KR102075228B1 - 시큐리티 시스템 및 통신 제어 방법 - Google Patents

시큐리티 시스템 및 통신 제어 방법 Download PDF

Info

Publication number
KR102075228B1
KR102075228B1 KR1020177036961A KR20177036961A KR102075228B1 KR 102075228 B1 KR102075228 B1 KR 102075228B1 KR 1020177036961 A KR1020177036961 A KR 1020177036961A KR 20177036961 A KR20177036961 A KR 20177036961A KR 102075228 B1 KR102075228 B1 KR 102075228B1
Authority
KR
South Korea
Prior art keywords
communication
gateway device
specific protocol
network
protocol
Prior art date
Application number
KR1020177036961A
Other languages
English (en)
Other versions
KR20180011246A (ko
Inventor
히로야스 이시가키
리사 바트슈-스미스
Original Assignee
미츠비시 히타치 파워 시스템즈 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 미츠비시 히타치 파워 시스템즈 가부시키가이샤 filed Critical 미츠비시 히타치 파워 시스템즈 가부시키가이샤
Publication of KR20180011246A publication Critical patent/KR20180011246A/ko
Application granted granted Critical
Publication of KR102075228B1 publication Critical patent/KR102075228B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

시큐리티 시스템은, 외부 네트워크에 접속되도록 구성되는 제 1 게이트웨이 장치와, 내부 네트워크에 접속됨과 아울러, 상기 제 1 게이트웨이 장치에 접속되도록 구성되는 제 2 게이트웨이 장치와, 상기 제 1 게이트웨이 장치와 상기 제 2 게이트웨이 장치를 쌍방향 통신이 가능하게 접속하는 쌍방향 통신 라인을 구비하고, 상기 제 1 게이트웨이 장치의 제 1 프록시부는 상기 인바운드의 전송 데이터가 특정 프로토콜의 것인 경우에는, 상기 인바운드의 전송 데이터에 의해 전달되는 특정 프로토콜의 통신 정보를 수신한 후에, 상기 특정 프로토콜의 통신 정보를 상기 쌍방향 통신 라인에 의해 상기 제 2 게이트웨이 장치에 송신하고, 상기 제 2 게이트웨이 장치의 제 2 프록시부는 상기 쌍방향 통신 라인을 통해서 상기 제 1 프록시부로부터 상기 특정 프로토콜의 통신 정보를 수신한 경우에는, 상기 내부 네트워크에 있어서의 통신의 목적지 어드레스를 상기 특정 프로토콜의 통신 정보로부터 취득하고, 상기 목적지 어드레스에 대해서 상기 특정 프로토콜의 통신 정보를 송신하도록 구성된다.

