KR102591439B1 - Security Zone based Dual One-Way Link Control System - Google Patents

Security Zone based Dual One-Way Link Control System Download PDF

Info

Publication number
KR102591439B1
KR102591439B1 KR1020230024990A KR20230024990A KR102591439B1 KR 102591439 B1 KR102591439 B1 KR 102591439B1 KR 1020230024990 A KR1020230024990 A KR 1020230024990A KR 20230024990 A KR20230024990 A KR 20230024990A KR 102591439 B1 KR102591439 B1 KR 102591439B1
Authority
KR
South Korea
Prior art keywords
linkage unit
area
secure area
security
secure
Prior art date
Application number
KR1020230024990A
Other languages
Korean (ko)
Inventor
김기현
박혜용
Original Assignee
(주) 앤앤에스피
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 앤앤에스피 filed Critical (주) 앤앤에스피
Application granted granted Critical
Publication of KR102591439B1 publication Critical patent/KR102591439B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 관한 것으로서, 보안영역 내에 구성되고, 보안영역 장치와 연결되고, 보안영역 송신 연계부와, 보안영역 수신 연계부로 구성되는 보안영역 연계부; 비보안영역 내에 구성되고, 비보안영역 장치와 연결되고, 비보안영역 송신 연계부와, 비보안영역 수신 연계부로 구성되는 보안영역 연계부; 상기 보안영역 송신 연계부와 상기 비보안영역 수신 연계부를 연결하는 단방향 회선으로 구성되어, 상기 보안영역 송신 연계부에서 상기 비보안영역 수신 연계부로의 방향으로만 데이터를 전송하는, 정단방향 링크; 및, 상기 비보안영역 송신 연계부와 상기 보안영역 수신 연계부를 연결하는 단방향 회선으로 구성되어, 상기 비보안영역 송신 연계부에서 상기 보안영역 수신 연계부로의 방향으로만 데이터를 전송하는, 역단방향 링크를 포함하고, 상기 보안영역 장치에서 상기 비보안영역 장치로의 통신 연계를 위하여, 상기 보안영역 연계부에서 상기 비보안영역 연계부로 상기 정단방향 링크를 통해 통신 개시 명령을 전달하고, 상기 비보안영역 장치에서 상기 보안영역 장치로의 통신 연계를 위하여, 상기 보안영역 연계부에서 상기 비보안영역 연계부로 상기 정단방향 링크를 통해 통신 개시 명령을 전달하고, 상기 통기 개시 명령에 따라, 상기 보안영역 장치부에서 상기 비보안영역 장치부로 전달되는 데이터는 상기 정단방향 링크를 통해 전달되고, 상기 비보안영역 장치에서 상기 보안영역 장치로 전달되는 데이터는 상기 역단방향 링크를 통해 전달되는 구성을 마련한다.
상기와 같은 시스템에 의하여, 보안영역에서만 보안정책을 관리함으로써 보안성을 향상시키고 보안영역에서 비보안영역으로의 통신 개시 명령이 이루어짐으로써 인가된 서비스에 대한 통제가 강화되고, 서비스 동기화가 이루어지면 정단방향 데이터 연계, 역단방향 데이터 연계뿐만 아니라 양방향 데이터 연계를 가능하게 함으로써 효율성을 향상시킬 수 있다.The present invention relates to a dual one-way linkage system based on security area control, which includes a security area linkage unit configured within a security area, connected to a security area device, and consisting of a security area transmission linkage unit and a security area reception linkage unit; A security area linkage unit configured in a non-security area, connected to a non-security area device, and comprised of a non-security area transmission linkage unit and a non-security area reception linkage unit; a forward link consisting of a unidirectional line connecting the secure area transmission linkage unit and the non-secure area reception linkage unit, and transmitting data only in a direction from the secure area transmission linkage unit to the non-secure area reception linkage unit; And, a reverse unidirectional link consisting of a unidirectional line connecting the non-secure area transmission linkage unit and the secure area reception linkage unit, and transmitting data only in the direction from the non-secure area transmission linkage unit to the secure area reception linkage unit. In order to link communication from the secure area device to the non-secure area device, a communication start command is transmitted from the security area linkage unit to the non-secure area linkage unit through the forward link, and the non-secure area device transmits a communication start command to the non-secure area linkage unit. For communication linkage to the device, a communication start command is transmitted from the secure area linkage unit to the non-secure area linkage unit through the forward link, and according to the communication start command, from the secure area device unit to the non-secure area device unit. A configuration is provided in which data transmitted is transmitted through the forward unidirectional link, and data transmitted from the non-secure area device to the secure area device is transmitted through the reverse unidirectional link.
With the above system, security is improved by managing the security policy only in the security area, control of authorized services is strengthened by issuing a communication start command from the security area to the non-security area, and when service synchronization is achieved, forward-end Efficiency can be improved by enabling not only data linkage and reverse unidirectional data linkage, but also two-way data linkage.

Description

보안영역 통제 기반 듀얼 단방향 연계 시스템 { Security Zone based Dual One-Way Link Control System }Security Zone based Dual One-Way Link Control System }

본 발명은 데이터 다이오드 기반의 단방향 전송 경로를 이용하여 양방향 데이터의 연계를 지원하되, 보안영역에서 보안정책을 관리(정책 생성, 설정, 변경, 삭제 등)하고 비보안영역에서 보안영역으로부터 보안정책을 수신받아 적용하는, 보안영역 통제 기반 듀얼 단방향 연계 시스템에 관한 것이다.The present invention supports two-way data linkage using a data diode-based unidirectional transmission path, but manages security policies in the security area (policy creation, setting, change, deletion, etc.) and receives security policies from the security area in the non-security area. It is about a dual one-way linkage system based on security area control that receives and applies.

특히, 본 발명은 보안영역에서 비보안영역으로의 데이터 통신을 연계할 때 보안영역에서 비보안영역으로 해당 통신 서비스에 대한 통신 개시 명령이 있은 후 데이터를 전달하고, 비보안영역에서 보안영역으로의 데이터 통신을 연계할 때 보안영역에서 비보안영역으로 해당 통신 서비스에 대한 통신 개시 명령이 있은 후 데이터를 전달하는, 보안영역 통제 기반 듀얼 단방향 연계 시스템에 관한 것이다.In particular, the present invention, when linking data communication from a secure area to a non-secure area, transfers data after a command to start communication for the corresponding communication service from the security area to the non-secure area, and data communication from the non-secure area to the secure area. This relates to a dual one-way linkage system based on security area control that transfers data from the secure area to the non-secure area after a communication start command for the corresponding communication service is given when linking.

일반적으로, 단방향 데이터 전송 시스템은 내부망(또는 보안영역)에서 외부망(또는 비보안영역)으로 정단방향으로 데이터를 전송하기 위하여 사용되거나, 외부망에서 내부망으로 역단방향으로 데이터를 전송하기 위하여 사용된다. 이때, 정단방향 및 역단방향 전송 경로를 모두 구비한 시스템을 듀얼 단방향 데이터 전송 시스템이라 한다.Generally, a one-way data transmission system is used to transmit data in the forward direction from an internal network (or security area) to an external network (or non-security area), or to transmit data in the reverse direction from an external network to an internal network. do. At this time, a system equipped with both forward and reverse unidirectional transmission paths is called a dual unidirectional data transmission system.

종래에 개시된 듀얼 단방향 데이터/관리정보 전송 시스템이나, 단방향 통신을 이용한 이종 망간 통신 시스템(이하 선행기술)은 보안영역에 통합관리부 또는 보안서버를 별도로 두고 있고, 보안영역의 통합관리부 또는 보안서버에서 보안영역의 내부망 송신서버, 비보안영역의 외부망 수신서버, 비보안영역의 외부망 송신서버, 보안영역의 내부망 수신서버로의 링(Ring) 흐름 경로로 보안정책의 전달 경로를 구성한다[특허문헌 1, 2].Conventionally disclosed dual one-way data/management information transmission systems or heterogeneous inter-network communication systems using one-way communication (hereinafter referred to as prior art) have a separate integrated management unit or security server in the security area, and security is provided by the integrated management unit or security server in the security area. The security policy transmission path is configured as a ring flow path to the internal network transmission server of the area, the external network reception server of the non-security area, the external network transmission server of the non-security area, and the internal network reception server of the security area [patent document] 1, 2].

상기 선행기술은 보안정책을 보안영역에서 관리하나, 보안정책의 전달 경로가 링(Ring) 흐름 경로를 갖음으로써 비보안영역의 외부망 송신서버에서 보안영역의 내부망 수신서버로의 흐름을 발생시킨다. 비보안영역에서 보안영역으로 보안정책이 전달될 경우, 비보안영역의 외부망 송신서버가 해킹되면 보안정책의 위변조가 가능하고, 위변조된 보안정책을 내부망 수신서버로 전달함으로써 비인가된 통신이 발생할 취약성을 가지고 있다.The prior art manages the security policy in the security area, but the transmission path of the security policy has a ring flow path, thereby generating a flow from the external network transmission server in the non-security area to the internal network reception server in the security area. When a security policy is transmitted from a non-secure area to a secure area, if the external network transmission server in the non-secure area is hacked, the security policy can be forged and altered. By transmitting the forged security policy to the internal network receiving server, the vulnerability of unauthorized communication is reduced. Have.

또한, 상기 선행기술은, 내부망 송신서버에서 외부망 수신서버로의 정단방향 링크와 외부망 수신서버에서 내부망 송신서버로의 역단방향 링크가 한쪽 회선만 연결되고 반대 회선은 물리적으로 끊어져 있으므로, TCP 통신이 불가능하고, 단방향 데이터 전송을 위한 UDP 전송 또는 스트림 전송 등을 사용해야 한다. 따라서 상기 선행기술은 TCP SYN와 같은 통신 요청을 할 수 없어 동기화가 어려운 문제점을 가진다.In addition, in the prior art, only one line of the forward link from the internal network sending server to the external network receiving server and the reverse one-way link from the external network receiving server to the internal network sending server are connected, and the opposite line is physically disconnected, TCP communication is not possible, and UDP transmission or stream transmission must be used for one-way data transmission. Therefore, the prior art has a problem in that it cannot make communication requests such as TCP SYN, making synchronization difficult.

일반적으로, 방화벽과 같은 네트워크 접근통제 시스템에서는 내부망(보안영역)에서 외부망(비보안영역)로의 통신 요청은 허용하지만 외부망(비보안영역)에서 내부망(보안영역)로의 통신 요청을 허용하지 않는 정책을 사용한다. 그런데, 듀얼 단방향 시스템에서 외부망(비보안영역)에서 내부망(보안영역)으로 데이터를 일방향으로 전달하는 경우, 기관에서 같은 네트워크 보안정책을 일관성 있게 유지하기 어려우며 보안영역의 통제를 받지 않는 부분이 발생하는 문제점이 있다.Generally, network access control systems such as firewalls allow communication requests from the internal network (security area) to the external network (non-security area), but do not allow communication requests from the external network (non-security area) to the internal network (security area). Use policy. However, when data is transmitted in one direction from the external network (non-security area) to the internal network (secure area) in a dual one-way system, it is difficult for the organization to consistently maintain the same network security policy, and there are parts that are not controlled by the security area. There is a problem.

또한, 상기 선행기술은, 보안영역에서 비보안영역으로 데이터를 정단방향으로만 전달하고 비보안영역에서 보안영역으로 데이터를 역단방향으로만 전달하는 구조이므로, 보안영역과 비보안영역 간 양방향 통신이 필요한 경우 보안영역 시스템과 비보안영역 시스템에서 인바운드 패킷과 아웃바운드 패킷을 분할하고 재조립하도록 통신 모듈을 변경해야 하는 문제점이 있다.In addition, the above prior art has a structure that transmits data only in the forward direction from the security area to the non-security area and in the reverse direction only from the non-security area to the security area, so when two-way communication between the security area and the non-security area is required, security There is a problem in that the communication module must be changed to split and reassemble inbound packets and outbound packets in area systems and non-secure area systems.

한국등록특허공보 10-1897123(2018.09.04.공고)Korean Patent Publication No. 10-1897123 (announced on September 4, 2018) 한국등록특허공보 10-2441195(2022.09.08.공고)Korean Patent Publication No. 10-2441195 (2022.09.08. Notice)

본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 보안영역에서 보안정책을 관리(정책 생성, 설정, 변경, 삭제 등)하고 비보안영역에서 보안영역으로부터 보안정책을 수신받아 적용하는, 보안영역 통제 기반 듀얼 단방향 연계 시스템을 제공하는 것이다.The purpose of the present invention is to solve the problems described above, and manages security policies in the security area (policy creation, setting, change, deletion, etc.) and receives and applies the security policy from the security area in the non-security area. It provides a dual one-way linkage system based on area control.

또한, 본 발명의 목적은 보안영역에서 비보안영역으로의 데이터 통신을 연계할 때 보안영역에서 비보안영역으로 해당 통신 서비스에 대한 통신 개시 명령이 있은 후 데이터를 전달하고, 비보안영역에서 보안영역으로의 데이터 통신을 연계할 때 보안영역에서 비보안영역으로 해당 통신 서비스에 대한 통신 개시 명령이 있은 후 데이터를 전달하는, 보안영역 통제 기반 듀얼 단방향 연계 시스템을 제공하는 것이다.In addition, the purpose of the present invention is to transfer data from the security area to the non-security area after a command to start communication for the corresponding communication service when linking data communication from the security area to the non-security area, and to transfer data from the non-security area to the security area. When linking communications, it provides a dual one-way linkage system based on security area control that transfers data from the secure area to the non-secure area after a communication start command for the corresponding communication service is given.

또한, 본 발명의 목적은 보안영역 장치와 비보안영역 장치 간의 연계를 위한 연계부를 보안영역과 비보안영역 각각에 구비하고, 보안영역 장치-보안영역 송신 연계부-비보안영역 수신 연계부-비보안장치의 경로로 데이터를 전달하는 정단방향 연계와, 비보안장치-비보안영역 송신 연계부-비보안영역 수신 연계부-보안장치의 경로로 데이터를 전달하는 역방향 연계와, 보안영역 및 비보안영역 각각에서의 송신 연계부와 수신 연계부 간의 연계를 통해, 양방향으로 데이터를 교환하는, 보안영역 통제 기반 듀얼 단방향 연계 시스템을 제공하는 것이다.In addition, the object of the present invention is to provide a connection unit for connection between a security area device and a non-security area device in each of the security area and the non-security area, and to provide a path between the security area device - the security area transmission link unit - the non-secure area reception link unit - the non-secure device. Forward linkage that transmits data through the path, non-security device-non-secure area transmission linkage unit-non-security area reception linkage unit-backward linkage that transfers data along the path of the security device, and transmission linkage units in each of the security area and non-security area. It provides a dual one-way linkage system based on security area control that exchanges data in both directions through linkage between receiving linkages.

