KR102008951B1 - 단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법 - Google Patents

단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법 Download PDF

Info

Publication number
KR102008951B1
KR102008951B1 KR1020170068457A KR20170068457A KR102008951B1 KR 102008951 B1 KR102008951 B1 KR 102008951B1 KR 1020170068457 A KR1020170068457 A KR 1020170068457A KR 20170068457 A KR20170068457 A KR 20170068457A KR 102008951 B1 KR102008951 B1 KR 102008951B1
Authority
KR
South Korea
Prior art keywords
communication
bidirectional
internal network
unidirectional
network module
Prior art date
Application number
KR1020170068457A
Other languages
English (en)
Other versions
KR20180131844A (ko
Inventor
김동욱
민병길
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170068457A priority Critical patent/KR102008951B1/ko
Priority to US15/818,908 priority patent/US10931655B2/en
Publication of KR20180131844A publication Critical patent/KR20180131844A/ko
Application granted granted Critical
Publication of KR102008951B1 publication Critical patent/KR102008951B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명의 일 실시예는, 내부망과 양방향 통신하고 외부망 모듈과 통신 모드에 따라 통신하는 내부망 모듈; 외부망과 양방향 통신하고 상기 내부망 통신 모듈과 상기 통신 모드에 따라 통신하는 외부망 모듈; 및 상기 내부망 모듈에서 상기 외부망 모듈로의 제1 단방향 통신과 상기 외부망 모듈에서 상기 내부망 모듈로의 제2 단방향 통신 중에서, 상기 제2 단방향 통신을 제어하여 상기 통신 모드에 따른 통신 기능을 제어하는 통신 제어 모듈을 포함하고, 상기 통신 모드는 상기 내부망 모듈에서 상기 외부망 모듈로의 단방향 통신 기능만을 제공하는 단방향 통신 모드; 상기 내부망 모듈에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 조건부 양방향 통신 기능을 허용하고 그 이외에는 상기 단방향 통신 기능만을 제공하는 조건부 양방향 통신 모드; 및 양방향 통신 모드를 포함하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치를 제공한다.

Description

단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법 {APPARATUS FOR SUPPORTING BIDIRECTIONAL COMMUNICATION USING UNIDIRECTIONAL COMMUNICATION AND METHOD FOR THE SAME}
본 발명은 내부 네트워크와 외부 네트워크 사이에서 단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법에 관한 것이다.
근본적으로 외부 네트워크로부터의 공격을 원천 차단하기 위해서는 외부망과 내부망을 물리적으로 분리하는 망 분리가 필요하다. 그러나 내부망에 상응하는 로그 정보 등을 전송이 필요하여, 외부의 공격을 원천 차단할 수 있으면서 외부망으로 데이터 전송을 가능케하는 물리적 단방향 데이터 전송 기술이 개발되었다.
그러나 종래의 단방향 데이터 전송 기술은 다음과 같은 한계점을 가진다. 내부망 기기가 TCP 프로토콜을 이용하여 데이터 전송을 하는 경우 프록시 시스템의 구현이 필요하며, 이는 구현 복잡도가 높아질 수 있다. 예를 들어, 단방향 데이터 전송 시스템이 특정 환경(예, 원자력, 전력, 수력, 화력 등)에 적용되기 위해서는 해당 환경에서의 망간 데이터 전송에 활용되는 모든 응용 프로그램들을 분석하고, 프록시 시스템을 구현하여 탑재해야 한다.
그러나, 프록시 시스템을 구현한다 하더라도, 종단간(내부망 기기와 외부망 기기간) TCP 시맨틱이 유지되지 않는다. TCP 시맨틱이 유지되지 않으므로 종단 간 TCP 계층의 암호화를 적용할 수 없으며, 외부망 기기가 수신한 데이터의 신뢰성을 보장할 수 없다. 또한, 데이터 손실이 발생할 수도 있다. 그리고, 암호화 등을 사용하는 등 프록시 시스템 구현이 불가한 망 연계 구간에서는 단방향 데이터 기술의 적용은 불가능하다.
또한, 내부망과 외부망을 분리하더라도 환경에 따라 외부망에서 내부망으로의 연결을 필요로 할 수 있다. 예를 들어, 비정기적으로 혹은 필요시 내부망 장치의 프로그램을 패치하거나 백신을 업데이트 할 수 있는데, 이를 위해서는 내부망에서 외부망으로 양방향 연결이 필요할 수 있다. 비슷하게 외부망 장치에서 내부망 장치로의 관리목적(텔넷, ssh등)의 접근시에도 외부망에서 내부망으로 양방향 연결이 필요할 수 있다. 단방향 전송 기술만을 사용할 경우, 이러한 환경의 지원은 불가능하다.
방화벽을 사용하는 경우, 앞서 언급한 동작과정들을 지원하기 위해서는 필요시마다 방화벽의 화이트리스트를 추가/삭제해야 하는데, 이는 사용자에게 불편함을 줄 수 있다. 예를 들어, 내부망 장치에서 외부망 장치로의 양방향 연결이 필요한 시점에 화이트리스트를 설정하고, 접속이 끝나면 화이트리스트에서 삭제할 필요가 있다. 외부망 장치에서 내부망 장치로의 양방향 연결이 필요한 시점도 마찬가지이다. 화이트리스트를 항상 설정해 둘경우, 공격자에 의해 화이트리스트를 통과할 수 있는 트래픽을 전송하여 악의적인 목적으로 사용될 수도 있다. 또한, 방화벽은 외부망과 물리적으로 양방향 연결이 되어있으므로 외부망으로부터의 트래픽을 항상 수신가능한 상태가 되는데, 이는 방화벽에 부하를 주거나 설정 상태에 따라 외부에서 방화벽에 접속 가능한 상태로 노출될 수도 있다.
따라서, 환경 및 상황에 따라 편리하게 모드를 변경하여 사용할 수 있는 다양한 모드를 지원하는 제한적인 양방향 통신 장치에 관한 기술의 개발이 필요하다.
전술한 배경기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.
국내 등록특허공보 제10-1569200호
본 발명의 목적은 내부망과 외부망 간의 두 개의 단방향 통신을 활용하여 단방향 통신, 조건부 양방향 통신 및 양방향 통신을 물리적으로 변경 및 관리할 수 있도록 하는 단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법을 제공하는 것이다.
본 발명의 일 실시예는, 내부망과 양방향 통신하고 외부망 모듈과 통신 모드에 따라 통신하는 내부망 모듈; 외부망과 양방향 통신하고 상기 내부망 통신 모듈과 상기 통신 모드에 따라 통신하는 외부망 모듈; 및 상기 내부망 모듈에서 상기 외부망 모듈로의 제1 단방향 통신과 상기 외부망 모듈에서 상기 내부망 모듈로의 제2 단방향 통신 중에서, 상기 제2 단방향 통신을 제어하여 상기 통신 모드에 따른 통신 기능을 제어하는 통신 제어 모듈을 포함하고, 상기 통신 모드는 상기 내부망 모듈에서 상기 외부망 모듈로의 단방향 통신 기능만을 제공하는 단방향 통신 모드; 상기 내부망 모듈에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 조건부 양방향 통신 기능을 허용하고 그 이외에는 상기 단방향 통신 기능만을 제공하는 조건부 양방향 통신 모드; 및 양방향 통신 모드를 포함하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치를 제공한다.
이때, 상기 통신 제어 모듈은 상기 제2 단방향 통신을 개폐하기 위한 스위치; 상기 스위치의 전원 공급을 관리하기 위한 전원 제어부; 및 상기 스위치의 바이패스 연결을 관리하기 위한 바이패스 제어부를 포함할 수 있다.
이때, 상기 전원 제어부는 상기 통신 모드가 단방향 통신 모드인 경우에 상기 스위치에 공급되는 전원을 차단하여 상기 제2 단방향 통신을 물리적으로 차단하며, 상기 통신모드가 조건부 양방향 통신 모드 또는 양방향 통신 모드인 경우에 상기 스위치에 전원을 공급하고, 상기 바이패스 제어부는 상기 통신 기능이 단방향 통신 기능인 경우에 상기 바이패스 연결을 해제하여 상기 제2 단방향 통신을 물리적으로 차단하며, 상기 통신 기능이 조건부 양방향 통신 기능 또는 양방향 통신 기능인 경우에 상기 바이패스 연결을 설정하여 상기 제2 단방향 통신을 연결할 수 있다.
이때, 상기 단방향 통신을 이용하여 양방향 통신을 지원하는 장치는 상기 통신 모드가 상기 양방향 통신 모드일 때, 상기 외부망의 통신 대상 기기의 인증을 위한 인증 모듈을 더 포함하고, 상기 양방향 통신 모드는 상기 인증 모듈에서 인증된 통신 대상 기기와는 양방향 통신 기능을 제공하고, 상기 인증 모듈에서 인증되지 않은 통신 대상 기기와는 상기 조건부 양방향 통신 모드와 동일한 통신 기능을 제공할 수 있다.
이때, 상기 내부망 모듈은 상기 단방향 통신 기능, 상기 조건부 양방향 통신 기능 및 상기 양방향 통신 기능을 제공함에 있어서, 각각에 상응하는 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트를 이용하여 상기 외부망 모듈과의 통신 여부를 결정할 수 있다.
이때, 상기 내부망 모듈은 상기 양방향 화이트리스트를 동적으로 관리하여, 상기 양방향 통신 기능을 제공하는 동안 상기 인증 모듈로부터 수신한 인증된 통신 대상 기기에 상응하는 화이트리스트 정보를 상기 양방향 화이트리스트에 임시 등록할 수 있다.
이때, 상기 통신 제어 모듈은 물리적으로 상기 통신 모드를 선택할 수 있는 통신 모드 선택부를 더 포함할 수 있다.
이때, 상기 내부망 모듈은 세션 관리가 필요한 통신 프로토콜을 이용하고 상기 제2 단방향 통신이 링크업 상태가 아닌 경우, 상기 외부망 모듈로 전송하고자 하는 데이터 패킷을 버퍼링할 수 있다.
이때, 상기 내부망 모듈은 세션 관리가 필요한 통신 프로토콜을 이용하고 상기 제2 단방향 통신이 링크업 상태인 경우, 상기 외부망 모듈로 전송할 상기 버퍼링된 데이터 패킷을 제1 단방향 통신을 이용하여 상기 외부망 모듈로 전송할 수 있다.
본 발명의 다른 일 실시예는, 내부망에서 외부망으로의 제1 단방향 통신과 상기 외부망에서 상기 내부망으로의 제2 단방향 통신 중에서, 상기 제2 단방향 통신을 제어하여 설정된 통신 모드에 따른 통신 기능을 제어하는 단계; 상기 제1 단방향 통신을 통해 상기 내부망에서 상기 외부망으로 전송하고자 하는 제1 데이터 패킷을 전송하는 단계; 및 상기 제2 단방향 통신의 제어에 따라 상기 제2 단방향 통신을 통해 상기 외부망에서 상기 내부망으로 전송하고자 하는 제2 데이터 패킷을 전송하는 단계를 포함하고, 상기 통신 모드는 상기 내부망에서 상기 외부망으로의 단방향 통신 기능만을 제공하는 단방향 통신 모드; 상기 내부망에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 조건부 양방향 통신 기능을 허용하고 그 이외에는 상기 단방향 통신 기능만을 제공하는 조건부 양방향 통신 모드; 및 양방향 통신 모드를 포함하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법을 제공할 수 있다.
이때, 상기 통신 기능을 제어하는 단계는 상기 제2 단방향 통신을 개폐하기 위한 스위치에 있어서, 상기 스위치의 전원 공급을 관리하는 단계; 및 상기 스위치의 바이패스 연결을 관리하는 단계를 포함할 수 있다.
이때, 상기 스위치의 전원 공급을 관리하는 단계는 상기 통신 모드가 단방향 통신 모드인 경우에 상기 스위치에 공급되는 전원을 차단하여 상기 제2 단방향 통신을 물리적으로 차단하며, 상기 통신모드가 조건부 양방향 통신 모드 또는 양방향 통신 모드인 경우에 상기 스위치에 전원을 공급하고, 상기 스위치의 바이패스 연결을 관리하는 단계는 상기 통신 기능이 단방향 통신 기능인 경우에 상기 바이패스 연결을 해제하여 상기 제2 단방향 통신을 물리적으로 차단하며, 상기 통신 기능이 조건부 양방향 통신 기능 또는 양방향 통신 기능인 경우에 상기 바이패스 연결을 설정하여 상기 제2 단방향 통신을 연결할 수 있다.
이때, 상기 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은 상기 통신 모드가 상기 양방향 통신 모드일 때, 상기 외부망의 통신 대상 기기를 인증하는 단계를 더 포함하고, 상기 양방향 통신 모드는 인증된 통신 대상 기기와는 양방향 통신 기능을 제공하고, 인증되지 않은 통신 대상 기기와는 상기 조건부 양방향 통신 모드와 동일한 기능을 제공할 수 있다.
이때, 상기 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은 상기 단방향 통신 기능, 상기 조건부 양방향 통신 기능 및 상기 양방향 통신 기능을 제공함에 있어서, 각각에 상응하는 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트를 이용하여 상기 외부망과의 통신 여부를 결정하는 단계를 더 포함할 수 있다.
이때, 상기 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은 상기 양방향 화이트리스트를 동적으로 관리하여, 상기 양방향 통신 기능을 제공하는 동안 인증된 통신 대상 기기에 상응하는 화이트리스트 정보를 상기 양방향 화이트리스트에 임시 등록하는 단계를 더 포함할 수 있다.
이때, 상기 통신 기능을 제어하는 단계는 물리적으로 선택된 상기 통신 모드에 따른 통신 기능을 제어할 수 있다.
이때, 상기 제1 데이터 패킷을 전송하는 단계는 세션 관리가 필요한 통신 프로토콜을 이용하고 상기 제2 단방향 통신이 링크업 상태가 아닌 경우, 상기 외부망으로 전송하고자 하는 제1 데이터 패킷을 버퍼링하는 단계를 포함할 수 있다.
이때, 상기 제1 데이터 패킷을 전송하는 단계는 세션 관리가 필요한 통신 프로토콜을 이용하고 상기 제2 단방향 통신이 링크업 상태인 경우, 상기 외부망으로 전송할 상기 버퍼링된 제1 데이터 패킷을 제1 단방향 통신을 이용하여 상기 외부망으로 전송하는 단계를 더 포함할 수 있다.
본 발명에 따르면, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법에 의해, 내부망과 외부망 간의 두 개의 단방향 통신을 활용하여 단방향 통신, 조건부 양방향 통신 및 양방향 통신을 물리적으로 변경 및 관리할 수 있도록 함으로써, 내부망을 외부망과 효과적으로 분리하고 물리적으로 통신의 방향성을 변경 및 관리함에 따라 외부망으로부터의 공격에 대한 높은 보안성과 안정성을 도모할 수 있다.
도 1은 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 시스템의 구성을 나타낸 도면이다.
도 2는 도 1에 도시된 단방향 통신을 이용하여 양방향 통신을 지원하는 장치의 일 예를 나타낸 블록도이다.
도 3은 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치를 나타낸 블록도이다.
도 4는 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치의 내부 구성을 나타낸 블록도이다.
도 5는 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치의 신호 전송 라인들을 나타낸 도면이다.
도 6은 도 5에 도시된 신호 전송 라인들의 값에 따른 통신 모드와 통신 기능을 나타낸 도면이다.
도 7은 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 방법을 나타낸 동작 흐름도이다.
도 8은 본 발명의 일 실시예에서 통신 모드의 변경에 따른 통신 제어 과정을 나타낸 동작 흐름도이다.
도 9는 도 5에 도시된 신호 전송 라인들 중에서 라인 5 또는 라인 6의 정보의 변경에 따른 통신 제어 과정을 나타낸 동작 흐름도이다.
도 10은 도 5에 도시된 신호 전송 라인들 중에서 라인 1 내지 라인 4의 정보의 변경에 따른 내부망 모듈의 동작을 나타낸 동작 흐름도이다.
도 11은 본 발명의 일 실시예에 따른 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트의 예시를 나타낸 도면이다.
도 12는 본 발명의 일 실시예에 따른 내부망 모듈이 내부망으로부터 데이터를 캡쳐할 때의 동작을 나타낸 동작 흐름도이다.
도 13은 본 발명의 일 실시예에 따른 내부망 모듈이 외부망 모듈로부터 데이터를 캡쳐할 때의 동작을 나타낸 동작 흐름도이다.
도 14는 도 12에 도시된 통신 프로토콜 세션을 관리하는 단계의 일 예를 나타낸 동작 흐름도이다.
도 15는 도 13에 도시된 통신 프로토콜 세션을 관리하는 단계의 일 예를 나타낸 동작 흐름도이다.
도 16은 본 발명의 일 실시예에 따른 내부망 모듈에서 타이머 기반으로 양방향 통신 프로토콜 세션을 관리하는 과정을 나타낸 동작 흐름도이다.
도 17은 본 발명의 일 실시예에 따른 내부망 모듈에서 제1 수신기에 링크업 이벤트 발생시의 동작을 나타낸 동작 흐름도이다.
도 18은 본 발명의 일 실시예에 따른 인증 모듈의 인증 후 동작을 나타낸 동작 흐름도이다.
도 19는 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치의 적용예를 나타낸 도면이다.
도 20은 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치의 적용예를 나타낸 도면이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 본 발명의 효과 및 특징, 그리고 그것들을 달성하는 방법은 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성되어 다양한 형태로 구현될 수 있다. 이하의 실시예에서, 제1, 제2 등의 용어는 한정적인 의미가 아니라 하나의 구성 요소를 다른 구성 요소와 구별하는 목적으로 사용되었다. 또한, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 또한, 포함하다 또는 가지다 등의 용어는 명세서상에 기재된 특징, 또는 구성요소가 존재함을 의미하는 것이고, 하나 이상의 다른 특징들 또는 구성요소가 부가될 가능성을 미리 배제하는 것은 아니다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명하기로 하며, 도면을 참조하여 설명할 때 동일하거나 대응하는 구성 요소는 동일한 도면 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 시스템(1)의 구성을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 시스템(1)에서 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 내부망(210) 및 외부망(220)과 상호 연결된다. 그리고, 내부망(210)은 하나 이상의 기기들(210a, 210b 및 210c)과 상호 연결되며, 외부망(220)은 하나 이상의 기기들(220a, 220b 및 220c)과 상호 연결된다.
본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 내부망(210)과 양방향 통신하는 내부망 모듈과 외부망(220)과 양방향 통신 하는 외부망 모듈 사이의 2개의 단방향 통신 중에서, 외부망 모듈에서 내부망 모듈로의 단방향 통신을 제어하여 설정된 통신 모드에 따른 통신 기능을 제어하는 것을 특징으로 한다. 이하, 내부망에서 외부망으로의 단방향 통신을 제1 단방향 통신이라 하고, 외부망에서 내부망으로의 단방향 통신을 제2 단방향 통신이라 한다.
여기서, 통신 모드는 내부망 모듈에서 외부망 모듈로의 단방향 통신 기능만을 제공하는 단방향 통신 모드, 내부망 모듈에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 조건부 양방향 통신 기능을 허용하고 그 이외에는 단방향 통신 기능만을 제공하는 조건부 양방향 통신 모드 및 양방향 통신 모드를 포함할 수 있다.
선택적 실시예에서, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 제2 단방향 통신을 스위치를 이용하여 개폐할 수 있고, 스위치는 스위치의 전원 공급과 스위치의 바이패스 연결을 제어하여 관리할 수 있다.
예컨대, 통신 모드가 단방향 통신 모드인 경우에는 스위치에 공급되는 전원을 차단하고 스위치의 바이패스 연결을 해제하여 제2 단방향 통신을 물리적으로 차단할 수 있다. 그리고, 통신 모드가 조건부 양방향 통신 모드 또는 양방향 통신 모드인 경우에는 스위치에 전원을 공급하고 스위치의 바이패스 연결을 관리하여 제2 단방향 통신을 관리할 수 있다.
선택적 실시예에서, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 통신 모드가 양방향 통신 모드일 경우에 외부망의 통신 대상 기기의 인증을 수행하고, 인증된 통신 대상 기기와는 양방향 통신 기능을 제공하지만 인증되지 않은 통신 대상 기기와는 조건부 양방향 통신 모드와 동일한 기능을 제공할 수 있다.
즉, 인증되지 않은 통신 대상 기기는 조건부 양방향 통신 모드에 따라, 내부망 모듈에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 조건부 양방향 통신 기능을 허용하고 그 이외에는 단방향 통신 기능만을 제공할 수 있다.
선택적 실시예에서, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 단방향 통신 기능, 조건부 양방향 통신 기능 및 양방향 통신 기능을 제공함에 있어서, 각각에 상응하는 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트를 이용하여 외부망과의 통신 여부를 결정할 수 있다.
이때, 양방향 화이트리스트는 조건부 양방향 화이트리스트를 상속할 수 있고, 조건부 양방향 화이트리스트는 단방향 화이트리스트를 상속할 수 있다.
선택적 실시예에서, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 양방향 화이트리스트를 동적으로 관리하여, 양방향 통신 기능을 제공하는 동안 인증된 통신 대상 기기에 상응하는 화이트리스트 정보를 양방향 화이트리스트에 임시 등록할 수 있다.
이는, 동적 IP를 할당받는 통신 대상 기기들을 양방향 화이트리스트에 정적으로 등록하는 것은 불가능하며 보안을 위하여 모든 외부 IP를 개방할 수 없기 때문에, 양방향 화이트리스트를 동적으로 관리하는 것이다.
선택적 실시예에서, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 물리적으로 통신 모드를 선택하도록 할 수 있다.
예컨대, 물리적인 스위치나 다이얼, 버튼 등을 이용하여 내부망과 외부망 사이의 통신 모드를 물리적으로 선택하도록 할 수 있다.
선택적 실시예에서, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 내부망 모듈과 외부망 모듈이 세션 관리가 필요한 통신 프로토콜을 이용하는 경우에 있어서, 제2 단방향 통신이 링크업 상태가 아닌 경우에는 외부망으로 전송하고자 하는 데이터 패킷을 버퍼링하고, 제2 단방향 통신이 링크업 상태인 경우에는 버퍼링된 데이터 패킷을 제1 단방향 통신을 이용하여 외부망으로 전송하도록 할 수 있다.
이에 따라, 분리된 망 간의 통신을 제공할 때 2개의 단방향 통신을 제어함으로써, 내부망과 외부망 사이의 통신의 보안성과 안정성을 높일 수 있다.
또한, 물리적으로 통신 모드를 선택하고, 스위치를 통하여 물리적으로 단방향 통신을 제어함으로써, 분리된 망 간의 통신의 보안성을 더욱 높일 수 있다.
또한, 데이터 패킷의 버퍼링을 통하여 패킷 손실을 차단할 수 있다.
내부망(210)은 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)을 통해 다른 분리된 망과 제한적으로 통신하는, 통신 보안을 요구하는 분리된 망을 의미한다.
예컨대, 내부망(210)은 기업이나 학교 등의 인트라넷일 수 있다.
외부망(220)은 내부망(210)과 분리된 망을 의미한다.
도 2는 도 1에 도시된 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)의 일 예를 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 제어부(110), 내부망 모듈(120), 외부망 모듈(130), 통신 제어 모듈(140) 및 인증 모듈(150) 등을 포함한다.
상세히, 제어부(110)는 일종의 중앙처리장치로서 단방향 통신을 이용하여 양방향 통신을 지원하는 전체 과정을 제어한다. 즉, 제어부(110)는 내부망 모듈(120), 외부망 모듈(130), 통신 제어 모듈(140) 및 인증 모듈(150) 등을 제어하여 다양한 기능을 제공할 수 있다.
여기서, 제어부(110)는 프로세서(processor)와 같이 데이터를 처리할 수 있는 모든 종류의 장치를 포함할 수 있다. 여기서, '프로세서(processor)'는, 예를 들어 프로그램 내에 포함된 코드 또는 명령으로 표현된 기능을 수행하기 위해 물리적으로 구조화된 회로를 갖는, 하드웨어에 내장된 데이터 처리 장치를 의미할 수 있다. 이와 같이 하드웨어에 내장된 데이터 처리 장치의 일 예로써, 마이크로프로세서(microprocessor), 중앙처리장치(central processing unit: CPU), 프로세서 코어(processor core), 멀티프로세서(multiprocessor), ASIC(application-specific integrated circuit), FPGA(field programmable gate array) 등의 처리 장치를 망라할 수 있으나, 본 발명의 범위가 이에 한정되는 것은 아니다.
내부망 모듈(120)은 내부망(도 1의 210 참조)와 상호 연결되어 양방향 통신하고, 외부망 모듈(130)과 통신 모드에 따라 통신한다.
특히, 내부망 모듈(120)은 외부망 모듈(130)과 물리적으로 분리되어있다.
이때, 내부망 모듈(120)은 외부망 모듈(130)로의 단방향 통신이 가능하며, 이를 제1 단방향 통신이라 한다.
여기서, 통신 모드는 단방향 통신 모드, 조건부 양방향 통신 모드 및 양방향 통신 모드를 포함할 수 있다. 단방향 통신 모드는 단방향 통신 기능을 지원하며, 조건부 양방향 통신 모드는 단방향 통신 기능과 조건부 양방향 통신 기능을 지원하며, 양방향 통신 모드는 단방향 통신 기능과 조건부 양방향 통신 기능 및 양방향 통신 기능을 지원할 수 있다.
특히, 단방향 통신 모드는 단방향 통신 기능을 지원하며, 단방향 통신 기능은 외부망 모듈(130)에서 내부망 모듈(120)로의 인터페이스(예컨대, RJ-45 등)를 물리적으로 차단하여 내부망(도 1의 210 참조)에 연결된 기기에서 외부망(도 1의 220 참조)에 연결된 기기로의 단방향 전송만을 허용하는 기능이다.
또한, 조건부 양방향 통신 모드는 내부망 기기에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 조건부 양방향 통신 기능을 허용하고, 그 이외에는 단방향 통신 기능만을 제공할 수 있다. 여기서, 내부망 기기에서 시작하는 양방향 통신 프로토콜 세션은 조건부 양방향 통신을 위한 트리거 역할을 한다.
또한, 양방향 통신 기능은 외부망 모듈(130)에서 내부망 모듈(120)로의 인터페이스를 물리적으로 연결하여 내부망 기기와 외부망 기기간의 양방향 통신을 허용하는 기능이다.
특히, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 종단간 TCP 암호화가 필요한 내부망(도 1의 210 참조)에서 시작하는 통신이 존재하는 경우, 조건부 양방향 통신 기능을 이용할 수 있다.
선택적 실시예에서, 내부망 모듈(120)은 단방향 통신 기능, 조건부 양방향 통신 기능 및 양방향 통신 기능을 제공함에 있어서, 각각에 상응하는 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트를 이용하여 외부망(도 1의 220 참조)과의 통신 여부를 결정할 수 있다. 즉, 화이트리스트에 포함된 항목에 대해서만 통신이 허용된다.
이때, 양방향 화이트리스트는 조건부 양방향 화이트리스트를 상속할 수 있고, 조건부 양방향 화이트리스트는 단방향 화이트리스트를 상속할 수 있다.
여기서, 통신 모드가 양방향 통신 모드인 경우 양방향 기능 알림 정보를 수신하는 기간 동안은 양방향 화이트리스트를 사용하며, 양방향 기능 알림 정보를 수신하지 못하는 기간 동안은 조건부 양방향 화이트리스트를 사용할 수 있다.
선택적 실시예에서, 내부망 모듈(120)는 양방향 화이트리스트를 동적으로 관리하여, 양방향 통신 기능을 제공하는 동안 인증된 통신 대상 기기에 상응하는 화이트리스트 정보를 양방향 화이트리스트에 임시 등록할 수 있다.
이는, 동적 IP를 할당받는 통신 대상 기기들을 양방향 화이트리스트에 정적으로 등록하는 것은 불가능하며 보안을 위하여 모든 외부 IP를 개방할 수 없기 때문에, 양방향 화이트리스트를 동적으로 관리하는 것이다.
선택적 실시예에서, 내부망 모듈(120)은 세션 관리가 필요한 통신 프로토콜을 이용하는 경우에 있어서, 제2 단방향 통신이 링크업 상태가 아닌 경우에는 외부망(도 1의 220 참조)으로 전송하고자 하는 데이터 패킷을 버퍼링하고, 제2 단방향 통신이 링크업 상태인 경우에는 버퍼링된 데이터 패킷을 제1 단방향 통신을 이용하여 외부망(도 1의 220 참조)으로 전송하도록 할 수 있다.
외부망 모듈(130)은 외부망(도 1의 220 참조)과 상호 연결되어 양방향 통신하고, 내부망 모듈(120)과 통신 모드에 따라 통신한다.
이때, 외부망 모듈(130)은 내부망 모듈(120)로의 단방향 통신이 가능하며, 이를 제2 단방향 통신이라 한다.
여기서, 외부망 모듈(130)은 내부망 모듈(120)로부터 수신한 데이터를 외부망(도 1의 220 참조)의 기기로 포워딩하거나, 외부망(도 1의 220 참조)의 기기로부터 수신한 데이터를 내부망 모듈(120)로 포워딩한다.
또한, 내부망 모듈처럼 내부망 기기를 대신하여 ARP 응답패킷을 전송할 수 있다. 이를 위해 sender IP, sender MAC, destination IP(내부망 기기IP)로 구성된 proxy ARP table을 유지할 수 있다.
통신 제어 모듈(140)은 제2 단방향 통신을 제어하여 내부망 모듈(120)과 외부망 모듈(130) 사이의 통신 모드에 따른 통신 기능을 제어한다.
선택적 실시예에서, 통신 제어 모듈(140)은 제2 단방향 통신을 스위치를 이용하여 개폐할 수 있고, 스위치는 스위치의 전원 공급과 스위치의 바이패스 연결을 제어하여 관리할 수 있다. 즉, 스위치의 전원 공급과 스위치의 바이패스 연결 설정을 제어하여 제2 단방향 통신을 허용하거나 물리적으로 차단할 수 있다.
즉, 스위치는 외부망 모듈(130)에서 내부망 모듈(120) 사이에 위치하여 제2 단방향 통신을 지원하는 역할을 한다.
여기서, 스위치는 외부망 모듈(130)로부터 수신한 데이터를 내부망 모듈(120)로 바이패스 한다. 스위치는 FSAL200 등의 analog multiplexer / demultiplexer switch(아날로그 멀티플렉서 / 디멀티플렉서 스위치)를 의미할 수 있으며, 스위치의 종류는 이에 한정되지 않는다.
예컨대, 통신 모드가 단방향 통신 모드인 경우에는, 스위치에 공급되는 전원을 차단하고 스위치의 바이패스 연결을 해제하여 제2 단방향 통신을 물리적으로 차단하여 단방향 통신 기능만을 제공할 수 있다.
예컨대, 통신 모드가 조건부 양방향 통신 모드이고 내부망 기기에서 시작하는 양방향 프로토콜 세션이 존재하지 않는 동안에는, 스위치에 공급되는 전원을 차단하고 스위치의 바이패스 연결을 해제하여 제2 단방향 통신을 물리적으로 차단하여 단방향 통신 기능만을 제공할 수 있다.
예컨대, 통신 모드가 조건부 양방향 통신 모드이고 내부망 기기에서 시작하는 양방향 프로토콜 세션이 존재하는 동안에는, 스위치에 전원을 공급하고 스위치의 바이패스 연결을 설정하여 제2 단방향 통신을 물리적으로 연결하여 조건부 양방향 통신 기능을 제공할 수 있다.
예컨대, 통신 모드가 양방향 통신 모드이고 외부망 기기가 인증되지 않은 경우에는, 조건부 양방향 통신 모드와 동일한 통신 기능을 제공할 수 있다. 즉, 내부망 기기에서 시작하는 양방향 프로토콜 세션이 존재하는 동안에만 제2 단방향 통신을 물리적으로 연결하여 조건부 양방향 통신 기능을 제공하고, 내부망 기기에서 시작하는 양방향 프로토콜 세션이 존재하지 않는 동안에는 제2 단방향 통신을 물리적으로 차단하여 단방향 통신 기능만을 제공할 수 있다.
예컨대, 통신 모드가 양방향 통신 모드이고 외부망 기기가 인증된 경우에는, 스위치에 전원을 공급하고 스위치의 바이패스 연결을 설정하여 제2 단방향 통신을 물리적으로 연결하여 양방향 통신 기능을 제공할 수 있다.
그리고, 통신 모드가 조건부 양방향 통신 모드 또는 양방향 통신 모드인 경우에는 스위치에 전원을 공급하고 스위치의 바이패스 연결을 제어하여 제2 단방향 통신을 관리할 수 있다.
선택적 실시예에서, 통신 제어 모듈(140)은 물리적으로 통신 모드를 선택하도록 할 수 있다.
예컨대, 물리적인 스위치나 다이얼, 버튼 등을 이용하여 내부망과 외부망 사이의 통신 모드를 물리적으로 선택하도록 할 수 있다.
인증 모듈(150)은 통신 모드가 양방향 통신 모드인 경우에, 외부망(도 1의 220 참조)의 통신 대상 기기(도 1의 220a, 220b 및 220c 참조)의 인증을 수행한다.
이때, 통신 대상 기기(도 1의 220a, 220b 및 220c 참조)가 인증되지 않은 경우에는, 통신 모드가 양방향 통신 모드임에도 불구하고 해당 기기들과는 조건부 양방향 통신 모드와 동일한 통신 기능을 제공할 수 있다.
즉, 인증 모듈(150)을 통해 외부망(도 1의 220 참조)에 연결된 외부망 기기의 인증 후에는 허용 시간동안은 외부망 모듈(130)에서 내부망 모듈(120)로의 인터페이스를 물리적으로 연결하여 양방향 통신 기능을 제공할 수 있다. 여기서, 사용자 인증 혹은 외부망 기기 인증은 양방향 통신 기능을 위한 트리거 역할을 할 수 있다.
선택적 실시예에서, 인증 모듈(150)은 인증에 따른 양방향 통신 기능 제공 여부를 선택할 수 있고, 인증에 따른 양방향 통신 기능 제공 여부를 비활성화한 경우에는 인증 없이도 양방향 통신 모드에서 양방향 통신 기능을 제공할 수 있다.
도 3은 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)를 나타낸 블록도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 내부망(210) 및 외부망(220)과 상호 연결된다. 그리고, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)는 내부망 모듈(120), 외부망 모듈(130), 통신 제어 모듈(140) 및 인증 모듈(150) 등을 포함한다.
내부망 모듈(120)은 내부망(210)과 상호 연결되며, 외부망 모듈(130)로의 제1 단방향 통신이 가능하다.
외부망 모듈(130)은 외부망(220)과 상호 연결되며, 통신 제어 모듈(140)을 통하여 내부망 모듈(120)로의 제2 단방향 통신이 가능하다.
통신 제어 모듈(140)은 통신 모드와 통신 기능에 따라 제2 단방향 통신을 제어한다.
여기서, 통신 모드는 내부망 모듈에서 외부망 모듈로의 단방향 통신 기능만을 제공하는 단방향 통신 모드, 내부망 모듈에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 조건부 양방향 통신 기능을 허용하고 그 이외에는 단방향 통신 기능만을 제공하는 조건부 양방향 통신 모드 및 양방향 통신 모드를 포함할 수 있다.
이때, 인증 모듈(150)에서 인증되지 않은 통신 대상 기기는 통신 모드가 양방향 통신 모드라고 하더라도 조건부 양방향 통신 모드와 동일한 통신 기능을 제공할 수 있다.
인증 모듈(150)은 외부망(220)과 상호 연결되며, 외부망(220)에 연결된 통신 대상 기기에 대한 인증을 수행하여 인증 정보를 통신 제어 모듈(140)으로 전송한다.
도 4는 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)의 내부 구성을 0나타낸 블록도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)은 내부망 모듈(120), 외부망 모듈(130), 통신 제어 모듈(140) 및 인증 모듈(150) 등을 포함할 수 있다.
내부망 모듈(120)은 내부망 송수신기(121), 제1 송신기(122), 제1 수신기(123) 및 관리부(124) 등을 포함할 수 있다.
외부망 모듈(130)은 외부망 송수신기(131), 제2 수신기(132) 및 제2 송신기(133) 등을 포함할 수 있다.
통신 제어 모듈(140)은 스위치(141), 전원 제어부(142), 바이패스 제어부(143), 관리부(144) 및 통신 모드 선택부(145) 등을 포함할 수 있다.
인증 모듈(150)은 인증 송수신기(151), 인증부(152), 관리부(153) 및 인증 여부 선택부(154) 등을 포함할 수 있다.
여기서, 내부망 모듈(120)의 내부망 송수신기(121)은 내부망(210)과 상호 연결되며, 내부망(210)과의 송수신 신호를 전송하는데 필요한 통신 인터페이스를 제공한다.
내부망 모듈(120)의 제1 송신기(122)는 외부망 모듈(130)의 제2 수신기(132)로의 제1 단방향 통신을 위한 신호를 송신한다. 여기서, 제1 송신기(122)는 물리적으로 송신만 지원한다.
내부망 모듈(120)의 제1 수신기(123)는 통신 제어 모듈(140)의 스위치(141)을 거친 외부망 모듈(130)의 제2 송신기(133)에서부터의 제2 단방향 통신을 위한 신호를 수신한다. 여기서, 제1 수신기(123)은 물리적으로 수신만 지원한다.
내부망 모듈(120)의 관리부(124)는 내부망 모듈(120) 내에서의 일련의 과정을 관리하는 역할을 하며, 통신 제어 모듈(140)의 관리부(144)와 라인 1 내지 라인 5를 통해 통신 모드와 통신 기능에 대한 정보를 송수신할 수 있다.
이때, 각각의 라인은 0 또는 1의 값을 갖는 1비트 신호 전송 라인으로, 다이오드를 통해 한쪽 방향으로만 신호 전송이 가능하도록 구현될 수 있다.
여기서, 라인 1 내지 라인 3은 통신 제어 모듈(140)에서 설정된 통신 모드를 내부망 모듈(120)으로 전송하기 위한 신호 전송 라인으로, 라인 1은 단방향 통신 모드의 활성화 여부를 나타내고, 라인 2는 조건부 양방향 통신 모드의 활성화 여부를 나타내며, 라인 3은 양방향 통신 모드의 활성화 여부를 나타낸다.
예컨대, 통신 모드가 단방향 통신 모드인 경우에, 라인 1 내지 라인 3은 100의 값을 통신 제어 모듈(140)의 관리부(144)에서 내부망 모듈(120)의 관리부(124)로 전달하게 된다.
또한, 라인 4는 통신 모드가 양방향 통신 모드인 경우에 있어서, 양방향 통신 기능을 제공하기 위하여 통신 제어 모듈(140)의 관리부(144)에서 내부망 모듈(120)의 관리부(124)로 양방향 통신 기능 제공 여부 신호를 전송하기 위한 신호 전송 라인이다.
예컨대, 통신 모드가 양방향 통신 모드이고 라인 4의 값이 1인 경우에는, 내부망 모듈(120)은 양방향 통신 기능을 제공할 수 있다.
특히, 통신 제어 모듈(140)의 관리부(144)는 외부망(220)의 통신 대상 기기가 인증 모듈(150)에서 인증이 된 경우에만 라인 4의 값을 1로 설정하여 내부망 모듈(120)의 관리부(124)로 신호를 전송할 수 있다.
또한, 라인 5는 내부망 모듈(120)의 관리부(124)에서 통신 제어 모듈(140)의 관리부(144)로 조건부 양방향 통신 기능의 사용을 요청하기 위한 신호 전송 라인이다.
예컨대, 내부망 모듈(120)로부터 시작하는 양방향 통신 프로토콜이 존재하는 경우에, 라인 5의 값을 1로 설정하여 통신 제어 모듈(140)의 관리부(144)로 라인 5의 신호를 전송하여 조건부 양방향 통신 기능의 사용을 요청할 수 있다.
또한, 내부망 모듈(120)의 관리부(124)는 단방향 통신 기능, 조건부 양방향 통신 기능 및 양방향 통신 기능을 제공함에 있어서, 각각에 상응하는 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트를 이용하여 외부망 모듈(130)과의 통신 여부를 결정할 수 있다.
또한, 내부망 모듈(120)의 관리부(124)는 양방향 화이트리스트를 동적으로 관리하여, 양방향 통신 기능을 제공하는 동안 인증 모듈(150)로부터 수신한 인증된 통신 대상 기기에 상응하는 화이트리스트 정보를 양방향 화이트리스트에 임시 등록할 수 있다.
또한, 내부망 모듈(120)의 관리부(124)는 세션 관리가 필요한 통신 프로토콜을 이용하고 제1 수신기(123)가 링크업 상태가 아닌 경우, 외부망 모듈(130)로 전송하고자 하는 데이터 패킷을 버퍼링할 수 있다.
또한, 내부망 모듈(120)의 관리부(124)는 세션 관리가 필요한 통신 프로토콜을 이용하고 제1 수신기(123)가 링크업 상태인 경우, 외부망 모듈(130)로 전송할 버퍼링된 데이터 패킷을 제1 단방향 통신을 이용하여 외부망 모듈(130)로 전송하도록 할 수 있다.
외부망 모듈(130)의 외부망 송수신기(131)는 외부망(220)과 상호 연결되며, 외부망(220)과의 송수신 신호를 전송하는데 필요한 통신 인터페이스를 제공한다.
외부망 모듈(130)의 제2 수신기(132)는 내부망 모듈(120)의 제1 송신기(122)로부터의 제1 단방향 통신을 위한 신호를 수신한다. 여기서, 제2 수신기(132)는 물리적으로 수신만 지원한다.
외부망 모듈(130)의 제2 송신기(133)는 통신 제어 모듈(140)의 스위치(141)을 거쳐 내부망 모듈(120)의 제1 수신기(123)으로의 제2 단방향 통신을 위한 신호를 송신한다. 여기서, 제2 송신기(133)는 물리적으로 송신만 지원한다.
통신 제어 모듈(140)의 스위치(141)는 외부망 모듈(130)에서 내부망 모듈(120)로의 제2 단방향 통신을 개폐하여 제어한다.
통신 제어 모듈(140)의 전원 제어부(142)는 스위치(141)의 전원 공급을 제어하는 역할을 하며, 통신 모드가 단방향 통신 모드인 경우에 전원 공급을 차단하여 제2 단방향 통신을 물리적으로 차단할 수 있다.
통신 제어 모듈(140)의 바이패스 제어부(143)는 스위치(141)의 바이패스 연결을 제어하는 역할을 하며, 통신 모드가 단방향 통신 모드인 경우에 바이패스 연결을 해제하여 제2 단방향 통신을 물리적으로 차단할 수 있다. 또한, 통신 모드가 조건부 양방향 통신 모드 또는 양방향 통신 모드인 경우에는 스위치(141)의 바이패스 연결을 제어하여 제2 단방향 통신을 관리할 수 있다.
통신 제어 모듈(140)의 관리부(144)는 통신 제어 모듈(140) 내의 일련의 과정을 관리하는 역할을 하며, 내부망 모듈(120)의 관리부(124)와 라인 1 내지 라인 5를 통해 통신 모드와 통신 기능에 대한 정보를 송수신할 수 있고, 인증 모듈(150)의 관리부(153)로부터 라인 6을 통해 양방향 통신 기능에 대한 정보를 수신할 수 있다.
여기서, 라인 6은 외부망(220)에 연결된 통신 대상 기기의 인증 여부에 따른 양방향 통신 기능 제공 여부를 통신 제어 모듈(140)로 전달하기 위한 신호 전달 라인이다.
통신 제어 모듈(140)의 통신 모드 선택부(145)는 물리적으로 통신 모드를 선택한다.
예컨대, 통신 모드 선택부(145)는 스위치, 다이얼 또는 버튼 등으로 구성될 수 있다.
인증 모듈(150)의 인증 송수신기(151)는 외부망(220)과 상호 연결되며, 외부망(220)에 연결된 통신 대상 기기들과의 송수신 신호를 전송하는데 필요한 통신 인터페이스를 제공한다.
인증 모듈(150)의 인증부(152)는 외부망(220)에 연결된 통신 대상 기기의 인증을 수행한다.
이때, 인증된 통신 대상 기기는 통신 모드가 양방향 통신 모드인 경우에 양방향 통신 기능을 제공받을 수 있지만, 인증되지 않은 통신 대상 기기는 통신 모드가 양방향 통신 모드인 경우라도 조건부 양방향 통신 모드와 동일한 통신 기능만을 제공받을 수 있다.
인증 모듈(150)의 관리부(153)는 인증 모듈(150) 내의 일련의 과정을 관리하는 역할을 하며, 통신 제어 모듈(140)의 관리부(144)에 라인 6을 통해 양방향 통신 기능에 대한 정보를 송신할 수 있다.
예컨대, 특정 통신 대상 기기가 인증부(152)에서 인증에 성공한 경우에, 통신 제어 모듈(140)의 관리부(144)에 라인 6의 값을 1로 설정하여 송신할 수 있다.
인증 모듈(150)의 인증 여부 선택부(154)는 양방향 통신 기능을 제공함에 있어서, 외부망(220)에 연결된 통신 대상 기기의 인증 여부에 따른 양방향 통신 기능 제공 여부를 선택한다.
예컨대, 인증 여부 선택부(154)에서 인증 여부를 비활성화하면, 통신 모드가 양방향 통신 모드인 경우에 외부망(220)의 통신 대상 기기의 인증 여부와 무관히 양방향 통신 기능을 제공할 수 있다.
도 5는 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)의 신호 전송 라인들을 나타낸 도면이다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(100)의 신호 전송 라인들(5a, 5b, 5c, 5d, 5e 및 5f)은 각각 다이오드를 이용하여 단방향으로 신호를 전송하도록 구성될 수 있다.
그리고, 각각의 신호 전송 라인들(5a, 5b, 5c, 5d, 5e 및 5f)은 0 또는 1의 값을 갖는 1비트 신호 전송 라인이다.
여기서, 라인 1(5a), 라인 2(5b) 및 라인 3(5c)은 통신 제어 모듈(140)에서 설정된 통신 모드를 내부망 모듈(120)으로 전송하기 위한 신호 전송 라인들로, 라인 1은 단방향 통신 모드의 활성화 여부를 나타내고, 라인 2는 조건부 양방향 통신 모드의 활성화 여부를 나타내며, 라인 3은 양방향 통신 모드의 활성화 여부를 나타낸다.
또한, 라인 4(5d)는 통신 모드가 양방향 통신 모드인 경우에 있어서, 양방향 통신 기능을 제공하기 위하여 통신 제어 모듈(140)에서 내부망 모듈(120)로 양방향 통신 기능 제공 여부 신호를 전송하기 위한 신호 전송 라인이다.
또한, 라인 5(5e)는 내부망 모듈(120)에서 통신 제어 모듈(140)로 조건부 양방향 통신 기능의 사용을 요청하기 위한 신호 전송 라인이다.
또한, 라인 6(5f)은 외부망(220)에 연결된 통신 대상 기기의 인증 여부에 따른 양방향 통신 기능 사용 여부를 통신 제어 모듈(140)로 전달하기 위한 신호 전달 라인이다.
이때, 인증 모듈(150)에서 통신 대상 기기의 인증을 성공하면 통신 제어 모듈(140)로 라인 6(5f)의 값을 1로 설정하여 전송하고, 통신 제어 모듈(140)은 라인 4(5d)의 값을 라인 6(5f)의 값을 복사하여 1로 설정하여 내부망 모듈(120)로 전송하여 양방향 통신 기능을 제공하도록 할 수 있다.
마찬가지로, 인증 모듈(150)에서 통신 대상 기기의 인증을 실패하면 통신 제어 모듈(140)로 라인 6(5f)의 값을 0으로 설정하여 전송하고, 통신 제어 모듈(140)은 라인 4(5d)의 값을 라인 6(5f)의 값을 복사하여 0으로 설정하여 내부망 모듈(120)로 전송하여 양방향 통신 기능을 제공하지 않도록 할 수 있다.
도 6은 도 5에 도시된 신호 전송 라인들의 값에 따른 통신 모드와 통신 기능을 나타낸 도면이다.
도 6을 참조하면, 라인 1 내지 라인 6의 값이 “100---“인 경우, 단방향 통신 모드의 단방향 통신 기능을 의미할 수 있다. 여기서, “-“는 0 또는 1의 값 중 어느 값이어도 무관하다는 의미이다.
또한, 라인 1 내지 라인 6의 값이 “010-0-“인 경우, 조건부 양방향 통신 모드의 단방향 통신 기능을 의미할 수 있다.
또한, 라인 1 내지 라인 6의 값이 “010-1-“인 경우, 조건부 양방향 통신 모드의 조건부 양방향 통신 기능을 의미할 수 있다.
또한, 라인 1 내지 라인 6의 값이 “001000”인 경우, 양방향 통신 모드의 단방향 통신 기능을 의미할 수 있다.
또한, 라인 1 내지 라인 6의 값이 “001010”인 경우, 양방향 통신 모드의 조건부 양방향 통신 기능을 의미할 수 있다.
또한, 라인 1 내지 라인 6의 값이 “0011-1”인 경우, 양방향 통신 모드의 양방향 통신 기능을 의미할 수 있다.
즉, 통신 모드가 결정되었다고 하더라도 외부망(도 1의 220 참조)에 연결된 통신 대상 기기의 인증 여부나 내부망 모듈(도 2의 120 참조)에서 시작하는 양방향 통신 프로토콜 세션의 존재 여부에 따라 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(도 1의 100 참조)가 제공하는 통신 기능이 달라질 수 있다.
도 7은 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 방법을 나타낸 동작 흐름도이다.
도 7을 참조하면, 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(도 1의 100 참조)가, 내부망에서 외부망으로의 제1 단방향 통신과 외부망에서 내부망으로의 제2 단방향 통신 중에서, 제2 단방향 통신을 제어하여 통신 모드에 따른 통신 기능을 제어한다(S701).
이때, 통신 모드는 제1 단방향 통신만을 제공하는 내부망에서 외부망으로의 단방향 통신 기능만을 제공하는 단방향 통신 모드, 내부망에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 조건부 양방향 통신 기능을 허용하고 그 이외에는 단방향 통신 기능만을 제공하는 조건부 양방향 통신 모드 및 양방향 통신 모드를 포함할 수 있다.
이때, 통신 기능을 제어하는 단계(S701)는 제2 단방향 통신을 개폐하기 위한 스위치에 있어서, 스위치의 전원 공급을 관리하는 단계와 스위치의 바이패스 연결을 관리하는 단계를 포함할 수 있다.
이때, 스위치의 전원 공급을 관리하는 단계는 통신 모드가 단방향 통신 모드인 경우에 스위치에 공급되는 전원을 차단하여 제2 단방향 통신을 물리적으로 차단하고, 통신모드가 조건부 양방향 통신 모드 또는 양방향 통신 모드인 경우에 스위치에 전원을 공급하여 제2 단방향 통신을 관리할 수 있다.
이때, 스위치의 바이패스 연결을 관리하는 단계는 통신 기능이 단방향 통신 기능인 경우에 바이패스 연결을 해제하여 제2 단방향 통신을 물리적으로 차단하며, 통신 기능이 조건부 양방향 통신 기능 또는 양방향 통신 기능인 경우에 바이패스 연결을 설정하여 제2 단방향 통신을 연결할 수 있다.
이때, 통신 기능을 제어하는 단계(S701)는 물리적으로 선택된 통신 모드에 따른 통신 기능을 제어할 수 있다. 즉, 사용자가 물리적인 버튼이나 다이얼 등을 통하여 통신 모드를 설정하도록 할 수 있다.
이때, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은 양방향 통신 모드가 양방향 통신 모드일 때, 외부망의 통신 대상 기기를 인증하는 단계를 더 포함할 수 있다.
이때, 양방향 통신 모드는 인증된 통신 대상 기기와는 양방향 통신 기능을 제공하고, 인증되지 않은 통신 대상 기기와는 조건부 양방향 통신 모드와 동일한 기능을 제공할 수 있다.
이때, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은 단방향 통신 기능, 조건부 양방향 통신 기능 및 양방향 통신 기능을 제공함에 있어서, 각각에 상응하는 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트를 이용하여 상기 외부망과의 통신 여부를 결정하는 단계를 더 포함할 수 있다.
이때, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은 양방향 화이트리스트를 동적으로 관리하여, 양방향 통신 기능을 제공하는 동안 인증된 통신 대상 기기에 상응하는 화이트리스트 정보를 양방향 화이트리스트에 임시 등록하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(도 1의 100 참조)가, 제1 단방향 통신을 통해 내부망에서 외부망으로 제1 데이터 패킷을 전송한다(S703).
이때, 제1 데이터 패킷을 전송하는 단계(S703)는 세션 관리가 필요한 통신 프로토콜을 이용하고 제2 단방향 통신이 링크업 상태가 아닌 경우, 외부망으로 전송하고자 하는 제1 데이터 패킷을 버퍼링하는 단계를 포함할 수 있다.
이때, 제1 데이터 패킷을 전송하는 단계(S703)는 세션 관리가 필요한 통신 프로토콜을 이용하고 제2 단방향 통신이 링크업 상태인 경우, 외부망으로 전송할 버퍼링된 제1 데이터 패킷을 제1 단방향 통신을 이용하여 외부망으로 전송하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(도 1의 100 참조)가, 제2 단방향 통신의 제어에 따라 제2 단방향 통신을 통해 외부망에서 내부망으로 제2 데이터 패킷을 전송한다(S705).
선택적 실시예에서, 상기 단계들(S701, S703 및 S705)에 있어서, 제1 데이터 패킷을 전송하는 단계(S703) 및 제2 데이터 패킷을 전송하는 단계(S705)는 병렬적으로 수행될 수 있다.
도 8은 본 발명의 일 실시예에서 통신 모드의 변경에 따른 통신 제어 과정을 나타낸 동작 흐름도이다.
도 8을 참조하면, 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(도 1의 100 참조)의 통신 제어 모듈(도 2의 140 참조)가, 통신 모드가 변경 되었는지 판단한다(S801).
단계(S801)의 판단 결과, 통신 모드가 변경되지 않은 경우, 다시 단계(S801)로 돌아가 이후 통신 모드가 변경되었는지 판단하도록 한다.
단계(S801)의 판단 결과, 통신 모드가 변경된 경우에는, 변경된 통신모드가 어떤 것인지 판단한다(S803).
단계(S803)의 판단 결과, 변경된 통신 모드가 단방향 통신 모드인 경우, 통신 제어 모듈(도 2의 140 참조)가 라인 1 내지 라인 3(도 5의 5a, 5b 및 5c 참조)의 값을 100으로 설정하여 내부망 모듈(도 2의 120 참조)의 관리부(도 2의 124 참조)로 전송하고(S805), 스위치 전원의 공급을 차단하며(S807), 바이패스 연결 설정을 해제한다(S809).
이에 따라, 단방향 통신 모드인 경우에는 외부망(도 1의 220 참조)에서 내부망(도 1의 210 참조)로의 단방향 통신을 물리적으로 차단하여 보안성과 안정성을 높일 수 있다.
단계(S805)의 판단 결과, 변경된 통신 모드가 조건부 양방향 통신 모드인 경우, 통신 제어 모듈(도 2의 140 참조)가 라인 1 내지 라인 3(도 5의 5a, 5b 및 5c 참조)의 값을 010으로 설정하여 내부망 모듈(도 2의 120 참조)의 관리부(도 2의 124 참조)로 전송하고(S811), 스위치에 전원을 공급하며(S813), 바이패스 연결 설정을 해제한다(S809).
단계(S805)의 판단 결과, 변경된 통신 모드가 양방향 통신 모드인 경우, 통신 제어 모듈(도 2의 140 참조)가 라인 1 내지 라인 3(도 5의 5a, 5b 및 5c 참조)의 값을 001으로 설정하여 내부망 모듈(도 2의 120 참조)의 관리부(도 2의 124 참조)로 전송하고(S815), 스위치에 전원을 공급하며(S813), 바이패스 연결 설정을 해제한다(S809).
선택적 실시예에서, 상기 단계들(S801, S803, S805, S807, S809, S811, S813 및 S815)에 있어서, 스위치 전원 공급을 차단하는 단계(S807)과 바이패스 연결 설정을 해제하는 단계(S809)는 병렬적으로 수행될 수 있다.
선택적 실시예에서, 상기 단계들(S801, S803, S805, S807, S809, S811, S813 및 S815)에 있어서, 스위치에 전원을 공급하는 단계(S813)과 바이패스 연결 설정을 해제하는 단계(S809)는 병렬적으로 수행될 수 있다.
도 9는 도 5에 도시된 신호 전송 라인들 중에서 라인 5 또는 라인 6(도 5의 5e 또는 5f 참조)의 정보의 변경에 따른 통신 제어 과정을 나타낸 동작 흐름도이다.
도 9를 참조하면, 먼저 도 5에 도시된 신호 전송 라인들 중에서 라인 5(도 5의 5e 참조) 또는 라인 6의 정보가 변경되었는지 판단한다(S901).
단계(S901)의 판단 결과, 라인 5 또는 라인 6(도 5의 5e 또는 5f 참조)의 정보가 변경되지 않은 경우, 다시 단계(S901)로 돌아가 후에 라인 5 또는 라인 6(도 5의 5e 또는 5f 참조)의 정보가 변경되었는지 여부를 판단할 수 있도록 한다.
단계(S901)의 판단 결과, 라인 5 또는 라인 6(도 5의 5e 또는 5f 참조)의 정보가 변경된 경우, 라인 6의 정보가 변경되었는지 판단한다(S903).
단계(S903)의 판단 결과, 라인 6(도 5의 5f 참조)의 정보가 변경된 경우, 통신 제어 모듈(도 2의 140)는 라인 4(도 5의 5d 참조)에 라인 6(도 5의 5e 또는 5f 참조)의 정보를 복사하여 라인 4(도 5의 5d 참조)를 통해 내부망 모듈(도 2의 120 참조)의 관리부(도 2의 122 참조)로 전송한다(S905).
단계(S903)의 판단 결과, 라인 6(도 5의 5f 참조)의 정보가 변경되지 않은 경우이거나 단계(S905)를 거친 경우, 통신 모드가 무엇인지 판단한다(S907).
단계(S907)의 판단 결과, 통신 모드가 단방향 통신 모드인 경우에는 종료한다.
이는, 단방향 통신 모드는 단방향 통신 기능만을 제공하기 때문에 스위치(도 4의 141 참조)를 제어할 필요가 없기 때문이다.
단계(S907)의 판단 결과, 통신 모드가 조건부 양방향 통신 모드인 경우, 라인 5(도 5의 5e 참조)의 값이 0인지 판단한다(S909).
단계(S909)의 판단 결과, 라인 5(도 5의 5e 참조)의 값이 0인 경우, 통신 제어 모듈(도 2의 140 참조)은 스위치(도 4의 141 참조)의 바이패스 연결 설정을 해제한다(S911).
즉, 통신 제어 모듈(도 2의 140 참조)은 통신 모드가 조건부 양방향 통신 모드인 경우, 내부망 모듈(도 2의 120 참조)로부터 조건부 양방향 통신 기능 사용 해제 요청(라인 5의 값: 0)을 수신하면, 스위치의 바이패스 연결 설정을 해제할 수 있다.
단계(S909)의 판단 결과, 라인 5(도 5의 5e 참조)의 값이 0이 아닌 경우, 통신 제어 모듈(도 2의 140 참조)은 스위치(도 4의 141 참조)의 바이패스 연결 설정한다(S913).
즉, 통신 제어 모듈(도 2의 140 참조)은 통신 모드가 조건부 양방향 통신 모드인 경우, 내부망 모듈(도 2의 120 참조)로부터 조건부 양방향 통신 기능 사용 요청(라인 5의 값: 1)을 수신하면, 스위치의 바이패스 연결 설정을 할 수 있다.
단계(S907)의 판단 결과, 통신 모드가 양방향 통신 모드인 경우, 라인 5 및 라인 6(도 5의 5e 및 5f 참조)의 값이 00인지 판단한다(S915).
단계(S915)의 판단 결과, 라인 5 및 라인 6(도 5의 5e 및 5f 참조)의 값이 00인 경우, 통신 제어 모듈(도 2의 140 참조)은 스위치(도 4의 141 참조)의 바이패스 연결 설정을 해제한다(S917).
즉, 통신 제어 모듈(도 2의 140 참조)은 통신 모드가 양방향 통신 모드인 경우, 내부망 모듈(도 2의 120 참조)로부터 조건부 양방향 통신 기능 사용 해제 요청(라인 5의 값: 0)을 수신하고 인증 모듈(도 2의 150 참조)로부터 양방향 통신 기능 사용 해제 요청(라인 6의 값: 0)을 수신하면, 스위치의 바이패스 연결 설정을 해제할 수 있다.
단계(S915)의 판단 결과, 라인 5 및 라인 6(도 5의 5e 및 5f 참조)의 값이 00이 아닌 경우, 통신 제어 모듈(도 2의 140 참조)은 스위치(도 4의 141 참조)의 바이패스 연결 설정한다(S919).
즉, 통신 제어 모듈(도 2의 140 참조)은 통신 모드가 양방향 통신 모드인 경우, 내부망 모듈(도 2의 120 참조)로부터 조건부 양방향 통신 기능 사용 요청(라인 5의 값: 1)을 수신하거나 인증 모듈(도 2의 150 참조)로부터 양방향 통신 기능 사용 요청(라인 6의 값: 1)을 수신하면, 스위치의 바이패스 연결 설정을 할 수 있다.
따라서, 스위치의 바이패스 연결 설정을 통해 외부망 모듈(도 2의 130 참조)로부터 내부망 모듈(도 2의 120 참조)로의 제2 단방향 통신이 가능하게 할 수 있다. 또한, 스위치의 바이패스 연결 설정 해제를 통해 외부망 모듈(도 2의 130 참조)로부터 내부망 모듈(도 2의 120 참조)로의 제2 단방향 통신을 물리적으로 불가능하게 할 수 있다.
도 10은 도 5에 도시된 신호 전송 라인들 중에서 라인 1 내지 라인 4(도 5의 5a, 5b, 5c 및 5d 참조)의 정보의 변경에 따른 내부망 모듈(도 2의 120 참조)의 동작을 나타낸 동작 흐름도이다.
도 10을 참조하면, 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)은 라인 1 내지 라인 4(도 5의 5a, 5b, 5c 및 5d 참조)의 정보가 변경되었는지 여부를 판단한다(S1001).
단계(S1001)의 판단 결과, 라인 1 내지 라인 4(도 5의 5a, 5b, 5c 및 5d 참조)의 정보가 변경되지 않은 경우, 단계(S1001)로 돌아가 이후 라인 1 내지 라인 4(도 5의 5a, 5b, 5c 및 5d 참조)의 정보가 변경되었는지 여부를 판단한다.
단계(S1001)의 판단 결과, 라인 1 내지 라인 4(도 5의 5a, 5b, 5c 및 5d 참조)의 정보가 변경된 경우, 라인 1 내지 라인 3(도 5의 5a, 5b 및 5c 참조)의 값이 어떤 것인지 판단한다(S1003).
단계(S1003)의 판단 결과, 라인 1 내지 라인 3(도 5의 5a, 5b 및 5c 참조)의 값이 “100”인 경우, 내부망 모듈(도 2의 120 참조)은 단방향 통신 모드로 동작한다(S1005).
또한, 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)은 단방향 통신 모드로 동작하는 경우, 단방향 통신 기능을 사용하고(S1007), 단방향 화이트리스트를 사용하여 외부망 모듈(도 2의 130 참조)과의 통신 여부를 결정하며(S1009), 시간 정보를 포함한 로그를 생성한다(S1027).
단계(S1003)의 판단 결과, 라인 1 내지 라인 3(도 5의 5a, 5b 및 5c 참조)의 값이 “010”인 경우, 내부망 모듈(도 2의 120 참조)은 조건부 양방향 통신 모드로 동작하며(S1011), 내부망에서 시작하는 양방향 프로토콜 세션이 존재하는지 판단한다(S1013).
단계(S1013)의 판단 결과, 내부망에서 시작하는 양방향 프로토콜 세션이 존재하지 않는 경우, 내부망 모듈(도 2의 120 참조)은 단계(S1007)을 수행하여 단방향 통신 기능을 사용한다.
단계(S1013)의 판단 결과, 내부망에서 시작하는 양방향 프로토콜 세션이 존재하는 경우, 내부망 모듈(도 2의 120 참조)은 조건부 양방향 통신 기능을 사용하고(S1015), 조건부 양방향 화이트리스트를 사용하여 외부망 모듈(도 2의 130 참조)과의 통신 여부를 결정하며(S1017), 시간 정보를 포함한 로그를 생성한다(S1027).
단계(S1003)의 판단 결과, 라인 1 내지 라인 3(도 5의 5a, 5b 및 5c 참조)의 값이 “001”인 경우, 내부망 모듈(도 2의 120 참조)은 양방향 통신 모드로 동작하며(S1019), 라인 4(도 5의 5d 참조)의 값이 0인지 판단한다(S1021).
단계(S1021)의 판단 결과, 라인 4(도 5의 5d 참조)의 값이 0인 경우, 단계(S1013)으로 진행하여 내부망에서 시작하는 양방향 프로토콜 세션이 존재하는지 판단한다.
단계(S1021)의 판단 결과, 라인 4(도 5의 5d 참조)의 값이 0이 아닌 경우, 내부망 모듈(도 2의 120 참조)은 양방향 통신 기능을 사용하고(S1023), 양방향 화이트리스트를 사용하여 외부망 모듈(도 2의 130 참조)과의 통신 여부를 결정하며(S1025), 시간 정보를 포함한 로그를 생성한다(S1027).
단계(S1003)의 판단 결과, 라인 1 내지 라인 3(도 5의 5a, 5b 및 5c 참조)의 값이 “100”, “010” 또는 “001”이 아닌 경우, 단계(S1001)로 돌아가 이후 라인 1 내지 라인 4(도 5의 5a, 5b, 5c 및 5d 참조)의 정보가 변경되었는지 여부를 판단한다.
이때, 내부망 모듈(도 2의 120 참조)는 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트를 관리하고 있으며, 단방향 화이트리스트는 조건부 양방향 화이트리스트에 상속되며, 조건부 양방향 화이트리스트는 양방향 화이트리스트에 상속될 수 있다.
도 11은 본 발명의 일 실시예에 따른 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트의 예시를 나타낸 도면이다.
도 11을 참조하면, 각각의 화이트리스트에는 source IP, source port, destination IP, destination port 및 프로토콜 등을 포함하고 있다. 또한, 각각의 화이트리스트에는 양방향 통신의 여부나 1일 허용횟수, 1일 이용횟수, 1회 허용시간, 허용 패킷 데이터 길이, 허용 총 데이터 길이 등을 더 포함할 수도 있다.
이때, 단방향 화이트리스트는 조건부 양방향 화이트리스트에 상속될 수 있으며, 조건부 양방향 화이트리스트는 양방향 화이트리스트에 상속될 수 있다.
예컨대, 단방향 화이트리스트에는 (source IP, source port, destination IP, destination port, protocol)이 각각 (기기1의 IP주소, 1000, 기기4의 IP주소, 2000, UDP)인 항목이 삽입될 수 있다. 이외에도 (1일 허용횟수, 1일 이용횟수, 1회 허용시간, 허용 패킷 데이터 길이, 허용 총 데이터 길이)를 각각 (-1, 6초, -1, -1, -1)로 설정할 수도 있다. 여기서, -1은 무제한을 의미한다.
또한, 조건부 양방향 화이트리스트에는 (source IP, source port, destination IP, destination port, protocol)이 각각 (기기1의 IP주소, any, 기기5의 IP주소, 123, UDP)인 항목이 삽입될 수 있다. 이외에도 (1일 허용횟수, 1일 이용횟수, 1회 허용시간, 허용 패킷 데이터 길이, 허용 총 데이터 길이)를 각각 (5회, 4회, 20초, 200bytes, 10Kbytes)로 설정할 수도 있다.
또한, 양방향 화이트리스트에는 (source IP, source port, destination IP, destination port, protocol)이 각각 (기기6의 IP주소, 2000, 기기3 IP주소, 5000, TCP)인 항목이 삽입될 수 있다. 이외에도 (1일 허용횟수, 1일 이용횟수, 1회 허용시간, 허용 패킷 데이터 길이, 허용 총 데이터 길이)를 각각 (-1, 1회, -1, -1, -1)로 설정할 수도 있다.
도 12는 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)이 내부망(도 1의 210 참조)으로부터 데이터를 캡쳐할 때의 동작을 나타낸 동작 흐름도이다.
도 12를 참조하면, 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)은, 내부망 송수신기(도4의 121 참조)를 통해 내부망(도 1의 210 참조)로부터 데이터를 캡쳐한다(S1201).
또한, 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)은, 캡쳐한 데이터 패킷의 종류를 판단한다(S1203).
단계(S1203)의 판단 결과, 캡쳐한 데이터가 ARP 요청 패킷이나 IP 패킷이 아닌 경우, 단계(S1201)로 돌아가 이후 내부망(도 1의 210 참조)으로부터 데이터를 캡쳐하도록 한다.
단계(S1203)의 판단 결과, 캡쳐한 데이터가 IP 패킷인 경우, 선정된 화이트리스트의 각 항목과 비교하여 캡쳐한 데이터에 상응하는 항목이 존재하는지 판단한다(S1205).
여기서, 선정된 화이트리스트는 현재 사용되는 통신 모드와 통신 기능에 상응하는 화이트리스트이다.
단계(S1205)의 판단 결과, 선정된 화이트리스트에 IP 패킷에 상응하는 항목이 존재하지 않는 경우, 단계(S1201)로 돌아가 이후 내부망(도 1의 210 참조)으로부터 데이터를 캡쳐하도록 한다.
단계(S1205)의 판단 결과, 선정된 화이트리스트에 IP 패킷에 상응하는 항목이 존재하는 경우, 세션 관리가 필요한 양방향 통신 프로토콜인지를 판단한다(S1207).
여기서, 세션 관리가 필요한 양방향 통신 프로토콜에는 TCP 또는 양방향 UDP가 포함되며, 세션관리가 필요하지 않은 양방향 통신 프로토콜에는 단방향 UDP가 포함된다.
단계(S1207)의 판단 결과, 세션 관리가 필요한 양방향 통신 프로토콜인 경우, 통신 프로토콜 세션을 관리하고(S1209), 제1 수신기(도 4의 123 참조)가 링크업 상태인지 판단한다(S1211).
단계(S1211)의 판단 결과, 제1 수신기(도 4의 123 참조)가 링크업 상태인 경우, 제1 송신기(도 4의 122 참조)로 캡쳐한 데이터 패킷을 전송한다(S1213).
단계(S1211)의 판단 결과, 제1 수신기(도 4의 123 참조)가 링크업 상태가 아닌 경우, 캡쳐한 데이터 패킷을 버퍼링한다(S1215).
이에 따라, 제1 수신기(도 4의 123 참조)가 링크업 상태가 아닐 때 발생할 수 있는 패킷 손실을 차단할 수 있다.
단계(S1207)의 판단 결과, 세션 관리가 필요하지 않은 양방향 통신 프로토콜인 경우, 제1 송신기(도 4의 122 참조)로 캡쳐한 데이터 패킷을 전송한다.
단계(S1203)의 판단 결과, 캡쳐한 데이터 패킷의 종류가 ARP 요청 패킷인 경우, ARP 요청 패킷의 target IP 주소가 선정된 화이트리스트의 특정 항목의 destination IP와 일치하는지 여부를 판단한다(S1217).
단계(S1217)의 판단 결과, 선정된 화이트리스트에 ARP 요청 패킷에 상응하는 항목이 존재하지 않는 경우, 단계(S1201)로 돌아가 이후 내부망(도 1의 210 참조)으로부터 데이터를 캡쳐하도록 한다.
단계(S1217)의 판단 결과, 선정된 화이트리스트에 ARP 요청 패킷에 상응하는 항목이 존재하는 경우, 해당 destination IP를 대신하여 ARP 응답 패킷을 생성하고(S1219), 생성된 ARP 응답 패킷을 내부망 송수신기(도 4의 121 참조)로 전송한다(S1221). 즉, 내부망 모듈(도 2의 120 참조)은 destination IP를 대신하여 ARP 프록시 역할을 수행한다.
도 13은 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)이 외부망 모듈(도 2의 130 참조)로부터 데이터를 캡쳐할 때의 동작을 나타낸 동작 흐름도이다.
도 13을 참조하면, 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)은, 제1 수신기(도 4의 123 참조)를 통해 외부망 모듈(도 2의 130 참조)로부터 데이터를 캡쳐한다(S1301).
또한, 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)은, 캡쳐한 데이터 패킷이 IP 패킷인지 판단한다(S1303).
단계(S1303)의 판단 결과, 캡쳐한 데이터 패킷이 IP 패킷이 아닌 경우, 단계(S1301)로 돌아가 이후 외부망 모듈(도 2의 130 참조)로부터 데이터를 캡쳐하도록 한다.
단계(S1303)의 판단 결과, 캡쳐한 데이터 패킷이 IP 패킷인 경우 선정된 화이트리스트의 각 항목과 비교하여 캡쳐한 데이터 패킷에 상응하는 항목이 존재하는지 판단한다(S1305).
여기서, 선정된 화이트리스트는 현재 사용되는 통신 모드와 통신 기능에 상응하는 화이트리스트이다.
단계(S1305)의 판단 결과, 선정된 화이트리스트에 IP 패킷에 상응하는 항목이 존재하지 않는 경우, 단계(S1301)로 돌아가 이후 외부망 모듈(도 2의 130 참조)로부터 데이터를 캡쳐하도록 한다.
단계(S1305)의 판단 결과, 선정된 화이트리스트에 IP 패킷에 상응하는 항목이 존재하는 경우, 세션 관리가 필요한 양방향 통신 프로토콜인지를 판단한다(S1307).
여기서, 세션 관리가 필요한 양방향 통신 프로토콜에는 TCP 또는 양방향 UDP가 포함되며, 세션관리가 필요하지 않은 양방향 통신 프로토콜에는 단방향 UDP가 포함된다.
단계(S1307)의 판단 결과, 세션 관리가 필요한 양방향 통신 프로토콜인 경우, 통신 프로토콜 세션을 관리하고(S1309), 내부망 송수신기(도 4의 121 참조)로 캡쳐한 데이터 패킷을 전송한다(S1311).
단계(S1307)의 판단 결과, 세션 관리가 필요하지 않은 양방향 통신 프로토콜인 경우, 바로 내부망 송수신기(도 4의 121 참조)로 캡쳐한 데이터 패킷을 전송한다(S1311).
도 14는 도 12에 도시된 통신 프로토콜 세션을 관리하는 단계(S1209)의 일 예를 나타낸 동작 흐름도이다.
도 14를 참조하면, 도 12에 도시된 통신 프로토콜 세션을 관리하는 단계(S1209)는, 캡쳐된 데이터 패킷에 대한 세션이 관리중인지 판단한다(S1401).
단계(S1401)의 판단 결과, 캡쳐된 데이터 패킷에 대한 세션이 관리중인 경우, 절차를 종료한다.
단계(S1401)의 판단 결과, 캡쳐된 데이터 패킷에 대한 세션이 관리중이지 않은 경우, 선정된 화이트리스트 기반으로 세션을 생성한다(S1403).
여기서, 선정된 화이트리스트는 현재 사용되는 통신 모드와 통신 기능에 상응하는 화이트리스트이다. 그리고, 세션에 대해 1일 허용횟수, 1회 허용시간, 허용 데이터 길이 등의 값을 할당한다.
또한, 도 12에 도시된 통신 프로토콜 세션을 관리하는 단계(S1209)는, 제1 수신기(도 4의 123 참조)가 링크업 상태인지 판단한다(S1405).
단계(S1405)의 판단 결과, 제1 수신기(도 4의 123 참조)가 링크업 상태인 경우에는, 절차를 종료한다.
단계(S1405)의 판단 결과, 제1 수신기(도 4의 123 참조)가 링크업 상태가 아닌 경우에는, 조건부 양방향 통신 기능 사용 요청을 한다.
여기서, 조건부 양방향 통신 기능의 사용 요청은 스위치 바이패스 연결 설정 요청일 수 있다. 또한, 조건부 양방향 통신 기능 사용 요청을 위해 도 5에 도시된 라인5(도 5의 5e 참조)의 값을 1로 설정하여 통신 제어 모듈(도 2의 140 참조)로 전송할 수 있다.
그리고, 1일 허용횟수, 1회 허용시간, 허용 데이터 패킷 길이 등을 기반으로 필터링하는 동작 과정은 쉽게 확장이 가능하므로 상세 기술은 하지 않는다.
도 15는 도 13에 도시된 통신 프로토콜 세션을 관리하는 단계(S1309)의 일 예를 나타낸 동작 흐름도이다.
도 15를 참조하면, 도 13에 도시된 통신 프로토콜 세션을 관리하는 단계(S1309)는, 캡쳐된 데이터 패킷에 대한 세션이 관리중인지 판단한다(S1501).
단계(S1501)의 판단 결과, 캡쳐된 데이터 패킷에 대한 세션이 관리중인 경우, 절차를 종료한다.
단계(S1501)의 판단 결과, 캡쳐된 데이터 패킷에 대한 세션이 관리중이지 않은 경우, 선정된 화이트리스트 기반으로 세션을 생성한다(S1403).
여기서, 선정된 화이트리스트는 현재 사용되는 통신 모드와 통신 기능에 상응하는 화이트리스트이다. 그리고, 세션에 대해 1일 허용횟수, 1회 허용시간, 허용 데이터 길이 등의 값을 할당한다.
그리고, 1일 허용횟수, 1회 허용시간, 허용 데이터 패킷 길이 등을 기반으로 필터링하는 동작 과정은 쉽게 확장이 가능하므로 상세 기술은 하지 않는다.
도 16은 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)에서 타이머 기반으로 양방향 통신 프로토콜 세션을 관리하는 과정을 나타낸 동작 흐름도이다.
도 16을 참조하면, 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)은, 각 관리중인 세션들의 허용 잔여 시간을 시간이 흐른 만큼 감소시킨다(S1601).
또한, 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)은, 잔여 시간이 0초 이하인 세션을 삭제한다(S1603).
또한, 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)은, 내부망(도 1의 210 참조)에서 시작하는 양방향 세션이 존재하는지 여부를 판단한다(S1605).
단계(S1605)의 판단 결과, 내부망(도 1의 210 참조)에서 시작하는 양방향 세션이 존재하는 경우, 단계(S1601)로 돌아가 각 관리중인 세션들의 허용 잔여 시간을 감소시킨다.
단계(S1605)의 판단 결과, 내부망(도 1의 210 참조)에서 시작하는 양방향 세션이 존재하지 않는 경우, 조건부 양방향 통신 기능 사용 해제를 요청하고(S1607), 단계(S1601)로 돌아가 각 관리중인 세션들의 허용 잔여 시간을 감소시킨다.
이때, 단계(S1601)로 돌아감에 있어서, 기설정된 대기 시간(예컨대, 1초)만큼 대기할 수 있으며, 단계(S1601)은 기설정된 대기 시간을 고려하여 각 관리중인 세션들의 허용 잔여 시간을 감소시킬 수 있다.
도 17은 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)에서 제1 수신기(도 4의 123 참조)에 링크업 이벤트 발생시의 동작을 나타낸 동작 흐름도이다.
도 17을 참조하면, 본 발명의 일 실시예에 따른 내부망 모듈(도 2의 120 참조)은, 제1 수신기(도 4의 123 참조)에 링크업 이벤트가 발생하면(S1701), 버퍼링된 패킷이 존재하는지 판단한다(S1703).
여기서, 통신 제어 모듈(도 2의 140 참조) 내의 스위치의 전원 공급을 차단하거나 바이패스 연결 설정 해제를 할 경우, 내부망 모듈(도 2의 120 참조)의 제1 수신기(도 4의 123 참조)는 신호를 수신하지 못하므로 링크다운 상태가 된다. 통신 제어 모듈(도 2의 140 참조) 내의 스위치의 전원 공급 하고 바이패스 연결 설정을 할 경우, 내부망 모듈(도 2의 120 참조)의 제1 수신기(도 4의 123 참조)는 신호를 수신할 수 있어 링크업 상태가 된다.
즉, 외부망 모듈(도 2의 130 참조)의 제2 송신기(도 4의 133 참조)로부터 신호를 수신할 수 있을 때, 제1 송신기(도 4의 123 참조)가 링크업 상태이다.
단계(S1703)의 판단 결과, 버퍼링된 패킷이 존재하는 경우, 버퍼링된 패킷들을 순차적으로 제1 송신기(도 4의 122 참조)에 전송한다(S1705).
단계(S1703)의 판단 결과, 버퍼링된 패킷이 존재하지 않는 경우, 절차를 종료한다.
여기서, 제1 수신기에 링크업 이벤트가 발생할 때까지 내부망에서 시작하는 양방향 통신이 필요한 프로토콜 세션에 대해 내부망 송수신기로부터 수신한 패킷을 버퍼링하는 동작과정은 스위치의 바이패스 연결 설정(조건부 양방향 기능 사용 요청) 동안에 발생할 수도 있는 외부망 모듈의 제2 송신기에서 내부망 모듈의 제1 수신기로 전송되는 패킷(예, TCP SYN-ACK)의 손실을 차단할 수 있다.
도 18은 본 발명의 일 실시예에 따른 인증 모듈(도 2의 150 참조)의 인증 후 동작을 나타낸 동작 흐름도이다.
도 18을 참조하면, 본 발명의 일 실시예에 따른 인증 모듈(도 2의 150 참조)은, 외부망(도 1의 220 참조)의 사용자가 인증되었는지 판단한다(S1801).
여기서, 인증 모듈(도 2의 150 참조)은 IP를 사용한다. 그리고, 사용자 인증은 아이디/비밀번호 기반 인증, 인증서 기반 인증 및 인증 서버를 이용한 인증 중 적어도 어느 하나를 통해 이루어질 수 있다.
단계(S1801)의 판단 결과, 사용자가 인증되지 않은 경우, 단계(S1801)로 돌아가 이후 사용자 인증 여부를 판단하게 한다.
단계(S1801)의 판단 결과, 사용자가 인증된 경우, 인증 모듈(도 2의 150 참조)은 기할당된 시간동안 라인 6(도 5의 5f 참조)의 값을 1로 설정하고(S1803), 통신 제어 모듈(도 2의 140 참조)의 관리부(도 4의 144 참조)에 양방향 통신 기능 사용 요청을 전송한다(S1805).
따라서, 인증 모듈(도 2의 150 참조)은 양방향 허용 시간이 초과한 경우에는 라인 6(도 5의 5f 참조)의 값을 0으로 설정하여 양방향 기능 사용 해제 요청을 통신 제어 모듈(도 2의 140 참조)의 관리부(도 4의 144 참조)에 전송한다.
도 19는 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(도 1의 100 참조)의 적용예를 나타낸 도면이다.
여기서, 도 19는 통신 모드는 조건부 양방향 통신 모드 또는 양방향 통신 모드로 설정되어있고, 설립된 양방향 세션은 없다고 가정한다. 즉, 현재는 통신 제어 모듈(도 2의 140 참조)의 스위치가 바이패스 설정이 해제되어 있으므로, 내부망 모듈(120)의 제1 수신기(도 4의 123 참조)는 물리적으로 패킷 수신을 할 수 없는 상태이다.
도 19를 참조하면, 내부망(도 1의 210 참조)에 연결된 기기2(210b)가, 기기5(220b)의 22번 포트로 TCP 연결을 맺기 위해 내부망 모듈(120)에 TCP SYN 패킷을 전송하여 세션 설립을 시작한다(S1901).
여기서, 기기2(210b)가 TCP SYN 패킷을 전송하기 전에 기기5(220b)의 MAC 주소를 얻기 위해 ARP과정이 필요하나 해당 과정은 생략한다.
그리고, 내부망 모듈(120)이 조건부 양방향 화이트리스트 기반 세션을 생성한다(S1903).
이는, 도 11의 조건부 양방향 화이트리스트에 기기2(210b)의 아무 포트로부터 기기5(220b)의 22번 포트로의 TCP 연결 항목이 포함되어 있으므로, 세션 관리가 필요한 통신 프로토콜임을 알 수 있다. 다만, 현재 세션이 관리되고 있지 않으므로, 조건부 양방향 화이트리스트를 기반으로 세션을 생성한다. 이때, 허용 시간은 도 11의 조건부 양방향 화이트리스트에서 볼 수 있듯이 10분으로 설정될 수 있다.
그리고, 현재 제1 수신기(도 4의 123 참조)가 링크업 상태가 아니므로 조건부 양방향 통신 기능 사용 요청을 하고(S1905), 제1 수신기(도 4의 123 참조)가 링크업 상태가 될때까지 캡쳐한 데이터 패킷들은 버퍼링한다(S1907).
그리고, 내부망 모듈(120)의 제1 수신기(도 4의 123 참조)가 링크업 되면(S1909), 제1 송신기(도 4의 122 참조)는 버퍼링된 TCP SYN 패킷을 외부망 모듈(130)의 제2 수신기(도 4의 132 참조)로 전송한다(S1911, S1913).
그리고, 외부망 모듈(130)은 기기5(220b)에 TCP SYN 패킷을 전송하고(S1915), 기기5(220b)는 외부망 모듈(130)에 TCP SYN-ACK 패킷을 전송하고(S1917), 외부망 모듈(130)은 내부망 모듈(120)에 TCP SYN-ACK 패킷을 전송하고(S1919), 내부망 모듈(120)은 기기2(210b)에 TCP SYN-ACK 패킷을 전송한다(S1921).
이와 같이, 기기2(210b)와 기기5(220b)간 TCP SYN, TCP SYN-ACK, TCP ACK 패킷을 교환하는 과정을 거치면 두 기기간에 TCP 세션이 설립이 된다.
또한, 제1 수신기가 링크업 상태가 될때까지, 캡처한 TCP SYN 패킷을 버퍼링 함으로써 제1 수신기가 링크업 상태가 되기전에 전송될 수도 있는 TCP SYN-ACK 패킷의 손실을 막을 수 있다.
도 20은 본 발명의 일 실시예에 따른 단방향 통신을 이용하여 양방향 통신을 지원하는 장치(도 1의 100 참조)의 적용예를 나타낸 도면이다.
여기서, 도 20은 내부망 모듈(120)이 동적으로 양방향 화이트리스트를 관리하기 위하여 내부망 모듈(120)의 내부망 송수신기(도 4의 121 참조)에 IP가 할당된 것으로 가정한다.
이 경우, 여러 상황에 대한 로그 정보 등을 내부망(도 1의 210 참조)의 관리자 장치 등으로 전달할 수도 있다. 하지만, 내부망 모듈(120), 외부망 모듈(130)은 IP주소의 할당없이 콘솔 연결을 통해서도 동작 가능하다.
도 20을 참조하면, 인증 모듈(150)이 기기5(220b)와의 인증과정을 거치고(S2001), 기기5(220b)의 인증에 성공하면 내부망 모듈(120)은 통신 제어 모듈(도 2의 140 참조)로부터 (라인 3, 라인 4) = (1, 1)을 수신한다(S2003).
즉, 양방향 통신 기능을 사용할 수 있다.
그리고, 내부망 모듈(120)은 인증 모듈(150)로 인증한 기기5(220b)의 IP 정보를 요청하고(S2005), 인증 모듈(150)은 내부망 모듈(120)로 인증한 기기5(220b)의 IP 정보 응답을 한다(S2007).
이때, 내부망 모듈(120)은 인증 모듈(150)로부터 응답을 수신하기 위하여 제1 수신기(도 4의 123 참조)를 켤 수 있다.
그리고, 내부망 모듈(120)은 양방향 화이트리스트에 (sender IP, sender port, destination IP, destination Port, protocol) = (기기5 IP, any, any 또는 기 정의된 특정 destination IP, any 또는 기 정의된 특정 destination port, TCP and UDP)와 같은 5-tuple의 항목을 임시등록할 수 있고(S2009), 기기1(210a)와 기기5(220b) 간의 통신 세션이 설립된다.
그리고, 인증 모듈(150)에서 기기5(220b)에 대한 인증이 종료되어(S2011) 양방향 통신 기능이 종료될 때는, 내부망 모듈(120)은 통신 제어 모듈(도 2의 140 참조)로부터 라인 4의 값으로 1을 수신하고(S2013), 내부망 모듈(120)은 임시등록한 항목을 삭제한다(S2015).
즉, 이 기능은 인증받은 기기에 대한 내부망으로의 접속을 동적으로 허용 또는 차단할 수 있다.
예를 들어, 스마트폰의 경우 환경에 따라 다른 IP를 할당받을 수도 있는데, 이 때 내부망 모듈에 양방향 기능용 화이트리스트에 정적으로 삽입해 두는 것은 불가능하다. 그렇다고 모든 외부 IP를 허용하는 것은 바람직하지 않은 방식이다. 따라서, 위와 같은 과정을 통해 동적으로 화이트리스트의 항목을 추가/삭제 하는 경우 이와 같은 한계를 해결할 수 있다.
이상 설명된 본 발명에 따른 실시예는 다양한 컴퓨터 구성요소를 통하여 실행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등과 같은, 프로그램 명령어를 저장하고 실행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의하여 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용하여 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위하여 하나 이상의 소프트웨어 모듈로 변경될 수 있으며, 그 역도 마찬가지이다.
본 발명에서 설명하는 특정 실행들은 일 실시 예들로서, 어떠한 방법으로도 본 발명의 범위를 한정하는 것은 아니다. 명세서의 간결함을 위하여, 종래 전자적인 구성들, 제어 시스템들, 소프트웨어, 상기 시스템들의 다른 기능적인 측면들의 기재는 생략될 수 있다. 또한, 도면에 도시된 구성 요소들 간의 선들의 연결 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것으로서, 실제 장치에서는 대체 가능하거나 추가의 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들로서 나타내어질 수 있다. 또한, “필수적인”, “중요하게” 등과 같이 구체적인 언급이 없다면 본 발명의 적용을 위하여 반드시 필요한 구성 요소가 아닐 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 또는 이로부터 등가적으로 변경된 모든 범위는 본 발명의 사상의 범주에 속한다고 할 것이다.
1: 단방향 통신을 이용하여 양방향 통신을 지원하는 시스템
100: 단방향 통신을 이용하여 양방향 통신을 지원하는 장치
110: 제어부
120: 내부망 모듈 121: 내부망 송수신기
122: 제1 송신기 123: 제1 수신기
124: 관리부
130: 외부망 모듈 131: 외부망 송수신기
132: 제2 수신기 133: 제2 송신기
140: 통신 제어 모듈 141: 스위치
142: 전원 제어부 143: 바이패스 제어부
144: 관리부 145: 통신 모드 선택부
150: 인증 모듈 151: 인증 송수신기
152: 인증부 153: 관리부
154: 인증 여부 선택부
210: 내부망 220: 외부망

Claims (18)

  1. 내부망과 양방향 통신하고 외부망 모듈과 통신 모드에 따라 통신하는 내부망 모듈;
    외부망과 양방향 통신하고 상기 내부망 모듈과 상기 통신 모드에 따라 통신하는 외부망 모듈; 및
    상기 내부망 모듈에서 상기 외부망 모듈로의 제1 단방향 통신과 상기 외부망 모듈에서 상기 내부망 모듈로의 제2 단방향 통신 중에서, 상기 제2 단방향 통신을 제어하여 상기 통신 모드에 따른 통신 기능을 제어하는 통신 제어 모듈
    을 포함하고,
    상기 통신 모드는
    상기 내부망 모듈에서 상기 외부망 모듈로의 단방향 통신 기능만을 제공하는 단방향 통신 모드; 상기 내부망 모듈에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 조건부 양방향 통신 기능을 허용하고 그 이외에는 상기 단방향 통신 기능만을 제공하는 조건부 양방향 통신 모드; 및 양방향 통신 모드
    를 포함하고,
    상기 내부망 모듈은
    상기 통신 제어 모듈로부터 상기 통신 모드와 상기 통신 기능에 대한 정보를 수신하고, 상기 통신 모드와 상기 통신 기능에 대한 정보에 기반하여 상기 통신 모드 중 어느 하나의 통신 모드에 따라 상기 외부망 모듈과 통신하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치.
  2. 청구항 1에 있어서,
    상기 통신 제어 모듈은
    상기 제2 단방향 통신을 개폐하기 위한 스위치;
    상기 스위치의 전원 공급을 관리하기 위한 전원 제어부; 및
    상기 스위치의 바이패스 연결을 관리하기 위한 바이패스 제어부
    를 포함하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치.
  3. 청구항 2에 있어서,
    상기 전원 제어부는
    상기 통신 모드가 단방향 통신 모드인 경우에 상기 스위치에 공급되는 전원을 차단하여 상기 제2 단방향 통신을 물리적으로 차단하며, 상기 통신모드가 조건부 양방향 통신 모드 또는 양방향 통신 모드인 경우에 상기 스위치에 전원을 공급하고,
    상기 바이패스 제어부는
    상기 통신 기능이 단방향 통신 기능인 경우에 상기 바이패스 연결을 해제하여 상기 제2 단방향 통신을 물리적으로 차단하며, 상기 통신 기능이 조건부 양방향 통신 기능 또는 양방향 통신 기능인 경우에 상기 바이패스 연결을 설정하여 상기 제2 단방향 통신을 연결하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치.
  4. 청구항 3에 있어서,
    상기 단방향 통신을 이용하여 양방향 통신을 지원하는 장치는
    상기 통신 모드가 상기 양방향 통신 모드일 때, 상기 외부망의 통신 대상 기기의 인증을 위한 인증 모듈
    을 더 포함하고,
    상기 양방향 통신 모드는
    상기 인증 모듈에서 인증된 통신 대상 기기와는 양방향 통신 기능을 제공하고, 상기 인증 모듈에서 인증되지 않은 통신 대상 기기와는 상기 조건부 양방향 통신 모드와 동일한 통신 기능을 제공하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치.
  5. 청구항 4에 있어서,
    상기 내부망 모듈은
    상기 단방향 통신 기능, 상기 조건부 양방향 통신 기능 및 상기 양방향 통신 기능을 제공함에 있어서, 각각에 상응하는 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트를 이용하여 상기 외부망 모듈과의 통신 여부를 결정하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치.
  6. 청구항 5에 있어서,
    상기 내부망 모듈은
    상기 양방향 화이트리스트를 동적으로 관리하여, 상기 양방향 통신 기능을 제공하는 동안 상기 인증 모듈로부터 수신한 인증된 통신 대상 기기에 상응하는 화이트리스트 정보를 상기 양방향 화이트리스트에 임시 등록하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치.
  7. 청구항 6에 있어서,
    상기 통신 제어 모듈은
    물리적으로 상기 통신 모드를 선택할 수 있는 통신 모드 선택부
    를 더 포함하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치.
  8. 청구항 7에 있어서,
    상기 내부망 모듈은
    세션 관리가 필요한 통신 프로토콜을 이용하고 상기 제2 단방향 통신이 링크업 상태가 아닌 경우, 상기 외부망 모듈로 전송하고자 하는 데이터 패킷을 버퍼링하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치.
  9. 청구항 8에 있어서,
    상기 내부망 모듈은
    세션 관리가 필요한 통신 프로토콜을 이용하고 상기 제2 단방향 통신이 링크업 상태인 경우, 상기 외부망 모듈로 전송할 상기 버퍼링된 데이터 패킷을 제1 단방향 통신을 이용하여 상기 외부망 모듈로 전송하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 장치.
  10. 내부망에서 외부망으로의 제1 단방향 통신과 상기 외부망에서 상기 내부망으로의 제2 단방향 통신 중에서, 상기 제2 단방향 통신을 제어하여 설정된 통신 모드에 따른 통신 기능을 제어하는 단계;
    상기 제1 단방향 통신을 통해 상기 내부망에서 상기 외부망으로 전송하고자 하는 제1 데이터 패킷을 전송하는 단계; 및
    상기 제2 단방향 통신의 제어에 따라 상기 제2 단방향 통신을 통해 상기 외부망에서 상기 내부망으로 전송하고자 하는 제2 데이터 패킷을 전송하는 단계
    를 포함하고,
    상기 통신 모드는
    상기 내부망에서 상기 외부망으로의 단방향 통신 기능만을 제공하는 단방향 통신 모드; 상기 내부망에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 조건부 양방향 통신 기능을 허용하고 그 이외에는 상기 단방향 통신 기능만을 제공하는 조건부 양방향 통신 모드; 및 양방향 통신 모드
    를 포함하고,
    상기 통신 기능을 제어하는 단계는
    상기 내부망과 양방향 통신하고 외부망 모듈과 통신 모드에 따라 통신하는 내부망 모듈과,
    상기 외부망 모듈에서 상기 내부망 모듈로의 상기 제2 단방향 통신을 제어하여 상기 통신 모드에 따른 통신 기능을 제어하는 통신 제어 모듈이 연결되고,
    상기 내부망 모듈이,
    상기 통신 제어 모듈로부터 상기 통신 모드와 상기 통신 기능에 대한 정보를 수신하고, 상기 통신 모드와 상기 통신 기능에 대한 정보에 기반하여 상기 통신 모드 중 어느 하나의 통신 모드에 따라 상기 외부망 모듈과 통신하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법.
  11. 청구항 10에 있어서,
    상기 통신 기능을 제어하는 단계는
    상기 제2 단방향 통신을 개폐하기 위한 스위치에 있어서,
    상기 스위치의 전원 공급을 관리하는 단계; 및
    상기 스위치의 바이패스 연결을 관리하는 단계
    를 포함하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법.
  12. 청구항 11에 있어서,
    상기 스위치의 전원 공급을 관리하는 단계는
    상기 통신 모드가 단방향 통신 모드인 경우에 상기 스위치에 공급되는 전원을 차단하여 상기 제2 단방향 통신을 물리적으로 차단하며, 상기 통신모드가 조건부 양방향 통신 모드 또는 양방향 통신 모드인 경우에 상기 스위치에 전원을 공급하고,
    상기 스위치의 바이패스 연결을 관리하는 단계는
    상기 통신 기능이 단방향 통신 기능인 경우에 상기 바이패스 연결을 해제하여 상기 제2 단방향 통신을 물리적으로 차단하며, 상기 통신 기능이 조건부 양방향 통신 기능 또는 양방향 통신 기능인 경우에 상기 바이패스 연결을 설정하여 상기 제2 단방향 통신을 연결하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법.
  13. 청구항 12에 있어서,
    상기 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은
    상기 통신 모드가 상기 양방향 통신 모드일 때, 상기 외부망의 통신 대상 기기를 인증하는 단계
    를 더 포함하고,
    상기 양방향 통신 모드는
    인증된 통신 대상 기기와는 양방향 통신 기능을 제공하고, 인증되지 않은 통신 대상 기기와는 상기 조건부 양방향 통신 모드와 동일한 기능을 제공하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법.
  14. 청구항 13에 있어서,
    상기 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은
    상기 단방향 통신 기능, 상기 조건부 양방향 통신 기능 및 상기 양방향 통신 기능을 제공함에 있어서, 각각에 상응하는 단방향 화이트리스트, 조건부 양방향 화이트리스트 및 양방향 화이트리스트를 이용하여 상기 외부망과의 통신 여부를 결정하는 단계
    를 더 포함하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법.
  15. 청구항 14에 있어서,
    상기 단방향 통신을 이용하여 양방향 통신을 지원하는 방법은
    상기 양방향 화이트리스트를 동적으로 관리하여, 상기 양방향 통신 기능을 제공하는 동안 인증된 통신 대상 기기에 상응하는 화이트리스트 정보를 상기 양방향 화이트리스트에 임시 등록하는 단계
    를 더 포함하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법.
  16. 청구항 15에 있어서,
    상기 통신 기능을 제어하는 단계는
    물리적으로 선택된 상기 통신 모드에 따른 통신 기능을 제어하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법.
  17. 청구항 16에 있어서,
    상기 제1 데이터 패킷을 전송하는 단계는
    세션 관리가 필요한 통신 프로토콜을 이용하고 상기 제2 단방향 통신이 링크업 상태가 아닌 경우, 상기 외부망으로 전송하고자 하는 제1 데이터 패킷을 버퍼링하는 단계
    를 포함하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법.
  18. 청구항 17에 있어서,
    상기 제1 데이터 패킷을 전송하는 단계는
    세션 관리가 필요한 통신 프로토콜을 이용하고 상기 제2 단방향 통신이 링크업 상태인 경우, 상기 외부망으로 전송할 상기 버퍼링된 제1 데이터 패킷을 제1 단방향 통신을 이용하여 상기 외부망으로 전송하는 단계
    를 더 포함하는 것인, 단방향 통신을 이용하여 양방향 통신을 지원하는 방법.
KR1020170068457A 2017-06-01 2017-06-01 단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법 KR102008951B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170068457A KR102008951B1 (ko) 2017-06-01 2017-06-01 단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법
US15/818,908 US10931655B2 (en) 2017-06-01 2017-11-21 Apparatus and method for supporting bidirectional communication using unidirectional communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170068457A KR102008951B1 (ko) 2017-06-01 2017-06-01 단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20180131844A KR20180131844A (ko) 2018-12-11
KR102008951B1 true KR102008951B1 (ko) 2019-08-08

Family

ID=64460122

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170068457A KR102008951B1 (ko) 2017-06-01 2017-06-01 단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법

Country Status (2)

Country Link
US (1) US10931655B2 (ko)
KR (1) KR102008951B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11095649B2 (en) * 2019-06-27 2021-08-17 Saudi Arabian Oil Company Uni-directional and bi-directional cross-domain (secure exchange gateway) design
US11606385B2 (en) 2020-02-13 2023-03-14 Palo Alto Networks (Israel Analytics) Ltd. Behavioral DNS tunneling identification
US11811820B2 (en) * 2020-02-24 2023-11-07 Palo Alto Networks (Israel Analytics) Ltd. Malicious C and C channel to fixed IP detection
US11425162B2 (en) 2020-07-01 2022-08-23 Palo Alto Networks (Israel Analytics) Ltd. Detection of malicious C2 channels abusing social media sites
CN115065498B (zh) * 2022-04-15 2024-03-22 北京全路通信信号研究设计院集团有限公司 一种外设摆渡装置及其系统
US11968222B2 (en) 2022-07-05 2024-04-23 Palo Alto Networks (Israel Analytics) Ltd. Supply chain attack detection

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101569200B1 (ko) * 2015-03-25 2015-11-20 (주)앤앤에스피 일방향 통신 환경에서 양방향으로 통신 가능한 긴급 비상 채널을 제공하는 장치 및 그 동작 방법
KR101692672B1 (ko) * 2016-05-02 2017-01-03 김광태 전송장치 이원화에 의한 tcp/ip 망단절형 단방향 접속 시스템 및 그 방법

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5577023A (en) * 1992-12-01 1996-11-19 Farallon Computing, Inc. Method and apparatus for automatic configuration of a network connection
US8207937B2 (en) * 2005-06-24 2012-06-26 Logitech Europe S.A. Communication protocol for networked devices
US9450815B2 (en) * 2013-07-11 2016-09-20 Plexxi Inc. Network node connection configuration
US9531669B2 (en) * 2014-01-30 2016-12-27 Sierra Nevada Corporation Bi-directional data security for supervisor control and data acquisition networks
KR101558491B1 (ko) 2015-04-13 2015-10-12 (주) 앤앤에스피 단방향 통신을 이용한 네트워크 간 보안 게이트웨이 시스템
US10021072B2 (en) * 2015-08-20 2018-07-10 Mitsubishi Hitachi Power Systems, Ltd. Security system and communication control method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101569200B1 (ko) * 2015-03-25 2015-11-20 (주)앤앤에스피 일방향 통신 환경에서 양방향으로 통신 가능한 긴급 비상 채널을 제공하는 장치 및 그 동작 방법
KR101692672B1 (ko) * 2016-05-02 2017-01-03 김광태 전송장치 이원화에 의한 tcp/ip 망단절형 단방향 접속 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20180131844A (ko) 2018-12-11
US10931655B2 (en) 2021-02-23
US20180351930A1 (en) 2018-12-06

Similar Documents

Publication Publication Date Title
KR102008951B1 (ko) 단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법
US10594699B2 (en) Providing access to remote networks via external endpoints
US10178181B2 (en) Interposer with security assistant key escrow
US9009302B2 (en) Dynamic group creation and traffic flow registration under a group in a group key infrastructure
US9240981B2 (en) System and method for authenticating identity of discovered component in an infiniband (IB) network
JP4602981B2 (ja) 分散ファイルシステム・ネットワーク・セキュリティ拡張
US10484357B1 (en) Method and apparatus for federated single sign on using authentication broker
US20150058385A1 (en) Bilateral transfer system using multiple one-way data links
CN107181720B (zh) 一种软件定义网路sdn安全通信的方法及装置
KR101143050B1 (ko) 네트워크로의 액세스 관리
US20110231659A1 (en) Out-of-Band Session Key Information Exchange
US11122122B2 (en) Restricting access to a data storage system on a local network
KR101972469B1 (ko) 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
JP2022530406A (ja) Some/ip通信プロトコルを用いる乗物上におけるデータ又はメッセージの伝送の改良
JP6289656B2 (ja) セキュアなコンピュータシステム間の通信のための方法及びコンピュータネットワーク・インフラストラクチャ
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
JP6488001B2 (ja) コンピュータ・ネットワーク・インフラストラクチャにおける外部コンピュータシステムのブロック解除方法、そのようなコンピュータ・ネットワーク・インフラストラクチャを有する分散コンピュータネットワーク、およびコンピュータプログラム製品
CN115065548A (zh) 一种增强型网络安全接入区数据管控系统及方法
KR102175953B1 (ko) 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
KR102067186B1 (ko) 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법
KR102609626B1 (ko) 사물 인터넷 기기 보안 장치 및 방법
US9246880B2 (en) Methods for secure communication between network device services and devices thereof
WO2017183089A1 (ja) 計算機、計算機システム、およびプログラム
CN115865384A (zh) 中台微服务授权方法、装置、电子设备及存储介质
Deverick A Framework for Active Firewalls

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right