Description

시큐리티 시스템 및 통신 제어 방법
본 개시는 내부 네트워크와 외부 네트워크를 서로 접속함과 아울러, 내부 네트워크를 보호하는 시큐리티 시스템 및 통신 제어 방법에 관한 것이다.
현재, 중요 인프라(발전, 화학 약품, 물, 석유, 가스 등)의 제어 네트워크(제어 시스템 네트워크)를 인터넷에 접속함으로써, 인터넷을 통한 원격 감시, 원격 조작 등이 실현되고 있다. 이것에 의해, 제어 네트워크의 원격 감시나 원격 조작 등의 서비스가 IP 통신을 기반으로 해서 비교적 용이하게 염가로 실현되고 있다. 또, 이러한 서비스 비지니스를 확대하기 위해서는, 제어 네트워크를 인터넷이나 클라우드에 접속하는 것은 필수라고 할 수 있을 정도로 중요해지고 있다. 한편으로, 이러한 중요 인프라(산업 자산)에 대한 사이버 시큐리티에 대한 요구는 나날이 엄격해지고 있다. 예를 들면, 북미에서는, 발전 플랜트 등의 전력 시스템에 대한 사이버 시큐리티 기준을 정한 NERC CIP 요구(NERC:North American Electric Reliability Council, CIP:Critical Infrastructure Protection)가 규정되어 있고, 중요 인프라 사업을 수행함에 있어서 실시해야 할 시큐리티 규준이 정의되어 있다. 이 때문에, 인터넷을 통한 서비스의 제공과 사이버 공격으로부터의 제어 네트워크의 보호라고 하는 쌍방의 요구를 저비용으로 실현하는 인프라나 시스템의 개발이 긴급하게 필요해지고 있다.
그런데, 제어 네트워크와 같은 내부 네트워크를 사이버 공격으로부터 보호하는 기술로서 방화벽(fire wall)이 널리 알려져 있다(예를 들면, 특허문헌 1, 2). 방화벽은 보호 대상이 되는 내부 네트워크와 인터넷과 같은 외부 네트워크의 경계에 설치됨으로써, 내부 네트워크를 사이버 공격으로부터 보호한다. 예를 들면, 특허문헌 1에서는, 로컬 네트워크(내부 네트워크)와 인터넷이 방화벽을 통해서 접속되어 있다. 그리고, 인터넷측으로부터 로컬 네트워크측에 입력하는 통신은 방화벽에 의해 절대적으로 거부되고 있다. 한편으로, 로컬 네트워크 내의 에이전트로부터, 인터넷을 통해 접속된 제 2 로컬 네트워크 내의 콘솔로의 통신시에는, 방화벽의 포트가 다이나믹하게 열리고, 통신이 허가되고 있다. 이와 같이 해서, 외부로부터의 공격으로부터 내부 네트워크를 보호하면서, 내부 네트워크와 외부 네트워크의 사이의 통신을 가능하게 하고 있다.
또, 특허문헌 2에서도, 인터넷과 공개 서브넷의 사이 및 공개 서브넷과 비공개 내부 서브넷의 사이의 각각에 라우터가 설치되어 있고, 이들 라우터에 의해 통과하는 패킷이 필터링되고 있다. 예를 들면, 공개 서브넷과 비공개 내부 서브넷의 사이에 설치되는 라우터는 공개 서브넷 내의 계산기와 비공개 내부 서브넷의 계산기를 IEEE 1394에 의해 서로 접속하고 있다. 그리고, 이 라우터는 IEEE 1394의 송신원 ID나, 공개 서브넷 내의 계산기와 비공개 내부 서브넷의 계산기의 사이의 프레임 버퍼 전송에 근거하는 원격 조작에 필요한 패킷인지 여부에 따라, 패킷의 필터링을 행하고 있다. 또, 비공개 내부 서브넷의 계산기는 공개 서브넷의 계산기를 일정 간격으로 리드 트랜잭션(read transaction)에 의해 폴링(polling)함으로써 데이터를 수신하고, 라이트 트랜잭션(write transaction)에 의해 데이터를 송신하고 있다. 이것에 의해, 공개 서브넷의 계산기로부터 부정한 대량의 데이터 송신이 있었다고 해도, 데이터 전송량을 체크함으로써, 이상한 전송을 검출 가능함과 아울러, 그 영향이 즉시 비공개 내부 서브넷의 계산기에 발생하는 것이 아닌 것으로 알려져 있다.
한편, 시큐리티 대책을 목적으로 해서, 게이트웨이의 통신로를 완전히 단 방향으로만 데이터가 흐르게 하는 데이터 다이오드로 불리는 장치도 알려져 있다. 이 데이터 다이오드에 의해, 허가된 방향과 역방향의 데이터의 흐름이 완전하게 저지됨으로써, 외부로부터의 바이러스 공격이나 해킹 등의 사이버 공격을 방어 가능하게 되어 있다. 예를 들면, 특허문헌 3에서는, 이러한 데이터 다이오드로 계산기 간을 접속함과 아울러, 계산기 간을 별개의 범용 통신로로 접속하고 있다. 그리고, 데이터 다이오드를 통해서 송신된 송신 데이터의 송달 확인을 별개의 범용 통신로를 통해서 행함으로써, 데이터 다이오드를 사용한 시큐리티 대책을 실현하면서, 데이터 송신의 신뢰성을 확보하고 있다.
일본 공개 특허 공보 제 2001-325163 호 일본 공개 특허 공보 제 2000-354056 호 일본 공개 특허 공보 제 2014-140096 호
그렇지만, 특허문헌 1, 3에서는, TCP/UDP/IP 통신을 베이스로 한 일반적인 기술에 의해 통신의 엔드 장치 간이 접속되고 있다. 이 때문에, 오퍼레이팅 시스템이나 통신 기기 등에 어떠한 취약성이 있었을 경우에, 제어 네트워크에의 영향을 완전히 회피하는 것은 논리적으로 곤란해진다.
또, 특허문헌 2에서는, 비공개 내부 서브넷 내의 계산기와 공개 서브넷의 계산기를 IEEE 1394에 따라서 접속함으로써, 인터넷측의 외부 계산기와 비공개 내부 서브넷의 계산기의 사이의 통신은 공개 서브넷의 계산기에 의해 종단되고 있다.
상술의 사정을 감안해서, 본 발명의 적어도 일 실시 형태는 제어 네트워크 등의 내부 네트워크를 사이버 공격으로부터 강고하게 보호하면서, 내부 네트워크와 외부 네트워크의 사이의 쌍방향 통신을 가능하게 하는 시큐리티 시스템 및 통신 제어 방법을 제공하는 것을 목적으로 한다.
(1) 본 발명의 적어도 일 실시 형태에 따른 시큐리티 시스템은,
외부 네트워크에 접속되도록 구성되는 제 1 게이트웨이 장치와,
내부 네트워크에 접속됨과 아울러, 상기 제 1 게이트웨이 장치에 접속되도록 구성되는 제 2 게이트웨이 장치와,
상기 제 1 게이트웨이 장치와 상기 제 2 게이트웨이 장치를 쌍방향 통신이 가능하게 접속하는 쌍방향 통신 라인
를 구비하고,
상기 제 1 게이트웨이 장치는, 특정의 애플리케이션 레이어의 프로토콜인 특정 프로토콜을 처리하도록 구성되는 제 1 프록시부를 갖고,
상기 제 2 게이트웨이 장치는, 상기 특정 프로토콜을 처리하도록 구성되는 제 2 프록시부를 갖고,
상기 제 1 게이트웨이 장치가 상기 외부 네트워크로부터 상기 내부 네트워크를 향하는 인바운드(inbound)의 전송 데이터를 수신하면, 상기 제 1 프록시부는, 상기 인바운드의 전송 데이터가 특정 프로토콜인 경우에는, 상기 인바운드의 전송 데이터에 의해 전달되는 특정 프로토콜의 통신 정보를 수신한 후에, 상기 특정 프로토콜의 통신 정보를 상기 쌍방향 통신 라인에 의해 상기 제 2 게이트웨이 장치에 송신하고, 상기 인바운드의 전송 데이터가 상기 특정 프로토콜의 통신 정보가 아닌 경우에는 상기 인바운드의 전송 데이터를 상기 제 2 게이트웨이 장치에 송신하지 않도록 구성되고,
상기 제 2 프록시부는, 상기 쌍방향 통신 라인을 통해서 상기 제 1 프록시부로부터 상기 특정 프로토콜의 통신 정보를 수신한 경우에는, 상기 내부 네트워크에 있어서의 통신의 목적지 어드레스를 상기 특정 프로토콜의 통신 정보로부터 취득하고, 상기 목적지 어드레스에 대해서 상기 특정 프로토콜의 통신 정보를 송신하도록 구성된다.
상기 (1)의 구성에 따르면, 외부 네트워크로부터 내부 네트워크를 향하는 인바운드 통신은, 특정 프로토콜의 통신 정보를 위한 통신인 경우에는, 제 1 게이트웨이 장치로부터 제 2 게이트웨이 장치로 송신(중계)된다. 이때, 제 1 게이트웨이 장치는 인바운드의 전송 데이터에 의해 전달되는 특정 프로토콜의 통신 정보를 제 1 프록시부에서 수신한 후에, 제 2 게이트웨이 장치로 송신(중계)한다. 즉, 이 특정 프로토콜의 통신 정보는 수신측 엔드 장치와 메시지(제어 커멘드 등)를 교환하기 위해서 송신측 엔드 장치가 생성한 통신 데이터이다. 또, 제 1 게이트웨이 장치는 외부 네트워크의 네트워크 레이어 프로토콜(예를 들면, IP)을 종단한 후에, 내부 네트워크를 향해 특정 프로토콜의 통신 정보를 재송신한다. 이와 같이, 외부 네트워크의 송신측 엔드 장치와 내부 네트워크의 수신측 엔드 장치의 사이를 논리적으로 분단함과 아울러, 이 논리적으로 분단된 네트워크를 중계 가능한 통신의 주체를, 특정 프로토콜을 처리 가능한 제 1 프록시부 및 제 2 프록시부로 제한함으로써, 특정 프로토콜 이외의 통신은 내부로 침입할 수 없다. 이 때문에, 외부 네트워크로부터 내부 네트워크로의 공격이나 부정 침입이라고 하는 부정 액세스를 차단할 수 있어, 내부 네트워크를 보호할 수 있다.
또, 제 2 게이트웨이 장치의 제 2 프록시부는, 제 1 게이트웨이 장치로부터 수신한 특정 프로토콜의 통신 정보에 근거해서 내부 네트워크의 수신측 엔드 장치의 목적지 어드레스(예를 들면, 목적지 IP 어드레스 등)를 취득함으로써, 수신측 엔드 장치로 특정 프로토콜의 통신 정보를 송신할 수 있다. 즉, 특정 프로토콜 이외의 통신은 수신측 엔드 장치의 목적지 어드레스를 취득하지 못하고, 내부 네트워크의 수신측 엔드 장치로 송신(중계)되지 않는다. 이 때문에, 제 2 게이트웨이 장치에 의해 내부 네트워크의 보호를 강고하게 할 수 있다. 이와 같이, 시큐리티 시스템은 제 1 게이트웨이 장치와 제 2 게이트웨이 장치의 2단 구조로 내부 네트워크를 보호하고 있어, 시큐리티 시스템에 의해 내부 네트워크를 강고하게 보호할 수 있다. 또, 제 1 게이트웨이 장치(제 1 프록시부) 및 제 2 게이트웨이 장치(제 2 프록시부)에 의한 통신 제어는 송신측 엔드 장치 및 수신측 엔드 장치의 통신 처리(IP 패킷화 또는 특정의 통신 인터페이스의 채용 등)에 영향을 주지 않고, 안전하고 또한 자유도가 높은 통신 경로를 구축할 수 있다.
(2) 몇몇의 실시 형태에서는, 상기 (1)의 구성에 있어서,
상기 제 1 게이트웨이 장치와 상기 제 2 게이트웨이 장치를, 상기 제 2 게이트웨이 장치로부터 상기 제 1 게이트웨이 장치를 향하는 단방향 통신이 가능하게 접속하는 단방향 통신 라인을 더 구비하고,
상기 제 2 게이트웨이 장치가 상기 내부 네트워크로부터 상기 외부 네트워크를 향하는 아웃바운드(outbound) 전송 데이터를 수신하면, 상기 아웃바운드 전송 데이터는 상기 쌍방향 통신 라인을 경유하지 않고, 상기 단방향 통신 라인을 경유해서 상기 제 1 게이트웨이 장치로 송신된다.
상기 (2)의 구성에 따르면, 아웃바운드 통신은 단방향 통신 라인을 반드시 경유하도록 구성된다. 이 때문에, 단방향 통신 라인에 의해, 데이터 다이오드와 같이, 외부 네트워크로부터의 공격이나 부정 침입을 확실히 차단하면서, 내부 네트워크의 송신측 엔드 장치로부터 외부 네트워크의 수신측 엔드 장치(목적지)로 플랜트의 운전 정보 등을 송신할 수 있다.
(3) 몇몇의 실시 형태에서는, 상기 (2)의 구성에 있어서,
상기 단방향 통신 라인은 상기 제 2 게이트웨이 장치의 송신 물리 포트와 상기 제 1 게이트웨이 장치의 수신 물리 포트를 접속하는 광 파이버 케이블이다.
상기 (3)의 구성에 따르면, 제 2 게이트웨이 장치로부터 제 1 게이트웨이 장치로의 단방향 통신 라인을 용이하게 실장할 수 있다. 또, 광 파이버 케이블에 의해 통신을 행하기 때문에, 대량의 데이터를 고속으로 통신할 수 있다. 예를 들면, 내부 네트워크가 제어 네트워크인 경우에는, 플랜트 등의 운전 정보를 내부 네트워크의 외부로 송신하게 되지만, 이러한 경우에 고속 통신을 행할 수 있다.
(4) 몇몇의 실시 형태에서는, 상기 (2)~(3)의 구성에 있어서,
상기 쌍방향 통신 라인에서는, 라우팅이 불가능한 프로토콜에 의한 통신이 행해지도록 구성된다.
상기 (4)의 구성에 따르면, 시리얼 통신 등의 라우팅 불가능 프로토콜에 의해, 제 1 게이트웨이 장치와 제 2 게이트웨이 장치가 접속된다. 즉, 외부 네트워크로부터의 인바운드 통신은 일단 시리얼 통신으로 변환되게 된다. 이 때문에, 내부 네트워크 및 외부 네트워크가 IP 네트워크인 경우 등, 외부 네트워크로부터의 인바운드 통신이 그대로 시큐리티 시스템(1)을 경유해서 내부 네트워크로 라우팅되지 않아, 안전한 통신 경로를 구축할 수 있다.
(5) 몇몇의 실시 형태에서는, 상기 (2)~(4)의 구성에 있어서,
상기 외부 네트워크 및 상기 내부 네트워크는 IP 네트워크이다.
상기 (5)의 구성에 따르면, 내부 네트워크와 외부 네트워크에 의해 IP 네트워크가 형성되어 있고, 이 IP 네트워크는 제 1 게이트웨이 장치 및 제 2 게이트웨이 장치에 의해 논리적으로 분리된다. 이 때문에, 인터넷 등의 외부 네트워크로부터의 IP 통신은 특정 프로토콜의 통신 이외는 내부 네트워크로부터 차단되어 있고, IP를 기반으로 하는 인터넷 등으로부터의 사이버 공격으로부터 내부 네트워크를 보호할 수 있다.
(6) 몇몇의 실시 형태에서는, 상기 (5)의 구성에 있어서,
상기 제 1 게이트웨이 장치는 상기 특정 프로토콜의 통신 정보를 포트 번호에 의해 식별한다.
상기 (6)의 구성에 따르면, UDP나 TCP의 포트 번호에 의해, 특정 프로토콜의 통신을 용이하게 식별할 수 있다.
(7) 몇몇의 실시 형태에서는, 상기 (6)의 구성에 있어서,
상기 제 2 게이트웨이 장치는 상기 내부 네트워크로부터 수신한 상기 아웃바운드의 전송 데이터가 UDP/IP 통신인 경우에는, 상기 단방향 통신 라인을 사용해서, 상기 아웃바운드의 전송 데이터를 상기 제 1 게이트웨이 장치에 송신한다.
상기 (7)의 구성에 따르면, UDP/IP는 비연결형의 통신이며, 외부 네트워크의 목적지 장치로부터의 송달 확인없이 데이터를 송신할 수 있다. 이 때문에, 내부 네트워크의 송신원 장치로부터 외부 네트워크의 목적지 장치에 대해서, 단방향 통신 라인을 사용한 단방향 통신을 용이하게 행할 수 있다.
