KR102321930B1 - Apparatus and method for communication based on dual zero client - Google Patents

Apparatus and method for communication based on dual zero client Download PDF

Info

Publication number
KR102321930B1
KR102321930B1 KR1020200181903A KR20200181903A KR102321930B1 KR 102321930 B1 KR102321930 B1 KR 102321930B1 KR 1020200181903 A KR1020200181903 A KR 1020200181903A KR 20200181903 A KR20200181903 A KR 20200181903A KR 102321930 B1 KR102321930 B1 KR 102321930B1
Authority
KR
South Korea
Prior art keywords
network
communication
data
line
zero client
Prior art date
Application number
KR1020200181903A
Other languages
Korean (ko)
Inventor
남수만
박영선
최상영
Original Assignee
주식회사 두두아이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 두두아이티 filed Critical 주식회사 두두아이티
Application granted granted Critical
Publication of KR102321930B1 publication Critical patent/KR102321930B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

A server providing a network separation service includes: a communication unit; and a processor which supports communication related to an Internet network or a business network. The processor provides communication using the Internet network to a zero client through a connection between the zero client and the Internet network in a first communication mode for performing the communication based on the Internet network, and may provide the communication using the business network to the zero client through the connection between the zero client and the business network, in a second communication mode for performing the communication based on the business network.

Description

듀얼 제로 클라이언트 기반의 통신 방법 및 장치 {APPARATUS AND METHOD FOR COMMUNICATION BASED ON DUAL ZERO CLIENT }DUAL ZERO CLIENT BASED COMMUNICATION METHOD AND DEVICE {APPARATUS AND METHOD FOR COMMUNICATION BASED ON DUAL ZERO CLIENT }

본 발명은 듀얼 제로 클라이언트 기반의 통신 방법 및 장치에 관한 것이다.The present invention relates to a dual zero client-based communication method and apparatus.

국방부 등과 같은 대형 기관의 시스템에서는 정보 보안을 목적으로 인터넷망과 업무망을 분리해서 사용하고 있다. 이러한 망 분리는 물리적인 망 분리 기술을 사용하여 두 대의 PC를 인터넷 망과 업무망으로 구분하여 사용하고 있다. 두 대 이상의 PC를 사용하여 물리적인 망 분리를 진행하는 경우 시스템 구축에 비용이 많이 소요될 수 있으며, 이러한 분리된 망 내에서는 상호 데이터 송수신이 어려운 문제가 있다.In systems of large institutions such as the Ministry of National Defense, the Internet network and the business network are used separately for the purpose of information security. This network separation uses a physical network separation technology to divide two PCs into an Internet network and a business network. If two or more PCs are used to physically separate the network, it may take a lot of cost to build the system, and there is a problem in that it is difficult to transmit and receive data within the separated network.

이에 따른 본 발명은 듀얼 제로 클라이언트 기반의 통신 방법 및 장치에 관한 것으로, 보다 구체적으로, VDI(Virtual Desktop Infra) 시스템에 적용된 듀얼 제로 클라이언트를 이용하여 보다 저렴한 비용으로 업무망과 인터넷망을 분리할 수 있는 수단을 제공하고자 한다. 또한, 인터넷 망과 업무 망 상의 연계성을 향상시킬 수 있는 수단을 제공하고자 한다.Accordingly, the present invention relates to a dual-zero client-based communication method and apparatus, and more specifically, to a dual-zero client applied to a VDI (Virtual Desktop Infrastructure) system to separate a business network and an Internet network at a lower cost. We want to provide you with a means. In addition, it is intended to provide a means to improve the connectivity between the Internet network and the business network.

본 발명의 일측면에 따르면, 본 발명의 일측면에 따르면, 제로 클라이언트 ASIC(Application Specific Integrated Circuit) 및 소프트웨어 스위치를 이용하여 업무 망과 인터넷망을 분리하여 보안성을 향상시키는 VDI(Virtual Desktop Infra) 시스템을 포함한다.According to one aspect of the present invention, according to an aspect of the present invention, a virtual desktop infrastructure (VDI) that improves security by separating a business network from an Internet network using a zero client ASIC (Application Specific Integrated Circuit) and a software switch includes the system.

일 실시예에 따른 망 분리 서비스를 제공하는 서버는, 통신부; 및 인터넷 망 또는 업무 망에 관련된 통신을 지원하는 프로세서를 포함하고, 상기 프로세서는, 상기 인터넷 망에 기반한 통신을 수행하기 위한 제1 통신 모드에서, 제로 클라이언트와 인터넷 망의 연결을 통해 상기 제로 클라이언트에 상기 인터넷 망을 이용한 통신을 제공하고, 상기 업무 망에 기반한 통신을 수행하기 위한 제2 통신 모드에서, 상기 제로 클라이언트와 업무 망의 연결을 통해 상기 제로 클라이언트에 상기 업무 망을 이용한 통신을 제공할 수 있다.A server providing a network separation service according to an embodiment includes: a communication unit; and a processor supporting communication related to an Internet network or a business network, wherein the processor is configured to provide the zero client through a connection between the zero client and the Internet network in a first communication mode for performing communication based on the Internet network. In a second communication mode for providing communication using the Internet network and performing communication based on the business network, communication using the business network can be provided to the zero client through the connection between the zero client and the business network have.

상기 프로세서는, 상기 인터넷망과 상기 업무망 사이에 형성된 회선을 통해 상기 인터넷망과 상기 업무망 사이의 직접적인 데이터 통신을 지원할 수 있다.The processor may support direct data communication between the Internet network and the business network through a line formed between the Internet network and the business network.

상기 회선은, 상기 인터넷 망으로부터 상기 업무망으로 데이터를 전송하는 제1 회선 및 상기 업무망에서 상기 인터넷망으로 데이터를 송신하는 제2 회선을 포함하고, 상기 제1 회선 및 상기 제2 회선은 일방향 통신을 지원할 수 있다.The line includes a first line for transmitting data from the Internet network to the business network and a second line for transmitting data from the business network to the Internet network, wherein the first line and the second line are one-way communication can be supported.

상기 프로세서는, 상기 제1 회선을 통해 전송될 데이터에 대하여 제1 보안 정책을 적용한 검증을 수행하고, 상기 제1 보안 정책을 통한 검증이 성공한 데이터에 대해서만 통신을 허용하고, 상기 제2 회선을 통해 전송될 데이터에 대하여 제2 보안 정책을 적용한 검증을 수행하고, 상기 제2 보안 정책을 통한 검증이 성공한 데이터에 대해서만 통신을 허용하고, 상기 제2 보안 정책은 상기 제1 보안 정책에 비해 난이도(보안 수준)가 높을 수 있다.The processor performs verification by applying a first security policy to data to be transmitted through the first line, permits communication only to data for which verification through the first security policy succeeds, and through the second line Verification by applying the second security policy to data to be transmitted is performed, communication is allowed only for data that has been verified through the second security policy, and the second security policy is more difficult (security) than the first security policy. level) can be high.

상기 프로세서는, 상기 제1 회선 및 상기 제2 회선을 통해 전송되는 데이터에 대한 로그 정보를 저장할 수 있다.The processor may store log information on data transmitted through the first line and the second line.

상기 프로세서는 상기 제1 회선을 통해 전송되는 데이터가 문서 파일에 해당하는 경우, 문서 파일은 이미지 형식으로 파일 변환을 수행하고, 상기 이미지 형식으로 변환된 파일을 상기 제1 회선을 통해 상기 업무 망으로 전송할 수 있다.When the data transmitted through the first line corresponds to the document file, the processor converts the document file into an image format, and transfers the converted file to the image format to the business network through the first line. can be transmitted

상기 문서 파일의 원본은 상기 업무망과 구별된 별도의 저장소에 저장되고, 상기 저장소에 저장된 문서 파일의 원본은 샌드박스 환경이 구축된 상태에서 상기 제2 제로 클라이언트를 통한 접근을 통해 편집될 수 있다.The original document file is stored in a separate storage separate from the business network, and the original document file stored in the storage can be edited through access through the second zero client in a state in which a sandbox environment is established. .

상기 제로 클라이언트는 제1 모니터 및 제2 모니터와 연결되고, 상기 제1 모니터를 통해 상기 인터넷 망을 이용한 통신이 제공되고, 상기 제2 모니터를 통해 상기 업무 망을 이용한 통신이 제공되고, 상기 제1 모니터와 상기 제2 모니터 사이를 횡단하는 드래그 입력을 통해 상기 인터넷 망과 상기 업무 망 사이의 직접적인 데이터 전송이 수행될 수 있다.The zero client is connected to a first monitor and a second monitor, communication using the Internet network is provided through the first monitor, communication using the business network is provided through the second monitor, and the first Direct data transmission between the Internet network and the business network may be performed through a drag input traversing between the monitor and the second monitor.

도 1은 기존 물리적 망 분리 방식과 본원의 망 분리 방식의 차이점을 설명하기 위한 도면이다.
도 2는 일 실시예에 따른 듀얼 제로 클라이언트의 구성을 예시적으로 나타내는 도면이다.
도 3은 일 실시예에 따른 망 분리 서비스를 제공하는 시스템을 개략적으로 도시하는 도면이다.
도 4는 일 실시예에 따른 서버의 구성을 도시하는 블록도이다.
1 is a diagram for explaining the difference between the existing physical network separation method and the network separation method of the present application.
2 is a diagram exemplarily illustrating a configuration of a dual zero client according to an embodiment.
3 is a diagram schematically illustrating a system for providing a network separation service according to an embodiment.
4 is a block diagram illustrating a configuration of a server according to an embodiment.

실시 예들에 대한 특정한 구조적 또는 기능적 설명들은 단지 예시를 위한 목적으로 개시된 것으로서, 다양한 형태로 변경되어 실시될 수 있다. 따라서, 실시 예들은 특정한 개시형태로 한정되는 것이 아니며, 본 명세서의 범위는 기술적 사상에 포함되는 변경, 균등물, 또는 대체물을 포함한다.Specific structural or functional descriptions of the embodiments are disclosed for the purpose of illustration only, and may be changed and implemented in various forms. Accordingly, the embodiments are not limited to the specific disclosure form, and the scope of the present specification includes changes, equivalents, or substitutes included in the technical spirit.

제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.Although terms such as first or second may be used to describe various components, these terms should be interpreted only for the purpose of distinguishing one component from another. For example, a first component may be termed a second component, and similarly, a second component may also be termed a first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.When a component is referred to as being “connected to” another component, it may be directly connected or connected to the other component, but it should be understood that another component may exist in between.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The singular expression includes the plural expression unless the context clearly dictates otherwise. In the present specification, terms such as "comprise" or "have" are intended to designate that the described feature, number, step, operation, component, part, or combination thereof exists, but one or more other features, number, step , it should be understood that it does not preclude the possibility of the existence or addition of , operation, components, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 해당 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical and scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related art, and should not be interpreted in an ideal or excessively formal meaning unless explicitly defined in the present specification. does not

이하, 실시예들을 첨부된 도면들을 참조하여 상세하게 설명한다. 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조 부호를 부여하고, 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. In the description with reference to the accompanying drawings, the same components are assigned the same reference numerals regardless of the reference numerals, and overlapping descriptions thereof will be omitted.

도 1은 기존 물리적 망 분리 방식과 본원의 망 분리 방식의 차이점을 설명하기 위한 도면이다.1 is a diagram for explaining the difference between the existing physical network separation method and the network separation method of the present application.

도 1을 참고하면, 기존 국방부와 같은 대형 기관은 정보 보안을 위하여 시스템의 인터넷 망(110)과 업무망(120)을 분리하여 사용한다. 인터넷 망(110)은 그 기본적인 요소로 클라우드(111), 스위치(113, 114)를 포함할 수 있다.Referring to FIG. 1 , a large institution such as the existing Ministry of National Defense separates and uses the Internet network 110 and the business network 120 of the system for information security. The Internet network 110 may include a cloud 111 and switches 113 and 114 as its basic elements.

기존의 물리적 망 분리 방식은 인터넷 PC와 업무망 PC로 분리된 물리적 시스템(130)을 이용하여 각각의 망이 서로 물리적으로 분리된 구조를 취한다. 사용자는 인터넷 PC를 통해 스위치(113) 및 클라우드 서버(111)를 경유하여 인터넷 망에 접속할 수 있으며, 인터넷 PC와 구별된 업무망 PC를 통해 스위치(114)를 경유하여 업무 망(120)에 접속할 수 있다. 기존의 망 분리 방식은 반드시 서로 구별되는 PC(인터넷 PC, 업무망 PC)를 이용할 필요가 있으며, 인터넷망(110)과 업무망(120) 사이의 망 연계 파일 전송이 어려운 문제점이 있다.The existing physical network separation method takes a structure in which each network is physically separated from each other by using the physical system 130 separated into an Internet PC and a business network PC. The user can access the Internet network via the switch 113 and the cloud server 111 through the Internet PC, and can access the business network 120 via the switch 114 through the business network PC separated from the Internet PC. can In the existing network separation method, it is necessary to use distinct PCs (Internet PC, business network PC), and there is a problem in that it is difficult to transmit a network-linked file between the Internet network 110 and the business network 120 .

본원 발명은 기존 두개의 PC를 이용하는 물리적 망(130)의 사용 없이 적어도 하나의 제로 클라이언트를 포함하는 아키텍쳐(140)를 통하여 추가적인 PC 없이 인터넷망(110)과 업무망(120)을 분리할 수 있는 구성을 제공하고자 한다. 제로 클라이언트는 입력 장치(키보드, 마우스), 출력 장치(모니터)가 연결된 클라이언트가 외부 서버의 자원을 통해 컴퓨팅을 수행할 수 있는 장치에 해당함은 통상의 기술자가 이해할 것이다. 또한, 본원 발명은 클라우드 서버 내에 구비된 망연계 클라우드 서버(112)를 이용하여 인터넷 망(110)과 업무망(120) 사이의 데이터 전송을 직접 수행할 수 있는 수단을 제공할 수 있다. 보다 구체적으로, 인터넷망(110)과 업무망(120) 사이에 형성된 회선(151, 161)을 통해 인터넷망(110)과 업무망(120) 사이의 직접적인 데이터 통신이 수행될 수 있다. 인터넷망(110)과 업무망(120) 사이의 직접적인 데이터 통신이 수행되기 이전에 인증 절차가 진행될 수 있는데, 이는 외부 서버(미도시)를 통해 이루어질 수 있으며, 이에 대해서는 이하 첨부될 도면을 통해 보다 상세히 설명된다.The present invention can separate the Internet network 110 and the business network 120 without an additional PC through the architecture 140 including at least one zero client without the use of the physical network 130 using two existing PCs. We want to provide you with a configuration. It will be understood by those skilled in the art that the zero client corresponds to a device to which an input device (keyboard, mouse) and an output device (monitor) connected client can perform computing through resources of an external server. In addition, the present invention may provide a means for directly performing data transmission between the Internet network 110 and the business network 120 using the network-linked cloud server 112 provided in the cloud server. More specifically, direct data communication between the Internet network 110 and the business network 120 may be performed through the lines 151 and 161 formed between the Internet network 110 and the business network 120 . An authentication procedure may be performed before direct data communication between the Internet network 110 and the business network 120 is performed, which may be performed through an external server (not shown), and for this, more through the accompanying drawings described in detail.

도 2는 일 실시예에 따른 듀얼 제로 클라이언트의 구성을 예시적으로 나타내는 도면이다.2 is a diagram exemplarily illustrating a configuration of a dual zero client according to an embodiment.

듀얼 제로 클라이언트(200)는 제로 클라이언트 ASIC(210, 220) 및 소프트웨어 스위치(230)를 포함할 수 있다.The dual zero client 200 may include a zero client ASIC 210 , 220 and a software switch 230 .

듀얼 제로 클라이언트(200)는 내부의 제로 클라이언트 ASIC(Application Specific Integrated Circuit) #1(210) 및 제로 클라이언트 ASIC #2(220) 및 소프트웨어 스위치(230)를 통해 인터넷망과 업무망을 분리할 수 있다. 각각의 제로 클라이언트 ASIC(210, 220)는 NIC(Network interface card)를 통해 각각 인터넷 망과 업무망에 연결되어 있다.The dual zero client 200 may separate the Internet network and the business network through the internal zero client ASIC (Application Specific Integrated Circuit) #1 210 and the zero client ASIC #2 220 and the software switch 230 . . Each of the zero client ASICs 210 and 220 is connected to the Internet network and the business network through a network interface card (NIC), respectively.

각각의 제로 클라이언트 ASIC(210, 220) 및 소프트웨어 스위치(230) 사이에는 각 망의 서버를 제어하기 위한 모니터, 키보드, 마우스 선들이 8개(모니터 4개, 키보드 2개, 마우스 2개)가 연결되어 있다.Between each zero client ASIC (210, 220) and the software switch 230, 8 monitors, keyboard, and mouse lines (4 monitors, 2 keyboards, 2 mice) are connected to control the server of each network. has been

사용자는 소프트웨어 스위치(230)를 통해 인터넷 망 또는 업무망 중 어느 하나를 선택하고, 소프트웨어 스위치(230)에 연결된 키모드와 마우스를 통해 소정의 사용자 입력을 제공할 수 있다. 키보드와 마우스를 통해 입력된 데이터는 제로 클라이언트 ASIC(210, 220)를 통해 선택된 망의 서버에 전달될 수 있다.A user may select any one of an Internet network or a business network through the software switch 230 , and may provide a predetermined user input through a key mode and a mouse connected to the software switch 230 . Data input through the keyboard and mouse may be transmitted to the server of the selected network through the zero client ASICs 210 and 220 .

또한, 사용자는 마우스 또는 키보드를 통해 망 전환을 수행할 수 있다. 예를 들어, 마우스로 망 전환을 하는 경우, 마우스 포인터가 미리 결정된 소정의 영역(예를 들어, 모니터의 좌측 상단 모서리 등)에 위치하는 경우, 다른 망으로 전환(예를 들어, 인터넷망에서 업무 망으로, 또는 그 반대로) 전환되거나, 키보드의 특정키 입력(예를 들어, Num Lock 키를 두번 누른 후 F1 선택)에 기초하여 망 전환이 수행될 수 있다.In addition, the user can perform network switching through a mouse or keyboard. For example, when switching networks with a mouse, when the mouse pointer is positioned in a predetermined area (eg, upper left corner of the monitor, etc.), switching to another network (eg, working in the Internet network) network switching (and vice versa), or network switching may be performed based on a specific keystroke on the keyboard (eg, selecting F1 after pressing the Num Lock key twice).

일 실시예에 따르면, 사용자는 제로 클라이언트(200)에 연결된 제1 모니터를 통해 인터넷 망에 접속하여 일련의 작업을 수행함과 동시에, 제로 클라이언트(200)에 연결된 제2 모니터를 통해 업무 망에 접속하여 일련의 작업을 수행할 수 있다. 위 실시예에서, 사용자는 제1 모니터 상에 존재하는 인터넷 망을 통해 접근 가능한 파일을 제2 모니터 상의 위치로 드래그함으로써, 인터넷 망을 통해 접근 가능한 파일을 업무 망으로 이동시킬 수 있다. 반대의 과정도 동일하게 진행될 수 있음은 통상의 기술자가 이해할 것이다. 인터넷 망과 업무망 사이의 데이터 전송되는 과정에서, 서버는 사전적으로 인증을 수행함으로써 보안성을 향상시킬 수 있다. 서버를 통해 수행되는 사전 인증 프로세스에 대해서는 이하 첨부되는 도면을 통해 보다 상세히 설명된다.According to one embodiment, the user accesses the Internet network through the first monitor connected to the zero client 200 and performs a series of tasks, and at the same time accesses the business network through the second monitor connected to the zero client 200 A series of actions can be performed. In the above embodiment, by dragging a file accessible through the Internet network existing on the first monitor to a location on the second monitor, the user can move the file accessible through the Internet network to the business network. It will be understood by those skilled in the art that the reverse process may be performed in the same manner. In the process of data transmission between the Internet network and the business network, the server can improve security by performing authentication in advance. The pre-authentication process performed through the server will be described in more detail below with reference to the accompanying drawings.

도 3은 일 실시예에 따른 망 분리 서비스를 제공하는 시스템을 개략적으로 도시하는 도면이다.3 is a diagram schematically illustrating a system for providing a network separation service according to an embodiment.

도 3을 참조하면, 제로 클라이언트(320)는 단일 클라이언트 기초하여 인터넷망(330) 및 업무망(340)에 접속할 수 있다. 앞서 설명된 바와 같이, 듀얼 모니터를 통해 제로 클라이언트(320)는 제1 모니터를 통해 인터넷망을 통한 작업을 수행하고, 제2 모니터를 통해 업무망을 통한 업무를 수행할 수 있다. 또한, 제로 클라이언트(320)는 제1 모니터와 제2 모니터 사이를 횡단하는 드래그 입력을 통해 인터넷 망과 업무 망 사이의 직접적인 데이터 전송(제1 회선(351) 또는 제2 회선(352)를 통한 데이터 통신)이 수행될 수 있다.Referring to FIG. 3 , the zero client 320 may access the Internet network 330 and the business network 340 based on a single client. As described above, through the dual monitor, the zero client 320 may perform a job through the Internet network through the first monitor, and may perform a job through the business network through the second monitor. In addition, the zero client 320 directly transmits data between the Internet network and the business network through a drag input traversing between the first monitor and the second monitor (data through the first line 351 or the second line 352 ) communication) can be performed.

또한, 단일 모니터를 통해 인터넷 망(330)과 업무 망(340)에 대한 통신 환경이 제공되는 경우, 소정의 사용자 입력에 기초하여 인터넷 망(330)과 업무 망(340) 사이의 전환이 이루어질 수 있고, 각각의 망과 관련된 화면의 전환도 이루어질 수 있다.In addition, when a communication environment for the Internet network 330 and the business network 340 is provided through a single monitor, switching between the Internet network 330 and the business network 340 may be performed based on a predetermined user input. Also, screens related to each network can be switched.

서버(310)는 제로 클라이언트(320)의 인터넷망(330) 또는 업무망(340)에 대한 접속을 제어할 수 있다. 서버(310)는 제로 클라이언트(320)와 연결되어 있는 것으로 도시되어 있으나, 인터넷망(330) 및 업무망(340) 모두와 연결 관계가 형성되어 있을 수 있다. 또한, 서버(310)는 도 1의 망 연계 클라우드 서버(112)의 역할을 수행할 수 있으며, 도 1에 도시된 바와 같이 인터넷망(330)의 일부인 클라우드 서버(111)의 형태로 구현될 수 있음은 통상의 기술자가 이해할 것이다.The server 310 may control the access of the zero client 320 to the Internet network 330 or the business network 340 . Although the server 310 is illustrated as being connected to the zero client 320 , a connection relationship may be formed with both the Internet network 330 and the business network 340 . In addition, the server 310 may perform the role of the network-linked cloud server 112 of FIG. 1 , and may be implemented in the form of a cloud server 111 that is a part of the Internet network 330 as shown in FIG. 1 . It will be understood by those skilled in the art.

서버(310)는 기 저장된 보안 정책에 따라 제로 클라이언트(320)에 대한 인증을 수행하고, 인증에 성공한 제로 클라이언트(320)에 한하여 인터넷망(330) 또는 업무망(340)에 대한 접속을 허용할 수 있다.The server 310 performs authentication for the zero client 320 according to a pre-stored security policy, and allows access to the Internet network 330 or the business network 340 only for the zero client 320 that has succeeded in authentication. can

일 실시예에 따르면, 보안 정책은 룰(Rule) 기반으로 이루어지는 제1 보안 정책이거나, 스코어링(Scoring) 기반으로 이루어지는 제2 보안 정책 중 어느 하나로 결정될 수 있다. 제1 보안 정책은 인증에 성공하는 모든 케이스가 정의되고, 정의된 인증이 완료된 경우, 인증에 성공한 것으로 결정하는 방식일 수 있다. 제2 보안 정책은 소정의 기준에 따라 점수가 부여되고, 부여된 총 점수가 소정의 임계치를 초과하는 경우 인증에 성공한 것으로 결정하는 방식일 수 있다.According to an embodiment, the security policy may be determined as either a first security policy based on a rule or a second security policy based on a scoring. The first security policy may be a method in which all cases in which authentication is successful are defined, and when the defined authentication is completed, it is determined that authentication is successful. The second security policy may be a method in which a score is given according to a predetermined criterion, and when the total score exceeds a predetermined threshold value, authentication is determined to be successful.

예를 들어, 인증은 기 저장된 MAC 어드레스에 제로 클라이언트(320)가 포함되는 지 여부에 기초하여 인증을 하는 방식, 사용자가 입력한 ID/PW에 기초하여 제로 클라이언트(320)를 인증하는 방식 등을 포함할 수 있으나, 인증을 수행하는 방식이 이에 한정되지 않음은 통상의 기술자가 이해할 것이다.For example, authentication includes a method of authenticating based on whether the zero client 320 is included in a pre-stored MAC address, a method of authenticating the zero client 320 based on the ID/PW input by the user, etc. may be included, but it will be understood by those skilled in the art that the method of performing authentication is not limited thereto.

일 실시예에 따르면, 서버(310)는 인터넷망(330)에 대한 접속을 위한 인증과 업무망(340)에 대한 접속을 위한 인증에 적용될 보안 정책을 상이하게 결정할 수 있다. 업무망(340)에 대한 접근은 보다 제한적으로 이루어질 필요가 있기 때문에, 서버(310)는 업무망(340)에 접속을 위한 보안 정책을 인터넷망(330)에 대한 접속을 위한 보안 정책보다 높은 수준의 보안 정책을 설정할 수 있다. 예를 들어, 서버(310)는 인터넷망(330) 접속을 위한 인증은 제로 클라이언트(320)의 MAC 어드레스에 기반하여 수행하지만, 업무망(340) 접속을 위한 인증은 MAC 어드레스에 기반한 인증과 더불어, 사용자의 ID/PW에 기반한 인증을 추가적으로 수행할 수 있다.According to an embodiment, the server 310 may determine different security policies to be applied to authentication for access to the Internet network 330 and authentication for access to the business network 340 . Since access to the business network 340 needs to be made more restrictive, the server 310 sets a security policy for access to the business network 340 at a higher level than the security policy for access to the Internet network 330 . security policy can be set. For example, the server 310 performs authentication for access to the Internet network 330 based on the MAC address of the zero client 320, but authentication for access to the business network 340 is performed along with authentication based on the MAC address. , authentication based on the user's ID/PW can be additionally performed.

일 실시예에 따르면, 서버(310)는 제로 클라이언트(320)가 인터넷망(330) 및 업무망(340) 사이에 형성된 다이렉트 회선(directed line)인 제1 회선(351) 및 제2 회선(352)를 통해 상호간에 직접적인 데이터 통신을 수행하도록 시스템을 제어할 수 있다. 보다 구체적으로, 제로 클라이언트(320)는 인터넷망(330)을 통해 접근 가능한 데이터를 제1 회선(351)을 통해 업무망(340)에 바로 송신할 수 있으며, 업무망(340)을 통해 접근 가능한 데이터를 제2 회선(352)를 통해 인터넷 망(330)에 바로 송신할 수 있다. 제1 회선(351) 및 제2 회선(352) 각각은 보안성을 위해 일방향 통신만을 지원할 수 있다.According to one embodiment, the server 310 has a first line 351 and a second line 352 that are a direct line formed between the Internet network 330 and the business network 340 in which the zero client 320 is a direct line (directed line). ) to control the system to perform direct data communication with each other. More specifically, the zero client 320 can directly transmit data accessible through the Internet network 330 to the business network 340 through the first line 351 , and can be accessed through the business network 340 . Data may be directly transmitted to the Internet network 330 through the second line 352 . Each of the first line 351 and the second line 352 may support only one-way communication for security.

서버(310)는 제1 회선(351) 또는 제2 회선(352)를 통해 직접 송신되는 데이터에 대한 검증을 사전적으로 수행할 수 있다. 서버(310)는 제1 회선(351) 및 제2 회선(352)에 직접 연결된 앞선 도 1의 망 연계 클라우드 서버(112)의 형태로 구현되어, 제1 회선(351) 및 제2 회선(352)을 통해 전송되는 데이터를 획득함으로써 데이터에 대한 검증을 수행하도록 구현될 수 있으나, 이에 한정되는 것은 아니고, 제로 클라이언트(320)로부터 직접 송신 예정인 데이터를 획득하여 검증을 수행할 수도 있다. 서버(310)는 제1 회선(351)을 통해 인터넷망(330)에서 업무망(340)으로 송신되는 데이터(예를 들어, 사용자가 인터넷 망(330)에서 업무 망(340)으로 복사한 데이터)에 미리 결정된 제3 보안 정책을 적용하여 검증을 수행하고, 검증이 완료된 데이터에 한하여 제1 회선(351)을 통해 업무망(340)에 전송될 수 있도록 통신을 제어할 수 있다. 마찬가지로, 서버(310)는 제2 회선(352)을 통해 업무망(340)에서 인터넷망(330)으로 송신되는 데이터(예를 들어, 사용자가 업무망(340)에서 인터넷 망(330)으로 복사한 데이터)에 미리 결정된 제4 보안 정책을 적용하여 검증을 수행하고, 검증이 완료된 데이터만이 제2 회선(352)을 통해 인터넷망(330)에 전송될 수 있도록 통신을 제어할 수 있다.The server 310 may pre-verify data directly transmitted through the first line 351 or the second line 352 . The server 310 is implemented in the form of the network-linked cloud server 112 of FIG. 1 directly connected to the first line 351 and the second line 352, the first line 351 and the second line 352 ) may be implemented to perform verification of data by obtaining data transmitted through, but is not limited thereto, and verification may be performed by directly obtaining data scheduled to be transmitted from the zero client 320 . The server 310 transmits data from the Internet network 330 to the business network 340 through the first line 351 (eg, data copied by the user from the Internet network 330 to the business network 340 ). ) by applying a predetermined third security policy to perform verification, and control communication so that only the verified data can be transmitted to the business network 340 through the first line 351 . Similarly, the server 310 transmits data from the business network 340 to the Internet network 330 through the second line 352 (eg, the user copies from the business network 340 to the Internet network 330 ). data) by applying a predetermined fourth security policy to perform verification, and control communication so that only verified data can be transmitted to the Internet network 330 through the second line 352 .

제3 보안 정책 및 제4 보안 정책은 해당 데이터가 전송 금지 데이터 목록에 포함되어 있는 지 여부, 전송 금지 식별자를 포함하고 있는 지 여부 등과 같이 데이터에 적용될 수 있는 임의의 정책을 포함할 수 있음은 통상의 기술자가 이해할 것이다.Generally, the third security policy and the fourth security policy may include arbitrary policies that can be applied to data, such as whether the data is included in the transmission prohibited data list, whether it contains a transmission prohibited identifier, etc. Technicians will understand.

일 실시예에 따르면, 제4 보안 정책은 제3 보안 정책에 비해 보다 높은 수준의 보안 정책이 설정될 수 있으며, 이는 업무망을 통해 접근할 수 있는 데이터는 보다 높은 보안성이 요구되기 때문이다. 보다 구체적으로, 제3 보안 정책이 전송 금지 데이터 목록에 전송 대상 데이터가 포함되어 있는 지 여부에 기초하여 결정되는 경우, 제4 보안 정책은 전송 데이터가 전송 금지 데이터 목록에 포함되어 있는 지 여부에 기초한 인증과 더불어 추가적인 ID/PW 또는 OTP에 기반한 인증에 기반하여 결정될 수 있다. 제시된 제3 보안 정책 및 제4 보안 정책은 예시적인 것이 불과하고, 제4 보안 정책이 제3 보안 정책에 비해 높은 수준으로 결정되는 임의의 방식으로 구현될 수 있음은 통상의 기술자가 이해할 것이다.According to an embodiment, a higher level security policy may be set in the fourth security policy than the third security policy, because data that can be accessed through the business network requires higher security. More specifically, when the third security policy is determined based on whether the transmission target data is included in the transmission prohibited data list, the fourth security policy is based on whether the transmission data is included in the transmission prohibited data list. It may be determined based on authentication based on additional ID/PW or OTP in addition to authentication. It will be understood by those skilled in the art that the presented third security policy and the fourth security policy are merely exemplary, and that the fourth security policy may be implemented in any manner determined at a higher level than the third security policy.

일 실시예에 따르면, 서버(310)는 제1 회선(351) 및 제2 회선(352)을 통해 전송되는 모든 데이터와 관련된 로그를 기록할 수 있다. 서버(310)는 제1 회선(351) 및 제2 회선(352)을 통해 이루어지는 모든 데이터 통신에 대한 로그 기록을 유지함으로써, 보안성을 향상시킬 수 있다.According to an embodiment, the server 310 may record logs related to all data transmitted through the first line 351 and the second line 352 . The server 310 may improve security by maintaining a log record of all data communication performed through the first line 351 and the second line 352 .

또한, 서버(310)는 제2 회선(352)를 통해 업무망(340)으로부터 인터넷망(330)으로 전송된 데이터의 이동/복사 경로를 지속적으로 추적하고, 추적된 이동 경로에 대한 데이터를 저장할 수 있다. 높은 보안성이 요구되는 업무망(340)의 파일의 이동 경로에 대한 지속적인 추적을 통해 서버(310)는 망연계 통신에 보안성을 제공할 수 있다.In addition, the server 310 continuously tracks the movement/copy path of data transmitted from the business network 340 to the Internet network 330 through the second line 352 , and stores data on the tracked movement path. can Through continuous tracking of the movement path of the file in the business network 340 requiring high security, the server 310 may provide security to network-linked communication.

일 실시예에 따르면 서버(310)는 보안성을 향상시키기 위하여 인터넷망(330)에서 업무망(340)으로 전송되는 문서 파일의 경우, 파일 형식을 이미지 형식(JPG 등)으로 변환하고, 이미지 형식으로 변환된 문서 파일을 업무망(340)에 전송할 수 있다. 보다 구체적으로, 이미지 형식의 변환된 문서 파일은 각각의 페이지를 캡처(screenshot)하는 방식으로 문서 파일이 변환된 것일 수 있다. 문서 파일의 파일 형식을 이미지 파일의 형태로 변환하는 경우, 원본 파일의 데이터를 그대로 이용하지 않더라도 문서 파일에 포함된 내용을 사용자가 열람할 수 있는 수단을 제공할 수 있다. 위 방식을 통해 원본 파일에 포함된 악성 코드에 대해 보다 보안성이 향상된 통신 수단을 제공할 수 있다. 서버(310)는 변환 전 문서 파일 원본을 별도의 저장소에 저장할 수 있으며, 저장소는 업무망(340)과 구별된 영역에 구축될 수 있다. 서버(310)는 샌드박스 환경이 구축된 상태에서 저장소에 제로 클라이언트(320)가 접근하여 문서 파일 원본을 편집할 수 있는 환경을 제공할 수 있다. 편집된 문서는 앞서 설명된 방식과 동일한 방식으로 이미지 파일 형식으로 변환되어 업무망(340)에 전송될 수 있다. 이를 통해 서버(310)은 보안성을 제공함과 동시에 문서 편집을 수행할 수 있는 수단을 제공할 수 있다.According to an embodiment, the server 310 converts a file format into an image format (JPG, etc.) in the case of a document file transmitted from the Internet network 330 to the business network 340 in order to improve security, and the image format The converted document file may be transmitted to the business network 340 . More specifically, the converted document file in the image format may be a converted document file in a manner of capturing each page (screenshot). When the file format of the document file is converted into the image file format, a means for the user to browse the contents included in the document file can be provided even if the data of the original file is not used as it is. Through the above method, it is possible to provide a communication method with improved security for malicious code included in the original file. The server 310 may store the original document file before conversion in a separate storage, and the storage may be built in a separate area from the business network 340 . The server 310 may provide an environment in which the zero client 320 may access the storage in a state in which the sandbox environment is established and edit the original document file. The edited document may be converted into an image file format in the same manner as described above and transmitted to the business network 340 . Through this, the server 310 may provide security and a means for performing document editing at the same time.

도 4는 일 실시예에 따른 서버의 구성을 도시하는 블록도이다.4 is a block diagram illustrating a configuration of a server according to an embodiment.

도 4를 참조하면, 일 실시예에 따른 서버(400)는 프로세서(410)를 포함한다. 서버(400)는 메모리(430) 및 통신부(420)를 더 포함할 수 있다. 프로세서(410), 메모리(430) 및 통신부(420)는 통신 버스(미도시)를 통해 서로 통신할 수 있다.Referring to FIG. 4 , a server 400 according to an embodiment includes a processor 410 . The server 400 may further include a memory 430 and a communication unit 420 . The processor 410 , the memory 430 , and the communication unit 420 may communicate with each other through a communication bus (not shown).

프로세서(410)는 인터넷 망에 기반한 통신을 수행하기 위한 제1 통신 모드에서, 제로 클라이언트와 인터넷 망의 연결을 통해 상기 제로 클라이언트에 상기 인터넷 망을 이용한 통신을 제공하고, 업무 망에 기반한 통신을 수행하기 위한 제2 통신 모드에서, 제로 클라이언트와 업무 망의 연결을 통해 상기 클라이언트에 상기 업무 망을 이용한 통신을 제공할 수 있다.The processor 410 provides communication using the Internet network to the zero client through a connection between the zero client and the Internet network in a first communication mode for performing communication based on the Internet network, and performs communication based on the business network In the second communication mode for this purpose, communication using the business network may be provided to the client through the connection between the zero client and the business network.

메모리(430)는 휘발성 메모리 또는 비 휘발성 메모리일 수 있다.The memory 430 may be a volatile memory or a non-volatile memory.

이 밖에도, 프로세서(410)는 프로그램을 실행하고, 서버(400)를 제어할 수 있다. 프로세서(410)에 의하여 실행되는 프로그램 코드는 메모리(430)에 저장될 수 있다. 서버(400)는 입출력 장치(미도시)를 통하여 외부 장치(예를 들어, 퍼스널 컴퓨터 또는 네트워크)에 연결되고, 데이터를 교환할 수 있다. In addition, the processor 410 may execute a program and control the server 400 . The program code executed by the processor 410 may be stored in the memory 430 . The server 400 may be connected to an external device (eg, a personal computer or a network) through an input/output device (not shown) and exchange data.

또한 본원 발명에 따른 듀얼 제로 클라이언트 기반의 망 분리 방식은 하기의 표 1과 같은 차이를 가질 수 있다.In addition, the dual zero client-based network separation method according to the present invention may have differences as shown in Table 1 below.

구분division 물리적 망분리physical network separation 서버 가상화 기반 망분리(SBC)Server Virtualization Based Network Separation (SBC) 클라이언트 기반 망 분리(CBC)Client-Based Network Separation (CBC) 제로 클라이언트 기반 망 분리Zero Client-Based Network Separation
(본원 발명)(invention of the present invention)
네트워크network 분리separation
(업무망, 인터넷 망 등)(business network, internet network, etc.)
미분리unseparated 미분리unseparated 분리separation
(업무망, 인터넷 망 등)(business network, internet network, etc.)
운영방법Operation method 업무용 PC와work PC and
인터넷 PC로 물리적 분리Physically separated by Internet PC
(PC 2대 사용)(Using 2 PCs)
인터넷 망은 서버를 통해 업무망은 PC로 분리The Internet network is separated by a server and the business network is separated by a PC. PC 등의 단말 가상화를 통해 인터넷 영역과 업무 영역 분리Separation of Internet area and work area through terminal virtualization such as PC 듀얼 제로 클라이언트로 as a dual zero client
물리적인 망 분리physical network separation
도입비용Introduction cost 높음(추가 PC, 이중망 구축)High (additional PC, dual network establishment) 보통(서버팜 구축)Normal (Server Farm Construction) 낮음(추가 장비 최소화)Low (minimize additional equipment) 낮음(듀얼 제로 클라이언트 추가 비용)Low (additional cost for dual zero clients) 추가장비additional equipment 1) 별도의 PC 1대 추가- 라이선스(OS, Office)1) Add 1 additional PC- License (OS, Office)
2)별도 네트워크 구축2) Establish a separate network
(라우터, 스위치, 방화벽)(routers, switches, firewalls)
1) 서버팜(서버, 스토리지 등)1) Server farm (server, storage, etc.)
2) 서버접속용 스위치2) Server connection switch
3) 상화 소프트웨어3) Sanghwa software
1) PC 기반 솔루션1) PC-based solution
2) VPN 장비 및 VDI 등2) VPN equipment and VDI, etc.
클라우드 망 연계 서버Cloud network connection server
(가상화로 가능)(Available with virtualization)
보안security 높음(물리적 분리)High (Physical Separation) 낮음(서버에서 인터넷 사용)Low (Internet on server) 낮음(PC에서 인터넷 사용)Low (Internet use on PC) 높음(물리적 분리)High (Physical Separation) 장점Advantages 해커의 직접적인 접근 차단Block direct access by hackers 1) 문서 보안 등 높은 보안성-PC 대비 업무환경 TCO 우수1) High security such as document security - Excellent work environment TCO compared to PC
2) 저사양 기존 PC 자원의 활용2) Utilization of low-spec existing PC resources
1) 도입 비용 최소화1) Minimize introduction cost
2) 단일 PC 자원의 활용2) Utilization of single PC resources
1) 도입 비용 최소화1) Minimize introduction cost
2) 해커의 직접적인 접근 차단2) Block direct access by hackers
단점disadvantage 1) 비효율성(비용, 유지/관리 등)1) Inefficiency (cost, maintenance/management, etc.)
2) 업무효율성 저하2) Decreased work efficiency
3) 회선 임대비용 급증3) Soaring line rental cost
1) 최초 도입비용 높음1) High initial introduction cost
2) 네트워크 대역폭 증가2) increase network bandwidth
3) 확장성 제한3) Limited scalability
1) 고장 발생시 복구 어려움1) Difficulty in recovery in case of failure
2) PC 호환성 및 보안 프로그램 충돌 문제2) PC compatibility and security program conflict issues
1) 개인 저장공간 x1) Personal storage x
2) 그래픽 활용도가 높은 프로그램 사용의 어려움2) Difficulty in using programs with high graphic utilization

이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The embodiments described above may be implemented by a hardware component, a software component, and/or a combination of a hardware component and a software component. For example, the apparatus, methods and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate (FPGA) array), a programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose or special purpose computers. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, although one processing device is sometimes described as being used, one of ordinary skill in the art will recognize that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that can include For example, the processing device may include a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as parallel processors.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may comprise a computer program, code, instructions, or a combination of one or more thereof, which configures a processing device to operate as desired or is independently or collectively processed You can command the device. The software and/or data may be any kind of machine, component, physical device, virtual equipment, computer storage medium or apparatus, to be interpreted by or to provide instructions or data to the processing device. , or may be permanently or temporarily embody in a transmitted signal wave. The software may be distributed over networked computer systems, and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer-readable medium may be specially designed and configured for the embodiment, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and carry out program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited drawings, those skilled in the art may apply various technical modifications and variations based on the above. For example, the described techniques are performed in a different order than the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.

Claims (9)

망 분리 서비스를 제공하는 서버에 있어서,
통신부; 및
인터넷 망 또는 업무 망에 관련된 통신을 지원하는 프로세서
를 포함하고,
상기 프로세서는,
상기 인터넷 망에 기반한 통신을 수행하기 위한 제1 통신 모드에서,
제로 클라이언트와 인터넷 망의 연결을 통해 상기 제로 클라이언트에 상기 인터넷 망을 이용한 통신을 제공하고,
상기 업무 망에 기반한 통신을 수행하기 위한 제2 통신 모드에서,
상기 제로 클라이언트와 업무 망의 연결을 통해 상기 제로 클라이언트에 상기 업무 망을 이용한 통신을 제공하고,
상기 제로 클라이언트는,
상기 인터넷 망을 통해 접근 가능한 제1 파일을 출력하는 제1 모니터 및 상기 업무 망을 통해 접근 가능한 제2 파일을 출력하는 제2 모니터와 연결되고,
상기 프로세서는, 상기 제2 파일에 대해 상기 제2 모니터에서 상기 제1 모니터로 횡단하는 드래그 입력에 응답하여 사용자 정보에 기반한 추가 인증 절차를 수행하고,
상기 프로세서는, 상기 제1 파일이 문서 파일인 경우에 상기 제1 모니터에서 상기 제2 모니터로 횡단하는 드래그 입력에 응답하여 파일 형식을 이미지 형식으로 변환하고, 변환 전 상기 제1 파일을 미리 지정된 저장소에 저장하고,
상기 프로세서는,
상기 인터넷 망과 상기 업무 망 사이에 형성된 회선을 통해 상기 인터넷망과 상기 업무망 사이의 직접적인 데이터 통신을 지원하고,
상기 회선은,
상기 인터넷 망으로부터 상기 업무망으로 데이터를 전송하는 제1 회선 및 상기 업무망에서 상기 인터넷망으로 데이터를 송신하는 제2 회선을 포함하고,
상기 제1 회선 및 상기 제2 회선은 일 방향 통신을 지원하고,
상기 프로세서는,
상기 제1 회선을 통해 전송될 데이터에 대하여 제1 보안 정책을 적용한 검증을 수행하고, 상기 제1 보안 정책을 통한 검증이 성공한 데이터에 대해서만 통신을 허용하고,
상기 제2 회선을 통해 전송될 데이터에 대하여 제2 보안 정책을 적용한 검증을 수행하고, 상기 제2 보안 정책을 통한 검증이 성공한 데이터에 대해서만 통신을 허용하고,
상기 제2 보안 정책은 상기 제1 보안 정책에 비해 보안의 수준이 높으며,
상기 제1 보안 정책은 전송 금지 데이터 목록에 전송 대상 데이터가 포함되어 있는지 여부에 기초하여 결정되며,
상기 제2 보안 정책은 상기 전송 금지 데이터 목록에 상기 전송 대상 데이터가 포함되어 있는지 여부 및, ID/PW 또는 OTP 기반의 인증에 기초하여 결정되는, 서버.
A server providing a network separation service, comprising:
communication department; and
A processor that supports communication related to the Internet network or business network
including,
The processor is
In a first communication mode for performing communication based on the Internet network,
providing communication using the Internet network to the zero client through a connection between the zero client and the Internet network;
In the second communication mode for performing communication based on the business network,
providing communication using the business network to the zero client through the connection between the zero client and the business network;
The zero client is
It is connected to a first monitor for outputting a first file accessible through the Internet network and a second monitor for outputting a second file accessible through the business network,
The processor performs an additional authentication procedure based on user information in response to a drag input traversing from the second monitor to the first monitor for the second file,
The processor, in response to a drag input traversing from the first monitor to the second monitor when the first file is a document file, converts the file format into an image format, and stores the first file in a predetermined storage before conversion save it in
The processor is
Supports direct data communication between the Internet network and the business network through a line formed between the Internet network and the business network,
The line is
A first line for transmitting data from the Internet network to the business network and a second line for transmitting data from the business network to the Internet network,
The first line and the second line support one-way communication,
The processor is
Verification by applying a first security policy to data to be transmitted through the first line is performed, and communication is allowed only for data that has been successfully verified through the first security policy,
Verification by applying a second security policy to data to be transmitted through the second line is performed, and communication is allowed only for data that has been successfully verified through the second security policy,
The second security policy has a higher level of security than the first security policy,
The first security policy is determined based on whether the transmission target data is included in the transmission prohibited data list,
The second security policy is determined based on whether the transmission target data is included in the transmission prohibited data list and ID/PW or OTP-based authentication.
삭제delete 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 문서 파일의 원본은,
상기 업무망과 구별된 별도의 저장소에 저장되고,
상기 저장소에 저장된 문서 파일의 원본은,
샌드박스 환경이 구축된 상태에서 상기 제로 클라이언트를 통한 접근을 통해 편집될 수 있는, 서버.
According to claim 1,
The original document file is
Stored in a separate storage separate from the business network,
The original of the document file stored in the storage is,
A server that can be edited through access through the zero client with a sandbox environment established.
제1항에 있어서,
상기 프로세서는,
상기 제1 회선 및 상기 제2 회선을 통해 전송되는 데이터에 대한 로그 정보를 저장하는, 서버.
According to claim 1,
The processor is
A server for storing log information about data transmitted through the first line and the second line.
제1항에 있어서,
상기 제로 클라이언트는,
소정의 사용자 입력에 기초하여 상기 업무망 및 상기 인터넷 망 사이의 전환을 수행되는, 서버.
According to claim 1,
The zero client is
A server that performs switching between the business network and the Internet network based on a predetermined user input.
삭제delete
KR1020200181903A 2020-08-24 2020-12-23 Apparatus and method for communication based on dual zero client KR102321930B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020200106003 2020-08-24
KR20200106003 2020-08-24

Publications (1)

Publication Number Publication Date
KR102321930B1 true KR102321930B1 (en) 2021-11-04

Family

ID=78521480

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200181903A KR102321930B1 (en) 2020-08-24 2020-12-23 Apparatus and method for communication based on dual zero client

Country Status (1)

Country Link
KR (1) KR102321930B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102602607B1 (en) * 2023-07-12 2023-11-16 주식회사 심시스글로벌 Method and system for separating a network virtually based on a sandbox and a software-defined perimeter

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120129740A (en) * 2011-05-18 2012-11-28 한국전자통신연구원 Virtual server and virtual machine management method for supporting zero client
KR101480443B1 (en) * 2013-09-17 2015-01-09 주식회사 하나은행 Hybrid network partition system and method thereof
KR20150089741A (en) * 2014-01-28 2015-08-05 박규영 System for converting e-mail attachment file and providing method thereof
KR20200084129A (en) * 2019-01-02 2020-07-10 주식회사 케이티 Network connection system through osd area

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120129740A (en) * 2011-05-18 2012-11-28 한국전자통신연구원 Virtual server and virtual machine management method for supporting zero client
KR101480443B1 (en) * 2013-09-17 2015-01-09 주식회사 하나은행 Hybrid network partition system and method thereof
KR20150089741A (en) * 2014-01-28 2015-08-05 박규영 System for converting e-mail attachment file and providing method thereof
KR20200084129A (en) * 2019-01-02 2020-07-10 주식회사 케이티 Network connection system through osd area

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102602607B1 (en) * 2023-07-12 2023-11-16 주식회사 심시스글로벌 Method and system for separating a network virtually based on a sandbox and a software-defined perimeter

Similar Documents

Publication Publication Date Title
CN109478149B (en) Access services in a hybrid cloud computing system
US11397805B2 (en) Lateral movement path detector
US9830430B2 (en) Inherited product activation for virtual machines
US10331525B2 (en) Cluster file server proxy server for backup and recovery
US9710297B2 (en) Dynamic allocation and assignment of virtual environment
US7793101B2 (en) Verifiable virtualized storage port assignments for virtual machines
EP3488584B1 (en) Usage tracking in hybrid cloud computing systems
Kusnetzky Virtualization: A manager's guide
US7970852B2 (en) Method for moving operating systems between computer electronic complexes without loss of service
WO2019152117A1 (en) Systems and methods for synchronizing microservice data stores
US8832775B2 (en) Techniques for workload spawning
US20140359615A1 (en) Computer Host With a Baseboard Management Controller to Manage Virtual Machines
JP2006510976A5 (en)
US20100043054A1 (en) Authentication of user database access
US8813252B2 (en) Request based license mode selection
US8875132B2 (en) Method and apparatus for implementing virtual proxy to support heterogeneous systems management
CN108809975B (en) Internal and external network isolation system and method for realizing internal and external network isolation
CN106330999A (en) Client and system, and method for realizing data sharing between client and virtual desktop
US20150286437A1 (en) Anti-virus scan via a secondary storage controller that maintains an asynchronous copy of data of a primary storage controller
CN114731291A (en) Security service
WO2022203837A1 (en) Transferring data between computing systems
KR102321930B1 (en) Apparatus and method for communication based on dual zero client
EP3355190A1 (en) Device and system for maintaining a ditributed ledger
US20210274021A1 (en) Securing internal services in a distributed environment
CN111585949A (en) Vulnerability scanning method and related equipment

Legal Events

Date Code Title Description
GRNT Written decision to grant