KR102333245B1 - System and method for supporting between heterogeneous networks communication using unidirectional communication - Google Patents
System and method for supporting between heterogeneous networks communication using unidirectional communication Download PDFInfo
- Publication number
- KR102333245B1 KR102333245B1 KR1020190119450A KR20190119450A KR102333245B1 KR 102333245 B1 KR102333245 B1 KR 102333245B1 KR 1020190119450 A KR1020190119450 A KR 1020190119450A KR 20190119450 A KR20190119450 A KR 20190119450A KR 102333245 B1 KR102333245 B1 KR 102333245B1
- Authority
- KR
- South Korea
- Prior art keywords
- srl
- control server
- packet
- internal network
- external network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/27—Arrangements for networking
- H04B10/275—Ring-type networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/42—Loop networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
단방향 통신을 이용한 이종 망간 통신 시스템 및 방법이 개시된다. 본 발명의 일 측면에 따른 단방향 통신을 이용한 이종 망간 통신 시스템은, 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인, 내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 수신통제서버로 전송하는 내부망 송신통제서버, 외부망에 연결되며, 상기 내부망 송신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 송신통제서버로 전송하는 외부망 수신통제서버, 상기 외부망에 연결되며, 상기 외부망 수신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 하는 외부망 송신통제서버, 상기 내부망에 연결되며, 상기 외부망 송신통제서버로부터 데이터를 전송하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 상기 내부망 송신통제서버로 전송하는 내부망 수신통제서버를 포함하되, 상기 광 전송라인은 상기 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있는 것을 특징으로 한다. Disclosed are a heterogeneous inter-network communication system and method using unidirectional communication. A heterogeneous inter-network communication system using unidirectional communication according to an aspect of the present invention is connected to an optical transmission line having a ring flow path of a one-way circulation structure, an internal network, and receives data from an internal network host, and the reception An internal network transmission control server that transmits the received data to an external network reception control server through the optical transmission line, is connected to an external network, receives data from the internal network transmission control server, and transmits the received data to the optical transmission line An external network reception control server that transmits to an external network transmission control server through a control server, an internal network reception control server connected to the internal network, transmitting data from the external network transmission control server, and transmitting the received data to the internal network transmission control server through the optical transmission line; , the optical transmission line is characterized in that the diode is connected in one direction to transmit data in the order of the internal network transmission control server, external network reception control server, external network transmission control server, and internal network reception control server.
Description
본 발명은 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법에 관한 것으로서, 보다 상세하게는 다른 방향(정방향, 역방향)의 데이터 다이오드 쌍을 이용하여 단방향 특성은 그대로 유지하면서 스트림 데이터를 전송할 수 있는 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법에 관한 것이다. The present invention relates to a heterogeneous network communication system and method using unidirectional communication, and more particularly, by using a pair of data diodes in different directions (forward and reverse), unidirectional communication capable of transmitting stream data while maintaining unidirectional characteristics as it is. It relates to a heterogeneous manganese communication system and method using the same.
망 분리 환경에서, 단방향 데이터 전송 시스템은 내부망(보안 영역)에서 외부망(비보안 영역)으로 정단방향으로 데이터를 전송하기 위하여 사용되거나, 외부망에서 내부망으로 역단방향으로 데이터를 전송하기 위하여 사용된다.In a network separation environment, a unidirectional data transmission system is used to transmit data in the forward unidirectional direction from the internal network (security area) to the external network (non-security area), or to transmit data in the reverse unidirectional direction from the external network to the internal network do.
즉, 내부망과 외부망으로 상이한 보안등급으로 구성된 분리 망 사이에서 데이터 연동은 데이터 다이오드 방식 같은 물리적 단방향 특성을 지닌 단방향 보안게이트웨이 방식이 사용되고 있으며, 동일한 보안등급으로 구성된 망 구간 연동은 중계서버형 방식 또는 스토리지 방식 같은 직접 연동방식 형태의 망간 자료전송제품을 사용하고 있다. In other words, a unidirectional security gateway method with physical unidirectional characteristics, such as a data diode method, is used for data interworking between separate networks composed of different security levels into internal and external networks. Alternatively, a direct interlocking method such as a storage method is using a manganese data transmission product.
망간 자료전송제품 중 스토리지 방식이나 중계서버형 방식은 양방향 전송이 가능한 형태이지만 자동전환 스위치(ASR, Automatic Send/Receive Set)와 같은 간접 연동방식을 택하고 있어 망 연동 전환 시 소요시간, 연속적인 데이터 전송 한계로 실시간 스트림 데이터는 연동에 있어 문제가 있다. Among the data transmission products between networks, the storage method or relay server type is a form that allows bidirectional transmission, but it adopts an indirect interworking method such as an automatic transfer switch (ASR, Automatic Send/Receive Set). Due to transmission limitations, there is a problem in interworking of real-time stream data.
또 다른 형태인 단방향 보안게이트웨이 전송장치는 내부망과 외부망을 완전히 물리적으로 분리하기 위해 송신 기능만 사용하여 외부망으로부터 접근을 원천적으로 차단하여 안전한 보안영역을 유지할 수 있다. 그러나 이 방법은 외부 정보를 전달받을 수 없어 내부망 운영에 필요한 외부 데이터 수신이 불가능하여 복잡해져가는 현재의 내부망 운영 환경에서 안전하고 신뢰성 있는 내부망 운영 환경을 구축하는데 한계가 있다. Another type of one-way secure gateway transmission device can maintain a safe security area by fundamentally blocking access from the external network by using only the transmission function to completely physically separate the internal network and the external network. However, since this method cannot receive external information, it is impossible to receive external data necessary for the operation of the internal network, so there is a limit in establishing a safe and reliable internal network operating environment in the complicated current internal network operating environment.
본 발명과 관련된 선행기술로는 대한민국 공개특허공보 제2018-0009908호(2018.01.30 공개, 발명의 명칭 : 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법, 이를 수행하기 위한 기록매체 및 시스템)가 있다.As prior art related to the present invention, Republic of Korea Patent Publication No. 2018-0009908 (published on January 30, 2018, title of invention: an indirect interworking method through an internal network transmission control server in a network separation environment, a recording medium for performing the same, and system) is there.
본 발명은 상기와 같은 문제점들을 개선하기 위하여 안출된 것으로, 본 발명의 목적은 단방향 특성인 데이터 다이오드 방식의 단방향 안전성을 유지하면서 양방향으로 스트림 데이터 전송이 가능하도록 하는 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법을 제공하는 것이다. The present invention has been devised to improve the above problems, and an object of the present invention is to provide a heterogeneous network communication system using unidirectional communication that enables stream data transmission in both directions while maintaining unidirectional safety of a data diode method, which is a unidirectional characteristic, and to provide a way
본 발명이 해결하고자 하는 과제는 이상에서 언급한 과제(들)로 제한되지 않으며, 언급되지 않은 또 다른 과제(들)은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problem to be solved by the present invention is not limited to the problem(s) mentioned above, and another problem(s) not mentioned will be clearly understood by those skilled in the art from the following description.
본 발명의 일 측면에 따른 단방향 통신을 이용한 이종 망간 통신 시스템은, 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인, 내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 수신통제서버로 전송하는 내부망 송신통제서버, 외부망에 연결되며, 상기 내부망 송신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 송신통제서버로 전송하는 외부망 수신통제서버, 상기 외부망에 연결되며, 상기 외부망 수신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 하는 외부망 송신통제서버, 상기 내부망에 연결되며, 상기 외부망 송신통제서버로부터 데이터를 전송하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 상기 내부망 송신통제서버로 전송하는 내부망 수신통제서버를 포함하되, 상기 광 전송라인은 상기 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있는 것을 특징으로 한다. A heterogeneous inter-network communication system using unidirectional communication according to an aspect of the present invention is connected to an optical transmission line having a ring flow path of a one-way circulation structure, an internal network, and receives data from an internal network host, and the reception An internal network transmission control server that transmits the received data to an external network reception control server through the optical transmission line, is connected to an external network, receives data from the internal network transmission control server, and transmits the received data to the optical transmission line An external network reception control server that transmits to an external network transmission control server through a control server, an internal network reception control server connected to the internal network, transmitting data from the external network transmission control server, and transmitting the received data to the internal network transmission control server through the optical transmission line; , the optical transmission line is characterized in that the diode is connected in one direction to transmit data in the order of the internal network transmission control server, external network reception control server, external network transmission control server, and internal network reception control server.
본 발명에서 상기 내부망 송신통제서버는, 상기 내부망 호스트로부터 수신한 데이터를 적용 또는 내부망 송신 광 전송장치로 전송하는 내부망 송신 에이전트, 상기 내부망 송신 에이전트로부터 수신한 데이터를 SRL(Secure Ring Link) 패킷으로 생성하고, 상기 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 수신통제서버로 전송하는 내부망 송신 광 전송장치를 포함할 수 있다. In the present invention, the internal network transmission control server transmits data received from the internal network host to an internal network transmission agent that applies or transmits data received from the internal network host to an internal network transmission optical transmission device, and transmits data received from the internal network transmission agent to an SRL (Secure Ring) Link) packet and transmit the SRL packet to the external network reception control server through the optical transmission line.
본 발명에서 상기 외부망 수신통제서버는 상기 내부망 송신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 외부망 수신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 외부망 송신통제서버로 전송하는 외부망 수신 광 전송장치, 상기 외부망 수신 광 전송장치로부터 전송된 SRL 패킷을 적용하는 외부망 수신 에이전트를 포함할 수 있다. In the present invention, the external network reception control server analyzes the SRL packet received from the internal network transmission control server, and transmits the SRL packet to the external network reception agent or the external network through the optical transmission line according to the analysis result. It may include an external network reception optical transmitter that transmits to the transmission control server, and an external network reception agent that applies the SRL packet transmitted from the external network reception optical transmitter.
본 발명에서 상기 외부망 송신통제서버는 상기 외부망 수신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 외부망 송신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 내부망 수신통제서버로 전송하는 외부망 송신 광 전송장치, 및 상기 외부망 송신 광 전송장치로부터 전송된 데이터를 적용하는 외부망 수신 에이전트를 포함할 수 있다. In the present invention, the external network transmission control server analyzes the SRL packet received from the external network reception control server, and transmits the SRL packet to the external network transmission agent or the internal network through the optical transmission line according to the analysis result. It may include an external network transmission optical transmission device for transmitting to the reception control server, and an external network reception agent applying data transmitted from the external network transmission optical transmission device.
본 발명에서 상기 내부망 수신통제서버는, 상기 외부망 송신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 내부망 수신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 내부망 송신 광 전송장치로 전송하는 내부망 수신 광 전송장치, 상기 내부망 수신 광 전송장치로부터 전송된 데이터를 적용하는 내부망 수신 에이전트를 포함할 수 있다. In the present invention, the internal network reception control server analyzes the SRL packet received from the external network transmission control server, and transmits the SRL packet to the internal network reception agent or the internal network through the optical transmission line according to the analysis result. It may include an internal network reception optical transmission device for transmitting to the network transmission optical transmission device, and an internal network reception agent applying data transmitted from the internal network reception optical transmission device.
본 발명에서 상기 SRL 패킷은, 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 데이터로 구성될 수 있다. In the present invention, the SRL packet may be composed of a header and data including a purpose (SRL_FLAG), a counter (SRL_CNT) for classifying the number of relays to a destination, and a control server identifier (Upload_ID).
본 발명에서 상기 내부망 송신 광 전송장치, 외부망 수신 광 전송장치, 외부망 송신 광 전송장치 및 내부망 수신 광 전송장치 각각은, 에이전트와의 통신을 위한 인터페이스부, 타 통제서버로 SRL 패킷을 전송하는 단방향 광 송신부, 타 통제서버로부터 SRL 패킷을 수신하는 단방향 광 수신부를 포함할 수 있다. In the present invention, each of the internal network transmission optical transmission device, external network reception optical transmission device, external network transmission optical transmission device, and internal network reception optical transmission device transmits an SRL packet to an interface unit for communication with an agent and another control server. It may include a unidirectional optical transmitter for transmitting and a unidirectional optical receiver for receiving SRL packets from other control servers.
본 발명에서 상기 단방향 광 송신부는, 상기 데이터의 배포 및 중계를 위한 SRL 패킷을 멀티플렉싱하는 다중화부, 상기 멀티플렉싱된 SRL 패킷을 인코딩하는 인코딩부, 상기 인코딩된 SRL 패킷을 상기 광 전송라인으로 전송하는 송신부를 포함할 수 있다. In the present invention, the unidirectional optical transmitter includes a multiplexer that multiplexes SRL packets for distribution and relay of the data, an encoder that encodes the multiplexed SRL packet, and a transmitter that transmits the encoded SRL packet to the optical transmission line may include
본 발명에서 상기 단방향 광 수신부는, 상기 광 전송라인을 통해 SRL 패킷을 수신하는 수신부, 상기 수신된 SRL 패킷을 디코딩하는 디코딩부, 및 상기 디코딩된 SRL 패킷의 통제서버 구분자가 자신에 해당하는 값인지 판단하여, 자신에 해당하는 값인 경우 상기 SRL 패킷을 상기 인터페이스부를 통해 에이전트에 업로드하고, 자신에 해당하는 값이 아닌 경우 상기 카운터의 값을 감소시킨 후 상기 단방향 광 송신부의 다중화부로 전송하는 수신 패킷 처리부를 포함할 수 있다. In the present invention, the unidirectional optical receiver determines whether the receiver that receives the SRL packet through the optical transmission line, the decoder that decodes the received SRL packet, and the control server identifier of the decoded SRL packet correspond to their values. Receive packet processing unit that determines and uploads the SRL packet to the agent through the interface unit if it is a value corresponding to itself, decrements the value of the counter if it is not a value corresponding to itself may include
본 발명에서 상기 광 전송라인은, 서로 다른 방향의 다이오드 상으로 이루어질 수 있다. In the present invention, the optical transmission line may be formed on diodes in different directions.
본 발명의 일 측면에 따른 단방향 통신을 이용한 이종 망간 통신 방법은, 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버를 구비하는 단방향 통신을 이용한 이종 망간 통신 시스템에서 보안정책 전송 방법에 있어서, 상기 내부망 송신통제서버의 내부망 송신 에이전트가 내부망 보안서버로부터 보안정책 배포 명령을 수신하면, 상기 내부망 송신통제서버의 내부망 광 전송장치가 보안정책 배포 SRL 패킷을 생성하여 상기 외부망 수신통제서버로 전송하는 단계, 상기 외부망 수신통제서버의 외부망 수신 광 전송장치가 상기 보안정책 배포 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 SRL 패킷을 외부망 수신 에이전트에 업로드하며, 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하는 단계, 상기 외부망 송신통제서버의 외부망 송신 광 전송장치가 상기 제1 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제1 중계 SRL 패킷을 외부망 송신 에이전트(410)에 업로드하며, 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하는 단계, 상기 내부망 수신통제서버의 내부망 수신 광 전송장치가 상기 제2 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제2 중계 SRL 패킷을 내부망 수신 에이전트에 업로드하며, 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하고, 업로드 대상이 아닌 경우 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하는 단계, 및 상기 내부망 송신 광 전송장치가 상기 제3 중계 SRL 패킷의 카운터 값을 감소시킨 후 상기 내부망 송신 에이전트로 업로드하는 단계를 포함한다. A heterogeneous network communication method using one-way communication according to an aspect of the present invention is a heterogeneous network communication using one-way communication including an internal network transmission control server, an external network reception control server, an external network transmission control server, and an internal network reception control server. A method for transmitting a security policy in a system, wherein when the internal network transmission agent of the internal network transmission control server receives a security policy distribution command from the internal network security server, the internal network optical transmission device of the internal network transmission control server distributes the security policy generating an SRL packet and transmitting it to the external network reception control server; an external network reception optical transmission device of the external network reception control server analyzes the security policy distribution SRL packet to determine whether to upload it, and if it is an upload target, the It uploads an SRL packet to the external network reception agent, transmits the first relay SRL packet in which the counter value of the SRL packet is reduced, to the external network transmission control server, and decreases the counter value of the SRL packet if it is not an upload target. transmitting a first relay SRL packet to the external network transmission control server; an external network transmission optical transmission device of the external network transmission control server analyzes the first relay SRL packet to determine whether the packet is an upload target, and if it is an upload target Uploads the first relay SRL packet to the external
본 발명은 상기 내부망 송신 광 전송장치가 상기 제3 중계 SRL 패킷의 카운터 값을 감소시킨 후 상기 내부망 송신 에이전트로 업로드하는 단계 이후, 상기 내부망 송신 에이전트가 상기 보안정책 배포 SRL 패킷을 상기 보안서버로 전송하는 단계를 더 포함할 수 있다. According to the present invention, after the internal network transmission optical transmitter decreases the counter value of the third relay SRL packet and uploads it to the internal network transmission agent, the internal network transmission agent transmits the security policy distribution SRL packet to the security It may further include the step of transmitting to the server.
본 발명에서 상기 내부망 송신 광 전송장치, 외부망 수신 광 전송장치, 외부망 송신 광 전송장치 및 내부망 수신 광 전송장치는 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인으로 연결되어, 상기 광 전송라인을 통해 단방향으로 SRL 패킷을 전송할 수 있다. In the present invention, the internal network transmission optical transmission device, external network reception optical transmission device, external network transmission optical transmission device, and internal network reception optical transmission device are connected by an optical transmission line having a ring flow path of a one-way circulation structure. , it is possible to transmit the SRL packet in one direction through the optical transmission line.
본 발명에서 상기 내부망 송신통제서버의 내부망 송신 광 전송장치가 보안정책 배포 SRL 패킷을 생성하여 상기 외부망 수신통제서버로 전송하는 단계는, 상기 내부망 송신 광 전송장치의 단방향 광 송신부가, 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 보안정책 데이터로 구성된 상기 보안정책 배포 SRL 패킷을 생성하는 단계, 상기 내부망 송신 광 전송장치의 단방향 광 수신부가, 상기 보안정책 배포 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 수신 광 전송장치로 전송하는 단계를 포함할 수 있다. In the present invention, the step of generating a security policy distribution SRL packet by the internal network transmission optical transmission device of the internal network transmission control server and transmitting it to the external network reception control server comprises: the one-way optical transmission unit of the internal network transmission optical transmission device; Generating the security policy distribution SRL packet consisting of a header and security policy data including a purpose (SRL_FLAG), a counter (SRL_CNT) for classifying the number of relays to a destination, and a control server identifier (Upload_ID); and transmitting, by the one-way optical receiver of the transmitter, the security policy distribution SRL packet to the external network receiver optical transmitter through the optical transmission line.
본 발명에서 상기 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하는 단계는, 상기 외부망 수신 광 전송장치의 단방향 광 수신부가 상기 보안정책 배포 SRL 패킷의 통제 서버 구분자를 통해 업로드 대상 여부를 판단하는 단계, 상기 판단결과 업로드 대상인 경우 상기 외부망 수신 광 전송장치의 단방향 광 수신부가 상기 보안정책 배포 SRL 패킷의 보안정책 데이터를 상기 외부망 수신 광 전송장치의 단방향 광 송신부를 통해 외부망 수신 에이전트에 업로드하고, 상기 보안정책 배포 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 수신 광 전송장치의 단방향 광 송신부로 전송하며, 업로드 대상이 아닌 경우 상기 보안정책 배포 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 상기 외부망 수신 광 전송장치의 단방향 광 송신부로 전송하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 송신부가 상기 제1 중계 SRL 패킷을 광 전송라인을 통해 상기 외부망 송신 광 전송장치로 전송하는 단계를 포함할 수 있다. In the present invention, in the step of transmitting the first relay SRL packet to the external network transmission control server, the unidirectional optical receiver of the external network reception optical transmission device determines whether to upload the security policy distribution SRL packet through the control server identifier of the packet. judging, if the determination result is an upload target, the one-way optical receiver of the external network receiving optical transmitter transmits the security policy data of the security policy distribution SRL packet to the external network receiving agent through the one-way optical transmitter of the external network receiving optical transmitter and transmits the first relay SRL packet in which the counter value of the security policy distribution SRL packet is reduced to the one-way optical transmitter of the external network reception optical transmitter, and if not for upload, the counter of the security policy distribution SRL packet transmitting a first relay SRL packet with a reduced value to a unidirectional optical transmitter of the external network reception optical transmitter, wherein the unidirectional optical transmitter of the external network reception optical transmitter transmits the first relay SRL packet to an optical transmission line It may include the step of transmitting to the external network transmission optical transmission device through the.
본 발명에서 상기 외부망 수신 광 전송장치의 단방향 광 수신부가 상기 보안정책 데이터를 상기 외부망 수신 에이전트에 업로드한 경우, 상기 외부망 수신 에이전트가 상기 보안정책 데이터를 적용하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 송신부가 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 보안정책 응답 데이터로 구성된 보안정책 적용 응답 SRL 패킷을 생성하고, 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 송신 광 전송장치의 단방향 광 수신부로 전송하는 단계를 포함할 수 있다. In the present invention, when the one-way optical receiver of the external network reception optical transmitter uploads the security policy data to the external network reception agent, the external network reception agent applies the security policy data; The unidirectional optical transmitter of the transmitter generates a security policy application response SRL packet consisting of a header and security policy response data including a purpose (SRL_FLAG), a counter (SRL_CNT) that distinguishes the number of relays to the destination, and a control server identifier (Upload_ID). and transmitting the response SRL packet to a unidirectional optical receiver of the external network transmission optical transmitter through the optical transmission line.
본 발명은 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 송신 광 전송장치의 단방향 광 수신부로 전송하는 단계 이후, 상기 외부망 송신 광 전송장치의 단방향 광 수신부가, 상기 응답 SRL 패킷의 카운터 값을 감소시킨 제1 응답 중계 SRL 패킷을 생성하는 단계, 상기 외부망 송신 광 전송장치의 단방향 광 송신부가 상기 제1 응답 중계 SRL 패킷을 상기 외부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 수신부가, 상기 제1 중계 응답 SRL 패킷의 카운터 값을 감소시킨 제2 응답 중계 SRL 패킷을 생성하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 송신부가 상기 제2 중계 응답 SRL 패킷을 상기 내부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계, 상기 내부망 수신 광 전송장치의 단방향 광 수신부가 상기 제2 중계 응답 SRL 패킷의 카운터 값을 감소시킨 후 상기 보안정책 응답 데이터를 상기 내부망 송신 에이전트로 업로드하는 단계, 및 상기 내부망 송신 에이전트가 상기 보안정책 응답 데이터를 상기 보안서버로전송하는 단계를 더 포함할 수 있다. In the present invention, after transmitting the response SRL packet to the unidirectional optical receiver of the external network transmission optical transmitter through the optical transmission line, the unidirectional optical receiver of the external network transmission optical transmission device counters the response SRL packet. generating a first response relay SRL packet with a reduced value; transmitting, by a unidirectional optical transmitter of the external network transmission optical transmitter, the first response relay SRL packet to a unidirectional optical receiver of the external network reception optical transmitter , generating, by the unidirectional optical receiver of the external network reception optical transmitter, a second response relay SRL packet in which a counter value of the first relay response SRL packet is decreased, by the unidirectional optical transmitter of the external network reception optical transmitter transmitting the second relay response SRL packet to a unidirectional optical receiver of the internal network reception optical transmitter, after the unidirectional optical receiver of the internal network reception optical transmitter decreases the counter value of the second relay response SRL packet The method may further include uploading the security policy response data to the internal network transmission agent, and transmitting, by the internal network transmission agent, the security policy response data to the security server.
본 발명에서 상기 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하는 단계는, 상기 외부망 송신 광 전송장치의 단방향 광 수신부가 상기 제1 중계 SRL 패킷의 통제 서버 구분자를 통해 업로드 대상 여부를 판단하는 단계, 상기 판단결과 업로드 대상인 경우 상기 외부망 송신 광 전송장치의 단방향 광 수신부가 상기 제1 중계 SRL 패킷의 보안정책 데이터를 상기 외부망 송신 광 전송장치의 단방향 광 송신부를 통해 외부망 송신 에이전트(410)에 업로드하고, 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 외부망 송신 광 전송장치의 단방향 광 송신부로 전송하며, 업로드 대상이 아닌 경우 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 외부망 송신 광 전송장치의 단방향 광 송신부로 전송하는 단계, 상기 외부망 송신 광 전송장치의 단방향 광 송신부가 상기 제2 중계 SRL 패킷을 광 전송라인을 통해 상기 내부망 수신 광 전송장치로 전송하는 단계를 포함할 수 있다. In the present invention, the step of transmitting the second relay SRL packet to the internal network reception control server includes: the one-way optical receiver of the external network transmission optical transmission device determines whether the upload target is an upload target through the control server identifier of the first relay SRL packet. determining; if the determination result is the upload target, the one-way optical receiver of the external network transmission optical transmitter transmits the security policy data of the first relay SRL packet to the external network transmission agent through the one-way optical transmitter of the external network optical transmitter The second relay SRL packet that is uploaded to 410 and reduced the counter value of the first relay SRL packet is transmitted to the one-way optical transmitter of the external network transmission optical transmitter. transmitting a second relay SRL packet with a reduced packet counter value to a unidirectional optical transmitter of the external network transmission optical transmitter, wherein the unidirectional optical transmitter of the external network optical transmission device optically transmits the second relay SRL packet It may include transmitting to the internal network reception optical transmitter through a line.
본 발명에서 상기 외부망 송신 광 전송장치의 단방향 광 수신부가 상기 보안정책 데이터를 상기 외부망 송신 에이전트에 업로드한 경우, 상기 외부망 송신 에이전트가 상기 보안정책 데이터를 적용하는 단계, 상기 외부망 송신 광 전송장치의 단방향 광 송신부가 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 보안정책 응답 데이터로 구성된 보안정책 적용 응답 SRL 패킷을 생성하고, 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 내부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계를 포함할 수 있다. In the present invention, when the one-way optical receiver of the external network transmission optical transmission device uploads the security policy data to the external network transmission agent, the external network transmission agent applying the security policy data; The unidirectional optical transmitter of the transmitter generates a security policy application response SRL packet consisting of a header and security policy response data including a purpose (SRL_FLAG), a counter (SRL_CNT) that distinguishes the number of relays to the destination, and a control server identifier (Upload_ID). and transmitting the response SRL packet to a unidirectional optical receiver of the internal network reception optical transmitter through the optical transmission line.
본 발명은 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 내부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계 이후, 상기 내부망 수신 광 전송장치의 단방향 광 수신부가 상기 응답 SRL 패킷의 카운터 값을 감소시킨 후 상기 보안정책 응답 데이터를 상기 내부망 송신 에이전트로 업로드하는 단계, 상기 내부망 송신 에이전트가 상기 보안정책 응답 데이터를 상기 보안서버로 전송하는 단계를 더 포함할 수 있다. In the present invention, after the step of transmitting the response SRL packet to the unidirectional optical receiver of the internal network reception optical transmitter through the optical transmission line, the unidirectional optical receiver of the internal network reception optical transmitter receives the counter value of the response SRL packet The method may further include uploading the security policy response data to the internal network transmission agent after reducing , and transmitting, by the internal network transmission agent, the security policy response data to the security server.
본 발명에 따르면, 다른 방향(정방향, 역방향)의 데이터 다이오드 쌍을 이용하여 단방향 특성은 그대로 유지하면서 스트림 데이터를 전송할 수 있다. According to the present invention, stream data can be transmitted while maintaining unidirectional characteristics by using a pair of data diodes in different directions (forward and reverse).
또한, 본 발명에 따르면, 일방향으로 이어진 링(Ring) 순환 흐름을 갖는 SRL 통신 경로에서 보안정책 전달용(Delivery_confirm) SRL 패킷에 대한 무결성 보장을 위해 보안영역의 송신통제서버가 시작점이자 최종 도착점이 되게 함으로써, 해당 보안정책 전달이 일방향 링 순환 경로를 통해 각 통제서버로 정상적으로 전달되었는지 확인할 수 있고, 보안 설정 권한이 없는 다른 통제서버로부터 보안정책이 위*?*변조되는 것을 방지할 수 있다. In addition, according to the present invention, in order to ensure the integrity of the SRL packet for security policy delivery (Delivery_confirm) in the SRL communication path having a ring circulation flow connected in one direction, the transmission control server of the security area becomes the starting point and the final destination. By doing so, it can be checked whether the security policy transmission is normally delivered to each control server through the one-way ring circulation path, and it is possible to prevent forgery*?
한편, 본 발명의 효과는 이상에서 언급한 효과들로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 효과들이 포함될 수 있다. On the other hand, the effects of the present invention are not limited to the above-mentioned effects, and various effects may be included within the range apparent to those skilled in the art from the contents to be described below.
도 1은 본 발명의 일 실시예에 따른 단방향 통신을 이용한 이종 망간 통신 시스템을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 광 전송장치의 구성을 개략적으로 나타낸 블록도이다.
도 3은 본 발명의 일 실시예에 따른 SRL 패킷을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 SRL 프로토콜을 이용한 보안정책 배포 및 관리 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 SRL 패킷을 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 메시지 전달을 위한 SRL 통신을 설명하기 위한 도면이다.
도 8은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 SRL 패킷을 설명하기 위한 도면이다.1 is a diagram illustrating a heterogeneous inter-network communication system using unidirectional communication according to an embodiment of the present invention.
2 is a block diagram schematically showing the configuration of an optical transmission device according to an embodiment of the present invention.
3 is a diagram for explaining an SRL packet according to an embodiment of the present invention.
4 is a view for explaining a security policy distribution and management method using the SRL protocol according to an embodiment of the present invention.
5 is a diagram for explaining a method for security policy distribution and relay according to an embodiment of the present invention.
6 is a diagram for explaining an SRL packet for security policy distribution and relay according to an embodiment of the present invention.
7 is a diagram for explaining SRL communication for transmitting a response message according to application of a security policy according to an embodiment of the present invention.
8 is a diagram for explaining a response SRL packet according to application of a security policy according to an embodiment of the present invention.
이하, 첨부된 도면들을 참조하여 본 발명의 일 실시예에 따른 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법을 설명한다. 이 과정에서 도면에 도시된 선들의 두께나 구성요소의 크기 등은 설명의 명료성과 편의상 과장되게 도시되어 있을 수 있다. Hereinafter, a heterogeneous inter-network communication system and method using unidirectional communication according to an embodiment of the present invention will be described with reference to the accompanying drawings. In this process, the thickness of the lines or the size of the components shown in the drawings may be exaggerated for clarity and convenience of explanation.
또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In addition, the terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to the intention or custom of the user or operator. Therefore, definitions of these terms should be made based on the content throughout this specification.
또한, 본 명세서에서 설명된 구현은, 예컨대, 방법 또는 프로세스, 장치, 소프트웨어 프로그램, 데이터 스트림 또는 신호로 구현될 수 있다. 단일 형태의 구현의 맥락에서만 논의(예컨대, 방법으로서만 논의)되었더라도, 논의된 특징의 구현은 또한 다른 형태(예컨대, 장치 또는 프로그램)로도 구현될 수 있다. 장치는 적절한 하드웨어, 소프트웨어 및 펌웨어 등으로 구현될 수 있다. 방법은, 예컨대, 컴퓨터, 마이크로프로세서, 집적 회로 또는 프로그래밍가능한 로직 디바이스 등을 포함하는 프로세싱 디바이스를 일반적으로 지칭하는 프로세서 등과 같은 장치에서 구현될 수 있다. 프로세서는 또한 최종-사용자 사이에 정보의 통신을 용이하게 하는 컴퓨터, 셀 폰, 휴대용/개인용 정보 단말기(personal digital assistant: "PDA") 및 다른 디바이스 등과 같은 통신 디바이스를 포함한다.Further, implementations described herein may be implemented as, for example, a method or process, an apparatus, a software program, a data stream, or a signal. Although discussed only in the context of a single form of implementation (eg, only as a method), implementations of the discussed features may also be implemented in other forms (eg, in an apparatus or a program). The apparatus may be implemented in suitable hardware, software and firmware, and the like. A method may be implemented in an apparatus such as, for example, a processor, which generally refers to a computer, a microprocessor, a processing device, including an integrated circuit or programmable logic device, or the like. Processors also include communication devices such as computers, cell phones, portable/personal digital assistants ("PDAs") and other devices that facilitate communication of information between end-users.
도 1은 본 발명의 일 실시예에 따른 단방향 통신을 이용한 이종 망간 통신 시스템을 나타낸 도면이다. 1 is a diagram illustrating a heterogeneous inter-network communication system using unidirectional communication according to an embodiment of the present invention.
도 1을 참조하면, 본 발명의 일 실시예에 따른 단방향 통신을 이용한 망간 통신 시스템(100)은 내부망 송신통제서버(200), 외부망 수신통제서버(300), 외부망 송신통제서버(400) 및 내부망 수신통제서버(500)를 포함하고, 이들은 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인(600)으로 연결될 수 있다. 그리고, 단방향 통신을 이용한 망간 통신 시스템은 내부망(보안영역)(700)과 외부망(비보안영역)(800) 사이에 위치할 수 있다. Referring to FIG. 1 , an
내부망(700)은 내부망 시스템들을 포함하고, 외부망(800)은 외부망 시스템들을 포함할 수 있다. 내부망 시스템들은 내부망(700)을 통하여 연결된 시스템들로서, 동일한 시스템이거나 다른 시스템일 수 있다. 예컨대, 내부망 시스템은 보안서버, 로그서버 등을 포함할 수 있다. 외부망 시스템들은 외부망(800)을 통하여 연결된 시스템들로서, 동일한 시스템이거나 다른 시스템일 수 있다. 예컨대, 외부망 시스템은 OPC-UA 등을 포함할 수 있다. The
내부망 송신통제서버(200)는 내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 외부망 수신통제서버(300)로 전송한다. The internal network
내부망 송신통제서버(200)는 내부망 송신 에이전트(210) 및 내부망 송신 광 전송장치(220)를 포함한다. The internal network
내부망 송신 에이전트(210)는 내부망 호스트로부터 수신한 데이터를 적용 또는 내부망 송신 광 전송장치(220)로 전송한다. 또한, 내부망 송신 에이전트(210)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다. The internal
내부망 송신 광 전송장치(220)는 내부망 송신 에이전트(210)로부터 수신한 데이터를 SRL(Secure Ring Link) 패킷으로 생성하고, SRL 패킷을 광 전송라인(600)을 통해 외부망 수신통제서버(300)로 전송한다.The internal network transmission
내부망 송신 광 전송장치(220)는 내부망(보안영역)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 내부망 송신 광 전송장치(220)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다. 여기서, SRL 패킷은 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 데이터로 구성된 것으로, 상세한 설명은 도 3에서 설명하기로 한다. The internal network transmission
외부망 수신통제서버(300)는 외부망(800)에 연결되며, 내부망 송신통제서버(200)로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 외부망 송신통제서버(400)로 전송한다. The external network
외부망 수신통제서버(300)는 외부망 수신 에이전트(310) 및 외부망 수신 광 전송장치(320)를 포함한다. The external network
외부망 수신 에이전트(310)는 외부망 수신 광 전송장치(320)로부터 전송된 SRL 패킷을 적용한다. 또한, 외부망 수신 에이전트(310)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다. The external
외부망 수신 광 전송장치(320)는 내부망 송신통제서버(200)로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 SRL 패킷을 외부망 수신 에이전트(310)에 전송 또는 외부망 송신통제서버(400)로 전송한다. The external network reception
외부망 수신 광 전송장치(320)는 내부망(보안영역)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 외부망 수신 광 전송장치(320)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다. The external network reception
외부망 송신통제서버(400)는 외부망(800)에 연결되며, 외부망 수신통제서버(300)로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 내부망 수신통제서버(500)로 전송한다. The external network
외부망 송신통제서버(400)는 외부망 송신 에이전트(410) 및 외부망 송신 광 전송장치(420)를 포함한다. The external network
외부망 송신 에이전트(410)는 외부망 송신 광 전송장치(420)로부터 전송된 데이터를 적용한다. 또한, 외부망 송신 에이전트(410)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다. The external
외부망 송신 광 전송장치(420)는 외부망 수신통제서버(300)로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 SRL 패킷을 외부망 수신 에이전트(310)에 전송 또는 내부망 수신통제서버(500)로 전송한다. The external network transmission
외부망 송신 광 전송장치(420)는 내부망(보안영역)(700)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 외부망 송신 광 전송장치(420)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다. The external network transmission
내부망 수신통제서버(500)는 내부망(700)에 연결되며, 외부망 송신통제서버(400)로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 내부망 송신통제서버(200)로 전송한다. The internal network
내부망 수신통제서버(500)는 내부망 수신 에이전트(510) 및 내부망 수신 광 전송장치(520)를 포함한다. The internal network
내부망 수신 에이전트(510)는 내부망 수신 광 전송장치(520)로부터 전송된 데이터를 적용한다. 또한, 내부망 수신 에이전트(510)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다. The internal
내부망 수신 광 전송장치(520)는 외부망 송신통제서버(400)로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 SRL 패킷을 내부망 수신 에이전트(510)에 전송 또는 내부망 송신 광 전송장치(220)로 전송한다.The internal network reception
내부망 수신 광 전송장치(520)는 내부망(보안영역)(700)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 내부망 수신 광 전송장치(520)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다. The internal network reception
광 전송라인(600)은 데이터(예컨대, 보안정책) 전달에 필요한 일방향 순환구조의 링(Ring) 흐름 경로를 가지고 있고, 내부망 송신통제서버(200), 외부망 수신통제서버(300), 외부망 송신통제서버(400) 및 내부망 수신통제서버(500)의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있다. The
도 2는 본 발명의 일 실시예에 따른 광 전송장치의 구성을 개략적으로 나타낸 블록도, 도 3은 본 발명의 일 실시예에 따른 SRL 패킷을 설명하기 위한 도면이다. 2 is a block diagram schematically showing the configuration of an optical transmission apparatus according to an embodiment of the present invention, and FIG. 3 is a diagram for explaining an SRL packet according to an embodiment of the present invention.
도 2를 참조하면, 본 발명의 일 실시예에 따른 광 전송장치(900)는 인터페이스부(910), 단방향 광 송신부(920) 및 단방향 광 수신부(930)를 포함한다. Referring to FIG. 2 , an
인터페이스부(910)는 에이전트와의 통신을 위한 구성일 수 있다. The
단방향 광 송신부(920)는 타 통제서버로 SRL 패킷을 전송하는 구성으로, 단방향 광 송신부(920)는 다중화부(922), 인코딩부(924) 및 송신부(926)를 포함한다. The unidirectional
다중화부(922)는 데이터의 배포 및 중계를 위한 SRL 패킷을 멀티플렉싱한다.The
인코딩부(924)는 다중화부(922)에서 멀티플렉싱된 SRL 패킷을 인코딩한다. The
송신부(926)는 인코딩부(922)에서 인코딩된 SRL 패킷을 광 전송라인(600)으로 전송한다. The
단방향 광 수신부(930)는 타 통제서버로부터 SRL 패킷을 수신하는 구성으로, 수신부(932), 디코딩부(934) 및 수신 패킷 처리부(936)를 포함한다. The unidirectional
수신부(932)는 광 전송라인(600)을 통해 SRL 패킷을 수신한다. The
디코딩부(934)는 수신부(932)에서 수신한 SRL 패킷을 디코딩한다. The
수신 패킷 처리부(936)는 디코딩부(934)에서 디코딩된 SRL 패킷의 통제서버 구분자가 자신에 해당하는 값인지 판단하여, 자신에 해당하는 값인 경우 상기 SRL 패킷을 인터페이스부(910)를 통해 에이전트에 업로드하고, 자신에 해당하는 값이 아닌 경우 SRL 패킷의 카운터 값을 감소시킨 후 단방향 광 송신부(920)의 다중화부(922)로 전송한다. The received
광 전송장치(900)의 보안정책 수신 및 중계 경로는 하드웨어로 제작된 수신 패킷 처리부를 통해 외부 간섭 없이 독립적인 순환 링(Ring) 흐름을 제공할 수 있어 외부 해킹에 따른 보안정책 위·변조 불가능할 수 있다. 하드웨어로 제작된 광 전송장치의 구성에 따른 보안정책 배포 및 중계를 위한 SRL 패킷은 도 3과 같은 구조일 수 있다. The security policy reception and relay path of the
도 3을 참조하면, SRL 패킷(SRL 데이터그램 패킷)은 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 SRL 헤더 및 데이터로 구성된다. Referring to FIG. 3 , an SRL packet (SRL datagram packet) consists of an SRL header and data including a purpose (SRL_FLAG), a counter (SRL_CNT) that distinguishes the number of relays to a destination, and a control server identifier (Upload_ID).
SRL 패킷 헤더의 구성요소는 아래 표 1과 같을 수 있다. The components of the SRL packet header may be as shown in Table 1 below.
'SRL_FLAG'는 표 1에서와 같이 SRL 패킷의 용도에 따른 구분자로 2개의 비트로 표현할 수 있고, 아래 표 2와 같을 수 있다. 'SRL_FLAG' is a delimiter according to the purpose of the SRL packet as shown in Table 1, and may be expressed with two bits, as shown in Table 2 below.
특히 보안정책을 전달하는 SRL 패킷의 경우 'SRL_CNT'는 표 1에서와 같이 SRL 패킷의 중계(Relay)된 횟수를 구분하는 카운터를 사용할 수 있다. 이때 최초 송신하는 내부망 송신통제서버(200)를 기준으로 최종 도달할 목적지가 다시 내부망 송신통제서버(200)로 결정하는 용도로 2개의 비트로써 표현되며 아래 표 3과 같을 수 있다. In particular, in the case of an SRL packet that delivers a security policy, 'SRL_CNT' may use a counter that identifies the number of times the SRL packet is relayed as shown in Table 1. At this time, based on the internal network
단방향 광 수신부(930)의 수신 패킷 처리부(936)는 수신된 SRL 패킷의'SRL_CNT' 값을 -1 감소시킨 값이 '0'이면, 더 이상 중계 전송을 위해 단방향 광송신부의 다중화부로 전송하지 않고 에이전트(Ag_m)로 업로드하기 위해 인터페이스부(910)(PCIe)로 전달하며, '0'이 아닌 값인 경우 -1 감소시킨 값을 'SRL_CNT'값으로 변경 후 해당 패킷을 단방향 광 송신부(920)의 다중화부(910)로 전송한다. 특히 내부망(보안영역)(700)에 존재하는 보안서버에서 각 통제서버로 보안정책을 배포할 때, 내부망 송신통제서버(200)에서 생성되는 SRL 패킷의 'SRL_CNT' 값을 '4'로 설정하여 일방향으로 이어진 링(Ring) 순환 흐름을 갖는 SRL 통신 경로에서 보안정책 전달용(Delivery_confirm) SRL 패킷에 대한 무결성 보장을 위해 내부망 송신통제서버(200)가 시작점이자 최종 도착점이 되게 할 수 있다. 이로써, 해당 보안정책 전달이 일방향 링 순환 경로를 통해 각 통제서버로 정상적으로 전달되었는지 확인이 가능하며, 보안 설정 권한이 없는 다른 통제서버로부터 보안정책이 위*?*변조되는 것을 방지할 수 있다. If the value obtained by reducing the 'SRL_CNT' value of the received SRL packet by -1 is '0', the reception
'Upload_ID'는 표 1에서와 같이 각 통제서버별로 수신된 SRL 패킷을 인터페이스부(910)(PCIe)를 통해 에이전트(Ag_m)로 전달(Upload)할 대상이 되는 통제서버를 단일 또는 복수로 지정해주기 위한 값을 4개의 비트로써 표현할 수 있다. As shown in Table 1, 'Upload_ID' designates a single or multiple control server to be uploaded to the agent (Ag_m) through the interface unit 910 (PCIe) of the SRL packet received by each control server as shown in Table 1. A value can be expressed as 4 bits.
'Upload_ID'는 예컨대, 아래 표 4와 같은 형태일 수 있다. 'Upload_ID' may have, for example, the form shown in Table 4 below.
도 4는 본 발명의 일 실시예에 따른 SRL 프로토콜을 이용한 보안정책 배포 및 관리 방법을 설명하기 위한 도면이다.4 is a view for explaining a security policy distribution and management method using the SRL protocol according to an embodiment of the present invention.
도 4를 참조하면, 보안영역을 내부(Internal)로 비보안영역을 외부(External)로 구분 정의하고, 보안영역의 보안서버(710), 내부망 송신통제서버(200)를 iTx, 비보안영역의 외부망 수신통제서버(300)를 eRx, 비보안영역의 외부망 송신통제서버(400)를 eTx, 보안영역의 내부망 수신통제서버(500)를 iRx로 각각 표현할 수 있다. 또한, 각 송신통제서버와 수신통제서버는 데이터 다이오드 방식의 일방향 광 SFP 광 모듈을 사용하여 1:1로 쌍을 이루는 구조일 수 있다. Referring to FIG. 4, the security area is divided into internal and the non-security area is defined as external, and the
내부망 송신통제서버(iTx)(200)의 에이전트(Ag_m)(210)는 보안서버(710)로부터 보안정책들(①,②,③,④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫)이 수신되면, 수신된 보안정책들(①,②,③,④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫) 중 iTx(200)에 해당되는 보안정책을 적용(①,②,③)한다, The agent (Ag_m) 210 of the internal network transmission control server (iTx) 200 receives the security policies (①,②,③,④,⑤,⑥,⑦,⑧,⑨,⑩, When ⑪,⑫) is received, the security policy corresponding to iTx(200) is applied among the received security policies (①,②,③,④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫). (①,②,③) do,
그러면, 내부망 송신통제서버(200)의 내부망 송신 광 전송장치(220)는 연계 미들웨어를 통해 전달 받은 타 통제서버의 보안정책을 비호환 전송 프로토콜인 SRL(Secure Ring Link)을 통해 전달(④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫)한다.Then, the internal network transmission
그러면, 내부망 송신 광 전송장치(220)는 SRL 프로토콜을 통해 전달된 보안정책을 외부망 수신통제서버(300)의 외부망 수신 광 전송장치(320)로 전송(④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫)한다. Then, the internal network transmission
외부망 수신 광 전송장치(320)는 단방향 광 수신부(PHY RX)를 통해 수신된 보안정책 프레임을 디프레임하여 단방향 광 송신부(PHY TX)로 중계하거나(⑦,⑧,⑨,⑩,⑪,⑫) 또는 보안정책을 적용하기 위해 해당 에이전트(310)에게 전달하기 위하여 인터페이스부로 전달(④,⑤,⑥)한다. 이때, 에이전트(310)는 인터페이스부(910)로부터 전달받은 보안정책을 적용(④,⑤,⑥)할 수 있다. The external network reception
외부망 수신 광 전송장치(320)의 단방향 광 송신부(PHY TX)로 중계되면, 외부망 수신 광 전송장치(320)의 단방향 광 송신부(PHY TX)는 외부망 송신 광 전송장치(420)의 단방향 광 수신부(PHY RX)로 보안정책을 전송(⑦,⑧,⑨,⑩,⑪,⑫)한다.When relayed to the one-way optical transmitter (PHY TX) of the external network reception
그러면, 외부망 송신 광 전송장치(420)는 단방향 광수신부(PHY RX)를 통해 수신된 보안정책 프레임을 디프레임하여 단방향 광 송신부(PHY TX)로 중계하거나(⑩,⑪,⑫) 또는 보안정책을 적용하기 위해 해당 에이전트(410)에게 전달하기 위하여 인터페이스부로 전달(⑦,⑧,⑨)한다. 이때, 에이전트(410)는 인터페이스부로부터 전달받은 보안정책을 적용(⑦,⑧,⑨)할 수 있다. Then, the external network transmission
외부망 송신 광 전송장치(420)의 단방향 광 송신부(PHY TX)로 중계되면, 외부망 송신 광 전송장치(420)의 단방향 광 송신부(PHY TX)는 내부망 수신통제서버(500)(iRx)의 단방향 광 수신부(PHY RX)로 보안정책을 전송(⑩,⑪,⑫)한다.When relayed to the one-way optical transmission unit (PHY TX) of the external network transmission
그러면, 내부망 수신통제서버(500)의 단방향 광 수신부(PHY RX)는 보안정책을 에이전트(510)에 전달 완료(⑩,⑪,⑫)한다. Then, the one-way optical receiver (PHY RX) of the internal network
그런 후, 내부망 수신 광 전송장치(520)는 SRL 프로토콜을 통해 최종 출발지이자 도착지인 iTx(200)를 거쳐 보안서버(710)의 최종 정책배포 확인한다.Then, the internal network reception
도 5는 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 방법을 설명하기 위한 도면, 도 6은 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 SRL 패킷을 설명하기 위한 도면이다. 5 is a diagram for explaining a method for security policy distribution and relay according to an embodiment of the present invention, FIG. 6 is a diagram for explaining an SRL packet for security policy distribution and relay according to an embodiment of the present invention am.
도 5 및 도 6을 참조하면, 내부망 송신통제서버(200)의 에이전트(210)가 보안서버(710)로부터 명령셋(명령어+정책 데이터)를 수신하면, 내부망 송신통제서버(200)의 단방향 광 송신부(222)는 도 6과 같은 명령 제어를 위한 SRL 패킷(Delivery_Confirm(eTx))을 생성하고, 생성한 SRL 패킷을 외부망 수신통제서버(300)의 단방향 광 수신부(324)로 전송한다.5 and 6, when the
외부망 수신통제서버(300)의 단방향 광 수신부(324)는 SRL 패킷 헤더의 'Upload_ID' 값이 자신에 해당하는 값인 '0100'(eRx)과 일치하지 않으므로 해당 SRL 패킷을 PCI를 통해 에이전트(310)로 업로드 하지 않으며, 'SRL_CNT' 값에서 -1 감소시킨 SRL 패킷의 'SRL_CNT' 값을 '3' (비트표기 '10')으로 변경한 중계(Relay) SRL 패킷을 외부망 수신 광 전송장치(320)의 단방향 광 송신부(322)를 통해 외부망 송신통제서버(400)로 전달한다. Since the unidirectional
외부망 송신통제서버(400)(eTx)내 외부망 송신 광 전송장치(420)의 단방향 광 수신부(424)는 eRx(300)로부터 전달받은 SLR 패킷(카운터 '3')의 'Upload_ID'b 헤더 값이 자신에 해당하는 값인 '0010'(eRx)과 일치하므로 해당 SRL 패킷을 에이전트(410)로 전송하기 위해 PCIe로 업로드한다. 이때, eTx(400)의 수신 패킷 처리부는 PCIe로 업로드와 병렬로 'SRL_CNT' 값에서 -1 감소시킨 카운터 값 '2' (비트표기 '01')로 변경한 중계 SRL 패킷을 내부망 수신통제서버(500)(iRx)로 전송한다. The unidirectional
iRx(500)의 내부망 수신 광 전송장치(520)는 eTx(400)로부터 전달받은 중계 SLR 패킷(카운터 '2')의 'Upload_ID' 값이 자신에 해당하는 값인 '0010' (iRx)과 일치하지 않으므로 해당 SRL 패킷을 PCI를 통해 에이전트(510)로 업로드 하지 않으며, 'SRL_CNT' 값에서 -1 감소시킨 카운터 값을 '1' (비트표기 '00')로 변경한 중계 SRL 패킷을 다시 iTx(200)로 전송한다.The internal network reception
iTx(200)의 단방향 광 수신부(224)는 iRx(500)로부터 전달받은 SLR 패킷(카운터 '1')의 'SRL_CNT' 카운터 값에서 -1 감소시킨 카운터 값이 '0'이 되므로 PCIe로 업로드만 하고, 중계를 위한 일방향 SRL 통신 경로를 통한 중계 전송은 하지 않는다. The unidirectional
iTx(200)의 에이전트(210)는 PCIe를 통해 전달받은 'Deliver_Confirm' 즉, 보안정책 배포 명령어셋을 다시 보안서버(710)로 전송한다. 이를 통해 보안서버(710)는 해당 보안정책 배포 명령이 대상 통제서버로 전달되었음을 확인하고 관련 로그를 저장한다. The
도 7은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 메시지 전달을 위한 SRL 통신을 설명하기 위한 도면, 도 8은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 SRL 패킷을 설명하기 위한 도면이다. 7 is a view for explaining SRL communication for transmitting a response message according to application of a security policy according to an embodiment of the present invention, and FIG. 8 is a diagram for explaining a response SRL packet according to application of a security policy according to an embodiment of the present invention It is a drawing for
도 7 및 도 8을 참조하면, eTx(400)의 에이전트(410)는 수신신된 보안정책을 적용 후 도 8과 같은 'SetValue_Confirm(eTx)'용 SRL 패킷을 생성한다. 이때, eTx(400)의 SRL 패킷(카운터 '2')을 외부망 송신 광 전송장치(420)의 단방향 광 송신부(422)를 통해 iRx(500)로 전송한다.7 and 8 , the
내부망 수신통제서버(iRx)(500)의 단방향 광 수신부(524)는 SRL 패킷 헤더의 'Upload_ID' 값이 자신에 해당하는 값인 '0001'(iRx)과 일치하지 않으므로 해당 SRL 패킷을 PCIe를 통해 에이전트(510)로 업로드 하지 않으며, 'SRL_CNT' 값에서 -1 감소시킨 카운터 'SRL_CNT' 값을 '1'(비트표기 '00')로 변경한 중계 응답 SRL 패킷을 단방향 광 송신부(522)를 통해 내부망 송신통제서버(iTx)(200로 전송한다.Since the unidirectional
iTx(200)의 단방향 광 수신부(224)는 iRx(500)로부터 전달받은 중계 응답 SLR 패킷(카운터 '1')의 'SRL_CNT' 값에서 -1 감소시킨 카운터 값이 '0'이 되므로 PCIe를 통해 에이전트(210)로 업로드만 하고, 중계 일방향 SRL 통신 경로를 통한 재전송은 하지 않는다. The
iTx(200)의 에이전트(210)는 전달받은 'SetValue_Confirm' 데이터 즉, 보안정책 처리 응답용 메시지를 보안서버(710)로 전송한다. 이를 통해 보안서버(710)는 해당 보안정책이 eTx에 정상 적용 완료되었음을 확인하고 관련 로그를 저장할 수 있다. The
상술한 바와 같이, 본 발명에 따른 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법은, 다른 방향(정방향, 역방향)의 데이터 다이오드 쌍을 이용하여 단방향 특성은 그대로 유지하면서 스트림 데이터를 전송할 수 있다. As described above, in the heterogeneous network communication system and method using unidirectional communication according to the present invention, stream data can be transmitted while maintaining unidirectional characteristics by using pairs of data diodes in different directions (forward and reverse).
또한, 본 발명에 따른 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법은, 일방향으로 이어진 링(Ring) 순환 흐름을 갖는 SRL 통신 경로에서 보안정책 전달용(Delivery_confirm) SRL 패킷에 대한 무결성 보장을 위해 보안영역의 송신통제서버가 시작점이자 최종 도착점이 되게 함으로써, 해당 보안정책 전달이 일방향 링 순환 경로를 통해 각 통제서버로 정상적으로 전달되었는지 확인이 가능하고, 보안 설정 권한이 없는 다른 통제서버로부터 보안정책이 위*?*변조되는 것을 방지할 수 있다. In addition, the heterogeneous inter-network communication system and method using unidirectional communication according to the present invention is a security area for ensuring the integrity of an SRL packet for security policy delivery (Delivery_confirm) in an SRL communication path having a ring circulation flow connected in one direction. By making the transmission control server of the transmission control server as the starting point and the final destination, it is possible to check whether the transmission of the security policy is normally transmitted to each control server through the one-way ring circulation path, and it is possible to confirm that the security policy is ?* can be prevented from being tampered with.
본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나, 이는 예시적인 것에 불과하며, 당해 기술이 속하는 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 아래의 특허청구범위에 의해서 정하여져야 할 것이다. Although the present invention has been described with reference to the embodiment shown in the drawings, this is merely exemplary, and it is understood that various modifications and equivalent other embodiments are possible by those of ordinary skill in the art. will understand Therefore, the true technical protection scope of the present invention should be defined by the following claims.
200 : 내부망 송신통제서버
300 : 외부망 수신통제서버
400 : 외부망 송신통제서버
500 : 내부망 수신통제서버
600 : 광 전송라인
700 : 내부망
800 : 외부망200: internal network transmission control server
300: external network reception control server
400: external network transmission control server
500: internal network reception control server
600: optical transmission line
700: internal network
800: external network
Claims (17)
내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 수신통제서버로 전송하는 내부망 송신통제서버;
외부망에 연결되며, 상기 내부망 송신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 송신통제서버로 전송하는 외부망 수신통제서버;
상기 외부망에 연결되며, 상기 외부망 수신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 하는 외부망 송신통제서버; 및
상기 내부망에 연결되며, 상기 외부망 송신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 상기 내부망 송신통제서버로 전송하는 내부망 수신통제서버를 포함하되,
상기 광 전송라인은,
상기 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있고,
상기 내부망 송신통제서버는,
상기 내부망 호스트로부터 수신한 데이터를 적용 또는 내부망 송신 광 전송장치로 전송하는 내부망 송신 에이전트; 및
상기 내부망 송신 에이전트로부터 수신한 데이터를 SRL(Secure Ring Link) 패킷으로 생성하고, 상기 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 수신통제서버로 전송하는 내부망 송신 광 전송장치를 포함하고,
상기 외부망 수신통제서버는,
상기 내부망 송신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 외부망 수신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 외부망 송신통제서버로 전송하는 외부망 수신 광 전송장치; 및
상기 외부망 수신 광 전송장치로부터 전송된 SRL 패킷을 적용하는 외부망 수신 에이전트를 포함하며,
상기 외부망 송신통제서버는,
상기 외부망 수신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 외부망 송신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 내부망 수신통제서버로 전송하는 외부망 송신 광 전송장치; 및
상기 외부망 송신 광 전송장치로부터 전송된 데이터를 적용하는 외부망 수신 에이전트를 포함하고,
상기 내부망 수신통제서버는,
상기 외부망 송신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 내부망 수신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 내부망 송신 광 전송장치로 전송하는 내부망 수신 광 전송장치; 및
상기 내부망 수신 광 전송장치로부터 전송된 데이터를 적용하는 내부망 수신 에이전트를 포함하는 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
an optical transmission line having a ring flow path of a one-way circulation structure;
an internal network transmission control server connected to the internal network, receiving data from an internal network host, and transmitting the received data to an external network reception control server through the optical transmission line;
an external network reception control server connected to an external network, receiving data from the internal network transmission control server, and transmitting the received data to an external network transmission control server through the optical transmission line;
an external network transmission control server connected to the external network, receiving data from the external network reception control server, and transmitting the received data through the optical transmission line; and
An internal network reception control server connected to the internal network, receiving data from the external network transmission control server, and transmitting the received data to the internal network transmission control server through the optical transmission line,
The optical transmission line is
A diode is connected in one direction to transmit data in the order of the internal network transmission control server, external network reception control server, external network transmission control server, and internal network reception control server,
The internal network transmission control server,
an internal network transmission agent for transmitting the data received from the internal network host to an application or internal network transmission optical transmission device; and
and an internal network transmission optical transmission device for generating data received from the internal network transmission agent into SRL (Secure Ring Link) packets, and transmitting the SRL packet to the external network reception control server through the optical transmission line,
The external network reception control server,
An external network reception light that analyzes the SRL packet received from the internal network transmission control server and transmits the SRL packet to an external network reception agent or to the external network transmission control server through the optical transmission line according to the analysis result transmission device; and
and an external network reception agent that applies the SRL packet transmitted from the external network reception optical transmitter;
The external network transmission control server,
An external network transmission optical that analyzes the SRL packet received from the external network reception control server and transmits the SRL packet to an external network transmission agent or to the internal network reception control server through the optical transmission line according to the analysis result transmission device; and
and an external network reception agent that applies data transmitted from the external network transmission optical transmission device,
The internal network reception control server,
Internal network reception that analyzes the SRL packet received from the external network transmission control server and transmits the SRL packet to the internal network reception agent or the internal network transmission optical transmitter through the optical transmission line according to the analysis result optical transmission device; and
and an internal network reception agent that applies the data transmitted from the internal network reception optical transmitter.
상기 SRL 패킷은,
용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 데이터로 구성된 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
According to claim 1,
The SRL packet is
A heterogeneous inter-network communication system using one-way communication, characterized in that it consists of a header and data including a purpose (SRL_FLAG), a counter (SRL_CNT) that distinguishes the number of relays to a destination, and a control server identifier (Upload_ID).
상기 내부망 송신 광 전송장치, 외부망 수신 광 전송장치, 외부망 송신 광 전송장치 및 내부망 수신 광 전송장치 각각은,
에이전트와의 통신을 위한 인터페이스부;
타 통제서버로 SRL 패킷을 전송하는 단방향 광 송신부; 및
타 통제서버로부터 SRL 패킷을 수신하는 단방향 광 수신부를 포함하는 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
4. The method of claim 3,
each of the internal network transmission optical transmission device, the external network reception optical transmission device, the external network transmission optical transmission device and the internal network reception optical transmission device,
an interface unit for communication with the agent;
a unidirectional optical transmitter for transmitting SRL packets to another control server; and
A heterogeneous network communication system using one-way communication, characterized in that it includes a one-way optical receiver for receiving an SRL packet from another control server.
상기 단방향 광 송신부는,
상기 데이터의 배포 및 중계를 위한 SRL 패킷을 멀티플렉싱하는 다중화부;
상기 멀티플렉싱된 SRL 패킷을 인코딩하는 인코딩부; 및
상기 인코딩된 SRL 패킷을 상기 광 전송라인으로 전송하는 송신부를 포함하는 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
5. The method of claim 4,
The unidirectional light transmitter,
a multiplexer for multiplexing SRL packets for distribution and relay of the data;
an encoding unit for encoding the multiplexed SRL packet; and
and a transmitter for transmitting the encoded SRL packet to the optical transmission line.
상기 단방향 광 수신부는,
상기 광 전송라인을 통해 SRL 패킷을 수신하는 수신부;
상기 수신된 SRL 패킷을 디코딩하는 디코딩부; 및
상기 디코딩된 SRL 패킷의 통제서버 구분자가 자신에 해당하는 값인지 판단하여, 자신에 해당하는 값인 경우 상기 SRL 패킷을 상기 인터페이스부를 통해 에이전트에 업로드하고, 자신에 해당하는 값이 아닌 경우 상기 카운터의 값을 감소시킨 후 상기 단방향 광 송신부의 다중화부로 전송하는 수신 패킷 처리부를 포함하는 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
6. The method of claim 5,
The unidirectional light receiving unit,
a receiver for receiving an SRL packet through the optical transmission line;
a decoding unit for decoding the received SRL packet; and
Determines whether the control server identifier of the decoded SRL packet is a value corresponding to itself, uploads the SRL packet to the agent through the interface unit if it is a value corresponding to itself, and if it is not a value corresponding to itself, the value of the counter and a received packet processing unit for transmitting the received packet to the multiplexing unit of the unidirectional optical transmission unit after reducing .
상기 광 전송라인은,
서로 다른 방향의 다이오드 상으로 이루어진 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
According to claim 1,
The optical transmission line is
A heterogeneous manganese communication system using unidirectional communication, characterized in that it is formed on diodes in different directions.
상기 내부망 송신통제서버의 내부망 송신 에이전트가 내부망 보안서버로부터 보안정책 배포 명령을 수신하면, 상기 내부망 송신통제서버의 내부망 광 전송장치가 보안정책 배포 SRL 패킷을 생성하여 상기 외부망 수신통제서버로 전송하는 단계;
상기 외부망 수신통제서버의 외부망 수신 광 전송장치가 상기 보안정책 배포 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 SRL 패킷을 외부망 수신 에이전트에 업로드하며, 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하는 단계;
상기 외부망 송신통제서버의 외부망 송신 광 전송장치가 상기 제1 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제1 중계 SRL 패킷을 외부망 송신 에이전트에 업로드하며, 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하는 단계;
상기 내부망 수신통제서버의 내부망 수신 광 전송장치가 상기 제2 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제2 중계 SRL 패킷을 내부망 수신 에이전트에 업로드하며, 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하고, 업로드 대상이 아닌 경우 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하는 단계; 및
상기 내부망 송신 광 전송장치가 상기 제3 중계 SRL 패킷의 카운터 값을 감소시킨 후 상기 내부망 송신 에이전트로 업로드하는 단계
를 포함하는 단방향 통신을 이용한 이종 망간 통신 방법.
A method for transmitting a security policy in a heterogeneous network communication system using one-way communication including an internal network transmission control server, an external network reception control server, an external network transmission control server, and an internal network reception control server, the method comprising:
When the internal network transmission agent of the internal network transmission control server receives a security policy distribution command from the internal network security server, the internal network optical transmission device of the internal network transmission control server generates a security policy distribution SRL packet to receive the external network transmitting to the control server;
The external network reception optical transmitter of the external network reception control server analyzes the security policy distribution SRL packet to determine whether it is an upload target, and if it is an upload target, uploads the SRL packet to an external network reception agent, and a counter of the SRL packet transmitting a first relay SRL packet with a reduced value to the external network transmission control server, and transmitting a first relay SRL packet with a reduced value of the counter value of the SRL packet to the external network transmission control server if it is not an upload target; ;
The external network transmission optical transmission device of the external network transmission control server analyzes the first relay SRL packet to determine whether it is an upload target, and if it is an upload target, uploads the first relay SRL packet to the external network transmission agent, wherein the first relay SRL packet is uploaded to the external network transmission agent. A second relay SRL packet in which the counter value of the first relay SRL packet is decreased is transmitted to the internal network reception control server, and if it is not an upload target, the second relay SRL packet in which the counter value of the first relay SRL packet is decreased is transmitted to the transmitting to an internal network reception control server;
The internal network reception optical transmission device of the internal network reception control server analyzes the second relay SRL packet to determine whether it is an upload target, and if it is an upload target, uploads the second relay SRL packet to the internal network reception agent. 2 A third relay SRL packet with a reduced counter value of the relay SRL packet is transmitted to the internal network transmission optical transmitter, and if it is not an upload target, a third relay SRL packet with a reduced counter value of the second relay SRL packet is transmitted transmitting to the internal network transmission optical transmission device; and
and uploading, by the internal network transmission optical transmission device, to the internal network transmission agent after decrementing the counter value of the third relay SRL packet.
A heterogeneous network communication method using one-way communication comprising a.
Priority Applications (10)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190119450A KR102333245B1 (en) | 2019-09-27 | 2019-09-27 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143509A KR102441200B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143506A KR102441197B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143504A KR102441753B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143505A KR102441196B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143508A KR102441199B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143503A KR102441752B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143501A KR102441751B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143507A KR102441198B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143502A KR102441195B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190119450A KR102333245B1 (en) | 2019-09-27 | 2019-09-27 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
Related Child Applications (9)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210143508A Division KR102441199B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143506A Division KR102441197B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143507A Division KR102441198B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143502A Division KR102441195B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143509A Division KR102441200B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143503A Division KR102441752B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143505A Division KR102441196B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143504A Division KR102441753B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143501A Division KR102441751B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20210037178A KR20210037178A (en) | 2021-04-06 |
KR102333245B1 true KR102333245B1 (en) | 2021-12-02 |
Family
ID=75472902
Family Applications (10)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190119450A KR102333245B1 (en) | 2019-09-27 | 2019-09-27 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143503A KR102441752B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143509A KR102441200B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143504A KR102441753B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143506A KR102441197B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143508A KR102441199B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143505A KR102441196B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143502A KR102441195B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143507A KR102441198B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143501A KR102441751B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
Family Applications After (9)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210143503A KR102441752B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143509A KR102441200B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143504A KR102441753B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143506A KR102441197B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143508A KR102441199B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143505A KR102441196B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143502A KR102441195B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143507A KR102441198B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
KR1020210143501A KR102441751B1 (en) | 2019-09-27 | 2021-10-26 | System and method for supporting between heterogeneous networks communication using unidirectional communication |
Country Status (1)
Country | Link |
---|---|
KR (10) | KR102333245B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102591439B1 (en) | 2022-12-07 | 2023-10-19 | (주) 앤앤에스피 | Security Zone based Dual One-Way Link Control System |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101593168B1 (en) * | 2014-09-11 | 2016-02-18 | 한국전자통신연구원 | Physical one direction communication device and method thereof |
JP2017123603A (en) * | 2016-01-08 | 2017-07-13 | 株式会社制御システム研究所 | Data diode device with specific packet relay function |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101897123B1 (en) * | 2017-07-28 | 2018-09-11 | (주)앤앤에스피 | Dual unidirectional data and management information transmission system |
-
2019
- 2019-09-27 KR KR1020190119450A patent/KR102333245B1/en active IP Right Grant
-
2021
- 2021-10-26 KR KR1020210143503A patent/KR102441752B1/en active IP Right Grant
- 2021-10-26 KR KR1020210143509A patent/KR102441200B1/en active IP Right Grant
- 2021-10-26 KR KR1020210143504A patent/KR102441753B1/en active IP Right Grant
- 2021-10-26 KR KR1020210143506A patent/KR102441197B1/en active IP Right Grant
- 2021-10-26 KR KR1020210143508A patent/KR102441199B1/en active IP Right Grant
- 2021-10-26 KR KR1020210143505A patent/KR102441196B1/en active IP Right Grant
- 2021-10-26 KR KR1020210143502A patent/KR102441195B1/en active IP Right Grant
- 2021-10-26 KR KR1020210143507A patent/KR102441198B1/en active IP Right Grant
- 2021-10-26 KR KR1020210143501A patent/KR102441751B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101593168B1 (en) * | 2014-09-11 | 2016-02-18 | 한국전자통신연구원 | Physical one direction communication device and method thereof |
JP2017123603A (en) * | 2016-01-08 | 2017-07-13 | 株式会社制御システム研究所 | Data diode device with specific packet relay function |
Also Published As
Publication number | Publication date |
---|---|
KR102441199B1 (en) | 2022-09-08 |
KR102441196B1 (en) | 2022-09-08 |
KR102441753B1 (en) | 2022-09-13 |
KR20210131297A (en) | 2021-11-02 |
KR20210037178A (en) | 2021-04-06 |
KR20210131962A (en) | 2021-11-03 |
KR102441197B1 (en) | 2022-09-08 |
KR20210133916A (en) | 2021-11-08 |
KR102441200B1 (en) | 2022-09-08 |
KR102441198B1 (en) | 2022-09-08 |
KR20210134259A (en) | 2021-11-09 |
KR20210134260A (en) | 2021-11-09 |
KR20210134258A (en) | 2021-11-09 |
KR20210131965A (en) | 2021-11-03 |
KR102441195B1 (en) | 2022-09-08 |
KR20210131963A (en) | 2021-11-03 |
KR102441751B1 (en) | 2022-09-13 |
KR102441752B1 (en) | 2022-09-13 |
KR20210131964A (en) | 2021-11-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111164923B (en) | Design for unidirectional data transmission | |
Cowley | Communications and networking: an introduction | |
JP2007028623A (en) | System and method for adjusting ber/per for accelerating transmission speed of network stream base | |
EP2928108B1 (en) | System, method and apparatus for multi-lane auto-negotiation over reduced lane media | |
KR101063152B1 (en) | One-way data transmission system and method | |
KR102441200B1 (en) | System and method for supporting between heterogeneous networks communication using unidirectional communication | |
WO2017148419A1 (en) | Data transmission method and server | |
US10200155B2 (en) | One-way data transmission apparatus, one-way data reception apparatus, and one-way data transmission/reception method using the same | |
KR101953552B1 (en) | Apparatus for one-way transmission, apparatus for one-way reception, and one-way retransmission method for using same | |
KR102017742B1 (en) | Apparatus for one-way data transmission, apparatus for one-way data reception, and one-way data transmission method for using the same | |
JP2012060220A (en) | Network adapter | |
WO2016065638A1 (en) | Data transmission method and device | |
CN112313891A (en) | Apparatus and method for transmitting side-channel bits over Ethernet cable | |
CN114679265A (en) | Flow obtaining method and device, electronic equipment and storage medium | |
US20030120800A1 (en) | Network layer protocol | |
US20180234334A1 (en) | Redirecting flow control packets | |
WO2014029958A1 (en) | Acknowledgement system and method | |
US20240214304A1 (en) | Communication interface and method for seamless data communication over multilane communication link | |
US20240323230A1 (en) | Reverse path feedback protocol for unidirectional networks | |
US20240340246A1 (en) | Communications traffic manager | |
WO2018133049A1 (en) | Data processing method, optical access device, and optical access system | |
CN117527799A (en) | DDS-based cross-domain communication method, device, computer equipment and storage medium | |
EP1251662A1 (en) | Method for communicating between fibre channel systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
A107 | Divisional application of patent | ||
E701 | Decision to grant or registration of patent right |