상기 목적을 달성하기 위해 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 관한 것으로서, 보안영역 내에 구성되고, 보안영역 장치와 연결되고, 보안영역 송신 연계부와, 보안영역 수신 연계부로 구성되는 보안영역 연계부; 비보안영역 내에 구성되고, 비보안영역 장치와 연결되고, 비보안영역 송신 연계부와, 비보안영역 수신 연계부로 구성되는 보안영역 연계부; 상기 보안영역 송신 연계부와 상기 비보안영역 수신 연계부를 연결하는 단방향 회선으로 구성되어, 상기 보안영역 송신 연계부에서 상기 비보안영역 수신 연계부로의 방향으로만 데이터를 전송하는, 정단방향 링크; 및, 상기 비보안영역 송신 연계부와 상기 보안영역 수신 연계부를 연결하는 단방향 회선으로 구성되어, 상기 비보안영역 송신 연계부에서 상기 보안영역 수신 연계부로의 방향으로만 데이터를 전송하는, 역단방향 링크를 포함하고, 상기 보안영역 장치에서 상기 비보안영역 장치로의 통신 연계를 개시하는 경우, 상기 보안영역 장치와 연계하는 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부에서 상기 비보안영역 장치와 연계하는 상기 비보안영역 송신 연계부 또는 상기 비보안영역 수신 연계부로 통신 개시 명령을 전달하고, 상기 비보안영역 장치에서 상기 보안영역 장치로의 통신 연계를 개시하는 경우, 상기 보안영역 장치와 연계하는 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부에서 상기 비보안영역 장치와 연계하는 상기 비보안영역 송신 연계부 또는 상기 비보안영역 수신 연계부로 통신 개시 명령을 전달하고, 상기 통신 개시 명령에 따라, 상기 보안영역 장치부에서 상기 비보안영역 장치부로 전달되는 데이터는 상기 정단방향 링크를 통해 전달되고, 상기 비보안영역 장치에서 상기 보안영역 장치로 전달되는 데이터는 상기 역단방향 링크를 통해 전달되는 것을 특징으로 한다.In order to achieve the above object, the present invention relates to a dual one-way linkage system based on security area control, which is configured within a security area, is connected to a security area device, and consists of a security area transmission linkage unit and a security area reception linkage unit. linkage part; A security area linkage unit configured in a non-security area, connected to a non-security area device, and comprised of a non-security area transmission linkage unit and a non-security area reception linkage unit; a forward link consisting of a unidirectional line connecting the secure area transmission linkage unit and the non-secure area reception linkage unit, and transmitting data only in a direction from the secure area transmission linkage unit to the non-secure area reception linkage unit; And, a reverse unidirectional link consisting of a unidirectional line connecting the non-secure area transmission linkage unit and the secure area reception linkage unit, and transmitting data only in the direction from the non-secure area transmission linkage unit to the secure area reception linkage unit. And, when the communication linkage from the secure area device to the non-secure area device is initiated, the secure area transmission linkage unit linked with the secure area device or the non-secure area linker linked with the non-secure area device from the secure area reception linkage unit. When a communication start command is transmitted to the area transmission linkage unit or the non-secure area reception linkage unit, and communication linkage from the non-secure area device to the security area device is initiated, the secure area transmission linkage unit linked with the security area device or A communication start command is transmitted from the secure area reception linkage unit to the non-secure area transmission linkage unit or the non-secure area reception linkage unit linked with the non-secure area device, and according to the communication start command, the security area device unit transmits a communication start link to the non-secure area device. Data transmitted to the device unit is transmitted through the forward unidirectional link, and data transmitted from the non-secure area device to the secure area device is transmitted through the reverse unidirectional link.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 보안영역 수신 연계부에서 통신 개시 명령을 상기 비보안영역 송신 연계부 또는 상기 비보안영역 수신 연계부로 전달할 때, 상기 보안영역 송신 연계부는 상기 보안영역 수신 연계부를 대신하여 통신 개시 명령을 상기 비보안영역 송신 연계부 또는 상기 비보안영역 수신 연계부로 전달하고, 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부에서 통신 개시 명령을 상기 비보안영역 수신 연계부로 전달할 때, 상기 비보안영역 수신 연계부는 상기 비보안영역 송신 연계부를 거쳐 통신 개시 명령을 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부로부터 전달받는 것을 특징으로 한다.In addition, the present invention is a dual one-way linkage system based on security area control, when the security area reception linkage unit transmits a communication start command to the non-secure area transmission linkage unit or the non-secure area reception linkage unit, the security area transmission linkage unit On behalf of the security area reception linkage unit, a communication start command is transmitted to the non-secure area transmission linkage unit or the non-secure area reception linkage unit, and the security area transmission linkage unit or the secure area reception linkage unit transmits a communication start command to the non-secure area reception linkage unit. When transmitting to the unit, the non-secure area reception linkage unit is characterized in that it receives a communication start command from the secure area transmission linkage unit or the secure area reception linkage unit via the non-secure area transmission linkage unit.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부는, 상기 보안영역 연계부와 상기 비보안영역 연계부의 보안정책을 설정하고, 상기 비보안영역 수신 연계부 또는 상기 비보안영역 송신 연계부는, 상기 정단방향 링크를 통해, 상기 보안영역 연계부로부터 설정된 보안정책을 수신받아 적용하는 것을 특징으로 한다.In addition, the present invention is a dual one-way linkage system based on security area control, wherein the security area transmission linkage unit or the security area reception linkage unit sets a security policy of the security area linkage unit and the non-security area linkage unit, and sets the security policy of the security area linkage unit and the non-security area linkage unit. The reception linkage unit or the non-secure area transmission linkage unit is characterized in that it receives and applies the security policy set from the security area linkage unit through the forward link.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 정단방향 링크는 상기 보안영역 송신 연계부의 송신 회선과 상기 비보안영역 수신 연계부의 수신 회선만 연결된 물리적 정단방향 회선으로 1개 이상으로 구성되고, 상기 역단방향 링크는 상기 비보안영역 송신 연계부의 송신 회선과 상기 보안영역 수신 연계부의 수신 회선만 연결된 물리적 역단방향 회선으로 1개 이상으로 구성되는 것을 특징으로 한다.In addition, in the present invention, in a dual one-way linkage system based on security area control, the forward link consists of one or more physical forward lines connecting only the transmission line of the security area transmission linkage unit and the reception line of the non-security area reception linkage unit. The reverse unidirectional link is characterized in that it is composed of one or more physical reverse unidirectional lines in which only the transmission line of the non-secure area transmission linkage unit and the reception line of the secure area reception linkage unit are connected.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 보안영역 연계부는 상기 보안영역 송신 연계부와 상기 보안영역 수신 연계부를 물리적으로 하나의 시스템으로 구성하거나, 상기 보안영역 송신 연계부와 상기 보안영역 수신 연계부를 물리적으로 분리하고 네트워크로 연결하고, 상기 비보안영역 연계부는 상기 비보안영역 수신 연계부와 상기 비보안영역 송신 연계부를 물리적으로 하나의 시스템으로 구성하거나, 상기 비보안영역 수신 연계부와 상기 비보안영역 송신 연계부를 물리적으로 분리하고 네트워크로 연결하는 것을 특징으로 한다.In addition, the present invention is a dual one-way linkage system based on security area control, wherein the security area linkage unit physically configures the security area transmission linkage unit and the security area reception linkage unit into one system, or the security area transmission linkage unit and the security area reception linkage unit are physically configured as one system. The secure area reception linkage unit is physically separated and connected through a network, and the non-security area linkage unit physically configures the non-security area reception linkage unit and the non-secure area transmission linkage unit into one system, or the non-secure area reception linkage unit and the non-secure area reception linkage unit are physically configured as one system. It is characterized by physically separating the non-secure area transmission linkage and connecting it through a network.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 보안정책은 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부에서 설정되고, 관리자 단말이 원격에 있는 경우 보안영역에 있는 상기 관리자 단말에서 상기 보안영역 연계부로 접속되어 관리되는 것을 특징으로 한다.In addition, the present invention is a dual one-way linkage system based on security area control, wherein the security policy is set in the security area transmission linkage unit or the security area reception linkage unit, and when the manager terminal is remote, the manager in the security area It is characterized by being connected and managed from the terminal to the security area linkage unit.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 통신 개시 명령은 상기 정단방향 링크로 전달되며, SYN 패킷, 시퀀스 시작 패킷, 세션 시작 패킷, 통신 요청 패킷. 통신 개시 패킷 중 어느 하나의 데이터 패킷 또는 정책 패킷에 의해 전달되는 것을 특징으로 한다.In addition, in the present invention, in a dual one-way link system based on security area control, the communication start command is transmitted to the forward link, and includes a SYN packet, sequence start packet, session start packet, and communication request packet. It is characterized in that it is delivered by either a data packet or a policy packet among the communication initiation packets.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 보안영역 장치에서 상기 비보안영역 장치로 연결되면서 데이터를 일방향으로 전달하는 경우, 상기 보안영역 장치와 상기 보안영역 송신 연계부가 연동되고, 상기 비보안영역 수신 연계부와 상기 비보안영역 장치가 연계하여, 상기 정단방향 링크를 통해 데이터가 일방향으로 전달되는 것을 특징으로 한다.In addition, the present invention relates to a dual one-way linkage system based on security area control, wherein when the security area device is connected to the non-security area device and transmits data in one direction, the security area device and the security area transmission linkage unit are linked, The non-secure area reception link unit and the non-secure area device are linked, and data is transmitted in one direction through the forward link.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 보안영역 장치에서 상기 비보안영역 장치로 연결되면서 데이터를 양방향으로 전달하는 경우, 상기 보안영역 장치와 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부가 연동되고, 상기 비보안영역 수신 연계부 또는 상기 비보안영역 송신 연계부와 상기 비보안영역 장치가 연계하여 상기 정단방향 링크를 통해 데이터를 비보안영역으로 전달하고, 상기 역단방향 링크를 통해 데이터를 보안영역으로 전달하는 것을 특징으로 한다.In addition, the present invention relates to a dual one-way linkage system based on security area control, when the security area device is connected to the non-security area device and transmits data in both directions, the security area device and the security area transmission linkage unit or the security area device. The area reception linkage unit is linked, and the non-secure area reception linkage unit or the non-secure area transmission linkage unit and the non-secure area device are linked to transmit data to the non-secure area through the forward link and transmit data through the reverse one-way link. It is characterized by being transmitted to a secure area.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 보안영역 장치에서 상기 비보안영역 장치로 연결되면서 데이터를 양방향으로 전달하는 경우, 상기 보안영역 송신 연계부를 대신하여 상기 보안영역 수신 연계부가 상기 보안영역 장치와 연동되고, 상기 보안영역 송신 연계부를 거쳐 상기 비보안영역 수신 연계부 또는 상기 비보안영역 송신 연계부와 상기 비보안영역 장치가 연계하여 상기 정단방향 링크를 통해 데이터를 비보안영역으로 전달하고, 상기 역단방향 링크를 통해 데이터를 보안영역으로 전달하는 것을 특징으로 한다.In addition, the present invention relates to a dual one-way linkage system based on security area control, when the security area device is connected to the non-security area device and transmits data in both directions, the security area reception linkage unit replaces the security area transmission linkage unit. It is linked with the secure area device, and the non-secure area reception linkage unit or the non-secure area transmission linkage unit is linked with the non-secure area device via the secure area transmission linkage unit to transmit data to the non-secure area through the forward link, Data is transmitted to the security area through the reverse unidirectional link.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 비보안영역 장치에서 상기 보안영역 장치로 연결되면서 데이터를 일방향으로 전달하는 경우, 상기 비보안영역 장치와 상기 비보안영역 송신 연계부가 연동되고, 상기 보안영역 수신 연계부와 상기 보안영역 장치가 연계하면서 상기 역단방향 링크를 통해 데이터가 일방향으로 전달되는 것을 특징으로 한다.In addition, the present invention relates to a dual one-way linkage system based on security area control, wherein when the non-secure area device is connected to the secure area device and transmits data in one direction, the non-secure area device and the non-secure area transmission linkage unit are linked, Characterized in that data is transmitted in one direction through the reverse unidirectional link while the security area reception linkage unit and the security area device are linked.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 비보안영역 장치에서 상기 보안영역 장치로 연결되면서 데이터를 양방향으로 전달하는 경우, 상기 비보안영역 장치와 상기 비보안영역 송신 연계부 또는 상기 비보안영역 수신 연계부가 연동되고, 상기 보안영역 수신 연계부 또는 보안영역 송신 연계부과 상기 보안영역 장치가 연동되어, 상기 역단방향 링크를 통해 데이터를 보안영역으로 전달하고, 상기 정단방향 링크를 통해 데이터를 비보안영역으로 전달하는 것을 특징으로 한다.In addition, the present invention relates to a dual one-way linkage system based on security area control, when the non-secure area device is connected to the secure area device and transmits data in both directions, the non-secure area device and the non-secure area transmission linkage unit or the non-secure area device. The area reception linkage unit is linked, and the secure area reception linkage unit or the secure area transmission linkage unit and the security area device are linked to transmit data to the secure area through the reverse unidirectional link, and transmit data to the secure area through the forward link. It is characterized by delivering to the area.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 비보안영역 장치에서 상기 보안영역 장치로 연결되면서 데이터를 양방향으로 전달하는 경우, 상기 비보안영역 송신 연계부를 대신하여 상기 비보안영역 수신 연계부가 상기 비보안영역 장치와 연동되고, 상기 비보안영역 송신 연계부를 거쳐 상기 보안영역 수신 연계부 또는 보안영역 송신 연계부과 상기 보안영역 장치가 연동되어, 상기 역단방향 링크를 통해 데이터를 보안영역으로 전달하고, 상기 정단방향 링크를 통해 데이터를 비보안영역으로 전달하는 것을 특징으로 한다.In addition, in the present invention, in a dual one-way linkage system based on security area control, when the non-secure area device is connected to the secure area device and transmits data in both directions, the non-secure area reception linkage unit replaces the non-secure area transmission linkage unit. It is linked with the non-secure area device, and the secure area device is linked with the security area reception linkage unit or the secure area transmission linkage unit via the non-secure area transmission linkage unit, and transmits data to the secure area through the reverse one-way link. It is characterized by transmitting data to a non-secure area through a forward link.

또한, 본 발명은 보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서, 상기 보안영역 송신 연계부는 상기 보안영역 장치와 연동하기 위한 ITX 프록시부를 포함하고, 상기 보안영역 수신 연계부는 상기 보안영역 장치와 연동하기 위한 IRX 프록시부를 포함하며, 상기 ITX 프록시부 또는 상기 IRX 프록시부는 접근통제 및 필터링 기능을 제공하고, 상기 비보안영역 수신 연계부는 상기 비보안영역 장치와 연동하기 위한 ORX 프록시부를 포함하고, 상기 비보안영역 송신 연계부는 상기 비보안영역 장치와 연동하기 위한 OTX 프록시부를 포함하며, 상기 ORX 프록시부 또는 상기 OTX 프록시부는 접근통제 및 필터링 기능을 제공하는 것을 특징으로 한다.In addition, the present invention is a dual one-way linkage system based on security area control, wherein the security area transmission linkage unit includes an ITX proxy unit for interworking with the security area device, and the security area reception linkage unit is for linkage with the security area device. Includes an IRX proxy unit, the ITX proxy unit or the IRX proxy unit provides access control and filtering functions, the non-secure area reception linkage unit includes an ORX proxy unit for linking with the non-secure area device, and the non-secure area transmission linkage unit It includes an OTX proxy unit for interworking with the non-secure area device, and the ORX proxy unit or the OTX proxy unit provides access control and filtering functions.

상술한 바와 같이, 본 발명에 따른 보안영역 통제 기반 듀얼 단방향 연계 시스템에 의하면, 보안영역에서 보안정책을 설정하고 비보안영역은 보안영역으로부터 보안정책을 수신받아 적용하게 함으로써, 링(Ring) 흐름의 경로에 따라 비보안 영역에서 보안영역으로의 정책 전달 흐름을 차단하여, 보안성을 향상시킬 수 있는 효과가 얻어진다.As described above, according to the security area control-based dual one-way linkage system according to the present invention, the security area sets the security policy and the non-security area receives and applies the security policy from the security area, thereby establishing a ring flow path. Accordingly, the effect of improving security is obtained by blocking the policy transmission flow from the non-security area to the security area.

또한, 본 발명에 따른 보안영역 통제 기반 듀얼 단방향 연계 시스템에 의하면, 보안영역에서 비보안영역으로의 데이터 연계뿐만 아니라 비보안영역에서 보안영역으로의 데이터 연계도 동일하게, 보안영역에서 비보안영역으로의 통신 개시 명령이 전달된 후 데이터를 전달하게 함으로써, 데이터를 동기화시키고 보안영역에서의 통제를 강화하여 비인가된 외부 접속을 차단할 수 있는 효과가 얻어진다.In addition, according to the dual one-way linkage system based on security area control according to the present invention, not only data linkage from the security area to the non-security area, but also data linkage from the non-security area to the security area is performed equally, and communication from the security area to the non-security area is initiated. By transmitting data after the command is delivered, the effect of synchronizing data and strengthening control in the security area is achieved, blocking unauthorized external access.

또한, 본 발명에 따른 보안영역 통제 기반 듀얼 단방향 연계 시스템에 의하면, 보안영역 송신 연계부에서 비보안영역 수신 연계부로의 정단방향 링크와, 비보안영역 송신 연계부에서 보안영역 수신 연계부로의 역단방향 링크와 더불어, 보안영역 송/수신 연계부 간 통신 링크와, 비보안영역 송/수신 연계부 간 통신 링크를 이용하여, 정단방향/역단방향/양방향 데이터 교환이 가능한 하이브리드 구조를 제공함으로써, 통신 효율성을 높일 수 있는 효과가 얻어진다.In addition, according to the security area control-based dual one-way linkage system according to the present invention, a forward link from the security area transmission linkage unit to the non-security area reception linkage unit, a reverse one-way link from the non-security area transmission linkage unit to the security area reception linkage unit, and In addition, communication efficiency can be increased by providing a hybrid structure that allows forward/reverse one-way/bidirectional data exchange using communication links between security area transmission/reception linkages and non-security area transmission/reception linkages. A certain effect is obtained.

도 1은 본 발명의 일실시예에 따른 보안영역 통제 기반 듀얼 단방향 연계 시스템의 구성에 대한 블록도.
도 2는 본 발명의 일실시예에 따른 보안영역 기반 보안정책 관리 및 정책 배포 방법을 설명하는 구성도.
도 3은 본 발명의 일실시예에 따른 보안영역 장치부에서 비보안영역 장치부로의 데이터 연계 방법을 설명하는 구성도.
도 4는 본 발명의 일실시예에 따른 비보안영역 장치부에서 보안영역 장치부로의 데이터 연계 방법을 설명하는 구성도.
도 5는 본 발명의 일실시예에 따른 보안영역 장치와 보안영역 송신 연계부가 연계하고 비보안영역 수신 연계부와 비보안영역 장치가 연계하는 구조에서 보안영역 장치에서 비보안영역 장치로의 정단방향 데이터 연계 방법을 설명하는 흐름도.
도 6은 본 발명의 일실시예에 따른 보안영역 장치부와 보안영역 송신 연계부가 연계하고 비보안영역 수신 연계부와 비보안영역 장치가 연계하는 구조에서 보안영역 장치에서 비보안영역 장치로의 하나의 양방향 데이터 연계 방법을 설명하는 흐름도.
도 7은 본 발명의 일실시예에 따른 보안영역 장치와 보안영역 송신 연계부가 연계하고 비보안영역 송신 연계부와 비보안영역 장치가 연계하는 구조에서 보안영역 장치에서 비보안영역 장치로의 다른 하나의 양방향 데이터 연계 방법을 설명하는 흐름도.
도 8는 본 발명의 일실시예에 따른 비보안영역 장치와 비보안영역 송신 연계부가 연계하고 보안영역 수신 연계부와 보안영역 장치가 연계하는 구조에서, 비보안영역 장치에서 보안영역 장치로의 역단방향 데이터 연계 방법을 설명하는 흐름도.
도 9은 본 발명의 일실시예에 따른 비보안영역 장치와 비보안영역 송신 연계부가 연동하고 보안영역 수신 연계부와 보안영역 장치가 연동하는 구조에서 비보안영역 장치에서 보안영역 장치로의 하나의 양방향 데이터 연계 방법을 설명하는 흐름도.
도 10은 본 발명의 일실시예에 따른 비보안영역 장치와 비보안영역 송신 연계부가 연계하고 보안영역 송신 연계부와 보안영역 장치가 연계하는 구조에서 비보안영역 장치에서 보안영역 장치로의 다른 하나의 양방향 데이터 연계 방법을 설명하는 흐름도.Figure 1 is a block diagram of the configuration of a dual one-way linkage system based on security area control according to an embodiment of the present invention.
Figure 2 is a configuration diagram illustrating a security area-based security policy management and policy distribution method according to an embodiment of the present invention.
Figure 3 is a configuration diagram illustrating a method of linking data from a secure area device unit to a non-secure area device unit according to an embodiment of the present invention.
Figure 4 is a configuration diagram illustrating a method of linking data from a non-secure area device to a secure area device according to an embodiment of the present invention.
Figure 5 is a method of linking data in the forward direction from a secure area device to a non-secure area device in a structure in which a secure area device and a secure area transmission linkage unit are linked and a non-security area reception linkage unit and a non-secure area device are linked according to an embodiment of the present invention. Flowchart explaining.
Figure 6 shows one two-way data from the security area device to the non-security area device in a structure in which the security area device unit and the security area transmission linkage unit are linked and the non-security area reception linkage unit and the non-secure area device are linked according to an embodiment of the present invention. Flowchart explaining how to link.
Figure 7 shows another two-way data from the security area device to the non-security area device in a structure in which the security area device and the security area transmission linkage unit are linked and the non-security area transmission linkage unit and the non-security area device are linkage according to an embodiment of the present invention. Flowchart explaining how to link.
Figure 8 shows a reverse one-way data linkage from a non-secure area device to a secure area device in a structure in which a non-secure area device and a non-secure area transmission linkage unit are linked and a secure area reception linkage unit and a secure area device are linked according to an embodiment of the present invention. Flow chart explaining the method.
Figure 9 shows one two-way data linkage from the non-secure area device to the secure area device in a structure in which the non-secure area device and the non-secure area transmission linkage unit are linked and the security area reception linkage unit and the secure area device are linked according to an embodiment of the present invention. Flow chart explaining the method.
Figure 10 shows another two-way data from a non-secure area device to a secure area device in a structure in which a non-secure area device and a non-secure area transmission linkage unit are linked and a secure area transmission linkage unit and a secure area device are linked according to an embodiment of the present invention. Flowchart explaining how to link.

이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.Hereinafter, specific details for implementing the present invention will be described with reference to the drawings.

또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.In addition, in explaining the present invention, like parts are given the same reference numerals, and repeated description thereof is omitted.

