 값일 수 있다. 그리고 TCP 세션이 종료되기 이전에 잔여 허용 시간이 0이 될 경우, 조건부 양방향 통신 장치(200)는 해당 TCP 세션을 삭제할 수 있고, 관리 대상이 아닌 TCP 세션에 대한 패킷을 수신하는 경우, 해당 패킷을 삭제할 수 있다.
또한, 관리 대상인 TCP 세션의 개수가 0개인 경우 조건부 양방향 통신 장치(200)는 S580 단계에서 내부망 모듈의 제1 수신기의 동작을 비활성화 상태로 설정할 수 있다. 그리고 관리 대상인 TCP 세션이 생성될 때, 조건부 양방향 통신 장치(200)는 제1 수신기를 비활성화 상태에서 활성화 상태로 전환할 수 있으며, 제1 수신기의 동작 상태를 전환하기 전에 링크 가용 시간을 확인하여 제1 수신기의 동작 상태를 설정할 수 있다.
관리 대상인 TCP 세션의 개수가 1개 이상인 경우, 조건부 양방향 통신 장치(200)는 제1 수신기의 동작을 활성화 상태로 유지할 수 있다. 이때, 조건부 양방향 통신 장치(200)는 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 기반으로 제1 수신기의 동작 상태를 결정할 수 있다.
즉, 조건부 양방향 통신 장치(200)는 잔여 허용 시간 및 관리 대상인 TCP 세션의 존재 유무 중 적어도 어느 하나를 기반으로 제1 수신기의 동작 상태를 설정할 수 있다.
마지막으로 조건부 양방향 통신 장치(200)는 제1 송신기로 캡쳐된 데이터를 전송한다(S590).
조건부 양방향 통신 장치(200)는 캡쳐된 데이터에 상응하는 목적지로 데이터를 전송하기 위하여, 제1 송신기로 데이터를 전달한다.
이하에서는 도 6을 통하여 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 데이터 흐름에 대하여 더욱 상세하게 설명한다.
도 6은 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 데이터 흐름을 설명하기 위한 도면이다.
도 6에 도시한 바와 같이, 조건부 양방향 통신 장치(200)는 내부망(100)을 통하여 내부망 기기들(110 내지 130)과 통신을 수행할 수 있다. 그리고 조건부 양방향 통신 장치(200)는 외부망(300)을 통하여 외부망 기기들6(310 내지 330)과 통신을 수행할 수 있다.
조건부 양방향 통신 장치(200)는 내부망 모듈(210) 및 외부망 모듈(230)을 포함하며, 내부망 모듈(210) 및 외부망 모듈(230)은 송수신기, 송신기 및 수신기를 포함하고, 내부망 모듈(210)은 수신기 제어부를 더 포함한다.
내부망 모듈(210)의 제1 송수신기는 내부망(100)과 연결되고, 외부망 모듈(230)의 제2 송수신기는 외부망(300)과 연결된다. 그리고 제1 수신기는 제2 송신기로부터 데이터를 수신하며, 제1 송신기는 제2 수신기로 데이터를 전송하는 단방향 통신을 수행한다.
이때, 내부망 모듈(210)의 수신기 제어부는 제1 수신기의 동작 상태를 설정하여, 조건부로 제1 수신기가 제2 송신기로부터 데이터를 수신할 수 있도록 제어할 수 있다.
이하에서는 도 7 내지 도 9를 통하여, 본 발명의 또 다른 실시예에 따른 조건부 양방향 통신 장치의 구성 및 동작에 대하여 더욱 상세하게 설명한다.
도 7은 본 발명의 또 다른 실시예에 따른 조건부 양방향 통신 장치의 구성을 나타낸 블록도이다.
도 7에 도시한 바와 같이, 본 발명의 또 다른 실시예에 따른 조건부 양방향 통신 장치(700)는 내부망 모듈(710), 스위치(720) 및 외부망 모듈(730)을 포함한다.
내부망 모듈(710)은 제1 송수신기(711), 제1 송신기(713), 제1 수신기(715) 및 제어부(717)를 포함한다. 그리고 외부망 모듈(730)은 제2 송수신기(731), 제2 송신기(733) 및 제2 수신기(735)를 포함한다.
이때, 내부망 모듈(710)의 제1 송수신기(711), 제1 송신기(713) 및 제1 수신기(715) 각각은 도 2에 도시한 제1 송수신기(211), 제1 송신기(213), 제1 수신기(215)와 실질적으로 동일한 기능을 수행할 수 있다. 이에, 중복되는 설명은 생략한다.
그리고 내부망 모듈(710)의 제어부(717)는 제1 수신기(715) 및 스위치(720) 중 적어도 어느 하나의 동작 상태를 설정한다. 이때, 제어부(717)는 제1 수신기(715) 및 스위치(720)를 직접 온(On)/오프(Off)하여 제1 수신기(715) 및 스위치(720)의 동작 상태를 활성화 상태/비활성화 상태로 설정하거나, 제1 수신기(715) 및 스위치(720) 중 적어도 어느 하나로 전원을 공급하는 전원 공급부를 제어하여 제1 수신기(715) 및 스위치(720) 중 적어도 어느 하나의 동작 상태를 설정할 수 있다. 또한, 제어부(717)는 스위치(720)가 외부망 모듈(730)로부터 수신한 데이터를 바이패스하는 경로를 설정하여 스위치(720)의 동작 상태를 설정할 수 있다.