(8) 몇몇의 실시 형태에서는, 상기 (1)~(7)의 구성에 있어서,
상기 특정 프로토콜은 표준화되어 있지 않은 독자 프로토콜이다.
상기 (8)의 구성에 따르면, 독자 프로토콜인 특정 프로토콜을 해석 가능한 장치인 제 1 게이트웨이 장치 및 제 2 게이트웨이 장치만이, 외부 네트워크로부터 수신한 독자 프로토콜(특정 프로토콜)의 전송 데이터를 내부 네트워크의 목적지를 향해 중계 가능하게 구성된다. 이 때문에, 외부 네트워크로부터 내부 네트워크로, 표준화된 애플리케이션 레이어의 프로토콜의 전송 데이터를 송신할 수 없어, 사이버 공격에 대한 방어력을 증강시킬 수 있다.
(9) 몇몇의 실시 형태에서는, 상기 (1)~(8)의 구성에 있어서,
상기 쌍방향 통신 라인은 RS-232C를 포함하는 시리얼 통신이다.
상기 (9)의 구성에 따르면, 제 1 게이트웨이 장치와 제 2 게이트웨이 장치 간의 특정 프로토콜의 통신 정보의 송수신을, 표준의 인터페이스를 이용한 간이한 방법에 의해 행할 수 있다. 또, 내부 네트워크가 제어 네트워크인 경우에는, 외부 네트워크 측에 접속되는 리모트 PC(송신측 엔드 장치)로부터 통신되는 제어 네트워크의 제어 요구 등의 통신 데이터는 소용량이며, 이러한 통신에 대해서 적절한 통신 속도를 제공할 수도 있다.
(10) 몇몇의 실시 형태에서는, 상기 (1)~(9)의 구성에 있어서,
상기 제 1 게이트웨이 장치는 제 1 방화벽을 통해서 상기 외부 네트워크에 접속되고,
상기 제 2 게이트웨이 장치는 제 2 방화벽을 통해서 상기 내부 네트워크에 접속된다.
상기 (10)의 구성에 따르면, 제 1 방화벽 및 제 2 방화벽에 의해, 미리 정의된 소정의 통신을 허가하면서, 외부 네트워크로부터 내부 네트워크로의 사이버 공격을 차단할 수 있어 내부 네트워크를 보다 강고하게 보호할 수 있다. 또, 제 1 게이트웨이 장치 및 제 2 게이트웨이 장치의 처리 부하의 경감을 꾀할 수도 있다.
(11) 본 발명의 적어도 일 실시 형태에 따른 통신 제어 방법은,
외부 네트워크에 접속되도록 구성되는 제 1 게이트웨이 장치와, 내부 네트워크에 접속됨과 아울러, 상기 제 1 게이트웨이 장치에 접속되도록 구성되는 제 2 게이트웨이 장치와, 상기 제 1 게이트웨이 장치와 상기 제 2 게이트웨이 장치를 서로 접속하는 쌍방향 통신 라인을 구비하는 시큐리티 시스템에 의해 실행되는 통신 제어 방법으로서,
상기 제 1 게이트웨이 장치가, 상기 외부 네트워크로부터 상기 내부 네트워크를 향하는 인바운드의 전송 데이터를 수신하는 인바운드 데이터 수신 스텝과,
상기 제 1 게이트웨이 장치가, 상기 인바운드의 전송 데이터의 애플리케이션 레이어의 프로토콜을 확인하고, 상기 애플리케이션 레이어의 프로토콜이 특정 프로토콜인 경우에는, 상기 인바운드의 전송 데이터를 상기 제 2 게이트웨이 장치에 상기 쌍방향 통신 라인을 사용해서 송신하고, 상기 특정 프로토콜의 통신 정보 이외의 경우에는 상기 인바운드의 전송 데이터를 상기 제 2 게이트웨이 장치에 송신하지 않도록 구성되는 제 1 인바운드 통신 처리 스텝과,
상기 제 2 게이트웨이 장치가, 상기 제 1 게이트웨이 장치로부터 수신한 상기 인바운드의 전송 데이터가 상기 특정 프로토콜의 통신 정보인 경우에는, 상기 특정 프로토콜의 정보에 근거해서, 상기 내부 네트워크에 있어서의 통신의 목적지 어드레스를 취득하고, 상기 목적지 어드레스에 대해서 상기 인바운드의 전송 데이터를 송신하는 제 2 인바운드 통신 처리 스텝을 갖는다.
상기 (11)의 구성에 따르면, 상기 (1)과 마찬가지의 효과를 얻을 수 있다.
(12) 몇몇의 실시 형태에서는, 상기 (11)의 구성에 있어서,
상기 시큐리티 시스템은, 상기 제 1 게이트웨이 장치와 상기 제 2 게이트웨이 장치를, 상기 제 2 게이트웨이 장치로부터 상기 제 1 게이트웨이 장치를 향하는 단방향 통신이 가능하게 접속하는 단방향 통신 라인을 더 구비하고,
상기 제 2 게이트웨이 장치가 상기 내부 네트워크로부터 상기 외부 네트워크를 향하는 아웃바운드 전송 데이터를 수신하면, 상기 아웃바운드 전송 데이터는 상기 쌍방향 통신 라인을 경유하지 않고, 상기 단방향 통신 라인을 경유해서 상기 제 1 게이트웨이 장치에 송신되는 아웃바운드 통신 처리 스텝을 더 갖는다.
상기 (12)의 구성에 따르면, 상기 (2)와 마찬가지의 효과를 얻을 수 있다.
(13) 몇몇의 실시 형태에서는, 상기 (12)의 구성에 있어서,
상기 단방향 통신 라인은 상기 제 2 게이트웨이 장치의 송신 물리 포트와 상기 제 1 게이트웨이 장치의 수신 물리 포트를 접속하는 광 파이버 케이블이다.
상기 (13)의 구성에 따르면, 상기 (3)과 마찬가지의 효과를 얻을 수 있다.
(14) 몇몇의 실시 형태에서는, 상기 (12)~(13)의 구성에 있어서,
상기 쌍방향 통신 라인에서는, 라우팅이 불가능한 프로토콜에 의한 통신이 행해지도록 구성된다.
상기 (14)의 구성에 따르면, 상기 (4)와 마찬가지의 효과를 얻을 수 있다.
(15) 몇몇의 실시 형태에서는, 상기 (12)~(14)의 구성에 있어서,
상기 외부 네트워크 및 상기 내부 네트워크는 IP 네트워크이다.
상기 (15)의 구성에 따르면, 상기 (5)와 마찬가지의 효과를 얻을 수 있다.
(16) 몇몇의 실시 형태에서는, 상기 (15)의 구성에 있어서,
상기 제 1 게이트웨이 장치는 상기 특정 프로토콜의 통신 정보를 포트 번호에 의해 식별한다.
상기 (16)의 구성에 따르면, 상기 (6)과 마찬가지의 효과를 얻을 수 있다.
(17) 몇몇의 실시 형태에서는, 상기 (16)의 구성에 있어서,
상기 아웃바운드 통신 처리 스텝은, 상기 내부 네트워크로부터 수신한 상기 아웃바운드의 전송 데이터가 UDP/IP 통신인 경우에는, 상기 단방향 통신 라인을 사용한 상기 아웃바운드의 전송 데이터의 송신을 허가하는 아웃바운드 통신 필터링 스텝을 갖는다.
상기 (17)의 구성에 따르면, 상기 (7)과 마찬가지의 효과를 얻을 수 있다.
(18) 몇몇의 실시 형태에서는, 상기 (11)~(17)의 구성에 있어서,
상기 특정 프로토콜은 표준화되어 있지 않은 독자 프로토콜이다.
상기 (18)의 구성에 따르면, 상기 (8)과 마찬가지의 효과를 얻을 수 있다.
(19) 몇몇의 실시 형태에서는, 상기 (11)~(18)의 구성에 있어서,
상기 쌍방향 통신 라인은 RS-232C를 포함하는 시리얼 통신이다.
상기 (19)의 구성에 따르면, 상기 (9)와 마찬가지의 효과를 얻을 수 있다.
(20) 몇몇의 실시 형태에서는, 상기 (11)~(19)의 구성에 있어서,
상기 제 1 게이트웨이 장치는 제 1 방화벽을 통해서 상기 외부 네트워크에 접속되고,
상기 제 2 게이트웨이 장치는 제 2 방화벽을 통해서 상기 내부 네트워크에 접속된다.
상기 (20)의 구성에 따르면, 상기 (10)과 마찬가지의 효과를 얻을 수 있다.
본 발명의 적어도 일 실시 형태에 의하면, 제어 네트워크 등의 내부 네트워크를 사이버 공격으로부터 강고하게 보호하면서, 내부 네트워크와 외부 네트워크의 사이의 쌍방향 통신을 가능하게 하는 시큐리티 시스템 및 통신 제어 방법이 제공된다.
도 1은 본 발명의 일 실시 형태에 따른 시큐리티 시스템을 포함하는 네트워크 전체의 구성을 개략적으로 나타내는 도면이다.
도 2는 본 발명의 일 실시 형태에 따른 시큐리티 시스템의 구성을 개략적으로 나타내는 도면이다.
도 3은 본 발명의 일 실시 형태에 따른 네트워크를 통해 전송되는 인바운드 통신의 프로토콜 스택을 나타내는 도면이다.
도 4는 본 발명의 일 실시 형태에 따른 네트워크를 통해 전송되는 아웃바운드 통신의 프로토콜 스택을 나타내는 도면이다.
도 5는 본 발명의 일 실시 형태에 따른 시큐리티 시스템의 인바운드 통신의 통신 제어 플로우를 나타내는 도면이다.
도 6은 본 발명의 일 실시 형태에 따른 시큐리티 시스템의 아웃바운드 통신의 통신 제어 플로우를 나타내는 도면이다.
이하, 첨부 도면을 참조해서 본 발명의 몇몇의 실시 형태에 대해 설명한다. 다만, 하나의 구성 요소를 「갖춘다」, 「갖는다」, 「구비한다」, 「포함한다」, 또는, 「가진다」라고 하는 표현은 다른 구성 요소의 존재를 제외하는 배타적인 표현은 아니다.
도 1은 본 발명의 일 실시 형태에 따른 시큐리티 시스템(1)을 포함하는 네트워크 전체의 구성을 개략적으로 나타내는 도면이다. 또, 도 2는 본 발명의 일 실시 형태에 따른 시큐리티 시스템(1)의 구성을 개략적으로 나타내는 도면이다. 이 시큐리티 시스템(1)은 내부 네트워크의 통신 장치와 외부 네트워크의 통신 장치의 사이의 엔드 투 엔드(E2E)의 통신을 가능하게 하면서, 외부 네트워크를 통한 사이버 공격 등으로부터 내부 네트워크를 보호하는 것(장치)이다. 후술하는 바와 같이, 예를 들면, 내부 네트워크는 발전 플랜트 등의 제어 네트워크(6)이며, 외부 네트워크는 인터넷(5) 등이고, 외부 네트워크를 통한 내부 네트워크의 통신 장치의 원격 감시나 원격 조작 등의 서비스가 제공되고 있다. 그리고, 시큐리티 시스템(1)은 내부 네트워크의 입구(경계)에 있어서, 상기의 서비스와 관련해서 필요한 통신을 허가하면서, 사이버 공격 등의 부정한 허가되어 있지 않은 통신을 차단한다.
이러한 통신 제어를 실현하기 위해서, 시큐리티 시스템(1)은 도 1 및 도 2에 나타내는 바와 같이, 상이한 네트워크 간을 접속하는 장치인 제 1 게이트웨이 장치(2) 및 제 2 게이트웨이 장치(3)와, 제 1 게이트웨이 장치(2)와 제 2 게이트웨이 장치(3)를 서로 접속하는 쌍방향 통신 라인(41) 및 단방향 통신 라인(42)을 구비한다. 또, 제 1 게이트웨이 장치(2)는 외부 네트워크에 접속되도록 구성되고, 제 2 게이트웨이 장치(3)는 보호 대상이 되는 내부 네트워크에 접속되도록 구성된다. 상술한 바와 같이, 내부 네트워크는 시큐리티 시스템(1)에 의해 보호되는 네트워크이며, 외부 네트워크는 보호 대상이 되는 내부 네트워크와 통신 가능하게 접속된 내부 네트워크의 외부에 있는 다른 네트워크이다. 도 1 및 도 2에 예시되는 실시 형태에서는, 내부 네트워크는 아래에 설명하는 제어 네트워크(6)이며, 외부 네트워크는 인터넷(5)이나 거점 네트워크(7)(후술)로 되어 있다.
이 제어 네트워크(6)는, 도 1 및 도 2에서, 이더넷(등록상표)으로 구축된 근거리 통신망(LAN)으로 되어 있다. 또, 제어 네트워크(6)는 발전 플랜트의 제어 네트워크이며, 제어 네트워크(6)에는, 도시된 바와 같이, 플랜트의 제어를 행하는 콘트롤러가 되는 프로세스 스테이션(MPS)이나, 현장의 제조 기기의 제어를 행하는 장치와의 입출력이나 각종 연산 처리를 행하기 위한 로컬 콘트롤러인 CPU 모듈(CPS) 등의 제어 장치(63)나, 제어 장치(63) 등으로부터의 데이터 수집, 보존 등을 행함과 아울러, 외부와의 인터페이스가 되는 단말인 액세서리 스테이션(ACS)(64), 제어 장치(63) 등의 감시·조작용의 기기가 되는 오퍼레이터 스테이션(OPS)(65) 등이 접속되어 있다. 그리고, 이들의 각 장치(제어 장치(63)나 ACS(64), OPS(65) 등)나 제 2 게이트웨이 장치(3)에는 서로 다른 전용(private) IP 어드레스를 각각 할당할 수 있어, LAN 상에서의 IP 통신이 가능해진다.
거점 네트워크(7)는 도 1 및 도 2에서, 방화벽(74)을 통해서 인터넷(5)에 접속된 네트워크이며, 인터넷(5)과 함께 외부 네트워크의 일부를 구성하고 있다. 또, 거점 네트워크(7)는 상기의 제어 장치(63)의 감시·조작용의 기기가 되는 오퍼레이터 스테이션(OPS)(72)이나, 원격 감시용의 서버, 태블릿 단말 등의 각종 장치(이하, 적당, 리모트 PC)가 접속되는 사내 네트워크이다. 거점 네트워크(7)도 이더넷(등록상표)로 구축된 근거리 통신망(LAN)이며, 거점 네트워크(7)에 접속되는 각 장치(리모트 PC등)에 서로 다른 전용 IP 어드레스가 할당됨으로써, LAN 상에서의 IP 통신이 가능해진다.
또, 도 1 및 도 2에 예시되는 실시 형태에서는, 제어 네트워크(6)(내부 네트워크)와 거점 네트워크(7)는, 인터넷(5)에 구축된 VPN(Virtual Private Network)을 통해서 접속되어 있다. 구체적으로는, 거점 네트워크(7)의 방화벽(74)의 내측의 VPN 장치(75)(예를 들면, VPN 대응 라우터 등)와, 제 1 게이트웨이 장치(2)와 인터넷(5)의 경계에 설치된 제 1 방화벽(14a)의 내측의 VPN 장치(15)의 사이에 VPN가 구축되어 있고, 인터넷(5) 상에 가상적인 터널(VPN 터널(55))이 구축되어 있다.
그리고, 상술의 VPN 접속과, 아래에 설명하는 제 1 게이트웨이 장치(2)와 제 2 게이트웨이 장치(3)의 사이의 접속을 통해서, 제어 네트워크(6)의 제어 장치(63)와 리모트 PC의 사이에 E2E의 통신이 확립된다. 즉, 거점 네트워크(7)에 접속된 상기의 OPS(72) 등의 각종 장치를 리모트 PC로 해서, 제어 네트워크(6)에 접속된 제어 장치(63) 등의 원격 감시, 원격 조정 등이 행해진다. 이 제 1 게이트웨이 장치(2)와 제 2 게이트웨이 장치(3)의 사이의 접속은, 아래에 설명하는 쌍방향 통신 라인(41) 및 단방향 통신 라인(42)의 2개의 통신 라인(4)에 의해 각각 행해진다.
쌍방향 통신 라인(41)은, 도 1 및 도 2에 나타나는 바와 같이, 제 1 게이트웨이 장치(2)와 제 2 게이트웨이 장치(3)를 쌍방향 통신이 가능하게 접속하는 통신 라인(4)이다. 도 1 및 도 2에 예시되는 실시 형태에서는, 쌍방향 통신 라인(41)은 RS-232C 등의 시리얼 통신이 행해지는 통신 라인(4)이며, 제 1 게이트웨이 장치(2)와 제 2 게이트웨이 장치(3)가 쌍방향 통신 라인(41)에 의해 일대일로 접속된다. 즉, 쌍방향 통신 라인(41)을 통한 통신의 목적지는 직접 접속된 상대측의 장치이며, 제 1 게이트웨이 장치(2)로부터 쌍방향 통신 라인(41)을 통해서 송신되는 통신 데이터는 제 2 게이트웨이 장치(3) 이외의 장치로 자동적으로 전송되는 것은 아니다. 마찬가지로, 제 2 게이트웨이 장치(3)로부터 쌍방향 통신 라인(41)을 통해서 송신되는 통신 데이터는 제 1 게이트웨이 장치(2) 이외의 장치로 자동적으로 전송되는 것은 아니다. 이와 같이, 쌍방향 통신 라인(41)을 통한 통신은, 라우팅이 되지 않는 프로토콜(라우팅 불가능한 프로토콜)로 행해지도록 구성되어 있다. 도 2에서는, 제 1 게이트웨이 장치(2)의 외부 통신 인터페이스(외부 통신 IF(23d))와 제 2 게이트웨이 장치(3)의 외부 통신 IF(33d)가 RS-232C 케이블로 접속되어 있다.
이 쌍방향 통신 라인(41)은, 주로, 리모트 PC(OPS(72))로부터 제어 네트워크(6)의 제어 장치(63)에 대해서 제어 커멘드(후술하는 특정 프로토콜의 통신 정보) 등을 송신하기 위한 회선이다. 이러한 제어 커멘드의 통신량은 비교적 작고, RS-232C와 같은 비교적 저속인 통신 라인(4)에 의해, 통신량에 의한 제한을 두면서, 적절한 통신 속도를 제공하는 것이 가능해진다. 후술하는 바와 같이, 쌍방향 통신 라인(41)을 경유한 통신은 제 1 게이트웨이 장치(2)의 제 1 프록시부(21)와 제 2 게이트웨이 장치(3)의 제 2 프록시부(31)에 의해 제어되고, 이것에 의해, 제어 네트워크(6)(내부 네트워크)를 보호하고 있다.
한편, 단방향 통신 라인(42)은 도 1 및 도 2에 나타내는 바와 같이, 제 1 게이트웨이 장치(2)와 제 2 게이트웨이 장치(3)를, 제 2 게이트웨이 장치(3)로부터 제 1 게이트웨이 장치(2)를 향하는 단방향 통신이 가능하게 접속하는 통신 라인(4)이다. 이 단방향 통신 라인(42)은 예를 들면, 제 2 게이트웨이 장치(3)가 갖는 외부 통신 IF(33s)(예를 들면, NIC:Network Interface Card)의 송신 물리 포트와 제 1 게이트웨이 장치(2)가 갖는 외부 통신 IF(23s)의 수신 물리 포트를 접속함과 아울러, 제 1 게이트웨이 장치(2)의 외부 통신 IF(23s)의 송신 물리 포트와 제 2 게이트웨이 장치(3)의 외부 통신 IF(33s)의 수신 물리 포트를 접속하지 않음으로써, 단방향 통신을 실현해도 좋다. 구체적으로는, 도 1~2에서는, 도 2에 나타내는 바와 같이, 단방향 통신 라인(42)은 제 2 게이트웨이 장치(3)의 외부 통신 IF(33d)의 송신 물리 포트(Tx 포트)와 제 1 게이트웨이 장치(2)의 외부 통신 IF(23d)의 수신 물리 포트(Rx 포트)를 광 파이버 케이블에 의해 접속함과 아울러, 제 1 게이트웨이 장치(2)의 외부 통신 IF(23d)의 송신 물리 포트(Tx 포트)와 제 2 게이트웨이 장치(3)의 외부 통신 IF(33d)의 수신 물리 포트(Rx 포트)를 광 파이버 케이블 등으로 접속하지 않음으로써 형성되어 있다. 이와 같이, 단방향의 통신 라인(4)을 물리적으로 형성함으로써, 단방향 통신의 통신 라인(4)을 구성하고 있다.
이 단방향 통신 라인(42)은 주로, 플랜트의 운전 데이터 등의 대량의 데이터를 제어 네트워크(6)의 내부로부터 외부의 OPS(72)나 각종 서버 등의 리모트 PC에 송신하기 위한 통신 라인(4)이며, 광 파이버 케이블로 구성함으로써, 고속 통신을 제공하는 것이 가능해진다. 이와 같이, 외부 네트워크로부터의 통신은 단방향 통신 라인(42)을 경유해서 제어 네트워크(6)에 도달할 수 없게 구성함으로써, 제어 네트워크(6)(내부 네트워크)의 보호를 꾀하고 있다.
상술한 네트워크의 전체 구성에 있어서, 제 1 게이트웨이 장치(2) 및 제 2 게이트웨이 장치(3)는 양 장치를 접속하는 통신 라인(4)(쌍방향 통신 라인(41)과 단방향 통신 라인(42))을 경유한 통신을 제어함으로써, 내부 네트워크의 보호를 꾀하고 있다. 상세히 설명하면, 도 2에 나타내는 바와 같이, 제 1 게이트웨이 장치(2)는 특정의 애플리케이션 레이어의 프로토콜인 특정 프로토콜을 처리하도록 구성되는 제 1 프록시부(21)를 가지며, 제 2 게이트웨이 장치(3)는 이 특정 프로토콜을 처리하도록 구성되는 제 2 프록시부(31)를 갖는다. 그리고, 제 1 프록시부(21) 및 제 2 프록시부(31)는 아래에 설명하는 바와 같이, 쌍방향 통신 라인(41)과 단방향 통신 라인(42)을 통한 통신 데이터에 대해서 후술하는 송신 처리 및 수신 처리(송수신 처리)를 행함으로써 통과하려고 하는 통신의 통신 제어를 행한다.
여기서, 특정 프로토콜은 제어 네트워크(6)의 통신 장치(제어 장치(63), ACS(64) 등)와 외부 네트워크의 통신 장치(리모트 PC)의 사이에서 정보를 교환하기 위한 프로토콜이며, 특정 프로토콜의 통신 정보가 교환된다. 즉, 특정 프로토콜의 통신 정보는 제어 장치(63) 등의 수신측 엔드 장치와 리모트 PC 등의 송신측 엔드 장치의 사이에서 교환되는 E2E의 통신 데이터(메시지 형식의 제어 커멘드나 감시 데이터 요구 등)이며, 송신측 엔드 장치가 생성한 것이다. 즉, 리모트 PC(예를 들면, OPS(72))나 제어 네트워크(6)의 제어 장치(63)나 ACS(64)는 상기의 특정 프로토콜의 통신 정보의 처리(예를 들면, 제어 커멘드의 생성, 해석, 실행 등)를 행하기 위한 전용 애플리케이션(전용 프로그램)을 구비하고 있다. 그리고, 이 전용 애플리케이션의 프로세스는, 각각의 장치의 OS(Operating System) 상에서 동작하고 있고, 특정 프로토콜에 의해 장치 간에서의 프로세스간 통신을 행함으로써, 특정 프로토콜의 통신 정보의 내용에 따른 제어(예를 들면, 제어 장치(63)의 설정 변경 등)가 이루어진다.
또, 특정 프로토콜의 통신 정보는 특정 프로토콜의 포맷을 가지고 있다. 예를 들면, 헤더부(제어부)와 데이터부를 가져도 좋다. 또, 이 포맷에는, 수신측 엔드 장치(목적지)를 식별하기 위한 목적지 어드레스 정보가 포함되어도 좋고, 후술하는 바와 같이 적어도 제 2 프록시부(31)에 의해 이용된다. 그리고, 송신측 엔드 장치의 전용 프로그램에 의해 소켓 API가 콜(call)됨으로서, 특정 프로토콜의 통신 정보를 포함한 UDP/IP 패킷이 생성되어, 네트워크 상에 송신된다. 이때, 전용 프로그램에 의해, 특정 프로토콜의 통신 정보는 압축, 암호화되어도 좋고, 이러한 통신 데이터가 IP 패킷화됨으로써, 데이터의 도청, 위조에 대한 내력을 향상시킬 수 있다. 또, 송신측 엔드 장치의 전용 프로그램으로부터 송신되는 통신은 수신측 엔드 장치의 전용 프로그램에 의해 감시됨으로써, 통신 데이터에 대한 압축 해제, 복호화를 통해 메시지의 교환이 이루어진다. 또한, 전용 프로그램은 TCP/IP 패킷을 생성해서 통신을 행해도 좋다.
도 1 및 도 2에 예시되는 실시 형태에서는, 특정 프로토콜은 표준화되어 있지 않은 독자 프로토콜이며, 그 사양은 일반적으로 공개되어 있는 것은 아니다. 즉, 독자 프로토콜인 특정 프로토콜을 해석 가능한 장치인 제 1 게이트웨이 장치(2) 및 제 2 게이트웨이 장치(3)만이, 외부 네트워크로부터 수신한 독자 프로토콜(특정 프로토콜)의 전송 데이터를 내부 네트워크의 목적지를 향해 송신(중계) 가능하게 구성된다. 이 때문에, 외부 네트워크로부터 내부 네트워크로 표준화된 애플리케이션 레이어의 프로토콜의 전송 데이터를 송신할 수 없어, 사이버 공격에 대한 방어력을 증강시킬 수 있다.
이러한 특정 프로토콜(독자 프로토콜)의 통신 정보를 제 1 프록시부(21) 및 제 2 프록시부(31)(프록시부)가 처리한다. 이러한 프록시부(제 1 프록시부(21) 및 제 2 프록시부(31))는 도 2에 나타내는 바와 같이, 제 1 게이트웨이 장치(2) 및 제 2 게이트웨이 장치(3)의 플랫폼의 OS 상에서 동작하는 애플리케이션 소프트웨어의 프로세스나 스레드(thread)이다. 즉, 제 1 게이트웨이 장치(2) 및 제 2 게이트웨이 장치(3)는 프로세서(CPU)나 메모리를 구비하고 있다. 그리고, 프록시부로서 기능하는 프로그램(소프트웨어)은 메인 메모리에 전개(로딩)됨으로써 OS 등의 플랫폼의 기능을 이용하면서 동작한다. 구체적으로는, 프록시부는 프로세서를 이용해서 프로그램의 명령을 실행함으로써, 특정 프로토콜을 처리하도록 구성되어 있다. 또, 프록시부는 프로세서를 이용해서 프로그램의 명령을 실행함으로써, 플랫폼의 통신 기능(OS나 외부 통신 IF 등)을 이용해서, 장치의 외부와의 통신을 행하도록 구성되어 있다. 또한, 프록시부는 DOS계, Unix계, Linux(등록상표)계, Windows계 등의 여러 플랫폼 상에서 동작해도 좋다.
그리고, 게이트웨이 장치(제 1 게이트웨이 장치(2)나 제 2 게이트웨이 장치(3))의 외부 통신 IF(23, 33)에 전송 데이터가 도달함으로써, 제 1 게이트웨이 장치(2)나 제 2 게이트웨이 장치(3)는 전송 데이터를 수신한다. 또, 게이트웨이 장치에서는, 프록시부(제 1 프록시부(21)이나 제 2 프록시부(31))가 처리 대상이 되는 통신 데이터의 수신을 감시하고 있고, 수신한 전송 데이터는 게이트웨이 장치의 플랫폼의 통신 처리부(OS나 외부 통신 IF(23, 33) 등)에 의한 처리를 통해, 프록시부에 수신된다. 이때, 프록시부는 처리 대상이 되는 특정 프로토콜의 통신 정보만 수신하도록 구성되어도 좋다. 혹은, 프록시부는 게이트웨이 장치에 의해 수신되는 모든 전송 데이터의 통신 데이터를 수신한 후, 특정 프로토콜의 통신 정보를 식별하고, 대상인 것에 대해서 송수신 처리(후술)를 계속해서 실행하고, 그 이외의 통신 데이터에 대해서는 처리를 종료(예를 들면 폐기)하도록 구성해도 좋다.
통신 데이터가 특정 프로토콜의 통신 정보인지 여부의 판단은 IP 패킷에 포함되는 포트 번호(UDP 포트 번호 혹은 TCP 포트 번호)에 의해 행해져도 좋다. 도 1 및 도 2의 실시 형태에서는, 이 판단은 포트 번호에 의해 행해지고 있다. 이 구성에 의하면, 포트 번호에 의해 특정 프로토콜의 통신을 용이하게 식별할 수 있다. 이와 같이 해서, 프록시부는 특정 프로토콜의 통신 정보를 취득한다. 또한, 특정 프로토콜의 통신 정보가 복수의 IP 패킷으로 분할되어 네트워크 상(내부 네트워크나 외부 네트워크)을 전송되고 있는 경우에는, 분할된 IP 패킷을 모두 수신해서 조립함으로써, 특정 프로토콜의 통신 정보가 프록시부에 의해 취득되게 된다.
이하, 도 3~도 4를 이용해서, 제 1 게이트웨이 장치(2) 및 제 2 게이트웨이 장치(3)에 의한 통신 제어(송수신 처리)를 인바운드의 통신과 아웃바운드의 통신으로 구분해서 차례로 설명한다. 이들의 도면은 도 1 및 도 2에 대응하는 것이고, 리모트 PC(예를 들면, OPS(72)나 서버)와 제어 네트워크(6)의 제어 장치(63)(도 3)이나 ACS(64)(도 4)의 사이에서 엔드 투 엔드(E2E)의 통신이 행해지는 경우를 예로서 도시하고 있다. 여기서, 인바운드 통신은 외부 네트워크로부터 내부 네트워크를 향하는 방향의 통신이다. 또, 아웃바운드 통신은 내부 네트워크로부터 외부 네트워크를 향하는 방향의 통신이다. 또, 각 엔드 장치는 목적지가 되는 엔드 장치의 네트워크 상의 목적지 어드레스(IP 어드레스)를 통신시에 알 수 있고, IP 통신시의 목적지 IP 어드레스로서 설정할 수 있는 것으로 한다.
인바운드의 통신은 도 3에 나타내는 바와 같이, 외부 네트워크의 통신 장치를 송신원(송신측 엔드 장치), 내부 네트워크의 통신 장치를 목적지(수신측 엔드 장치)로 해서 행해지는 데이터 통신에 대응한다. 그리고, 제 1 게이트웨이 장치(2)가 외부 네트워크로부터 내부 네트워크를 향하는 인바운드의 전송 데이터를 수신하면, 제 1 프록시부(21)는 인바운드의 전송 데이터가 특정 프로토콜인 경우에는, 상기 인바운드의 전송 데이터에 의해 전달되는 특정 프로토콜의 통신 정보를 수신한 후에, 상기 특정 프로토콜의 통신 정보를 상기 쌍방향 통신 라인에 의해 상기 제 2 게이트웨이 장치에 송신하도록 구성된다. 반대로, 제 1 프록시부(21)는 제 1 게이트웨이 장치(2)가 수신한 인바운드의 전송 데이터가 특정 프로토콜의 통신 정보가 아닌 경우에는 인바운드의 전송 데이터를 제 2 게이트웨이 장치에 송신하지 않도록 구성된다.
상세히 설명하면, 도 3은 본 발명의 일 실시 형태에 따른 네트워크를 통해 전송되는 인바운드의 전송 데이터의 프로토콜 스택을 나타내는 도면이다. 도 3에서는, 리모트 PC(도 3의 예시에서는 OPS(72))로부터는, 특정 프로토콜(독자 프로토콜)의 통신 정보가 데이터부에 설정된 IP 패킷이 송신된다. 도 3의 예시에서는, 리모트 PC로부터의 IP 패킷은 거점 네트워크(7)를 통해서 이더넷(등록상표) 프레임에 의해 전송된 후, 인터넷(5)의 VPN 터널(55)을 거쳐 제 1 게이트웨이 장치(2)에 도달하고, 제 1 게이트웨이 장치(2)에 외부 통신 IF(23o)를 통해서 수신된다.
제 1 프록시부(21)는 특정 프로토콜의 통신 정보를 수신하면 수신 처리를 행한다. 이 제 1 프록시부(21)에 의한 수신 처리는 수신한 특정 프로토콜의 통신 정보의 목적지 어드레스(수신측 엔드 장치의 주소)를 취득하는 것이 포함되어도 좋다. 이 수신한 목적지 어드레스에 근거해서, 통신은 예를 들면 자신이 아니라, 쌍방향 통신 라인(41)을 넘어선 제어 네트워크(6)의 수신측 엔드 장치가 목적지인 것을 알기에, 쌍방향 통신 라인(41)을 통한 통신을 행할 수 있다. 이 목적지 어드레스의 취득 방법에는, 아래에 설명하는 바와 같이 여러 방법이 있다. 또한, 후술하는 바와 같이, 제 2 프록시부(31)는 제 1 프록시부(21)로부터 수신하는 특정 프로토콜의 통신 정보로부터, 수신측 엔드 장치의 목적지 어드레스를 취득하는 점은 동일하게 된다.
예를 들면, 몇몇의 실시 형태에서는, 제 1 프록시부(21)는 리모트 PC(OPS(72))가 송신한 전송 데이터의 목적지 어드레스(IP 패킷의 목적지 IP 어드레스)를 사용하지 않고, 목적지 어드레스를 특정 프로토콜의 통신 정보로부터 취득하고 있다. 즉, 특정 프로토콜의 통신 정보에는 목적지 어드레스를 저장하는 목적지 어드레스 필드가 있고, 수신측 엔드 장치의 목적지 어드레스가 리모트 PC측에서 미리 설정되어 있다. 그리고, 제 1 프록시부(21)는 이 목적지 어드레스 필드를 검색함으로써 목적지 어드레스를 취득하고 있다. 예를 들면, 목적지 어드레스 필드에는 목적지 IP 어드레스가 직접적으로 저장되어 있어도 좋고, 목적지 어드레스 필드에 저장된 주소 정보(URL 등)로부터, 게이트웨이 장치의 내부 혹은 외부의 DNS(Domain Name System) 등을 이용해서 목적지 IP 어드레스를 취득하도록 구성해도 좋다. 또, 목적지 어드레스 필드는 특정 프로토콜의 통신 정보의 포맷 상의 고정 위치에 존재해도 좋고, 태그 정보 등에 의해 임의의 위치에 존재해도 좋다. 상기의 구성에 의하면, 제 1 프록시부(21)는 특정 프로토콜 이외의 통신 정보로부터 목적지를 아는 것은 곤란하고, 특정 프로토콜의 사양에 따른 인바운드의 통신 이외의 통신이 제 1 게이트웨이 장치(2)를 통과하는 것을 방지할 수 있다.
다른 몇몇의 실시 형태에서는, 제 1 프록시부(21)는 특정 프로토콜의 통신 정보를 OS로부터 수신할 때에, 리모트 PC(OPS(72))가 송신한 전송 데이터의 목적지 어드레스(IP 패킷의 목적지 IP 어드레스)를 동시에 수신함으로써 취득한다. 이 경우에는, 리모트 PC가 생성한 직후의 특정 프로토콜의 통신 정보에는 목적지 어드레스의 정보는 포함되지 않아도 좋다. 또한, 이 경우에는, 제 1 프록시부(21)의 송신 처리는 이 취득한 목적지 어드레스를 특정 프로토콜의 통신 정보와 함께, 쌍방향 통신 라인(41)을 통해서 제 2 프록시부(31)에 송신하도록 구성된다. 예를 들면, 특정 프로토콜의 통신 정보의 목적지 어드레스 필드 등에 목적지 어드레스를 부가하는 등, 제 1 프록시부(21)와 제 2 프록시부(31)의 사이에서 결정된 방법에 의해, 특정 프로토콜의 통신 정보에 목적지 어드레스를 부가해도 좋다. 상기의 구성에 의하면, 특정 프로토콜의 사양에 따른 인바운드의 통신 이외의 통신이 제 1 게이트웨이 장치(2)를 통과하는 것을 방지할 수 있다.
또한, 상기 어느 실시 형태에서도, 수신 처리에는, 리모트 PC측에서 압축이나 암호화가 이루어진 특정 프로토콜의 통신 정보를 압축 해제, 복호화하는 것이 포함되어도 좋다. 이 경우에는, 제 1 프록시부(21)는 압축 해제나 복호화에 의해 올바른 특정 프로토콜의 통신 정보를 취득하는 것을 제 2 프록시부(31)에 송신하는 것의 전제로 해도 좋다.
또, 제 1 프록시부(21)는 상술한 수신 처리 후에, 특정 프로토콜의 통신 정보의 송신 처리를 실행한다. 구체적으로는, 도 3에 나타내는 바와 같이, 제 1 프록시부(21)는 쌍방향 통신 라인(41)을 통해서 시리얼 통신(1대1 접속)에 의해 특정 프로토콜의 통신 정보를 제 2 게이트웨이 장치(3)에 송신한다. 구체적으로는, 취득된 목적지 어드레스에 근거해서 제어 네트워크(6)에 수신측 엔드 장치가 존재하는 것을 인식하고, 쌍방향 통신 라인(41)을 경유해서 제 2 프록시부(31)에 특정 프로토콜의 통신 정보를 송신한다. 이 송신 처리에는, 특정 프로토콜의 통신 정보의 압축이나 암호화가 포함되어도 좋다. 도 1~도 3에 예시되는 실시 형태에서는, 제 1 게이트웨이 장치(2)의 제 1 프록시부(21)는 RS-232C의 시리얼 포트(COM 포토)를 통해서 순차 통신 데이터를 송신하고 있다. 또, 제 2 게이트웨이 장치(3)의 제 2 프록시부(31)는 RS-232C의 시리얼 포트(COM 포토)를 통해서 순차 통신 데이터를 수신하고, 아래에 설명하는 송수신 처리를 행한다.
또한, 제 1 프록시부(21)에 의한 송수신 처리는 상기로 한정되지 않는다. 다른 몇몇의 실시 형태에서는, 제 1 프록시부(21)는 수신측 엔드 장치가 쌍방향 통신 라인(41)을 넘어선 제어 네트워크(6)에 존재하는 것을 전제로 해도 좋다. 즉, 제 1 프록시부(21)는 수신 처리에 의해 목적지 어드레스를 취득하지 않아도 좋고, 수신한 특정 프로토콜의 통신 정보는 항상 제어 네트워크(6)를 목적지로 인식해서 송신 처리를 행한다. 이 경우에는, 리모트 PC가 생성한 직후의 특정 프로토콜의 통신 정보에는 목적지 어드레스의 정보가 포함되어 있을 필요가 있다. 이러한 구성에 있어서도, 제 1 게이트웨이 장치(2)를 통과하는 것이 가능한 통신 데이터를 특정 프로토콜의 통신 정보로 한정할 수 있고, 그 이외의 통신 데이터가 내부 네트워크에 침입하는 것을 저지할 수 있다.
한편, 제 2 프록시부(31)는 상술한 바와 같이 제 1 프록시부(21)로부터 송신된 통신 데이터를 수신하면, 수신 처리를 행한다. 구체적으로는, 제 2 프록시부(31)는 쌍방향 통신 라인(41)을 통해서 제 1 프록시부(21)로부터 특정 프로토콜의 통신 정보를 수신한 경우에는, 내부 네트워크에 있어서의 통신의 목적지 어드레스를 상기 특정 프로토콜의 통신 정보로부터 취득하고, 상기 목적지 어드레스에 대해서 상기 특정 프로토콜의 통신 정보를 송신하도록 구성된다. 즉, 제 1 프록시부(21)와 제 2 프록시부(31)는 1대1로 접속되어 있고, 이러한 통신에서는, IP 패킷과 같은 수 홉 앞의 목적지 어드레스를 나타내는 정보는 불필요하고, 표준적으로는 사용되지 않는다. 환언하면, 제 1 게이트웨이 장치(2)에 의해 외부 네트워크로부터의 IP 통신은 일단 종단되고 있고, RS-232C 등의 시리얼 통신으로 IP 통신을 단순히 치환하는 것만으로는, 종단된 IP 통신의 목적지 IP 어드레스는 불필요하기 때문에, 통신 목적지인 제 2 프록시부(31)는 수신측 엔드 장치의 목적지 어드레스를 통상 얻을 수 없다. 그래서, 제 2 프록시부(31)는 제 1 프록시부(21)에 의해 송신된 통신 정보로부터 주소 정보를 취득한다. 예를 들면, 상술한 바와 같이, 특정 프로토콜의 통신 정보에는 목적지 어드레스를 저장하는 목적지 어드레스 필드가 있고, 이 목적지 어드레스 필드를 검색함으로써 목적지 어드레스를 취득해도 좋다. 특정 프로토콜의 통신 정보로부터 목적지 어드레스를 취득하는 것에는, 리모트 PC에 의해 생성된 특정 프로토콜의 통신 정보의 통신 데이터(메시지)에 부가됨으로써, 목적지 어드레스 정보가 제 1 프록시부(21)로부터 송신되는 것도 포함된다.
또, 제 2 프록시부(31)는 상기의 수신 처리 후에, 송신 처리를 실행한다. 구체적으로는, 수신 처리에 의해 취득한 목적지 어드레스를 통신의 목적지 어드레스(IP 패킷의 목적지 IP 어드레스)로 해서 특정 프로토콜의 통신 정보를 수신측 엔드 장치에 송신한다. 도 3에 예시되는 실시 형태에서는, 수신 처리에 의해 취득된 목적지 어드레스를 목적지 IP어드레스 필드에 지정해서 소켓 API를 콜함으로써, 특정 프로토콜의 통신 정보를 포함한 UDP/IP 패킷이 생성되고, 외부 통신 IF(33i)로부터 제어 네트워크(6) 상에 송신된다. 이 IP 패킷은 이더넷(등록상표) 프레임에 실려서 제어 네트워크(6) 내에 라우팅되어, 수신측 엔드 장치(목적지)에서 수신된다. 이와 같이 해서, 수신측 엔드 장치(목적지)는 리모트 PC로부터의 통신 데이터를 수신할 수 있다. 또한, 제 2 프록시부(31)에 의한 수신 처리에는, 특정 프로토콜의 통신 정보를 압축 해제, 복호화가 포함되어도 좋고, 송신 처리에는, 특정 프로토콜의 통신 정보의 압축이나 암호화가 포함되어도 좋다.
계속해서, 아웃바운드의 통신에 대한 통신 제어에 대해 설명한다. 아웃바운드의 통신은 도 4에 나타내는 바와 같이, 내부 네트워크의 통신 장치를 송신원(송신측 엔드 장치), 외부 네트워크의 통신 장치를 목적지(수신측 엔드 장치)로 해서 행해지는 데이터 통신에 대응한다. 상술한 바와 같이, 시큐리티 시스템(1)은 제 1 게이트웨이 장치(2)와 제 2 게이트웨이 장치(3)를, 제 2 게이트웨이 장치(3)로부터 제 1 게이트웨이 장치(2)를 향하는 단방향 통신이 가능하게 접속하는 단방향 통신 라인을 구비하고 있고, 제 2 게이트웨이 장치(3)이 수신하는 아웃바운드의 전송 데이터는, 쌍방향 통신 라인(41)을 경유하지 않고, 단방향 통신 라인(42)을 경유해서 제 1 게이트웨이 장치(2)에 송신된다. 예를 들면, 특정 프로토콜(독자 프로토콜)이, HTTP 통신과 같은 요청(request)과 요청에 대한 응답(response)이 세트로 행해지는 사양으로 되어 있는 경우에도, 아웃바운드의 송신은 단방향 통신 라인(42)을 경유하고, 인바운드의 송신은 쌍방향 통신 라인(41)을 경유한다. 즉, 아웃바운드 통신은 단방향 통신 라인(42)을 반드시 경유하도록 구성된다. 이 때문에, 단방향 통신 라인(42)에 의해, 데이터 다이오드와 같이, 외부 네트워크로부터의 공격이나 부정 침입을 확실히 차단하면서, 내부 네트워크의 송신측 엔드 장치로부터 외부 네트워크의 수신측 엔드 장치(목적지)에 플랜트의 운전 정보 등을 보낼 수 있다.
상세히 설명하면, 도 4는 본 발명의 일 실시 형태에 따른 네트워크를 통해 전송되는 아웃바운드의 전송 데이터의 프로토콜 스택을 나타내는 도면이다. 도 4에서는, 제어 네트워크(6)의 ACS(54)로부터는, 특정 프로토콜(독자 프로토콜)의 통신 정보가 데이터부에 설정된 IP 패킷이 송신된다. 도 4의 예시에서는, ACS로부터의 IP 패킷은 이더넷(등록상표) 프레임에 의해 제어 네트워크(6) 상에 전송되어, 외부 통신 IF(33i)를 통해서 제 2 게이트웨이 장치(3)에 수신된다.
그리고, 제 2 프록시부(31)는 아웃바운드 통신에 의한 특정 프로토콜의 통신 정보를 수신하면, 수신 처리 및 수신 처리 후의 송신 처리를 행한다. 한편, 제 1 프록시부(21)도 제 2 프록시부(31)로부터 쌍방향 통신 라인(41)을 통해서 수신하는 아웃바운드 통신에 대해서, 수신 처리 및 송신 처리를 행한다. 이러한 아웃바운드 통신에 대한 송수신 처리는 아래에 설명하는 바와 같이 여러 방법이 있다.
몇몇의 실시 형태에서는, 도 4에 나타내는 바와 같이, 제 2 프록시부(31)는 수신한 아웃바운드 통신의 전송 데이터(IP 패킷)의 애플리케이션 레이어의 프로토콜의 종류에 관계없이, 전송 데이터의 목적지 어드레스(IP 패킷의 목적지 IP 어드레스)에 근거해서 전송 데이터를 전송(송신)하도록 구성된다. 이 경우에는, 제 1 프록시부(21)도 제 2 게이트웨이 장치(3)로부터 수신한 아웃바운드의 전송 데이터의 목적지 어드레스에 근거해서, 목적지 엔드 장치를 향해 IP 패킷을 송신한다. 즉, 제 2 프록시부(31) 및 제 1 프록시부(21)는 아웃바운드의 통신에 대해서 IP 레이어밖에 처리하지 않는다. 이것에 의해, 게이트웨이 장치의 처리 부하를 저감할 수 있다. 또, 제어 네트워크(6)에 있어서의 단방향 통신 라인(42)을 통한 통신은, 플랜트의 운전 데이터 등 통신량이 많다. 이 때문에, 제 2 프록시부(31)및 제 1 프록시부(21)에 의한 송수신 처리를 간략화함으로써, 적절한 통신 속도를 얻을 수 있다. 또, 이와 같이 간략화했다고 해도, 단방향 통신 라인(42)을 통한 아웃바운드의 통신은 단방향 통신에 한정되므로, 단방향 통신 라인(42)을 통한 외부 네트워크로부터의 사이버 공격이 차단되는 것에는 변화가 없다.
다른 몇몇의 실시 형태에서는, 제 2 프록시부(31)에 의한 아웃바운드 통신에 대한 수신 처리와 송신 처리는, 단방향 통신 라인(42)을 경유해서 IP 통신하는 것 이외는, 상술한 인바운드 통신에 대한 제 1 프록시부(21)의 수신 처리 및 송신 처리 각각과 마찬가지이어도 좋다. 이 경우에는, 제 1 프록시부(21)에 의한 아웃바운드 통신에 대한 수신 처리 및 송신 처리도, 단방향 통신 라인(42)을 경유해서 IP 통신하는 것 이외는, 상술한 인바운드 통신에 대한 제 2 프록시부(31)의 수신 처리 및 송신 처리 각각과 마찬가지로 된다. 상기의 구성에 의하면, 시큐리티 시스템(1)을 경유한 아웃바운드의 통신을 특정 프로토콜의 통신으로 제한할 수 있어, 내부 네트워크로부터의 정보 누설의 방지를 꾀할 수 있다.
또, 몇몇의 실시 형태에서는, 도 4에 나타내는 바와 같이, 시큐리티 시스템(1)을 통한 아웃바운드의 통신을 UDP/IP 통신으로 한정해도 좋다. 즉, 몇몇의 실시 형태에서는, 제 2 게이트웨이 장치(3)는 내부 네트워크로부터 수신한 아웃바운드의 전송 데이터가 UDP/IP 통신인 경우에는, 단방향 통신 라인(42)을 사용해서, 아웃바운드의 전송 데이터를 제 1 게이트웨이 장치(2)에 송신(중계)한다. UDP/IP는 비연결형의 통신이며, 외부 네트워크의 목적지 장치로부터의 송달 확인없이 데이터를 보낼 수 있는 프로토콜이다. 이 때문에, 내부 네트워크의 송신원 장치로부터 외부 네트워크의 목적지 장치에 대해서, 단방향 통신 라인을 사용한 단방향 통신을 용이하게 행할 수 있다. 다른 몇몇의 실시 형태에서는, 제 2 게이트웨이 장치(3)는 상기의 특정 프로토콜의 통신 정보를 전달하는 UDP/IP 패킷만 중계하도록 구성해도 좋다. 이것에 의해, 제 2 게이트웨이 장치(3)는 허가된 통신만을 처리하고, 그 이외의 패킷을 폐기하는 등을 행함으로써, 전송 처리의 부하를 경감할 수 있다. 이러한 필터링은 제 2 프록시부(31)가 행해도 좋고, 다른 프로그램 기능(필터링부)이 행해도 좋고, 필터링부는 필터링 후에 제 2 프록시부(31)에 통신 데이터를 전송해도 좋다. 또, UDP/IP 패킷은 포트 번호로 패킷 필터링 되어도 좋고, 미리 정해진 리스트에 근거해서 판단해도 좋다.
다음으로, 제 1 게이트웨이 장치(2) 및 제 2 게이트웨이 장치(3)에 의한 통신 제어 방법을, 도 5~도 6을 이용해서 구체적으로 설명한다. 도 5는 본 발명의 일 실시 형태에 따른 시큐리티 시스템(1)에 의한 인바운드 통신의 통신 제어 플로우를 나타내는 도면이다. 또, 도 6은 본 발명의 일 실시 형태에 따른 시큐리티 시스템(1)에 의한 아웃바운드 통신의 통신 제어 플로우를 나타내는 도면이다. 이들 도면은 도 1~도 4에 대응한 것이고, 제 1 게이트웨이 장치(2)나 제 2 게이트웨이 장치(3)가 구비하는 프로세서가 프록시부(제 1 프록시부(21), 제 2 프록시부(31))로부터의 명령을 실행함으로써 행해진다.
도 5에 대해 설명하면, 스텝 S50에 있어서, 제 1 게이트웨이 장치(2)는 외부 네트워크 측으로부터의 인바운드의 IP 패킷(전송 데이터)의 수신을 감시하고 있다. 스텝 S51에 있어서 IP 패킷을 수신하면, 제 1 게이트웨이 장치(2)의 통신 처리부나 제 1 프록시부(21)는 IP 패킷의 처리를 행한다. 구체적으로는, 스텝 S52에 있어서, IP 패킷이 특정 프로토콜(독자 프로토콜)에 의한 통신의 것인지를 포트 번호로 확인하고, 특정 프로토콜의 통신의 것이 아닌 경우에는, 통신 제어를 종료한다. 예를 들면, 확인한 수신 IP 패킷을 폐기함으로써 통신 제어를 종료해도 좋다. 또, 스텝 S52에 있어서, 수신한 IP 패킷이 특정 프로토콜(독자 프로토콜)의 것인 경우에는, 스텝 S53에 있어서, 제 1 프록시부(21)는 특정 프로토콜의 통신 정보에 대해서 상술한 송수신 처리를 실행한다.
스텝 S54에 있어서, 제 1 프록시부(21)는 쌍방향 통신 라인(41)을 경유해서 특정 프로토콜의 통신 정보를 제 2 게이트웨이 장치(3)의 제 2 프록시부(31)에 송신하면, 스텝 S55에 있어서, 제 2 프록시부(31)는 쌍방향 통신 라인(41)을 통해서 특정 프로토콜의 통신 정보를 수신한다. 이것을 수신한 제 2 프록시부(31)는, 스텝 S56에 있어서, 목적지 어드레스(수신측 엔드 장치의 IP 어드레스)를 취득하기 위해서, 특정 프로토콜의 통신 정보를 해석한다. 그리고, 스텝 S57에 있어서, 특정 프로토콜의 통신 정보로부터 목적지 어드레스를 취득한 경우에는, 제 2 프록시부(31)는 목적지 어드레스에 대해서 특정 프로토콜의 통신 정보를 IP 통신에 의해 송신한다. 반대로, 스텝 S58에 있어서, 특정 프로토콜의 통신 정보로부터 목적지 어드레스를 취득할 수 없는 경우에는, 통신 제어를 종료한다.
도 6에 대해 설명하면, 도 6은 제 2 게이트웨이 장치(3)(제 2 프록시부(31))가 애플리케이션 레이어의 프로토콜의 종류에 관계없이 수신한 IP 패킷을 전송하는 실시 형태의 통신 제어 플로우를 나타내고 있다. 도 6의 스텝 S60에 있어서, 제 2 게이트웨이 장치(3)(제 2 프록시부(31))는 내부 네트워크 측으로부터의 아웃바운드의 전송 데이터(패킷)의 수신을 감시하고 있다. 스텝 S61에 있어서 IP 패킷을 수신하면, 제 2 게이트웨이 장치(3)의 플랫폼의 통신 처리부나 제 2 프록시부(31)는 IP 패킷의 처리를 행한다. 구체적으로는, 스텝 S62에 있어서, 수신 IP 패킷의 목적지를 확인한다. 그리고, 수신 IP 패킷의 목적지가 외부 네트워크측인 경우에는, 스텝 S63에 있어서, 제 2 게이트웨이 장치(3)의 통신 제어부는 단방향 통신 라인(42)을 통해서, 제 1 게이트웨이 장치(2)에 IP 패킷을 송신한다. 반대로, 스텝 S62에 있어서, 수신 IP 패킷의 목적지는 외부 네트워크측이 아닌 경우에는, 스텝 S67에 있어서 IP 패킷에 대해서 처리를 행한 후에, 통신 제어를 종료한다. 이 스텝 S67에서의 처리는, 예를 들면, 자신을 목적지로 하는 IP 패킷의 경우에는 자신이 처리하고, 목적지 IP 어드레스가 내부 네트워크 내의 장치를 나타내는 경우에는, IP 패킷을 내부 네트워크 내의 목적지에 대해서 송신하는 것을 포함해도 좋다.
스텝 S64에 있어서, 제 1 게이트웨이 장치(2)는 단방향 통신 라인(42)을 통해서, 제 2 게이트웨이 장치(3)로부터 IP 패킷을 수신한다. 그리고, 스텝 S65에 있어서, 수신 IP 패킷의 목적지를 확인한다. 그리고, 목적지 어드레스가 외부 네트워크측을 나타내는 경우에는, 스텝 S66에 있어서, 제 1 게이트웨이 장치(2)(제 1 프록시부(21))는 목적지 어드레스를 향해 외부 네트워크에 IP 패킷을 송신한다. 반대로, 스텝 S65에 있어서, 목적지 어드레스가 외부 네트워크측을 나타내지 않은 경우에는, 스텝 S67에 있어서 수신 IP 패킷을 처리한다. 이 스텝 S67에서는, 예를 들면, 자신을 목적지로 하는 IP 패킷의 경우에는 자신이 처리하고, 그 이외에는, 예를 들면 IP 패킷을 폐기해도 좋다.
상기의 구성에 의하면, 외부 네트워크로부터 내부 네트워크를 향하는 인바운드 통신은 특정 프로토콜의 통신 정보를 위한 통신인 경우에는, 제 1 게이트웨이 장치(2)로부터 제 2 게이트웨이 장치(3)에 송신(중계)된다. 이때, 제 1 게이트웨이 장치(2)는 인바운드의 전송 데이터에 의해 전달되는 특정 프로토콜의 통신 정보를 제 1 프록시부(21)에서 수신한 후에, 제 2 게이트웨이 장치(3)에 송신(중계)한다. 즉, 이 특정 프로토콜의 통신 정보는 수신측 엔드 장치와 메시지(제어 커멘드 등)를 교환하기 위해서 송신측 엔드 장치가 생성한 통신 데이터이다. 또, 제 1 게이트웨이 장치(2)는 외부 네트워크의 네트워크 레이어 프로토콜(예를 들면, IP)을 종단한 후에, 내부 네트워크를 향해 특정 프로토콜의 통신 정보를 재송신한다. 이와 같이, 외부 네트워크의 송신측 엔드 장치와 내부 네트워크의 수신측 엔드 장치의 사이를 논리적으로 분단함과 아울러, 이 논리적으로 분단된 네트워크를 중계 가능한 통신의 주체를, 특정 프로토콜을 처리 가능한 제 1 프록시부(21) 및 제 2 프록시부(31)로 제한함으로써, 특정 프로토콜 이외의 통신은 내부에 침입할 수 없다. 이 때문에, 외부 네트워크로부터 내부 네트워크로의 공격이나 부정 침입이라고 하는 부정 액세스를 차단할 수 있어, 내부 네트워크를 보호할 수 있다.
또, 제 2 게이트웨이 장치(3)의 제 2 프록시부(31)는, 제 1 게이트웨이 장치(2)로부터 수신한 특정 프로토콜의 통신 정보에 근거해서 내부 네트워크의 수신측 엔드 장치의 목적지 어드레스(예를 들면, 목적지 IP 어드레스등)를 취득함으로써, 수신측 엔드 장치에 특정 프로토콜의 통신 정보를 송신할 수 있다. 즉, 특정 프로토콜 이외의 통신은 수신측 엔드 장치의 목적지 어드레스를 취득하지 못하고, 내부 네트워크(제어 네트워크(6))의 수신측 엔드 장치에 송신(중계)되지 않는다. 이 때문에, 제 2 게이트웨이 장치(3)에 의해, 내부 네트워크의 보호를 강고하게 할 수 있다. 이와 같이, 시큐리티 시스템(1)은 제 1 게이트웨이 장치(2)와 제 2 게이트웨이 장치(3)의 2단 구조로 내부 네트워크를 보호하고 있어, 시큐리티 시스템(1)에 의해 내부 네트워크를 강고하게 보호할 수 있다. 또, 제 1 게이트웨이 장치(2)(제 1 프록시부(21)) 및 제 2 게이트웨이 장치(3)(제 2 프록시부(31))에 의한 상술의 통신 제어는 송신측 엔드 장치 및 수신측 엔드 장치의 통신 처리(IP 패킷화나 특정의 통신 인터페이스의 채용 등)에 영향을 주지 않고, 안전하고 자유도가 높은 통신 경로를 구축할 수 있다.
또한, 내부 네트워크와 외부 네트워크에 의해 IP 네트워크가 형성되어 있고, 이 IP 네트워크는 제 1 게이트웨이 장치 및 제 2 게이트웨이 장치에 의해 논리적으로 분리된다. 이 때문에, 인터넷 등의 외부 네트워크로부터의 IP 통신은, 특정 프로토콜(독자 프로토콜)의 통신 이외의 통신은 내부 네트워크로부터 차단되어 있고, IP를 기반으로 하는 인터넷 등에서의 사이버 공격으로부터 내부 네트워크를 보호할 수 있다.
또, 몇몇의 실시 형태에서는, 도 1에 나타내는 바와 같이, 제 1 게이트웨이 장치(2)는 제 1 방화벽(14a)을 통해서 외부 네트워크에 접속되고, 제 2 게이트웨이 장치(3)는 제 2 방화벽(14b)을 통해서 내부 네트워크에 접속된다. 도 1에 예시되는 실시 형태에서는, 제 1 게이트웨이 장치(2)와 인터넷(5)의 사이에 제 1 방화벽(14a)이 설치되어 있고, 제 2 게이트웨이 장치(3)와 제어 네트워크(6)의 사이에 제 2 방화벽(14b)이 설치되어 있다. 그리고, 이러한 방화벽에 의해 패킷의 필터링을 실시함으로써, 미리 정의된 소정의 통신만 허가하도록 하고 있다. 이들의 통신(IP 패킷)의 필터링은 필터 조건을 정의하는 리스트(액세스 리스트)에 근거해서 행해진다. 예를 들면, 필터 조건의 1 항목으로서, 상술의 특정 프로토콜(독자 프로토콜)의 통과를 허가한다고 하는 조건을 가져도 좋다. 또, UDP 통신의 경우에는 통과를 허가한다고 하는 조건을 가져도 좋다. 이와 같이 제 1 방화벽(14a)이나 제 2 방화벽(14b)에 의해 필터링하는 경우에는, 제 1 게이트웨이 장치(2)나 상술의 제 2 게이트웨이 장치(3)에서의 필터링은 생략할 수 있다.
상기의 구성에 의하면, 제 1 방화벽(14a) 및 제 2 방화벽(14b)에 의해, 미리 정의된 소정의 통신을 허가하면서, 외부 네트워크로부터 내부 네트워크로의 사이버 공격을 차단할 수 있어, 내부 네트워크를 보다 강고하게 보호할 수 있다. 또, 제 1 게이트웨이 장치 및 제 2 게이트웨이 장치의 처리 부하의 경감을 꾀할 수도 있다.
본 발명은 상술한 실시 형태로 한정되는 것은 아니고, 상술한 실시 형태에 변형을 가한 형태나, 이러한 형태를 적당히 조합한 형태도 포함한다.
예를 들면, 도 1에 나타나는 실시 형태에서는 리모트 PC(OPS(72) 등)는 거점 네트워크(7)에 접속되어 있지만, 다른 몇몇의 실시 형태에서는, 리모트 PC는 거점 네트워크(7)에 접속되어 있지 않아도 좋고, 리모트 액세스 VPN 기술에 의해, 리모트 PC와 제 1 방화벽(14a)의 사이에 VPN 접속이 구축되어도 좋다. 또, 리모트 PC 등에 글로벌 IP 어드레스가 부여되어 있어도 좋다.
또, 리모트 PC는 제 1 게이트웨이 장치(2)를 목적지 엔드 장치로 하는 패킷을 송신해도 좋다. 이 경우에는, 제 1 게이트웨이 장치(2) 및 제 2 게이트웨이 장치(3)는 특정 프로토콜의 통신 정보에 포함되는 목적지 어드레스에 근거해서, 전송 목적지(제어 네트워크(6)의 제어 장치(63) 등)를 판단하게 된다.
도 1에 나타나는 실시 형태에서는, 쌍방향 통신 라인(41)이나 단방향 통신 라인(42)은 유선이지만, 다른 몇몇의 실시 형태에서는 적어도 한쪽의 통신 라인(4)이 무선에 의해 구성되어도 좋다. 도 1에 나타내는 실시 형태에서는, 쌍방향 통신 라인(41)은 RS-232C로 구성되어 있지만, 이것에 한정되지 않고, 쌍방향 통신 라인(41)은 1대1 접속을 가능하게 하는 통신 규격이면, 다른 표준적인 통신 규격(프로토콜)을 채용해도 좋다. 또, 도 1에 나타나는 실시 형태에서는, 단방향 통신 라인(42)에 의한 단방향 통신은 물리적 포트의 접속에 의해 형성되어 있지만, 이것에는 한정되지 않고, LAN 케이블 등의 배선을 변경해도 좋고, 예를 들면, 제 1 게이트웨이 장치(2)로부터 제 2 게이트웨이 장치(3)로의 통신 배선을 없애거나 절연하는 등을 해도 좋다. 이 경우도, 물리적 포트 간을 접속하는 것에 포함되는 것으로 한다. 또, 단방향 통신 라인(42)은 물리적으로 통신을 단방향으로 하고 있지만, 다른 몇몇의 실시 형태에서는, 논리적(통신 레이어 L2 이상)으로 단방향 통신을 실현해도 좋고, 소프트웨어에 의해 단방향 통신을 실현해도 좋다. 혹은, 물리적 및 논리적으로 단방향 통신을 실현해도 좋다.
도 3~도 4에 나타나는 실시 형태에서는 UDP/IP 통신으로서 기재되어 있지만, 다른 몇몇의 실시 형태에서는, TCP/IP 통신이어도 좋다.
1 : 시큐리티 시스템 14a : 제 1 방화벽
14b : 제 2 방화벽 15 : VPN 장치
2 : 제 1 게이트웨이 장치 21 : 제 1 프록시부
23 : 외부 통신 인터페이스 23d : 외부 통신 IF
23s : 외부 통신 IF 23o : 외부 통신 IF
3 제 2 게이트웨이 장치 31 : 제 2 프록시부
33 : 외부 통신 인터페이스 33d : 외부 통신 IF
33s : 외부 통신 IF 33o : 외부 통신 IF
4 : 통신 라인 41 : 쌍방향 통신 라인
42 : 단방향 통신 라인 5 : 인터넷(외부 네트워크)
55 : VPN 터널 6 : 제어 네트워크(내부 네트워크)
63 : 제어 장치 64 : 액세서리 스테이션(ACS)
65 : 오퍼레이터 스테이션(OPS)
7 : 거점 네트워크(외부 네트워크)
72 : 오퍼레이터 스테이션(OPS) 74 : 방화벽
75 : VPN 장치

Claims (20)

  1. 외부 네트워크에 접속되도록 구성되는 제 1 게이트웨이 장치와,
    내부 네트워크에 접속됨과 아울러, 상기 제 1 게이트웨이 장치에 접속되도록 구성되는 제 2 게이트웨이 장치와,
    상기 제 1 게이트웨이 장치와 상기 제 2 게이트웨이 장치를 쌍방향 통신이 가능하게 접속하는 쌍방향 통신 라인과,
    상기 제 1 게이트웨이 장치와 상기 제 2 게이트웨이 장치를, 상기 제 2 게이트웨이 장치로부터 상기 제 1 게이트웨이 장치를 향하는 단방향 통신이 가능하게 접속하는 단방향 통신 라인
    을 구비하고,
    상기 제 1 게이트웨이 장치는 특정의 애플리케이션 레이어의 프로토콜인 특정 프로토콜을 처리하도록 구성되는 제 1 프록시부를 가지며,
    상기 제 2 게이트웨이 장치는 상기 특정 프로토콜을 처리하도록 구성되는 제 2 프록시부를 가지며,
    상기 제 1 게이트웨이 장치가 상기 외부 네트워크로부터 상기 내부 네트워크를 향하는 인바운드(inbound)의 전송 데이터를 수신하면, 상기 제 1 프록시부는 상기 인바운드의 전송 데이터가 특정 프로토콜의 것인 경우에는, 상기 인바운드의 전송 데이터에 의해 전달되는 특정 프로토콜의 통신 정보를 수신한 후에, 상기 특정 프로토콜의 통신 정보를 상기 쌍방향 통신 라인에 의해 상기 제 2 게이트웨이 장치에 송신하고, 상기 인바운드의 전송 데이터가 상기 특정 프로토콜의 통신 정보의 것이 아닌 경우에는 상기 인바운드의 전송 데이터를 상기 제 2 게이트웨이 장치에 송신하지 않도록 구성되고,
    상기 제 2 프록시부는 상기 쌍방향 통신 라인을 통해서 상기 제 1 프록시부로부터 상기 특정 프로토콜의 통신 정보를 수신한 경우에는, 상기 내부 네트워크에 있어서의 통신의 목적지 어드레스를 상기 특정 프로토콜의 통신 정보로부터 취득하고, 상기 목적지 어드레스에 대해서 상기 특정 프로토콜의 통신 정보를 송신하도록 구성되며,
    상기 제 2 게이트웨이 장치가 상기 내부 네트워크로부터 상기 외부 네트워크를 향하는 아웃바운드(outbound) 전송 데이터를 수신하면, 상기 아웃바운드 전송 데이터는 상기 쌍방향 통신 라인을 경유하지 않고, 상기 단방향 통신 라인을 경유해서 상기 제 1 게이트웨이 장치에 송신되는 것
    을 특징으로 하는 시큐리티 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 단방향 통신 라인은 상기 제 2 게이트웨이 장치의 송신 물리 포트와 상기 제 1 게이트웨이 장치의 수신 물리 포트를 접속하는 광 파이버 케이블인 것을 특징으로 하는 시큐리티 시스템.
  4. 제 1 항 또는 제 3 항에 있어서,
    상기 쌍방향 통신 라인에서는, 라우팅이 불가능한 프로토콜에 의한 통신이 행해지도록 구성되는 것을 특징으로 하는 시큐리티 시스템.
  5. 제 1 항 또는 제 3 항에 있어서,
    상기 외부 네트워크 및 상기 내부 네트워크는 IP 네트워크인 것을 특징으로 하는 시큐리티 시스템.
  6. 제 5 항에 있어서,
    상기 제 1 게이트웨이 장치는 상기 특정 프로토콜의 통신 정보를 포트 번호에 의해 식별하는 것을 특징으로 하는 시큐리티 시스템.
  7. 제 6 항에 있어서,
    상기 제 2 게이트웨이 장치는 상기 내부 네트워크로부터 수신한 상기 아웃바운드의 전송 데이터가 UDP/IP 통신인 경우에는, 상기 단방향 통신 라인을 사용해서, 상기 아웃바운드의 전송 데이터를 상기 제 1 게이트웨이 장치에 송신하는 것을 특징으로 하는 시큐리티 시스템.
  8. 제 1 항 또는 제 3 항에 있어서,
    상기 특정 프로토콜은 표준화되어 있지 않은 독자 프로토콜인 것을 특징으로 하는 시큐리티 시스템.
  9. 제 1 항 또는 제 3 항에 있어서,
    상기 쌍방향 통신 라인은 RS-232C를 포함하는 시리얼 통신인 것을 특징으로 하는 시큐리티 시스템.
  10. 제 1 항 또는 제 3 항에 있어서,
    상기 제 1 게이트웨이 장치는 제 1 방화벽을 통해서 상기 외부 네트워크에 접속되고,
    상기 제 2 게이트웨이 장치는 제 2 방화벽을 통해서 상기 내부 네트워크에 접속되는 것을 특징으로 하는 시큐리티 시스템.
  11. 외부 네트워크에 접속되도록 구성되는 제 1 게이트웨이 장치와, 내부 네트워크에 접속됨과 아울러, 상기 제 1 게이트웨이 장치에 접속되도록 구성되는 제 2 게이트웨이 장치와, 상기 제 1 게이트웨이 장치와 상기 제 2 게이트웨이 장치를 서로 접속하는 쌍방향 통신 라인과, 상기 제 1 게이트웨이 장치와 상기 제 2 게이트웨이 장치를, 상기 제 2 게이트웨이 장치로부터 상기 제 1 게이트웨이 장치를 향하는 단방향 통신이 가능하게 접속하는 단방향 통신 라인을 구비하는 시큐리티 시스템에 의해 실행되는 통신 제어 방법으로서,
    상기 제 1 게이트웨이 장치가, 상기 외부 네트워크로부터 상기 내부 네트워크를 향하는 인바운드의 전송 데이터를 수신하는 인바운드 데이터 수신 스텝과,
    상기 제 1 게이트웨이 장치가, 상기 인바운드의 전송 데이터의 애플리케이션 레이어의 프로토콜을 확인하고, 상기 애플리케이션 레이어의 프로토콜이 특정 프로토콜인 경우에는, 상기 인바운드의 전송 데이터를 상기 제 2 게이트웨이 장치에 상기 쌍방향 통신 라인을 사용해서 송신하고, 상기 특정 프로토콜의 통신 정보 이외의 통신 정보인 경우에는 상기 인바운드의 전송 데이터를 상기 제 2 게이트웨이 장치에 송신하지 않도록 구성되는 제 1 인바운드 통신 처리 스텝과,
    상기 제 2 게이트웨이 장치가, 상기 제 1 게이트웨이 장치로부터 수신한 상기 인바운드의 전송 데이터가 상기 특정 프로토콜의 통신 정보인 경우에는, 상기 특정 프로토콜의 정보에 근거해서, 상기 내부 네트워크에 있어서의 통신의 목적지 어드레스를 취득하고, 상기 목적지 어드레스에 대해서 상기 인바운드의 전송 데이터를 송신하는 제 2 인바운드 통신 처리 스텝과,
    상기 제 2 게이트웨이 장치가 상기 내부 네트워크로부터 상기 외부 네트워크를 향하는 아웃바운드 전송 데이터를 수신하면, 상기 아웃바운드 전송 데이터는, 상기 쌍방향 통신 라인을 경유하지 않고, 상기 단방향 통신 라인을 경유해서 상기 제 1 게이트웨이 장치에 송신되는 아웃바운드 통신 처리 스텝
    을 갖는 것을 특징으로 하는 통신 제어 방법.
  12. 삭제
  13. 제 11 항에 있어서,
    상기 단방향 통신 라인은 상기 제 2 게이트웨이 장치의 송신 물리 포트와 상기 제 1 게이트웨이 장치의 수신 물리 포트를 접속하는 광 파이버 케이블인 것을 특징으로 하는 통신 제어 방법.
  14. 제 11 항 또는 제 13 항에 있어서,
    상기 쌍방향 통신 라인에서는, 라우팅이 불가능한 프로토콜에 의한 통신이 행해지도록 구성되는 것을 특징으로 하는 통신 제어 방법.
  15. 제 11 항 또는 제 13 항에 있어서,
    상기 외부 네트워크 및 상기 내부 네트워크는 IP 네트워크인 것을 특징으로 하는 통신 제어 방법.
  16. 제 15 항에 있어서,
    상기 제 1 게이트웨이 장치는 상기 특정 프로토콜의 통신 정보를 포트 번호에 의해 식별하는 것을 특징으로 하는 통신 제어 방법.
  17. 제 16 항에 있어서,
    상기 아웃바운드 통신 처리 스텝은 상기 내부 네트워크로부터 수신한 상기 아웃바운드의 전송 데이터가 UDP/IP 통신인 경우에는, 상기 단방향 통신 라인을 사용한 상기 아웃바운드의 전송 데이터의 송신을 허가하는 아웃바운드 통신 필터링 스텝을 갖는 것을 특징으로 하는 통신 제어 방법.
  18. 제 11 항 또는 제 13 항에 있어서,
    상기 특정 프로토콜은 표준화되어 있지 않은 독자 프로토콜인 것을 특징으로 하는 통신 제어 방법.
  19. 제 11 항 또는 제 13 항에 있어서,
    상기 쌍방향 통신 라인은 RS-232C를 포함하는 시리얼 통신인 것을 특징으로 하는 통신 제어 방법.
  20. 제 11 항 또는 제 13 항에 있어서,
    상기 제 1 게이트웨이 장치는 제 1 방화벽을 통해서 상기 외부 네트워크에 접속되고,
    상기 제 2 게이트웨이 장치는 제 2 방화벽을 통해서 상기 내부 네트워크에 접속되는 것을 특징으로 하는 통신 제어 방법.
KR1020177036961A 2015-08-20 2016-08-19 시큐리티 시스템 및 통신 제어 방법 KR102075228B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/831,077 2015-08-20
US14/831,077 US10021072B2 (en) 2015-08-20 2015-08-20 Security system and communication control method
PCT/JP2016/074219 WO2017030186A1 (ja) 2015-08-20 2016-08-19 セキュリティシステム、通信制御方法

Publications (2)

Publication Number Publication Date
KR20180011246A KR20180011246A (ko) 2018-01-31
KR102075228B1 true KR102075228B1 (ko) 2020-02-07

Family

ID=58050879

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177036961A KR102075228B1 (ko) 2015-08-20 2016-08-19 시큐리티 시스템 및 통신 제어 방법

Country Status (6)

Country Link
US (1) US10021072B2 (ko)
EP (1) EP3288223A4 (ko)
JP (1) JP6518771B2 (ko)
KR (1) KR102075228B1 (ko)
CN (1) CN107852359B (ko)
WO (1) WO2017030186A1 (ko)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10841132B2 (en) * 2016-01-08 2020-11-17 Control System Laboratory Ltd. Data diode device with specific packet relay function, and method for specifying same
WO2017190049A1 (en) 2016-04-29 2017-11-02 Lifelens Technologies, Llc Monitoring and management of physiologic parameters of a subject
US10257163B2 (en) * 2016-10-24 2019-04-09 Fisher-Rosemount Systems, Inc. Secured process control communications
US10270745B2 (en) * 2016-10-24 2019-04-23 Fisher-Rosemount Systems, Inc. Securely transporting data across a data diode for secured process control communications
US10619760B2 (en) 2016-10-24 2020-04-14 Fisher Controls International Llc Time-series analytics for control valve health assessment
US10530748B2 (en) * 2016-10-24 2020-01-07 Fisher-Rosemount Systems, Inc. Publishing data across a data diode for secured process control communications
US10877465B2 (en) * 2016-10-24 2020-12-29 Fisher-Rosemount Systems, Inc. Process device condition and performance monitoring
KR102008951B1 (ko) * 2017-06-01 2019-08-08 한국전자통신연구원 단방향 통신을 이용하여 양방향 통신을 지원하는 장치 및 그 방법
JP7172108B2 (ja) * 2018-04-13 2022-11-16 ブラザー工業株式会社 プログラム及び通信システム
IL268485B (en) * 2018-08-13 2022-04-01 Waterfall Security Solutions Ltd Automatic security response using one-way links
JP7220550B2 (ja) 2018-11-12 2023-02-10 三菱重工業株式会社 エッジ装置、接続確立システム、接続確立方法及びプログラム
WO2020264421A1 (en) * 2019-06-28 2020-12-30 Cerus Corporation System and methods for implementing a biological fluid treatment device
JP7335124B2 (ja) 2019-10-08 2023-08-29 株式会社チノー データ変換装置
CN110609533A (zh) * 2019-10-31 2019-12-24 四川德胜集团钒钛有限公司 一种scada数据采集系统的安全架构
CN113992337B (zh) * 2020-07-09 2024-01-26 台众计算机股份有限公司 多信息安全软件的信息安全管理系统
US11621986B2 (en) * 2021-06-29 2023-04-04 Western Digital Technologies, Inc. Peer-to-peer media streaming from an edge data storage device to a browser
KR102627397B1 (ko) * 2021-12-28 2024-01-19 주식회사 어썸블리 동적 포트를 이용한 역방향 네트워크 접속 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130339509A1 (en) * 2012-06-15 2013-12-19 Yoics, Inc. Networking systems

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3808663B2 (ja) 1999-06-10 2006-08-16 株式会社東芝 計算機ネットワークシステムおよびそのアクセス制御方法
AU2001230730A1 (en) 2000-03-16 2001-10-03 Mynetlab Communications International, Inc. System for data transfer in a secured network environment
US20020186683A1 (en) * 2001-04-02 2002-12-12 Alan Buck Firewall gateway for voice over internet telephony communications
US7320027B1 (en) * 2001-05-14 2008-01-15 At&T Corp. System having generalized client-server computing
JP2006099590A (ja) 2004-09-30 2006-04-13 Oki Electric Ind Co Ltd アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
JP4575219B2 (ja) * 2005-04-12 2010-11-04 株式会社東芝 セキュリティゲートウェイシステムとその方法およびプログラム
US9231904B2 (en) * 2006-09-25 2016-01-05 Weaved, Inc. Deploying and managing networked devices
CN101026591B (zh) * 2007-04-13 2010-11-03 杭州华三通信技术有限公司 一种网段地址重叠的用户互访方法及路由转发设备
US8250358B2 (en) 2009-04-01 2012-08-21 Raytheon Company Data diode system
JP2011151606A (ja) 2010-01-21 2011-08-04 Oki Networks Co Ltd トランスレータ装置、アドレス体系変換方法、アドレス体系変換プログラム及び名前解決サーバ
US8566922B2 (en) * 2011-05-25 2013-10-22 Barry W. Hargis System for isolating a secured data communication network
US8646094B2 (en) 2011-12-07 2014-02-04 Owl Computing Technologies, Inc. Method and apparatus for preventing unauthorized access to information stored in a non-volatile memory
JP5880195B2 (ja) 2012-03-24 2016-03-08 日本電気株式会社 情報処理システム、情報処理方法、情報処理装置およびその制御方法と制御プログラム
WO2014001890A1 (en) * 2012-06-28 2014-01-03 Ologn Technologies Ag Secure key storage systems, methods and apparatuses
JP2014140096A (ja) 2013-01-21 2014-07-31 Mitsubishi Electric Corp 通信システム
US8898227B1 (en) 2013-05-10 2014-11-25 Owl Computing Technologies, Inc. NFS storage via multiple one-way data links
US9288238B2 (en) * 2013-10-25 2016-03-15 At&T Intellectual Property I, Lp Optimizing call bearer path using session initiation protocol proxy

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130339509A1 (en) * 2012-06-15 2013-12-19 Yoics, Inc. Networking systems

Also Published As

Publication number Publication date
JPWO2017030186A1 (ja) 2018-03-08
CN107852359B (zh) 2020-10-23
CN107852359A (zh) 2018-03-27
EP3288223A4 (en) 2018-05-30
US10021072B2 (en) 2018-07-10
EP3288223A1 (en) 2018-02-28
US20170054687A1 (en) 2017-02-23
KR20180011246A (ko) 2018-01-31
JP6518771B2 (ja) 2019-05-22
WO2017030186A1 (ja) 2017-02-23

Similar Documents

Publication Publication Date Title
KR102075228B1 (ko) 시큐리티 시스템 및 통신 제어 방법
EP3832978B1 (en) Rule-based network-threat detection for encrypted communications
EP1255395B1 (en) External access to protected device on private network
US7797411B1 (en) Detection and prevention of encapsulated network attacks using an intermediate device
US8811397B2 (en) System and method for data communication between a user terminal and a gateway via a network node
US9900178B2 (en) Device arrangement and method for implementing a data transfer network used in remote control of properties
US8578149B2 (en) TCP communication scheme
JP2011124770A (ja) Vpn装置、vpnネットワーキング方法、プログラム、及び記憶媒体
EP2715983B1 (en) Device arrangement for implementing remote control of properties
KR20170120291A (ko) 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법
JP6932375B2 (ja) 通信装置
JP2008306610A (ja) 不正侵入・不正ソフトウェア調査システム、および通信振分装置
JP4271478B2 (ja) 中継装置及びサーバ
JP5655848B2 (ja) Tcp通信方式
JP7028543B2 (ja) 通信システム
KR101613747B1 (ko) 메시지 인증 방법 및 그를 위한 ip-pbx 시스템
JP2006295240A (ja) 通信装置及びアドレス変換装置並びにプログラム
US20230030504A1 (en) Transmission device for transmitting data
JP7114769B2 (ja) 通信システム
JP6075871B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
JP2007150879A (ja) 端末装置および情報通信システム
EP2940944B1 (en) Method and device for processing packet in trill network
WO2021077039A1 (en) Encrypted tunnel
KR101466944B1 (ko) 어플리케이션 데이터를 제어하는 방법 및 이를 위한 네트워크 디바이스
JP2017188763A (ja) ネットワーク疎通確認システムおよびネットワーク疎通確認方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant