KR102333245B1 - System and method for supporting between heterogeneous networks communication using unidirectional communication - Google Patents

System and method for supporting between heterogeneous networks communication using unidirectional communication Download PDF

Info

Publication number
KR102333245B1
KR102333245B1 KR1020190119450A KR20190119450A KR102333245B1 KR 102333245 B1 KR102333245 B1 KR 102333245B1 KR 1020190119450 A KR1020190119450 A KR 1020190119450A KR 20190119450 A KR20190119450 A KR 20190119450A KR 102333245 B1 KR102333245 B1 KR 102333245B1
Authority
KR
South Korea
Prior art keywords
srl
control server
packet
internal network
external network
Prior art date
Application number
KR1020190119450A
Other languages
Korean (ko)
Other versions
KR20210037178A (en
Inventor
임용훈
박민하
주성호
박윤택
신진호
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020190119450A priority Critical patent/KR102333245B1/en
Publication of KR20210037178A publication Critical patent/KR20210037178A/en
Priority to KR1020210143505A priority patent/KR102441196B1/en
Priority to KR1020210143506A priority patent/KR102441197B1/en
Priority to KR1020210143504A priority patent/KR102441753B1/en
Priority to KR1020210143509A priority patent/KR102441200B1/en
Priority to KR1020210143508A priority patent/KR102441199B1/en
Priority to KR1020210143503A priority patent/KR102441752B1/en
Priority to KR1020210143501A priority patent/KR102441751B1/en
Priority to KR1020210143507A priority patent/KR102441198B1/en
Priority to KR1020210143502A priority patent/KR102441195B1/en
Application granted granted Critical
Publication of KR102333245B1 publication Critical patent/KR102333245B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/27Arrangements for networking
    • H04B10/275Ring-type networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/42Loop networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

단방향 통신을 이용한 이종 망간 통신 시스템 및 방법이 개시된다. 본 발명의 일 측면에 따른 단방향 통신을 이용한 이종 망간 통신 시스템은, 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인, 내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 수신통제서버로 전송하는 내부망 송신통제서버, 외부망에 연결되며, 상기 내부망 송신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 송신통제서버로 전송하는 외부망 수신통제서버, 상기 외부망에 연결되며, 상기 외부망 수신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 하는 외부망 송신통제서버, 상기 내부망에 연결되며, 상기 외부망 송신통제서버로부터 데이터를 전송하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 상기 내부망 송신통제서버로 전송하는 내부망 수신통제서버를 포함하되, 상기 광 전송라인은 상기 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있는 것을 특징으로 한다. Disclosed are a heterogeneous inter-network communication system and method using unidirectional communication. A heterogeneous inter-network communication system using unidirectional communication according to an aspect of the present invention is connected to an optical transmission line having a ring flow path of a one-way circulation structure, an internal network, and receives data from an internal network host, and the reception An internal network transmission control server that transmits the received data to an external network reception control server through the optical transmission line, is connected to an external network, receives data from the internal network transmission control server, and transmits the received data to the optical transmission line An external network reception control server that transmits to an external network transmission control server through a control server, an internal network reception control server connected to the internal network, transmitting data from the external network transmission control server, and transmitting the received data to the internal network transmission control server through the optical transmission line; , the optical transmission line is characterized in that the diode is connected in one direction to transmit data in the order of the internal network transmission control server, external network reception control server, external network transmission control server, and internal network reception control server.

Figure R1020190119450
Figure R1020190119450

Description

단방향 통신을 이용한 이종 망간 통신 시스템 및 방법{SYSTEM AND METHOD FOR SUPPORTING BETWEEN HETEROGENEOUS NETWORKS COMMUNICATION USING UNIDIRECTIONAL COMMUNICATION}Heterogeneous manganese communication system and method using one-way communication

본 발명은 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법에 관한 것으로서, 보다 상세하게는 다른 방향(정방향, 역방향)의 데이터 다이오드 쌍을 이용하여 단방향 특성은 그대로 유지하면서 스트림 데이터를 전송할 수 있는 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법에 관한 것이다. The present invention relates to a heterogeneous network communication system and method using unidirectional communication, and more particularly, by using a pair of data diodes in different directions (forward and reverse), unidirectional communication capable of transmitting stream data while maintaining unidirectional characteristics as it is. It relates to a heterogeneous manganese communication system and method using the same.

망 분리 환경에서, 단방향 데이터 전송 시스템은 내부망(보안 영역)에서 외부망(비보안 영역)으로 정단방향으로 데이터를 전송하기 위하여 사용되거나, 외부망에서 내부망으로 역단방향으로 데이터를 전송하기 위하여 사용된다.In a network separation environment, a unidirectional data transmission system is used to transmit data in the forward unidirectional direction from the internal network (security area) to the external network (non-security area), or to transmit data in the reverse unidirectional direction from the external network to the internal network do.

즉, 내부망과 외부망으로 상이한 보안등급으로 구성된 분리 망 사이에서 데이터 연동은 데이터 다이오드 방식 같은 물리적 단방향 특성을 지닌 단방향 보안게이트웨이 방식이 사용되고 있으며, 동일한 보안등급으로 구성된 망 구간 연동은 중계서버형 방식 또는 스토리지 방식 같은 직접 연동방식 형태의 망간 자료전송제품을 사용하고 있다. In other words, a unidirectional security gateway method with physical unidirectional characteristics, such as a data diode method, is used for data interworking between separate networks composed of different security levels into internal and external networks. Alternatively, a direct interlocking method such as a storage method is using a manganese data transmission product.

망간 자료전송제품 중 스토리지 방식이나 중계서버형 방식은 양방향 전송이 가능한 형태이지만 자동전환 스위치(ASR, Automatic Send/Receive Set)와 같은 간접 연동방식을 택하고 있어 망 연동 전환 시 소요시간, 연속적인 데이터 전송 한계로 실시간 스트림 데이터는 연동에 있어 문제가 있다. Among the data transmission products between networks, the storage method or relay server type is a form that allows bidirectional transmission, but it adopts an indirect interworking method such as an automatic transfer switch (ASR, Automatic Send/Receive Set). Due to transmission limitations, there is a problem in interworking of real-time stream data.

또 다른 형태인 단방향 보안게이트웨이 전송장치는 내부망과 외부망을 완전히 물리적으로 분리하기 위해 송신 기능만 사용하여 외부망으로부터 접근을 원천적으로 차단하여 안전한 보안영역을 유지할 수 있다. 그러나 이 방법은 외부 정보를 전달받을 수 없어 내부망 운영에 필요한 외부 데이터 수신이 불가능하여 복잡해져가는 현재의 내부망 운영 환경에서 안전하고 신뢰성 있는 내부망 운영 환경을 구축하는데 한계가 있다. Another type of one-way secure gateway transmission device can maintain a safe security area by fundamentally blocking access from the external network by using only the transmission function to completely physically separate the internal network and the external network. However, since this method cannot receive external information, it is impossible to receive external data necessary for the operation of the internal network, so there is a limit in establishing a safe and reliable internal network operating environment in the complicated current internal network operating environment.

본 발명과 관련된 선행기술로는 대한민국 공개특허공보 제2018-0009908호(2018.01.30 공개, 발명의 명칭 : 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법, 이를 수행하기 위한 기록매체 및 시스템)가 있다.As prior art related to the present invention, Republic of Korea Patent Publication No. 2018-0009908 (published on January 30, 2018, title of invention: an indirect interworking method through an internal network transmission control server in a network separation environment, a recording medium for performing the same, and system) is there.

본 발명은 상기와 같은 문제점들을 개선하기 위하여 안출된 것으로, 본 발명의 목적은 단방향 특성인 데이터 다이오드 방식의 단방향 안전성을 유지하면서 양방향으로 스트림 데이터 전송이 가능하도록 하는 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법을 제공하는 것이다. The present invention has been devised to improve the above problems, and an object of the present invention is to provide a heterogeneous network communication system using unidirectional communication that enables stream data transmission in both directions while maintaining unidirectional safety of a data diode method, which is a unidirectional characteristic, and to provide a way

본 발명이 해결하고자 하는 과제는 이상에서 언급한 과제(들)로 제한되지 않으며, 언급되지 않은 또 다른 과제(들)은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problem to be solved by the present invention is not limited to the problem(s) mentioned above, and another problem(s) not mentioned will be clearly understood by those skilled in the art from the following description.

본 발명의 일 측면에 따른 단방향 통신을 이용한 이종 망간 통신 시스템은, 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인, 내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 수신통제서버로 전송하는 내부망 송신통제서버, 외부망에 연결되며, 상기 내부망 송신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 송신통제서버로 전송하는 외부망 수신통제서버, 상기 외부망에 연결되며, 상기 외부망 수신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 하는 외부망 송신통제서버, 상기 내부망에 연결되며, 상기 외부망 송신통제서버로부터 데이터를 전송하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 상기 내부망 송신통제서버로 전송하는 내부망 수신통제서버를 포함하되, 상기 광 전송라인은 상기 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있는 것을 특징으로 한다. A heterogeneous inter-network communication system using unidirectional communication according to an aspect of the present invention is connected to an optical transmission line having a ring flow path of a one-way circulation structure, an internal network, and receives data from an internal network host, and the reception An internal network transmission control server that transmits the received data to an external network reception control server through the optical transmission line, is connected to an external network, receives data from the internal network transmission control server, and transmits the received data to the optical transmission line An external network reception control server that transmits to an external network transmission control server through a control server, an internal network reception control server connected to the internal network, transmitting data from the external network transmission control server, and transmitting the received data to the internal network transmission control server through the optical transmission line; , the optical transmission line is characterized in that the diode is connected in one direction to transmit data in the order of the internal network transmission control server, external network reception control server, external network transmission control server, and internal network reception control server.

본 발명에서 상기 내부망 송신통제서버는, 상기 내부망 호스트로부터 수신한 데이터를 적용 또는 내부망 송신 광 전송장치로 전송하는 내부망 송신 에이전트, 상기 내부망 송신 에이전트로부터 수신한 데이터를 SRL(Secure Ring Link) 패킷으로 생성하고, 상기 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 수신통제서버로 전송하는 내부망 송신 광 전송장치를 포함할 수 있다. In the present invention, the internal network transmission control server transmits data received from the internal network host to an internal network transmission agent that applies or transmits data received from the internal network host to an internal network transmission optical transmission device, and transmits data received from the internal network transmission agent to an SRL (Secure Ring) Link) packet and transmit the SRL packet to the external network reception control server through the optical transmission line.

본 발명에서 상기 외부망 수신통제서버는 상기 내부망 송신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 외부망 수신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 외부망 송신통제서버로 전송하는 외부망 수신 광 전송장치, 상기 외부망 수신 광 전송장치로부터 전송된 SRL 패킷을 적용하는 외부망 수신 에이전트를 포함할 수 있다. In the present invention, the external network reception control server analyzes the SRL packet received from the internal network transmission control server, and transmits the SRL packet to the external network reception agent or the external network through the optical transmission line according to the analysis result. It may include an external network reception optical transmitter that transmits to the transmission control server, and an external network reception agent that applies the SRL packet transmitted from the external network reception optical transmitter.

본 발명에서 상기 외부망 송신통제서버는 상기 외부망 수신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 외부망 송신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 내부망 수신통제서버로 전송하는 외부망 송신 광 전송장치, 및 상기 외부망 송신 광 전송장치로부터 전송된 데이터를 적용하는 외부망 수신 에이전트를 포함할 수 있다. In the present invention, the external network transmission control server analyzes the SRL packet received from the external network reception control server, and transmits the SRL packet to the external network transmission agent or the internal network through the optical transmission line according to the analysis result. It may include an external network transmission optical transmission device for transmitting to the reception control server, and an external network reception agent applying data transmitted from the external network transmission optical transmission device.

본 발명에서 상기 내부망 수신통제서버는, 상기 외부망 송신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 내부망 수신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 내부망 송신 광 전송장치로 전송하는 내부망 수신 광 전송장치, 상기 내부망 수신 광 전송장치로부터 전송된 데이터를 적용하는 내부망 수신 에이전트를 포함할 수 있다. In the present invention, the internal network reception control server analyzes the SRL packet received from the external network transmission control server, and transmits the SRL packet to the internal network reception agent or the internal network through the optical transmission line according to the analysis result. It may include an internal network reception optical transmission device for transmitting to the network transmission optical transmission device, and an internal network reception agent applying data transmitted from the internal network reception optical transmission device.

본 발명에서 상기 SRL 패킷은, 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 데이터로 구성될 수 있다. In the present invention, the SRL packet may be composed of a header and data including a purpose (SRL_FLAG), a counter (SRL_CNT) for classifying the number of relays to a destination, and a control server identifier (Upload_ID).

본 발명에서 상기 내부망 송신 광 전송장치, 외부망 수신 광 전송장치, 외부망 송신 광 전송장치 및 내부망 수신 광 전송장치 각각은, 에이전트와의 통신을 위한 인터페이스부, 타 통제서버로 SRL 패킷을 전송하는 단방향 광 송신부, 타 통제서버로부터 SRL 패킷을 수신하는 단방향 광 수신부를 포함할 수 있다. In the present invention, each of the internal network transmission optical transmission device, external network reception optical transmission device, external network transmission optical transmission device, and internal network reception optical transmission device transmits an SRL packet to an interface unit for communication with an agent and another control server. It may include a unidirectional optical transmitter for transmitting and a unidirectional optical receiver for receiving SRL packets from other control servers.

본 발명에서 상기 단방향 광 송신부는, 상기 데이터의 배포 및 중계를 위한 SRL 패킷을 멀티플렉싱하는 다중화부, 상기 멀티플렉싱된 SRL 패킷을 인코딩하는 인코딩부, 상기 인코딩된 SRL 패킷을 상기 광 전송라인으로 전송하는 송신부를 포함할 수 있다. In the present invention, the unidirectional optical transmitter includes a multiplexer that multiplexes SRL packets for distribution and relay of the data, an encoder that encodes the multiplexed SRL packet, and a transmitter that transmits the encoded SRL packet to the optical transmission line may include

본 발명에서 상기 단방향 광 수신부는, 상기 광 전송라인을 통해 SRL 패킷을 수신하는 수신부, 상기 수신된 SRL 패킷을 디코딩하는 디코딩부, 및 상기 디코딩된 SRL 패킷의 통제서버 구분자가 자신에 해당하는 값인지 판단하여, 자신에 해당하는 값인 경우 상기 SRL 패킷을 상기 인터페이스부를 통해 에이전트에 업로드하고, 자신에 해당하는 값이 아닌 경우 상기 카운터의 값을 감소시킨 후 상기 단방향 광 송신부의 다중화부로 전송하는 수신 패킷 처리부를 포함할 수 있다. In the present invention, the unidirectional optical receiver determines whether the receiver that receives the SRL packet through the optical transmission line, the decoder that decodes the received SRL packet, and the control server identifier of the decoded SRL packet correspond to their values. Receive packet processing unit that determines and uploads the SRL packet to the agent through the interface unit if it is a value corresponding to itself, decrements the value of the counter if it is not a value corresponding to itself may include

본 발명에서 상기 광 전송라인은, 서로 다른 방향의 다이오드 상으로 이루어질 수 있다. In the present invention, the optical transmission line may be formed on diodes in different directions.

본 발명의 일 측면에 따른 단방향 통신을 이용한 이종 망간 통신 방법은, 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버를 구비하는 단방향 통신을 이용한 이종 망간 통신 시스템에서 보안정책 전송 방법에 있어서, 상기 내부망 송신통제서버의 내부망 송신 에이전트가 내부망 보안서버로부터 보안정책 배포 명령을 수신하면, 상기 내부망 송신통제서버의 내부망 광 전송장치가 보안정책 배포 SRL 패킷을 생성하여 상기 외부망 수신통제서버로 전송하는 단계, 상기 외부망 수신통제서버의 외부망 수신 광 전송장치가 상기 보안정책 배포 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 SRL 패킷을 외부망 수신 에이전트에 업로드하며, 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하는 단계, 상기 외부망 송신통제서버의 외부망 송신 광 전송장치가 상기 제1 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제1 중계 SRL 패킷을 외부망 송신 에이전트(410)에 업로드하며, 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하는 단계, 상기 내부망 수신통제서버의 내부망 수신 광 전송장치가 상기 제2 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제2 중계 SRL 패킷을 내부망 수신 에이전트에 업로드하며, 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하고, 업로드 대상이 아닌 경우 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하는 단계, 및 상기 내부망 송신 광 전송장치가 상기 제3 중계 SRL 패킷의 카운터 값을 감소시킨 후 상기 내부망 송신 에이전트로 업로드하는 단계를 포함한다. A heterogeneous network communication method using one-way communication according to an aspect of the present invention is a heterogeneous network communication using one-way communication including an internal network transmission control server, an external network reception control server, an external network transmission control server, and an internal network reception control server. A method for transmitting a security policy in a system, wherein when the internal network transmission agent of the internal network transmission control server receives a security policy distribution command from the internal network security server, the internal network optical transmission device of the internal network transmission control server distributes the security policy generating an SRL packet and transmitting it to the external network reception control server; an external network reception optical transmission device of the external network reception control server analyzes the security policy distribution SRL packet to determine whether to upload it, and if it is an upload target, the It uploads an SRL packet to the external network reception agent, transmits the first relay SRL packet in which the counter value of the SRL packet is reduced, to the external network transmission control server, and decreases the counter value of the SRL packet if it is not an upload target. transmitting a first relay SRL packet to the external network transmission control server; an external network transmission optical transmission device of the external network transmission control server analyzes the first relay SRL packet to determine whether the packet is an upload target, and if it is an upload target Uploads the first relay SRL packet to the external network transmission agent 410, and transmits a second relay SRL packet in which the counter value of the first relay SRL packet is decremented to the internal network reception control server. case, transmitting a second relay SRL packet in which the counter value of the first relay SRL packet is decreased to the internal network reception control server; is analyzed to determine whether or not the upload target is an upload target, uploads the second relay SRL packet to the internal network receiving agent, and transmits a third relay SRL packet obtained by decreasing the counter value of the second relay SRL packet to the internal network Counter of the second relay SRL packet transmitted to the optical transmitter and not uploaded transmitting a third relay SRL packet with a reduced value to the internal network transmission optical transmitter; and, after the internal network optical transmission device decrements the counter value of the third relay SRL packet, to the internal network transmission agent including uploading.

본 발명은 상기 내부망 송신 광 전송장치가 상기 제3 중계 SRL 패킷의 카운터 값을 감소시킨 후 상기 내부망 송신 에이전트로 업로드하는 단계 이후, 상기 내부망 송신 에이전트가 상기 보안정책 배포 SRL 패킷을 상기 보안서버로 전송하는 단계를 더 포함할 수 있다. According to the present invention, after the internal network transmission optical transmitter decreases the counter value of the third relay SRL packet and uploads it to the internal network transmission agent, the internal network transmission agent transmits the security policy distribution SRL packet to the security It may further include the step of transmitting to the server.

본 발명에서 상기 내부망 송신 광 전송장치, 외부망 수신 광 전송장치, 외부망 송신 광 전송장치 및 내부망 수신 광 전송장치는 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인으로 연결되어, 상기 광 전송라인을 통해 단방향으로 SRL 패킷을 전송할 수 있다. In the present invention, the internal network transmission optical transmission device, external network reception optical transmission device, external network transmission optical transmission device, and internal network reception optical transmission device are connected by an optical transmission line having a ring flow path of a one-way circulation structure. , it is possible to transmit the SRL packet in one direction through the optical transmission line.

본 발명에서 상기 내부망 송신통제서버의 내부망 송신 광 전송장치가 보안정책 배포 SRL 패킷을 생성하여 상기 외부망 수신통제서버로 전송하는 단계는, 상기 내부망 송신 광 전송장치의 단방향 광 송신부가, 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 보안정책 데이터로 구성된 상기 보안정책 배포 SRL 패킷을 생성하는 단계, 상기 내부망 송신 광 전송장치의 단방향 광 수신부가, 상기 보안정책 배포 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 수신 광 전송장치로 전송하는 단계를 포함할 수 있다. In the present invention, the step of generating a security policy distribution SRL packet by the internal network transmission optical transmission device of the internal network transmission control server and transmitting it to the external network reception control server comprises: the one-way optical transmission unit of the internal network transmission optical transmission device; Generating the security policy distribution SRL packet consisting of a header and security policy data including a purpose (SRL_FLAG), a counter (SRL_CNT) for classifying the number of relays to a destination, and a control server identifier (Upload_ID); and transmitting, by the one-way optical receiver of the transmitter, the security policy distribution SRL packet to the external network receiver optical transmitter through the optical transmission line.

본 발명에서 상기 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하는 단계는, 상기 외부망 수신 광 전송장치의 단방향 광 수신부가 상기 보안정책 배포 SRL 패킷의 통제 서버 구분자를 통해 업로드 대상 여부를 판단하는 단계, 상기 판단결과 업로드 대상인 경우 상기 외부망 수신 광 전송장치의 단방향 광 수신부가 상기 보안정책 배포 SRL 패킷의 보안정책 데이터를 상기 외부망 수신 광 전송장치의 단방향 광 송신부를 통해 외부망 수신 에이전트에 업로드하고, 상기 보안정책 배포 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 수신 광 전송장치의 단방향 광 송신부로 전송하며, 업로드 대상이 아닌 경우 상기 보안정책 배포 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 상기 외부망 수신 광 전송장치의 단방향 광 송신부로 전송하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 송신부가 상기 제1 중계 SRL 패킷을 광 전송라인을 통해 상기 외부망 송신 광 전송장치로 전송하는 단계를 포함할 수 있다. In the present invention, in the step of transmitting the first relay SRL packet to the external network transmission control server, the unidirectional optical receiver of the external network reception optical transmission device determines whether to upload the security policy distribution SRL packet through the control server identifier of the packet. judging, if the determination result is an upload target, the one-way optical receiver of the external network receiving optical transmitter transmits the security policy data of the security policy distribution SRL packet to the external network receiving agent through the one-way optical transmitter of the external network receiving optical transmitter and transmits the first relay SRL packet in which the counter value of the security policy distribution SRL packet is reduced to the one-way optical transmitter of the external network reception optical transmitter, and if not for upload, the counter of the security policy distribution SRL packet transmitting a first relay SRL packet with a reduced value to a unidirectional optical transmitter of the external network reception optical transmitter, wherein the unidirectional optical transmitter of the external network reception optical transmitter transmits the first relay SRL packet to an optical transmission line It may include the step of transmitting to the external network transmission optical transmission device through the.

본 발명에서 상기 외부망 수신 광 전송장치의 단방향 광 수신부가 상기 보안정책 데이터를 상기 외부망 수신 에이전트에 업로드한 경우, 상기 외부망 수신 에이전트가 상기 보안정책 데이터를 적용하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 송신부가 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 보안정책 응답 데이터로 구성된 보안정책 적용 응답 SRL 패킷을 생성하고, 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 송신 광 전송장치의 단방향 광 수신부로 전송하는 단계를 포함할 수 있다. In the present invention, when the one-way optical receiver of the external network reception optical transmitter uploads the security policy data to the external network reception agent, the external network reception agent applies the security policy data; The unidirectional optical transmitter of the transmitter generates a security policy application response SRL packet consisting of a header and security policy response data including a purpose (SRL_FLAG), a counter (SRL_CNT) that distinguishes the number of relays to the destination, and a control server identifier (Upload_ID). and transmitting the response SRL packet to a unidirectional optical receiver of the external network transmission optical transmitter through the optical transmission line.

본 발명은 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 송신 광 전송장치의 단방향 광 수신부로 전송하는 단계 이후, 상기 외부망 송신 광 전송장치의 단방향 광 수신부가, 상기 응답 SRL 패킷의 카운터 값을 감소시킨 제1 응답 중계 SRL 패킷을 생성하는 단계, 상기 외부망 송신 광 전송장치의 단방향 광 송신부가 상기 제1 응답 중계 SRL 패킷을 상기 외부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 수신부가, 상기 제1 중계 응답 SRL 패킷의 카운터 값을 감소시킨 제2 응답 중계 SRL 패킷을 생성하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 송신부가 상기 제2 중계 응답 SRL 패킷을 상기 내부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계, 상기 내부망 수신 광 전송장치의 단방향 광 수신부가 상기 제2 중계 응답 SRL 패킷의 카운터 값을 감소시킨 후 상기 보안정책 응답 데이터를 상기 내부망 송신 에이전트로 업로드하는 단계, 및 상기 내부망 송신 에이전트가 상기 보안정책 응답 데이터를 상기 보안서버로전송하는 단계를 더 포함할 수 있다. In the present invention, after transmitting the response SRL packet to the unidirectional optical receiver of the external network transmission optical transmitter through the optical transmission line, the unidirectional optical receiver of the external network transmission optical transmission device counters the response SRL packet. generating a first response relay SRL packet with a reduced value; transmitting, by a unidirectional optical transmitter of the external network transmission optical transmitter, the first response relay SRL packet to a unidirectional optical receiver of the external network reception optical transmitter , generating, by the unidirectional optical receiver of the external network reception optical transmitter, a second response relay SRL packet in which a counter value of the first relay response SRL packet is decreased, by the unidirectional optical transmitter of the external network reception optical transmitter transmitting the second relay response SRL packet to a unidirectional optical receiver of the internal network reception optical transmitter, after the unidirectional optical receiver of the internal network reception optical transmitter decreases the counter value of the second relay response SRL packet The method may further include uploading the security policy response data to the internal network transmission agent, and transmitting, by the internal network transmission agent, the security policy response data to the security server.

본 발명에서 상기 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하는 단계는, 상기 외부망 송신 광 전송장치의 단방향 광 수신부가 상기 제1 중계 SRL 패킷의 통제 서버 구분자를 통해 업로드 대상 여부를 판단하는 단계, 상기 판단결과 업로드 대상인 경우 상기 외부망 송신 광 전송장치의 단방향 광 수신부가 상기 제1 중계 SRL 패킷의 보안정책 데이터를 상기 외부망 송신 광 전송장치의 단방향 광 송신부를 통해 외부망 송신 에이전트(410)에 업로드하고, 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 외부망 송신 광 전송장치의 단방향 광 송신부로 전송하며, 업로드 대상이 아닌 경우 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 외부망 송신 광 전송장치의 단방향 광 송신부로 전송하는 단계, 상기 외부망 송신 광 전송장치의 단방향 광 송신부가 상기 제2 중계 SRL 패킷을 광 전송라인을 통해 상기 내부망 수신 광 전송장치로 전송하는 단계를 포함할 수 있다. In the present invention, the step of transmitting the second relay SRL packet to the internal network reception control server includes: the one-way optical receiver of the external network transmission optical transmission device determines whether the upload target is an upload target through the control server identifier of the first relay SRL packet. determining; if the determination result is the upload target, the one-way optical receiver of the external network transmission optical transmitter transmits the security policy data of the first relay SRL packet to the external network transmission agent through the one-way optical transmitter of the external network optical transmitter The second relay SRL packet that is uploaded to 410 and reduced the counter value of the first relay SRL packet is transmitted to the one-way optical transmitter of the external network transmission optical transmitter. transmitting a second relay SRL packet with a reduced packet counter value to a unidirectional optical transmitter of the external network transmission optical transmitter, wherein the unidirectional optical transmitter of the external network optical transmission device optically transmits the second relay SRL packet It may include transmitting to the internal network reception optical transmitter through a line.

본 발명에서 상기 외부망 송신 광 전송장치의 단방향 광 수신부가 상기 보안정책 데이터를 상기 외부망 송신 에이전트에 업로드한 경우, 상기 외부망 송신 에이전트가 상기 보안정책 데이터를 적용하는 단계, 상기 외부망 송신 광 전송장치의 단방향 광 송신부가 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 보안정책 응답 데이터로 구성된 보안정책 적용 응답 SRL 패킷을 생성하고, 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 내부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계를 포함할 수 있다. In the present invention, when the one-way optical receiver of the external network transmission optical transmission device uploads the security policy data to the external network transmission agent, the external network transmission agent applying the security policy data; The unidirectional optical transmitter of the transmitter generates a security policy application response SRL packet consisting of a header and security policy response data including a purpose (SRL_FLAG), a counter (SRL_CNT) that distinguishes the number of relays to the destination, and a control server identifier (Upload_ID). and transmitting the response SRL packet to a unidirectional optical receiver of the internal network reception optical transmitter through the optical transmission line.

본 발명은 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 내부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계 이후, 상기 내부망 수신 광 전송장치의 단방향 광 수신부가 상기 응답 SRL 패킷의 카운터 값을 감소시킨 후 상기 보안정책 응답 데이터를 상기 내부망 송신 에이전트로 업로드하는 단계, 상기 내부망 송신 에이전트가 상기 보안정책 응답 데이터를 상기 보안서버로 전송하는 단계를 더 포함할 수 있다. In the present invention, after the step of transmitting the response SRL packet to the unidirectional optical receiver of the internal network reception optical transmitter through the optical transmission line, the unidirectional optical receiver of the internal network reception optical transmitter receives the counter value of the response SRL packet The method may further include uploading the security policy response data to the internal network transmission agent after reducing , and transmitting, by the internal network transmission agent, the security policy response data to the security server.

본 발명에 따르면, 다른 방향(정방향, 역방향)의 데이터 다이오드 쌍을 이용하여 단방향 특성은 그대로 유지하면서 스트림 데이터를 전송할 수 있다. According to the present invention, stream data can be transmitted while maintaining unidirectional characteristics by using a pair of data diodes in different directions (forward and reverse).

또한, 본 발명에 따르면, 일방향으로 이어진 링(Ring) 순환 흐름을 갖는 SRL 통신 경로에서 보안정책 전달용(Delivery_confirm) SRL 패킷에 대한 무결성 보장을 위해 보안영역의 송신통제서버가 시작점이자 최종 도착점이 되게 함으로써, 해당 보안정책 전달이 일방향 링 순환 경로를 통해 각 통제서버로 정상적으로 전달되었는지 확인할 수 있고, 보안 설정 권한이 없는 다른 통제서버로부터 보안정책이 위*?*변조되는 것을 방지할 수 있다. In addition, according to the present invention, in order to ensure the integrity of the SRL packet for security policy delivery (Delivery_confirm) in the SRL communication path having a ring circulation flow connected in one direction, the transmission control server of the security area becomes the starting point and the final destination. By doing so, it can be checked whether the security policy transmission is normally delivered to each control server through the one-way ring circulation path, and it is possible to prevent forgery*?

한편, 본 발명의 효과는 이상에서 언급한 효과들로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 효과들이 포함될 수 있다. On the other hand, the effects of the present invention are not limited to the above-mentioned effects, and various effects may be included within the range apparent to those skilled in the art from the contents to be described below.

도 1은 본 발명의 일 실시예에 따른 단방향 통신을 이용한 이종 망간 통신 시스템을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 광 전송장치의 구성을 개략적으로 나타낸 블록도이다.
도 3은 본 발명의 일 실시예에 따른 SRL 패킷을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 SRL 프로토콜을 이용한 보안정책 배포 및 관리 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 SRL 패킷을 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 메시지 전달을 위한 SRL 통신을 설명하기 위한 도면이다.
도 8은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 SRL 패킷을 설명하기 위한 도면이다.
1 is a diagram illustrating a heterogeneous inter-network communication system using unidirectional communication according to an embodiment of the present invention.
2 is a block diagram schematically showing the configuration of an optical transmission device according to an embodiment of the present invention.
3 is a diagram for explaining an SRL packet according to an embodiment of the present invention.
4 is a view for explaining a security policy distribution and management method using the SRL protocol according to an embodiment of the present invention.
5 is a diagram for explaining a method for security policy distribution and relay according to an embodiment of the present invention.
6 is a diagram for explaining an SRL packet for security policy distribution and relay according to an embodiment of the present invention.
7 is a diagram for explaining SRL communication for transmitting a response message according to application of a security policy according to an embodiment of the present invention.
8 is a diagram for explaining a response SRL packet according to application of a security policy according to an embodiment of the present invention.

이하, 첨부된 도면들을 참조하여 본 발명의 일 실시예에 따른 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법을 설명한다. 이 과정에서 도면에 도시된 선들의 두께나 구성요소의 크기 등은 설명의 명료성과 편의상 과장되게 도시되어 있을 수 있다. Hereinafter, a heterogeneous inter-network communication system and method using unidirectional communication according to an embodiment of the present invention will be described with reference to the accompanying drawings. In this process, the thickness of the lines or the size of the components shown in the drawings may be exaggerated for clarity and convenience of explanation.

또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In addition, the terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to the intention or custom of the user or operator. Therefore, definitions of these terms should be made based on the content throughout this specification.

또한, 본 명세서에서 설명된 구현은, 예컨대, 방법 또는 프로세스, 장치, 소프트웨어 프로그램, 데이터 스트림 또는 신호로 구현될 수 있다. 단일 형태의 구현의 맥락에서만 논의(예컨대, 방법으로서만 논의)되었더라도, 논의된 특징의 구현은 또한 다른 형태(예컨대, 장치 또는 프로그램)로도 구현될 수 있다. 장치는 적절한 하드웨어, 소프트웨어 및 펌웨어 등으로 구현될 수 있다. 방법은, 예컨대, 컴퓨터, 마이크로프로세서, 집적 회로 또는 프로그래밍가능한 로직 디바이스 등을 포함하는 프로세싱 디바이스를 일반적으로 지칭하는 프로세서 등과 같은 장치에서 구현될 수 있다. 프로세서는 또한 최종-사용자 사이에 정보의 통신을 용이하게 하는 컴퓨터, 셀 폰, 휴대용/개인용 정보 단말기(personal digital assistant: "PDA") 및 다른 디바이스 등과 같은 통신 디바이스를 포함한다.Further, implementations described herein may be implemented as, for example, a method or process, an apparatus, a software program, a data stream, or a signal. Although discussed only in the context of a single form of implementation (eg, only as a method), implementations of the discussed features may also be implemented in other forms (eg, in an apparatus or a program). The apparatus may be implemented in suitable hardware, software and firmware, and the like. A method may be implemented in an apparatus such as, for example, a processor, which generally refers to a computer, a microprocessor, a processing device, including an integrated circuit or programmable logic device, or the like. Processors also include communication devices such as computers, cell phones, portable/personal digital assistants ("PDAs") and other devices that facilitate communication of information between end-users.

도 1은 본 발명의 일 실시예에 따른 단방향 통신을 이용한 이종 망간 통신 시스템을 나타낸 도면이다. 1 is a diagram illustrating a heterogeneous inter-network communication system using unidirectional communication according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 단방향 통신을 이용한 망간 통신 시스템(100)은 내부망 송신통제서버(200), 외부망 수신통제서버(300), 외부망 송신통제서버(400) 및 내부망 수신통제서버(500)를 포함하고, 이들은 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인(600)으로 연결될 수 있다. 그리고, 단방향 통신을 이용한 망간 통신 시스템은 내부망(보안영역)(700)과 외부망(비보안영역)(800) 사이에 위치할 수 있다. Referring to FIG. 1 , an inter-network communication system 100 using one-way communication according to an embodiment of the present invention includes an internal network transmission control server 200 , an external network reception control server 300 , and an external network transmission control server 400 . ) and an internal network reception control server 500 , which may be connected by an optical transmission line 600 having a ring flow path of a one-way circulation structure. In addition, the inter-network communication system using one-way communication may be located between the internal network (security area) 700 and the external network (non-security area) 800 .

내부망(700)은 내부망 시스템들을 포함하고, 외부망(800)은 외부망 시스템들을 포함할 수 있다. 내부망 시스템들은 내부망(700)을 통하여 연결된 시스템들로서, 동일한 시스템이거나 다른 시스템일 수 있다. 예컨대, 내부망 시스템은 보안서버, 로그서버 등을 포함할 수 있다. 외부망 시스템들은 외부망(800)을 통하여 연결된 시스템들로서, 동일한 시스템이거나 다른 시스템일 수 있다. 예컨대, 외부망 시스템은 OPC-UA 등을 포함할 수 있다. The internal network 700 may include internal network systems, and the external network 800 may include external network systems. The internal network systems are systems connected through the internal network 700 , and may be the same system or different systems. For example, the internal network system may include a security server, a log server, and the like. External network systems are systems connected through the external network 800 , and may be the same system or different systems. For example, the external network system may include OPC-UA or the like.

내부망 송신통제서버(200)는 내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 외부망 수신통제서버(300)로 전송한다. The internal network transmission control server 200 is connected to the internal network, receives data from the internal network host, and transmits the received data to the external network reception control server 300 through the optical transmission line 600 .

내부망 송신통제서버(200)는 내부망 송신 에이전트(210) 및 내부망 송신 광 전송장치(220)를 포함한다. The internal network transmission control server 200 includes an internal network transmission agent 210 and an internal network transmission optical transmission device 220 .

내부망 송신 에이전트(210)는 내부망 호스트로부터 수신한 데이터를 적용 또는 내부망 송신 광 전송장치(220)로 전송한다. 또한, 내부망 송신 에이전트(210)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다. The internal network transmission agent 210 transmits the data received from the internal network host to the application or internal network transmission optical transmission device 220 . In addition, the internal network transmission agent 210 informs whether the received data (eg, security policy) is normally applied, or a control command such as an error or loss detection or retransmission request for data transmitted between transmission and reception control server proxies can be sent to the secure server.

내부망 송신 광 전송장치(220)는 내부망 송신 에이전트(210)로부터 수신한 데이터를 SRL(Secure Ring Link) 패킷으로 생성하고, SRL 패킷을 광 전송라인(600)을 통해 외부망 수신통제서버(300)로 전송한다.The internal network transmission optical transmission device 220 generates data received from the internal network transmission agent 210 into SRL (Secure Ring Link) packets, and transmits the SRL packets to the external network reception control server ( 300) is sent.

내부망 송신 광 전송장치(220)는 내부망(보안영역)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 내부망 송신 광 전송장치(220)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다. 여기서, SRL 패킷은 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 데이터로 구성된 것으로, 상세한 설명은 도 3에서 설명하기로 한다. The internal network transmission optical transmission device 220 transmits the optical transmission channel to the one-way optical transmission unit 920 so that the linked security policy can be safely transmitted to other control servers so that the administrator can control the business data in the internal network (security area). and a unidirectional light receiver. Therefore, the internal network transmission optical transmitter 220 uses the unidirectional optical transmitter 920 and the unidirectional optical receiver to have a one-way cyclic ring flow using the incompatible Secure Ring Link (SRL). A security policy can be relayed to other control servers using data frames (ie, SRL packets). Here, the SRL packet is composed of a header and data including a purpose (SRL_FLAG), a counter (SRL_CNT) that distinguishes the number of relays to a destination, and a control server identifier (Upload_ID), and a detailed description will be described in FIG. 3 .

외부망 수신통제서버(300)는 외부망(800)에 연결되며, 내부망 송신통제서버(200)로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 외부망 송신통제서버(400)로 전송한다. The external network reception control server 300 is connected to the external network 800, receives data from the internal network transmission control server 200, and transmits the received data to the external network transmission control server ( 400) is sent.

외부망 수신통제서버(300)는 외부망 수신 에이전트(310) 및 외부망 수신 광 전송장치(320)를 포함한다. The external network reception control server 300 includes an external network reception agent 310 and an external network reception optical transmission device 320 .

외부망 수신 에이전트(310)는 외부망 수신 광 전송장치(320)로부터 전송된 SRL 패킷을 적용한다. 또한, 외부망 수신 에이전트(310)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다. The external network reception agent 310 applies the SRL packet transmitted from the external network reception optical transmitter 320 . In addition, the external network reception agent 310 informs whether the received data (eg, a security policy) is normally applied, or a control command such as an error or loss detection or retransmission request for data transmitted between transmission and reception control server proxies can be sent to the secure server.

외부망 수신 광 전송장치(320)는 내부망 송신통제서버(200)로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 SRL 패킷을 외부망 수신 에이전트(310)에 전송 또는 외부망 송신통제서버(400)로 전송한다. The external network reception optical transmitter 320 analyzes the SRL packet received from the internal network transmission control server 200, and transmits the SRL packet to the external network reception agent 310 or external network transmission control server according to the analysis result. (400).

외부망 수신 광 전송장치(320)는 내부망(보안영역)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 외부망 수신 광 전송장치(320)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다. The external network reception optical transmission device 320 transmits an optical transmission channel to the one-way optical transmission unit 920 to safely transmit the linked security policy to other control servers so that the administrator can control business data in the internal network (security area). and a unidirectional light receiver. Therefore, the external network reception optical transmitter 320 uses the one-way optical transmitter 920 and the one-way optical receiver to have a one-way cyclic ring flow using a non-compatible security policy transfer protocol (SRL, Secure Ring Link). A security policy can be relayed to other control servers using data frames (ie, SRL packets).

외부망 송신통제서버(400)는 외부망(800)에 연결되며, 외부망 수신통제서버(300)로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 내부망 수신통제서버(500)로 전송한다. The external network transmission control server 400 is connected to the external network 800, receives data from the external network reception control server 300, and transmits the received data to the internal network reception control server ( 500) is sent.

외부망 송신통제서버(400)는 외부망 송신 에이전트(410) 및 외부망 송신 광 전송장치(420)를 포함한다. The external network transmission control server 400 includes an external network transmission agent 410 and an external network transmission optical transmission device 420 .

외부망 송신 에이전트(410)는 외부망 송신 광 전송장치(420)로부터 전송된 데이터를 적용한다. 또한, 외부망 송신 에이전트(410)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다. The external network transmission agent 410 applies the data transmitted from the external network transmission optical transmission device 420 . In addition, the external network transmission agent 410 informs whether the received data (eg, security policy) is normally applied, or a control command such as an error or loss detection or retransmission request for data transmitted between transmission and reception control server proxies can be sent to the secure server.

외부망 송신 광 전송장치(420)는 외부망 수신통제서버(300)로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 SRL 패킷을 외부망 수신 에이전트(310)에 전송 또는 내부망 수신통제서버(500)로 전송한다. The external network transmission optical transmitter 420 analyzes the SRL packet received from the external network reception control server 300, and transmits the SRL packet to the external network reception agent 310 or the internal network reception control server according to the analysis result. (500).

외부망 송신 광 전송장치(420)는 내부망(보안영역)(700)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 외부망 송신 광 전송장치(420)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다. The external network transmission optical transmission device 420 transmits the optical transmission channel to the internal network (security area) 700 so that the administrator can control the business data and safely transmit the linked security policy to other control servers. It may have a structure separated into 920 and a unidirectional light receiving unit. Accordingly, the external network transmission optical transmitter 420 uses the one-way optical transmitter 920 and the one-way optical receiver to have a one-way cyclic ring flow using the incompatible secure policy delivery protocol (SRL, Secure Ring Link). A security policy can be relayed to other control servers using data frames (ie, SRL packets).

내부망 수신통제서버(500)는 내부망(700)에 연결되며, 외부망 송신통제서버(400)로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 내부망 송신통제서버(200)로 전송한다. The internal network reception control server 500 is connected to the internal network 700, receives data from the external network transmission control server 400, and transmits the received data to the internal network transmission control server ( 200) is sent.

내부망 수신통제서버(500)는 내부망 수신 에이전트(510) 및 내부망 수신 광 전송장치(520)를 포함한다. The internal network reception control server 500 includes an internal network reception agent 510 and an internal network reception optical transmission device 520 .

내부망 수신 에이전트(510)는 내부망 수신 광 전송장치(520)로부터 전송된 데이터를 적용한다. 또한, 내부망 수신 에이전트(510)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다. The internal network reception agent 510 applies data transmitted from the internal network reception optical transmission device 520 . In addition, the internal network reception agent 510 informs whether the received data (eg, security policy) is normally applied, or controls commands such as error or loss detection or retransmission request for data transmitted between transmission and reception control server proxies. can be sent to the secure server.

내부망 수신 광 전송장치(520)는 외부망 송신통제서버(400)로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 SRL 패킷을 내부망 수신 에이전트(510)에 전송 또는 내부망 송신 광 전송장치(220)로 전송한다.The internal network reception optical transmitter 520 analyzes the SRL packet received from the external network transmission control server 400, and transmits the SRL packet to the internal network reception agent 510 or internal network transmission optical transmission according to the analysis result. sent to device 220 .

내부망 수신 광 전송장치(520)는 내부망(보안영역)(700)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 내부망 수신 광 전송장치(520)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다. The internal network reception optical transmitter 520 transmits the optical transmission channel to the one-way optical transmitter so that the security policy linked to the internal network (security area) 700 can be safely transmitted to other control servers so that the administrator can control the business data. It may have a structure separated into 920 and a unidirectional light receiving unit. Therefore, the internal network reception optical transmitter 520 uses the one-way optical transmitter 920 and the one-way optical receiver to have a one-way cyclic ring flow using a non-compatible secure policy delivery protocol (SRL, Secure Ring Link). A security policy can be relayed to other control servers using data frames (ie, SRL packets).

광 전송라인(600)은 데이터(예컨대, 보안정책) 전달에 필요한 일방향 순환구조의 링(Ring) 흐름 경로를 가지고 있고, 내부망 송신통제서버(200), 외부망 수신통제서버(300), 외부망 송신통제서버(400) 및 내부망 수신통제서버(500)의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있다. The optical transmission line 600 has a ring flow path of a one-way circulation structure required for data (eg, security policy) transmission, and includes an internal network transmission control server 200 , an external network reception control server 300 , and an external network. A diode is connected in one direction so that data is transmitted in the order of the network transmission control server 400 and the internal network reception control server 500 .

도 2는 본 발명의 일 실시예에 따른 광 전송장치의 구성을 개략적으로 나타낸 블록도, 도 3은 본 발명의 일 실시예에 따른 SRL 패킷을 설명하기 위한 도면이다. 2 is a block diagram schematically showing the configuration of an optical transmission apparatus according to an embodiment of the present invention, and FIG. 3 is a diagram for explaining an SRL packet according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일 실시예에 따른 광 전송장치(900)는 인터페이스부(910), 단방향 광 송신부(920) 및 단방향 광 수신부(930)를 포함한다. Referring to FIG. 2 , an optical transmitter 900 according to an embodiment of the present invention includes an interface unit 910 , a unidirectional light transmitter 920 , and a unidirectional light receiver 930 .

인터페이스부(910)는 에이전트와의 통신을 위한 구성일 수 있다. The interface unit 910 may be configured for communication with an agent.

단방향 광 송신부(920)는 타 통제서버로 SRL 패킷을 전송하는 구성으로, 단방향 광 송신부(920)는 다중화부(922), 인코딩부(924) 및 송신부(926)를 포함한다. The unidirectional optical transmitter 920 transmits an SRL packet to another control server. The unidirectional optical transmitter 920 includes a multiplexer 922 , an encoding part 924 , and a transmitter 926 .

다중화부(922)는 데이터의 배포 및 중계를 위한 SRL 패킷을 멀티플렉싱한다.The multiplexer 922 multiplexes SRL packets for data distribution and relay.

인코딩부(924)는 다중화부(922)에서 멀티플렉싱된 SRL 패킷을 인코딩한다. The encoding unit 924 encodes the SRL packet multiplexed by the multiplexing unit 922 .

송신부(926)는 인코딩부(922)에서 인코딩된 SRL 패킷을 광 전송라인(600)으로 전송한다. The transmitter 926 transmits the SRL packet encoded by the encoder 922 to the optical transmission line 600 .

단방향 광 수신부(930)는 타 통제서버로부터 SRL 패킷을 수신하는 구성으로, 수신부(932), 디코딩부(934) 및 수신 패킷 처리부(936)를 포함한다. The unidirectional light receiving unit 930 is configured to receive an SRL packet from another control server, and includes a receiving unit 932 , a decoding unit 934 , and a received packet processing unit 936 .

수신부(932)는 광 전송라인(600)을 통해 SRL 패킷을 수신한다. The receiver 932 receives the SRL packet through the optical transmission line 600 .

디코딩부(934)는 수신부(932)에서 수신한 SRL 패킷을 디코딩한다. The decoding unit 934 decodes the SRL packet received by the receiving unit 932 .

수신 패킷 처리부(936)는 디코딩부(934)에서 디코딩된 SRL 패킷의 통제서버 구분자가 자신에 해당하는 값인지 판단하여, 자신에 해당하는 값인 경우 상기 SRL 패킷을 인터페이스부(910)를 통해 에이전트에 업로드하고, 자신에 해당하는 값이 아닌 경우 SRL 패킷의 카운터 값을 감소시킨 후 단방향 광 송신부(920)의 다중화부(922)로 전송한다. The received packet processing unit 936 determines whether the control server identifier of the SRL packet decoded by the decoding unit 934 has a value corresponding to it, and if it is a value corresponding to itself, the SRL packet is transmitted to the agent through the interface unit 910. After uploading, the counter value of the SRL packet is decremented if the value is not corresponding to the value, and then transmitted to the multiplexing unit 922 of the unidirectional optical transmitter 920 .

광 전송장치(900)의 보안정책 수신 및 중계 경로는 하드웨어로 제작된 수신 패킷 처리부를 통해 외부 간섭 없이 독립적인 순환 링(Ring) 흐름을 제공할 수 있어 외부 해킹에 따른 보안정책 위·변조 불가능할 수 있다. 하드웨어로 제작된 광 전송장치의 구성에 따른 보안정책 배포 및 중계를 위한 SRL 패킷은 도 3과 같은 구조일 수 있다. The security policy reception and relay path of the optical transmission device 900 can provide an independent circular ring flow without external interference through a reception packet processing unit made of hardware, so that it is impossible to forge/modify the security policy due to external hacking. have. The SRL packet for distribution and relay of security policies according to the configuration of the optical transmission device made of hardware may have a structure as shown in FIG. 3 .

도 3을 참조하면, SRL 패킷(SRL 데이터그램 패킷)은 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 SRL 헤더 및 데이터로 구성된다. Referring to FIG. 3 , an SRL packet (SRL datagram packet) consists of an SRL header and data including a purpose (SRL_FLAG), a counter (SRL_CNT) that distinguishes the number of relays to a destination, and a control server identifier (Upload_ID).

SRL 패킷 헤더의 구성요소는 아래 표 1과 같을 수 있다. The components of the SRL packet header may be as shown in Table 1 below.

Figure 112019099008910-pat00001
Figure 112019099008910-pat00001

'SRL_FLAG'는 표 1에서와 같이 SRL 패킷의 용도에 따른 구분자로 2개의 비트로 표현할 수 있고, 아래 표 2와 같을 수 있다. 'SRL_FLAG' is a delimiter according to the purpose of the SRL packet as shown in Table 1, and may be expressed with two bits, as shown in Table 2 below.

Figure 112019099008910-pat00002
Figure 112019099008910-pat00002

특히 보안정책을 전달하는 SRL 패킷의 경우 'SRL_CNT'는 표 1에서와 같이 SRL 패킷의 중계(Relay)된 횟수를 구분하는 카운터를 사용할 수 있다. 이때 최초 송신하는 내부망 송신통제서버(200)를 기준으로 최종 도달할 목적지가 다시 내부망 송신통제서버(200)로 결정하는 용도로 2개의 비트로써 표현되며 아래 표 3과 같을 수 있다. In particular, in the case of an SRL packet that delivers a security policy, 'SRL_CNT' may use a counter that identifies the number of times the SRL packet is relayed as shown in Table 1. At this time, based on the internal network transmission control server 200 that is initially transmitted, the destination to be finally reached is expressed as two bits for the purpose of determining the internal network transmission control server 200 again, and may be as shown in Table 3 below.

Figure 112019099008910-pat00003
Figure 112019099008910-pat00003

단방향 광 수신부(930)의 수신 패킷 처리부(936)는 수신된 SRL 패킷의'SRL_CNT' 값을 -1 감소시킨 값이 '0'이면, 더 이상 중계 전송을 위해 단방향 광송신부의 다중화부로 전송하지 않고 에이전트(Ag_m)로 업로드하기 위해 인터페이스부(910)(PCIe)로 전달하며, '0'이 아닌 값인 경우 -1 감소시킨 값을 'SRL_CNT'값으로 변경 후 해당 패킷을 단방향 광 송신부(920)의 다중화부(910)로 전송한다. 특히 내부망(보안영역)(700)에 존재하는 보안서버에서 각 통제서버로 보안정책을 배포할 때, 내부망 송신통제서버(200)에서 생성되는 SRL 패킷의 'SRL_CNT' 값을 '4'로 설정하여 일방향으로 이어진 링(Ring) 순환 흐름을 갖는 SRL 통신 경로에서 보안정책 전달용(Delivery_confirm) SRL 패킷에 대한 무결성 보장을 위해 내부망 송신통제서버(200)가 시작점이자 최종 도착점이 되게 할 수 있다. 이로써, 해당 보안정책 전달이 일방향 링 순환 경로를 통해 각 통제서버로 정상적으로 전달되었는지 확인이 가능하며, 보안 설정 권한이 없는 다른 통제서버로부터 보안정책이 위*?*변조되는 것을 방지할 수 있다. If the value obtained by reducing the 'SRL_CNT' value of the received SRL packet by -1 is '0', the reception packet processing unit 936 of the unidirectional optical receiver 930 does not transmit the unidirectional optical transmitter to the multiplexer for relay transmission anymore. It is transmitted to the interface unit 910 (PCIe) for upload to the agent (Ag_m), and if the value is not '0', the value reduced by -1 is changed to the 'SRL_CNT' value, and then the packet is transmitted to the one-way optical transmitter 920. It is transmitted to the multiplexer 910 . In particular, when the security policy is distributed from the security server existing in the internal network (security area) 700 to each control server, the value of 'SRL_CNT' of the SRL packet generated by the internal network transmission control server 200 is set to '4'. In order to ensure the integrity of the SRL packet for security policy delivery (Delivery_confirm) in the SRL communication path having a ring circulation flow connected in one direction by setting, the internal network transmission control server 200 can be the starting point and the final destination. . In this way, it is possible to check whether the security policy transmission is normally delivered to each control server through the one-way ring circulation path, and it is possible to prevent forgery*?* modification of security policies from other control servers without security setting authority.

'Upload_ID'는 표 1에서와 같이 각 통제서버별로 수신된 SRL 패킷을 인터페이스부(910)(PCIe)를 통해 에이전트(Ag_m)로 전달(Upload)할 대상이 되는 통제서버를 단일 또는 복수로 지정해주기 위한 값을 4개의 비트로써 표현할 수 있다. As shown in Table 1, 'Upload_ID' designates a single or multiple control server to be uploaded to the agent (Ag_m) through the interface unit 910 (PCIe) of the SRL packet received by each control server as shown in Table 1. A value can be expressed as 4 bits.

'Upload_ID'는 예컨대, 아래 표 4와 같은 형태일 수 있다. 'Upload_ID' may have, for example, the form shown in Table 4 below.

Figure 112019099008910-pat00004
Figure 112019099008910-pat00004

도 4는 본 발명의 일 실시예에 따른 SRL 프로토콜을 이용한 보안정책 배포 및 관리 방법을 설명하기 위한 도면이다.4 is a view for explaining a security policy distribution and management method using the SRL protocol according to an embodiment of the present invention.

도 4를 참조하면, 보안영역을 내부(Internal)로 비보안영역을 외부(External)로 구분 정의하고, 보안영역의 보안서버(710), 내부망 송신통제서버(200)를 iTx, 비보안영역의 외부망 수신통제서버(300)를 eRx, 비보안영역의 외부망 송신통제서버(400)를 eTx, 보안영역의 내부망 수신통제서버(500)를 iRx로 각각 표현할 수 있다. 또한, 각 송신통제서버와 수신통제서버는 데이터 다이오드 방식의 일방향 광 SFP 광 모듈을 사용하여 1:1로 쌍을 이루는 구조일 수 있다. Referring to FIG. 4, the security area is divided into internal and the non-security area is defined as external, and the security server 710 of the security area and the internal network transmission control server 200 are iTx, and the outside of the non-security area. The network reception control server 300 may be expressed as eRx, the external network transmission control server 400 of the non-secure area may be expressed as eTx, and the internal network reception control server 500 of the secure area may be expressed as iRx, respectively. In addition, each transmission control server and reception control server may have a 1:1 pairing structure using a data diode type one-way optical SFP optical module.

내부망 송신통제서버(iTx)(200)의 에이전트(Ag_m)(210)는 보안서버(710)로부터 보안정책들(①,②,③,④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫)이 수신되면, 수신된 보안정책들(①,②,③,④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫) 중 iTx(200)에 해당되는 보안정책을 적용(①,②,③)한다, The agent (Ag_m) 210 of the internal network transmission control server (iTx) 200 receives the security policies (①,②,③,④,⑤,⑥,⑦,⑧,⑨,⑩, When ⑪,⑫) is received, the security policy corresponding to iTx(200) is applied among the received security policies (①,②,③,④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫). (①,②,③) do,

그러면, 내부망 송신통제서버(200)의 내부망 송신 광 전송장치(220)는 연계 미들웨어를 통해 전달 받은 타 통제서버의 보안정책을 비호환 전송 프로토콜인 SRL(Secure Ring Link)을 통해 전달(④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫)한다.Then, the internal network transmission optical transmission device 220 of the internal network transmission control server 200 transmits the security policy of the other control server received through the linkage middleware through the incompatible transmission protocol SRL (Secure Ring Link) (④) ,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫).

그러면, 내부망 송신 광 전송장치(220)는 SRL 프로토콜을 통해 전달된 보안정책을 외부망 수신통제서버(300)의 외부망 수신 광 전송장치(320)로 전송(④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫)한다. Then, the internal network transmission optical transmission device 220 transmits the security policy delivered through the SRL protocol to the external network reception optical transmission device 320 of the external network reception control server 300 (④,⑤,⑥,⑦, ⑧, ⑨, ⑩, ⑪, ⑫).

외부망 수신 광 전송장치(320)는 단방향 광 수신부(PHY RX)를 통해 수신된 보안정책 프레임을 디프레임하여 단방향 광 송신부(PHY TX)로 중계하거나(⑦,⑧,⑨,⑩,⑪,⑫) 또는 보안정책을 적용하기 위해 해당 에이전트(310)에게 전달하기 위하여 인터페이스부로 전달(④,⑤,⑥)한다. 이때, 에이전트(310)는 인터페이스부(910)로부터 전달받은 보안정책을 적용(④,⑤,⑥)할 수 있다. The external network reception optical transmitter 320 deframes the security policy frame received through the one-way optical receiver (PHY RX) and relays it to the one-way optical transmitter (PHY TX) (⑦,⑧,⑨,⑩,⑪,⑫). ) or to the interface unit to transmit to the agent 310 to apply the security policy (④, ⑤, ⑥). In this case, the agent 310 may apply the security policy received from the interface unit 910 (④, ⑤, ⑥).

외부망 수신 광 전송장치(320)의 단방향 광 송신부(PHY TX)로 중계되면, 외부망 수신 광 전송장치(320)의 단방향 광 송신부(PHY TX)는 외부망 송신 광 전송장치(420)의 단방향 광 수신부(PHY RX)로 보안정책을 전송(⑦,⑧,⑨,⑩,⑪,⑫)한다.When relayed to the one-way optical transmitter (PHY TX) of the external network reception optical transmitter 320, the one-way optical transmitter (PHY TX) of the external network reception optical transmitter 320 is the one-way of the external network transmission optical transmitter 420 The security policy is transmitted (⑦,⑧,⑨,⑩,⑪,⑫) to the optical receiver (PHY RX).

그러면, 외부망 송신 광 전송장치(420)는 단방향 광수신부(PHY RX)를 통해 수신된 보안정책 프레임을 디프레임하여 단방향 광 송신부(PHY TX)로 중계하거나(⑩,⑪,⑫) 또는 보안정책을 적용하기 위해 해당 에이전트(410)에게 전달하기 위하여 인터페이스부로 전달(⑦,⑧,⑨)한다. 이때, 에이전트(410)는 인터페이스부로부터 전달받은 보안정책을 적용(⑦,⑧,⑨)할 수 있다. Then, the external network transmission optical transmitter 420 deframes the security policy frame received through the one-way optical receiver (PHY RX) and relays it to the one-way optical transmitter (PHY TX) (⑩, ⑪, ⑫) or security policy In order to apply to the agent 410, it is transferred to the interface unit (⑦, ⑧, ⑨). At this time, the agent 410 may apply the security policy received from the interface unit (⑦, ⑧, ⑨).

외부망 송신 광 전송장치(420)의 단방향 광 송신부(PHY TX)로 중계되면, 외부망 송신 광 전송장치(420)의 단방향 광 송신부(PHY TX)는 내부망 수신통제서버(500)(iRx)의 단방향 광 수신부(PHY RX)로 보안정책을 전송(⑩,⑪,⑫)한다.When relayed to the one-way optical transmission unit (PHY TX) of the external network transmission optical transmission device 420, the one-way optical transmission unit (PHY TX) of the external network transmission optical transmission device 420 is the internal network reception control server 500 (iRx) The security policy is transmitted (⑩, ⑪, ⑫) to the one-way optical receiver (PHY RX) of

그러면, 내부망 수신통제서버(500)의 단방향 광 수신부(PHY RX)는 보안정책을 에이전트(510)에 전달 완료(⑩,⑪,⑫)한다. Then, the one-way optical receiver (PHY RX) of the internal network reception control server 500 completes (⑩, ⑪, ⑫) delivery of the security policy to the agent 510 .

그런 후, 내부망 수신 광 전송장치(520)는 SRL 프로토콜을 통해 최종 출발지이자 도착지인 iTx(200)를 거쳐 보안서버(710)의 최종 정책배포 확인한다.Then, the internal network reception optical transmitter 520 checks the final policy distribution of the security server 710 through the iTx 200 as the final source and destination through the SRL protocol.

도 5는 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 방법을 설명하기 위한 도면, 도 6은 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 SRL 패킷을 설명하기 위한 도면이다. 5 is a diagram for explaining a method for security policy distribution and relay according to an embodiment of the present invention, FIG. 6 is a diagram for explaining an SRL packet for security policy distribution and relay according to an embodiment of the present invention am.

도 5 및 도 6을 참조하면, 내부망 송신통제서버(200)의 에이전트(210)가 보안서버(710)로부터 명령셋(명령어+정책 데이터)를 수신하면, 내부망 송신통제서버(200)의 단방향 광 송신부(222)는 도 6과 같은 명령 제어를 위한 SRL 패킷(Delivery_Confirm(eTx))을 생성하고, 생성한 SRL 패킷을 외부망 수신통제서버(300)의 단방향 광 수신부(324)로 전송한다.5 and 6, when the agent 210 of the internal network transmission control server 200 receives a command set (command + policy data) from the security server 710, the internal network transmission control server 200 unidirectional The optical transmitter 222 generates an SRL packet (Delivery_Confirm(eTx)) for command control as shown in FIG. 6 , and transmits the generated SRL packet to the one-way optical receiver 324 of the external network reception control server 300 .

외부망 수신통제서버(300)의 단방향 광 수신부(324)는 SRL 패킷 헤더의 'Upload_ID' 값이 자신에 해당하는 값인 '0100'(eRx)과 일치하지 않으므로 해당 SRL 패킷을 PCI를 통해 에이전트(310)로 업로드 하지 않으며, 'SRL_CNT' 값에서 -1 감소시킨 SRL 패킷의 'SRL_CNT' 값을 '3' (비트표기 '10')으로 변경한 중계(Relay) SRL 패킷을 외부망 수신 광 전송장치(320)의 단방향 광 송신부(322)를 통해 외부망 송신통제서버(400)로 전달한다. Since the unidirectional optical receiver 324 of the external network reception control server 300 does not match the 'Upload_ID' value of the SRL packet header with its corresponding value '0100' (eRx), the SRL packet is transmitted to the agent 310 through PCI. ), and the 'SRL_CNT' value of the SRL packet that is reduced by -1 from the 'SRL_CNT' value is changed to '3' (bit notation '10'). 320) through the one-way optical transmission unit 322 to transmit to the external network transmission control server (400).

외부망 송신통제서버(400)(eTx)내 외부망 송신 광 전송장치(420)의 단방향 광 수신부(424)는 eRx(300)로부터 전달받은 SLR 패킷(카운터 '3')의 'Upload_ID'b 헤더 값이 자신에 해당하는 값인 '0010'(eRx)과 일치하므로 해당 SRL 패킷을 에이전트(410)로 전송하기 위해 PCIe로 업로드한다. 이때, eTx(400)의 수신 패킷 처리부는 PCIe로 업로드와 병렬로 'SRL_CNT' 값에서 -1 감소시킨 카운터 값 '2' (비트표기 '01')로 변경한 중계 SRL 패킷을 내부망 수신통제서버(500)(iRx)로 전송한다. The unidirectional optical receiver 424 of the external network transmission optical transmitter 420 in the external network transmission control server 400 (eTx) receives the 'Upload_ID'b header of the SLR packet (counter '3') received from the eRx 300 . Since the value matches its corresponding value of '0010' (eRx), the corresponding SRL packet is uploaded to the PCIe for transmission to the agent 410 . At this time, the receiving packet processing unit of the eTx (400) transmits the relay SRL packet changed from the 'SRL_CNT' value to the -1 counter value '2' (bit notation '01') in parallel with the upload to the PCIe internal network reception control server. (500) (iRx).

iRx(500)의 내부망 수신 광 전송장치(520)는 eTx(400)로부터 전달받은 중계 SLR 패킷(카운터 '2')의 'Upload_ID' 값이 자신에 해당하는 값인 '0010' (iRx)과 일치하지 않으므로 해당 SRL 패킷을 PCI를 통해 에이전트(510)로 업로드 하지 않으며, 'SRL_CNT' 값에서 -1 감소시킨 카운터 값을 '1' (비트표기 '00')로 변경한 중계 SRL 패킷을 다시 iTx(200)로 전송한다.The internal network reception optical transmitter 520 of the iRx 500 matches the 'Upload_ID' value of the relay SLR packet (counter '2') transmitted from the eTx 400 to its corresponding value '0010' (iRx) Therefore, the corresponding SRL packet is not uploaded to the agent 510 through PCI, and the relay SRL packet that has the counter value decreased by -1 from the 'SRL_CNT' value is changed to '1' (bit notation '00') is sent back to iTx( 200) is sent.

iTx(200)의 단방향 광 수신부(224)는 iRx(500)로부터 전달받은 SLR 패킷(카운터 '1')의 'SRL_CNT' 카운터 값에서 -1 감소시킨 카운터 값이 '0'이 되므로 PCIe로 업로드만 하고, 중계를 위한 일방향 SRL 통신 경로를 통한 중계 전송은 하지 않는다. The unidirectional optical receiver 224 of the iTx 200 decreases the 'SRL_CNT' counter value by -1 from the 'SRL_CNT' counter value of the SLR packet (counter '1') delivered from the iRx 500 to '0'. and relay transmission through the one-way SRL communication path for relaying is not performed.

iTx(200)의 에이전트(210)는 PCIe를 통해 전달받은 'Deliver_Confirm' 즉, 보안정책 배포 명령어셋을 다시 보안서버(710)로 전송한다. 이를 통해 보안서버(710)는 해당 보안정책 배포 명령이 대상 통제서버로 전달되었음을 확인하고 관련 로그를 저장한다. The agent 210 of the iTx 200 transmits the 'Deliver_Confirm' received through PCIe, that is, the security policy distribution command set back to the security server 710 . Through this, the security server 710 confirms that the corresponding security policy distribution command has been delivered to the target control server, and stores the related log.

도 7은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 메시지 전달을 위한 SRL 통신을 설명하기 위한 도면, 도 8은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 SRL 패킷을 설명하기 위한 도면이다. 7 is a view for explaining SRL communication for transmitting a response message according to application of a security policy according to an embodiment of the present invention, and FIG. 8 is a diagram for explaining a response SRL packet according to application of a security policy according to an embodiment of the present invention It is a drawing for

도 7 및 도 8을 참조하면, eTx(400)의 에이전트(410)는 수신신된 보안정책을 적용 후 도 8과 같은 'SetValue_Confirm(eTx)'용 SRL 패킷을 생성한다. 이때, eTx(400)의 SRL 패킷(카운터 '2')을 외부망 송신 광 전송장치(420)의 단방향 광 송신부(422)를 통해 iRx(500)로 전송한다.7 and 8 , the agent 410 of the eTx 400 generates an SRL packet for 'SetValue_Confirm(eTx)' as shown in FIG. 8 after applying the received security policy. At this time, the SRL packet (counter '2') of the eTx 400 is transmitted to the iRx 500 through the unidirectional optical transmitter 422 of the external network transmission optical transmitter 420 .

내부망 수신통제서버(iRx)(500)의 단방향 광 수신부(524)는 SRL 패킷 헤더의 'Upload_ID' 값이 자신에 해당하는 값인 '0001'(iRx)과 일치하지 않으므로 해당 SRL 패킷을 PCIe를 통해 에이전트(510)로 업로드 하지 않으며, 'SRL_CNT' 값에서 -1 감소시킨 카운터 'SRL_CNT' 값을 '1'(비트표기 '00')로 변경한 중계 응답 SRL 패킷을 단방향 광 송신부(522)를 통해 내부망 송신통제서버(iTx)(200로 전송한다.Since the unidirectional optical receiver 524 of the internal network reception control server (iRx) 500 does not match the 'Upload_ID' value of the SRL packet header with its corresponding value '0001' (iRx), the SRL packet is transmitted through PCIe. It is not uploaded to the agent 510, and the relay response SRL packet in which the counter 'SRL_CNT' value, which is decreased by -1 from the 'SRL_CNT' value, is changed to '1' (bit notation '00') is transmitted through the one-way optical transmitter 522 It is transmitted to the internal network transmission control server (iTx) (200).

iTx(200)의 단방향 광 수신부(224)는 iRx(500)로부터 전달받은 중계 응답 SLR 패킷(카운터 '1')의 'SRL_CNT' 값에서 -1 감소시킨 카운터 값이 '0'이 되므로 PCIe를 통해 에이전트(210)로 업로드만 하고, 중계 일방향 SRL 통신 경로를 통한 재전송은 하지 않는다. The unidirectional light receiver 224 of the iTx 200 decreases the counter value by -1 from the 'SRL_CNT' value of the relay response SLR packet (counter '1') received from the iRx 500 becomes '0'. It only uploads to the agent 210, and does not retransmit through the relay one-way SRL communication path.

iTx(200)의 에이전트(210)는 전달받은 'SetValue_Confirm' 데이터 즉, 보안정책 처리 응답용 메시지를 보안서버(710)로 전송한다. 이를 통해 보안서버(710)는 해당 보안정책이 eTx에 정상 적용 완료되었음을 확인하고 관련 로그를 저장할 수 있다. The agent 210 of the iTx 200 transmits the received 'SetValue_Confirm' data, that is, a security policy processing response message to the security server 710 . Through this, the security server 710 can confirm that the corresponding security policy has been normally applied to the eTx and store the related log.

상술한 바와 같이, 본 발명에 따른 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법은, 다른 방향(정방향, 역방향)의 데이터 다이오드 쌍을 이용하여 단방향 특성은 그대로 유지하면서 스트림 데이터를 전송할 수 있다. As described above, in the heterogeneous network communication system and method using unidirectional communication according to the present invention, stream data can be transmitted while maintaining unidirectional characteristics by using pairs of data diodes in different directions (forward and reverse).

또한, 본 발명에 따른 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법은, 일방향으로 이어진 링(Ring) 순환 흐름을 갖는 SRL 통신 경로에서 보안정책 전달용(Delivery_confirm) SRL 패킷에 대한 무결성 보장을 위해 보안영역의 송신통제서버가 시작점이자 최종 도착점이 되게 함으로써, 해당 보안정책 전달이 일방향 링 순환 경로를 통해 각 통제서버로 정상적으로 전달되었는지 확인이 가능하고, 보안 설정 권한이 없는 다른 통제서버로부터 보안정책이 위*?*변조되는 것을 방지할 수 있다. In addition, the heterogeneous inter-network communication system and method using unidirectional communication according to the present invention is a security area for ensuring the integrity of an SRL packet for security policy delivery (Delivery_confirm) in an SRL communication path having a ring circulation flow connected in one direction. By making the transmission control server of the transmission control server as the starting point and the final destination, it is possible to check whether the transmission of the security policy is normally transmitted to each control server through the one-way ring circulation path, and it is possible to confirm that the security policy is ?* can be prevented from being tampered with.

본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나, 이는 예시적인 것에 불과하며, 당해 기술이 속하는 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 아래의 특허청구범위에 의해서 정하여져야 할 것이다. Although the present invention has been described with reference to the embodiment shown in the drawings, this is merely exemplary, and it is understood that various modifications and equivalent other embodiments are possible by those of ordinary skill in the art. will understand Therefore, the true technical protection scope of the present invention should be defined by the following claims.

200 : 내부망 송신통제서버
300 : 외부망 수신통제서버
400 : 외부망 송신통제서버
500 : 내부망 수신통제서버
600 : 광 전송라인
700 : 내부망
800 : 외부망
200: internal network transmission control server
300: external network reception control server
400: external network transmission control server
500: internal network reception control server
600: optical transmission line
700: internal network
800: external network

Claims (17)

일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인;
내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 수신통제서버로 전송하는 내부망 송신통제서버;
외부망에 연결되며, 상기 내부망 송신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 송신통제서버로 전송하는 외부망 수신통제서버;
상기 외부망에 연결되며, 상기 외부망 수신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 하는 외부망 송신통제서버; 및
상기 내부망에 연결되며, 상기 외부망 송신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 상기 내부망 송신통제서버로 전송하는 내부망 수신통제서버를 포함하되,
상기 광 전송라인은,
상기 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있고,
상기 내부망 송신통제서버는,
상기 내부망 호스트로부터 수신한 데이터를 적용 또는 내부망 송신 광 전송장치로 전송하는 내부망 송신 에이전트; 및
상기 내부망 송신 에이전트로부터 수신한 데이터를 SRL(Secure Ring Link) 패킷으로 생성하고, 상기 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 수신통제서버로 전송하는 내부망 송신 광 전송장치를 포함하고,
상기 외부망 수신통제서버는,
상기 내부망 송신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 외부망 수신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 외부망 송신통제서버로 전송하는 외부망 수신 광 전송장치; 및
상기 외부망 수신 광 전송장치로부터 전송된 SRL 패킷을 적용하는 외부망 수신 에이전트를 포함하며,
상기 외부망 송신통제서버는,
상기 외부망 수신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 외부망 송신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 내부망 수신통제서버로 전송하는 외부망 송신 광 전송장치; 및
상기 외부망 송신 광 전송장치로부터 전송된 데이터를 적용하는 외부망 수신 에이전트를 포함하고,
상기 내부망 수신통제서버는,
상기 외부망 송신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 내부망 수신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 내부망 송신 광 전송장치로 전송하는 내부망 수신 광 전송장치; 및
상기 내부망 수신 광 전송장치로부터 전송된 데이터를 적용하는 내부망 수신 에이전트를 포함하는 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
an optical transmission line having a ring flow path of a one-way circulation structure;
an internal network transmission control server connected to the internal network, receiving data from an internal network host, and transmitting the received data to an external network reception control server through the optical transmission line;
an external network reception control server connected to an external network, receiving data from the internal network transmission control server, and transmitting the received data to an external network transmission control server through the optical transmission line;
an external network transmission control server connected to the external network, receiving data from the external network reception control server, and transmitting the received data through the optical transmission line; and
An internal network reception control server connected to the internal network, receiving data from the external network transmission control server, and transmitting the received data to the internal network transmission control server through the optical transmission line,
The optical transmission line is
A diode is connected in one direction to transmit data in the order of the internal network transmission control server, external network reception control server, external network transmission control server, and internal network reception control server,
The internal network transmission control server,
an internal network transmission agent for transmitting the data received from the internal network host to an application or internal network transmission optical transmission device; and
and an internal network transmission optical transmission device for generating data received from the internal network transmission agent into SRL (Secure Ring Link) packets, and transmitting the SRL packet to the external network reception control server through the optical transmission line,
The external network reception control server,
An external network reception light that analyzes the SRL packet received from the internal network transmission control server and transmits the SRL packet to an external network reception agent or to the external network transmission control server through the optical transmission line according to the analysis result transmission device; and
and an external network reception agent that applies the SRL packet transmitted from the external network reception optical transmitter;
The external network transmission control server,
An external network transmission optical that analyzes the SRL packet received from the external network reception control server and transmits the SRL packet to an external network transmission agent or to the internal network reception control server through the optical transmission line according to the analysis result transmission device; and
and an external network reception agent that applies data transmitted from the external network transmission optical transmission device,
The internal network reception control server,
Internal network reception that analyzes the SRL packet received from the external network transmission control server and transmits the SRL packet to the internal network reception agent or the internal network transmission optical transmitter through the optical transmission line according to the analysis result optical transmission device; and
and an internal network reception agent that applies the data transmitted from the internal network reception optical transmitter.
삭제delete 제1항에 있어서,
상기 SRL 패킷은,
용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 데이터로 구성된 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
According to claim 1,
The SRL packet is
A heterogeneous inter-network communication system using one-way communication, characterized in that it consists of a header and data including a purpose (SRL_FLAG), a counter (SRL_CNT) that distinguishes the number of relays to a destination, and a control server identifier (Upload_ID).
제3항에 있어서,
상기 내부망 송신 광 전송장치, 외부망 수신 광 전송장치, 외부망 송신 광 전송장치 및 내부망 수신 광 전송장치 각각은,
에이전트와의 통신을 위한 인터페이스부;
타 통제서버로 SRL 패킷을 전송하는 단방향 광 송신부; 및
타 통제서버로부터 SRL 패킷을 수신하는 단방향 광 수신부를 포함하는 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
4. The method of claim 3,
each of the internal network transmission optical transmission device, the external network reception optical transmission device, the external network transmission optical transmission device and the internal network reception optical transmission device,
an interface unit for communication with the agent;
a unidirectional optical transmitter for transmitting SRL packets to another control server; and
A heterogeneous network communication system using one-way communication, characterized in that it includes a one-way optical receiver for receiving an SRL packet from another control server.
제4항에 있어서,
상기 단방향 광 송신부는,
상기 데이터의 배포 및 중계를 위한 SRL 패킷을 멀티플렉싱하는 다중화부;
상기 멀티플렉싱된 SRL 패킷을 인코딩하는 인코딩부; 및
상기 인코딩된 SRL 패킷을 상기 광 전송라인으로 전송하는 송신부를 포함하는 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
5. The method of claim 4,
The unidirectional light transmitter,
a multiplexer for multiplexing SRL packets for distribution and relay of the data;
an encoding unit for encoding the multiplexed SRL packet; and
and a transmitter for transmitting the encoded SRL packet to the optical transmission line.
제5항에 있어서,
상기 단방향 광 수신부는,
상기 광 전송라인을 통해 SRL 패킷을 수신하는 수신부;
상기 수신된 SRL 패킷을 디코딩하는 디코딩부; 및
상기 디코딩된 SRL 패킷의 통제서버 구분자가 자신에 해당하는 값인지 판단하여, 자신에 해당하는 값인 경우 상기 SRL 패킷을 상기 인터페이스부를 통해 에이전트에 업로드하고, 자신에 해당하는 값이 아닌 경우 상기 카운터의 값을 감소시킨 후 상기 단방향 광 송신부의 다중화부로 전송하는 수신 패킷 처리부를 포함하는 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
6. The method of claim 5,
The unidirectional light receiving unit,
a receiver for receiving an SRL packet through the optical transmission line;
a decoding unit for decoding the received SRL packet; and
Determines whether the control server identifier of the decoded SRL packet is a value corresponding to itself, uploads the SRL packet to the agent through the interface unit if it is a value corresponding to itself, and if it is not a value corresponding to itself, the value of the counter and a received packet processing unit for transmitting the received packet to the multiplexing unit of the unidirectional optical transmission unit after reducing .
제1항에 있어서,
상기 광 전송라인은,
서로 다른 방향의 다이오드 상으로 이루어진 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 시스템.
According to claim 1,
The optical transmission line is
A heterogeneous manganese communication system using unidirectional communication, characterized in that it is formed on diodes in different directions.
내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버를 구비하는 단방향 통신을 이용한 이종 망간 통신 시스템에서 보안정책 전송 방법에 있어서,
상기 내부망 송신통제서버의 내부망 송신 에이전트가 내부망 보안서버로부터 보안정책 배포 명령을 수신하면, 상기 내부망 송신통제서버의 내부망 광 전송장치가 보안정책 배포 SRL 패킷을 생성하여 상기 외부망 수신통제서버로 전송하는 단계;
상기 외부망 수신통제서버의 외부망 수신 광 전송장치가 상기 보안정책 배포 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 SRL 패킷을 외부망 수신 에이전트에 업로드하며, 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하는 단계;
상기 외부망 송신통제서버의 외부망 송신 광 전송장치가 상기 제1 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제1 중계 SRL 패킷을 외부망 송신 에이전트에 업로드하며, 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하는 단계;
상기 내부망 수신통제서버의 내부망 수신 광 전송장치가 상기 제2 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제2 중계 SRL 패킷을 내부망 수신 에이전트에 업로드하며, 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하고, 업로드 대상이 아닌 경우 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하는 단계; 및
상기 내부망 송신 광 전송장치가 상기 제3 중계 SRL 패킷의 카운터 값을 감소시킨 후 상기 내부망 송신 에이전트로 업로드하는 단계
를 포함하는 단방향 통신을 이용한 이종 망간 통신 방법.
A method for transmitting a security policy in a heterogeneous network communication system using one-way communication including an internal network transmission control server, an external network reception control server, an external network transmission control server, and an internal network reception control server, the method comprising:
When the internal network transmission agent of the internal network transmission control server receives a security policy distribution command from the internal network security server, the internal network optical transmission device of the internal network transmission control server generates a security policy distribution SRL packet to receive the external network transmitting to the control server;
The external network reception optical transmitter of the external network reception control server analyzes the security policy distribution SRL packet to determine whether it is an upload target, and if it is an upload target, uploads the SRL packet to an external network reception agent, and a counter of the SRL packet transmitting a first relay SRL packet with a reduced value to the external network transmission control server, and transmitting a first relay SRL packet with a reduced value of the counter value of the SRL packet to the external network transmission control server if it is not an upload target; ;
The external network transmission optical transmission device of the external network transmission control server analyzes the first relay SRL packet to determine whether it is an upload target, and if it is an upload target, uploads the first relay SRL packet to the external network transmission agent, wherein the first relay SRL packet is uploaded to the external network transmission agent. A second relay SRL packet in which the counter value of the first relay SRL packet is decreased is transmitted to the internal network reception control server, and if it is not an upload target, the second relay SRL packet in which the counter value of the first relay SRL packet is decreased is transmitted to the transmitting to an internal network reception control server;
The internal network reception optical transmission device of the internal network reception control server analyzes the second relay SRL packet to determine whether it is an upload target, and if it is an upload target, uploads the second relay SRL packet to the internal network reception agent. 2 A third relay SRL packet with a reduced counter value of the relay SRL packet is transmitted to the internal network transmission optical transmitter, and if it is not an upload target, a third relay SRL packet with a reduced counter value of the second relay SRL packet is transmitted transmitting to the internal network transmission optical transmission device; and
and uploading, by the internal network transmission optical transmission device, to the internal network transmission agent after decrementing the counter value of the third relay SRL packet.
A heterogeneous network communication method using one-way communication comprising a.
삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020190119450A 2019-09-27 2019-09-27 System and method for supporting between heterogeneous networks communication using unidirectional communication KR102333245B1 (en)

Priority Applications (10)

Application Number Priority Date Filing Date Title
KR1020190119450A KR102333245B1 (en) 2019-09-27 2019-09-27 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143509A KR102441200B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143506A KR102441197B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143504A KR102441753B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143505A KR102441196B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143508A KR102441199B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143503A KR102441752B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143501A KR102441751B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143507A KR102441198B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143502A KR102441195B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190119450A KR102333245B1 (en) 2019-09-27 2019-09-27 System and method for supporting between heterogeneous networks communication using unidirectional communication

Related Child Applications (9)

Application Number Title Priority Date Filing Date
KR1020210143508A Division KR102441199B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143506A Division KR102441197B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143507A Division KR102441198B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143502A Division KR102441195B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143509A Division KR102441200B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143503A Division KR102441752B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143505A Division KR102441196B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143504A Division KR102441753B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143501A Division KR102441751B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication

Publications (2)

Publication Number Publication Date
KR20210037178A KR20210037178A (en) 2021-04-06
KR102333245B1 true KR102333245B1 (en) 2021-12-02

Family

ID=75472902

Family Applications (10)

Application Number Title Priority Date Filing Date
KR1020190119450A KR102333245B1 (en) 2019-09-27 2019-09-27 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143503A KR102441752B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143509A KR102441200B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143504A KR102441753B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143506A KR102441197B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143508A KR102441199B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143505A KR102441196B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143502A KR102441195B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143507A KR102441198B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143501A KR102441751B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication

Family Applications After (9)

Application Number Title Priority Date Filing Date
KR1020210143503A KR102441752B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143509A KR102441200B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143504A KR102441753B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143506A KR102441197B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143508A KR102441199B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143505A KR102441196B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143502A KR102441195B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143507A KR102441198B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR1020210143501A KR102441751B1 (en) 2019-09-27 2021-10-26 System and method for supporting between heterogeneous networks communication using unidirectional communication

Country Status (1)

Country Link
KR (10) KR102333245B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102591439B1 (en) 2022-12-07 2023-10-19 (주) 앤앤에스피 Security Zone based Dual One-Way Link Control System

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101593168B1 (en) * 2014-09-11 2016-02-18 한국전자통신연구원 Physical one direction communication device and method thereof
JP2017123603A (en) * 2016-01-08 2017-07-13 株式会社制御システム研究所 Data diode device with specific packet relay function

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101897123B1 (en) * 2017-07-28 2018-09-11 (주)앤앤에스피 Dual unidirectional data and management information transmission system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101593168B1 (en) * 2014-09-11 2016-02-18 한국전자통신연구원 Physical one direction communication device and method thereof
JP2017123603A (en) * 2016-01-08 2017-07-13 株式会社制御システム研究所 Data diode device with specific packet relay function

Also Published As

Publication number Publication date
KR102441199B1 (en) 2022-09-08
KR102441196B1 (en) 2022-09-08
KR102441753B1 (en) 2022-09-13
KR20210131297A (en) 2021-11-02
KR20210037178A (en) 2021-04-06
KR20210131962A (en) 2021-11-03
KR102441197B1 (en) 2022-09-08
KR20210133916A (en) 2021-11-08
KR102441200B1 (en) 2022-09-08
KR102441198B1 (en) 2022-09-08
KR20210134259A (en) 2021-11-09
KR20210134260A (en) 2021-11-09
KR20210134258A (en) 2021-11-09
KR20210131965A (en) 2021-11-03
KR102441195B1 (en) 2022-09-08
KR20210131963A (en) 2021-11-03
KR102441751B1 (en) 2022-09-13
KR102441752B1 (en) 2022-09-13
KR20210131964A (en) 2021-11-03

Similar Documents

Publication Publication Date Title
CN111164923B (en) Design for unidirectional data transmission
Cowley Communications and networking: an introduction
JP2007028623A (en) System and method for adjusting ber/per for accelerating transmission speed of network stream base
EP2928108B1 (en) System, method and apparatus for multi-lane auto-negotiation over reduced lane media
KR101063152B1 (en) One-way data transmission system and method
KR102441200B1 (en) System and method for supporting between heterogeneous networks communication using unidirectional communication
WO2017148419A1 (en) Data transmission method and server
US10200155B2 (en) One-way data transmission apparatus, one-way data reception apparatus, and one-way data transmission/reception method using the same
KR101953552B1 (en) Apparatus for one-way transmission, apparatus for one-way reception, and one-way retransmission method for using same
KR102017742B1 (en) Apparatus for one-way data transmission, apparatus for one-way data reception, and one-way data transmission method for using the same
JP2012060220A (en) Network adapter
WO2016065638A1 (en) Data transmission method and device
CN112313891A (en) Apparatus and method for transmitting side-channel bits over Ethernet cable
CN114679265A (en) Flow obtaining method and device, electronic equipment and storage medium
US20030120800A1 (en) Network layer protocol
US20180234334A1 (en) Redirecting flow control packets
WO2014029958A1 (en) Acknowledgement system and method
US20240214304A1 (en) Communication interface and method for seamless data communication over multilane communication link
US20240323230A1 (en) Reverse path feedback protocol for unidirectional networks
US20240340246A1 (en) Communications traffic manager
WO2018133049A1 (en) Data processing method, optical access device, and optical access system
CN117527799A (en) DDS-based cross-domain communication method, device, computer equipment and storage medium
EP1251662A1 (en) Method for communicating between fibre channel systems

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
A107 Divisional application of patent
E701 Decision to grant or registration of patent right