설명의 편의상, 내부망 모듈(710)의 제어부(717)가 제1 수신기(715) 및 스위치(720)의 동작 상태를 설정하는 것이 제1 수신기(715) 및 스위치(720)의 활성화 여부를 설정하는 것으로 설명하였으나 이에 한정하지 않고, 제어부(717)는 다양한 방법으로 제1 수신기(715) 및 스위치(720)의 동작 상태를 설정할 수 있다.
내부망 모듈(710)의 제어부(717)는 제1 수신기(715)를 활성화 상태로 설정하고, 제1 수신기(715)가 스위치(720)로부터 데이터를 수신할 수 있도록 설정함으로써 외부망 모듈(730)에서 내부망 모듈(710)로의 트래픽 유입을 허용할 수 있다.
그리고 내부망 모듈(710)의 제어부(717)는 제1 수신기(715)를 비활성화 상태로 설정하거나, 제1 수신기(715)가 스위치(720)로부터 데이터를 수신할 수 없도록 설정함으로써 외부망 모듈(730)에서 내부망 모듈(710)로의 트래픽 유입을 차단할 수 있다.
이때, 내부망 모듈(710)의 제어부(717)는 스위치(720)가 외부망 모듈(730)로부터 데이터를 수신할 수 없도록 스위치(720)를 제어하거나, 스위치(720)가 내부망 모듈(710)의 제1 수신기(715)로 데이터를 송신할 수 없도록 제어할 수 있으며, 스위치(720)의 전원 공급을 차단하여 제1 수신기(715)가 스위치(720)로부터 데이터를 수신하는 것을 차단할 수 있다.
특히, 내부망 모듈(710)의 제어부(717)는 스위치(720)가 외부망 모듈(730)의 제2 송신기(733)로부터 수신한 데이터를 바이패스하는 경로를 변경하여, 스위치(720)의 동작 상태를 설정할 수 있다.
또한, 내부망 모듈(710)이 외부망 모듈(730)과 데이터를 송수신하는 제3 송수신기(미도시)를 더 포함하고, 외부망 모듈(730)이 내부망 모듈(710)의 제3 송수신기와 데이터를 송수신하는 제4 송수신기(미도시)를 더 포함하는 경우, 내부망 모듈(710)의 제어부(717)는 기 설정된 조건을 기반으로 제3 송수신기의 동작 상태를 설정하여 내부망 모듈(710)과 외부망 모듈(730) 사이의 양방향 통신을 제어할 수 있다.
다음으로 스위치(720)는 내부망 모듈(710)의 제1 수신기(715)와 외부망 모듈(730)의 제2 송신기(733) 사이에 구비되며, 제2 송신기(733)로부터 수신한 데이터를 제1 수신기(715)로 바이패스한다. 여기서, 스위치(720)는 FSAL200 등의 analog multiplexer/demultiplexer switch(아날로그 멀티플렉서/디멀티플렉서 스위치)를 의미할 수 있으며, 스위치의 종류는 이에 한정되지 않는다.
그리고 스위치(720)는 내부망 모듈(710)의 제어부(717)의 제어에 따라 동작 상태가 설정될 수 있다. 이때, 제어부(717)는 스위치(720)로 전원을 공급하는 전원 공급부 또는 스위치(720)의 전원 공급을 제어하는 전원 공급 제어부를 제어하여 스위치(720)의 동작 상태를 설정할 수 있다. 또한, 제어부(717)는 스위치(720)가 제2 송신기(733)로부터 유입된 데이터를 바이패스하는 경로를 변경하여, 스위치(720)의 동작 상태를 설정할 수 있다.
스위치(720)의 상태가 활성화 상태로 설정된 경우, 스위치(720)는 제2 송신기(733)로부터 제1 수신기(715)로 전송되는 데이터의 유입을 허용한다. 이를 통하여 조건부 양방향 통신 장치(700)는 양방향 통신을 수행할 수 있다. 반면, 스위치(720)의 상태가 비활성화 상태로 설정된 경우, 스위치(720)는 제2 송신기(733)로부터 제1 수신기(715)로 유입되는 데이터를 차단하여, 단방향 통신만 허용된다.
그리고 외부망 모듈(730)은 외부망을 통하여 하나 이상의 외부망 기기와 통신을 수행하는 제2 송수신기(731), 내부망 모듈(710)의 제1 수신기(715)로 데이터를 전송하는 제2 송신기(733) 및 내부망 모듈(710)의 제1 송신기(713)로부터 데이터를 수신하는 제2 수신기(735)를 포함한다.
이때, 제2 송신기(733)가 내부망 모듈(710)의 제1 수신기(715)로 전송하는 데이터는 스위치(720)를 통해 제1 수신기(715)로 전송될 수 있다. 그리고 외부망 모듈(730)의 제2 송수신기(731), 제2 송신기(733) 및 제2 수신기(735) 각각은 도 2에 도시한 제2 송수신기(231), 제2 송신기(233) 및 제2 수신기(235)와 실질적으로 동일할 수 있으며, 중복되는 설명은 생략한다.
도 7과 같이, 조건부 양방향 통신 장치(700)가 스위치(720)를 구비하는 경우, 내부망 모듈(710)의 제어부(717)는 제1 수신기(715) 및 스위치(720) 중 적어도 어느 하나의 동작 상태를 제어하여 조건부 양방향 통신을 지원할 수 있다.
즉, 제어부(717)는 양방향 통신을 지원하고자 하는 경우, 제1 수신기(715) 및 스위치(720)를 모두 활성화 상태로 설정하고, 단방향 통신을 지원하고자 하는 경우, 제1 수신기(715) 및 스위치(720) 중 적어도 어느 하나를 비활성화 상태로 설정함으로써, 조건부 양방향 통신을 지원할 수 있다.
도 8은 본 발명의 또 다른 실시예에 따른 조건부 양방향 통신 방법을 설명하기 위한 순서도이다.
먼저, 조건부 양방향 통신 장치(700)는 내부망 모듈의 제1 수신기 및 제1 송신기 중 적어도 어느 하나로부터 수신된 데이터를 캡쳐한다(S810).
이때, S810 단계는 도 3의 S310 단계와 실질적으로 동일한 바, 중복되는 설명은 생략한다.
그리고 조건부 양방향 통신 장치(200)는 캡쳐된 데이터가 외부망 모듈에 상응하는 데이터인지 여부를 판단한다(S820).
이때, S820 단계는 도 3의 S320 단계와 실질적으로 동일한 바, 중복되는 설명은 생략한다.
캡쳐된 데이터가 외부망 모듈에 상응하는 데이터가 아닌 경우, 조건부 양방향 통신 장치(700)는 S810 단계로 회귀하거나, 조건부 양방향 통신 과정을 종료할 수 있다.
반면, 캡쳐된 데이터가 외부망 모듈에 상응하는 데이터인 경우, 조건부 양방향 통신 장치(700)는 기 설정된 조건에 상응하도록 제1 수신기 및 스위치 중 적어도 어느 하나의 동작 상태를 설정한다(S830).
조건부 양방향 통신 장치(700)가 기 설정된 조건에 상응하도록 제1 수신기의 동작 상태를 설정하는 과정은 도 3의 S330 단계와 실질적으로 동일한 바, 중복되는 설명은 생략한다.
그리고 조건부 양방향 통신 장치(700)는 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 기반으로 스위치의 동작 상태를 설정할 수 있다. 이때, 조건 부 양방향 통신 장치(700)는 스위치로 전원을 공급하는 전원 공급부, 스위치로의 전원 공급을 제어하는 전원 공급 제어부 중 적어도 어느 하나를 제어하여, 스위치의 전원을 공급 또는 차단하여 스위치의 동작 상태를 설정할 수 있다.
S830 단계에서, 조건부 양방향 통신 장치(700)가 스위치의 동작 상태를 설정하는 과정은 도 3의 S330 단계에서 제1 수신기의 동작 상태를 설정하는 과정과 실질적으로 동일한 바, 중복되는 설명은 생략한다.
마지막으로 조건부 양방향 통신 장치(700)는 캡쳐된 데이터를 외부망 모듈 또는 내부망 기기로 전송한다(S840).
조건부 양방향 통신 장치(700)는 캡쳐된 데이터를 제1 송신기 또는 제1 송수신기로 전달하여, 외부망 모듈 또는 내부망 기기로 전송할 수 있다. 이때, 조건부 양방향 통신 장치(700)가 캡쳐된 데이터를 전달하는 과정은 도 3의 S340 단계와 실질적으로 동일한 바, 중복되는 설명은 생략한다.
도 9 는 본 발명의 또 다른 실시예에 따른 조건부 양방향 통신 장치의 데이터 흐름을 설명하기 위한 도면이다.
도 9에 도시한 바와 같이, 조건부 양방향 통신 장치(700)는 내부망(100)을 통하여 내부망 기기들(110 내지 130)과 통신을 수행할 수 있다. 그리고 조건부 양방향 통신 장치(700)는 외부망(300)을 통하여 외부망 기기들6(310 내지 330)과 통신을 수행할 수 있다.
조건부 양방향 통신 장치(700)는 내부망 모듈(710), 스위치(720) 및 외부망 모듈(730)을 포함하며, 내부망 모듈(710) 및 외부망 모듈(730)은 송수신기, 송신기 및 수신기를 포함하고, 내부망 모듈(710)은 제어부를 더 포함한다.
그리고 제어부는 내부망 모듈(710)의 제1 수신기의 동작 상태를 설정하거나, 스위치(720)의 동작 상태를 설정한다. 이때, 제어부는 스위치(720)의 동작 상태를 직접 설정하거나, 스위치(720)로 전원을 공급하는 전원 공급부(735) 또는 스위치(720)의 전원 공급을 제어하는 전원 공급 제어부(730) 중 적어도 어느 하나를 제어하여 스위치(720)의 동작 상태를 설정할 수 있다. 또한, 제어부는 스위치(720)가 외부망 모듈(730)로부터 유입된 데이터를 바이패스하는 경로를 설정하여, 유입된 데이터가 내부망 모듈(710)로 전달되도록 하거나, 유입된 데이터가 내부망 모듈(710)로 전달되는 것을 차단할 수 있다.
내부망 모듈(710)의 제1 송수신기는 내부망(100)과 연결되고, 외부망 모듈(730)의 제2 송수신기는 외부망(300)과 연결된다. 그리고 제1 수신기는 스위치(720)를 통하여 제2 송신기로부터 데이터를 수신하며, 제1 송신기는 제2 수신기로 데이터를 전송하는 단방향 통신을 수행한다.
이때, 내부망 모듈(710)의 제어부는 제1 수신기 및 스위치 중 적어도 어느 하나의 동작 상태를 설정하여, 조건부로 제1 수신기가 제2 송신기로부터 데이터를 수신할 수 있도록 제어할 수 있다. 이를 통하여, 내부망 모듈(710)로의 데이터 유입을 원천 차단할 수 있다.
이하에서는 도 10 내지 도 13을 통하여, 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 내부망 모듈이 수행하는 기능에 대하여 더욱 상세하게 설명한다.
조건부 양방향 통신 장치(200)에 의해 수행되는 내부망 모듈의 관리 기능은 내부망 모듈 활용 장치 IP 리스트 관리, 프록시 ARP 타깃 장치 IP 리스트 관리, 화이트 리스트 관리, TCP 세션 관리 및 링크 가용 시간 관리 중 적어도 어느 하나를 포함할 수 있다.
도 10은 본 발명의 일실시예에 따른 내부망 모듈 활용 장치 IP 리스트를 나타낸 표이다.
내부망 모듈 활용 장치 IP 리스트는 내부망 모듈 또는 내부망 모듈을 통하여 외부망으로 데이터를 전송하는 모든 내부망 기기의 IP주소를 관리한다. 도 6에서 기기 1(110) 및 기기 2(120)가 외부망으로 데이터를 전송하는 경우, 내부망 모듈 활용 장치 IP 리스트는 도 10과 같을 수 있다.
도 11은 본 발명의 일실시예에 따른 내부망의 프록시 ARP 타깃 장치 IP 리스트를 나타낸 표이다.
내부망의 프록시 ARP 타깃 장치 IP 리스트는 도 10의 내부망 모듈 활용 장치 IP 리스트에 존재하는 내부망 기기를 대상으로, 외부망에 존재하는 외부망 기기에 대한 ARP 요청에 대해 내부망 모듈이 대신하여 ARP 응답을 전송하기 위하여 관리된다.
그리고 내부망 기기인 기기1 및 기기2가 각각 외부망 기기인 기기4 및 기기5로 데이터를 전송하는 경우의 내부망의 프록시 ARP 타깃 장치 IP 리스트는 도 11에 도시한 바와 같이 표현될 수 있다.
도 12는 본 발명의 일실시예에 따른 화이트 리스트를 나타낸 표이다.
조건부 양방향 통신 장치(200)는 내부망 기기들이 수행하는 통신 중 허용된 통신을 정의하기 위한 일반적인 5-tuple(source IP, source port, destination IP, destination port, protocol) 기반의 리스트에, 추가적으로 해당 통신의 허용 시간 정보를 포함하는 화이트 리스트를 관리할 수 있다.
도 6에서 내부망 기기 1이 소스 포트로 1000번 포트를 사용하여 외부망 기기 4의 2000번 포트로 TCP 데이터를 전송하고, 내부망 기기 2가 소스 포트로 5000번 포트를 사용하여 외부망 기기 5의 5000번 포트로 DUP 데이터를 전송하는 경우, 화이트 리스트는 도 12와 같을 수 있다.
이때, 도 6에 도시한 바와 같이, TCP 데이터 통신에 상응하는 허용 시간은 10이고, UDP 데이터 통신에 상응하는 허용 시간은 -1일 수 있다. TCP 데이터 통신에 상응하는 허용 시간은 TCP 세션이 생성된 후, 내부망 모듈의 제1 수신기를 통해 데이터를 수신할 수 있는 최대 시간을 의미한다. 도 12에서 10은 10분 동안의 데이터 수신을 허용한다는 것을 의미할 수 있고, -1은 허용 시간이 필요하지 않음을 의미할 수 있다.
도 13은 본 발명의 일실시예에 따른 링크 가용 시간 관리를 설명하기 위한 표이다.
링크 가용 시간은 내부망 모듈의 제1 수신기를 활성화 상태로 유지할 수 있는 시간을 의미하며, 조건부 양방향 통신 장치(200)는 사용자로부터 링크 가용 시간 정보를 입력받아 설정할 수 있다.
링크 가용 시간이 도 13과 같이 설정된 경우, 조건부 양방향 통신 장치(200)는 매일 오후 8시부터 오후 9시까지는 내부망 모듈의 제1 수신기를 활성화 상태로 유지할 수 있다. 또한, 매주 월요일은 오후 8시부터 오후 10시까지 제1 수신기를 활성화 상태로 유지될 수 있다. 그리고 링크 가용 시간을 벗어난 경우, 조건부 양방향 통신 장치(200)는 제1 수신기를 비활성화 상태로 전환한다.
예를 들어, 도 6의 내부망 기기인 기기 1(110)이 외부망 기기인 기기 4(310)로 오후 8시 30분에 TCP 세션 연결을 시도하는 경우, 조건부 양방향 통신 장치(200)의 내부망 모듈은 화이트 리스트 기반 필터링을 수행한다. 화이트 리스트 기반 필터링을 수행한 결과 기기 1(1100 및 기기 4(310)의 TCP 데이터 통신이 허용된 것으로 판단된 경우, 조건부 양방향 통신 장치(200)는 링크 가용 시간을 확인할 수 있다.
오후 8시 30분은 링크 가용 시간에 포함되므로, 조건부 양방향 통신 장치(200)는 TCP 세션 관리 기능을 수행하고, 내부망 모듈의 제1 수신기가 활성화 상태로 설정한다. 이때, 조건부 양방향 통신 장치(200)는 해당 TCP 세션의 연결이 종료되거나, 잔여 허용 시간이 만료될 때까지 제1 수신기의 상태를 활성화 상태로 유지할 수 있다.
또한, 조건부 양방향 통신 장치(200)는 사용자로부터 버튼 등의 물리적인 방법을 통하여 링크 가용 시간 정보를 입력받을 수 있다. 예를 들어, 사용자로부터 버튼 입력을 한 번 수신한 경우, 조건부 양방향 통신 장치(200)는 버튼 입력이 수신된 시점부터 10분간을 임시적으로 링크 가용 시간으로 할당할 수 있다.
설명의 편의상 버튼 입력을 수신한 경우 10분 동안을 임시적으로 링크 가용 시간으로 할당하는 것으로 예를 들어 설명하였으나 이에 한정하지 않고, 버튼 입력에 따른 임시적인 링크 가용 시간 정보는 기 설정되거나 사용자로부터 기 입력받은 값일 수 있다.
조건부 양방향 통신 장치(200)가 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 기반으로, 제1 수신기 및 스위치 중 적어도 어느 하나의 동작 상태를 설정하는 것으로 설명하였다. 그러나, 이에 한정하지 않고, 조건부 양방향 통신 장치(200)는 화이트 리스트를 기반으로 1차 조건 만족 여부를 판단하고, 1차 조건이 만족되는 것으로 판단된 경우 링크 가용 시간을 기반으로 2차 조건 만족 여부를 판단하며, 1차 및 2차 조건을 모두 만족하는 경우에만 양방향 통신을 지원하도록 구현할 수도 있다.
이하에서는 도 14 및 도 15를 통하여 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 외부망 모듈이 수행하는 기능에 대하여 더욱 상세하게 설명한다.
외부망 모듈은 관리 기능, 데이터 캡쳐 기능, 데이터 전달 기능 등을 수행할 수 있다. 외부망 모듈의 데이터 캡쳐 기능은 외부망 모듈의 제2 송수신기로부터 수신된 데이터 및 제2 수신기로부터 수신된 데이터를 캡쳐하는 기능을 의미한다. 캡쳐된 데이터는 데이터 전달 기능을 통하여 제2 송수신기 또는 제2 송신기로 전달된다.
외부망 모듈이 제2 송수신기로부터 외부망 기기로부터 내부망으로 전송되는 TCP 데이터를 캡쳐한 경우, 외부망 모듈은 제2 송신기를 통하여 데이터를 전송할 수 있다. 반면, 외부망 기기로부터 내부망 기기로 전송되는 UDP 데이터를 제2 송수신기로부터 캡쳐한 경우 외부망 모듈은 해당 데이터를 의도되지 않은 데이터로 판단하고 해당 데이터를 삭제할 수 있다.
그리고 외부망 기기로부터 TCP 데이터 및 UDP 데이터가 아닌 프록시 ARP 타깃 장치 IP 리스트에 포함된 ARP 요청 패킷을 제2 송수신기로부터 캡쳐한 경우, 외부망 모듈은 프록시 ARP 타깃 장치 IP 리스트를 기반으로 ARP 응답 메시지를 생성하여 제2 송수신기를 통하여 전송할 수 있다.
또한, 조건부 양방향 통신 장치(200)에 의해 수행되는 외부망 모듈의 관리 기능은 외부망 모듈 활용 장치 IP 리스트 관리, 프록시 ARP 타깃 장치 IP 리스트 관리를 포함할 수 있다.
도 14는 본 발명의 일실시예에 따른 외부망 모듈 활용 장치 IP 리스트를 나타낸 표이다.
조건부 양방향 통신 장치(200)는 외부망 모듈 활용 장치 IP 리스트 관리를 통하여 외부망 모듈 및 외부망 모듈을 통해 내부망으로 데이터를 전송하려는 모든 외부망 기기의 IP 주소를 관리하며, 라우터의 IP주소를 관리할 수도 있다.
외부망 기기 4 및 외부망 기기 5가 외부망을 통하여 데이터를 전송하는 경우, 외부망 모듈 활용 장치 IP 리스트는 도 14과 같을 수 있다.
도 15는 본 발명의 일실시예에 따른 외부망의 프록시 ARP 타깃 장치 IP 리스트를 나타낸 표이다.
조건부 양방향 통신 장치(200)는 도 14의 외부망 모듈 활용 장치 IP 리스트에 포함된 외부망 기기들에 대한 ARP 요청 패킷에 대하여, 대신하여 ARP 응답을 전송하기 위하여, 외부망의 프록시 ARP 타깃 장치 IP 리스트를 관리한다.
외부망 기기인 기기 4(310) 및 기기 5(320)가 각각 내부망 기기인 기기 1(110) 및 기기 2(120)로 데이터를 전송할 경우, 외부망의 프록시 ARP 타깃 장치 IP 리스트는 도 15와 같을 수 있다.
이하에서는 도 16을 통하여 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 적용 예에 대하여 더욱 상세하게 설명한다.
도 16은 본 발명의 일실시예에 따른 조건부 양방향 통신 장치의 일 적용 예를 도시한 예시도이다.
도 16에 도시한 바와 같이, 본 발명의 일실시예에 따른 조건부 양방향 통신 장치(1100)는 USB 타입의 장치로 구현될 수 있다. 이때, 조건부 양방향 통신 장치(1100)가 USB 타입의 장치로 구현된다는 것은 도 2에 도시된 내부망 모듈(210)의 제1 송수신기(2110)가 USB 타입으로 구현된다는 것을 의미한다.
도 2에 도시된 조건부 양방향 통신 장치(200)는 내부망과 외부망 간을 연결하는 양방향 통신 장치를 의미하는 반면, 도 13에 도시된 조건부 양방향 통신 장치(1100)는 PC(1000)와 네트워크(1200) 간 연결을 지원하는 장치를 의미한다. 이때, PC(1000)는 도 1의 내부망 기기(150)에 상응하고, 네트워크(1200)는 도 1의 외부망(300)에 상응한다.
그리고 조건부 양방향 통신 장치(1100)는 PC(1000)와의 USB 연결을 통하여, 네트워크(1200)에 연결된 하나 이상의 기기(1300)가 PC(1000)로의 연결을 시도할 경우 해당 연결 시도를 원천 차단할 수 있다. 또한, 조건부 양방향 통신 장치(1100)는 기 설정된 조건에 상응하도록 PC(1000)의 수신기의 동작 상태를 설정함으로써, 필요에 따라 네트워크(1200)로의 연결을 허용할 수 있다. 이와 같이, 본 발명의 일실시예에 따른 조건부 양방향 통신 장치(1100)는 PC(1000)에 장착되는 이더넷 카드의 대체용으로 활용될 수 있다.
설명의 편의상, 조건부 양방향 통신 장치가 USB 타입의 장치로 구현되어, PC와 네트워크의 연결을 허용 또는 차단하는 역할을 수행하는 것으로 설명하였으나 이에 한정하지 않고, 조건부 양방향 통신 장치는 송수신기의 타입에 따라 다양한 용도로 설계 변경하여 적용될 수 있다.
도 17은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 17을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1700)에서 구현될 수 있다. 도 17에 도시된 바와 같이, 컴퓨터 시스템(1700)은 버스(1720)를 통하여 서로 통신하는 하나 이상의 프로세서(1710), 메모리(1730), 사용자 입력 장치(1740), 사용자 출력 장치(1750) 및 스토리지(1760)를 포함할 수 있다. 또한, 컴퓨터 시스템(1700)은 네트워크(1780)에 연결되는 네트워크 인터페이스(1770)를 더 포함할 수 있다. 프로세서(1710)는 중앙 처리 장치 또는 메모리(1730)나 스토리지(1760)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1730) 및 스토리지(1760)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1731)이나 RAM(1732)을 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.
이상에서와 같이 본 발명에 따른 조건부 양방향 통신 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 내부망 110 내지 150: 내부망 기기
200: 조건부 양방향 통신 장치 210: 내부망 모듈
211: 제1 송수신기 213: 제1 송신기
215: 제1 수신기 217: 수신기 제어부
230: 외부망 모듈 231: 제2 송수신기
233: 제2 송신기 235: 제2 수신기
300: 외부망 310 내지 350: 외부망 기기
700: 조건부 양방향 통신 장치 710: 내부망 모듈
711: 제1 송수신기 713: 제1 송신기
715: 제1 수신기 717: 수신기 제어부
720: 스위치 730: 외부망 모듈
731: 제2 송수신기 733: 제2 송신기
735: 제2 수신기 1000: PC
1100: 조건부 양방향 통신 장치
1200: 네트워크 1300: 기기
1700: 컴퓨터 시스템 1710: 프로세서
1720: 버스 1730: 메모리
1731: 롬 1732: 램
1740: 사용자 입력 장치 1750: 사용자 출력 장치
1760: 스토리지 1770: 네트워크 인터페이스
1780: 네트워크

Claims (20)

  1. 하나 이상의 내부망 기기로부터 수신한 데이터를 외부망 기기로 전달하고, 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 포함하는 기 설정된 조건에 상응하도록 수신기의 동작 상태를 설정하며, 상기 수신기의 동작 상태가 활성화 상태인 경우에만 상기 외부망 기기가 전송한 데이터를 수신하여, 상기 내부망 기기로부터 시작되는 양방향 통신을 조건부로 지원하는 내부망 모듈, 그리고
    상기 내부망 모듈로부터 상기 내부망 기기의 데이터를 수신하여 상기 외부망 기기로 전송하고, 하나 이상의 상기 외부망 기기로부터 수신한 데이터를 상기 내부망 모듈의 상기 수신기로 전송하는 외부망 모듈을 포함하고,
    상기 내부망 모듈은,
    내부망을 통하여 상기 내부망 기기와 통신을 수행하는 제1 송수신기,
    상기 내부망 기기로부터 수신된 데이터를 상기 외부망 모듈로 전송하는 제1 송신기,
    상기 외부망 모듈로부터 데이터를 수신하는 상기 수신기인 제1 수신기, 그리고
    상기 기 설정된 조건을 기반으로, 상기 제1 수신기의 동작 상태를 설정하는 수신기 제어부를 포함하는 조건부 양방향 통신 장치.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서,
    상기 수신기 제어부는,
    상기 제1 송신기가 상기 내부망 기기로부터 수신된 TCP 데이터를 전송하는 경우, 현재 시간이 상기 링크 가용 시간에 상응하는지 여부를 기반으로 상기 제1 수신기의 동작 상태를 설정하는 조건부 양방향 통신 장치.
  5. 제1항에 있어서,
    상기 수신기 제어부는,
    상기 화이트 리스트에 기 설정된 수신 허용 시간에 상응하는 경우, 상기 제1 수신기의 동작을 활성화 상태로 설정하는 조건부 양방향 통신 장치.
  6. 제1항에 있어서,
    상기 수신기 제어부는,
    상기 제1 수신기가 메시지를 수신한 후, 임계 시간 동안 다른 메시지가 수신되지 않는 경우, 연결이 종료된 것으로 판단하여 상기 제1 수신기의 동작을 비활성화 상태로 설정하는 조건부 양방향 통신 장치.
  7. 제1항에 있어서,
    상기 수신기 제어부는,
    상기 외부망 모듈 및 상기 내부망 기기 중 적어도 어느 하나로부터 TCP 연결 종료 메시지를 수신하는 경우, 상기 제1 수신기의 동작을 비활성화 상태로 설정하는 조건부 양방향 통신 장치.
  8. 제1항에 있어서,
    상기 수신기 제어부는,
    상기 외부망 모듈로부터 허용되지 않은 데이터를 임계 횟수 이상 수신한 경우, 상기 제1 수신기의 동작을 비활성화 상태로 설정하는 조건부 양방향 통신 장치.
  9. 제1항에 있어서,
    상기 수신기 제어부는,
    상기 외부망 모듈로부터 수신된 데이터의 크기의 합이 임계 크기 이상인 경우, 상기 제1 수신기의 동작을 비활성화 상태로 설정하는 조건부 양방향 통신 장치.
  10. 제1항에 있어서,
    상기 외부망 모듈은,
    외부망을 통하여 상기 외부망 기기와 통신을 수행하는 제2 송수신기,
    상기 내부망 모듈의 상기 제1 수신기로 데이터를 전송하는 제2 송신기, 그리고
    상기 내부망 모듈의 상기 제1 송신기로부터 데이터를 수신하는 제2 수신기를 포함하며,
    상기 제2 송신기가 상기 제1 수신기로 전송하는 데이터는,
    상기 제1 수신기가 동작하는 허용된 시간 동안에만 상기 내부망 모듈로 전송되는 것을 특징으로 하는 조건부 양방향 통신 장치.
  11. 하나 이상의 내부망 기기로부터 수신한 데이터를 외부망 기기로 전달하고, 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 포함하는 기 설정된 조건에 상응하도록 수신기 및 스위치 중 적어도 어느 하나의 동작 상태를 설정하며, 상기 수신기 및 상기 스위치를 모두 활성화 상태로 설정한 경우에만 상기 외부망 기기가 전송한 데이터를 수신하여, 상기 내부망 기기로부터 시작되는 양방향 통신을 조건부로 지원하는 내부망 모듈, 그리고
    상기 내부망 모듈로부터 상기 내부망 기기의 데이터를 수신하여 상기 외부망 기기로 전송하고, 하나 이상의 상기 외부망 기기로부터 수신한 데이터를 상기 스위치를 통하여 상기 내부망 모듈의 상기 수신기로 전송하는 외부망 모듈을 포함하고,
    상기 내부망 모듈은,
    내부망을 통하여 상기 내부망 기기와 통신을 수행하는 제1 송수신기,
    상기 내부망 기기로부터 수신된 데이터를 상기 외부망 모듈로 전송하는 제1 송신기,
    상기 스위치를 통하여 상기 외부망 기기의 데이터를 수신하는 상기 수신기인 제1 수신기, 그리고
    상기 기 설정된 조건을 기반으로, 상기 제1 수신기 및 상기 스위치 중 적어도 어느 하나의 동작 상태를 설정하는 수신기 제어부를 포함하는 조건부 양방향 통신 장치.
  12. 삭제
  13. 삭제
  14. 제11항에 있어서,
    상기 제어부는,
    상기 스위치로 인가되는 전원의 공급을 제어하거나, 상기 스위치의 바이패스 경로를 설정하여, 상기 스위치의 동작 상태를 설정하는 것을 특징으로 하는 조건부 양방향 통신 장치.
  15. 조건부 양방향 통신 장치에 의해 수행되는 조건부 양방향 통신 방법에 있어서,
    내부망 모듈의 수신기 및 송수신기 중 적어도 어느 하나로부터 데이터를 캡쳐하는 단계,
    캡쳐된 상기 데이터가 외부망 모듈로 전송되거나, 상기 외부망 모듈로부터 수신된 데이터인지 여부를 판단하는 단계,
    캡쳐된 상기 데이터가 상기 외부망 모듈에 상응하는 데이터인 경우, 링크 가용 시간 및 화이트 리스트 중 적어도 어느 하나를 포함하는 기 설정된 조건에 상응하도록 상기 내부망 모듈의 수신기의 동작 상태 및 상기 내부망 모듈의 수신기와 상기 외부망 모듈의 송신기 사이에 구비된 스위치의 동작 상태 중 적어도 어느 하나를 설정하는 단계, 그리고
    캡쳐된 상기 데이터를 상기 외부망 모듈로 전송하거나, 상기 내부망 모듈에 상응하는 내부망 기기로 전송하는 단계를 포함하고,
    상기 전송하는 단계는,
    상기 내부망 모듈의 수신기 및 상기 스위치의 동작 상태가 모두 활성화 상태로 설정된 경우, 상기 외부망 모듈로부터 수신된 데이터를 상기 내부망 기기의 수신기로 전달하여, 상기 내부망 기기로부터 시작되는 양방향 통신을 조건부로 지원하는 조건부 양방향 통신 방법.
  16. 삭제
  17. 삭제
  18. 제15항에 있어서,
    상기 동작 상태를 설정하는 단계는,
    상기 내부망 모듈의 송신기가 상기 내부망 기기로부터 수신된 TCP 데이터를 전송하는 경우, 현재 시간이 상기 링크 가용 시간에 상응하는지 여부를 기반으로 상기 수신기 및 상기 스위치 중 적어도 어느 하나의 동작 상태를 설정하는 조건부 양방향 통신 방법.
  19. 제15항에 있어서,
    상기 동작 상태를 설정하는 단계는,
    상기 화이트 리스트에 기 설정된 수신 허용 시간에 상응하는 경우, 상기 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 활성화 상태로 설정하는 조건부 양방향 통신 방법.
  20. 제15항에 있어서,
    상기 동작 상태를 설정하는 단계는,
    상기 수신기가 메시지를 수신한 후, 임계 시간 동안 다른 메시지가 수신되지 않는 경우, 연결이 종료된 것으로 판단하여 상기 수신기 및 상기 스위치 중 적어도 어느 하나의 동작을 비활성화 상태로 설정하는 조건부 양방향 통신 방법.
KR1020160174908A 2016-08-19 2016-12-20 조건부 양방향 통신 장치 및 방법 KR101951672B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20160105427 2016-08-19
KR1020160105427 2016-08-19

Publications (2)

Publication Number Publication Date
KR20180020852A KR20180020852A (ko) 2018-02-28
KR101951672B1 true KR101951672B1 (ko) 2019-02-25

Family

ID=61401503

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160174908A KR101951672B1 (ko) 2016-08-19 2016-12-20 조건부 양방향 통신 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101951672B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109391635B (zh) * 2018-12-17 2021-12-17 奇安信科技集团股份有限公司 基于双向网闸的数据传输方法、装置、设备及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101448028B1 (ko) * 2013-04-30 2014-10-08 (주)오픈에스앤에스 원격 접속 망 분리 장치 및 방법
KR101469193B1 (ko) * 2014-01-20 2014-12-09 (주)이월리서치 망 분리환경에서 필요한 시점에만 물리적인 연결을 통해 정보를 교환하는 시스템 및 그 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100678941B1 (ko) 2004-09-03 2007-02-07 삼성전자주식회사 할당된 시간 동안 양방향으로 데이터를 송수신하는 방법및 그 방법을 이용하는 무선 디바이스
KR101551537B1 (ko) * 2013-10-15 2015-09-08 에스2정보 주식회사 정보유출방지장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101448028B1 (ko) * 2013-04-30 2014-10-08 (주)오픈에스앤에스 원격 접속 망 분리 장치 및 방법
KR101469193B1 (ko) * 2014-01-20 2014-12-09 (주)이월리서치 망 분리환경에서 필요한 시점에만 물리적인 연결을 통해 정보를 교환하는 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20180020852A (ko) 2018-02-28

Similar Documents

Publication Publication Date Title
US7325140B2 (en) Secure management access control for computers, embedded and card embodiment
EP2461520B1 (en) Service-centric communication network monitoring
JP6387195B2 (ja) 通信装置及びシステム及び方法
JP2005197823A (ja) ファイアウォールとルータ間での不正アクセス制御装置
RU2402881C2 (ru) Способ и средство управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи
US11196555B1 (en) System and method for capturing, recording, monitoring, examining, filtering, processing, limiting and controlling intra-network and extra-network data communications
JP2014520441A (ja) 通信ネットワークのための接続ノード
KR101863236B1 (ko) 네트워크 가상화 환경에서 보안 관리를 위한 장치 및 방법
CN101340440A (zh) 一种防御网络攻击的方法及其装置
KR101972469B1 (ko) 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
US20060184784A1 (en) Method for secure transference of data
CN109743316B (zh) 数据传输方法、出口路由器、防火墙及双台防火墙系统
KR101951672B1 (ko) 조건부 양방향 통신 장치 및 방법
US8588092B2 (en) Transmission rate setting device, transmission rate setting device control method, content-filtering system, transmission rate setting device control program, and computer-readable recording medium
US9779222B2 (en) Secure management of host connections
JP6766017B2 (ja) 制御装置、通信システム、制御方法及びコンピュータプログラム
KR102067186B1 (ko) 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
JP2008234410A (ja) リモートアクセスシステム、情報処理装置、リモートアクセスプログラム、及びリモートアクセス方法
KR102175953B1 (ko) 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
US20110107391A1 (en) Methods and devices for implementing network policy mechanisms
EP1811731A1 (en) Data amount monitoring control system of channels
Veena et al. Detection and mitigation of security attacks using real time SDN analytics
CN113364797B (zh) 一种防ddos攻击的网络系统
US20240146694A1 (en) Automatic firewall configuration for control systems in critical infrastructure

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant