KR102144594B1 - 보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드 - Google Patents

보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드 Download PDF

Info

Publication number
KR102144594B1
KR102144594B1 KR1020130091375A KR20130091375A KR102144594B1 KR 102144594 B1 KR102144594 B1 KR 102144594B1 KR 1020130091375 A KR1020130091375 A KR 1020130091375A KR 20130091375 A KR20130091375 A KR 20130091375A KR 102144594 B1 KR102144594 B1 KR 102144594B1
Authority
KR
South Korea
Prior art keywords
secure
node
data packet
data packets
secure data
Prior art date
Application number
KR1020130091375A
Other languages
English (en)
Other versions
KR20140055954A (ko
Inventor
웨인 알. 하우
제프리 에이치. 헌트
안젤라 더블유. 리
Original Assignee
더 보잉 컴파니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 더 보잉 컴파니 filed Critical 더 보잉 컴파니
Publication of KR20140055954A publication Critical patent/KR20140055954A/ko
Application granted granted Critical
Publication of KR102144594B1 publication Critical patent/KR102144594B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

노드 네트워크를 통해 보안 데이터 패킷을 전송하기 위한 방법 및 장치. 노드 네트워크의 노드의 비보안 데이터 패킷이 비보안 입력의 세트에서 수신되고 보안 데이터 패킷이 다수의 보안 입력에서 수신된다. 보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인된다. 비보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인되지 않는다. 보안 데이터 패킷 및 비보안 데이터 패킷은 소정의 스케쥴을 기초로 다수의 출력 데이터 스트림을 형성하도록 통합된다. 다수의 출력 데이터 스트림은 노드 네트워크의 다수의 다음 노드로 송신된다.

Description

보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드{TIME-LOCKED NETWORK AND NODES FOR EXCHANGING SECURE DATA PACKETS}
본 발명은 일반적으로 네트워크 관리에 관한 것으로, 특히 네트워크 내의 노드 간에서 데이터의 교환(exchange)을 관리하는 것에 관한 것이다. 특히, 본 발명은 보안 데이터(secure data)가 소정의 스케쥴을 기초로 수신 및 전송되어질 수 있도록 하는 네트워크에서의 노드를 위한 구성에 관한 것이다.
네트워크는, 예컨대 컴퓨터, 서버, 사용자 장치 및 다른 형태의 장치와 같은, 하드웨어 장치 사이에서 데이터를 교환하는데 빈번하게 이용된다. 여기서 이용된 바와 같이 "네트워크(network)"는 상호연결된(interconnected) 하나 이상의 컴퓨터 네트워크로 이루어질 수 있다. 이러한 형태의 네트워크는 또한 "인터네트워크(internetwork)"로 언급될 수 있다. 여기서 이용된 바와 같이, "컴퓨터 네트워크(computer network)"는 데이터가 교환될 수 있도록 하는 통신 채널에 의해 상호연결된 컴퓨터 및/또는 프로세서의 집합(collection)이다. 인터넷(Internet)이 다중 상호연결된 컴퓨터 네트워크로 이루어지는 네트워크의 예이다.
네트워크의 하드웨어 장치 사이에서 교환된 데이터는, 예컨대 데이터 스트림(data streams)의 형태를 취할 수 있다. 각 데이터 스트림은 데이터 패킷(data packets)으로 이루어질 수 있다. 데이터 패킷은 또한 몇몇 경우에 네트워크 패킷(network packets)으로서 언급될 수 있다. 데이터를 교환하는 것은 데이터 패킷을 수신하는 것(receiving) 및/또는 데이터 패킷을 송신하는 것(sending)을 포함할 수 있다.
데이터는 네트워크의 하나 이상의 노드를 이용해서 네트워크의 소스 장치에서 네트워크의 수신지 장치로 전송될 수 있다. 여기서 이용된 바와 같이, "노드(node)"는 데이터 패킷을 수신하고, 이들 데이터 패킷을 처리하며, 이어 네트워크의 하나 이상의 다른 노드 및/또는 수신지 장치로 이들 데이터 패킷을 송신하는데 이용될 수 있는 소정의 하드웨어 장비를 포함한다. 노드에서 수신된 데이터 패킷은 소스 장치 및/또는 네트워크의 하나 이상의 노드로부터 수신될 수 있다.
노드를 형성하는 하드웨어 장비는, 예컨대 제한 없이, 소정 수의 라우팅 장치(routing devices), 스위칭 장치(switching devices), 버퍼(buffers), 제어 라인(control lines), 게이트웨이(gateways), 및/또는 다른 형태의 장비를 포함할 수 있다. 네트워크의 다른 노드는 네트워크 내에서 노드 네트워크를 형성한다.
몇몇 상황에 있어서, 네트워크 내에서 데이터의 교환 동안 원하지 않았던 불일치가 야기될 수 있다. 원하지 않았던 불일치는, 예컨대 제한 없이, 데이터의 교환 동안 발생되는 버퍼 오버플로우(buffer overflow), 서비스 이벤트의 부정(denial of service event), 서버 충돌(server crash), 데이터 패킷의 손실(loss of data packets), 또는 몇몇 다른 형태의 원하지 않았던 이벤트일 수 있다. 네트워크 내에서 데이터의 교환 동안 원하지 않았던 불일치의 가능성을 감소시키기 위한 다양한 해법이 현재 이용가능하다. 그러나, 몇몇 이들 현재 이용가능한 해법은 원하는 만큼 효과적일 수 없다.
예컨대, 몇몇 현재 이용가능한 해법은 단지 소정 형태의 원하지 않았던 불일치만을 방지할 수 있고 다른 것은 방지할 수 없다. 예컨대, 버퍼 오버플로우를 방지하기 위한 몇몇 현재 이용가능한 방법은 소프트웨어 어드레싱(software addressing) 또는 메모리 기술(memory techniques)을 이용한다. 그러나, 이들 기술은 힙 오버플로우(heap overflows)뿐만 아니라 스택-기반 오버플로우(stack-based overflows)에 대해 방지하는 것이 불가능할 수 있다.
다른 예로서, 서비스 이벤트의 부정을 방지하기 위한 몇몇 현재 이용가능한 방법은 소정 포트로부터 수신된 데이터 패킷, 소정의 인터넷 프로토콜(internet protocol; IP) 어드레스로부터 수신된 데이터 패킷, 및/또는 소정의 통신 프로토콜을 기초로 수신된 데이터 패킷을 부정하는 것에 의해 원하지 않았던 소스 장치로부터 수신된 데이터 패킷의 플로우를 중지시키도록 노력할 수 있다. 그러나, 이들 방법은, 예컨대, 제한 없이, 프로토콜 스푸핑(protocol spoofing), 인터넷 프로토콜 어드레스 스푸핑(internet protocol address spoofing), 및/또는 다른 형태의 기술을 이용하는 미승인된 소스 장치에 대해 보호하는 것이 불가능 할 수 있다. 따라서, 위에서 논의된 적어도 몇몇 문제뿐만 아니라 다른 가능한 문제를 고려하는 방법 및 장치를 갖는 것이 바람직할 것이다.
본 발명은 상기한 점을 감안하여 발명된 것으로, 보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드를 제공함에 그 목적이 있다.
하나의 실례로 되는 실시예에 있어서, 노드 네트워크를 통해 보안 데이터 패킷을 전송하기 위한 방법이 제공된다. 노드 네트워크의 노드의 비보안 데이터 패킷이 비보안 입력의 세트에서 수신되고 보안 데이터 패킷이 다수의 보안 입력에서 수신된다. 보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인된다. 비보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인되지 않는다. 보안 데이터 패킷 및 비보안 데이터 패킷은 소정의 스케쥴을 기초로 다수의 출력 데이터 스트림을 형성하도록 통합된다. 다수의 출력 데이터 스트림은 노드 네트워크의 다수의 다음 노드로 송신된다.
다른 실례로 되는 실시예에 있어서, 다수의 보안 수신지 장치로 보안 데이터 패킷을 전송하기 위한 방법이 제공된다. 다수의 입력 데이터 스트림이 노드 네트워크의 노드에서 수신된다. 보안 데이터 패킷은 소정의 스케쥴을 기초로 다수의 입력 데이터 스트림에서 수신된 비보안 데이터 패킷으로부터 분리된다. 보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인된다. 비보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인되지 않는다. 보안 데이터 패킷은 노드의 다수의 보안 출력으로부터 다수의 보안 출력 데이터 스트림으로서 다수의 보안 수신지 장치로 송신된다.
또 다른 실례로 되는 실시예에 있어서, 노드 네트워크의 노드는 다수의 보안 입력, 비보안 입력의 세트, 타이밍 콘트롤러 및 다수의 출력을 구비하여 구성된다. 다수의 보안 입력은 보안 데이터 패킷을 수신하도록 구성된다. 보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인된다. 비보안 입력의 세트는 비보안 데이터 패킷을 수신하도록 구성된다. 비보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인되지 않는다. 타이밍 콘트롤러는 소정의 스케쥴을 기초로 다수의 출력 데이터 스트림으로 보안 데이터 패킷 및 비보안 데이터 패킷의 통합을 제어하도록 구성된다. 다수의 출력은 노드 네트워크의 다수의 다음 노드로 다수의 출력 데이터 스트림을 송신하도록 구성된다.
유용하게, 노드는 비보안 입력의 세트로부터 비보안 데이터 패킷을 수신하고 비보안 데이터 패킷을 다수의 출력으로 송신하도록 구성된 제1 네트워킹 장치와, 다수의 보안 입력으로부터 보안 데이터 패킷을 수신하고 보안 데이터 패킷을 다수의 출력으로 송신하도록 구성된 제2 네트워킹 장치를 더 포함할 수 있다. 바람직하기는, 타이밍 콘트롤러가 소정의 스케쥴을 이용해서 다수의 보안 입력, 비보안 입력의 세트, 다수의 출력, 제1 네트워킹 장치 및 제2 네트워킹 장치 중 적어도 하나를 제어하도록 구성될 수 있다. 바람직하기는, 제1 네트워킹 장치는 버퍼의 세트를 포함할 수 있다. 바람직하기는, 제2 네트워킹 장치는 버퍼의 세트를 포함할 수 있다.
유용하게, 비보안 입력의 세트는 소정의 보안 데이터 패킷을 수신하도록 지정되지 않는다.
유용하게, 비보안 입력의 세트는 비보안 소스 장치의 세트로부터 비보안 데이터 패킷을 수신하도록 구성되고 다수의 보안 입력은 다수의 보안 소스 장치로부터 보안 데이터 패킷을 수신하도록 구성된다.
유용하게, 비보안 데이터 패킷은 비보안 승인된 데이터 패킷 및 비보안 비승인된 데이터 패킷 중 적어도 하나를 포함할 수 있다.
또 다른 실례로 되는 실시예에 있어서, 노드 네트워크의 노드는 다수의 입력, 타이밍 콘트롤러 및 다수의 보안 출력을 구비하여 구성된다. 다수의 입력은 노드 네트워크의 다수의 이전의 노드로부터 다수의 입력 데이터 스트림을 수신하도록 구성된다. 타이밍 콘트롤러는 소정의 스케쥴을 기초로 다수의 입력 데이터 스트림에서 수신된 비보안 데이터 패킷으로부터 보안 데이터 패킷을 분리하도록 구성된다. 보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인된다. 비보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인되지 않는다. 다수의 보안 출력은 보안 데이터 패킷을 다수의 보안 출력 데이터 스트림으로서 다수의 보안 수신지 장치로 송신하도록 구성된다.
유용하게, 노드는 비보안 데이터 패킷을 비보안 출력 데이터 스트림의 세트로서 비보안 수신지 장치의 세트로 송신하도록 구성된 비보안 출력의 세트를 더 포함할 수 있다. 바람직하기는, 노드는 다수의 입력으로부터 비보안 데이터 패킷을 수신하고 비보안 데이터 패킷을 비보안 출력의 세트로 송신하도록 구성된 제1 네트워킹 장치와, 다수의 입력으로부터 보안 데이터 패킷을 수신하고 보안 데이터 패킷을 다수의 보안 출력으로 송신하도록 구성된 제2 네트워킹 장치를 더 포함할 수 있다. 바람직하기는, 타이밍 콘트롤러가 소정의 스케쥴을 이용해서 다수의 입력, 다수의 보안 출력, 비보안 출력의 세트, 제1 네트워킹 장치 및 제2 네트워킹 장치 중 적어도 하나를 제어하도록 구성될 수 있다.
유용하게, 비보안 데이터 패킷은 비보안 승인된 데이터 패킷과 비보안 비승인된 데이터 패킷 중 적어도 하나를 포함한다.
특징 및 기능은 본 발명의 다양한 실시예에서 독립적으로 달성될 수 있고, 또는 더욱 상세한 내용이 이하의 설명 및 도면을 참조하여 알 수 있는 또 다른 실시예에서 결합될 수 있다.
도 1은 실례로 되는 실시예에 따른 블록도의 형태로 네트워크를 설명하는 도면이다.
도 2는 실례로 되는 실시예에 따른 블록도의 형태로 잉그레스 노드(ingress node)를 설명하는 도면이다.
도 3은 실례로 되는 실시예에 따른 블록도의 형태로 에그레스 노드(egress node)를 설명하는 도면이다.
도 4는 실례로 되는 실시예에 따른 노드 네트워크를 설명하는 도면이다.
도 5는 실례로 되는 실시예에 따른 노드 네트워크를 가로질러 교환되는 데이터 패킷을 설명하는 도면이다.
도 6은 실례로 되는 실시예에 따른 노드 네트워크를 가로질러 교환되는 데이터 패킷을 설명하는 도면이다.
도 7은 실례로 되는 실시예에 따른 잉그레스 노드로서 기능하는 노들르 설명하는 도면이다.
도 8은 실례로 되는 실시예에 따른 에그레스 노드로서 기능하는 노드를 설명하는 도면이다.
도 9는 실례로 되는 실시예에 따른 수신지 장치(destination devices)로 송신되는 출력 데이터 스트림(output data streams)을 설명하는 도면이다.
도 10은 실례로 되는 실시예에 따른 플로우차트 형태로 노드 네트워크를 통해 보안 데이터 패킷을 전송하기 위한 프로세스를 설명하는 도면이다.
도 11은 실례로 되는 실시예에 따른 플로우차트의 형태로 다수의 보안 수신지 장치로 보안 데이터 패킷을 전송하기 위한 프로세스를 설명하는 도면이다.
도 12는 실례로 되는 실시예에 따른 블록도의 형태로 데이터 처리 시스템을 설명하는 도면이다.
이하, 예시도면을 참조하면서 본 발명에 따른 각 실시예를 상세히 설명한다.
다른 실례로 되는 실시예는 다수의 다른 고려를 인식 및 참작한다. 예컨대, 실례로 되는 실시예는 네트워크를 거쳐 데이터를 전송하는 동안 발생되는 원하지 않았던 불일치의 가능성을 감소시키기 위한 몇몇 현재 이용가능한 해법이 원하는 만큼 효과적이지 않을 수 있음을 인식 및 참작한다. 특히, 예컨대 바운스 체킹(bounds checking), 카나리 값(canary values), 태깅(tagging), 및/또는 다른 기술을 포함하는 해법이 원하는 만큼 원하지 않았던 불일치의 넓은 범위에 대해 보호하는 것이 불가능할 수 있다.
예컨대, 몇몇 현재 이용가능한 해법은 원하지 않았던 불일치를 보안 데이터 패킷의 데이터 스트림으로 도입하는 것으로부터 잠재적 해커(potential hacker)를 방지하는 것이 불가능할 수 있다. 여기서 이용된 바와 같이, "보안 데이터 패킷(secure data packets)"은 네트워크를 통한 전송을 위해 승인되고 및/또는 데이터 패킷을 위한 보안 수신지 장치에 도달하도록 승인되는 데이터 패킷을 포함할 수 있다. 이들 데이터 패킷은, 예컨대 암호화될 수 있고, 패스워드-보호될 수 있으며, 및/또는 선택된 인증 기준(authentication criteria)에 부합할 수 있다. 더욱이, "비보안 데이터 패킷(unsecure data packets)"은 네트워크를 통한 전송을 위해 승인될 수 있거나 승인될 수 없지만 보안 수신지 장치에 도달하도록 승인되지 않은 데이터 패킷을 포함할 수 있다.
실례로 되는 실시예는 소정의 노드 경로(node pathway) 및 소정의 스케쥴을 이용해서 노드 네트워크를 가로지르는 소스 장치로부터 수신지 장치로 보안 데이터 패킷을 전송하는 것이 바람직할 수 있음을 인식 및 참작한다. 소정의 노드 경로는 보안 데이터 패킷이 소스 장치로부터 노드 네트워크로 들어갈 수 있는 잉그레스 노드 및 보안 데이터 패킷이 수신지 장치로 노드 네트워크를 빠져나올 수 있는 에그레스 노드(egress node)를 식별할 수 있다. 더욱이, 소정의 노드 경로는 보안 데이터 패킷이 잉그레스 노드와 에그레스 노드 사이를 지나갈 수 있는 소정의 노드를 식별할 수 있다.
소정의 스케쥴은 소정의 노드 경로에 따른 각 노드가 보안 데이터 패킷을 전송할 수 있는 특정 시간을 식별할 수 있다. 특히, 각 보안 데이터 패킷은 특정 시간에서 노드로부터 전송되어지도록 요구될 수 있다. 어느 보안 데이터 패킷을 가로지르는 이러한 형태의 노드 네트워크는 타임-록드 노드 네트워크(time-locked node network)로서 언급될 수 있다.
실례로 되는 실시예는 타임-록드 노드 네트워크가 보안 데이터 패킷의 전송 동안 발생되도록 원하지 않았던 불일치를 야기시키기 위해 시도하는 비승인된 사용자 및 비승인된 장치에 대해 보호의 원하는 레벨을 제공할 수 있음을 인식 및 참작한다. 타임-록드 노드 네트워크에 따르면, 비승인된 사용자 또는 비승인된 장치는 보안 데이터 패킷이 특정 노드뿐만 아니라 보안 데이터 패킷의 전송 동안 발생되도록 원하지 않았던 불일치를 야기시기킬 수 있는 소정 노드 경로의 일부인 특정 노드들로부터 전송되는 특정 시간을 아는 것이 필요로 될 수 있다.
실례로 되는 실시예는 타임-록드 노드 네트워크가 몇몇 현재 이용가능한 해법과 비교하여 원하지 않았던 불일치에 대해 더 넓은 범위의 보호 및 더 큰 레벨의 보호를 제공할 수 있음을 인식 및 참작한다. 더욱이, 실례로 되는 실시예는 보안 데이터 패킷의 전송을 위한 소정의 노드 경로의 잉그레스 노드 및 에그레스 노드가 소정의 스케쥴을 기초로 보안 데이터 패킷의 처리 및 전송을 제어할 수 있는 구성을 갖는 것이 필요로 될 수 있음을 인식 및 참작한다
따라서, 실례로 되는 실시예는 잉그레스 노드를 위한 구성 및 에그레스 노드를 위한 구성을 제공한다. 하나의 실례로 되는 실시예에 있어서, 노드 네트워크를 통해 보안 데이터 패킷을 전송하기 위한 방법이 제공된다. 노드 네트워크의 노드의 비보안 데이터 패킷은 비보안 소스 장치의 세트로부터 수신되고 보안 데이터 패킷은 다수의 보안 소스 장치로부터 수신된다. 보안 데이터 패킷은 다수의 보안 수신지 장치(secure destination devices)로 송신되도록 승인된다. 비보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인되지 않는다. 보안 데이터 패킷 및 비보안 데이터 패킷은 소정의 스케쥴을 기초로 다수의 출력 데이터 스트림을 형성하도록 통합된다. 다수의 출력 데이터 스트림은 노드 네트워크에서 다수의 다음 노드로 송신된다.
다른 실례로 되는 실시예에 있어서, 다수의 보안 수신지 장치로 보안 데이터 패킷을 전송하기 위한 방법이 제공된다. 다수의 입력 데이터 스트림이 수신된다. 보안 데이터 패킷은 소정의 스케쥴을 기초로 다수의 입력 데이터 스트림에서 수신된 비보안 데이터 패킷으로부터 분리된다. 보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인된다. 비보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인되지 않는다. 보안 데이터 패킷은 다수의 보안 출력 데이터 스트림으로서 다수의 보안 수신지 장치로 송신된다.
도 1을 참조하면, 블록도의 형태의 네트워크의 설명이 실례로 되는 실시예에 따라 도시된다. 도 1에 있어서, 네트워크(100)는 상호연결된 장치(101)로 구성될 수 있다. 장치(101) 중 하나와 같은, 장치는 하드웨어, 그리고 몇몇 경우에는 소프트웨어를 구비하여 구성되는 하드웨어 장치일 수 있다. 이들 실례로 되는 실시예에 있어서, 장치에 의해 수행되는 것으로서 설명된 동작, 기능 및/또는 프로세스는 장치 내의 하드웨어 및/또는 소프트웨어에 의해 수행될 수 있다.
하나의 실례로 되는 예에 있어서, 장치(101)는 컴퓨터, 그리고 몇몇 경우에는, 다른 하드웨어 구성요소를 포함할 수 있다. 여기서 이용된 바와 같이, "컴퓨터"는 통신 채널을 거쳐 데이터를 송신 및/또는 수신하도록 구성된 소정 형태의 프로그래머블 장치(programmable device)일 수 있다. 예컨대, 장치(101)에서의 컴퓨터는 마이크로컴퓨터(microcomputer), 데스크탑 컴퓨터(desktop computer), 랩탑 컴퓨터(laptop computer), 태블릿 컴퓨터(tablet computer), 스마트폰(smartphone), PDA(personal digital assistant), 워크스테이션(workstation), 서버 컴퓨터(server computer), 웹 서버(Web server), 클라이언트 컴퓨터(client computer), 메인프레임 컴퓨터(mainframe computer), 슈퍼컴퓨터(supercomputer), 프로세서(processor), 마이크로프로세서(microprocessor), 또는 몇몇 다른 형태의 데이터 처리 시스템(data processing system)의 형태를 취할 수 있다.
장치(101)는 네트워크(100) 내의 노드 네트워크(102; node network)를 이용해서 서로 데이터를 교환하도록 구성될 수 있다. 노드 네트워크(102)는 상호연결된 다수의 노드(104)에 의해 형성된다. 하나의 실례로 되는 예로서, 장치(101) 중 하나는 다수의 노드(104)의 적어도 일부를 이용해서 장치(101) 중 다른 하나로 데이터를 송신할 수 있다. 데이터를 송신하는 장치는 소스 장치(source device)로서 언급될 수 있고, 한편 데이터를 수신하는 장치는 수신지 장치로서 언급될 수 있다. 몇몇 경우에 있어서, 다수의 노드(104)에서의 노드는 장치(101) 중 하나일 수 있다.
이들 실례로 되는 예에 있어서, 데이터는 데이터 패킷을 구성하는 데이터 스트림의 형태로 노드 네트워크(102)를 가로질러 소스 장치로부터 수신지 장치로 송신될 수 있다. 하나의 실례로 되는 예에 있어서, 제한 없이, 다수의 소스 장치(105)는 노드 네트워크(102)로 입력 데이터 스트림을 송신할 수 있다. 더욱이, 다수의 수신지 장치(106)는 노드 네트워크(102)로부터 출력 데이터 스트림을 수신하도록 구성될 수 있다.
여기서 이용된 바와 같이, "다수의" 아이템은 하나 이상의 아이템을 의미한다. 예컨대, 다수의 소스 장치(105)는 하나 이상의 소스 장치일 수 있다. 더욱이, 다수의 수신지 장치(106)는 하나 이상의 수신지 장치일 수 있다.
도시된 바와 같이, 다수의 소스 장치(105)는 비보안 소스 장치의 세트(108; set of unsecure source devices) 및 다수의 보안 소스 장치(109; number of secure source devices)를 포함할 수 있다. 더욱이, 다수의 수신지 장치(106)는 비보안 수신지 장치의 세트(110) 및 다수의 보안 수신지 장치(111)를 포함할 수 있다. 여기서 이용된 바와 같이, 아이템의 "세트"는 제로 또는 그 이상의 아이템일 수 있다. 이러한 방식에 있어서, 아이템의 세트는 몇몇 경우에는 빈(empty) 또는 널(null) 세트일 수 있다. 예컨대, 비보안 소스 장치의 세트(108)는 제로, 1, 2, 4 또는 몇몇 다른 비보안 소스 장치의 세트(108)일 수 있다.
비보안 소스 장치의 세트(108) 중 하나와 같은, "비보안 소스 장치(unsecure source device)"는 노드 네트워크(102)를 통해 데이터를 송신하도록 승인되지만 하나 이상의 보안 수신지 장치로 데이터를 송신하도록 승인되지 않은 장치일 수 있다. 비보안 소스 장치로부터 송신된 데이터의 형태는 "비보안 데이터 패킷(unsecure source device)"일 수 있다. 다수의 보안 소스 장치(109) 중 하나와 같은, "보안 소스 장치"는 노드 네트워크(102)를 통해 데이터를 송신하도록 승인되고 하나 이상의 보안 수신지 장치로 데이터를 송신하도록 승인된 장치일 수 있다. 보안 소스 장치로부터 송신된 데이터의 형태는 "보안 데이터 패킷(secure data packets)"일 수 있다.
더욱이, 비보안 수신지 장치의 세트(110) 중 하나와 같은, "비보안 수신지 장치(unsecure destination device)"는 노드 네트워크(102)를 통해 보안 데이터 패킷을 수신하도록 승인되지 않은 장치일 수 있다. 다수의 보안 수신지 장치(111) 중 하나와 같은, "보안 수신지 장치(secure destination device)"는 노드 네트워크(102)를 통해 보안 데이터 패킷을 수신하도록 승인된 장치일 수 있다. 예컨대, 제한 없이, 보안 수신지 장치는 보안 서버(secure server), 보안 엔드-노드(secure end-node), 보안 엔드-장치(secure end-device), 또는 보안 웹 서버(secure Web server)일 수 있다.
이들 실례로 되는 예에 있어서, 데이터 패킷은 잉그레스 노드(112)를 통해 노드 네트워크(102)로 들어갈 수 있다. 이어 이들 데이터 패킷은 노드의 세트(114)를 통해 잉그레스 노드(112)로부터 에그레스 노드(116)로 전송될 수 있다. 데이터 패킷은 에그레스 노드(116)를 통해 노드 네트워크(102)를 떠날 수 있다.
하나의 실례로 되는 예로서, 다수의 소스 장치(105)의 소스 장치는 잉그레스 노드(112)를 통해 노드 네트워크(102)로 데이터 패킷을 송신할 수 있다. 이어 이들 데이터 패킷은 잉그레스 노드(112)로부터 노드의 세트(114)를 통해 에그레스 노드(116)로 전송될 수 있다. 이어, 데이터 패킷은 에그레스 노드(116)로부터 다수의 수신지 장치(106)의 수신지 장치로 송신될 수 있다.
노드(120)는 노드 네트워크(102)의 다수의 노드(104) 중 하나의 예이다. 노드(120)가 구현될 수 있어 노드(120)가 잉그레스 노드(112), 노드의 세트(114) 중 하나, 및/또는 에그레스 노드(116)로서 기능할 수 있다.
도시된 바와 같이, 노드(120)는 다수의 입력(122), 다수의 출력(124), 제1 네트워킹 장치(126), 제2 네트워킹 장치(128), 및 타이밍 콘트롤러(130)를 포함할 수 있다. 다수의 입력(122)은 소정 수의 스위치, 버퍼, 및/또는 다른 형태의 하드웨어 장비 및/또는 데이터를 수신하도록 구성된 소프트웨어를 구비하여 구성될 수 있다. 다수의 출력(124)은 소정 수의 스위치, 버퍼, 및/또는 다른 형태의 하드웨어 장비 및/또는 데이터를 송신하도록 구성된 소프트웨어를 구비하여 구성될 수 있다.
더욱이, 제1 네트워킹 장치(126) 및 제2 네트워킹 장치(128)는 다수의 입력(122)에 의해 수신된 데이터를 처리하고 이 데이터를 다수의 출력(124)으로 송신하도록 구성된 하드웨어 장비 및/또는 소프트웨어를 구비하여 구성될 수 있다. 제1 네트워킹 장치(126) 및 제2 네트워킹 장치(128)는 스위칭(switching) 및/또는 라우팅 성능(routing capabilities)을 갖을 수 있다. 타이밍 콘트롤러(130)는 특정 타이밍을 기초로 노드(120)에 대한 데이터의 수신, 처리, 및 송신을 제어하도록 구성될 수 있다.
잉그레스 노드(112)로서 기능하는 노드를 위한 가능한 구성이 이하 도 2에 도시된다. 에그레스 노드(116)로서 기능하는 가능한 구성이 이하 도 3에 도시된다.
도 2를 참조하면, 블록도의 형태의 잉그레스 노드의 설명이 실례로 되는 실시예에 따라 도시된다. 도시된 바와 같이, 잉그레스 노드(112)는 다수의 입력(202), 다수의 출력(204), 제1 네트워킹 장치(206), 제2 네트워킹 장치(208), 및 타이밍 콘트롤러(210)를 포함한다.
이러한 실례로 되는 실시예에 있어서, 다수의 입력(202)은 도 1의 다수의 소스 장치(105)로부터 다수의 입력 데이터 스트림(212)을 수신하도록 구성될 수 있다. 다수의 입력(202)은 비보안 입력의 세트(203) 및 보안 입력의 세트(205)를 포함할 수 있다. 이들 입력은, 예컨대 포트(ports)일 수 있다. 비보안 입력은 보안 데이터 패킷을 수신하도록 지정되지 않은 입력이다. 보안 입력은 보안 데이터 패킷을 수신하도록 지정된 입력이다. 몇몇 경우에 있어서, 보안 입력은 단지 보안 데이터 패킷만을 수신하도록 지정될 수 있다. 그러나, 다른 예에 있어서, 보안 입력은 보안 데이터 패킷 및 비보안 데이터 패킷 양쪽의 조합을 수신하도록 지정될 수 있다.
도시된 바와 같이, 비보안 입력의 세트(203)는 비보안 입력 데이터 스트림의 세트(214)를 수신하도록 구성되고, 다수의 보안 입력(205)은 다수의 보안 입력 데이터 스트림(216)을 수신하도록 구성된다. 비보안 입력 데이터 스트림의 세트(214)의 각각은 비보안 데이터 패킷으로 구성될 수 있고, 한편 다수의 보안 입력 데이터 스트림(216)의 각각은 보안 데이터 패킷으로 구성될 수 있다. 잉그레스 노드(112)는 다수의 입력 데이터 스트림(212)을 수신하고, 다수의 입력 데이터 스트림(212)의 데이터 패킷을 처리하며, 다수의 출력 데이터 스트림(220)의 형태로 이들 데이터 패킷을 송신해서 내보내도록 구성될 수 있다.
도시된 바와 같이, 다수의 입력(202)은 소정 순서로 스위치의 세트(222) 및 버퍼의 세트(224)를 포함할 수 있다. 비보안 입력의 세트(203)는 소정의 순서로 스위치의 세트(222) 및 버퍼의 세트(224)의 적어도 일부를 이용해서 비보안 입력 데이터 스트림의 세트(214)를 처리하고 제1 네트워킹 장치(206)로 비보안 입력 데이터 스트림의 세트(214)의 비보안 데이터 패킷을 송신할 수 있다. 더욱이, 다수의 보안 입력(205)은 소정의 순서로 스위치의 세트(222) 및 버퍼의 세트(224)의 적어도 일부를 이용해서 다수의 보안 입력 데이터 스트림(216)을 처리하고 제2 네트워킹 장치(208)로 다수의 보안 입력 데이터 스트림(216)의 보안 데이터 패킷을 송신할 수 있다.
몇몇 경우에 있어서, 제2 네트워킹 장치(208)로 보안 데이터 패킷을 송신하는데 이용된 스위치의 세트(222)의 부분은 타이밍 콘트롤러(210)에 의해 제어될 수 있다. 타이밍 콘트롤러(210)는 각각의 이들 보안 데이터 패킷이 다수의 출력(204)으로 송신되는 때를 결정할 수 있다.
이러한 실례로 되는 예에 있어서, 제1 네트워킹 장치(206)는 스위치의 세트(230), 라우터의 세트(232; set of routers), 버퍼의 세트(234), 및/또는 다른 형태의 하드웨어 및/또는 소프트웨어 장비를 구비하여 구성될 수 있다. 더욱이, 제2 네트워킹 장치(208)는 스위치의 세트(236), 라우터의 세트(238), 버퍼의 세트(240), 및/또는 다른 형태의 하드웨어 및/또는 소프트웨어 장비를 구비하여 구성될 수 있다. 타이밍 콘트롤러(210)는 구현에 따라 제1 네트워킹 장치(206) 및/또는 제2 네트워킹 장치(208)를 제어할 수 있다. 타이밍 콘트롤러(210)는 비보안 데이터 패킷 및 보안 데이터 패킷이 다수의 출력(204)로 송신되는 시간을 결정할 수 있다.
도시된 바와 같이, 다수의 출력(204)은 소정의 순서로 스위치의 세트(242) 및 버퍼의 세트(244)를 포함할 수 있다. 다수의 출력(204)은 다수의 출력 데이터 스트림(220)을 형성하기 위해 제1 네트워킹 장치(206)로부터 수신된 비보안 데이터 패킷과 제2 네트워킹 장치(208)로부터 수신된 보안 데이터 패킷을 통합(integrate)하도록 구성될 수 있다. 특히, 타이밍 콘트롤러(210)는 각각의 보안 데이터 패킷이 다수의 출력 데이터 스트림(220)의 출력 데이터 스트림으로 삽입(inserted)되는 시간을 결정할 수 있다. 다수의 출력(204)은 도 1의 노드 네트워크(102) 내의 다수의 다음의 노드로 다수의 출력 데이터 스트림을 송신할 수 있다.
도 3을 참조하면, 블록도의 형태의 에그레스 노드의 설명이 실례로 되는 실시예에 따라 도시된다. 도시된 바와 같이, 에그레스 노드(116)는 다수의 입력(302), 다수의 출력(304), 제1 네트워킹 장치(306), 제2 네트워킹 장치(308), 및 타이밍 콘트롤러(310)를 포함한다.
이러한 실례로 되는 예에 있어서, 다수의 입력(302)은 도 1의 노드 네트워크(102)에서 다수의 이전의 노드로부터 다수의 입력 데이터 스트림(312)을 수신하도록 구성될 수 있다. 에그레스 노드(116)는 다수의 입력 데이터 스트림(312)을 수신하고, 다수의 입력 데이터 스트림(312)의 데이터 패킷을 처리하며, 다수의 출력 데이터 스트림(316)의 형태로 도 1의 다수의 수신지 장치(106)로 이들 데이터 패킷을 송신해서 내보내도록 구성될 수 있다
다수의 출력 데이터 스트림(316)은 비보안 출력 데이터 스트림의 세트(318) 및 다수의 보안 출력 데이터 스트림(320)을 포함할 수 있다. 각각의 비보안 출력 데이터 스트림의 세트(318)는 비보안 데이터 패킷으로 구성될 수 있고, 한편 각각의 다수의 보안 출력 데이터 스트림(320)은 보안 데이터 패킷으로 구성될 수 있다.
도시된 바와 같이, 다수의 입력(302)은 소정의 순서로 스위치의 세트(322) 및 버퍼의 세트(324)를 포함할 수 있다. 다수의 입력(302)은 스위치의 세트(322) 및 버퍼의 세트(324)를 이용해서 다수의 입력 데이터 스트림(312)을 처리할 수 있다. 다수의 입력(302)은 제1 네트워킹 장치(306)로 다수의 입력 데이터 스트림(312)의 비보안 데이터 패킷을 송신할 수 있다. 더욱이, 다수의 입력(302)은 제2 네트워킹 장치(308)로 다수의 입력 데이터 스트림(312)의 보안 데이터 패킷을 송신할 수 있다.
몇몇 경우에 있어서, 스위치의 세트(322)는 타이밍 콘트롤러(310)에 의해 제어될 수 있다. 타이밍 콘트롤러(310)는 데이터 패킷이 보안 데이터 패킷 또는 비보안 데이터 패킷인가의 여부를 결정하도록 각 데이터 패킷이 다수의 입력(302)에서 수신되는 시간을 이용할 수 있다. 예컨대, 데이터 패킷은 데이터 패킷이 소정의 스케쥴을 기초로 수신된 특정 시간을 기초로 보안 데이터 패킷으로서 식별될 수 있다.
이러한 실례로 되는 예에 있어서, 제1 네트워킹 장치(306)는 스위치의 세트(326), 라우터의 세트(328), 버퍼의 세트(330), 및/또는 다른 형태의 하드웨어 장비 및/또는 소프트웨어를 구비하여 구성될 수 있다. 더욱이, 제2 네트워킹 장치(308)는 스위치의 세트(332), 라우터의 세트(334), 버퍼의 세트(336), 및/또는 다른 형태의 하드웨어 장비 및/또는 소프트웨어를 구비하여 구성될 수 있다. 타이밍 콘트롤러(310)는 구현에 따라 제1 네트워킹 장치(306) 및/또는 제2 네트워킹 장치(308)를 제어할 수 있다. 타이밍 콘트롤러(310)는 비보안 데이터 패킷 및 보안 데이터 패킷이 다수의 출력(304)으로 송신되는 시간을 결정할 수 있다.
다수의 출력(304)은 비보안 출력의 세트(311) 및 다수의 보안 출력(313)을 포함할 수 있다. 이들 출력은, 예컨대 포트(ports)일 수 있다. 비보안 출력은 보안 데이터 패킷을 송신하여 내보내도록 지정되지 않은 출력이다. 보안 출력은 보안 데이터 패킷을 송신해서 내보내도록 지정된 출력이다. 몇몇 경우에 있어서, 보안 출력은 단지 보안 데이터 패킷만을 송신해서 내보내도록 지정될 수 있다. 그러나, 다른 예에 있어서, 보안 출력은 보안 데이터 패킷 및 비보안 데이터 패킷 양쪽의 조합을 송신해서 내보내도록 지정될 수 있다.
도시된 바와 같이, 다수의 출력(304)은 소정의 순서로 스위치의 세트(338) 및 버퍼의 세트(340)를 포함할 수 있다. 비보안 출력의 세트(311)는 비보안 출력 데이터 스트림의 세트(318)의 형태로 도 1의 비보안 수신지 장치의 세트(110)로 비보안 데이터 패킷을 송신하도록 구성될 수 있다. 더욱이, 다수의 보안 출력(313)은 다수의 보안 출력 데이터 스트림(320)의 형태로 도 1의 다수의 보안 수신지 장치(111)로 보안 데이터 패킷을 송신하도록 구성될 수 있다.
이러한 방식에 있어서, 에그레스 노드(116)는 비보안 데이터 패킷으로부터 보안 데이터 패킷을 분리할 수 있고 오직 보안 데이터 패킷만이 도 1의 다수의 보안 수신지 장치(111)로 송신됨을 보증할 수 있다. 에그레스 노드(116)는 비보안 데이터 패킷이 도 1의 다수의 보안 수신지 장치(111)에 도달하지 않음을 보증할 수 있다.
도 1의 네트워크(100), 도 2의 잉그레스 노드(112), 및 도 3의 에그레스 노드(116)의 설명은 실례로 되는 실시예가 구현될 수 있는 방식으로 물리적 또는 구조적 제한을 암시하도록 의미하지는 않는다. 구성요소에 부가 또는 대신하는 다른 구성요소가 이용될 수 있다. 몇몇 구성요소가 선택적일 수 있다. 또한, 블록은 몇몇 기능적 구성요소를 설명하는데 제공된다. 하나 이상의 이들 블록은 실례로 되는 실시예에서 구현될 때 다른 블록으로 결합, 분할, 또는 결합 및 분할될 수 있다.
도 4를 참조하면, 노드 네트워크의 설명이 실례로 되는 실시예에 따라 도시된다. 도 4에 있어서, 노드 네트워크(400)는 도 1의 노드 네트워크(102)를 위한 하나의 구현의 예일 수 있다. 도시된 바와 같이, 노드 네트워크(400)는 노드(402, 404, 406, 408, 410, 412, 414, 416, 418, 420, 424)를 포함한다. 이들 노드는 통신 링크(426)를 이용해서 통신되도록 구성될 수 있다. 통신 링크(426)는, 예컨대 소정 수의 무선 통신 링크, 통신 링크, 유선 통신 링크, 광 통신 링크, 및/또는 다른 형태의 통신 링크를 포함할 수 있다.
이러한 실례로 되는 예에 있어서, 노드 경로(428)는 노드 네트워크(400)를 통해 데이터를 송신하는데 이용하기 위해 미리 선택된 노드 네트워크(400)를 통한 경로일 수 있다. 노드 경로(428)는 본 예에서 노드(402), 노드(408), 노드(410), 노드(416) 및 노드(418)를 포함한다. 노드(402)는 노드 경로(428)의 잉그레스 노드일 수 있는 한편, 노드(418)는 노드 경로(428)의 에그레스 노드일 수 있다.
데이터는 소정의 스케쥴을 기초로 노드 경로(428)를 따라 송신될 수 있다. 예컨대, 제한 없이, 노드 네트워크(400)의 다른 노드는 모두 클럭(430)으로부터 타이밍 신호(timing signals)를 수신하도록 구성될 수 있다. 클럭(430)은, 예컨대 제한 없이, 위성 클럭(satellite clock), GPD 위성 클럭(global positioning system satellite clock), 또는 공통의, 결합된, 또는 분리되는 및/또는 대역 내(in-band) 또는 대역 외(out-of-band)의 몇몇 다른 형태의 클럭일 수 있다.
노드 경로(428)에 따른 각 노드는 보안 데이터 패킷이 각 노드로부터 수신 및 송신되도록 하는 특정 시간을 결정하도록 클럭(430)으로부터 수신된 타이밍 신호를 이용하도록 구성될 수 있다. 더욱이, 노드 경로(428)에 따른 각 노드는 노드 간의 전파 지연(propagation delay)을 고려하도록 구성될 수 있다. 예컨대, 제한 없이, 전파 지연(432, 434, 436, 438)은 노드 경로(428)에 따른 각 노드가 보안 데이터 패킷을 수신하고 보안 데이터 패킷을 송신해서 내보내도록 예정되는(schejuled, 스케쥴되는) 시간을 결정할 때를 고려할 수 있다.
도 5를 참조하면, 노드 네트워크를 가로질러 교환되는 데이터 패킷의 설명이 실례로 되는 실시예에 따라 도시된다. 이러한 실례로 되는 예에 있어서, 데이터 패킷(502)은 도 4로부터 노드 네트워크(400)를 가로질러 교환된다. 보안 데이터 패킷은 노드 경로(428)를 따라 노드 네트워크(400)를 가로질러 전송되도록 승인될 수 있다.
잉그레스 노드로서, 노드(402)는 비보안 입력 데이터 스트림(504), 비보안 입력 데이터 스트림(506), 및 보안 입력 데이터 스트림(508)을 수신할 수 있다. 이들 입력 데이터 스트림은 노드 경로(428)를 따라 노드 네트워크(400)를 통해 송신되도록 구성될 수 있다. 비보안 입력 데이터 스트림(504) 및 비보안 입력 데이터 스트림(506)은 비보안 소스 장치로부터 수신될 수 있다. 그러나, 보안 입력 데이터 스트림(508)은 보안 소스 장치로부터 수신될 수 있다. 보안 입력 데이터 스트림(508)의 보안 데이터 패킷은 스케쥴화된 타임 슬롯(510)에서 노드 경로(428)를 따라 노드 네트워크(400)를 통해 송신되도록 구성될 수 있다.
에그레스 노드로서, 노드(418)는 비보안 출력 데이터 스트림(512), 비보안 출력 데이터 스트림(514), 및 보안 출력 데이터 스트림(516)을 송신해서 내보낼 수 있다. 비보안 출력 데이터 스트림(512) 및 비보안 출력 데이터 스트림(514)은 비보안 수신지 장치로부터 송신될 수 있다. 그러나, 보안 출력 데이터 스트림(516)은 보안 수신지 장치로 송신될 수 있다. 보안 출력 데이터 스트림(516)은 노드(402)의 보안 입력 데이터 스트림(508)에서 수신된 보안 데이터 패킷을 구비하여 구성될 수 있다. 노드(418)는 비보안 데이터 패킷이 아니고 오직 보안 데이터 패킷만이 보안 수신지 장치로 도달됨을 보증하도록 구성된다.
도 6을 참조하면, 노드 네트워크를 가로질러 교환되는 데이터 패킷의 설명이 실례로 되는 실시예에 따라 도시된다. 이러한 실례로 되는 예에 있어서, 도 4 내지 도 5로부터 노드 네트워크(400)를 가로질러 교환된 데이터 패킷(502)은 비보안 승인된 데이터 패킷(600), 비보안 비승인된 데이터 패킷(602), 및 보안 데이터 패킷(604)을 포함할 수 있다.
비보안 승인된 데이터 패킷(600; unsecure authorized data packets)은 노드 네트워크(400)를 통한 전송을 위해 승인될 수 있지만 소정의 보안 수신지 장치로 송신되도록 승인되지 않은 데이터 패킷을 포함할 수 있다. 비보안 비승인된 데이터 패킷(602; unsecure unauthorized data packets)은 노드 네트워크(400)를 통한 전송을 위해 승인될 수 없고 소정의 보안 수신지 장치로 송신되도록 승인되지 않는 데이터 패킷을 포함할 수 있다. 비보안 비승인된 데이터 패킷(602)은 정보 보안성 문제(information security issues) 및/또는 원하지 않았던 불일치 문제(undesired inconsistency issues)를 제기할 수 있다. 보안 데이터 패킷(604)은 노드 네트워크(400)를 통한 전송을 위해 승인될 수 있고 하나 이상의 보안 수신지 장치로 송신되도록 승인되는 데이터 패킷을 포함할 수 있다.
노드 경로(428)에 따른 데이터 패킷의 전송을 위해 확립된 소정의 스케쥴은 단지 보안 데이터 패킷만이 보안 수신지 장치로 송신됨을 보증할 수 있다. 예컨대, 노드(418)에 의해 송신되어져 나온 보안 출력 데이터 스트림(516)은 소정의 비보안 승인된 데이터 패킷 또는 소정의 비보안 비승인된 데이터 패킷을 포함하지 않을 수 있다.
도 7을 참조하면, 잉그레스 노드로서 기능하는 노드의 설명이 실례로 되는 실시예에 따라 도시된다. 도시된 바와 같이, 도 4 내지 도 6으로부터 노드(402)는 잉그레스 노드(700)로서 기능할 수 있다. 잉그레스 노드(700)는 도 2의 잉그레스 노드(112)를 위한 하나의 구현의 예일 수 있다.
잉그레스 노드(700)는 다수의 입력(702), 다수의 출력(704), 제1 네트워킹 장치(706), 제2 네트워킹 장치(706), 및 타이밍 콘트롤러(710)를 포함할 수 있다. 다수의 입력(702)은 스위치 어레이(712), 버퍼 어레이(714), 및 스위치 어레이(716)를 포함한다. 다수의 출력(704)은 스위치 어레이(718), 버퍼 어레이(720), 및 스위치 어레이(722)를 포함한다.
이러한 실례로 되는 예에 있어서, 다수의 입력(702)의 비보안 입력은 비보안 입력 데이터 스트림(724)을 수신한다. 특히, 이러한 비보안 입력은 스위치 어레이(712)의 스위치(726), 버퍼 어레이(714)의 버퍼(728), 및 스위치 어레이(716)의 스위치(730)를 이용해서 비보안 입력 데이터 스트림(724)을 처리한다. 더욱이, 다수의 입력(702)의 다른 비보안 입력은 비보안 입력 데이터 스트림(732)을 수신한다. 이러한 다른 비보안 입력은 스위치 어레이(712)의 스위치(734), 버퍼 어레이(714)의 버퍼(736), 및 스위치 어레이(716)의 스위치(738)를 이용해서 비보안 입력 데이터 스트림(732)을 처리한다.
이들 2개의 비보안 입력은 제1 네트워킹 장치(706)로 비보안 입력 데이터 스트림(724) 및 비보안 입력 데이터 스트림(732)의 비보안 데이터 패킷을 송신한다. 이러한 실례로 되는 예에 있어서, 타이밍 콘트롤러(710)는 이들 비보안 입력이 제1 네트워킹 장치(706)로 비보안 데이터 패킷을 송신하는 시간을 제어하지 않는다.
더욱이, 다수의 입력(702)의 보안 입력은 보안 입력 데이터 스트림(740)을 수신한다. 이러한 보안 입력은 스위치 어레이(712)의 스위치(742), 버퍼 어레이(714)의 버퍼(744), 및 스위치 어레이(716)의 스위치(746)를 이용해서 보안 입력 데이터 스트림(740)을 처리한다. 이러한 실례로 되는 예에 있어서, 스위치(742), 버퍼(744), 및 스위치(746)는 타이밍 콘트롤러(710)에 의해 제어될 수 있다.
타이밍 콘트롤러(710)는 보안 입력 데이터 스트림(740)의 보안 데이터 패킷이 보안 입력으로부터 제2 네트워킹 장치(708)로 송신되는 시간을 결정할 수 있다. 더욱이, 타이밍 콘트롤러(710)는 제2 네트워킹 장치(708)가 다수의 출력(704)의 스위치 어레이(718)의 각 스위치(748), 스위치(750) 및 스위치(752)로 보안 데이터 패킷을 송신하는 때를 결정한다. 이들 스위치는 또한 타이밍 콘트롤러(710)에 의해 제어될 수 있다.
다수의 출력(704)의 출력은 출력 데이터 스트림(758)을 형성하기 위해 스위치(748), 버퍼 어레이(720)의 버퍼(754) 및 스위치 어레이(722)의 스위치(756)를 이용한다. 특히, 제1 네트워킹 장치(706)에 의해 처리된 비보안 데이터 패킷의 부분은 버퍼(754)로 송신될 수 있다. 타이밍 콘트롤러(710)는 비보안 데이터 패킷 및 보안 데이터 패킷이 출력 데이터 스트림(758)으로 들어갈 때를 결정하기 위해 스위치(748), 스위치(756), 제1 네트워킹 장치(706) 및 제2 네트워킹 장치(708)를 제어할 수 있다.
마찬가지로, 다수의 출력(704)의 다른 출력은 출력 데이터 스트림(764)을 형성하기 위해 스위치(750), 버퍼 어레이(720)의 버퍼(760) 및 스위치 어레이(722)의 스위치(762)를 이용한다. 특히, 제1 네트워킹 장치(706)에 의해 처리된 비보안 데이터 패킷의 일부분은 버퍼(760)로 송신될 수 있다. 타이밍 콘트롤러(710)는 비보안 데이터 패킷 및 보안 데이터 패킷이 출력 데이터 스트림(764)으로 들어갈 때를 결정하기 위해 스위치(750), 스위치(762), 제1 네트워킹 장치(706) 및 제2 네트워킹 장치(708)를 제어할 수 있다.
다수의 출력(704)의 또 다른 출력은 출력 데이터 스트림(770)을 형성하기 위해 스위치(752), 버퍼 어레이(720)의 버퍼(766) 및 스위치 어레이(722)의 스위치(768)를 이용한다. 특히, 제1 네트워킹 장치(706)에 의해 처리된 비보안 데이터 패킷의 일부분은 버퍼(766)로 송신될 수 있다. 타이밍 콘트롤러(710)는 비보안 데이터 패킷 및 보안 데이터 패킷이 출력 데이터 스트림(770)으로 들어갈 때를 결정하기 위해 스위치(752), 스위치(768), 제1 네트워킹 장치(706) 및 제2 네트워킹 장치(708)를 제어할 수 있다.
도 8을 참조하면, 에그레스 노드로서 기능하는 노드의 설명이 실례로 되는 실시예에 따라 도시된다. 도시된 바와 같이, 도 4 내지 도 6으로부터 노드(418)는 에그레스 노드(800)로서 기능할 수 있다. 에그레스 노드(800)는 도 3의 에그레스 노드(116)를 위한 하나의 구현의 예일 수 있다. 에그레스 노드(800)는 다수의 입력(802), 다수의 출력(804), 제1 네트워킹 장치(806), 제2 네트워킹 장치(806), 및 타이밍 콘트롤러(810)를 포함할 수 있다.
이러한 실례로 되는 예에 있어서, 다수의 입력(802)은 스위치 어레이(812), 버퍼 어레이(814), 및 스위치 어레이(816)를 포함한다. 다수의 출력(804)은 스위치 어레이(818), 버퍼 어레이(820), 및 스위치 어레이(822)를 포함한다.
도시된 바와 같이, 다수의 입력(802)의 입력은 입력 데이터 스트림(824)을 수신하도록 구성된다. 이러한 입력은 스위치 어레이(812)의 스위치(826), 버퍼 어레이(814)의 버퍼(828) 및 스위치 어레이(816)의 스위치(830)를 이용해서 입력 데이터 스트림(824)을 처리한다. 타이밍 콘트롤러(810)는 스위치(826) 및 스위치(830)를 제어할 수 있다. 특히, 타이밍 콘트롤러(810)는 이들 데이터 패킷이 입력에서 수신되는 시간을 기초로 입력 데이터 스트림(824)의 데이터 패킷이 보안 데이터 패킷이고 데이터 패킷이 비보안 데이터 패킷임을 결정하는데 이용될 수 있다.
입력은 제1 네트워킹 장치(806)로 비보안 데이터 패킷을 송신한다. 제1 네트워킹 장치(806)는 다수의 출력(804)의 비보안 출력으로 비보안 데이터 패킷을 송신한다. 이러한 실례로 되는 예에 있어서, 비보안 출력은 스위치 어레이(818)의 스위치(832), 버퍼 어레이(820)의 버퍼(834) 및 스위치 어레이(822)의 스위치(836)를 이용해서 비보안 데이터 패킷을 처리한다. 비보안 출력은 이들 비보안 데이터 패킷을 이용해서 비보안 출력 데이터 스트림(838)을 형성한다. 이러한 실례로 되는 예에 있어서, 비보안 출력 데이터 스트림(838)은 소정의 보안 데이터 패킷을 포함하지 않는다. 비보안 출력 데이터 스트림(838)은 비보안 수신지 장치로 송신해서 내보내질 수 있다.
더욱이, 입력은 제2 네트워킹 장치(808)로 보안 데이터 패킷을 송신한다. 제2 네트워킹 장치(808)는 다수의 출력(804)의 보안 출력으로 보안 데이터 패킷을 송신한다. 보안 출력은 스위치 어레이(818)의 스위치(840), 버퍼 어레이(820)의 버퍼(842) 및 스위치 어레이(822)의 스위치(844)를 이용해서 이들 보안 데이터 패킷을 처리한다. 보안 출력은 보안 데이터 패킷을 이용해서 보안 출력 데이터 스트림(846)을 형성한다. 이러한 실례로 되는 예에 있어서, 보안 출력 데이터 스트림(846)은 소정의 비보안 데이터 패킷을 포함하지 않는다. 보안 출력은 보안 출력 데이터 스트림(846)을 보안 수신지 장치로 송신할 수 있다.
도 9를 참조하면, 수신지 장치로 송신된 출력 데이터 스트림의 설명이 실례로 되는 실시예에 따라 도시된다. 이러한 실례로 되는 예에 있어서, 도 8로부터의 비보안 출력 데이터 스트림(838)은 비보안 수신지 장치(900)로 송신될 수 있고, 한편 보안 출력 데이터 스트림(846)은 보안 수신지 장치(902)로 송신될 수 있다.
도시된 바와 같이, 비보안 수신지 장치(900)는 비보안 웹 서버(904; unsecure web server)의 형태를 취하는 한편, 보안 수신지 장치(902)는 보안 웹 서버(906)의 형태를 취한다. 비보안 웹 서버(904)는 입력 버퍼(908), 프로세서(910) 및 데이터 구조(912; data structure)를 포함한다.
입력 버퍼(908)는 비보안 출력 데이터 스트림(838)의 비보안 데이터 패킷를 수신하고 데이터 구조(912)에 이들 비보안 데이터 패킷을 저장하도록 구성된다. 비보안 출력 데이터 스트림(838)은 비보안 승인된 데이터 패킷 및/또는 비보안 비승인된 데이터 패킷을 포함할 수 있다. 비보안 출력 스트림(838)의 이들 비보안 데이터 패킷은, 예컨대 제한 없이, 버퍼 오버플로우, 서비스 이벤트의 부정, 서버 충돌, 및/또는 다른 원하지 않았던 이벤트를 야기시킬 수 있는 원하지 않았던 불일치를 갖을 수 있다. 비보안 출력 스트림(838)의 이들 비보안 데이터 패킷이 비보안 수신지 장치(900)로 송신되기 때문에, 원하지 않았던 불일치 및/또는 다른 원하지 않았던 이벤트가 비보안 수신지 장치(900)에서 발생될 것이다. 결과적으로, 데이터 구조(912)에 저장된 데이터는 손상된 데이터(914; compromised data)로 고려될 수 있다.
보안 웹 서버(906)는 입력 버퍼(916), 프로세서(918) 및 데이터 구조(920)를 포함한다. 입력 버퍼(916)는 보안 출력 데이터 스트림(846)의 보안 데이터 패킷를 수신하고 데이터 구조(920)에 이들 보안 데이터 패킷을 저장하도록 구성된다. 보안 출력 데이터 스트림(846)이 소정의 비보안 데이터 패킷을 포함하지 않기 때문에, 데이터 구조(920)에 저장된 데이터는 비-손상된 데이터(922)로 고려될 수 있다. 보안 출력 데이터 스트림(846)이 오직 보안 데이터 패킷만을 포함하기 때문에, 예컨대 제한 없이, 버퍼 오버플로우, 서비스 이벤트의 부정, 서버 충돌, 및/또는 다른 원하지 않았던 이벤트와 같은 원하지 않았던 불일치가 보안 수신지 장치(902)에서 발생되지 않을 수 있다.
도 4 내지 도 6에서의 노드 네트워크(400), 도 7에서의 잉그레스 노드(700), 도 8에서의 에그레스 노드(800) 및 도 9에서의 비보안 수신지 장치(900) 및 보안 수신지 장치(902)의 설명은 실례로 되는 실시예가 구현될 수 있는 방식으로 물리적 또는 구조적 제한을 암시하도록 의미하지는 않는다. 구성요소에 부가 또는 대신하는 다른 구성요소가 이용될 수 있다. 몇몇 구성요소는 선택적일 수 있다.
도 4 내지 도 9에 도시된 다른 구성요소는 도 1 내지 도 3의 블록 형태로 도시된 구성요소가 어떻게 물리적 구조로 구현될 수 있는가의 실례로 되는 예일 수 있다. 부가적으로, 도 4 내지 도 9에 도시된 구성요소는, 도 1의 구성요소와 함께 이용된, 도 1의 구성요소와 결합되거나, 2개의 조합일 수 있다.
도 10을 참조하면, 플로우차트의 형태로 노드 네트워크를 통해 보안 데이터 패킷을 전송하기 위한 프로세스의 설명이 실례로 되는 실시예에 따라 도시된다. 도 10에서 설명된 프로세스는, 예컨대, 제한 없이, 도 2의 잉그레스 노드(112)에 의해 구현될 수 있다.
프로세스는 노드 네트워크의 노드의 비보안 입력의 세트에서 비보안 데이터 패킷 및 다수의 보안 입력에서 보안 데이터 패킷을 수신하는 것에 의해 시작할 수 있다(동작 1000). 보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인될 수 있다. 그러나, 비보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인되지 않을 수 있다.
그 후, 보안 데이터 패킷 및 비보안 데이터 패킷이 소정의 스케쥴을 기초로 다수의 출력 데이터 스트림을 형성하도록 통합될 수 있다(동작 1002). 이어 다수의 출력 데이터 스트림은 노드 네트워크의 다수의 다음 노드로 송신될 수 있고(동작 1004), 그 후 프로세스가 종료된다.
도 11을 참조하면, 플로우차트의 형태로 다수의 보안 수신지 장치로 보안 데이터 패킷을 전송하기 위한 프로세스의 설명이 실례로 되는 실시예에 따라 도시된다. 도 11에 도시된 프로세스는, 예컨대 제한 없이, 도 3의 에그레스 노드(116)에 의해 구현될 수 있다.
프로세스는 노드 네트워크의 노드에서 다수의 입력 데이터 스트림을 수신하는 것에 의해 시작될 수 있다(동작 1100). 그 후, 보안 데이터 패킷은 소정의 스케쥴을 기초로 다수의 입력 데이터 스트림에서 수신된 비보안 데이터 패킷으로부터 분리될 수 있다(동작 1102). 보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되도록 승인될 수 있다. 그러나, 비보안 데이터 패킷은 다수의 보안 수신지 장치로 송신되어지도록 승인되지 않을 수 있다.
이어 보안 데이터 패킷은 다수의 보안 출력으로부터 다수의 보안 출력 데이터 스트림으로서 다수의 보안 수신지 장치로 송신될 수 있고(동작 1104), 이후 프로세스가 종료된다. 더욱이, 동작(1104)에서, 비보안 데이터 패킷의 세트는 비보안 출력 데이터 스트림의 세트로서 비보안 수신지 장치의 세트로 송신될 수 있다.
달리 도시된 실시예에서의 플로우차트 및 블록도는 실례로 되는 실시예에서의 장치 및 방법의 몇몇 가능한 구현의 구조, 기능 및 동작을 설명한다. 이와 관련하여, 플로우차트 또는 블록도의 각 블록은 모듈, 세그먼트, 기능 및/또는 동작 또는 단계의 일부분을 나타낸다. 예컨대, 하나 이상의 블록은 프로그램 코드로서, 하드웨어에서, 또는 프로그램 코드 및 하드웨어의 조합으로 구현될 수 있다. 하드웨어에서 구현될 때, 하드웨어는, 예컨대 플로우차트 또는 블록도에서 하나 이상의 동작을 수행하도록 제조 또는 구성된 집적회로의 형태를 최할 수 있다.
실례로 되는 실시예의 몇몇 대안적인 구현에 있어서, 블록에서 주지된 기능 또는 기능들은 도면에서 주지된 순서에서 벗어나 발생될 수 있다. 예컨대, 몇몇 경우에 있어서, 연속으로 도시된 2개의 블록은 실질적으로 동시에 실행될 수 있고, 또는 블록은, 포함된 기능성에 따라, 때때로 반대의 순서로 수행될 수 있다. 또한, 다른 블록이 플로우차트 또는 블록도에서 설명된 블록에 더하여 부가될 수 있다.
도 12를 참조하면, 블록도의 형태로 데이터 처리 시스템의 설명이 실례로 되는 실시예에 따라 도시된다. 이러한 실례로 되는 예에 있어서, 데이터 처리 시스템(1200)은 도 1의 장치(101)에서 다수의 소스 장치(105), 다수의 노드(104), 및/또는 다수의 수신지 장치(108) 중 어느 하나를 구현하는데 이용될 수 있다. 더욱이, 데이터 처리 시스템(1200)은 다수의 노드(104)의 노드 내의 소정의 구성요소를 구현하는데 이용될 수 있다.
이러한 실례로 되는 예에 있어서, 데이터 처리 시스템(1200)은, 프로세서 유닛(1204) 간에서 통신을 제공하는, 통신 프레임워크(1202), 메모리(1206), 영구적 저장기(1208; persistent storage), 통신 유닛(1210), 입력/출력 유닛(1212), 및 디스플레이(1214)를 포함한다. 통신 프레임워크(1202)는 몇몇 예에서 버스 시스템으로서 구현될 수 있다.
프로세서 유닛(1204)은 다수의 동작을 수행하도록 메모리(1206)에 로드된 소프트웨어를 위한 명령을 실행하도록 기능한다. 프로세서 유닛(1204)은, 특정 구현에 따라, 다수의 프로세서, 다중-프로세서 코어(multi-processor core), 또는 몇몇 다른 형태의 프로세서일 수 있다. 몇몇 경우에 있어서, 프로세서 유닛(1204)은, 회로 시스템, ASIC(application specific integrated circuit), 프로그래머블 로직 장치(programmable logic device), 또는 몇몇 다른 적절한 형태의 하드웨어와 같은, 하드웨어 유닛의 형태를 취할 수 있다.
메모리(1206) 및 영구적 저장기(1208)는 저장 장치(1216)의 예이다. 저장 장치(1216)는 통신 프레임워크(1202)를 통해 프로세서 유닛(1204)과 통신될 수 있다. 또한 컴퓨터 판독가능 저장 장치로서 언급되는, 저장 장치는, 예컨대 제한 없이, 데이터, 기능적 형태의 프로그램 코드, 및/또는 일시적 기반 및/또는 영구적 기반의 다른 적절한 정보와 같은, 정보를 저장할 수 있는 하드웨어의 소정 부분이다. 메모리(1206)는, 예컨대 랜덤 억세스 메모리 또는 소정의 다른 적절한 휘발성 또는 비-휘발성 저장 장치일 수 있다.
영구적 저장기(1208)는, 특정 구현에 따라, 다양한 형태를 취할 수 있고 소정 수의 구성요소 또는 장치를 구비하여 구성될 수 있다. 예컨대, 영구적 저장기(1208)는 하드 드라이브, 플래시 메모리, 재기록가능 광학 디스크, 재기록가능 마그네틱 테잎, 또는 상기의 몇몇 조합일 수 있다. 구현에 따라, 영구적 저장기(1208)에 의해 이용된 매체는 제거가능할 수 있거나 할 수 없다.
이들 예에서, 통신 유닛(1210)은 다른 데이터 처리 시스템 또는 장치와의 통신을 위해 제공된다. 통신 유닛(1210)은 물리적 또는 무선 통신 링크의 양쪽 또는 어느 한쪽의 이용을 통해 통신을 제공할 수 있다.
입력/출력 유닛(1212)은 데이터 처리 시스템(1200)에 연결될 수 있는 다른 장치와의 데이터의 입력 및 출력을 위해 허용된다. 예컨대, 입력/출력 유닛(1212)은 키보드, 마우스, 및/또는 몇몇 다른 적절한 입력 장치를 통해 사용자 입력을 위한 연결을 제공할 수 있고 및/또는 프린터로 출력을 송신할 수 있다. 디스플레이(1214)는 사용자에게 정보를 디스플레이하는 메카니즘을 제공한다.
동작 시스템, 어플리케이션 및/또는 프로그램을 위한 명령은 저장 장치(1216)에 위치할 수 있다. 다른 실시예의 처리는 컴퓨터-구현 명령을 이용해서 프로세서 유닛(1204)에 의해 수행될 수 있다. 이들 명령은 프로그램 코드, 컴퓨터 이용가능 프로그램 코드, 또는 컴퓨터 판독가능 프로그램 코드로서 언급될 수 있고, 프로세서 유닛(1204)의 하나 이상의 프로세서에 의해 판독 및 실행될 수 있다.
이들 예에 있어서, 프로그램 코드(1218)는 선택적으로 제거가능한 컴퓨터 판독가능 매체(1220) 상에 기능적 형태로 위치되고, 프로세서 유닛(1204)에 의한 실행을 위해 데이터 처리 시스템(1200)에 대해 로드되거나 전송될 수 있다. 프로그램 코드(1218) 및 컴퓨터 판독가능 매체(1220)는 이들 예에서 컴퓨터 프로그램 제품(1222)을 형성한다. 컴퓨터 판독가능 매체(1220)는 컴퓨터 판독가능 저장 매체(1224) 또는 컴퓨터 판독가능 신호 매체(1226)의 형태를 취할 수 있다.
컴퓨터 판독가능 저장 매체(1224)는 프로그램 코드를 전파하거나 전송하는 매체라기 보다는 프로그램 코드(1218)을 저장하는데 이용된 물리적 또는 유형의 저장 장치이다. 컴퓨터 판독가능 저장 매체(1224)는, 예컨대 제한 없이, 데이터 처리 장치(1200)에 연결되는 광학 또는 마그네틱 디스크 또는 연구적 저장 장치의 형태를 취할 수 있다.
대안적으로, 프로그램 코드(1218)는 컴퓨터 판독가능 신호 매체(1226)를 이용해서 데이터 처리 장치(1200)에 전송될 수 있다. 컴퓨터 판독가능 신호 매체(1226)는, 예컨대 제한 없이, 프로그램 코드(1218)를 포함하는 전파된 데이터 신호(propagated data signal)일 수 있다. 이 데이터 신호는 물리적, 광학적 및/또는 무선인 통신 링크를 거쳐 전송될 수 있는 전자계 신호, 광학 신호, 및/또는 다른 적절한 형태의 신호일 수 있다.
데이터 처리 시스템(1200)을 위해 설명된 다른 구성요소는 다른 실시예가 구현될 수 있는 방식으로 구조적 제한을 제공하도록 의미하지는 않는다. 다른 실례로 되는 실시예는 데이터 처리 시스템(1200)을 위해 설명된 것에 부가 또는 대신하는 구성요소를 포함하는 데이터 처리 시스템에서 구현될 수 있다. 도 12에 도시된 다른 구성요소는 도시된 실례로 되는 예로부터 변경될 수 있다. 다른 실시예는 소정의 하드웨어 장치 또는 프로그램 코드를 실행할 수 있는 시스템을 이용해서 구현될 수 있다. 하나의 예로서, 데이터 처리 시스템은 무기 구성요소(inorganic components)와 통합된 유기 구성요소(organic components)를 포함할 수 있고 및/또는 사람을 포함하는 전체적으로 유기 구성요소를 구비하여 구성될 수 있다. 예컨대, 저장 장치는 유기 반도체(organic semiconductor)로 구성될 수 있다.
따라서, 실례로 되는 실시예는 보안 데이터 패킷이 보안 수신지 장치로 송신될 수 있도록 하는 노드 네트워크의 노드를 위한 구성을 제공한다. 실례로 되는 실시예에 의해 설명된 노드 네트워크를 이용하면, 노드 네트워크를 통한 데이터의 전송 동안 발생되는 원하지 않았던 불일치의 가능성을 선택된 허용 오차 내로 감소시킬 수 있다.
다른 실례로 되는 실시예의 설명이 실례 및 설명의 목적을 위해 제공되고, 개시된 형태로 실시예를 엄격하게 하거나 제한하도록 의도하는 것은 아니다. 많은 변형 및 변경이 당업자에게는 명백하게 될 것이다. 더욱이, 다른 실례로 되는 실시예는 다른 실례로 되는 실시예와 비교하여 다른 특징을 제공할 수 있다. 선택된 실시예 또는 실시예들은 실시예의 원리, 실제적 적용을 가장 잘 설명하기 위해, 그리고 다른 당업자가 고려된 특정 이용에 대해 적절한 것으로서 다양한 변형을 갖는 다양한 실시예를 위한 개시를 이해할 수 있도록 선택되어 설명된다.

Claims (20)

  1. 노드 네트워크를 통해 보안 데이터 패킷을 전송하기 위한 방법으로서, 상기 방법은:
    소정의 스케쥴을 확립하는 단계로서, 상기 소정의 스케쥴은 노드 네트워크를 통한 소정의 경로에 따른 노드 네트워크 내의 각 노드가 노드 네트워크를 통해 소정의 노드 경로를 따라 보안 데이터 패킷을 전송하는 특정 시간과 소정의 노드 경로를 따라 전송된 보안 데이터 패킷이 노드 네트워크 내의 각 노드에서 수신되는 특정 시간을 식별하고,
    노드 경로에 따른 각각의 노드가 보안 데이터 패킷을 수신하도록 스케쥴되는 시간을 결정할 때 소정의 노드 경로에 따른 노드들 사이의 전파 지연이 고려되고,
    각각의 노드는 상기 소정의 스케쥴을 기초로 보안 데이터 패킷을 전송하는, 단계;
    노드 네트워크의 노드(112)에서 비보안 입력의 세트(203)에 있는 비보안 데이터 패킷과 다수의 보안 입력(205)에 있는 보안 데이터 패킷을 수신하는 단계로서,
    보안 데이터 패킷은 다수의 보안 수신지 장치(111)로 송신되도록 승인되고,
    비보안 데이터 패킷은 다수의 보안 수신지 장치(111)로 송신되도록 승인되지 않는, 단계;
    상기 소정의 스케쥴을 기초로 출력 데이터 스트림(220)을 형성하도록 보안 데이터 패킷과 비보안 데이터 패킷을 통합하는 단계; 및
    보안 데이터 패킷이 에그레스 노드에 노달할 때까지 상기 소정의 노드 경로를 따라 다음 노드로 보안 데이터 패킷과 비보안 데이터 패킷을 포함하는 출력 데이터 스트림(220)을 송신하는 단계;를 포함하는, 방법.
  2. 제1항에 있어서,
    상기 소정의 스케쥴을 기초로 출력 데이터 스트림(220)을 형성하도록 보안 데이터 패킷과 비보안 데이터 패킷을 통합하는 단계는:
    비보안 데이터 패킷을 이용해서 출력 데이터 스트림(220)을 형성하는 단계; 및
    상기 소정의 스케쥴을 기초로 각각의 보안 데이터 패킷을 출력 데이터 스트림(220)으로 삽입하는 단계;를 포함하는, 방법.
  3. 제2항에 있어서,
    상기 소정의 스케쥴을 기초로 각각의 보안 데이터 패킷을 출력 데이터 스트림(220)으로 삽입하는 단계는:
    각각의 보안 데이터 패킷이 다음 노드로 송신될 대응 시간을 기초로 각각의 보안 데이터 패킷을 출력 데이터 스트림(220)으로 삽입하는 단계;를 포함하는, 방법.
  4. 다수의 보안 수신지 장치로 보안 데이터 패킷을 전송하기 위한 방법으로서,
    소정의 스케쥴을 확립하는 단계로서, 상기 소정의 스케쥴은 노드 네트워크 내의 각 노드가 보안 데이터 패킷을 전송하는 특정 시간과 소정의 노드 경로를 따라 전송된 보안 데이터 패킷이 노드 네트워크 내의 각 노드에서 수신되는 특정 시간을 식별하고,
    소정의 노드 경로에 따른 각 노드가 보안 데이터 패킷을 수신하도록 스케쥴되는 시간을 결정할 때 소정의 노드 경로에 따른 노드들 사이의 전파 지연이 고려되는, 단계;
    노드 경로에 따른 각각의 노드가 상기 소정의 스케쥴을 기초로 보안 데이터 패킷을 전송하는 소정의 노드 경로를 확립하는 단계;
    노드 네트워크의 노드(116)에서 입력 데이터 스트림(312)을 수신하는 단계로서, 입력 데이터 스트림(312)은 보안 데이터 패킷과 비보안 데이터 패킷을 포함하는, 단계;
    입력 데이터 스트림(312) 내의 데이터 패킷이 보안 데이터 패킷인지를 결정하기 위해 상기 소정의 스케쥴에서 식별된 바와 같은 보안 데이터 패킷이 수신되는 특정 시간을 사용하는 단계;
    상기 소정의 스케쥴을 기초로 입력 데이터 스트림(312)에서 수신된 비보안 데이터 패킷으로부터 보안 데이터 패킷을 분리하는 단계로서,
    보안 데이터 패킷은 다수의 보안 수신지 장치(111)로 송신되도록 승인되고,
    비보안 데이터 패킷은 다수의 보안 수신지 장치(111)로 송신되도록 승인되지 않고,
    소정의 노드 경로는 보안 데이터 패킷이 다수의 보안 입력으로부터 노드 네트워크로 들어갈 수 있는 잉그레스 노드(ingress node)와 보안 데이터 패킷이 다수의 보안 수신지 장치(111)로 노드 네트워크를 빠져나올 수 있는 에그레스 노드(egress node)를 식별하는, 단계; 및
    보안 데이터 패킷이 에그레스 노드에 도달할 때까지 상기 소정의 노드 경로를 통해 보안 데이터 패킷을 노드의 다수의 보안 출력(313)으로부터 다수의 보안 출력 데이터 스트림(320)으로서 다수의 보안 수신지 장치(111)로 송신하는 단계;를 포함하는, 방법.
  5. 제4항에 있어서,
    상기 소정의 스케쥴을 기초로 입력 데이터 스트림(312)에서 수신된 비보안 데이터 패킷으로부터 보안 데이터 패킷을 분리하는 단계는:
    보안 데이터 패킷으로서 소정의 스케쥴에서 나타낸 특정 시간에서 수신된 입력 데이터 스트림(312)에서의 데이터 패킷을 식별하는 단계;를 포함하는, 방법.
  6. 제4항에 있어서,
    상기 보안 데이터 패킷을 다수의 보안 출력 데이터 스트림(320)으로서 다수의 보안 수신지 장치(111)로 송신하는 단계는:
    보안 데이터 패킷을 노드(116)의 다수의 보안 출력(313)으로부터 다수의 보안 출력 데이터 스트림(320)으로서 다수의 보안 수신지 장치(111)로 송신하는 단계를 포함하되, 다수의 보안 수신지 장치(111)가 보안 서버, 보안 엔드-노드, 보안 엔드-장치 및 보안 웹 서버 중 적어도 하나를 포함하는, 방법.
  7. 제4항에 있어서,
    비보안 데이터 패킷을 노드(116)의 비보안 출력의 세트(313)로부터 비보안 출력 데이터 스트림의 세트(318)로서 비보안 수신지 장치의 세트(110)로 송신하는 단계를 더 포함하되, 비보안 데이터 패킷이 비보안 승인된 데이터 패킷 및 비보안 비승인된 데이터 패킷 중 적어도 하나를 포함하는, 방법.
  8. 노드 네트워크 내의 노드(112)로서, 노드(112)가:
    보안 데이터 패킷을 수신하도록 구성된 하드웨어 장비를 포함하는 다수의 보안 입력(205)으로서, 상기 보안 데이터 패킷은 다수의 보안 수신지 장치(111)로 송신되도록 승인된, 다수의 보안 입력(205);
    비보안 데이터 패킷을 수신하도록 구성된 하드웨어 장비를 포함하는 비보안 입력의 세트(203)로서, 상기 비보안 데이터 패킷은 다수의 보안 수신지 장치(111)로 송신되도록 승인되지 않은, 비보안 입력의 세트(203);
    타이밍 콘트롤러(210)로서, 상기 타이밍 콘트롤러(210)는 소정의 스케쥴을 기초로 보안 데이터 패킷과 비보안 데이터 패킷의 출력 데이터 스트림(220)으로의 통합을 제어하도록 구성된 하드웨어 장비를 포함하고,
    상기 소정의 스케쥴은 노드 네트워크 내의 각 노드가 노드 네트워크를 통해 선택 노드의 소정의 노드 경로를 따라 보안 데이터 패킷을 전송하는 특정 시간과 소정의 노드 경로를 따라 전송된 보안 데이터 패킷이 노드 네트워크 내의 각 노드에서 수신되는 특정 시간을 식별하고,
    노드 경로에 따른 각각의 노드가 보안 데이터 패킷을 수신하도록 스케쥴되는 시간을 결정할 때 소정의 노드 경로에 따른 노드들 사이의 전파 지연이 고려되는, 타이밍 콘트롤러(210); 및
    보안 데이터 패킷이 에그레스 노드에 도달할 때까지 소정의 노드 경로에서 노드들을 선택하는 다음 노드로 출력 데이터 스트림(220)을 송신하도록 구성된 하드웨어 장비를 포함하는 다수의 출력(204);을 포함하는, 노드.
  9. 제8항에 있어서,
    비보안 입력의 세트(203)로부터 비보안 데이터 패킷을 수신하고 비보안 데이터 패킷을 다수의 출력(204)으로 송신하도록 구성된 제1 네트워킹 장치(206); 및
    다수의 보안 입력(205)으로부터 보안 데이터 패킷을 수신하고 보안 데이터 패킷을 다수의 출력(204)으로 송신하도록 구성된 제2 네트워킹 장치(208);를 더 포함하는, 노드.
  10. 제9항에 있어서,
    타이밍 콘트롤러(210)가 소정의 스케쥴을 이용해서 다수의 보안 입력(205), 비보안 입력의 세트(203), 다수의 출력(204), 제1 네트워킹 장치(206) 및 제2 네트워킹 장치(208) 중 적어도 하나를 제어하도록 구성되는, 노드.
  11. 제9항에 있어서,
    제1 네트워킹 장치(206)는 버퍼의 세트를 포함하는, 노드.
  12. 제9항에 있어서,
    제2 네트워킹 장치(208)는 버퍼의 세트를 포함하는, 노드.
  13. 제8항에 있어서,
    비보안 입력의 세트(203)는 임의의 보안 데이터 패킷을 수신하도록 지정되지 않은, 노드.
  14. 제8항에 있어서,
    비보안 입력의 세트(203)가 비보안 소스 장치의 세트(108)로부터 비보안 데이터 패킷을 수신하도록 구성되고, 다수의 보안 입력(205)이 다수의 보안 소스 장치(109)로부터 보안 데이터 패킷을 수신하도록 구성되는, 노드.
  15. 제8항에 있어서,
    비보안 데이터 패킷은 비보안 승인 데이터 패킷 및 비보안 비승인 데이터 패킷 중 적어도 하나를 포함하는, 노드.
  16. 노드 네트워크 내의 노드(116)로서, 노드(116)가:
    입력(302)으로서, 상기 입력(302)은 노드 네트워크의 소정의 노드 경로에 있는 이전 노드로부터 입력 데이터 스트림(312)을 수신하도록 구성된 하드웨어 장비를 포함하고,
    입력 데이터 스트림(312)은 보안 데이터 패킷과 비보안 데이터 패킷을 포함하고,
    보안 데이터 패킷은 보안 수신지 장치(111)로 송신되도록 승인되고, 비보안 데이터 패킷은 보안 수신지 장치(111)로 송신되도록 승인되지 않는, 입력(302);
    타이밍 콘트롤러(310)로서, 상기 타이밍 콘트롤러(310)는 소정의 스케쥴을 기초로 입력 데이터 스트림(312)에서 수신된 비보안 데이터 패킷으로부터 보안 데이터 패킷을 분리하도록 구성된 하드웨어 장비를 포함하고,
    상기 소정의 스케쥴은 소정의 노드 경로를 따라 이전 노드가 보안 데이터 패킷을 전송하는 특정 시간과 소정의 노드 경로를 따라 전송된 보안 데이터 패킷이 노드 네트워크 내의 각 노드에서 수신되는 특정 시간을 식별하고,
    노드 경로에 따른 각각의 노드가 보안 데이터 패킷을 수신하도록 스케쥴되는 시간을 결정할 때 소정의 노드 경로에 따른 노드들 사이의 전파 지연이 고려되고, 및
    타이밍 콘트롤러(310)는 입력 데이터 스트림(312) 내의 데이터 패킷이 보안 데이터 패킷인지를 결정하기 위해 상기 소정의 스케쥴에서 식별된 바와 같은 보안 데이터 패킷이 수신되는 특정 시간을 사용하도록 구성되는, 타이밍 콘트롤러(310); 및
    보안 데이터 패킷이 에그레스 노드에 도달할 때까지 보안 데이터 패킷을 보안 출력 데이터 스트림(320)으로서 보안 수신지 장치(111)로의 소정의 스케쥴을 기초로 소정의 노드 경로 내의 다음 노드로 송신하도록 구성된 하드웨어 장비를 포함하는 보안 출력(313);을 포함하는, 노드.
  17. 제16항에 있어서,
    비보안 데이터 패킷을 비보안 출력 데이터 스트림(318)으로서 비보안 수신지 장치(110)로 송신하도록 구성된 하드웨어 장비를 포함하는 비보안 출력(311)을 더 포함하는, 노드.
  18. 제17항에 있어서,
    입력(302)으로부터 비보안 데이터 패킷을 수신하고 비보안 데이터 패킷을 비보안 출력(311)으로 송신하도록 구성된 제1 네트워킹 장치(306); 및
    입력(302)으로부터 보안 데이터 패킷을 수신하고 보안 데이터 패킷을 보안 출력(313)으로 송신하도록 구성된 제2 네트워킹 장치(308);를 더 포함하는, 노드.
  19. 제18항에 있어서,
    타이밍 콘트롤러(310)는 소정의 스케쥴을 이용해서 입력(302), 보안 출력(313), 비보안 출력(311), 제1 네트워킹 장치(306) 또는 제2 네트워킹 장치(308) 중 적어도 하나를 제어하도록 구성되는, 노드.
  20. 제16항에 있어서,
    비보안 데이터 패킷은 비보안 승인 데이터 패킷 또는 비보안 비승인 데이터 패킷 중 적어도 하나를 포함하는, 노드.
KR1020130091375A 2012-10-31 2013-08-01 보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드 KR102144594B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/664,966 2012-10-31
US13/664,966 US9813384B2 (en) 2012-10-31 2012-10-31 Time-locked network and nodes for exchanging secure data packets

Publications (2)

Publication Number Publication Date
KR20140055954A KR20140055954A (ko) 2014-05-09
KR102144594B1 true KR102144594B1 (ko) 2020-08-14

Family

ID=49551519

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130091375A KR102144594B1 (ko) 2012-10-31 2013-08-01 보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드

Country Status (7)

Country Link
US (1) US9813384B2 (ko)
EP (2) EP2728833B1 (ko)
JP (1) JP6475910B2 (ko)
KR (1) KR102144594B1 (ko)
CN (1) CN103795705B (ko)
AU (1) AU2013207584B2 (ko)
SG (2) SG2013080338A (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10057218B2 (en) * 2014-07-28 2018-08-21 The Boeing Company Network address-based encryption
WO2017082779A1 (en) * 2015-11-09 2017-05-18 Telefonaktiebolaget Lm Ericsson (Publ) Packet processing technique for a communication network
US20180227239A1 (en) * 2017-02-06 2018-08-09 Honeywell International Inc. Efficient message combining communication exchange system
US11914686B2 (en) 2021-10-15 2024-02-27 Pure Storage, Inc. Storage node security statement management in a distributed storage cluster
US20230306439A1 (en) * 2022-03-23 2023-09-28 Keel Coleman System, method, and apparatus registering documentation of training on a distributed ledger

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050058149A1 (en) * 1998-08-19 2005-03-17 Howe Wayne Richard Time-scheduled and time-reservation packet switching
US20070071007A1 (en) * 2005-09-28 2007-03-29 Canon Kabushiki Kaisha Decoupled header and packet processing in ipsec
US20110087879A1 (en) * 2009-10-13 2011-04-14 Naresh Chand Communication network with secure access for portable users

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3788577T2 (de) * 1986-01-09 1994-07-07 Nippon Electric Co Paketvermitteltes Fernmeldenetz mit parallelen virtuellen Verbindungen zur Umweglenkung von Nachrichtenpaketen.
JPS62214744A (ja) * 1986-03-17 1987-09-21 Hitachi Ltd パケツト伝送方式
US4881263A (en) * 1987-09-25 1989-11-14 Digital Equipment Corporation Apparatus and method for secure transmission of data over an unsecure transmission channel
US5761417A (en) * 1994-09-08 1998-06-02 International Business Machines Corporation Video data streamer having scheduler for scheduling read request for individual data buffers associated with output ports of communication node to one storage node
ATE299326T1 (de) * 1997-04-01 2005-07-15 Ericsson Telefon Ab L M Verfahren und system zur gesicherten datenübertragung
US6611519B1 (en) 1998-08-19 2003-08-26 Swxtch The Rules, Llc Layer one switching in a packet, cell, or frame-based network
US7212551B1 (en) * 2001-11-13 2007-05-01 Nortel Networks Limited Time-coordination in a burst-switching network
JP4409991B2 (ja) * 2004-03-01 2010-02-03 富士通株式会社 リンクアグリゲーションを用いた伝送制御システム
JP4388464B2 (ja) * 2004-12-07 2009-12-24 株式会社日立製作所 パケット中継装置およびパケット通信ネットワーク
JP5205075B2 (ja) * 2008-02-13 2013-06-05 パナソニック株式会社 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置
US9015302B2 (en) * 2011-02-16 2015-04-21 The Boeing Company Scheduled network management
IL214830A0 (en) * 2011-08-25 2012-02-29 Elta Systems Ltd Network environment separation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050058149A1 (en) * 1998-08-19 2005-03-17 Howe Wayne Richard Time-scheduled and time-reservation packet switching
US20070071007A1 (en) * 2005-09-28 2007-03-29 Canon Kabushiki Kaisha Decoupled header and packet processing in ipsec
US20110087879A1 (en) * 2009-10-13 2011-04-14 Naresh Chand Communication network with secure access for portable users

Also Published As

Publication number Publication date
SG2013080338A (en) 2014-05-29
CN103795705B (zh) 2018-06-05
AU2013207584B2 (en) 2016-10-06
US20140122736A1 (en) 2014-05-01
AU2013207584A1 (en) 2014-05-15
US9813384B2 (en) 2017-11-07
EP2728833B1 (en) 2015-06-17
SG10201507734WA (en) 2015-10-29
KR20140055954A (ko) 2014-05-09
JP6475910B2 (ja) 2019-02-27
EP2728833A1 (en) 2014-05-07
CN103795705A (zh) 2014-05-14
JP2014093776A (ja) 2014-05-19
EP2940965A1 (en) 2015-11-04
EP2940965B1 (en) 2017-04-26

Similar Documents

Publication Publication Date Title
US9930013B2 (en) Control of out-of-band multipath connections
US10044760B2 (en) Policy rule based on a requested behavior
KR102144594B1 (ko) 보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드
US10904288B2 (en) Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation
US9462001B2 (en) Computer network access control
Szymanski The “cyber security via determinism” paradigm for a quantum safe zero trust deterministic internet of things (IoT)
US10193868B2 (en) Safe security proxy
US9007962B2 (en) Deadlock-free routing using edge-disjoint sub-networks
IL206067A (en) Method for securing a two-way communication channel and device for implementing the method
Lin et al. Cooperation or competition? Coexistence of safety and security in next-generation Ethernet-based automotive networks
US11544393B2 (en) Securely accessing offline data with indirect communication
US20200128042A1 (en) Communication method and apparatus for an industrial control system
CN103237036A (zh) 一种实现内外网物理隔断的装置
CN103209191A (zh) 一种实现内外网物理隔断的方法
EA036842B1 (ru) Устройство и способ для управления конфигурацией сети связи
EP3266172A1 (en) Application of network flow rule action based on packet counter
US10547532B2 (en) Parallelization of inline tool chaining
US20180227271A1 (en) Method for transmitting information between two domains with distinct security levels
US20170331838A1 (en) Methods and computing devices to regulate packets in a software defined network
US20150295852A1 (en) Protecting and tracking network state updates in software-defined networks from side-channel access
US11929990B1 (en) Dynamic management of servers based on environmental events
Hirschler et al. Secure Deterministic L2/L3 Ethernet Networking for Integrated Architectures
Giacometti Authorizing access to edge resources using 5G device authentication
Paul et al. SYN FLOODING ATTACK PREVENTION USING A NOVEL APPROACH: HRTE ALGORITHM AND COMPARATIVE ANALYSIS WITH OPTIMIZING ALGORITHM
US20170346734A1 (en) Service insertion forwarding

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right