먼저, 본 발명의 일실시예에 따른 보안영역 통제 기반 듀얼 단방향 연계 시스템의 구성을 도 1을 참조하여 설명한다.First, the configuration of a dual one-way linkage system based on security area control according to an embodiment of the present invention will be described with reference to FIG. 1.

도 1에서 보는 바와 같이, 본 발명의 일실시예에 따른 보안영역 통제 기반 듀얼 단방향 연계 시스템은, 보안영역에 설치된 보안영역 연계부(100), 비보안영역에 설치된 비보안영역 연계부(200), 보안영역 연계부(100)에서 비보안영역 연계부(200)로 단방향 회선이 형성된 정단방향 링크(610), 비보안영역 연계부(200)에서 보안영역 연계부(100)로의 단방향 회선이 형성된 역단방형 링크(620), 및, 각 보안영역 또는 비보안영역 내에 단방향 또는 양방향 회선이 형성된 영역내 통신 링크(630,640)로 구성되어, 보안영역 장치부(300)와 비보안영역 장치부(400) 간 데이터를 연계한다.As shown in Figure 1, the dual one-way linkage system based on security area control according to an embodiment of the present invention includes a security area linkage unit 100 installed in the security area, a non-security area linkage unit 200 installed in the non-security area, and a security area linkage unit 200 installed in the non-security area. A forward link 610 in which a one-way line is formed from the area linkage unit 100 to the non-security area linkage unit 200, and a reverse one-way link in which a one-way line is formed from the non-security area linkage unit 200 to the security area linkage unit 100 ( 620), and intra-area communication links 630 and 640 in which one-way or two-way lines are formed within each security area or non-security area, and link data between the security area device unit 300 and the non-security area device unit 400.

먼저, 보안영역 연계부(100)는 보안영역 송신 연계부(110)와 보안영역 수신 연계부(120)로 구성된다.First, the security area linkage unit 100 is composed of a security area transmission linkage unit 110 and a security area reception linkage unit 120.

또한, 보안영역 송신 연계부(110)는 ITX 보안관리부(111), ITX 통신부(112), ITX 프록시부(113)로 구성된다. 또한, ITX 통신부(112)는 ITX 일방향 송신부(112-1)와 ITX 영역내 통신부(112-2)로 구성된다.In addition, the secure area transmission linkage unit 110 is composed of an ITX security management unit 111, an ITX communication unit 112, and an ITX proxy unit 113. Additionally, the ITX communication unit 112 is composed of an ITX one-way transmission unit 112-1 and an ITX intra-area communication unit 112-2.

ITX 보안관리부(111)는 보안영역 송신 연계부(110)의 보안정책을 관리하며, 관리 정책에 따라 보안영역 연계부(100)와 비보안영역 연계부(200)의 보안정책을 통합 또는 부분적으로 관리하고 다른 연계부로 보안정책을 배포한다.The ITX security management unit 111 manages the security policy of the security area transmission linkage unit 110, and integrates or partially manages the security policy of the security area linkage unit 100 and the non-security area linkage unit 200 according to the management policy. and distributes the security policy to other connected departments.

ITX 일방향 송신부(112-1)는 정단방향 링크(610)의 송신 회선만 연결되어 있어 ORX 일방향 수신부(212-1)로 데이터를 단방향으로 송신한다. 즉, 보안영역에서 비보안영역으로 데이터를 전송 시 접속설정 과정이 없는 UDP, 일방향 스트림 등 일방향 전송 기술을 사용한다.The ITX one-way transmitter 112-1 is connected only to the transmission line of the forward link 610 and transmits data unidirectionally to the ORX one-way receiver 212-1. In other words, when transmitting data from a secure area to a non-secure area, one-way transmission technology such as UDP and one-way stream without a connection setup process is used.

ITX 영역내 통신부(112-2)는 보안영역 수신 연계부(120)의 IRX 영역내 통신부(122-2)와 연계하여 데이터를 전달한다. 이때, ITX 영역내 통신부(112-2)는 보안영역 통신 링크(630)를 통해 IRX 영역내 통신부(122-2)로 데이터를 전달한다.The ITX area communication unit 112-2 transmits data in conjunction with the IRX area communication unit 122-2 of the security area reception linkage unit 120. At this time, the ITX area communication unit 112-2 transmits data to the IRX area communication unit 122-2 through the security area communication link 630.

ITX 프록시부(113)는 보안영역 장치부(300)의 보안영역 장치(310)와 연계하는 어플리케이션 프록시로서 클라이언트 프록시 또는 서버 프록시로 구성된다. 또한, ITX 프록시부(113)는 보안영역 장치(310)와 연계하여 데이터를 전달하는 기능을 수행하며 부가적으로 접근통제 및 필터링 기능을 수행할 수 있다.The ITX proxy unit 113 is an application proxy linked to the security area device 310 of the security area device unit 300 and is configured as a client proxy or server proxy. In addition, the ITX proxy unit 113 performs a function of transmitting data in conjunction with the security area device 310 and can additionally perform access control and filtering functions.

다음으로, 보안영역 수신 연계부(120)는 IRX 보안관리부(121), IRX 통신부(122), IRX 프록시부(123)로 구성되며 IRX 통신부(122)는 IRX 일방향 수신부(122-1)와 IRX 영역내 통신부(122-2)로 구성된다.Next, the security area reception linkage unit 120 is composed of an IRX security management unit 121, an IRX communication unit 122, and an IRX proxy unit 123, and the IRX communication unit 122 includes an IRX one-way reception unit 122-1 and an IRX It consists of an intra-area communication unit (122-2).

IRX 보안관리부(121)는 보안영역 수신 연계부(120)의 보안정책을 관리하며, 관리 정책에 따라 보안영역 연계부(100)와 비보안영역 연계부(200)의 보안정책을 통합 또는 부분적으로 관리하고 다른 연계부로 보안정책을 배포한다.The IRX security management unit 121 manages the security policy of the security area reception linkage unit 120, and integrates or partially manages the security policy of the security area linkage unit 100 and the non-security area linkage unit 200 according to the management policy. and distributes the security policy to other connected departments.

IRX 일방향 수신부(122-1)는 역단방향 링크(620)의 수신 회선만 연결되어 있어, OTX 일방향 송신부(222-1)로부터 데이터를 단방향으로 수신한다.The IRX one-way receiver 122-1 is connected only to the reception line of the reverse unidirectional link 620, and receives data unidirectionally from the OTX one-way transmitter 222-1.

IRX 영역내 통신부(122-2)는 보안영역 송신 연계부(110)의 ITX 영역내 통신부(112-2)와 연계하여 데이터를 전달한다. 이때, IRX 영역내 통신부(122-2)는 보안영역 통신 링크(630)를 통해 ITX 영역내 통신부(112-2)로 데이터를 전달한다.The IRX area communication unit 122-2 transmits data in conjunction with the ITX area communication unit 112-2 of the security area transmission linkage unit 110. At this time, the communication unit 122-2 within the IRX area transmits data to the communication unit 112-2 within the ITX area through the security area communication link 630.

IRX 프록시부(123)는 보안영역 장치부(300)의 보안영역 장치(310)와 연계하는 어플리케이션 프록시로서 클라이언트 프록시 또는 서버 프록시로 구성된다. 또한, IRX 프록시부(123)는 보안영역 장치(310)와 연계하여 데이터를 전달하는 기능을 수행하며 부가적으로 접근통제 및 필터링 기능을 수행할 수 있다.The IRX proxy unit 123 is an application proxy linked to the security area device 310 of the security area device unit 300 and is configured as a client proxy or server proxy. In addition, the IRX proxy unit 123 performs a function of transmitting data in conjunction with the security area device 310 and can additionally perform access control and filtering functions.

다음으로, 비보안영역 연계부(200)는 비보안영역 수신 연계부(210)와 비보안영역 송신 연계부(220)로 구성된다.Next, the non-secure area linkage unit 200 is composed of a non-secure area reception linkage unit 210 and a non-secure area transmission linkage unit 220.

먼저, 비보안영역 수신 연계부(210)는 ORX 보안관리부(211), ORX 통신부(212), ORX 프록시부(213)로 구성된다. 또한, ORX 통신부(212)는 ORX 일방향 수신부(212-1)와 ORX 영역내 통신부(212-2)로 구성된다.First, the non-secure area reception linkage unit 210 is composed of an ORX security management unit 211, an ORX communication unit 212, and an ORX proxy unit 213. Additionally, the ORX communication unit 212 is composed of an ORX one-way reception unit 212-1 and an ORX intra-area communication unit 212-2.

ORX 보안관리부(211)는 비보안영역 수신 연계부(210)의 보안정책을 관리하며, 보안영역 연계부(100)로부터 보안정책을 수신받아 적용한다.The ORX security management unit 211 manages the security policy of the non-security area reception linkage unit 210, and receives and applies the security policy from the security area linkage unit 100.

ORX 일방향 수신부(212-1)는 정단방향 링크(610)의 수신 회선만 연결되어 있어, ITX 일방향 송신부(112-1)로부터 데이터를 단방향으로 수신한다.The ORX one-way receiver 212-1 is connected only to the reception line of the forward link 610, and receives data unidirectionally from the ITX one-way transmitter 112-1.

ORX 영역내 통신부(212-2)는 비보안영역 송신 연계부(220)의 OTX 영역내 통신부(222-2)와 연계하여 데이터를 전달한다. 이때, ORX 영역내 통신부(212-2)는 비보안영역 통신 링크(640)를 통해 OTX 영역내 통신부(222-2)로 데이터를 전달한다.The ORX area communication unit 212-2 transmits data in conjunction with the OTX area communication unit 222-2 of the non-secure area transmission linkage unit 220. At this time, the ORX area communication unit 212-2 transmits data to the OTX area communication unit 222-2 through the non-secure area communication link 640.

ORX 프록시부(213)는 비보안영역 장치부(400)의 비보안영역 장치(410)와 연계하는 어플리케이션 프록시로서 클라이언트 프록시 또는 서버 프록시로 구성된다. 또한, ORX 프록시부(213)는 비보안영역 장치(410)와 연계하여 데이터를 전달하는 기능을 수행하며 부가적으로 접근통제 및 필터링 기능을 수행할 수 있다.The ORX proxy unit 213 is an application proxy linked to the non-secure area device 410 of the non-secure area device unit 400 and is configured as a client proxy or server proxy. In addition, the ORX proxy unit 213 performs a function of transmitting data in conjunction with the non-secure area device 410 and can additionally perform access control and filtering functions.

다음으로, 비보안영역 송신 연계부(220)는 OTX 보안관리부(221), OTX 통신부(222), OTX 프록시부(223)로 구성된다. 또한, OTX 통신부(222)는 OTX 일방향 송신부(222-1)와 OTX 영역내 통신부(222-2)로 구성된다.Next, the non-secure area transmission linkage unit 220 is composed of an OTX security management unit 221, an OTX communication unit 222, and an OTX proxy unit 223. In addition, the OTX communication unit 222 is composed of an OTX one-way transmission unit 222-1 and an OTX intra-area communication unit 222-2.

OTX 보안관리부(221)는 비보안영역 송신 연계부(220)의 보안정책을 관리하며, 보안영역 연계부(100)로부터 보안정책을 수신받아 적용한다.The OTX security management unit 221 manages the security policy of the non-secure area transmission linkage unit 220, and receives and applies the security policy from the security area linkage unit 100.

ORX 일방향 송신부(222-1)는 역단방향 링크(620)의 송신 회선만 연결되어 있어 IRX 일방향 수신부(122-1)로 데이터를 단방향으로 송신한다. 즉, 비보안영역에서 보안영역으로 데이터를 전송 시 접속설정 과정이 없는 UDP, 일방향 스트림 등 일방향 전송 기술을 사용한다.The ORX one-way transmitter 222-1 is connected only to the transmission line of the reverse unidirectional link 620 and transmits data unidirectionally to the IRX one-way receiver 122-1. In other words, when transmitting data from a non-secure area to a secure area, one-way transmission technology such as UDP and one-way stream without a connection setup process is used.

OTX 영역내 통신부(222-2)는 비보안영역 수신 연계부(210)의 ORX 영역내 통신부(212-2)와 연계하여 데이터를 전달한다. 이때, OTX 영역내 통신부(222-2)는 비보안영역 통신 링크(640)를 통해 ORX 영역내 통신부(212-2)로 데이터를 전달한다.The communication unit 222-2 within the OTX area transmits data in conjunction with the communication unit 212-2 within the ORX area of the non-secure area reception linkage unit 210. At this time, the communication unit 222-2 within the OTX area transmits data to the communication unit 212-2 within the ORX area through the non-secure area communication link 640.

OTX 프록시부(223)는 비보안영역 장치부(400)의 비보안영역 장치(410)와 연계하는 어플리케이션 프록시로 클라이언트 프록시 또는 서버 프록시로 구성된다. 또한, OTX 프록시부(223)는 비보안영역 장치(410)와 연계하여 데이터를 전달하는 기능을 수행하며 부가적으로 접근통제 및 필터링 기능을 수행할 수 있다.The OTX proxy unit 223 is an application proxy linked to the non-secure area device 410 of the non-secure area device unit 400 and is configured as a client proxy or server proxy. In addition, the OTX proxy unit 223 performs a function of transmitting data in conjunction with the non-secure area device 410 and can additionally perform access control and filtering functions.

다음으로, 보안영역 장치부(300)는 적어도 하나의 보안영역 장치(310)와 관리자 단말(320)로 구성된다. 관리자 단말(320)은 관리자가 사용하는 컴퓨팅 단말로서, PC, 노트북, 스마트폰 등일 수 있다. 보안영역 장치(310)는 보안영역 내에서 사용되는 컴퓨팅 시스템 또는 컴퓨팅 단말이다.Next, the security area device unit 300 is composed of at least one security area device 310 and an administrator terminal 320. The administrator terminal 320 is a computing terminal used by the administrator and may be a PC, laptop, smartphone, etc. The security area device 310 is a computing system or computing terminal used within the security area.

보안영역 장치(310)는 보안영역 송신 연계부(110)의 ITX 프록시부(113) 또는 보안영역 수신 연계부(120)의 IRX 프록시부(123)와 연계하여 데이터를 전달하는 기능을 수행한다.The security area device 310 performs the function of transmitting data in conjunction with the ITX proxy unit 113 of the security area transmission linkage unit 110 or the IRX proxy unit 123 of the security area reception linkage unit 120.

관리자 단말(320)은 보안영역 송신 연계부(110) 또는 보안영역 수신 연계부(120)의 보안관리를 원격에서 하는 경우, 보안영역에서 보안영역 송신 연계부(110) 또는 보안영역 수신 연계부(120)로 원격으로 접속하여 관리하는 기능을 수행한다.When performing security management of the security area transmission linkage unit 110 or the security area reception linkage unit 120 remotely, the administrator terminal 320 uses the security area transmission linkage unit 110 or the security area reception linkage unit ( 120) to remotely access and manage the system.

다음으로, 비보안영역 장치부(400)는 적어도 하나의 비보안영역 장치(410)로 구성된다. 비보안영역 장치(410)는 비보안영역 내에서 사용되는 컴퓨팅 시스템 또는 컴퓨팅 단말이다.Next, the non-secure area device unit 400 is composed of at least one non-secure area device 410. The non-secure area device 410 is a computing system or computing terminal used within the non-secure area.

비보안영역 장치(410)는 비보안영역 수신 연계부(210)의 ORX 프록시부(213) 또는 비보안영역 송신 연계부(220)의 OTX 프록시부(221)와 연계하여 데이터를 전달하는 기능을 수행한다.The non-secure area device 410 performs the function of transmitting data in conjunction with the ORX proxy unit 213 of the non-secure area reception linkage unit 210 or the OTX proxy unit 221 of the non-secure area transmission linkage unit 220.

다음으로, 정단방향 링크(610)는 ITX 일방향 송신부(112-1)와 ORX 일방향 수신부(212-1) 사이에 형성된 통신 회선으로서, ITX 일방향 송신부(112-1)에서 ORX 일방향 수신부(212-1)로 데이터를 단방향으로 송신하도록 단방향 회선으로 구성된다. 즉, 정단방향 링크(610)는 ITX 일방향 송신부(112-1)의 송신 회선과 ORX 일방향 수신부(212-1)의 수신 회선만 연결되고 반대 회선은 물리적으로 끊어져 있는, 단방향 회선으로 1개 이상으로 구성될 수 있다.Next, the forward link 610 is a communication line formed between the ITX one-way transmission unit 112-1 and the ORX one-way reception unit 212-1. ) is configured as a one-way line to transmit data in one direction. In other words, the forward link 610 consists of one or more one-way lines in which only the transmission line of the ITX one-way transmitter 112-1 and the reception line of the ORX one-way receiver 212-1 are connected, and the opposite line is physically disconnected. It can be configured.

다음으로, 역단방향 링크(620)는 OTX 일방향 송신부(222-1)와 IRX 일방향 수신부(122-1) 사이에 형성된 통신 회선으로서, OTX 일방향 송신부(222-1)에서 IRX 일방향 수신부(122-1)로 데이터를 단방향으로 송신하도록 단방향 회선으로 구성된다. 즉, 역단방향 링크(620)는 OTX 일방향 송신부(222-1)의 송신 회선과 IRX 일방향 수신부(122-1)의 수신 회선만 연결되고 반대 회선은 물리적으로 끊어져 있는, 단방향 링크로 1개 이상으로 구성될 수 있다.Next, the reverse unidirectional link 620 is a communication line formed between the OTX one-way transmitter 222-1 and the IRX one-way receiver 122-1, and is from the OTX one-way transmitter 222-1 to the IRX one-way receiver 122-1. ) is configured as a one-way line to transmit data in one direction. In other words, the reverse unidirectional link 620 is one or more unidirectional links in which only the transmission line of the OTX one-way transmitter 222-1 and the reception line of the IRX one-way receiver 122-1 are connected, and the opposite line is physically disconnected. It can be configured.

한편, 보안영역 연계부(100)는 보안영역 송신 연계부(110)와 보안영역 수신 연계부(120)를 물리적으로 하나의 시스템에 구성하거나, 보안영역 송신 연계부(110)와 보안영역 수신 연계부(120)를 물리적으로 분리하여 두 개의 시스템의 구성하고 네트워크로 연결할 수 있다.Meanwhile, the security area linkage unit 100 physically configures the security area transmission linkage unit 110 and the security area reception linkage unit 120 into one system, or links the security area transmission linkage unit 110 and the security area reception linkage unit. The unit 120 can be physically separated to form two systems and connected through a network.

보안영역 송신 연계부(110)와 보안영역 수신 연계부(120)를 물리적으로 분리하여 두 개의 시스템의 구성할 경우, ITX 영역내 통신부(112-2)와 IRX 영역내 통신부(122-2) 간 통신 링크, 즉, 보안영역 통신 링크(630)는 용도에 따라 단방향 또는 양방향으로 구성할 수 있다.When two systems are configured by physically separating the security area transmission linkage unit 110 and the security area reception linkage unit 120, between the communication unit 112-2 in the ITX area and the communication unit 122-2 in the IRX area. The communication link, that is, the security area communication link 630, can be configured as one-way or two-way depending on the purpose.

또한, 비보안영역 연계부(200)는 비보안영역 수신 연계부(210)와 비보안영역 송신 연계부(220)를 물리적으로 하나의 시스템에 구성하거나, 비보안영역 수신 연계부(210)와 비보안영역 송신 연계부(220)를 물리적으로 분리하여 두 개의 시스템의 구성하고 네트워크로 연결할 수 있다.In addition, the non-secure area linkage unit 200 physically configures the non-secure area reception linkage unit 210 and the non-secure area transmission linkage unit 220 into one system, or links the non-secure area reception linkage unit 210 with the non-secure area transmission linkage unit. The unit 220 can be physically separated to form two systems and connected through a network.

비보안영역 수신 연계부(210)와 비보안영역 송신 연계부(220)를 물리적으로 분리하여 두 개의 시스템의 구성할 경우, ORX 영역내 통신부(212-2)와 OTX 영역내 통신부(222-2) 간 통신 링크, 즉, 비보안영역 통신 링크(640)는 용도에 따라 단방향 또는 양방향으로 구성할 수 있다.When configuring two systems by physically separating the non-secure area reception linkage unit 210 and the non-secure area transmission linkage unit 220, the communication unit 212-2 in the ORX area and the communication unit 222-2 in the OTX area The communication link, that is, the non-secure area communication link 640, can be configured as one-way or two-way depending on the purpose.

다음으로, 본 발명의 일실시예에 따른 보안영역 기반 보안정책 관리 및 정책 배포 방법을 도 2를 참조하여 설명한다.Next, a security area-based security policy management and policy distribution method according to an embodiment of the present invention will be described with reference to FIG. 2.

도 2a 내지 도 2c에서 보는 바와 같이, 본 발명의 일실시예에 따른 보안영역 기반 보안정책 관리 및 정책 배포 방법은 보안영역 송신 연계부(110)에 의해 통합적으로 관리되는 제1 방식, 보안영역 수신 연계부(120)에 의해 통합적으로 관리되는 제2 방식, 보안영역 송신 연계부(110)와 보안영역 수신 연계부(120)에 의해 통합적으로 관리되는 제3 방식으로 구분된다.As shown in FIGS. 2A to 2C, the security zone-based security policy management and policy distribution method according to an embodiment of the present invention is a first method that is integratedly managed by the security zone transmission linkage unit 110, and the security zone reception method. It is divided into a second method that is integratedly managed by the linkage unit 120, and a third method that is comprehensively managed by the security area transmission linkage unit 110 and the security area reception linkage unit 120.

도 2a에서 보는 바와 같이, 제1 방식에 따른 보안영역 기반 보안정책 관리 및 정책 배포 방법은 보안영역 송신 연계부(110)에 의해 통합적으로 관리된다.As shown in FIG. 2A, the security area-based security policy management and policy distribution method according to the first method is integratedly managed by the security area transmission linkage unit 110.

즉, 보안영역 송신 연계부(110)는 보안영역 연계부(100)와 비보안영역 연계부(200)에 대한 보안정책을 통합적으로 관리하고 다른 연계부로 보안정책을 배포한다. 보안정책의 관리는 해당 보안정책의 생성, 설정, 변경, 삭제 등의 작업을 포함한다.That is, the security area transmission linkage unit 110 comprehensively manages the security policy for the security area linkage unit 100 and the non-security area linkage unit 200 and distributes the security policy to other linkages. Security policy management includes tasks such as creating, setting, changing, and deleting the security policy.

또한, 보안영역 수신 연계부(120)는 보안영역 송신 연계부(110)로부터 보안정책을 전달받아 적용한다(S111).Additionally, the security area reception linkage unit 120 receives the security policy from the security area transmission linkage unit 110 and applies it (S111).

또한, 비보안영역 수신 연계부(210)는 보안영역 송신 연계부(110)로부터 보안정책을 전달받아 적용한다(S112).Additionally, the non-secure area reception linkage unit 210 receives the security policy from the secure area transmission linkage unit 110 and applies it (S112).

또한, 비보안영역 송신 연계부(220)는 보안영역 송신 연계부(110)에서 배포한 보안정책을, 비보안영역 수신 연계부(210)를 거쳐 전달받아 적용한다(S113). 여기서, 비보안영역 수신 연계부(210)는 비보안영역 송신 연계부(220)의 보안정책을 바이패스하거나, 수신하여 전달할 수 있다.In addition, the non-secure area transmission linkage unit 220 receives and applies the security policy distributed by the security area transmission linkage unit 110 via the non-secure area reception linkage unit 210 (S113). Here, the non-secure area reception linking unit 210 can bypass, or receive and transmit, the security policy of the non-secure area transmission linking unit 220.

또한, 보안영역 송신 연계부(110)의 보안관리는 로컬에서 수행되거나 관리자 단말(320)을 통해 원격으로 관리될 수 있다(S114). Additionally, security management of the secure area transmission linkage unit 110 may be performed locally or managed remotely through the administrator terminal 320 (S114).

도 2b에서 보는 바와 같이, 제2 방식에 따른 보안영역 기반 보안정책 관리 및 정책 배포 방법은 보안영역 수신 연계부(120)에 의해 통합적으로 관리된다.As shown in Figure 2b, the security area-based security policy management and policy distribution method according to the second method is integratedly managed by the security area reception linkage unit 120.

즉, 보안영역 수신 연계부(120)는 보안영역 연계부(100)와 비보안영역 연계부(200)에 대한 보안정책을 통합적으로 관리하고 다른 연계부로 보안정책을 배포한다. 보안정책의 관리는 해당 보안정책의 생성, 설정, 변경, 삭제 등의 작업을 포함한다.That is, the security area reception linkage unit 120 comprehensively manages the security policy for the security area linkage unit 100 and the non-security area linkage unit 200 and distributes the security policy to other linkages. Security policy management includes tasks such as creating, setting, changing, and deleting the security policy.

또한, 보안영역 송신 연계부(110)는 보안영역 수신 연계부(120)로부터 보안정책을 전달받아 적용한다(S121).Additionally, the security area transmission linkage unit 110 receives the security policy from the security area reception linkage unit 120 and applies it (S121).

또한, 비보안영역 수신 연계부(210)는 보안영역 수신 연계부(120)에서 배포한 보안정책을, 보안영역 송신 연계부(110)를 거쳐 전달받아 적용한다(S122). 여기서, 보안영역 송신 연계부(110)는 비보안영역 수신 연계부(210)의 보안정책을 바이패스하거나, 수신하여 전달할 수 있다.In addition, the non-security area reception linkage unit 210 receives the security policy distributed by the security area reception linkage unit 120 via the security area transmission linkage unit 110 and applies it (S122). Here, the secure area transmission linkage unit 110 can bypass the security policy of the non-secure area reception linkage unit 210, or receive and transmit it.

또한, 비보안영역 송신 연계부(220)는 보안영역 수신 연계부(120)에서 배포한 보안정책을, 보안영역 송신 연계부(110)와 비보안영역 수신 연계부(210)를 거쳐 전달받아 적용한다(S123). 여기서, 보안영역 송신 연계부(110) 또는 비보안영역 수신 연계부(210)는 비보안영역 송신 연계부(220)의 보안정책을 바이패스하거나, 수신하여 전달할 수 있다.In addition, the non-secure area transmission linkage unit 220 receives and applies the security policy distributed by the security area reception linkage unit 120 through the security area transmission linkage unit 110 and the non-secure area reception linkage unit 210 ( S123). Here, the secure area transmission linking unit 110 or the non-secure area receiving linking unit 210 may bypass, or receive and transmit, the security policy of the non-secure area transmission linking unit 220.

또한, 보안영역 수신 연계부(120)의 보안관리는 로컬에서 수행되거나, 관리자 단말(320)를 통해 원격으로 관리될 수 있다(S124). Additionally, security management of the security area reception link unit 120 may be performed locally or managed remotely through the administrator terminal 320 (S124).

도 2c에서 보는 바와 같이, 제3 방식에 따른 보안영역 기반 보안정책 관리 및 정책 배포 방법은 보안영역 송신 연계부(110)와 보안영역 수신 연계부(120)에 의해 역할을 분담하여 관리된다.As shown in Figure 2c, the security area-based security policy management and policy distribution method according to the third method is managed by dividing roles by the security area transmission linkage unit 110 and the security area reception linkage unit 120.

즉, 보안영역 송신 연계부(110)는 보안영역 송신 연계부(110)의 보안정책을 관리(보안정책의 생성, 설정, 변경, 삭제)하고, 보안영역 수신 연계부(120)는 보안영역 수신 연계부(120)의 보안정책을 관리(보안정책의 생성, 설정, 변경, 삭제)한다.That is, the security area transmission linkage unit 110 manages the security policy of the security area transmission linkage unit 110 (creating, setting, changing, and deleting the security policy), and the security area reception linkage unit 120 manages the security area reception linkage unit 120. Manages the security policy of the linkage unit 120 (creation, setting, change, and deletion of security policy).

또한, 비보안영역 수신 연계부(210)와 비보안영역 송신 연계부(220)의 보안정책을 보안영역 송신 연계부(110)에서 통합 관리(보안정책의 생성, 설정, 변경, 삭제)할 경우 도 2a의 비보안영역 연계부(200)로의 정책 배포 경로(S112, S113)와 동일한 경로(S132, S133)이며, 보안영역 수신 연계부(120)에서 통합 관리(보안정책의 생성, 설정, 변경, 삭제)할 경우 도 2b의 비보안영역 연계부(200)에 대한 정책 배포 경로(S121, S122, S123)와 동일한 경로(S131, S132, S133)이다.In addition, when the security policies of the non-secure area reception linkage unit 210 and the non-secure area transmission linkage unit 220 are integratedly managed (creation, setting, change, and deletion of security policies) in the secure area transmission linkage unit 110, Figure 2a It is the same path (S132, S133) as the policy distribution path (S112, S113) to the non-security area linkage unit 200, and integrated management (creation, setting, change, and deletion of security policy) in the security area reception linkage part 120. In this case, the paths (S131, S132, and S133) are the same as the policy distribution paths (S121, S122, and S123) for the non-security area linkage unit 200 in FIG. 2b.

또한, 보안영역 송신 연계부(110) 또는 보안영역 수신 연계부(120)의 보안관리는 로컬에서 수행되거나, 관리자 단말(320)을 통해 원격으로 관리될 수 있다(S134, S135). Additionally, security management of the security area transmission linkage unit 110 or the security area reception linkage unit 120 may be performed locally or managed remotely through the manager terminal 320 (S134, S135).

다음으로, 본 발명의 일실시예에 따른 보안영역 장치부에서 비보안영역 장치부로의 데이터 연계 방법을 도 3을 참조하여 설명한다.Next, a method of linking data from the secure area device unit to the non-secure area device unit according to an embodiment of the present invention will be described with reference to FIG. 3.

도 3a 내지 도 3c에서 보는 바와 같이, 본 발명의 일실시예에 따른 보안영역 장치부에서 비보안영역 장치부로의 데이터 연계 방법은 정단방향으로 연계하는 제1 방식, 양방향으로 연계하되 비보안영역 장치(410)가 비보안영역 수신 연계부(210)에 의해 연계되는 제2 방식, 및, 양방향으로 연계하되 비보안영역 장치(410)가 비보안영역 송신 연계부(220)에 의해 연계되는 제3 방식으로 구분된다.As shown in FIGS. 3A to 3C, the data linkage method from the security area device unit to the non-security area device unit according to an embodiment of the present invention is a first method of linking in the apex direction, linking in both directions, and using the non-security area device 410. ) is divided into a second method in which the non-secure area reception linkage unit 210 is linked, and a third method in which the non-secure area device 410 is linked in both directions by the non-secure area transmission linkage unit 220.

먼저, 도 3a에서 보는 바와 같이, 제1 방식에 따른 정단방향 데이터 연계 방법에 의하면, 보안영역 장치(310)와 보안영역 송신 연계부(110)가 연계하고, 비보안영역 수신 연계부(210)와 비보안영역 장치(410)가 연계한다.First, as shown in Figure 3a, according to the forward-end data linkage method according to the first method, the security area device 310 and the security area transmission linkage unit 110 are linked, and the non-security area reception linkage unit 210 and The non-secure area device 410 connects.

즉, 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 데이터를 전달하고(S211), 보안영역 송신 연계부(110)에서 정단방향 링크(610)를 통해 비보안영역 수신 연계부(210)로 데이터를 전달하고(S212), 비보안영역 수신 연계부(210)에서 비보안영역 장치(410)로 데이터를 단방향으로 전달한다(S213).That is, data is transmitted from the security area device 310 to the security area transmission linkage unit 110 (S211), and the security area transmission linkage unit 110 transmits data to the non-security area reception linkage unit 210 through the forward link 610. ) (S212), and the data is unidirectionally transmitted from the non-secure area receiving link unit 210 to the non-secure area device 410 (S213).

다음으로, 도 3b에서 보는 바와 같이, 제2 방식에 따른 양방향 데이터 연계 방법에 의하면, 보안영역 장치(310)와 보안영역 송신 연계부(110)가 연계하고 비보안영역 수신 연계부(210)와 비보안영역 장치(410)가 연계한다. 또한, 보안영역 장치(310)에서 비보안영역 장치(410)로 요청 데이터가 전달되고, 비보안영역 장치(410)에서 보안영역 장치(310)로 응답 데이터가 전달된다. 즉, 보안영역 장치(310)와 비보안영역 장치(410) 사이에서 양방향으로 데이터가 전달된다.Next, as shown in Figure 3b, according to the two-way data linkage method according to the second method, the security area device 310 and the secure area transmission linkage unit 110 are linked, and the non-security area reception linkage unit 210 and the non-security area linkage unit 210 are connected to each other. The area device 410 associates. Additionally, request data is transferred from the secure area device 310 to the non-secure area device 410, and response data is transferred from the non-secure area device 410 to the secure area device 310. That is, data is transmitted in both directions between the secure area device 310 and the non-secure area device 410.

즉, 보안영역 장치(310)에서 비보안영역 장치(410)로의 요청 데이터 전달 방법은, 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 데이터를 전달하고(S221), 보안영역 송신 연계부(110)에서 정단방향 링크(610)를 통해 비보안영역 수신 연계부(210)로 데이터를 전달하고(S222), 비보안영역 수신 연계부(210)에서 비보안영역 장치(410)로 데이터를 전달한다(S223).In other words, the method of transmitting the requested data from the secure area device 310 to the non-secure area device 410 is to transfer data from the secure area device 310 to the secure area transmission linking unit 110 (S221) and linking the secure area transmission. Data is transmitted from the unit 110 to the non-secure area reception link unit 210 through the forward link 610 (S222), and the data is transferred from the non-secure area reception link unit 210 to the non-secure area device 410. (S223).

또한, 비보안영역 장치(410)에서 보안영역 장치(310)로의 응답 데이터 전달 방법은 비보안영역 장치(410)에서 비보안영역 수신 연계부(210)로 데이터를 전달하고(S224), 비보안영역 수신 연계부(210)에서 비보안영역 송신 연계부(220)로 데이터를 전달하고(S225), 비보안영역 송신 연계부(220)에서 역단방향 링크(620)를 통해 보안영역 수신 연계부(120)로 데이터를 전달하고(S226), 보안영역 수신 연계부(120)에서 보안영역 송신 연계부(110)로 데이터를 전달하고(S227), 보안영역 송신 연계부(110)에서 보안영역 장치(310)로 데이터를 전달한다(S228).In addition, the method of transmitting response data from the non-secure area device 410 to the secure area device 310 is to transmit data from the non-secure area device 410 to the non-secure area reception linkage unit 210 (S224) and the non-secure area reception linkage unit 210. Data is transmitted from (210) to the non-security area transmission linkage unit 220 (S225), and data is transmitted from the non-security area transmission linkage unit 220 to the security area reception linkage unit 120 through the reverse unidirectional link 620. (S226), data is transmitted from the security area reception linkage unit 120 to the security area transmission linkage unit 110 (S227), and data is transferred from the security area transmission linkage unit 110 to the security area device 310. Do it (S228).

다음으로, 도 3c에서 보는 바와 같이, 제3 방식에 따른 양방향 데이터 연계 방법에 의하면, 보안영역 장치(310)와 보안영역 송신 연계부(110)가 연계하고 비보안영역 송신 연계부(220)와 비보안영역 장치(410)가 연계한다. 또한, 보안영역 장치(310)에서 비보안영역 장치(410)로 요청 데이터가 전달되고, 비보안영역 장치(410)에서 보안영역 장치(310)로 응답 데이터가 전달된다. 즉, 보안영역 장치(310)와 비보안영역 장치(410) 사이에서 양방향으로 데이터가 전달된다.Next, as shown in FIG. 3C, according to the two-way data linkage method according to the third method, the security area device 310 and the secure area transmission linkage unit 110 are linked, and the non-security area transmission linkage unit 220 and the non-security area linkage unit 220 are connected to each other. The area device 410 associates. Additionally, request data is transferred from the secure area device 310 to the non-secure area device 410, and response data is transferred from the non-secure area device 410 to the secure area device 310. That is, data is transmitted in both directions between the secure area device 310 and the non-secure area device 410.

즉, 보안영역 장치(310)에서 비보안영역 장치(410)로의 요청 데이터 전달 방법은, 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 데이터를 전달하고(S231), 보안영역 송신 연계부(110)에서 정단방향 링크(610)를 통해 비보안영역 수신 연계부(210)로 데이터를 전달하고(S232), 비보안영역 수신 연계부(210)에서 비보안영역 송신 연계부(220)로 데이터를 전달하고(S233), 비보안영역 송신 연계부(220)에서 비보안영역 장치(410)로 데이터를 전달한다(S234).In other words, the method of transmitting the request data from the secure area device 310 to the non-secure area device 410 is to transfer data from the secure area device 310 to the secure area transmission linkage unit 110 (S231) and link the security area transmission. Data is transmitted from the unit 110 to the non-secure area receiving link unit 210 through the forward link 610 (S232), and data is transmitted from the non-secure area reception link unit 210 to the non-secure area transmission link unit 220. Data is transmitted (S233), and the data is transmitted from the non-secure area transmission linkage unit 220 to the non-secure area device 410 (S234).

또한, 비보안영역 장치(410)에서 보안영역 장치(310)로의 응답 데이터 전달방법은 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 데이터를 전달하고(S235), 비보안영역 송신 연계부(220)에서 역단방향 링크(620)를 통해 보안영역 수신 연계부(120)로 데이터를 전달하고(S236), 보안영역 수신 연계부(120)에서 보안영역 송신 연계부(110)로 데이터를 전달하고(S237), 보안영역 송신 연계부(110)에서 보안영역 장치(310)로 데이터를 전달한다(S228).In addition, the method of transmitting response data from the non-secure area device 410 to the secure area device 310 involves transferring data from the non-secure area device 410 to the non-secure area transmission linkage unit 220 (S235), and Data is transmitted from (220) to the security area reception linkage unit 120 through the reverse unidirectional link 620 (S236), and data is transmitted from the security area reception linkage unit 120 to the security area transmission linkage unit 110. Then (S237), data is transmitted from the security area transmission linkage unit 110 to the security area device 310 (S228).

다음으로, 본 발명의 일실시예에 따른 비보안영역 장치부에서 보안영역 장치부로의 데이터 연계 방법을 도 4를 참조하여 설명한다.Next, a method of linking data from the non-security area device unit to the secure area device unit according to an embodiment of the present invention will be described with reference to FIG. 4.

도 4a 내지 도 4c에서 보는 바와 같이, 본 발명의 일실시예에 따른 비보안영역 장치부에서 보안영역 장치부로의 데이터 연계 방법은 역단방향으로 연계하는 제1 방식, 양방향으로 연계하되 보안영역 장치(310)가 보안영역 수신 연계부(120)에 의해 연계되는 제2 방식, 및, 양방향으로 연계하되 보안영역 장치(310)가 보안영역 송신 연계부(110)에 의해 연계되는 제3 방식으로 구분된다.As shown in FIGS. 4A to 4C, the data linkage method from the non-security area device unit to the secure area device unit according to an embodiment of the present invention is a first method of linking in the reverse unidirectional direction, and linking in a bidirectional manner using the security area device 310. ) is divided into a second method in which the system is linked by the security area reception linkage unit 120, and a third method in which the security area device 310 is linked in both directions by the security area transmission linkage unit 110.

도 4a에서 보는 바와 같이, 제1 방식에 따른 역단방향 데이터 연계 방법에 의하면, 비보안영역 장치(410)와 비보안영역 송신 연계부(220)가 연계하고 보안영역 수신 연계부(120)와 보안영역 장치(310)가 연계한다.As shown in Figure 4a, according to the reverse one-way data linkage method according to the first method, the non-security area device 410 and the non-secure area transmission linkage unit 220 are linked, and the security area reception linkage unit 120 and the security area device are connected. (310) is linked.

즉, 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 데이터를 전달하고(S311), 비보안영역 송신 연계부(220)에서 역단방향 링크(620)를 통해 보안영역 수신 연계부(120)로 데이터를 전달하고(S312), 보안영역 수신 연계부(120)에서 보안영역 장치(310)로 데이터를 단방향으로 전달한다(S313).That is, data is transmitted from the non-secure area device 410 to the non-secure area transmission linkage unit 220 (S311), and the security area reception linkage unit 120 is transmitted from the non-secure area transmission linkage unit 220 through the reverse unidirectional link 620. ) (S312), and the data is unidirectionally transmitted from the security area reception linkage unit 120 to the security area device 310 (S313).

도 4b에서 보는 바와 같이, 제2 방식에 따른 양방향 데이터 연계 방법에 의하면, 비보안영역 장치(410)와 비보안영역 송신 연계부(220)가 연계하고 보안영역 수신 연계부(120)와 보안영역 장치(310)가 연계한다. 또한, 비보안영역 장치(410)에서 보안영역 장치(310)로 요청 데이터가 전달되고, 보안영역 장치(310)에서 비보안영역 장치(410)로 응답 데이터가 전달된다. 즉, 보안영역 장치(310)와 비보안영역 장치(410) 사이에서 양방향으로 데이터가 전달된다.As shown in Figure 4b, according to the two-way data linkage method according to the second method, the non-security area device 410 and the non-security area transmission linkage unit 220 are linked, and the security area reception linkage unit 120 and the security area device ( 310) is linked. Additionally, request data is transferred from the non-secure area device 410 to the secure area device 310, and response data is transferred from the secure area device 310 to the non-secure area device 410. That is, data is transmitted in both directions between the secure area device 310 and the non-secure area device 410.

즉, 비보안영역 장치(410)에서 보안영역 장치(310)로의 요청 데이터 전달 방법은, 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 데이터를 전달하고(S321), 비보안영역 송신 연계부(220)에서 역단방향 링크(620)를 통해 보안영역 수신 연계부(120)로 데이터를 전달하고(S322), 보안영역 수신 연계부(120)에서 보안영역 장치(310)로 데이터를 전달한다(S323).In other words, the method of transmitting the requested data from the non-secure area device 410 to the secure area device 310 is to transfer data from the non-secure area device 410 to the non-secure area transmission linkage unit 220 (S321) and link the non-secure area transmission. Data is transmitted from the unit 220 to the security area reception linkage unit 120 through the reverse unidirectional link 620 (S322), and the data is transmitted from the security area reception linkage unit 120 to the security area device 310. (S323).

또한, 보안영역 장치(310)에서 비보안영역 장치(410)로의 응답 데이터 전달 방법은, 보안영역 장치(310)에서 보안영역 수신 연계부(120)로 데이터를 전달하고(S324), 보안영역 수신 연계부(120)에서 보안영역 송신 연계부(110)로 데이터를 전달)하고(S325, 보안영역 송신 연계부(110)에서 정단방향 링크(610)를 통해 비보안영역 수신 연계부(210)로 데이터를 전달하고(S326), 비보안영역 수신 연계부(210)에서 비보안영역 송신 연계부(220)로 데이터를 전달하고(S327), 비보안영역 송신 연계부(220)에서 비보안영역 장치(410)로 데이터를 전달한다(S328). In addition, the method of transmitting response data from the secure area device 310 to the non-secure area device 410 involves transmitting data from the secure area device 310 to the secure area reception linkage unit 120 (S324) and linking the secure area reception. Data is transmitted from the unit 120 to the secure area transmission linkage unit 110 (S325) and data is transmitted from the secure area transmission linkage unit 110 to the non-security area reception linkage unit 210 through the forward link 610. Transfer (S326), transfer the data from the non-secure area reception linkage unit 210 to the non-secure area transmission linkage unit 220 (S327), and transfer the data from the non-secure area transmission linkage unit 220 to the non-secure area device 410. Deliver (S328).

도 4c에서 보는 바와 같이, 제3 방식에 따른 양방향 데이터 연계 방법에 의하면, 비보안영역 장치(410)와 비보안영역 송신 연계부(220)와 연계하고 보안영역 송신 연계부(110)와 보안영역 장치(310)가 연계한다. 또한, 비보안영역 장치(410)에서 보안영역 장치(310)로 요청 데이터가 전달되고, 보안영역 장치(310)에서 비보안영역 장치(410)로 응답 데이터가 전달된다. 즉, 보안영역 장치(310)와 비보안영역 장치(410) 사이에서 양방향으로 데이터가 전달된다.As shown in Figure 4c, according to the two-way data linkage method according to the third method, the non-security area device 410 and the non-security area transmission linkage unit 220 are linked, and the security area transmission linkage unit 110 and the security area device ( 310) is linked. Additionally, request data is transferred from the non-secure area device 410 to the secure area device 310, and response data is transferred from the secure area device 310 to the non-secure area device 410. That is, data is transmitted in both directions between the secure area device 310 and the non-secure area device 410.

즉, 비보안영역 장치(410)에서 보안영역 장치(310)로의 요청 데이터 전달 방법은, 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 데이터를 전달하고(S331), 비보안영역 송신 연계부(220)에서 역단방향 링크(620)를 통해 보안영역 수신 연계부(120)로 데이터를 전달하고(S332), 보안영역 수신 연계부(120)에서 보안영역 송신 연계부(110)로 데이터를 전달하고(S333), 보안영역 송신 연계부(110)에서 보안영역 장치(310)로 데이터를 전달한다(S334).In other words, the method of transmitting the request data from the non-secure area device 410 to the secure area device 310 is to transfer data from the non-secure area device 410 to the non-secure area transmission linkage unit 220 (S331) and link the non-secure area transmission. Data is transmitted from the unit 220 to the security area reception linkage unit 120 through the reverse unidirectional link 620 (S332), and data is transmitted from the security area reception linkage unit 120 to the security area transmission linkage unit 110. Data is transmitted (S333), and the data is transmitted from the security area transmission linkage unit 110 to the security area device 310 (S334).

또한, 보안영역 장치(310)에서 비보안영역 장치(410)로의 응답 데이터 전달 방법은, 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 데이터를 전달하고(S335), 보안영역 송신 연계부(110)에서 정단방향 링크(610)를 통해 비보안영역 수신 연계부(210)로 데이터를 전달하고(S336), 비보안영역 수신 연계부(210)에서 비보안영역 송신 연계부(220)로 데이터를 전달하고(S337), 비보안영역 송신 연계부(220)에서 비보안영역 장치(410)로 데이터를 전달한다(S328).In addition, the method of transmitting response data from the secure area device 310 to the non-secure area device 410 involves transmitting data from the secure area device 310 to the secure area transmission linking unit 110 (S335) and linking the secure area transmission. Data is transmitted from the unit 110 to the non-secure area receiving link unit 210 through the forward link 610 (S336), and data is transmitted from the non-secure area reception link unit 210 to the non-secure area transmission link unit 220. Data is transmitted (S337), and the data is transmitted from the non-secure area transmission linkage unit 220 to the non-secure area device 410 (S328).

도 3 내지 도 4와 같은 보안영역 장치(310)와 보안영역 연계부(100) 간의 데이터 연계 방법은 보안영역 장치(310)에서 보안영역 연계부(100)로 TCP로 접속하여 데이터를 전달하거나, 보안영역 연계부(100)에서 보안영역 장치(310)로 TCP로 접속하여 데이터를 전달하거나, UDP 또는 스트림을 이용하여 보안영역 장치(310)에서 보안영역 연계부(100)로 데이터를 전송하거나, UDP 또는 스트림을 이용하여 보안영역 연계부(100)에서 보안영역 장치(310)로 데이터를 전달할 수 있다.The data linkage method between the security area device 310 and the security area linkage unit 100 as shown in Figures 3 and 4 involves transferring data by connecting from the security area device 310 to the security area linkage unit 100 via TCP, or Data is transmitted by connecting to the security area linkage unit 100 to the security area device 310 via TCP, or data is transmitted from the security area device 310 to the security area linkage unit 100 using UDP or stream, or Data can be transmitted from the security area linkage unit 100 to the security area device 310 using UDP or stream.

또한, 비보안영역 연계부(200)와 비보안영역 장치(410) 간의 연계 방법은, 비보안영역 연계부(200)에서 비보안영역 장치(410)로 TCP로 접속하여 데이터를 전달하거나, 비보안영역 장치(410)에서 비보안영역 연계부(200)로 TCP로 접속하여 데이터를 전달하거나, UDP 또는 스트림을 이용하여 비보안영역 연계부(200)에서 비보안영역 장치(410)로 데이터를 전송하거나, UDP 또는 스트림을 이용하여 비보안영역 장치(410)에서 비보안영역 연계부(100)로 데이터를 전달할 수 있다.In addition, the connection method between the non-secure area linkage unit 200 and the non-secure area device 410 is to transfer data by connecting from the non-secure area linkage unit 200 to the non-secure area device 410 via TCP, or to transfer data to the non-secure area device 410. ) to the non-secure area linking unit 200 via TCP to transmit data, or transmitting data from the non-secure area linking unit 200 to the non-secure area device 410 using UDP or stream. Thus, data can be transmitted from the non-secure area device 410 to the non-secure area linkage unit 100.

다음으로, 본 발명의 일실시예에 따른 보안영역 장치(310)와 보안영역 송신 연계부(110)가 연계하고 비보안영역 수신 연계부(210)와 비보안영역 장치(410)가 연계하는 구조에서 보안영역 장치(310)에서 비보안영역 장치(41)로의 정단방향 데이터 연계 방법을 도 5를 참조하여 설명한다.Next, in a structure in which the security area device 310 and the security area transmission linkage unit 110 are linked and the non-security area reception linkage unit 210 and the non-security area device 410 are linked according to an embodiment of the present invention, security The forward-facing data linkage method from the area device 310 to the non-secure area device 41 will be described with reference to FIG. 5.

도 5에서 보는 바와 같이, 보안영역 장치(310)에서 비보안영역 장치(410)로의 정단방향 데이터 연계 방법은, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령을 전달한 후 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 전송 데이터가 도착하는 경우(S410)와 통신 개시 명령 보다 전송 데이터가 먼저 도착하는 경우(S420)로 구분된다.As shown in FIG. 5, the forward-end data linkage method from the secure area device 310 to the non-secure area device 410 involves transmitting a communication start command from the secure area linkage unit 100 to the non-secure area linkage unit 200. It is divided into a case where transmission data arrives from the security area device 310 to the security area transmission linkage unit 110 (S410) and a case where the transmission data arrives before the communication start command (S420).

먼저, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령을 전달한 후 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 데이터가 도착하는 경우(S410)를 설명한다. 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)로 인가된 서비스에 대해 통신 개시 명령을 전달하고(S411), 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 인가된 서비스로 전송 데이터를 전달한다(S412). 그러면, 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)로 전송 데이터를 전달하고(S413), 비보안영역 수신 연계부(210)에서 비보안영역 장치(410)로 전송 데이터를 전달한다(S414).First, a case (S410) in which data arrives from the security area device 310 to the secure area transmission linkage unit 110 after a communication start command is transmitted from the security area linkage unit 100 to the non-security area linkage unit 200 is explained. do. A communication start command is transmitted for the authorized service from the secure area transmission linkage unit 110 to the non-security area reception linkage unit 210 (S411), and authorization is granted from the security area device 310 to the secure area transmission linkage unit 110. The transmission data is delivered to the provided service (S412). Then, the transmission data is transferred from the secure area transmission linking unit 110 to the non-secure area receiving linking unit 210 (S413), and the transmission data is transferred from the non-secure area receiving linking unit 210 to the non-secure area device 410. (S414).

이때, 보안영역 연계부(100)에서 비보안영역 연계부(200)로의 통신 개시 명령은 접속설정 과정이 없는 UDP, 일방향 스트림 등 일방향 전송 기술에 의해 전달된다.At this time, the command to start communication from the security area linkage unit 100 to the non-security area linkage unit 200 is transmitted using a one-way transmission technology such as UDP or one-way stream without a connection setup process.

또한, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령을 전달한 후 사전에 정의한 타임아웃 시간(또는 Timeout 시간)이 경과한 후에도 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 데이터가 도착하지 않는 경우 통신 세션을 종료한다.In addition, after transmitting the communication start command from the security area linkage unit 100 to the non-security area linkage unit 200, the security area device 310 links the security area transmission even after a predefined timeout time (or timeout time) has elapsed. If data does not arrive at unit 110, the communication session is terminated.

다음으로, 보안영역 연계부(100)에서 비보안영역 연계부(210)로의 통신 개시 명령 보다 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 전송 데이터가 먼저 도착한 경우(S420)를 설명한다. 즉, 인가된 담당자가 보안영역에서 당장 비보안영역으로 데이터를 전달할 필요가 있어 통신 개시 명령을 기다리지 않고 전송 데이터를 먼저 보낸 경우를 설명한다. 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 전송 데이터를 전달하면(S421), 보안영역 송신 연계부(110)에서 대기시킨다. 그리고, 인가된 서비스이면 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)로 통신 개시 명령을 전달하고(S422), 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 전달된 데이터를 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)로 전송 데이터를 전달한다(S423). 그리고, 비보안영역 수신 연계부(210)에서 비보안영역 장치(410)로 전송 데이터를 전달한다(S424).Next, a case where transmission data arrives from the security area device 310 to the secure area transmission linkage unit 110 before the communication start command from the security area linkage unit 100 to the non-security area linkage unit 210 (S420) will be explained. do. In other words, this explains a case where an authorized person needs to immediately transfer data from a secure area to a non-secure area, so the transmission data is sent first without waiting for a communication start command. When transmission data is transmitted from the security area device 310 to the security area transmission linkage unit 110 (S421), the security area transmission linkage unit 110 waits. And, if it is an authorized service, a communication start command is transmitted from the security area transmission linkage unit 110 to the non-security area reception linkage unit 210 (S422), and from the security area device 310 to the security area transmission linkage unit 110. The transmitted data is transferred from the secure area transmission linking unit 110 to the non-secure area receiving linking unit 210 (S423). Then, the transmission data is transmitted from the non-secure area reception linkage unit 210 to the non-secure area device 410 (S424).

또한 보안영역 장치(310)에서 비보안영역 장치(410)로의 정단방향 데이터 연계 방법에서, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령 후 전송 데이터를 전달하였는데 비보안영역 연계부(200)에서 비보안영역 장치(410)로 데이터를 전달할 수 없는 경우, 비보안영역 연계부(200)에서 타임아웃(Timeout) 시간이 경과한 후 역단방향 링크를 통해 통신 세션 종료를 요청할 수 있다.In addition, in the forward-direction data linkage method from the secure area device 310 to the non-secure area device 410, transmission data is transmitted from the security area linkage unit 100 to the non-secure area linkage unit 200 after a communication start command, which is linked to the non-secure area. If data cannot be transmitted from the unit 200 to the non-secure area device 410, the non-secure area linkage unit 200 may request termination of the communication session through a reverse unidirectional link after a timeout period has elapsed.

다음으로, 본 발명의 일실시예에 따른 보안영역 장치부(310)와 보안영역 송신 연계부(110)가 연계하고 비보안영역 수신 연계부(210)와 비보안영역 장치(410)가 연계하는 구조에서 보안영역 장치(310)에서 비보안영역 장치(410)로의 하나의 양방향 데이터 연계 방법을 도 6을 참조하여 설명한다.Next, in a structure in which the secure area device unit 310 and the secure area transmission linkage unit 110 are linked and the non-secure area reception linkage unit 210 and the non-secure area device 410 are linked according to an embodiment of the present invention. A two-way data linkage method from the secure area device 310 to the non-secure area device 410 will be described with reference to FIG. 6.

도 6에서 보는 바와 같이, 보안영역 장치(310)에서 비보안영역 장치(410)로의 하나의 양방향 데이터 연계 방법은 먼저 인가된 서비스에 대해 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)로 통신 개시 명령을 전달하고(S511), 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 요청 데이터를 전달한다(S512). 그러면, 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)로 요청 데이터를 전달하고(S513), 비보안영역 수신 연계부(210)에서 비보안영역 장치(410)로 요청 데이터를 전달한다(S514).As shown in FIG. 6, a two-way data linkage method from the secure area device 310 to the non-secure area device 410 first connects the non-secure area reception linkage unit 210 to the secure area transmission linkage unit 110 for an authorized service. ) and transmits a communication start command (S511), and transmits the request data from the security area device 310 to the security area transmission linkage unit 110 (S512). Then, the request data is transmitted from the secure area transmission linkage unit 110 to the non-secure area reception linkage unit 210 (S513), and the request data is transmitted from the non-secure area reception linkage unit 210 to the non-secure area device 410. (S514).

또한, 비보안영역 장치(410)가 비보안영역 수신 연계부(210)로 응답 데이터(요청 데이터에 대한 응답 데이터)를 전달하면(S515), 비보안영역 수신 연계부(210)는 비보안영역 송신 연계부(220)와 보안영역 수신 연계부(120)를 거쳐 보안영역 송신 연계부(110)로 응답 데이터를 전달한다(S516). 그리고, 보안영역 송신 연계부(110)는 보안영역 장치(310)로 응답 데이터를 전달한다(S517).In addition, when the non-secure area device 410 transmits response data (response data to the request data) to the non-secure area reception linkage unit 210 (S515), the non-secure area reception linkage unit 210 is connected to the non-secure area transmission linkage unit ( The response data is transmitted to the security area transmission linkage unit 110 via the 220) and the security area reception linkage unit 120 (S516). Then, the security area transmission linkage unit 110 transmits response data to the security area device 310 (S517).

이때, 보안영역 연계부(100)에서 비보안영역 연계부(200)로의 통신 개시 명령은 접속설정 과정이 없는 UDP, 일방향 스트림 등 일방향 전송 기술에 의해 전달된다.At this time, the command to start communication from the security area linkage unit 100 to the non-security area linkage unit 200 is transmitted using a one-way transmission technology such as UDP or one-way stream without a connection setup process.

또한, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령을 전달한 후 사전에 정의된 타임아웃 시간이 경과한 후에도 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 요청 데이터가 도착하지 않는 경우 통신 세션을 종료한다.In addition, after a communication start command is transmitted from the security area linkage unit 100 to the non-security area linkage unit 200, even after a predefined timeout period has elapsed, the security area device 310 continues to transmit the communication start linkage unit 110. If the requested data does not arrive, the communication session is terminated.

여기서, 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)로의 통신 개시 명령(S511)을 전달하기 전에 보안영역 장치(301)에서 보안영역 송신 연계부(110)로 요청 데이터(S512)를 전달하는 경우, 즉, 인가된 담당자가 보안영역에서 당장 비보안영역으로 데이터를 전달할 필요가 있어 통신 개시 명령을 기다리지 않고 요청 데이터를 먼저 보낸 경우, 보안영역 송신 연계부(110)는 요청 데이터(S512)를 전달하지 않고 대기시키며, 인가된 서비스에 대한 통신 개시 명령(S511)이 전달된 후 요청 데이터를 전달한다(S513).Here, before transmitting the communication start command (S511) from the secure area transmission linkage unit 110 to the non-secure area reception linkage unit 210, the request data (S512) is sent from the security area device 301 to the secure area transmission linkage unit 110. ), that is, if the authorized person needs to immediately transmit data from the security area to the non-security area and sends the request data first without waiting for the communication start command, the security area transmission linkage unit 110 sends the request data ( S512) is not delivered but is left on standby, and the request data is delivered after the communication start command (S511) for the authorized service is delivered (S513).

또한 보안영역 장치(310)에서 비보안영역 장치(410)로의 하나의 양방향 데이터 연계 방법에서, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령 후 요청 데이터를 전달하였는데 비보안영역 연계부(200)에서 비보안영역 장치(410)로 요청 데이터를 전달할 수 없거나, 요청 데이터를 전달하였으나 비보안영역 장치(410)에서 응답 데이터가 수신되지 않는 경우, 사전에 정의된 타임아웃(Timeout) 시간이 경과한 후 역단방향 링크를 통해 통신 세션 종료를 요청할 수 있다.In addition, in a two-way data linkage method from the secure area device 310 to the non-secure area device 410, the request data is transmitted after a communication start command from the security area linkage unit 100 to the non-secure area linkage unit 200, and the request data is transmitted to the non-secure area linkage unit 200. If the request data cannot be transmitted from the linkage unit 200 to the non-secure area device 410, or the request data is delivered but response data is not received from the non-secure area device 410, a predefined timeout period is elapsed. After this has elapsed, termination of the communication session can be requested through the reverse unidirectional link.

다음으로, 본 발명의 일실시예에 따른 보안영역 장치(310)와 보안영역 송신 연계부(110)가 연계하고 비보안영역 송신 연계부(220)와 비보안영역 장치(410)가 연계하는 구조에서 보안영역 장치(310)에서 비보안영역 장치(410)로의 다른 하나의 양방향 데이터 연계 방법을 도 7을 참조하여 설명한다.Next, in a structure in which the security area device 310 and the security area transmission linkage unit 110 are linked and the non-security area transmission linkage unit 220 and the non-security area device 410 are linked according to an embodiment of the present invention, security Another two-way data linking method from the area device 310 to the non-secure area device 410 will be described with reference to FIG. 7.

도 7에서 보는 바와 같이, 보안영역 장치(310)에서 비보안영역 장치(410)로의 다른 하나의 양방향 테이터 연계 방법은, 먼저 인가된 서비스에 대해 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로 통신 개시 명령을 전달하고(S611), 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 요청 데이터를 전달한다(S612). 이때, 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로 요청 데이터를 전달하고(S613), 비보안영역 송신 연계부(220)에서 비보안영역 장치(410)로 요청 데이터를 전달한다(S614).As shown in FIG. 7, another two-way data linkage method from the secure area device 310 to the non-secure area device 410 is to connect the non-secure area reception linkage unit from the secure area transmission linkage unit 110 to the first authorized service. A communication start command is transmitted to the non-secure area transmission linkage unit 220 via (210) (S611), and the request data is transmitted from the secure area device 310 to the secure area transmission linkage unit 110 (S612). At this time, the request data is transmitted from the security area transmission linkage unit 110 to the non-security area transmission linkage unit 220 via the non-security area reception linkage unit 210 (S613), and the non-security area transmission linkage unit 220 transfers the requested data to the non-security area transmission linkage unit 220. The request data is transmitted to the device 410 (S614).

또한, 비보안영역 장치(410)가 비보안영역 송신 연계부(220)로 응답 데이터를 전달하면(S615), 비보안영역 송신 연계부(220)는 보안영역 수신 연계부(120)를 거쳐 보안영역 송신 연계부(110)로 응답 데이터를 전달하고(S616), 보안영역 송신 연계부(110)는 보안영역 장치(310)로 응답 데이터를 전달한다(S617).In addition, when the non-secure area device 410 transmits response data to the non-secure area transmission linkage unit 220 (S615), the non-secure area transmission linkage unit 220 connects the security area transmission linkage via the security area reception linkage unit 120. Response data is transmitted to the unit 110 (S616), and the security area transmission linking unit 110 transmits the response data to the security area device 310 (S617).

이때, 보안영역 연계부(100)에서 비보안영역 연계부(200)로의 통신 개시 명령은 접속설정 과정이 없는 UDP, 일방향 스트림 등 일방향 전송 기술에 의해 전달된다.At this time, the command to start communication from the security area linkage unit 100 to the non-security area linkage unit 200 is transmitted using a one-way transmission technology such as UDP or one-way stream without a connection setup process.

또한, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령을 전달한 후 사전에 정의된 타임아웃(Timeout) 시간이 경과한 후에도 보안영역 장치(310)에서 보안영역 송신 연계부(110)로 요청 데이터가 도착하지 않는 경우 통신 세션을 종료한다.In addition, even after a predefined timeout period has elapsed after a communication start command is transmitted from the security area linkage unit 100 to the non-security area linkage unit 200, the security area device 310 is transferred to the security area transmission linkage unit. If the requested data does not arrive at (110), the communication session is terminated.

여기서, 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로의 통신 개시 명령(S611)를 전달하기 전에, 보안영역 장치(301)에서 보안영역 송신 연계부(110)로 요청 데이터를 전달(S512)하는 경우, 즉, 인가된 담당자가 보안영역에서 당장 비보안영역으로 데이터를 전달할 필요가 있어 통신 개시 명령을 기다리지 않고 요청 데이터를 먼저 보낸 경우, 보안영역 송신 연계부(110)는 요청 데이터(S612)를 전달하지 않고 대기시킨다. 그리고, 인가된 서비스에 대한 통신 개시 명령(S611)를 전달한 후 요청 데이터를 전달한다(S613).Here, before transmitting the communication start command (S611) from the security area transmission linkage unit 110 to the non-security area transmission linkage unit 220 via the non-security area reception linkage unit 210, the security area device 301 When transmitting request data to the transmission link unit 110 (S512), that is, when an authorized person needs to immediately transmit data from a secure area to a non-secure area and sends the request data first without waiting for a communication start command, security The area transmission linkage unit 110 waits without transmitting the request data (S612). Then, after delivering the communication start command for the authorized service (S611), the request data is delivered (S613).

또한 보안영역 장치(310)에서 비보안영역 장치(410)로의 다른 하나의 양방향 데이터 연계 방법에서, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령 후 요청 데이터를 전달하였는데 비보안영역 연계부(200)에서 비보안영역 장치(410)로 요청 데이터를 전달할 수 없거나, 요청 데이터를 전달하였으나 비보안영역 장치(410)에서 응답 데이터가 수신되지 않는 경우, 사전에 정의한 타임아웃(Timeout) 시간이 경과한 후 역단방향 링크를 통해 통신 세션 종료를 요청할 수 있다.In addition, in another two-way data linkage method from the secure area device 310 to the non-secure area device 410, the requested data is transmitted from the secure area linkage unit 100 to the non-secure area linkage unit 200 after a communication start command, but the non-secure area linkage unit 200 transmits the requested data. If the requested data cannot be delivered from the area linking unit 200 to the non-secure area device 410, or if the requested data is delivered but response data is not received from the non-secure area device 410, a predefined timeout period is elapsed. After this has elapsed, termination of the communication session can be requested through the reverse unidirectional link.

다음으로, 본 발명의 일실시예에 따른 비보안영역 장치(410)와 비보안영역 송신 연계부(220)가 연계하고 보안영역 수신 연계부(120)와 보안영역 장치(310)가 연계하는 구조에서, 비보안영역 장치(410)에서 보안영역 장치(310)로의 역단방향 데이터 연계 방법을 도 8을 참조하여 설명한다.Next, in a structure in which the non-secure area device 410 and the non-secure area transmission linking unit 220 are linked and the secure area receiving linking unit 120 and the secure area device 310 are linked according to an embodiment of the present invention, A reverse one-way data linking method from the non-secure area device 410 to the secure area device 310 will be described with reference to FIG. 8.

도 8에서 보는 바와 같이, 비보안영역 장치(410)에서 보안영역 장치(310)로의 역단방향 데이터 연계 방법은, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령을 전달한 후 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 전송 데이터가 도착하는 경우(S710)와, 통신 개시 명령 보다 전송 데이터가 먼저 도착하는 경우(S720)로 구분된다.As shown in FIG. 8, the reverse one-way data linkage method from the non-secure area device 410 to the secure area device 310 involves transmitting a communication start command from the security area linkage unit 100 to the non-secure area linkage unit 200. It is divided into a case where transmission data arrives from the non-secure area device 410 to the non-secure area transmission linker 220 (S710) and a case where the transmission data arrives before the communication start command (S720).

먼저, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령을 전달한 후 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 데이터가 도착하는 경우(S710)를 설명한다. 이 경우, 보안영역 수신 연계부(120) 또는 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로 인가된 서비스에 대해 통신 개시 명령을 전달하고(S711), 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 인가된 서비스로 전송 데이터를 전달한다(S712). 그러면, 비보안영역 송신 연계부(220)에서 보안영역 수신 연계부(120)로 전송 데이터를 전달하고(S713), 보안영역 수신 연계부(120)에서 보안영역 장치(310)로 전송 데이터를 전달한다(S714).First, the case where data arrives from the non-secure area device 410 to the non-secure area transmission linkage unit 220 (S710) after a communication start command is transmitted from the security area linkage unit 100 to the non-security area linkage unit 200 is explained. do. In this case, a communication start command is transmitted for the authorized service from the secure area reception linkage unit 120 or the secure area transmission linkage unit 110 to the non-security area transmission linkage unit 220 via the non-security area reception linkage unit 210. Then (S711), transmission data is transmitted from the non-secure area device 410 to the non-secure area transmission linkage unit 220 as an authorized service (S712). Then, the transmission data is transferred from the non-security area transmission linkage unit 220 to the security area reception linkage unit 120 (S713), and the transmission data is transferred from the security area reception linkage unit 120 to the security area device 310. (S714).

이때, 보안영역 연계부(100)에서 비보안영역 연계부(200)로의 통신 개시 명령은 접속설정 과정이 없는 UDP, 일방향 스트림 등 일방향 전송 기술에 의해 전달된다.At this time, the command to start communication from the security area linkage unit 100 to the non-security area linkage unit 200 is transmitted using a one-way transmission technology such as UDP or one-way stream without a connection setup process.

또한, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령을 전달한 후 사전에 정의한 타임아웃(Timeout) 시간이 경과한 후에도 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 데이터가 도착하지 않는 경우 통신 세션을 종료한다.In addition, even after a predefined timeout period has elapsed after transmitting the communication start command from the security area linkage unit 100 to the non-security area linkage unit 200, the non-security area device 410 is transferred to the non-security area transmission linkage unit ( 220), if data does not arrive, the communication session is terminated.

또한, 보안영역 연계부(100)에서 비보안영역 연계부(200)로의 통신 개시 명령 보다 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 전송 데이터가 먼저 도착한 경우(S720)를 설명한다. 즉, 인가된 담당자가 비보안영역에서 당장 보안영역으로 데이터를 전달할 필요가 있어 통신 개시 명령을 기다리지 않고 전송 데이터를 먼저 보낸 경우를 설명한다. 이 경우, 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 전송 데이터를 전달하면(S721), 비보안영역 송신 연계부(220)는 전송 데이터를 대기시킨다. 그리고 인가된 서비스이면 보안영역 수신 연계부(120) 또는 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로 통신 개시 명령을 전달하면(S722), 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 전달된 데이터를 비보안영역 송신 연계부(220)에서 보안영역 수신 연계부(120)로 전송 데이터를 전달한다(S723). 그리고, 보안영역 수신 연계부(120)에서 보안영역 장치(310)로 전송 데이터를 전달한다(S724).In addition, a case where transmission data arrives from the non-secure area device 410 to the non-secure area transmission linkage unit 220 before the communication start command from the security area linkage unit 100 to the non-security area linkage unit 200 (S720) will be described. . In other words, this explains a case where an authorized person needs to immediately transfer data from a non-secure area to a secure area, so the transmission data is sent first without waiting for a communication start command. In this case, when transmission data is transmitted from the non-secure area device 410 to the non-secure area transmission linking unit 220 (S721), the non-secure area transmission linking unit 220 waits for the transmission data. If it is an authorized service, a communication start command is transmitted from the security area reception linkage unit 120 or the security area transmission linkage unit 110 to the non-security area transmission linkage unit 220 via the non-security area reception linkage unit 210 (S722) ), the data transmitted from the non-secure area device 410 to the non-secure area transmission linkage unit 220 is transmitted from the non-security area transmission linkage unit 220 to the secure area reception linkage unit 120 (S723). Then, the transmission data is transmitted from the security area reception linkage unit 120 to the security area device 310 (S724).

또한, 비보안영역 장치(410)에서 보안영역 장치(310)로의 역단방향 데이터 연계 방법에서, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령 후 비보안영역 연계부(200)에서 보안영역 연계부(100)로 전송 데이터를 전달하였는데 보안영역 연계부(100)에서 보안영역 장치(310)로 데이터를 전달할 수 없는 경우, 사전에 정의한 타임아웃(Timeout) 시간이 경과한 후 통신 세션을 종료할 수 있다.In addition, in the reverse one-way data linkage method from the non-secure area device 410 to the secure area device 310, after a command to start communication from the security area linkage unit 100 to the non-secure area linkage unit 200, the non-security area linkage unit 200 When transmission data is transmitted from the security area linkage unit 100, but the data cannot be transmitted from the security area linkage unit 100 to the security area device 310, communication occurs after a predefined timeout period has elapsed. You can end the session.

다음으로, 본 발명의 일실시예에 따른 비보안영역 장치(410)와 비보안영역 송신 연계부(220)가 연동하고 보안영역 수신 연계부(120)와 보안영역 장치(310)가 연동하는 구조에서 비보안영역 장치(410)에서 보안영역 장치(310)로의 하나의 양방향 데이터 연계 방법을 도 9를 참조하여 설명한다.Next, in a structure in which the non-secure area device 410 and the non-secure area transmission linking unit 220 are interconnected and the secure area receiving linking unit 120 and the secure area device 310 are interconnected according to an embodiment of the present invention, the non-secure area A two-way data linkage method from the area device 410 to the security area device 310 will be described with reference to FIG. 9.

도 9에서 보는 바와 같이, 비보안영역 장치(410)에서 보안영역 장치(310)로의 하나의 양방향 데이터 연계 방법은, 먼저 인가된 서비스에 대해 보안영역 수신 연계부(120) 또는 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로 통신 개시 명령을 전달하고(S811), 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 요청 데이터를 전달한다(S812). 그러면, 비보안영역 송신 연계부(220)에서 보안영역 수신 연계부(120)로 요청 데이터를 전달하고(S813), 보안영역 수신 연계부(120)에서 보안영역 장치(310)로 요청 데이터를 전달한다(S814).As shown in FIG. 9, one two-way data linkage method from the non-secure area device 410 to the secure area device 310 is to first use the secure area reception linkage unit 120 or the secure area transmission linkage unit ( A communication start command is transmitted from 110) to the non-secure area transmission linkage unit 220 via the non-secure area reception linkage unit 210 (S811), and the request data is sent from the non-secure area device 410 to the non-secure area transmission linkage unit 220. Deliver (S812). Then, the request data is transmitted from the non-security area transmission linkage unit 220 to the security area reception linkage unit 120 (S813), and the request data is transmitted from the security area reception linkage unit 120 to the security area device 310. (S814).

또한, 보안영역 장치(310)가 보안영역 수신 연계부(120)로 응답 데이터를 전달하면(S815), 보안영역 수신 연계부(120)는 보안영역 송신 연계부(110)와 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로 응답 데이터를 전달한다(S816). 그리고 비보안영역 송신 연계부(220)는 비보안영역 장치(410)로 응답 데이터를 전달한다(S817).In addition, when the security area device 310 transmits response data to the security area reception linkage unit 120 (S815), the security area reception linkage unit 120 connects the security area transmission linkage unit 110 and the non-security area reception linkage unit. The response data is delivered to the non-secure area transmission linkage unit 220 via (210) (S816). And the non-secure area transmission linkage unit 220 transmits response data to the non-secure area device 410 (S817).

이때, 보안영역 연계부(100)에서 비보안영역 연계부(200)로의 통신 개시 명령은 접속설정 과정이 없는 UDP, 일방향 스트림 등 일방향 전송 기술에 의해 전달된다.At this time, the command to start communication from the security area linkage unit 100 to the non-security area linkage unit 200 is transmitted using a one-way transmission technology such as UDP or one-way stream without a connection setup process.

또한, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령을 전달한 후 사전에 정의한 타임아웃(Timeout) 시간이 경과한 후에도 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 요청 데이터가 도착하지 않는 경우 통신 세션을 종료한다.In addition, even after a predefined timeout period has elapsed after transmitting the communication start command from the security area linkage unit 100 to the non-security area linkage unit 200, the non-security area device 410 is transferred to the non-security area transmission linkage unit ( 220), if the requested data does not arrive, the communication session is terminated.

여기서, 보안영역 수신 연계부(120) 또는 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로 통신 개시 명령(S811)를 전달하기 전에 비보안영역 장치(401)에서 비보안영역 송신 연계부(220)로 요청 데이터가 전달(S812)될 경우, 즉, 인가된 담당자가 비보안영역에서 당장 보안영역으로 데이터를 전달할 필요가 있어 통신 개시 명령을 기다리지 않고 요청 데이터를 먼저 보낸 경우, 비보안영역 송신 연계부(220)는 요청 데이터(S812)를 전달하지 않고 대기시키며, 인가된 서비스에 대한 통신 개시 명령(S811)가 전달된 후 요청 데이터(대기시킨 요청 데이터)를 전달한다(S813).Here, before transmitting the communication start command (S811) from the security area reception linkage unit 120 or the security area transmission linkage unit 110 to the non-security area transmission linkage unit 220 via the non-security area reception linkage unit 210, When request data is transmitted from the area device 401 to the non-secure area transmission linkage unit 220 (S812), that is, an authorized person needs to immediately transfer data from the non-secure area to the secure area without waiting for a communication start command. If the request data is sent first, the non-secure area transmission linkage unit 220 waits without delivering the request data (S812), and after the communication start command (S811) for the authorized service is delivered, the request data (queued request data) ) is transmitted (S813).

또한, 비보안영역 장치(410)에서 보안영역 장치(310)로의 하나의 양방향 데이터 연계 방법에서, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령 후 비보안영역 연계부(200)에서 보안영역 연계부(100)로 요청 데이터를 전달하였는데 보안영역 연계부(100)에서 보안영역 장치(310)로 요청 데이터를 전달할 수 없거나, 요청 데이터를 전달하였는데 보안영역 장치(310)에서 응답 데이터가 수신되지 않는 경우, 사전에 정의한 타임아웃(Timeout) 시간이 경과한 후 통신 세션 종료할 수 있다.In addition, in a two-way data linkage method from the non-secure area device 410 to the secure area device 310, after a command to start communication from the security area linkage unit 100 to the non-secure area linkage unit 200, the non-security area linkage unit 200 ) transmitted the request data to the security area linkage unit 100, but the security area linkage unit 100 could not transmit the request data to the security area device 310, or the request data was delivered, but the security area device 310 responded. If data is not received, the communication session can be terminated after a predefined timeout period has elapsed.

다음으로, 본 발명의 일실시예에 따른 비보안영역 장치(410)와 비보안영역 송신 연계부(220)가 연계하고 보안영역 송신 연계부(110)와 보안영역 장치(310)가 연계하는 구조에서 비보안영역 장치(410)에서 보안영역 장치(310)로의 다른 하나의 양방향 데이터 연계 방법을 도 10을 참조하여 설명한다.Next, in a structure in which the non-secure area device 410 and the non-secure area transmission linkage unit 220 are linked and the secure area transmission linkage unit 110 and the secure area device 310 are linked according to an embodiment of the present invention, the non-secure area Another two-way data linkage method from the area device 410 to the security area device 310 will be described with reference to FIG. 10.

도 10에서 보는 바와 같이, 비보안영역 장치(410)에서 보안영역 장치(310)로의 다른 하나의 양방향 데이터 연계 방법은 먼저 인가된 서비스에 대해 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로 통신 개시 명령을 전달하고(S911), 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 요청 데이터를 전달한다(S912). 그러면, 비보안영역 송신 연계부(220)에서 보안영역 수신 연계부(120)를 거쳐 보안영역 송신 연계부(110)로 요청 데이터를 전달하고(S913), 보안영역 송신 연계부(110)에서 보안영역 장치(310)로 요청 데이터를 전달한다(S914).As shown in FIG. 10, another two-way data linkage method from the non-secure area device 410 to the secure area device 310 first connects the non-secure area reception linkage unit (110) to the secure area transmission linkage unit 110 for the authorized service. A communication start command is transmitted to the non-secure area transmission linking unit 220 via 210) (S911), and the request data is transmitted from the non-secure area device 410 to the non-secure area transmission linking unit 220 (S912). Then, the request data is transmitted from the non-security area transmission linkage unit 220 to the security area transmission linkage unit 110 via the security area reception linkage unit 120 (S913), and the security area transmission linkage unit 110 transfers the requested data to the security area transmission linkage unit 110. The request data is transmitted to the device 310 (S914).

또한, 보안영역 장치(310)가 보안영역 송신 연계부(110)로 응답 데이터를 전달하면(S915), 보안영역 송신 연계부(110)는 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로 응답 데이터를 전달하고(S916), 비보안영역 송신 연계부(220)는 비보안영역 장치(410)로 응답 데이터를 전달한다(S917).In addition, when the security area device 310 transmits response data to the security area transmission linkage unit 110 (S915), the security area transmission linkage unit 110 connects the non-security area transmission linkage via the non-security area reception linkage unit 210. Response data is transmitted to the unit 220 (S916), and the non-secure area transmission linkage unit 220 transmits the response data to the non-secure area device 410 (S917).

이때, 보안영역 연계부(100)에서 비보안영역 연계부(200)로의 통신 개시 명령은 접속설정 과정이 없는 UDP, 일방향 스트림 등 일방향 전송 기술에 의해 전달된다.At this time, the command to start communication from the security area linkage unit 100 to the non-security area linkage unit 200 is transmitted using a one-way transmission technology such as UDP or one-way stream without a connection setup process.

또한, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령을 전달한 후 사전에 정의한 타임아웃(Timeout) 시간이 경과한 후에도 비보안영역 장치(410)에서 비보안영역 송신 연계부(220)로 요청 데이터가 도착하지 않는 경우 통신 세션을 종료한다.In addition, even after a predefined timeout period has elapsed after transmitting the communication start command from the security area linkage unit 100 to the non-security area linkage unit 200, the non-security area device 410 is transferred to the non-security area transmission linkage unit ( 220), if the requested data does not arrive, the communication session is terminated.

여기서, 보안영역 송신 연계부(110)에서 비보안영역 수신 연계부(210)를 거쳐 비보안영역 송신 연계부(220)로 통신 개시 명령(S911)가 전달하기 전에 비보안영역 장치(401)에서 비보안영역 송신 연계부(220)로 요청 데이터가 전달(S912)될 경우, 즉, 인가된 담당자가 비보안영역에서 당장 보안영역으로 데이터를 전달할 필요가 있어 통신 개시 명령을 기다리지 않고 요청 데이터를 먼저 보낸 경우, 비보안영역 송신 연계부(220)는 요청 데이터(S912)를 전달하지 않고 대기시키며, 인가된 서비스에 대한 통신 개시 명령(S911)가 전달된 후 요청 데이터를 전달한다(S913).Here, before the communication start command (S911) is transmitted from the security area transmission linkage unit 110 to the non-security area transmission linkage unit 220 via the non-security area reception linkage unit 210, the non-security area device 401 transmits the non-security area. When request data is transmitted to the connection unit 220 (S912), that is, when an authorized person needs to immediately transmit data from the non-secure area to the secure area and sends the request data first without waiting for a communication start command, the non-secure area The transmission linkage unit 220 waits without delivering the request data (S912), and delivers the request data after the communication start command (S911) for the authorized service is delivered (S913).

또한, 비보안영역 장치(410)에서 보안영역 장치(310)로의 다른 하나의 양방향 데이터 연계 방법에서, 보안영역 연계부(100)에서 비보안영역 연계부(200)로 통신 개시 명령 후 비보안영역 연계부(200)에서 보안영역 연계부(100)로 요청 데이터를 전달하였는데 보안영역 연계부(100)에서 보안영역 장치(310)로 요청 데이터를 전달할 수 없거나, 요청 데이터를 전달하였는데 보안영역 장치(310)에서 응답 데이터가 수신되지 않는 경우, 사전에 정의한 타임아웃(Timeout) 시간이 경과한 후 통신 세션 종료할 수 있다.In addition, in another two-way data linkage method from the non-secure area device 410 to the secure area device 310, after a command to start communication from the security area linkage unit 100 to the non-secure area linkage unit 200, the non-security area linkage unit ( The request data was transmitted from 200 to the security area linkage unit 100, but the request data could not be delivered from the security area linkage unit 100 to the security area device 310, or the request data was delivered, but the security area device 310 was unable to transmit the request data. If response data is not received, the communication session may be terminated after a predefined timeout period has elapsed.

도 5 내지 도 10에서 보안영역 연계부(100)에서 비보안영역 연계부(200)로 전달되는 통신 개시 명령은 SYN 패킷, 시퀀스 시작 패킷, 세션 시작 패킷, 통신 요청 패킷. 통신 개시 패킷 등을 의미하며, SYN, 시퀀스, 세션 시작, 통신 요청, 통신 개시 등의 의미가 포함된 데이터 패킷 또는 정책 패킷을 포함한다.5 to 10, the communication start command transmitted from the security area linkage unit 100 to the non-security area linkage unit 200 includes a SYN packet, sequence start packet, session start packet, and communication request packet. It refers to a communication initiation packet, etc., and includes data packets or policy packets containing meanings such as SYN, sequence, session start, communication request, and communication initiation.

도 3b내지 도 3c, 도 6내지 도 7에서 보는 바와 같이, 본 발명의 일실시예에 따른 보안영역 장치부에서 비보안영역 장치부로의 양방향 데이터 연계 방법에서 보안영역 송신 연계부(110)를 대체하여 보안영역 수신 연계부(120)를 적용할 수 있으며, 이 경우 통신 개시 명령은 보안영역 수신 연계부(120)에서 보안영역 송신 연계부(110)를 거쳐 비보안영역 연계부(200)로 전달되고, 보안영역 장치(310)로부터의 요청 데이터는 보안영역 수신 연계부(120)와 보안영역 송신 연계부(110)를 거쳐 비보안영역 연계부(200)로 전달되며, 비보안영역 연계부(200)로부터의 응답 데이터는 보안영역 수신 연계부(120)에서 전달받아 보안영역 장치(310)로 전달된다.As shown in FIGS. 3B to 3C and FIGS. 6 to 7, in the two-way data linkage method from the security area device unit to the non-security area device unit according to an embodiment of the present invention, the security area transmission linkage unit 110 is replaced. The security area reception linkage unit 120 can be applied. In this case, the communication start command is transmitted from the security area reception linkage unit 120 to the non-security area linkage unit 200 via the security area transmission linkage unit 110, Request data from the security area device 310 is transmitted to the non-security area linkage unit 200 via the security area reception linkage unit 120 and the security area transmission linkage unit 110, and The response data is received from the security area reception linkage unit 120 and transmitted to the security area device 310.

도 4b내지 도 4c, 도 9내지 도 10에서 보는 바와 같이, 본 발명의 일실시예에 따른 비보안영역 장치부에서 보안영역 장치부로의 양방향 데이터 연계 방법에서 비보안영역 송신 연계부(220)를 대체하여 보안영역 수신 연계부(210)를 적용할 수 있으며, 이 경우 통신 개시 명령은 보안영역 연계부(100)에서 비보안영역 수신 연계부(21)로 전달되고, 비보안영역 장치(410)로부터의 요청 데이터는 비보안영역 수신 연계부(210)와 비보안영역 송신 연계부(220)를 거쳐 보안영역 연계부(100)로 전달되며, 보안영역 연계부(100)로부터의 응답 데이터는 비보안영역 수신 연계부(210)에서 전달받아 비보안영역 장치(410)로 전달된다.As shown in FIGS. 4B to 4C and FIGS. 9 to 10, the non-secure area transmission linking unit 220 is replaced in the two-way data linkage method from the non-secure area device unit to the secure area device unit according to an embodiment of the present invention. The security area reception linkage unit 210 can be applied. In this case, the communication start command is transmitted from the security area linkage unit 100 to the non-security area reception linkage unit 21, and the request data from the non-security area device 410 is transmitted. is transmitted to the security area linkage unit 100 via the non-security area reception linkage unit 210 and the non-security area transmission linkage unit 220, and the response data from the security area linkage unit 100 is transmitted to the non-security area reception linkage unit 210. ) and is transmitted to the non-secure area device 410.

이상, 첨부된 도면을 참조하여 본 개시에 따른 실시 예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 이상에서 기술한 실시 예는 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해하여야 한다.Above, embodiments according to the present disclosure have been described with reference to the attached drawings, but those skilled in the art will understand that the present invention can be implemented in other specific forms without changing its technical idea or essential features. You will understand that you can. The embodiments described above should be understood in all respects as illustrative and not restrictive.

100 : 보안영역 연계부
110 : 보안영역 송신 연계부(ITX)
111 : ITX 보안관리부 112 : ITX 통신부
112-1 : ITX 일방향 송신부 112-2 : ITX 영역내 통신부
113 : ITX 프록시부
120 : 비보안영역 수신 연계부(IRX)
121 : IRX 보안관리부 122 : IRX 통신부
122-1 : IRX 일방향 수신부 122-2 : IRX 영역내 통신부
123 : IRX 프록시부
200 : 비보안영역 연계부
210 : 비보안영역 수신 연계부(ORX)
211 : ORX 보안관리부 212 : ORX 통신부
212-1 : ORX 일방향 수신부 212-2 : ORX 영역내 통신부
213 : ORX 프록시부
220 : 비보안영역 송신 연계부(OTX)
221 : OTX 보안관리부 222 : OTX 통신부
222-1 : OTX 일방향 송신부 222-2 : OTX 영역내 통신부
213 : OTX 프록시부
300 : 보안영역 장치부
310 : 보안영역 장치 320 : 관리자 단말
400 : 비보안영역 장치부
410: 비보안영역 장치100: Security area connection unit
110: Security area transmission linkage unit (ITX)
111: ITX Security Management Department 112: ITX Communication Department
112-1: ITX one-way transmitter 112-2: ITX area communication unit
113: ITX proxy unit
120: Non-secure area reception link (IRX)
121: IRX security management department 122: IRX communication department
122-1: IRX one-way receiving unit 122-2: Communication unit within IRX area
123: IRX proxy unit
200: Non-security area connection unit
210: Non-secure area reception link (ORX)
211: ORX security management department 212: ORX communication department
212-1: ORX one-way receiving unit 212-2: ORX area communication unit
213: ORX proxy part
220: Non-secure area transmission link (OTX)
221: OTX Security Management Department 222: OTX Communication Department
222-1: OTX one-way transmitter 222-2: OTX intra-area communication unit
213: OTX proxy unit
300: Security area device unit
310: Security area device 320: Administrator terminal
400: Non-secure area device unit
410: Non-secure area device

Claims (14)

보안영역 통제 기반 듀얼 단방향 연계 시스템에 있어서,
보안영역 내에 구성되고, 보안영역 장치와 연결되고, 보안영역 송신 연계부와, 보안영역 수신 연계부로 구성되는 보안영역 연계부;
비보안영역 내에 구성되고, 비보안영역 장치와 연결되고, 비보안영역 송신 연계부와, 비보안영역 수신 연계부로 구성되는 비보안영역 연계부;
상기 보안영역 송신 연계부와 상기 비보안영역 수신 연계부를 연결하는 단방향 회선으로 구성되어, 상기 보안영역 송신 연계부에서 상기 비보안영역 수신 연계부로의 방향으로만 데이터를 전송하는, 정단방향 링크; 및,
상기 비보안영역 송신 연계부와 상기 보안영역 수신 연계부를 연결하는 단방향 회선으로 구성되어, 상기 비보안영역 송신 연계부에서 상기 보안영역 수신 연계부로의 방향으로만 데이터를 전송하는, 역단방향 링크를 포함하고,
상기 보안영역 장치에서 상기 비보안영역 장치로의 통신 연계를 개시하는 경우, 상기 보안영역 장치와 연계하는 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부에서 상기 비보안영역 장치와 연계하는 상기 비보안영역 송신 연계부 또는 상기 비보안영역 수신 연계부로 통신 개시 명령을 전달하고,
상기 비보안영역 장치에서 상기 보안영역 장치로의 통신 연계를 개시하는 경우, 상기 보안영역 장치와 연계하는 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부에서 상기 비보안영역 장치와 연계하는 상기 비보안영역 송신 연계부 또는 상기 비보안영역 수신 연계부로 통신 개시 명령을 전달하고,
상기 통신 개시 명령에 따라, 상기 보안영역 장치에서 상기 비보안영역 장치로 전달되는 데이터는 상기 정단방향 링크를 통해 전달되고, 상기 비보안영역 장치에서 상기 보안영역 장치로 전달되는 데이터는 상기 역단방향 링크를 통해 전달되고,
상기 보안영역 연계부에서 상기 비보안영역 연계부로 통신 개시 명령을 전달한 후 상기 보안영역 장치에서 상기 보안영역 송신 연계부로 데이터가 도착하면, 상기 보안영역 송신 연계부에서 상기 비보안영역 수신 연계부로 데이터를 전달하고, 상기 통신 개시 명령을 전달한 후 사전에 정의된 타임아웃 시간이 경과한 후에도 상기 데이터가 도착하지 않는 경우 통신 세션을 종료하고,
상기 보안영역 연계부에서 상기 비보안영역 연계부로의 통신 개시 명령 보다 상기 보안영역 장치에서 상기 보안영역 송신 연계부로 데이터가 먼저 도착하면, 상기 보안영역 송신 연계부에서 대기되고, 통신 개시 명령이 전달되어야만 해당 데이터를 전달하고,
상기 보안영역 연계부에서 상기 비보안영역 연계부로 통신 개시 명령을 전달한 후 상기 비보안영역 장치에서 상기 비보안영역 송신 연계부로 데이터가 도착하면, 상기 비보안영역 송신 연계부에서 상기 보안영역 수신 연계부로 데이터를 전달하고, 상기 통신 개시 명령을 전달한 후 사전에 정의된 타임아웃 시간이 경과한 후에도 상기 데이터가 도착하지 않는 경우 통신 세션을 종료하고,
상기 보안영역 연계부에서 상기 비보안영역 연계부로의 통신 개시 명령 보다 상기 비보안영역 장치에서 상기 비보안영역 송신 연계부로 데이터가 먼저 도착하면, 상기 비보안영역 송신 연계부에서 대기되고, 통신 개시 명령이 전달되어야만 해당 데이터를 전달하는 것을 특징으로 하는, 보안영역 통제 기반 듀얼 단방향 연계 시스템.
In a dual one-way linkage system based on security area control,
a security area linkage unit configured within the security area, connected to a security area device, and comprised of a security area transmission linkage unit and a security area reception linkage unit;
A non-security area linkage unit configured in a non-security area, connected to a non-security area device, and comprised of a non-security area transmission linkage unit and a non-security area reception linkage unit;
a forward link consisting of a unidirectional line connecting the secure area transmission linkage unit and the non-secure area reception linkage unit, and transmitting data only in a direction from the secure area transmission linkage unit to the non-secure area reception linkage unit; and,
A reverse unidirectional link consisting of a unidirectional line connecting the non-secure area transmission linkage unit and the secure area reception linkage unit, and transmitting data only in the direction from the non-secure area transmission linkage unit to the secure area reception linkage unit,
When initiating communication linkage from the secure area device to the non-secure area device, the non-secure area transmission linkage unit linked with the secure area device or the secure area reception linkage unit links with the non-secure area device. Transmitting a communication start command to the linkage unit or the non-secure area reception linkage unit,
When initiating communication linkage from the non-secure area device to the secure area device, the non-secure area transmission linkage unit linked with the secure area device or the secure area reception linkage unit linked with the non-secure area device. Transmitting a communication start command to the linkage unit or the non-secure area reception linkage unit,
According to the communication start command, data transmitted from the secure area device to the non-secure area device is transmitted through the forward unidirectional link, and data transmitted from the non-secure area device to the secure area device is transmitted through the reverse unidirectional link. delivered,
After transmitting a communication start command from the security area linkage unit to the non-security area linkage unit, when data arrives from the security area device to the security area transmission linkage unit, the data is transmitted from the security area transmission linkage unit to the non-security area reception linkage unit. , Terminating the communication session if the data does not arrive even after a predefined timeout time has elapsed after delivering the communication start command,
If data arrives from the security area device to the security area transmission linkage unit before the communication start command from the security area linkage unit to the non-secure area linkage unit, it is queued at the security area transmission linkage unit and only responds when a communication start command is delivered. convey data,
After transmitting a communication start command from the security area linkage unit to the non-security area linkage unit, when data arrives from the non-security area device to the non-secure area transmission linkage unit, the data is transmitted from the non-secure area transmission linkage unit to the security area reception linkage unit. , Terminating the communication session if the data does not arrive even after a predefined timeout time has elapsed after delivering the communication start command,
If data arrives from the non-secure area device to the non-secure area transmission linkage unit before the communication start command from the security area linkage unit to the non-secure area linkage unit, it is queued at the non-secure area transmission linkage unit, and only when a communication start command is delivered. A dual one-way linkage system based on security area control, characterized by transmitting data.
 제1항에 있어서,
상기 보안영역 수신 연계부에서 통신 개시 명령을 상기 비보안영역 송신 연계부 또는 상기 비보안영역 수신 연계부로 전달할 때, 상기 보안영역 송신 연계부는 상기 보안영역 수신 연계부를 대신하여 통신 개시 명령을 상기 비보안영역 송신 연계부 또는 상기 비보안영역 수신 연계부로 전달하고,
상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부에서 통신 개시 명령을 상기 비보안영역 송신 연계부로 전달할 때, 상기 비보안영역 송신 연계부는 상기 비보안영역 수신 연계부를 거쳐 통신 개시 명령을 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부로부터 전달받는 것을 특징으로 하는 보안영역 통제 기반 듀얼 단방향 연계 시스템.
According to paragraph 1,
When the security area reception linkage unit transmits a communication start command to the non-secure area transmission linkage unit or the non-secure area reception linkage unit, the secure area transmission linkage unit transmits a communication start command on behalf of the secure area reception linkage unit to the non-secure area transmission linkage unit. Delivered to the unit or the non-secure area reception link unit,
When transmitting a communication start command from the secure area transmission linkage unit or the secure area reception linkage unit to the non-secure area transmission linkage unit, the non-secure area transmission linkage unit sends a communication start command via the non-secure area reception linkage unit to the security area transmission linkage unit. Or a dual one-way linkage system based on security area control, characterized in that it is transmitted from the security area reception linkage unit.
 삭제delete 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 통신 개시 명령은 상기 정단방향 링크로 전달되며, SYN 패킷, 시퀀스 시작 패킷, 세션 시작 패킷, 통신 요청 패킷. 통신 개시 패킷 중 어느 하나의 데이터 패킷 또는 정책 패킷에 의해 전달되는 것을 특징으로 하는 보안영역 통제 기반 듀얼 단방향 연계 시스템.
According to paragraph 1,
The communication start command is transmitted to the forward link and includes a SYN packet, sequence start packet, session start packet, and communication request packet. A dual one-way linkage system based on security area control, characterized in that it is transmitted by either a data packet or a policy packet among the communication initiation packets.
 제1항에 있어서,
상기 보안영역 장치에서 상기 비보안영역 장치로 연결되면서 데이터를 일방향으로 전달하는 경우, 상기 보안영역 장치와 상기 보안영역 송신 연계부가 연동되고, 상기 비보안영역 수신 연계부와 상기 비보안영역 장치가 연계하여, 상기 정단방향 링크를 통해 데이터가 일방향으로 전달되고,
상기 보안영역 연계부에서 비보안영역 연계부로 통신 개시 명령 후 전송 데이터를 전달하였는데 상기 비보안영역 연계부에서 상기 비보안영역 장치로 데이터를 전달할 수 없는 경우, 상기 비보안영역 연계부에서 사전에 정의된 타임아웃 시간이 경과한 후 역단방향 링크를 통해 통신 세션 종료를 요청하는 것을 특징으로 하는 보안영역 통제 기반 듀얼 단방향 연계 시스템.
According to paragraph 1,
When the secure area device is connected to the non-secure area device and transmits data in one direction, the secure area device and the secure area transmission linkage unit are linked, and the non-secure area reception linkage unit and the non-secure area device are linked, Data is transmitted in one direction through a one-way link,
When transmission data is delivered after a communication start command from the security area linkage unit to the non-secure area linkage unit, but the data cannot be transmitted from the non-security area linkage unit to the non-secure area device, a timeout period predefined in the non-secure area linkage unit A dual one-way linkage system based on security area control, characterized in that it requests termination of a communication session through a reverse one-way link after this has elapsed.
 제1항에 있어서,
상기 보안영역 장치에서 상기 비보안영역 장치로 연결되면서 데이터를 양방향으로 전달하는 경우, 상기 보안영역 장치와 상기 보안영역 송신 연계부 또는 상기 보안영역 수신 연계부가 연동되고, 상기 비보안영역 수신 연계부 또는 상기 비보안영역 송신 연계부와 상기 비보안영역 장치가 연계하여 상기 정단방향 링크를 통해 요청 데이터를 비보안영역으로 전달하고, 상기 역단방향 링크를 통해 응답 데이터를 보안영역으로 전달하고,
상기 보안영역 연계부에서 상기 비보안영역 연계부로 통신 개시 명령 후 요청 데이터를 전달하였는데 상기 비보안영역 연계부에서 상기 비보안영역 장치로 요청 데이터를 전달할 수 없거나, 요청 데이터를 전달하였으나 상기 비보안영역 장치에서 응답 데이터가 수신되지 않는 경우, 사전에 정의된 타임아웃 시간이 경과한 후 역단방향 링크를 통해 통신 세션 종료를 요청하는 것을 특징으로 하는 보안영역 통제 기반 듀얼 단방향 연계 시스템.
According to paragraph 1,
When the secure area device is connected to the non-secure area device and transmits data in both directions, the secure area device and the secure area transmission linkage unit or the secure area reception linkage unit are linked, and the non-secure area reception linkage unit or the non-secure area linkage unit is linked. The area transmission linking unit and the non-secure area device are linked to transmit request data to the non-secure area through the forward link and transmit response data to the secure area through the reverse one-way link,
Request data is delivered after a communication start command from the secure area linkage unit to the non-secure area linkage unit, but the request data cannot be delivered from the non-secure area linkage unit to the non-secure area device, or the request data is delivered, but the non-secure area device returns response data. If is not received, a dual one-way linkage system based on security area control, characterized in that it requests termination of the communication session through a reverse one-way link after a predefined timeout period has elapsed.
 제9항에 있어서,
상기 보안영역 장치에서 상기 비보안영역 장치로 연결되면서 데이터를 양방향으로 전달하는 경우, 상기 보안영역 송신 연계부를 대신하여 상기 보안영역 수신 연계부가 상기 보안영역 장치와 연동되고, 상기 보안영역 송신 연계부를 거쳐 상기 비보안영역 수신 연계부 또는 상기 비보안영역 송신 연계부와 상기 비보안영역 장치가 연계하여 상기 정단방향 링크를 통해 데이터를 비보안영역으로 전달하고, 상기 역단방향 링크를 통해 데이터를 보안영역으로 전달하는 것을 특징으로 하는 보안영역 통제 기반 듀얼 단방향 연계 시스템.
According to clause 9,
When the secure area device is connected to the non-secure area device and transmits data in both directions, the secure area reception linkage unit replaces the security area transmission linkage unit and is linked with the secure area device, and the security area transmission linkage unit connects the Characterized in that the non-secure area reception linkage unit or the non-secure area transmission linkage unit and the non-secure area device are linked to transmit data to the non-secure area through the forward link and transmit data to the secure area through the reverse link. Dual one-way linkage system based on security area control.
 제1항에 있어서,
상기 비보안영역 장치에서 상기 보안영역 장치로 연결되면서 데이터를 일방향으로 전달하는 경우, 상기 비보안영역 장치와 상기 비보안영역 송신 연계부가 연동되고, 상기 보안영역 수신 연계부와 상기 보안영역 장치가 연계하면서 상기 역단방향 링크를 통해 데이터가 일방향으로 전달되고,
상기 보안영역 연계부에서 상기 비보안영역 연계부로 통신 개시 명령 후 상기 비보안영역 연계부에서 상기 보안영역 연계부로 전송 데이터를 전달하였는데 상기 보안영역 연계부에서 상기 보안영역 장치로 데이터를 전달할 수 없는 경우, 사전에 정의한 타임아웃 시간이 경과한 후 통신 세션을 종료하는 것을 특징으로 하는 보안영역 통제 기반 듀얼 단방향 연계 시스템.
According to paragraph 1,
When the non-secure area device is connected to the secure area device and transmits data in one direction, the non-secure area device and the non-secure area transmission linkage unit are linked, and the secure area reception linkage unit and the secure area device are linked to the station. Data is transmitted in one direction through a one-way link,
If transmission data is delivered from the non-security area linkage unit to the security area linkage unit after a command to start communication from the security area linkage unit to the non-security area linkage unit, but the data cannot be transmitted from the security area linkage unit to the security area device, A dual one-way linkage system based on security area control, characterized in that the communication session is terminated after the timeout period defined in .
 제1항에 있어서,
상기 비보안영역 장치에서 상기 보안영역 장치로 연결되면서 데이터를 양방향으로 전달하는 경우, 상기 비보안영역 장치와 상기 비보안영역 송신 연계부 또는 상기 비보안영역 수신 연계부가 연동되고, 상기 보안영역 수신 연계부 또는 보안영역 송신 연계부과 상기 보안영역 장치가 연동되어, 상기 역단방향 링크를 통해 요청 데이터를 보안영역으로 전달하고, 상기 정단방향 링크를 통해 응답 데이터를 비보안영역으로 전달하고,
상기 보안영역 연계부에서 상기 비보안영역 연계부로 통신 개시 명령 후 상기 비보안영역 연계부에서 상기 보안영역 연계부로 요청 데이터를 전달하였는데 상기 보안영역 연계부에서 상기 보안영역 장치로 요청 데이터를 전달할 수 없거나, 요청 데이터를 전달하였는데 상기 보안영역 장치에서 응답 데이터가 수신되지 않는 경우, 사전에 정의한 타임아웃 시간이 경과한 후 통신 세션을 종료하는 것을 특징으로 하는 보안영역 통제 기반 듀얼 단방향 연계 시스템.
According to paragraph 1,
When the non-secure area device is connected to the secure area device and transmits data in two directions, the non-secure area device and the non-secure area transmission linkage unit or the non-secure area reception linkage unit are linked, and the security area reception linkage unit or the security area The transmission linkage and the secure area device are linked to transmit request data to the secure area through the reverse unidirectional link and transmit response data to the non-secure area through the forward unidirectional link,
After a command to start communication from the security area linkage unit to the non-security area linkage unit is sent, the request data is transmitted from the non-security area linkage unit to the security area linkage unit, but the request data cannot be delivered from the security area linkage unit to the security area device, or the request data is not transmitted. A dual one-way linkage system based on security area control, characterized in that when data is delivered but response data is not received from the security area device, the communication session is terminated after a predefined timeout period has elapsed.
 제12항에 있어서,
상기 비보안영역 장치에서 상기 보안영역 장치로 연결되면서 데이터를 양방향으로 전달하는 경우, 상기 비보안영역 송신 연계부를 대신하여 상기 비보안영역 수신 연계부가 상기 비보안영역 장치와 연동되고, 상기 비보안영역 송신 연계부를 거쳐 상기 보안영역 수신 연계부 또는 보안영역 송신 연계부과 상기 보안영역 장치가 연동되어, 상기 역단방향 링크를 통해 데이터를 보안영역으로 전달하고, 상기 정단방향 링크를 통해 데이터를 비보안영역으로 전달하는 것을 특징으로 하는 보안영역 통제 기반 듀얼 단방향 연계 시스템.
According to clause 12,
When data is transmitted in both directions while being connected from the non-secure area device to the secure area device, the non-secure area reception linkage unit replaces the non-secure area transmission linkage unit and is linked with the non-secure area device, and the non-secure area transmission linkage unit connects the Characterized in that the security area device is linked with the security area reception linkage unit or the security area transmission linkage unit, and transmits data to the security area through the reverse unidirectional link and transmits data to the non-secure area through the forward link. Dual one-way linkage system based on security area control.
 제1항에 있어서,
상기 보안영역 송신 연계부는 상기 보안영역 장치와 연동하기 위한 ITX 프록시부를 포함하고, 상기 보안영역 수신 연계부는 상기 보안영역 장치와 연동하기 위한 IRX 프록시부를 포함하며, 상기 ITX 프록시부 또는 상기 IRX 프록시부는 접근통제 및 필터링 기능을 제공하고,
상기 비보안영역 수신 연계부는 상기 비보안영역 장치와 연동하기 위한 ORX 프록시부를 포함하고, 상기 비보안영역 송신 연계부는 상기 비보안영역 장치와 연동하기 위한 OTX 프록시부를 포함하며, 상기 ORX 프록시부 또는 상기 OTX 프록시부는 접근통제 및 필터링 기능을 제공하는 것을 특징으로 하는 보안영역 통제 기반 듀얼 단방향 연계 시스템.According to paragraph 1,
The secure area transmission linkage unit includes an ITX proxy unit for interworking with the security area device, and the secure area reception linkage unit includes an IRX proxy unit for interworking with the security area device, and the ITX proxy unit or the IRX proxy unit provides access. Provides control and filtering functions,
The non-secure area reception linkage unit includes an ORX proxy unit for interworking with the non-secure area device, the non-secure area transmission linkage unit includes an OTX proxy unit for interlocking with the non-secure area device, and the ORX proxy unit or the OTX proxy unit accesses the non-secure area. A dual one-way linkage system based on security area control, characterized by providing control and filtering functions.
KR1020230024990A 2022-12-07 2023-02-24 Security Zone based Dual One-Way Link Control System KR102591439B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20220169864 2022-12-07
KR1020220169864 2022-12-07

Publications (1)

Publication Number Publication Date
KR102591439B1 true KR102591439B1 (en) 2023-10-19

Family

ID=88507531

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230024990A KR102591439B1 (en) 2022-12-07 2023-02-24 Security Zone based Dual One-Way Link Control System

Country Status (1)

Country Link
KR (1) KR102591439B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101558491B1 (en) * 2015-04-13 2015-10-12 (주) 앤앤에스피 Security gateway system between networks using one-way telecommunication
KR101897123B1 (en) 2017-07-28 2018-09-11 (주)앤앤에스피 Dual unidirectional data and management information transmission system
KR20200122551A (en) * 2019-04-18 2020-10-28 (주) 시스메이트 Method for providing a communication channel for secure management between a physically separated uniway data transmitting and receiving device in uniway security gateway system and uniway data transmitting and receiving device providing two uniway communication channels therefor
KR20220047191A (en) * 2020-10-08 2022-04-15 (주)휴네시온 System for linking bidirectional data based on one way link and method therefor
KR102441195B1 (en) 2019-09-27 2022-09-08 한국전력공사 System and method for supporting between heterogeneous networks communication using unidirectional communication

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101558491B1 (en) * 2015-04-13 2015-10-12 (주) 앤앤에스피 Security gateway system between networks using one-way telecommunication
KR101897123B1 (en) 2017-07-28 2018-09-11 (주)앤앤에스피 Dual unidirectional data and management information transmission system
KR20200122551A (en) * 2019-04-18 2020-10-28 (주) 시스메이트 Method for providing a communication channel for secure management between a physically separated uniway data transmitting and receiving device in uniway security gateway system and uniway data transmitting and receiving device providing two uniway communication channels therefor
KR102441195B1 (en) 2019-09-27 2022-09-08 한국전력공사 System and method for supporting between heterogeneous networks communication using unidirectional communication
KR20220047191A (en) * 2020-10-08 2022-04-15 (주)휴네시온 System for linking bidirectional data based on one way link and method therefor

Similar Documents

Publication Publication Date Title
WO2020077680A1 (en) Data transmission method, system, and proxy server
CN106878926B (en) Data transmission method based on low-power-consumption Bluetooth, slave master device and system
US20100223463A1 (en) Communication system, key managing/distributing server, terminal apparatus, and data communication method used therefor, and program
CN101883108B (en) Document transmission method and system of dynamic authentication
US20070146782A1 (en) System, Apparatus and Method for Automated Wireless Device Configuration
WO2014056454A1 (en) Method and system for ike packet negotiation
EP2232773A1 (en) Group communication system using media server having distributed structure and method thereof
WO2019169880A1 (en) Unmanned aerial vehicle communication method, control terminal and unmanned aerial vehicle control system
CN112291200B (en) Method and system for trusted access of edge computing APP to Internet of things edge agent
CN113766019B (en) Internet of things system based on cloud and edge computing combination
US20080208959A1 (en) Hanging request system and method for client/server communication
JP4115354B2 (en) Peer-to-peer communication system
WO2017161135A1 (en) Centralized management of distributed systems with off line components
US10715583B2 (en) Secure remote computer network
CN109257392A (en) A kind of command handling method, device, server and storage medium
KR102591439B1 (en) Security Zone based Dual One-Way Link Control System
US20100189014A1 (en) System and method of distributing node configuration information
CN113595991A (en) HTTP interface gateway, communication system and communication method
JP3830037B2 (en) Session transfer system and method
KR100431700B1 (en) System And Method For Synchronizing Time Between SGSN And GGSN
KR100500125B1 (en) A method for avoiding unnecessary delays when a wireless communication system in a local suspend state
JP2017539109A (en) Providing process values in process systems
JP2003032236A (en) Relay server
JP2003224567A (en) Communication connection auxiliary device, communication equipment and communication method
US10938877B2 (en) Optimizing data transmission parameters of a proprietary network

Legal Events

Date Code Title Description
GRNT Written decision to grant