KR102441752B1 - 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법 - Google Patents

단방향 통신을 이용한 이종 망간 통신 시스템 및 방법 Download PDF

Info

Publication number
KR102441752B1
KR102441752B1 KR1020210143503A KR20210143503A KR102441752B1 KR 102441752 B1 KR102441752 B1 KR 102441752B1 KR 1020210143503 A KR1020210143503 A KR 1020210143503A KR 20210143503 A KR20210143503 A KR 20210143503A KR 102441752 B1 KR102441752 B1 KR 102441752B1
Authority
KR
South Korea
Prior art keywords
srl
packet
control server
internal network
external network
Prior art date
Application number
KR1020210143503A
Other languages
English (en)
Other versions
KR20210134259A (ko
Inventor
임용훈
박민하
주성호
박윤택
신진호
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020210143503A priority Critical patent/KR102441752B1/ko
Publication of KR20210134259A publication Critical patent/KR20210134259A/ko
Application granted granted Critical
Publication of KR102441752B1 publication Critical patent/KR102441752B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/27Arrangements for networking
    • H04B10/275Ring-type networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/42Loop networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Abstract

단방향 통신을 이용한 이종 망간 통신 시스템 및 방법이 개시된다. 본 발명의 일 측면에 따른 단방향 통신을 이용한 이종 망간 통신 시스템은, 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인, 내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 수신통제서버로 전송하는 내부망 송신통제서버, 외부망에 연결되며, 상기 내부망 송신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 송신통제서버로 전송하는 외부망 수신통제서버, 상기 외부망에 연결되며, 상기 외부망 수신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 하는 외부망 송신통제서버, 상기 내부망에 연결되며, 상기 외부망 송신통제서버로부터 데이터를 전송하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 상기 내부망 송신통제서버로 전송하는 내부망 수신통제서버를 포함하되, 상기 광 전송라인은 상기 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있는 것을 특징으로 한다.

Description

단방향 통신을 이용한 이종 망간 통신 시스템 및 방법{SYSTEM AND METHOD FOR SUPPORTING BETWEEN HETEROGENEOUS NETWORKS COMMUNICATION USING UNIDIRECTIONAL COMMUNICATION}
본 발명은 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법에 관한 것으로서, 보다 상세하게는 다른 방향(정방향, 역방향)의 데이터 다이오드 쌍을 이용하여 단방향 특성은 그대로 유지하면서 스트림 데이터를 전송할 수 있는 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법에 관한 것이다.
망 분리 환경에서, 단방향 데이터 전송 시스템은 내부망(보안 영역)에서 외부망(비보안 영역)으로 정단방향으로 데이터를 전송하기 위하여 사용되거나, 외부망에서 내부망으로 역단방향으로 데이터를 전송하기 위하여 사용된다.
즉, 내부망과 외부망으로 상이한 보안등급으로 구성된 분리 망 사이에서 데이터 연동은 데이터 다이오드 방식 같은 물리적 단방향 특성을 지닌 단방향 보안게이트웨이 방식이 사용되고 있으며, 동일한 보안등급으로 구성된 망 구간 연동은 중계서버형 방식 또는 스토리지 방식 같은 직접 연동방식 형태의 망간 자료전송제품을 사용하고 있다.
망간 자료전송제품 중 스토리지 방식이나 중계서버형 방식은 양방향 전송이 가능한 형태이지만 자동전환 스위치(ASR, Automatic Send/Receive Set)와 같은 간접 연동방식을 택하고 있어 망 연동 전환 시 소요시간, 연속적인 데이터 전송 한계로 실시간 스트림 데이터는 연동에 있어 문제가 있다.
또 다른 형태인 단방향 보안게이트웨이 전송장치는 내부망과 외부망을 완전히 물리적으로 분리하기 위해 송신 기능만 사용하여 외부망으로부터 접근을 원천적으로 차단하여 안전한 보안영역을 유지할 수 있다. 그러나 이 방법은 외부 정보를 전달받을 수 없어 내부망 운영에 필요한 외부 데이터 수신이 불가능하여 복잡해져가는 현재의 내부망 운영 환경에서 안전하고 신뢰성 있는 내부망 운영 환경을 구축하는데 한계가 있다.
본 발명과 관련된 선행기술로는 대한민국 공개특허공보 제2018-0009908호(2018.01.30 공개, 발명의 명칭 : 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법, 이를 수행하기 위한 기록매체 및 시스템)가 있다.
본 발명은 상기와 같은 문제점들을 개선하기 위하여 안출된 것으로, 본 발명의 목적은 단방향 특성인 데이터 다이오드 방식의 단방향 안전성을 유지하면서 양방향으로 스트림 데이터 전송이 가능하도록 하는 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 과제는 이상에서 언급한 과제(들)로 제한되지 않으며, 언급되지 않은 또 다른 과제(들)은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 측면에 따른 단방향 통신을 이용한 이종 망간 통신 시스템은, 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인, 내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 수신통제서버로 전송하는 내부망 송신통제서버, 외부망에 연결되며, 상기 내부망 송신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 외부망 송신통제서버로 전송하는 외부망 수신통제서버, 상기 외부망에 연결되며, 상기 외부망 수신통제서버로부터 데이터를 수신하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 하는 외부망 송신통제서버, 상기 내부망에 연결되며, 상기 외부망 송신통제서버로부터 데이터를 전송하고, 상기 수신된 데이터를 상기 광 전송라인을 통해 상기 내부망 송신통제서버로 전송하는 내부망 수신통제서버를 포함하되, 상기 광 전송라인은 상기 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있는 것을 특징으로 한다.
본 발명에서 상기 내부망 송신통제서버는, 상기 내부망 호스트로부터 수신한 데이터를 적용 또는 내부망 송신 광 전송장치로 전송하는 내부망 송신 에이전트, 상기 내부망 송신 에이전트로부터 수신한 데이터를 SRL(Secure Ring Link) 패킷으로 생성하고, 상기 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 수신통제서버로 전송하는 내부망 송신 광 전송장치를 포함할 수 있다.
본 발명에서 상기 외부망 수신통제서버는 상기 내부망 송신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 외부망 수신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 외부망 송신통제서버로 전송하는 외부망 수신 광 전송장치, 상기 외부망 수신 광 전송장치로부터 전송된 SRL 패킷을 적용하는 외부망 수신 에이전트를 포함할 수 있다.
본 발명에서 상기 외부망 송신통제서버는 상기 외부망 수신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 외부망 송신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 내부망 수신통제서버로 전송하는 외부망 송신 광 전송장치, 및 상기 외부망 송신 광 전송장치로부터 전송된 데이터를 적용하는 외부망 수신 에이전트를 포함할 수 있다.
본 발명에서 상기 내부망 수신통제서버는, 상기 외부망 송신통제서버로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 상기 SRL 패킷을 내부망 수신 에이전트에 전송 또는 상기 광 전송라인을 통해 상기 내부망 송신 광 전송장치로 전송하는 내부망 수신 광 전송장치, 상기 내부망 수신 광 전송장치로부터 전송된 데이터를 적용하는 내부망 수신 에이전트를 포함할 수 있다.
본 발명에서 상기 SRL 패킷은, 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 데이터로 구성될 수 있다.
본 발명에서 상기 내부망 송신 광 전송장치, 외부망 수신 광 전송장치, 외부망 송신 광 전송장치 및 내부망 수신 광 전송장치 각각은, 에이전트와의 통신을 위한 인터페이스부, 타 통제서버로 SRL 패킷을 전송하는 단방향 광 송신부, 타 통제서버로부터 SRL 패킷을 수신하는 단방향 광 수신부를 포함할 수 있다.
본 발명에서 상기 단방향 광 송신부는, 상기 데이터의 배포 및 중계를 위한 SRL 패킷을 멀티플렉싱하는 다중화부, 상기 멀티플렉싱된 SRL 패킷을 인코딩하는 인코딩부, 상기 인코딩된 SRL 패킷을 상기 광 전송라인으로 전송하는 송신부를 포함할 수 있다.
본 발명에서 상기 단방향 광 수신부는, 상기 광 전송라인을 통해 SRL 패킷을 수신하는 수신부, 상기 수신된 SRL 패킷을 디코딩하는 디코딩부, 및 상기 디코딩된 SRL 패킷의 통제서버 구분자가 자신에 해당하는 값인지 판단하여, 자신에 해당하는 값인 경우 상기 SRL 패킷을 상기 인터페이스부를 통해 에이전트에 업로드하고, 자신에 해당하는 값이 아닌 경우 상기 카운터의 값을 감소시킨 후 상기 단방향 광 송신부의 다중화부로 전송하는 수신 패킷 처리부를 포함할 수 있다.
본 발명에서 상기 광 전송라인은, 서로 다른 방향의 다이오드 상으로 이루어질 수 있다.
본 발명의 일 측면에 따른 단방향 통신을 이용한 이종 망간 통신 방법은, 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버를 구비하는 단방향 통신을 이용한 이종 망간 통신 시스템에서 보안정책 전송 방법에 있어서, 상기 내부망 송신통제서버의 내부망 송신 에이전트가 내부망 보안서버로부터 보안정책 배포 명령을 수신하면, 상기 내부망 송신통제서버의 내부망 광 전송장치가 보안정책 배포 SRL 패킷을 생성하여 상기 외부망 수신통제서버로 전송하는 단계, 상기 외부망 수신통제서버의 외부망 수신 광 전송장치가 상기 보안정책 배포 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 SRL 패킷을 외부망 수신 에이전트에 업로드하며, 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하는 단계, 상기 외부망 송신통제서버의 외부망 송신 광 전송장치가 상기 제1 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제1 중계 SRL 패킷을 외부망 송신 에이전트(410)에 업로드하며, 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하는 단계, 상기 내부망 수신통제서버의 내부망 수신 광 전송장치가 상기 제2 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제2 중계 SRL 패킷을 내부망 수신 에이전트에 업로드하며, 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하고, 업로드 대상이 아닌 경우 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하는 단계, 및 상기 내부망 송신 광 전송장치가 상기 제3 중계 SRL 패킷의 카운터 값을 감소시킨 후 상기 내부망 송신 에이전트로 업로드하는 단계를 포함한다.
본 발명은 상기 내부망 송신 광 전송장치가 상기 제3 중계 SRL 패킷의 카운터 값을 감소시킨 후 상기 내부망 송신 에이전트로 업로드하는 단계 이후, 상기 내부망 송신 에이전트가 상기 보안정책 배포 SRL 패킷을 상기 보안서버로 전송하는 단계를 더 포함할 수 있다.
본 발명에서 상기 내부망 송신 광 전송장치, 외부망 수신 광 전송장치, 외부망 송신 광 전송장치 및 내부망 수신 광 전송장치는 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인으로 연결되어, 상기 광 전송라인을 통해 단방향으로 SRL 패킷을 전송할 수 있다.
본 발명에서 상기 내부망 송신통제서버의 내부망 송신 광 전송장치가 보안정책 배포 SRL 패킷을 생성하여 상기 외부망 수신통제서버로 전송하는 단계는, 상기 내부망 송신 광 전송장치의 단방향 광 송신부가, 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 보안정책 데이터로 구성된 상기 보안정책 배포 SRL 패킷을 생성하는 단계, 상기 내부망 송신 광 전송장치의 단방향 광 수신부가, 상기 보안정책 배포 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 수신 광 전송장치로 전송하는 단계를 포함할 수 있다.
본 발명에서 상기 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하는 단계는, 상기 외부망 수신 광 전송장치의 단방향 광 수신부가 상기 보안정책 배포 SRL 패킷의 통제 서버 구분자를 통해 업로드 대상 여부를 판단하는 단계, 상기 판단결과 업로드 대상인 경우 상기 외부망 수신 광 전송장치의 단방향 광 수신부가 상기 보안정책 배포 SRL 패킷의 보안정책 데이터를 상기 외부망 수신 광 전송장치의 단방향 광 송신부를 통해 외부망 수신 에이전트에 업로드하고, 상기 보안정책 배포 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 수신 광 전송장치의 단방향 광 송신부로 전송하며, 업로드 대상이 아닌 경우 상기 보안정책 배포 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 상기 외부망 수신 광 전송장치의 단방향 광 송신부로 전송하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 송신부가 상기 제1 중계 SRL 패킷을 광 전송라인을 통해 상기 외부망 송신 광 전송장치로 전송하는 단계를 포함할 수 있다.
본 발명에서 상기 외부망 수신 광 전송장치의 단방향 광 수신부가 상기 보안정책 데이터를 상기 외부망 수신 에이전트에 업로드한 경우, 상기 외부망 수신 에이전트가 상기 보안정책 데이터를 적용하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 송신부가 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 보안정책 응답 데이터로 구성된 보안정책 적용 응답 SRL 패킷을 생성하고, 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 송신 광 전송장치의 단방향 광 수신부로 전송하는 단계를 포함할 수 있다.
본 발명은 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 외부망 송신 광 전송장치의 단방향 광 수신부로 전송하는 단계 이후, 상기 외부망 송신 광 전송장치의 단방향 광 수신부가, 상기 응답 SRL 패킷의 카운터 값을 감소시킨 제1 응답 중계 SRL 패킷을 생성하는 단계, 상기 외부망 송신 광 전송장치의 단방향 광 송신부가 상기 제1 응답 중계 SRL 패킷을 상기 외부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 수신부가, 상기 제1 중계 응답 SRL 패킷의 카운터 값을 감소시킨 제2 응답 중계 SRL 패킷을 생성하는 단계, 상기 외부망 수신 광 전송장치의 단방향 광 송신부가 상기 제2 중계 응답 SRL 패킷을 상기 내부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계, 상기 내부망 수신 광 전송장치의 단방향 광 수신부가 상기 제2 중계 응답 SRL 패킷의 카운터 값을 감소시킨 후 상기 보안정책 응답 데이터를 상기 내부망 송신 에이전트로 업로드하는 단계, 및 상기 내부망 송신 에이전트가 상기 보안정책 응답 데이터를 상기 보안서버로전송하는 단계를 더 포함할 수 있다.
본 발명에서 상기 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하는 단계는, 상기 외부망 송신 광 전송장치의 단방향 광 수신부가 상기 제1 중계 SRL 패킷의 통제 서버 구분자를 통해 업로드 대상 여부를 판단하는 단계, 상기 판단결과 업로드 대상인 경우 상기 외부망 송신 광 전송장치의 단방향 광 수신부가 상기 제1 중계 SRL 패킷의 보안정책 데이터를 상기 외부망 송신 광 전송장치의 단방향 광 송신부를 통해 외부망 송신 에이전트(410)에 업로드하고, 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 외부망 송신 광 전송장치의 단방향 광 송신부로 전송하며, 업로드 대상이 아닌 경우 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 외부망 송신 광 전송장치의 단방향 광 송신부로 전송하는 단계, 상기 외부망 송신 광 전송장치의 단방향 광 송신부가 상기 제2 중계 SRL 패킷을 광 전송라인을 통해 상기 내부망 수신 광 전송장치로 전송하는 단계를 포함할 수 있다.
본 발명에서 상기 외부망 송신 광 전송장치의 단방향 광 수신부가 상기 보안정책 데이터를 상기 외부망 송신 에이전트에 업로드한 경우, 상기 외부망 송신 에이전트가 상기 보안정책 데이터를 적용하는 단계, 상기 외부망 송신 광 전송장치의 단방향 광 송신부가 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 보안정책 응답 데이터로 구성된 보안정책 적용 응답 SRL 패킷을 생성하고, 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 내부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계를 포함할 수 있다.
본 발명은 상기 응답 SRL 패킷을 상기 광 전송라인을 통해 상기 내부망 수신 광 전송장치의 단방향 광 수신부로 전송하는 단계 이후, 상기 내부망 수신 광 전송장치의 단방향 광 수신부가 상기 응답 SRL 패킷의 카운터 값을 감소시킨 후 상기 보안정책 응답 데이터를 상기 내부망 송신 에이전트로 업로드하는 단계, 상기 내부망 송신 에이전트가 상기 보안정책 응답 데이터를 상기 보안서버로 전송하는 단계를 더 포함할 수 있다.
본 발명에 따르면, 다른 방향(정방향, 역방향)의 데이터 다이오드 쌍을 이용하여 단방향 특성은 그대로 유지하면서 스트림 데이터를 전송할 수 있다.
또한, 본 발명에 따르면, 일방향으로 이어진 링(Ring) 순환 흐름을 갖는 SRL 통신 경로에서 보안정책 전달용(Delivery_confirm) SRL 패킷에 대한 무결성 보장을 위해 보안영역의 송신통제서버가 시작점이자 최종 도착점이 되게 함으로써, 해당 보안정책 전달이 일방향 링 순환 경로를 통해 각 통제서버로 정상적으로 전달되었는지 확인할 수 있고, 보안 설정 권한이 없는 다른 통제서버로부터 보안정책이 위조·변조되는 것을 방지할 수 있다.
한편, 본 발명의 효과는 이상에서 언급한 효과들로 제한되지 않으며, 이하에서 설명할 내용으로부터 통상의 기술자에게 자명한 범위 내에서 다양한 효과들이 포함될 수 있다.
도 1은 본 발명의 일 실시예에 따른 단방향 통신을 이용한 이종 망간 통신 시스템을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 광 전송장치의 구성을 개략적으로 나타낸 블록도이다.
도 3은 본 발명의 일 실시예에 따른 SRL 패킷을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 SRL 프로토콜을 이용한 보안정책 배포 및 관리 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 SRL 패킷을 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 메시지 전달을 위한 SRL 통신을 설명하기 위한 도면이다.
도 8은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 SRL 패킷을 설명하기 위한 도면이다.
이하, 첨부된 도면들을 참조하여 본 발명의 일 실시예에 따른 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법을 설명한다. 이 과정에서 도면에 도시된 선들의 두께나 구성요소의 크기 등은 설명의 명료성과 편의상 과장되게 도시되어 있을 수 있다.
또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
또한, 본 명세서에서 설명된 구현은, 예컨대, 방법 또는 프로세스, 장치, 소프트웨어 프로그램, 데이터 스트림 또는 신호로 구현될 수 있다. 단일 형태의 구현의 맥락에서만 논의(예컨대, 방법으로서만 논의)되었더라도, 논의된 특징의 구현은 또한 다른 형태(예컨대, 장치 또는 프로그램)로도 구현될 수 있다. 장치는 적절한 하드웨어, 소프트웨어 및 펌웨어 등으로 구현될 수 있다. 방법은, 예컨대, 컴퓨터, 마이크로프로세서, 집적 회로 또는 프로그래밍가능한 로직 디바이스 등을 포함하는 프로세싱 디바이스를 일반적으로 지칭하는 프로세서 등과 같은 장치에서 구현될 수 있다. 프로세서는 또한 최종-사용자 사이에 정보의 통신을 용이하게 하는 컴퓨터, 셀 폰, 휴대용/개인용 정보 단말기(personal digital assistant: "PDA") 및 다른 디바이스 등과 같은 통신 디바이스를 포함한다.
도 1은 본 발명의 일 실시예에 따른 단방향 통신을 이용한 이종 망간 통신 시스템을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 단방향 통신을 이용한 망간 통신 시스템(100)은 내부망 송신통제서버(200), 외부망 수신통제서버(300), 외부망 송신통제서버(400) 및 내부망 수신통제서버(500)를 포함하고, 이들은 일방향 순환구조의 링(Ring) 흐름 경로를 갖는 광 전송라인(600)으로 연결될 수 있다. 그리고, 단방향 통신을 이용한 망간 통신 시스템은 내부망(보안영역)(700)과 외부망(비보안영역)(800) 사이에 위치할 수 있다.
내부망(700)은 내부망 시스템들을 포함하고, 외부망(800)은 외부망 시스템들을 포함할 수 있다. 내부망 시스템들은 내부망(700)을 통하여 연결된 시스템들로서, 동일한 시스템이거나 다른 시스템일 수 있다. 예컨대, 내부망 시스템은 보안서버, 로그서버 등을 포함할 수 있다. 외부망 시스템들은 외부망(800)을 통하여 연결된 시스템들로서, 동일한 시스템이거나 다른 시스템일 수 있다. 예컨대, 외부망 시스템은 OPC-UA 등을 포함할 수 있다.
내부망 송신통제서버(200)는 내부망에 연결되어, 내부망 호스트로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 외부망 수신통제서버(300)로 전송한다.
내부망 송신통제서버(200)는 내부망 송신 에이전트(210) 및 내부망 송신 광 전송장치(220)를 포함한다.
내부망 송신 에이전트(210)는 내부망 호스트로부터 수신한 데이터를 적용 또는 내부망 송신 광 전송장치(220)로 전송한다. 또한, 내부망 송신 에이전트(210)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다.
내부망 송신 광 전송장치(220)는 내부망 송신 에이전트(210)로부터 수신한 데이터를 SRL(Secure Ring Link) 패킷으로 생성하고, SRL 패킷을 광 전송라인(600)을 통해 외부망 수신통제서버(300)로 전송한다.
내부망 송신 광 전송장치(220)는 내부망(보안영역)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 내부망 송신 광 전송장치(220)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다. 여기서, SRL 패킷은 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 데이터로 구성된 것으로, 상세한 설명은 도 3에서 설명하기로 한다.
외부망 수신통제서버(300)는 외부망(800)에 연결되며, 내부망 송신통제서버(200)로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 외부망 송신통제서버(400)로 전송한다.
외부망 수신통제서버(300)는 외부망 수신 에이전트(310) 및 외부망 수신 광 전송장치(320)를 포함한다.
외부망 수신 에이전트(310)는 외부망 수신 광 전송장치(320)로부터 전송된 SRL 패킷을 적용한다. 또한, 외부망 수신 에이전트(310)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다.
외부망 수신 광 전송장치(320)는 내부망 송신통제서버(200)로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 SRL 패킷을 외부망 수신 에이전트(310)에 전송 또는 외부망 송신통제서버(400)로 전송한다.
외부망 수신 광 전송장치(320)는 내부망(보안영역)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 외부망 수신 광 전송장치(320)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다.
외부망 송신통제서버(400)는 외부망(800)에 연결되며, 외부망 수신통제서버(300)로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 내부망 수신통제서버(500)로 전송한다.
외부망 송신통제서버(400)는 외부망 송신 에이전트(410) 및 외부망 송신 광 전송장치(420)를 포함한다.
외부망 송신 에이전트(410)는 외부망 송신 광 전송장치(420)로부터 전송된 데이터를 적용한다. 또한, 외부망 송신 에이전트(410)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다.
외부망 송신 광 전송장치(420)는 외부망 수신통제서버(300)로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 SRL 패킷을 외부망 수신 에이전트(310)에 전송 또는 내부망 수신통제서버(500)로 전송한다.
외부망 송신 광 전송장치(420)는 내부망(보안영역)(700)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 외부망 송신 광 전송장치(420)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다.
내부망 수신통제서버(500)는 내부망(700)에 연결되며, 외부망 송신통제서버(400)로부터 데이터를 수신하고, 수신된 데이터를 광 전송라인(600)을 통해 내부망 송신통제서버(200)로 전송한다.
내부망 수신통제서버(500)는 내부망 수신 에이전트(510) 및 내부망 수신 광 전송장치(520)를 포함한다.
내부망 수신 에이전트(510)는 내부망 수신 광 전송장치(520)로부터 전송된 데이터를 적용한다. 또한, 내부망 수신 에이전트(510)는 전달받은 데이터(예컨대, 보안 정책)를 정상적으로 적용하였는지 여부를 알려주거나, 송·수신 통제서버 프록시간 전달된 데이터에 대한 오류나 분실 탐지 또는 재전송 요구 등의 제어 명령어를 보안 서버로 전송할 수 있다.
내부망 수신 광 전송장치(520)는 외부망 송신통제서버(400)로부터 수신한 SRL 패킷을 분석하고, 그 분석결과에 따라 SRL 패킷을 내부망 수신 에이전트(510)에 전송 또는 내부망 송신 광 전송장치(220)로 전송한다.
내부망 수신 광 전송장치(520)는 내부망(보안영역)(700)에서 관리자가 비즈니스 데이터를 통제 가능하도록 연계 보안정책을 다른 통제서버에 안전하게 전달 가능하도록 광(光) 전송 채널을 단방향 광 송신부(920) 및 단방향 광 수신부로 분리한 구조일 수 있다. 따라서, 내부망 수신 광 전송장치(520)는 단방향 광 송신부(920)와 단방향 광 수신부를 이용하여 일방향 순환 링(Ring) 흐름을 갖는 보안 정책 전달 프로토콜(SRL, Secure Ring Link)로 명명한 비호환 데이터 프레임(즉, SRL 패킷)을 사용하여 타 통제서버로 보안 정책을 중계 전달할 수 있다.
광 전송라인(600)은 데이터(예컨대, 보안정책) 전달에 필요한 일방향 순환구조의 링(Ring) 흐름 경로를 가지고 있고, 내부망 송신통제서버(200), 외부망 수신통제서버(300), 외부망 송신통제서버(400) 및 내부망 수신통제서버(500)의 순으로 데이터가 전송되도록 하는 단방향으로 다이오드가 연결되어 있다.
도 2는 본 발명의 일 실시예에 따른 광 전송장치의 구성을 개략적으로 나타낸 블록도, 도 3은 본 발명의 일 실시예에 따른 SRL 패킷을 설명하기 위한 도면이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 광 전송장치(900)는 인터페이스부(910), 단방향 광 송신부(920) 및 단방향 광 수신부(930)를 포함한다.
인터페이스부(910)는 에이전트와의 통신을 위한 구성일 수 있다.
단방향 광 송신부(920)는 타 통제서버로 SRL 패킷을 전송하는 구성으로, 단방향 광 송신부(920)는 다중화부(922), 인코딩부(924) 및 송신부(926)를 포함한다.
다중화부(922)는 데이터의 배포 및 중계를 위한 SRL 패킷을 멀티플렉싱한다.
인코딩부(924)는 다중화부(922)에서 멀티플렉싱된 SRL 패킷을 인코딩한다.
송신부(926)는 인코딩부(922)에서 인코딩된 SRL 패킷을 광 전송라인(600)으로 전송한다.
단방향 광 수신부(930)는 타 통제서버로부터 SRL 패킷을 수신하는 구성으로, 수신부(932), 디코딩부(934) 및 수신 패킷 처리부(936)를 포함한다.
수신부(932)는 광 전송라인(600)을 통해 SRL 패킷을 수신한다.
디코딩부(934)는 수신부(932)에서 수신한 SRL 패킷을 디코딩한다.
수신 패킷 처리부(936)는 디코딩부(934)에서 디코딩된 SRL 패킷의 통제서버 구분자가 자신에 해당하는 값인지 판단하여, 자신에 해당하는 값인 경우 상기 SRL 패킷을 인터페이스부(910)를 통해 에이전트에 업로드하고, 자신에 해당하는 값이 아닌 경우 SRL 패킷의 카운터 값을 감소시킨 후 단방향 광 송신부(920)의 다중화부(922)로 전송한다.
광 전송장치(900)의 보안정책 수신 및 중계 경로는 하드웨어로 제작된 수신 패킷 처리부를 통해 외부 간섭 없이 독립적인 순환 링(Ring) 흐름을 제공할 수 있어 외부 해킹에 따른 보안정책 위·변조 불가능할 수 있다. 하드웨어로 제작된 광 전송장치의 구성에 따른 보안정책 배포 및 중계를 위한 SRL 패킷은 도 3과 같은 구조일 수 있다.
도 3을 참조하면, SRL 패킷(SRL 데이터그램 패킷)은 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 SRL 헤더 및 데이터로 구성된다.
SRL 패킷 헤더의 구성요소는 아래 표 1과 같을 수 있다.
Figure 112021122751173-pat00001
'SRL_FLAG'는 표 1에서와 같이 SRL 패킷의 용도에 따른 구분자로 2개의 비트로 표현할 수 있고, 아래 표 2와 같을 수 있다.
Figure 112021122751173-pat00002
특히 보안정책을 전달하는 SRL 패킷의 경우 'SRL_CNT'는 표 1에서와 같이 SRL 패킷의 중계(Relay)된 횟수를 구분하는 카운터를 사용할 수 있다. 이때 최초 송신하는 내부망 송신통제서버(200)를 기준으로 최종 도달할 목적지가 다시 내부망 송신통제서버(200)로 결정하는 용도로 2개의 비트로써 표현되며 아래 표 3과 같을 수 있다.
Figure 112021122751173-pat00003
단방향 광 수신부(930)의 수신 패킷 처리부(936)는 수신된 SRL 패킷의'SRL_CNT' 값을 -1 감소시킨 값이 '0'이면, 더 이상 중계 전송을 위해 단방향 광송신부의 다중화부로 전송하지 않고 에이전트(Ag_m)로 업로드하기 위해 인터페이스부(910)(PCIe)로 전달하며, '0'이 아닌 값인 경우 -1 감소시킨 값을 'SRL_CNT'값으로 변경 후 해당 패킷을 단방향 광 송신부(920)의 다중화부(910)로 전송한다. 특히 내부망(보안영역)(700)에 존재하는 보안서버에서 각 통제서버로 보안정책을 배포할 때, 내부망 송신통제서버(200)에서 생성되는 SRL 패킷의 'SRL_CNT' 값을 '4'로 설정하여 일방향으로 이어진 링(Ring) 순환 흐름을 갖는 SRL 통신 경로에서 보안정책 전달용(Delivery_confirm) SRL 패킷에 대한 무결성 보장을 위해 내부망 송신통제서버(200)가 시작점이자 최종 도착점이 되게 할 수 있다. 이로써, 해당 보안정책 전달이 일방향 링 순환 경로를 통해 각 통제서버로 정상적으로 전달되었는지 확인이 가능하며, 보안 설정 권한이 없는 다른 통제서버로부터 보안정책이 위*?*변조되는 것을 방지할 수 있다.
'Upload_ID'는 표 1에서와 같이 각 통제서버별로 수신된 SRL 패킷을 인터페이스부(910)(PCIe)를 통해 에이전트(Ag_m)로 전달(Upload)할 대상이 되는 통제서버를 단일 또는 복수로 지정해주기 위한 값을 4개의 비트로써 표현할 수 있다.
'Upload_ID'는 예컨대, 아래 표 4와 같은 형태일 수 있다.
Figure 112021122751173-pat00004
도 4는 본 발명의 일 실시예에 따른 SRL 프로토콜을 이용한 보안정책 배포 및 관리 방법을 설명하기 위한 도면이다.
도 4를 참조하면, 보안영역을 내부(Internal)로 비보안영역을 외부(External)로 구분 정의하고, 보안영역의 보안서버(710), 내부망 송신통제서버(200)를 iTx, 비보안영역의 외부망 수신통제서버(300)를 eRx, 비보안영역의 외부망 송신통제서버(400)를 eTx, 보안영역의 내부망 수신통제서버(500)를 iRx로 각각 표현할 수 있다. 또한, 각 송신통제서버와 수신통제서버는 데이터 다이오드 방식의 일방향 광 SFP 광 모듈을 사용하여 1:1로 쌍을 이루는 구조일 수 있다.
내부망 송신통제서버(iTx)(200)의 에이전트(Ag_m)(210)는 보안서버(710)로부터 보안정책들(①,②,③,④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫)이 수신되면, 수신된 보안정책들(①,②,③,④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫) 중 iTx(200)에 해당되는 보안정책을 적용(①,②,③)한다,
그러면, 내부망 송신통제서버(200)의 내부망 송신 광 전송장치(220)는 연계 미들웨어를 통해 전달 받은 타 통제서버의 보안정책을 비호환 전송 프로토콜인 SRL(Secure Ring Link)을 통해 전달(④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫)한다.
그러면, 내부망 송신 광 전송장치(220)는 SRL 프로토콜을 통해 전달된 보안정책을 외부망 수신통제서버(300)의 외부망 수신 광 전송장치(320)로 전송(④,⑤,⑥,⑦,⑧,⑨,⑩,⑪,⑫)한다.
외부망 수신 광 전송장치(320)는 단방향 광 수신부(PHY RX)를 통해 수신된 보안정책 프레임을 디프레임하여 단방향 광 송신부(PHY TX)로 중계하거나(⑦,⑧,⑨,⑩,⑪,⑫) 또는 보안정책을 적용하기 위해 해당 에이전트(310)에게 전달하기 위하여 인터페이스부로 전달(④,⑤,⑥)한다. 이때, 에이전트(310)는 인터페이스부(910)로부터 전달받은 보안정책을 적용(④,⑤,⑥)할 수 있다.
외부망 수신 광 전송장치(320)의 단방향 광 송신부(PHY TX)로 중계되면, 외부망 수신 광 전송장치(320)의 단방향 광 송신부(PHY TX)는 외부망 송신 광 전송장치(420)의 단방향 광 수신부(PHY RX)로 보안정책을 전송(⑦,⑧,⑨,⑩,⑪,⑫)한다.
그러면, 외부망 송신 광 전송장치(420)는 단방향 광수신부(PHY RX)를 통해 수신된 보안정책 프레임을 디프레임하여 단방향 광 송신부(PHY TX)로 중계하거나(⑩,⑪,⑫) 또는 보안정책을 적용하기 위해 해당 에이전트(410)에게 전달하기 위하여 인터페이스부로 전달(⑦,⑧,⑨)한다. 이때, 에이전트(410)는 인터페이스부로부터 전달받은 보안정책을 적용(⑦,⑧,⑨)할 수 있다.
외부망 송신 광 전송장치(420)의 단방향 광 송신부(PHY TX)로 중계되면, 외부망 송신 광 전송장치(420)의 단방향 광 송신부(PHY TX)는 내부망 수신통제서버(500)(iRx)의 단방향 광 수신부(PHY RX)로 보안정책을 전송(⑩,⑪,⑫)한다.
그러면, 내부망 수신통제서버(500)의 단방향 광 수신부(PHY RX)는 보안정책을 에이전트(510)에 전달 완료(⑩,⑪,⑫)한다.
그런 후, 내부망 수신 광 전송장치(520)는 SRL 프로토콜을 통해 최종 출발지이자 도착지인 iTx(200)를 거쳐 보안서버(710)의 최종 정책배포 확인한다.
도 5는 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 방법을 설명하기 위한 도면, 도 6은 본 발명의 일 실시예에 따른 보안정책 배포 및 중계를 위한 SRL 패킷을 설명하기 위한 도면이다.
도 5 및 도 6을 참조하면, 내부망 송신통제서버(200)의 에이전트(210)가 보안서버(710)로부터 명령셋(명령어+정책 데이터)를 수신하면, 내부망 송신통제서버(200)의 단방향 광 송신부(222)는 도 6과 같은 명령 제어를 위한 SRL 패킷(Delivery_Confirm(eTx))을 생성하고, 생성한 SRL 패킷을 외부망 수신통제서버(300)의 단방향 광 수신부(324)로 전송한다.
외부망 수신통제서버(300)의 단방향 광 수신부(324)는 SRL 패킷 헤더의 'Upload_ID' 값이 자신에 해당하는 값인 '0100'(eRx)과 일치하지 않으므로 해당 SRL 패킷을 PCI를 통해 에이전트(310)로 업로드 하지 않으며, 'SRL_CNT' 값에서 -1 감소시킨 SRL 패킷의 'SRL_CNT' 값을 '3' (비트표기 '10')으로 변경한 중계(Relay) SRL 패킷을 외부망 수신 광 전송장치(320)의 단방향 광 송신부(322)를 통해 외부망 송신통제서버(400)로 전달한다.
외부망 송신통제서버(400)(eTx)내 외부망 송신 광 전송장치(420)의 단방향 광 수신부(424)는 eRx(300)로부터 전달받은 SLR 패킷(카운터 '3')의 'Upload_ID'b 헤더 값이 자신에 해당하는 값인 '0010'(eRx)과 일치하므로 해당 SRL 패킷을 에이전트(410)로 전송하기 위해 PCIe로 업로드한다. 이때, eTx(400)의 수신 패킷 처리부는 PCIe로 업로드와 병렬로 'SRL_CNT' 값에서 -1 감소시킨 카운터 값 '2' (비트표기 '01')로 변경한 중계 SRL 패킷을 내부망 수신통제서버(500)(iRx)로 전송한다.
iRx(500)의 내부망 수신 광 전송장치(520)는 eTx(400)로부터 전달받은 중계 SLR 패킷(카운터 '2')의 'Upload_ID' 값이 자신에 해당하는 값인 '0010' (iRx)과 일치하지 않으므로 해당 SRL 패킷을 PCI를 통해 에이전트(510)로 업로드 하지 않으며, 'SRL_CNT' 값에서 -1 감소시킨 카운터 값을 '1' (비트표기 '00')로 변경한 중계 SRL 패킷을 다시 iTx(200)로 전송한다.
iTx(200)의 단방향 광 수신부(224)는 iRx(500)로부터 전달받은 SLR 패킷(카운터 '1')의 'SRL_CNT' 카운터 값에서 -1 감소시킨 카운터 값이 '0'이 되므로 PCIe로 업로드만 하고, 중계를 위한 일방향 SRL 통신 경로를 통한 중계 전송은 하지 않는다.
iTx(200)의 에이전트(210)는 PCIe를 통해 전달받은 'Deliver_Confirm' 즉, 보안정책 배포 명령어셋을 다시 보안서버(710)로 전송한다. 이를 통해 보안서버(710)는 해당 보안정책 배포 명령이 대상 통제서버로 전달되었음을 확인하고 관련 로그를 저장한다.
도 7은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 메시지 전달을 위한 SRL 통신을 설명하기 위한 도면, 도 8은 본 발명의 일 실시예에 따른 보안정책 적용에 따른 응답 SRL 패킷을 설명하기 위한 도면이다.
도 7 및 도 8을 참조하면, eTx(400)의 에이전트(410)는 수신신된 보안정책을 적용 후 도 8과 같은 'SetValue_Confirm(eTx)'용 SRL 패킷을 생성한다. 이때, eTx(400)의 SRL 패킷(카운터 '2')을 외부망 송신 광 전송장치(420)의 단방향 광 송신부(422)를 통해 iRx(500)로 전송한다.
내부망 수신통제서버(iRx)(500)의 단방향 광 수신부(524)는 SRL 패킷 헤더의 'Upload_ID' 값이 자신에 해당하는 값인 '0001'(iRx)과 일치하지 않으므로 해당 SRL 패킷을 PCIe를 통해 에이전트(510)로 업로드 하지 않으며, 'SRL_CNT' 값에서 -1 감소시킨 카운터 'SRL_CNT' 값을 '1'(비트표기 '00')로 변경한 중계 응답 SRL 패킷을 단방향 광 송신부(522)를 통해 내부망 송신통제서버(iTx)(200로 전송한다.
iTx(200)의 단방향 광 수신부(224)는 iRx(500)로부터 전달받은 중계 응답 SLR 패킷(카운터 '1')의 'SRL_CNT' 값에서 -1 감소시킨 카운터 값이 '0'이 되므로 PCIe를 통해 에이전트(210)로 업로드만 하고, 중계 일방향 SRL 통신 경로를 통한 재전송은 하지 않는다.
iTx(200)의 에이전트(210)는 전달받은 'SetValue_Confirm' 데이터 즉, 보안정책 처리 응답용 메시지를 보안서버(710)로 전송한다. 이를 통해 보안서버(710)는 해당 보안정책이 eTx에 정상 적용 완료되었음을 확인하고 관련 로그를 저장할 수 있다.
상술한 바와 같이, 본 발명에 따른 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법은, 다른 방향(정방향, 역방향)의 데이터 다이오드 쌍을 이용하여 단방향 특성은 그대로 유지하면서 스트림 데이터를 전송할 수 있다.
또한, 본 발명에 따른 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법은, 일방향으로 이어진 링(Ring) 순환 흐름을 갖는 SRL 통신 경로에서 보안정책 전달용(Delivery_confirm) SRL 패킷에 대한 무결성 보장을 위해 보안영역의 송신통제서버가 시작점이자 최종 도착점이 되게 함으로써, 해당 보안정책 전달이 일방향 링 순환 경로를 통해 각 통제서버로 정상적으로 전달되었는지 확인이 가능하고, 보안 설정 권한이 없는 다른 통제서버로부터 보안정책이 위*?*변조되는 것을 방지할 수 있다.
본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나, 이는 예시적인 것에 불과하며, 당해 기술이 속하는 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 아래의 특허청구범위에 의해서 정하여져야 할 것이다.
200 : 내부망 송신통제서버
300 : 외부망 수신통제서버
400 : 외부망 송신통제서버
500 : 내부망 수신통제서버
600 : 광 전송라인
700 : 내부망
800 : 외부망

Claims (1)

  1. 내부망 송신통제서버, 외부망 수신통제서버, 외부망 송신통제서버 및 내부망 수신통제서버를 구비하는 단방향 통신을 이용한 이종 망간 통신 시스템에서 보안정책 전송 방법에 있어서,
    상기 내부망 송신통제서버의 내부망 송신 에이전트가 내부망 보안서버로부터 보안정책 배포 명령을 수신하면, 상기 내부망 송신통제서버의 내부망 광 전송장치가 보안정책 배포 SRL 패킷을 생성하여 상기 외부망 수신통제서버로 전송하는 단계;
    상기 외부망 수신통제서버의 외부망 수신 광 전송장치가 상기 보안정책 배포 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 SRL 패킷을 외부망 수신 에이전트에 업로드하며, 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 SRL 패킷의 카운터 값을 감소시킨 제1 중계 SRL 패킷을 상기 외부망 송신통제서버로 전송하는 단계;
    상기 외부망 송신통제서버의 외부망 송신 광 전송장치가 상기 제1 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제1 중계 SRL 패킷을 외부망 송신 에이전트에 업로드하며, 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하고, 업로드 대상이 아닌 경우 상기 제1 중계 SRL 패킷의 카운터 값을 감소시킨 제2 중계 SRL 패킷을 상기 내부망 수신통제서버로 전송하는 단계;
    상기 내부망 수신통제서버의 내부망 수신 광 전송장치가 상기 제2 중계 SRL 패킷을 분석하여 업로드 대상 여부를 판단하고, 업로드 대상인 경우 상기 제2 중계 SRL 패킷을 내부망 수신 에이전트에 업로드하며, 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하고, 업로드 대상이 아닌 경우 상기 제2 중계 SRL 패킷의 카운터 값을 감소시킨 제3 중계 SRL 패킷을 상기 내부망 송신 광 전송장치로 전송하는 단계; 및
    상기 내부망 송신 광 전송장치가 상기 제3 중계 SRL 패킷의 카운터 값을 감소시킨 후 상기 내부망 송신 에이전트로 업로드하는 단계를 포함하되,
    상기 내부망 송신통제서버의 내부망 송신 광 전송장치가 보안정책 배포 SRL 패킷을 생성하여 상기 외부망 수신통제서버로 전송하는 단계는,
    상기 내부망 송신 광 전송장치의 단방향 광 송신부가, 용도(SRL_FLAG), 목적지까지의 중계 횟수를 구분하는 카운터(SRL_CNT) 및 통제서버 구분자(Upload_ID)를 포함하는 헤더 및 보안정책 데이터로 구성된 상기 보안정책 배포 SRL 패킷을 생성하는 단계; 및
    상기 내부망 송신 광 전송장치의 단방향 광 수신부가, 상기 보안정책 배포 SRL 패킷을 광 전송라인을 통해 상기 외부망 수신 광 전송장치로 전송하는 단계를 포함하는 것을 특징으로 하는 단방향 통신을 이용한 이종 망간 통신 방법.
KR1020210143503A 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법 KR102441752B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210143503A KR102441752B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190119450A KR102333245B1 (ko) 2019-09-27 2019-09-27 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143503A KR102441752B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020190119450A Division KR102333245B1 (ko) 2019-09-27 2019-09-27 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20210134259A KR20210134259A (ko) 2021-11-09
KR102441752B1 true KR102441752B1 (ko) 2022-09-13

Family

ID=75472902

Family Applications (10)

Application Number Title Priority Date Filing Date
KR1020190119450A KR102333245B1 (ko) 2019-09-27 2019-09-27 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143508A KR102441199B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143503A KR102441752B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143509A KR102441200B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143504A KR102441753B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143501A KR102441751B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143506A KR102441197B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143507A KR102441198B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143502A KR102441195B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143505A KR102441196B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법

Family Applications Before (2)

Application Number Title Priority Date Filing Date
KR1020190119450A KR102333245B1 (ko) 2019-09-27 2019-09-27 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143508A KR102441199B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법

Family Applications After (7)

Application Number Title Priority Date Filing Date
KR1020210143509A KR102441200B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143504A KR102441753B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143501A KR102441751B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143506A KR102441197B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143507A KR102441198B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143502A KR102441195B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
KR1020210143505A KR102441196B1 (ko) 2019-09-27 2021-10-26 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법

Country Status (1)

Country Link
KR (10) KR102333245B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604357A (zh) * 2022-08-31 2023-01-13 云南电网有限责任公司(Cn) 一种输电线路异构融合组网通信管控系统
KR102591439B1 (ko) 2022-12-07 2023-10-19 (주) 앤앤에스피 보안영역 통제 기반 듀얼 단방향 연계 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101593168B1 (ko) 2014-09-11 2016-02-18 한국전자통신연구원 물리적 단방향 통신 장치 및 방법
JP2017123603A (ja) 2016-01-08 2017-07-13 株式会社制御システム研究所 特定パケット中継機能付きデータダイオード装置及びその設定方法
KR101897123B1 (ko) 2017-07-28 2018-09-11 (주)앤앤에스피 듀얼 단방향 데이터 및 관리 정보 전송 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101593168B1 (ko) 2014-09-11 2016-02-18 한국전자통신연구원 물리적 단방향 통신 장치 및 방법
JP2017123603A (ja) 2016-01-08 2017-07-13 株式会社制御システム研究所 特定パケット中継機能付きデータダイオード装置及びその設定方法
KR101897123B1 (ko) 2017-07-28 2018-09-11 (주)앤앤에스피 듀얼 단방향 데이터 및 관리 정보 전송 시스템

Also Published As

Publication number Publication date
KR102441198B1 (ko) 2022-09-08
KR102441199B1 (ko) 2022-09-08
KR20210131964A (ko) 2021-11-03
KR102441200B1 (ko) 2022-09-08
KR20210134259A (ko) 2021-11-09
KR20210131962A (ko) 2021-11-03
KR20210134260A (ko) 2021-11-09
KR102441197B1 (ko) 2022-09-08
KR20210037178A (ko) 2021-04-06
KR20210131965A (ko) 2021-11-03
KR102333245B1 (ko) 2021-12-02
KR20210133916A (ko) 2021-11-08
KR102441196B1 (ko) 2022-09-08
KR102441751B1 (ko) 2022-09-13
KR102441195B1 (ko) 2022-09-08
KR20210134258A (ko) 2021-11-09
KR20210131963A (ko) 2021-11-03
KR102441753B1 (ko) 2022-09-13
KR20210131297A (ko) 2021-11-02

Similar Documents

Publication Publication Date Title
KR102441195B1 (ko) 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
CA2611776C (en) Method and communication unit for communicating between communication apparatuses
Cowley Communications and networking: an introduction
CN111164923B (zh) 用于单向传输数据的设计
EP2928108B1 (en) System, method and apparatus for multi-lane auto-negotiation over reduced lane media
US20080301799A1 (en) Method and apparatus for reliable, high speed data transfers in a high assurance multiple level secure environment
JP2007028623A (ja) ネットワークストリームベースの伝送速度を加速するためにber/perを調整するためのシステムおよび方法
KR101063152B1 (ko) 일방향 데이터 전송 시스템 및 방법
KR101953552B1 (ko) 단방향 전송 장치, 단방향 수신 장치 및 이를 이용한 단방향 재전송 방법
KR102017742B1 (ko) 단방향 데이터 송신 장치, 단방향 데이터 수신 장치 및 이를 이용한 단방향 데이터 전송 방법
JP2012060220A (ja) ネットワークアダプタ
CN114679265A (zh) 流量获取方法、装置、电子设备和存储介质
US20030120800A1 (en) Network layer protocol
WO2014029958A1 (en) Acknowledgement system and method
US20180234334A1 (en) Redirecting flow control packets
CN217957087U (zh) 一种密码卡和数据接收系统
WO2023035115A1 (en) Communication interface and method for seamless data communication over multilane communication link
CN105812416A (zh) 不同网络间传输文件的方法和系统
WO2018133049A1 (zh) 一种处理数据的方法、光接入设备以及光接入系统
EP1251662A1 (en) Method for communicating between fibre channel systems

Legal Events

Date Code Title Description
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant