KR20110067332A - System for network duplication and method thereof - Google Patents

System for network duplication and method thereof Download PDF

Info

Publication number
KR20110067332A
KR20110067332A KR1020090123890A KR20090123890A KR20110067332A KR 20110067332 A KR20110067332 A KR 20110067332A KR 1020090123890 A KR1020090123890 A KR 1020090123890A KR 20090123890 A KR20090123890 A KR 20090123890A KR 20110067332 A KR20110067332 A KR 20110067332A
Authority
KR
South Korea
Prior art keywords
network
data processing
processing apparatus
port
agent
Prior art date
Application number
KR1020090123890A
Other languages
Korean (ko)
Other versions
KR101098382B1 (en
Inventor
이시영
이동형
최병걸
박용호
권순일
Original Assignee
주식회사 크레블
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 크레블 filed Critical 주식회사 크레블
Priority to KR1020090123890A priority Critical patent/KR101098382B1/en
Publication of KR20110067332A publication Critical patent/KR20110067332A/en
Application granted granted Critical
Publication of KR101098382B1 publication Critical patent/KR101098382B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/253Routing or path finding in a switch fabric using establishment or release of connections between ports

Abstract

PURPOSE: A network duplication system and providing method thereof are provided to supply a network duplication function based on software through the design of an application program or an agent program. CONSTITUTION: A data processing device(100) is selectively connected to a first network and a second network which have different network environments. An agent(110) is installed in the data processing device. The data processing device can be connected to a memory device(200). The memory device can be attached/detached to/from the data processing device. The memory device can be a memory device with a USB (Universal Serial Bus) interface. The data processing device comprises a network device(400). A network duplication system includes an authentication server(300).

Description

망 이중화 시스템 및 그 제공방법{System for network duplication and method thereof}Network redundancy system and its providing method

본 발명은 망 이중화 시스템 및 그 제공방법에 관한 것으로, 보다 상세하게는 두 개 이상의 네트워크에 선택적으로 연결가능하고, 연결되지 않는 네트워크와는 물리적으로 단락시킬 수 있는 네트워크 장치를 이용하여 망 이중화를 제공할 수 있는 시스템 및 그 제공방법에 관한 것이다.The present invention relates to a network redundancy system and a method of providing the same, and more particularly, to provide network redundancy using a network device that can be selectively connected to two or more networks and that can be physically shorted to a network that is not connected. It relates to a system that can be done and a method of providing the same.

공공기관 또는 대형 회사 등과 같은 대형조직에서는 조직 내의 업무의 수행 및 조직 내에서만 활용되어야 하는 정보들을 공유하기 위한 별도의 폐쇄된 네트워크를 구성하여 사용한다. 예컨대, 인트라넷이 대표적인 예일 수 있다.Large organizations, such as public institutions or large corporations, use a separate closed network for performing tasks within the organization and for sharing information that should only be used within the organization. For example, an intranet may be a representative example.

하지만, 조직의 구성원들은 이러한 폐쇄된 네트워크 외에도 개방형 네트워크(예컨대, 인터넷)에 접속해야 하는 경우가 있을 수 있다.However, in addition to these closed networks, members of an organization may need to access an open network (eg, the Internet).

하지만, 폐쇄된 네트워크를 개방형 네트워크와 동일한 방식으로 설정, 연결하여 동시에 두 개의 네트워크를 사용하는 경우에는 보안상에 심각한 문제를 유발할 수 있다. 이러한 문제점을 해결하기 위해서는 반드시 물리적으로 망을 분리해서 사용하는 망 이중화 방식을 사용하여야 한다.However, if a closed network is set up and connected in the same manner as an open network, and two networks are used at the same time, it may cause serious security problems. In order to solve this problem, the network redundancy method that physically separates the network must be used.

기존의 망 이중화 방식으로는 폐쇄된 네트워크 및 개방형 네트워크별 데이터 프로세싱 장치(예컨대, 컴퓨터)를 별도로 구비하여 두 망을 물리적으로 분리하는 방법이 사용되어 왔다.In the existing network redundancy method, a method of physically separating two networks by separately providing a closed network and an open network-specific data processing device (for example, a computer) has been used.

하지만, 이러한 방식은 상당한 자원낭비(중복된 장비 및 프로그램의 투자, 에너지 낭비)와 업무상의 비효율성을 유발하였다.However, this approach has resulted in significant resource waste (investment of redundant equipment and programs, waste of energy) and business inefficiencies.

따라서 보안을 보장하면서도 자원 낭비를 최소화할 수 있고, 효율적인 업무프로세스를 지원할 수 있는 망 이중화 시스템 및 방법이 절실히 요구된다.Therefore, there is an urgent need for a network redundancy system and method capable of minimizing resource waste while ensuring security and supporting efficient business processes.

본 발명이 이루고자 하는 기술적인 과제는 하나의 네트워크 장치만을 이용하면서도 복수 개의 네트워크에 선택적으로 연결가능하고, 연결되지 않는 네트워크와는 데이터 처리 장치를 물리적으로 분리하여 보안성을 극대화하면서도 자원의 낭비를 최소화하는 망 이중화 시스템 및 방법을 제공하는 것이다.The technical problem to be achieved by the present invention is to be able to selectively connect to a plurality of networks using only one network device, and to physically separate the data processing device from the network which is not connected to maximize security while minimizing waste of resources. It is to provide a network redundancy system and method.

또한, 메모리 장치를 이용하여 개방형 네트워크에서 실행 가능한 응용 프로그램을 제한할 수 있는 망 이중화 시스템 및 방법을 제공하는 것이다.Another object of the present invention is to provide a network redundancy system and method for limiting an application program executable in an open network using a memory device.

또한, 개방형 네트워크상에서 수행될 수 있는 디스크 I/O는 모두 메모리 장치를 통해 일어날 수 있도록 하여, 시스템상에서는 개방형 네트워크 환경에서 수행되었던 프로세스 또는 작업의 영향이 미치지 않도록 하는 시스템 및 방법을 제공하는 것이다.In addition, it is to provide a system and method that all disk I / O that can be performed on the open network can occur through the memory device, so that the process or operation that was performed in the open network environment on the system is not affected.

또한, 개방형 네트워크에서 실행되는 별도의 웹 클라이언트를 메모리 장치를 통해 제공함으로써 보안을 유지할 수 있는 시스템 및 방법을 제공하는 것이다.In addition, the present invention provides a system and method for maintaining security by providing a separate web client running in an open network through a memory device.

또한, 메모리 장치에 암호화 기능을 제공함으로써 메모리 장치에 저장되는 정보의 보안을 보장할 수 있는 시스템 및 방법을 제공하는 것이다.In addition, the present invention provides a system and method that can guarantee the security of information stored in a memory device by providing an encryption function to the memory device.

상기 기술적 과제를 달성하기 위한 망 이중화 시스템은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치 및 상기 데이터 처리장치에 설치된 에이전트를 포함하며, 상기 데이터 처리장치가 상기 제2네트워크에 접속하는 경우, 상기 에이전트는 상기 데이터 처리장치에 탈부착 가능한 메모리 장치 또는 상기 데이터 처리장치에 구비된 저장장치의 특정영역에 저장된 응용프로그램 이외의 응용프로그램의 실행을 막는 것을 특징으로 한다.The network redundancy system for achieving the technical problem includes a data processing device including a network device that can be selectively connected to the first network and the second network having a different network environment, and an agent installed in the data processing device, When the data processing apparatus connects to the second network, the agent executes execution of an application program other than an application program stored in a specific area of a memory device detachable from the data processing apparatus or a storage device included in the data processing apparatus. It is characterized by preventing.

상기 네트워크 장치는 상기 데이터 처리장치가 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와는 단락되는 것을 특징으로 할 수 있다.When the data processing device is connected to either the first network or the second network, the network device may be shorted to the remaining unconnected network.

상기 메모리 장치는 사용자 인증 정보를 저장하며, 상기 에이전트는 상기 메모리 장치에 저장된 상기 사용자 인증 정보에 기초하여 상기 제1네트워크 환경에서 사용자를 인증할 수 있다.The memory device stores user authentication information, and the agent may authenticate a user in the first network environment based on the user authentication information stored in the memory device.

상기 네트워크 장치는 상기 제1네트워크에 연결되기 위한 제1네트워크 포트 및 상기 제2네트워크에 연결되기 위한 제2네트워크 포트를 포함하는 네트워크 포트부, 상기 데이터 처리장치와 인터페이싱하기 위한 호스트 인터페이스부, 네트워크 컨트롤러, 및 상기 네트워크 컨트롤러와 상기 네트워크 포트부에 포함된 네트워크 포트 중 어느 하나가 연결되고, 나머지 네트워크 포트는 단락시키기 위한 스위칭 회로를 포함하는 포트 스위칭부를 포함할 수 있다.The network device includes a network port unit including a first network port for connecting to the first network and a second network port for connecting to the second network, a host interface unit for interfacing with the data processing device, and a network controller. One of a network port included in the network controller and the network port unit is connected, and the other network port may include a port switching unit including a switching circuit for shorting.

상기 에이전트는 제1네트워크 환경에서 제2네트워크 환경으로 전환되는 경우, 상기 제1네트워크 환경에서의 응용 프로그램 및 프로세스를 종료하며, 상기 제1네트워크 포트를 단락시키고 상기 제2네트워크 포트와 상기 네트워크 컨트롤러를 연결시키기 위해 제1제어신호를 상기 네트워크 장치로 출력할 수 있다.When the agent switches from the first network environment to the second network environment, the agent terminates applications and processes in the first network environment, shorts the first network port, and disconnects the second network port from the network controller. A first control signal can be output to the network device for connection.

상기 에이전트는 상기 제2네트워크 환경에서 상기 메모리 장치 또는 상기 저장장치의 특정영역에서만 디스크 I/O가 일어나도록 제어할 수 있다.The agent may control the disk I / O to occur only in a specific region of the memory device or the storage device in the second network environment.

상기 에이전트는 상기 제2네트워크 환경에서 상기 제1네트워크 환경으로 전환되는 경우, 상기 제2네트워크 환경에서의 응용 프로그램 및 프로세스를 종료하며, 상기 제2네트워크 포트를 단락시키고 상기 제1네트워크 포트와 상기 네트워크 컨트롤러를 연결시키기 위해 제2제어신호를 상기 네트워크 장치로 출력할 수 있다.When the agent switches from the second network environment to the first network environment, the agent terminates an application and a process in the second network environment, shorts the second network port, and shortens the first network port and the network. In order to connect a controller, a second control signal may be output to the network device.

상기 제1네트워크 및 상기 제2네트워크는 각각 인트라넷 및 인터넷일 수 있다.The first network and the second network may be an intranet and the Internet, respectively.

상기 메모리 장치 또는 상기 저장장치의 특정영역에 저장된 응용프로그램은 보안 웹 클라이언트를 포함하며, 상기 보안 웹 클라이언트는, 상기 보안 웹 클라이언트를 통해 일어나는 디스크 I/O가 상기 메모리 장치 또는 상기 저장장치의 특정영역에서만 일어나도록 제어할 수 있다.The application program stored in the memory device or the specific area of the storage device includes a secure web client, and the secure web client may include a disk I / O generated through the secure web client in a specific area of the memory device or the storage device. You can only control it to happen.

상기 네트워크 장치는 상기 포트 스위칭부와 상기 호스트 인터페이스부를 연 결하며, 상기 데이터 처리 장치로부터 출력되는 제어신호를 상기 포트 스위칭부로 출력하기 위한 적어도 하나의 컨트롤 라인을 더 포함하며, 상기 포트 스위칭부는 상기 적어도 하나의 컨트롤 라인을 통해 수신되는 상기 제어신호에 응답하여 상기 네트워크 포트부에 포함된 어느 하나의 네트워크 포트를 연결할 수 있다.The network device connects the port switching unit and the host interface unit, and further includes at least one control line for outputting a control signal output from the data processing apparatus to the port switching unit, wherein the port switching unit One network port included in the network port may be connected in response to the control signal received through one control line.

상기 포트 스위칭부는 상기 에이전트로부터 미리 설정된 시간 동안 소정의 응답신호가 수신되지 않는 경우, 상기 제1네트워크 포트와 상기 제2네트워크 포트를 모두 단락시킬 수 있다.The port switching unit may short-circuit both the first network port and the second network port when a predetermined response signal is not received from the agent for a preset time.

상기 기술적 과제를 해결하기 위한 망 이중화 시스템은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치를 포함하며, 상기 네트워크 장치는 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와 상기 데이터 처리장치를 단락시키는 것을 특징으로 한다.The network redundancy system for solving the technical problem includes a data processing device including a network device that can be selectively connected to a first network and a second network having a different network environment, the network device is the first network Or, when connected to any one of the second network, characterized in that for shorting the remaining unconnected network and the data processing device.

상기 기술적 과제를 해결하기 위한 망 이중화 시스템은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치, 상기 데이터 처리장치에 설치된 에이전트, 및 상기 데이터 처리장치에 탈부착 가능한 메모리 장치를 포함하며, 상기 데이터 처리장치는 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와 상기 데이터 처리장치는 단락되며, 상기 에이전트는 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결된 네트워크에서 데이터의 저장은 상기 메모리 장치에서만 일어나도록 제어할 수 있다.A network redundancy system for solving the technical problem includes a data processing device including a network device that can be selectively connected to a first network and a second network having different network environments, an agent installed in the data processing device, and the data. And a memory device detachable from the processing device, wherein the data processing device is connected to either the first network or the second network, and the remaining unconnected network and the data processing device are short-circuited. When connected to either the first network or the second network, the storage of data in the connected network can be controlled to occur only in the memory device.

상기 기술적 과제를 해결하기 위한 망 이중화 시스템은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치를 포함하며, 상기 데이터 처리장치에 설치된 에이전트와 상기 네트워크 장치가 미리 설정된 시간 동안 통신이 되지 않는 경우, 상기 네트워크 장치는 상기 제1네트워크 및 상기 제2네트워크를 모두 단락시킬 수 있다.The network redundancy system for solving the technical problem includes a data processing device including a network device that can be selectively connected to the first network and the second network having a different network environment, and the agent installed in the data processing device and When the network device is not in communication for a predetermined time, the network device may short both the first network and the second network.

상기 기술적 과제를 해결하기 위한 망 이중화 시스템 제공방법은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치가 상기 제2네트워크에 접속하는 단계 및 상기 데이터 처리장치에 설치된 에이전트가 상기 데이터 처리장치에 탈부착 가능한 메모리 장치 또는 상기 데이터 처리장치에 구비된 저장장치의 특정영역에 저장된 응용프로그램 이외의 응용프로그램의 실행을 막는 단계를 포함한다.Method for providing a network redundancy system for solving the technical problem is a data processing device comprising a network device that can be selectively connected to a first network and a second network having a different network environment access to the second network and Preventing the execution of an application program other than an application program stored in a specific area of a memory device detachable to the data processing apparatus or a storage device included in the data processing apparatus, by an agent installed in the data processing apparatus.

상기 기술적 과제를 해결하기 위한 망 이중화 시스템 제공방법은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치가 데이터 처리장치로부터 상기 제2네트워크와 연결되기 위한 제어신호를 수신하는 단계 및 수신된 상기 제어신호에 응답하여 상기 네트워크 장치가 상기 제2네트워크에 연결되며, 상기 제1네트워크와는 단락되는 단계를 포함한다.To provide a network redundancy system for solving the technical problem, a network device capable of being selectively connected to a first network and a second network having a different network environment may receive a control signal for connecting to the second network from a data processing device. And receiving and shorting the network device from the first network in response to the received control signal.

상기 기술적 과제를 해결하기 위한 망 이중화 시스템 제공방법은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치가 데이터 처리장치에 설치된 에이전트와 미리 설정된 시간 이상 동안 통신이 되지 않는지를 판단하는 단계 및 판단결과 상기 미리 설정된 시간 이상 동안 통신이 되지 않은 경우, 상기 네트워크 장치는 상기 제1네트워크 및 상기 제2네트워크를 모두 단락시키는 단계를 포함할 수 있다. 상기 이중화 시스템 제공방법은 프로그램을 기록한 컴퓨터 판독 가능한 기록매체에 저장될 수 있다.In a method for providing a network redundancy system for solving the technical problem, a network device capable of being selectively connected to a first network and a second network having a different network environment may not communicate with an agent installed in a data processing device for a predetermined time or more. The network device may include shorting both the first network and the second network when no communication is performed for more than the predetermined time. The redundant system providing method may be stored in a computer-readable recording medium recording a program.

본 발명에 따른 망 이중화 시스템 및 그 제공방법은 물리적으로 분리된 네트워크 환경을 제공하기 위해 필요한 최소한의 자원(즉,네트워크 장치)만을 물리적으로 분리하여 자원의 낭비를 최소화할 수 있는 효과가 있다.The network duplication system and the method of providing the same according to the present invention have the effect of minimizing the waste of resources by physically separating only the minimum resources (that is, network devices) necessary to provide a physically separated network environment.

또한, 메모리 장치에 제공되는 응용프로그램의 설계 또는 에이전트 프로그램 등을 통한 소프트웨어 기반의 망 이중화 기능을 제공함으로써 응용성을 높일 수 있는 효과가 있다. In addition, it is possible to increase the applicability by providing a software-based network redundancy function through the design of an application program or an agent program provided to a memory device.

또한, 탈부착 가능한 메모리 장치를 이용하여 개방형 네트워크상에서 수행될 수 있는 디스크 I/O는 모두 메모리 장치를 통해 일어날 수 있도록 하거나, 인증된 응용프로그램만을 실행시킬 수 있도록 함으로써, 간편하게 보안을 유지하면서도 망 별 시스템의 독립성을 갖출 수 있는 효과가 있다.In addition, by using a removable memory device, all disk I / O that can be performed on an open network can be performed through the memory device or only authorized applications can be executed, thereby simplifying security while maintaining network-specific systems. Independence of the effect is effective.

또한, 메모리 장치에 암호화 기능을 제공함으로써 시스템과 분리되어 별도로 관리될 수 있는 정보의 보안을 보장하는 효과가 있다.In addition, by providing an encryption function to the memory device, there is an effect of ensuring the security of information that can be managed separately from the system.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도 면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.In order to fully understand the present invention, the operational advantages of the present invention, and the objects achieved by the practice of the present invention, reference should be made to the accompanying drawings which illustrate preferred embodiments of the present invention and the contents described in the accompanying drawings.

또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다. Also, in this specification, when any one element 'transmits' data to another element, the element may transmit the data directly to the other element, or may be transmitted through at least one other element And may transmit the data to the other component.

반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.Conversely, when one element 'directly transmits' data to another element, it means that the data is transmitted to the other element without passing through another element in the element.

이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. Like reference numerals in the drawings denote like elements.

도 1은 본 발명의 실시 예에 따른 메모리 장치를 이용한 망 이중화 시스템의 개략적인 구성도를 나타낸다.1 is a schematic block diagram of a network redundancy system using a memory device according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 실시 예에 따른 메모리 장치를 이용한 망 이중화 시스템은 데이터 처리장치(100)를 포함한다. 상기 데이터 처리장치(100)는 메모리 장치(200)와 연결될 수 있으며, 상기 메모리 장치(200)는 상기 데이터 처리장치(100)에 탈부착 가능한 형태로 구현될 수 있다. 예컨대, 상기 메모리 장치(200)는 USB(Universal Serial Bus) 인터페이스를 갖는 메모리 장치일 수 있다.Referring to FIG. 1, a network duplication system using a memory device according to an embodiment of the present invention includes a data processing device 100. The data processing device 100 may be connected to the memory device 200, and the memory device 200 may be embodied in a form detachable from the data processing device 100. For example, the memory device 200 may be a memory device having a universal serial bus (USB) interface.

상기 데이터 처리장치(100)에는 본 발명의 실시 예에 따른 망 이중화 방법을 구현하기 위한 에이전트(110) 프로그램이 설치될 수 있다. 또한 상기 데이터 처리 장치(100)에는 네트워크 장치(400)가 구비될 수 있다. 또한, 본 발명의 실시 예에 따른 망 이중화 시스템은 제1네트워크를 통하여 상기 데이터 처리장치(100)를 사용하는 사용자를 인증하기 위한 인증서버(300)를 더 포함할 수도 있다.In the data processing apparatus 100, an agent 110 program for implementing a network redundancy method according to an exemplary embodiment of the present invention may be installed. In addition, the data processing device 100 may be provided with a network device 400. In addition, the network redundancy system according to an embodiment of the present invention may further include an authentication server 300 for authenticating a user who uses the data processing apparatus 100 through a first network.

본 명세서에는 서로 다른 두 개의 네트워크 환경 및 상기 서로 다른 두 개의 네트워크 환경에 선택적으로 연결가능한 네트워크 장치(400)를 일 예로 들어 설명하지만, 구현 예에 따라 두 개 이상의 네트워크 환경 및 두 개 이상의 네트워크 환경에 선택적으로 연결가능한 네트워크 장치를 이용한 망 이중화 방법 및 시스템이 본 발명의 기술적 사상에 적용될 수 있음은 당해 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.In this specification, two different network environments and a network device 400 that can be selectively connected to the two different network environments are described as an example, but according to an implementation example, two or more network environments and two or more network environments are described. It can be easily inferred by the average expert in the art that a network duplication method and system using a selectively connectable network device can be applied to the technical idea of the present invention.

본 발명의 기술적 사상은 최소한의 자원을 사용하면서도 네트워크를 물리적으로 분리하여 서로 다른 네트워크를 사용하여야 하는 환경에서 망을 이중화할 수 있는 기술적 사상을 제공한다. 본 출원인은 이러한 기술적 사상을 위해 한국특허출원(출원번호 10-2008-0085426, "메모리 장치를 이용한 망 이중화 시스템 및 그 제공방법", 이하 '이전출원 1')을 출원한바 있으며, 이전출원 1에 기재된 기술적 사상 및 내용은 본 명세서에 기재된 내용으로 취급될 수 있으며, 본 명세서의 레퍼런스로 이용될 수 있다.The technical idea of the present invention provides a technical idea that can duplicate a network in an environment in which different networks are used by physically separating networks while using minimal resources. The present applicant has filed a Korean patent application (Application No. 10-2008-0085426, "Network Redundancy System Using Memory Device and Its Provision Method", hereinafter "Previous Application 1") for the technical idea, The technical spirit and contents described may be treated as the contents described herein, and may be used as a reference of the specification.

이전출원 1은 하나의 데이터 처리 장치에서 서로 다른 네트워크 장치 및 메모리 장치를 이용한 망 이중화 시스템의 기술적 사상을 제공하고 있다. 이전출원 1에 개시된 망 이중화 시스템 및 방법은 서로 다른 독립적인 네트워크 장치를 이용하여 어느 하나의 네트워크와 다른 네트워크 간의 응용프로그램 및/또는 데이터의 분리함으로써 보안성을 보장함과 동시에 자원의 효율적 사용을 가능케 한다.Previous application 1 provides a technical idea of a network duplication system using different network devices and memory devices in one data processing device. The network redundancy system and method disclosed in the previous application 1 uses different independent network devices to separate applications and / or data between one network and another network, thereby ensuring security and efficient use of resources. do.

한편, 본 출원인은 한국특허출원(출원번호 10-2009-0041033, "포트 스위칭 회로를 포함한 네트워크 인터페이스 카드", 이하 '이전출원 2')에서 하나의 네트워크 장치를 이용하여 복수 개의 네트워크 중 어느 하나에 선택적으로 연결가능하며, 연결되지 않은 네트워크들과는 연결을 물리적으로 차단할 수 있는 네트워크 인터페이스 카드를 개시한바 있다. 이전출원 2에 기재된 기술적 사상 및 그 기재는 본 명세서의 기재로 취급될 수 있으며, 본 명세서의 레퍼런스(reference)로 이용될 수 있다.On the other hand, the applicant in the Korean patent application (application number 10-2009-0041033, "network interface card including a port switching circuit," "previous application 2") to one of the plurality of networks using one network device Disclosed is a network interface card that is selectively connectable and that can physically block a connection with unconnected networks. The technical spirit and its description described in the previous application 2 may be treated as a description of the present specification, and may be used as a reference of the present specification.

본 발명의 기술적 사상은 이러한 이전출원 1과 이전출원 2의 기술적 사상을 이용하여 도출될 수 있다. 즉, 본 발명의 기술적 사상은 이전출원 1의 기술적 사상에서 서로 독립된 복수 개의 네트워크 장치를 사용하는 대신, 이전출원 2에 개시된 바와 같이 복수 개의 네트워크 중 어느 하나에 선택적으로 연결가능하며, 연결되지 않은 네트워크들과는 연결을 물리적으로 차단할 수 있는 네트워크 인터페이스 카드를 이용함으로써 이종 망의 동시접속을 원천적으로 차단하고, 다른 환경에서 사용되는 응용 프로그램 및/또는 데이터의 사용/접근을 방지함으로써 보안을 보장하는 효과를 갖는 망 이중화 시스템을 제공할 수 있다. 그러면서도 이전출원 1에 비해 자원의 낭비를 막을 수 있는 효과가 있는 망 이중화 시스템을 제공할 수 있는 효과도 있다.The technical idea of the present invention may be derived using the technical idea of the previous application 1 and the previous application 2. That is, the technical idea of the present invention is to selectively connect to any one of the plurality of networks as disclosed in the previous application 2, instead of using a plurality of network devices that are independent of each other in the technical idea of the previous application 1, a network that is not connected By using a network interface card that can physically block the connection with the network, it blocks the simultaneous access of heterogeneous networks and prevents the use and access of applications and / or data used in other environments. Network redundancy system can be provided. At the same time, there is an effect to provide a network redundancy system that can prevent the waste of resources compared to the previous application.

또한, 본 발명의 기술적 사상은 이전출원 1에 개시된 보안 메커니즘을 위한 메모리 장치 이외에도 데이터 처리장치의 특정 영역을 보안영역으로 사용하여 보안 영역에서만 디스크 I/O가 일어나도록 하는 기술적 사상을 포함한다. 이러한 기술적 사상은 예컨대, (주)테르텐이 출원하여 등록된 한국등록특허(등록번호 10-0911345, "컨텐츠 보안 방법 및 그 장치",이하 '등록특허')에 개시된 기술적 사상을 이용하여 구현될 수 있다. 이때에는 상기 보안영역은 상기 등록특허에도 개시된 바와 같이 가상디스크 드라이브로 구현될 수 있다. 물론, 상기 등록특허 이외에도 본 발명의 기술적 사상을 구현하기 위해 데이터 처리장치에 구비된 저장장치의 특정 영역을 보안영역으로 설정하여, 인가된 프로세스나 인가된 동작만 수행할 수 있도록 하는 기술은 본 발명의 기술적 사상에 적용 가능할 수 있다. 상기 등록특허에 개시된 기술적 사상 및 그 내용은 본 명세서의 기재로 취급하면, 본 발명의 레퍼런스로 활용할 수 있다.In addition, the technical idea of the present invention includes a technical idea that disk I / O occurs only in the security area by using a specific area of the data processing device as the security area in addition to the memory device for the security mechanism disclosed in the previous application 1. This technical idea may be implemented using, for example, the technical idea disclosed in Korean Patent Registration (Registration No. 10-0911345, “Contents Security Method and Apparatus”, hereinafter “Registered Patent”) applied by Terten Corporation. have. In this case, the security area may be implemented as a virtual disk drive as disclosed in the registered patent. Of course, in order to implement the technical spirit of the present invention, in addition to the above-described patents, a specific area of the storage device provided in the data processing device is set as the security area, so that the technology to perform only an authorized process or an authorized operation is provided. It may be applicable to the technical idea of. The technical idea disclosed in the registered patent and its contents can be utilized as a reference of the present invention when treated as described in the present specification.

이하에서는, 좀 더 구체적으로 본 발명의 실시 예에 따른 망 이중화 시스템의 구성을 살펴보도록 한다.Hereinafter, look at the configuration of the network duplication system according to an embodiment of the present invention in more detail.

본 명세서에서 네트워크 장치(400)는 상기 데이터 처리장치(100)를 제1네트워크 또는 제2네트워크 중 어느 하나에 선택적으로 연결시키기 위한 통신 장치를 의미할 수 있다. 예컨대, 상기 네트워크 장치(400)는 네트워크 인터페이스 카드(Network Interface Card)로 구현될 수 있으나 이에 한정되지는 않는다.In this specification, the network device 400 may mean a communication device for selectively connecting the data processing apparatus 100 to any one of a first network and a second network. For example, the network device 400 may be implemented as a network interface card, but is not limited thereto.

상기 데이터 처리장치(100)는 서로 다른 네트워크 환경에서 데이터 프로세싱을 수행할 수 있는 모든 장치를 포함하는 의미로 사용될 수 있다. 예컨대, 상기 데이터 처리장치는 컴퓨터, PDA 등일 수 있다.The data processing apparatus 100 may be used as a meaning including all devices capable of performing data processing in different network environments. For example, the data processing device may be a computer, a PDA, or the like.

상기 에이전트(110)는 본 발명의 실시 예에 따른 망 이중화 방법을 구현하기 위해 상기 메모리 장치(200) 또는 상기 데이터 처리장치(100)에 구비되는 저장장치(예컨대, 하드드라이브, SSD(Solid State Drive), Flash 드라이브 등, 미도시)의 특정영역에 대한 데이터 입출력을 제어하거나 상기 메모리 장치(200) 또는 상기 특정영역에 저장된 정보에 접근하거나 사용할 수 있는 소프트웨어 및/또는 프로세스를 의미할 수 있다. 또한 상기 에이전트(110)는 상기 네트워크 장치(400)를 제어하여 상기 네트워크 장치(400)가 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 선택적으로 연결되도록 제어할 수 있다. 또는, 필요에 따라 상기 데이터 처리장치(100)의 OS와 응용프로그램 또는 프로세스 사이의 메시지/호출 등을 제어할 수 있다.The agent 110 is a storage device (eg, hard drive, solid state drive) provided in the memory device 200 or the data processing device 100 to implement a network redundancy method according to an embodiment of the present invention. ), Or a software and / or process capable of controlling data input / output for a specific region of a flash drive or the like, or accessing or using information stored in the memory device 200 or the specific region. In addition, the agent 110 may control the network device 400 to selectively connect the network device 400 to either the first network or the second network. Alternatively, a message / call between the OS of the data processing apparatus 100 and an application program or a process may be controlled as necessary.

상기 메모리 장치(200)는 상기 데이터 처리장치(100)에 탈부착 가능하며, 소정 용량 이상의 메모리를 갖추고 있어서 제1네트워크 또는 제2네트워크 중 적어도 어느 하나의 환경에서 상기 데이터 처리장치(100)가 사용될 때 기본적으로 필요한 용량을 지원할 수 있다.The memory device 200 is detachable from the data processing device 100 and has a memory having a predetermined capacity or more, so that the data processing device 100 is used in at least one of the first network and the second network. Basically, it can support the required capacity.

예컨대, 상기 메모리 장치(200)는 상기 데이터 처리장치(100)와 USB(Universal Serial Bus) 포트를 통하여 연결될 수 있다. 또한, 상기 메모리 장치(200)는 단순히 정보를 저장하기 위한 장치뿐만 아니라, 상기 데이터 처리장치(100)에 필요한 다른 주변장치와 합쳐질 수도 있다.For example, the memory device 200 may be connected to the data processing device 100 through a universal serial bus (USB) port. In addition, the memory device 200 may be combined with other peripheral devices required for the data processing device 100 as well as a device for simply storing information.

예컨대, 상기 메모리 장치(200)는 상기 데이터 처리장치(100)의 입출력장치 중 하나(예컨대, 마우스, 키보드, 조이스틱 등)에 내장될 수 있다. 물론, 상기 메모리 장치(200)는 별도의 독립적인 정보 저장장치일 수도 있다.For example, the memory device 200 may be embedded in one of the input / output devices of the data processing device 100 (eg, a mouse, a keyboard, a joystick, etc.). Of course, the memory device 200 may be a separate independent information storage device.

한편, 상기 데이터 처리장치(100)에 구비된 저장장치(미도시)의 특정영역을 상기 메모리 장치(200)처럼 사용할 수 있다. 예컨대, 상기 특정영역은 등록특허에 기재된 바와 같은 가상드라이브로 설정되는 영역일 수 있다. 그러면, 상기 특정영역은 인가된 프로세스만 접근이 가능할 수 있으며, 상기 특정영역에 저장된 정보는 미리 정해진 특정 기능(예컨대, 파일 I/O, 클립보드 인터페이스, 네트워크 I/O 등)을 사용할 수 없게 된다. 또한, 특정 네트워크(예컨대, 제2네트워크)에서는 후술하는 바와 같이 디스크 I/O가 상기 특정 영역으로만 일어나도록 하여 본 발명의 기술적 사상에 따른 망 이중화 시스템에서의 보안 메커니즘을 적용할 수 있다. 이하에서는 설명의 편의를 위해 상기 메모리 장치(200)를 이용한 실시 예를 위주로 설명하지만 본 발명의 기술분야의 평균적 전문가는 상기 메모리 장치(200)의 기능 중 적어도 일부를 상기 특정영역이 대신할 수 있음을 용이하게 추론할 수 있을 것이다.Meanwhile, a specific area of a storage device (not shown) provided in the data processing device 100 may be used as the memory device 200. For example, the specific area may be an area set as a virtual drive as described in the registered patent. Then, the specific region may be accessible only to authorized processes, and information stored in the specific region may not use a predetermined specific function (eg, file I / O, clipboard interface, network I / O, etc.). . In addition, in a specific network (eg, the second network), as described below, the disk I / O may occur only in the specific area, so that the security mechanism in the network duplication system according to the technical idea of the present invention may be applied. Hereinafter, an embodiment using the memory device 200 will be described for convenience of description, but an average expert in the technical field of the present disclosure may replace at least some of the functions of the memory device 200 with the specific area. Can be easily deduced.

이하, 본 명세서에서는 상기 제1네트워크는 인트라넷이고, 상기 제2네트워크는 인터넷인 경우를 일 예로 설명한다. 하지만, 이에 한정되지는 않으며 서로 다른 네트워크 환경에 접속가능한 데이터 처리장치에서 망 이중화가 필요한 서로 다른 적어도 두 개의 네트워크에 본 발명의 권리범위가 미칠 수 있다.In the following description, the first network is an intranet, and the second network is the Internet. However, the present invention is not limited thereto, and the scope of the present invention may extend to at least two different networks requiring network redundancy in a data processing apparatus that is accessible to different network environments.

먼저, 상기 데이터 처리장치(100)에는 상기 에이전트(110)가 설치될 수 있다. 그러면, 상기 에이전트(110)는 부팅(booting)시 또는 시스템 및/또는 사용자에 의해 설정된 시점에서 상기 메모리 장치(200)를 이용하여 사용자를 인증할 수 있다.First, the agent 110 may be installed in the data processing apparatus 100. Then, the agent 110 may authenticate the user by using the memory device 200 at the time of booting or at a time point set by the system and / or the user.

상기 메모리 장치(200)에는 사용자별로 고유하게 설정된 사용자 인증정보가 저장되어 있을 수 있다. 구현 예에 따라, 상기 사용자 인증정보는 상기 메모리 장치(200)의 고유 식별번호 및/또는 상기 고유 식별번호에 기초하여 생성되는 정보가 이용될 수 있다.The memory device 200 may store user authentication information uniquely set for each user. According to an embodiment of the present disclosure, the user authentication information may use a unique identification number of the memory device 200 and / or information generated based on the unique identification number.

예컨대, 상기 데이터 처리장치(100)가 부팅되는 경우, 상기 에이전트(110)는 자동으로 실행되어 상기 메모리 장치(200)내의 사용자 인증정보를 추출할 수 있다. 그러면 상기 에이전트(110)는 인증서버(300)와 제1네트워크(예컨대, 인트라넷)을 통해 연결되어 사용자를 인증할 수 있다. For example, when the data processing apparatus 100 is booted, the agent 110 may be automatically executed to extract user authentication information in the memory device 200. Then, the agent 110 may be connected to the authentication server 300 through a first network (eg, an intranet) to authenticate a user.

또한, 상기 메모리 장치(200)에는 제1네트워크의 환경설정 정보 및/또는 제2네트워크의 환경설정 정보가 더 저장되어 있을 수 있으며, 상기 데이터 처리장치(100)가 부팅되면서 상기 에이전트(110)는 저장된 제1네트워크 및/또는 제2네트워크의 환경설정 정보에 기초하여 네트워크 환경을 자동으로 설정할 수 있다. In addition, the memory device 200 may further store environment setting information of the first network and / or environment setting information of the second network, and the agent 110 may be booted as the data processing device 100 is booted. The network environment may be automatically set based on the stored configuration information of the first network and / or the second network.

부팅 후의 네트워크 환경은 기본 네트워크 환경인 제1네트워크 환경일 수 있다. 따라서, 상기 네트워크 장치(400)는 상기 제1네트워크와 연결될 수 있다. 이를 위해 상기 네트워크 장치(400)는 상기 네트워크 장치(400)에 구비된 소정의 구성(후술할, 포트 스위칭 부(420))을 제어함으로써, 상기 데이터 처리장치(100)가 상기 제1네트워크에 연결되도록 할 수 있다. 이하에서는, 상기 네트워크 장치(400)에 대해 구체적으로 살펴보도록 한다.The network environment after booting may be a first network environment that is a basic network environment. Thus, the network device 400 may be connected to the first network. To this end, the network device 400 controls a predetermined configuration (port switching unit 420, which will be described later) provided in the network device 400, so that the data processing apparatus 100 is connected to the first network. You can do that. Hereinafter, the network device 400 will be described in detail.

도 5는 본 발명의 실시 예에 따른 네트워크 장치의 구성을 개략적으로 나타낸다.5 schematically illustrates a configuration of a network device according to an embodiment of the present invention.

도 5를 참조하면, 본 발명의 실시 예에 따른 네트워크 장치(400)는 네트워크 컨트롤러(410), 포트 스위칭부(420), 호스트 인터페이스(430), 및 네트워크 포트부(440)를 포함한다. 상기 네트워크 장치(400)는 네트워크 인터페이스 카드로 구현될 수 있다. 상기 네트워크 컨트롤러(110) 또는 네트워크 장치(400)는 널리 공지된 다양한 구성요소(예컨대, DMA, FIFO, ARP 장치 등)를 더 포함할 수 있지만, 본 발명의 요지를 명확하게 하기 위해 상세한 설명은 생략한다.Referring to FIG. 5, a network device 400 according to an embodiment of the present invention includes a network controller 410, a port switching unit 420, a host interface 430, and a network port unit 440. The network device 400 may be implemented as a network interface card. The network controller 110 or the network device 400 may further include various well-known components (eg, DMA, FIFO, ARP device, etc.), but the detailed description is omitted to clarify the gist of the present invention. do.

상기 네트워크 컨트롤러(410)는 종래의 네트워크 인터페이스 카드와 같이 상기 호스트 인터페이스(예컨대, PCI 인터페이스, 430)를 통해 연결되는 호스트(미도시)에 MAC(media access control) 주소를 할당하여 상기 호스트가 네트워크에 접속하도록 하는 역할을 한다.The network controller 410 allocates a media access control (MAC) address to a host (not shown) connected through the host interface (eg, PCI interface) 430 like a conventional network interface card so that the host can access a network. It has a role to connect.

상기 포트 스위칭 부(420)는 상기 네트워크 컨트롤러(410)와 상기 네트워크 포트부(440)를 물리적으로 연결하는 역할을 수행한다. 특히, 상기 포트 스위칭부(420)는 상기 네트워크 포트부(440)에 포함되는 복수 개의 네트워크 포트 중 어느 하나의 네트워크 포트만을 상기 네트워크 컨트롤러(410)와 연결되도록 하며, 나머지 네트워크 포트와는 물리적으로 단락될 수 있다. 따라서, 상기 포트 스위칭 부(420)를 통해 본 발명의 실시 예에 따른 네트워크 장치(400)는 네트워크 컨트롤러(410)와 네트워크 포트 간의 물리적 연결을 선택적으로 차단함으로써, 서로 다른 네트워크에 동시에 접속되는 것을 원천적으로 차단할 수 있다.The port switching unit 420 physically connects the network controller 410 and the network port unit 440. In particular, the port switching unit 420 allows only one network port of a plurality of network ports included in the network port unit 440 to be connected to the network controller 410, and physically shorts the remaining network ports. Can be. Therefore, the network device 400 according to the embodiment of the present invention through the port switching unit 420 selectively blocks physical connection between the network controller 410 and the network port, thereby being connected to different networks at the same time. Can be blocked by

상기 호스트 인터페이스(430)는 데이터 처리장치(100)와 상기 네트워크 장치(400)를 연결하는 역할을 수행하며, 상기 호스트 인터페이스(130)를 통해 데이터 처리장치의 확장슬롯 등에 상기 네트워크 장치(400)가 장착될 수 있다.The host interface 430 serves to connect the data processing device 100 and the network device 400, and the network device 400 is connected to an expansion slot of the data processing device through the host interface 130. Can be mounted.

상기 네트워크 포트부(440)는 제1네트워크(예컨대, 인트라넷 망)에 연결되기 위한 제1네트워크 포트(441) 및 제2네트워크(예컨대, 인터넷 망)에 연결되기 위한 제2네트워크 포트(예컨대, 442)를 포함한다. 물론, 더 많은 네트워크 포트가 상기 네트워크 포트부(440)에 구비될 수도 있다.The network port unit 440 may include a first network port 441 for connecting to a first network (eg, an intranet network) and a second network port (eg, 442 for being connected to a second network (eg, an internet network). ). Of course, more network ports may be provided in the network port unit 440.

한편, 상기 포트 스위칭부(420)를 제어하기 위한 소정의 제어신호는 상기 에이전트(110)로부터 출력될 수 있다. Meanwhile, a predetermined control signal for controlling the port switching unit 420 may be output from the agent 110.

이때 상기 에이전트(110)는 상기 네트워크 컨트롤러(410)를 통해 상기 포트 스위칭 부(420)로 상기 제어신호를 출력할 수도 있지만, 별도의 적어도 하나의 컨트롤 라인(450)을 통해 상기 제어신호를 출력할 수도 있다. 이처럼 상기 적어도 하나의 컨트롤 라인(450)을 별도로 구비함으로써 상기 데이터 처리장치(100)에 설치된 불법적인 애플리케이션에 의해 상기 포트 스위칭 부(420)가 제어되는 것을 방지할 수 있으며, 오직 인가된 애플리케이션(예컨대, 상기 에이전트(110))만이 상기 포트 스위칭 부(420)를 제어할 수 있도록 한다. 또한, 상기 컨트롤 라인(450)을 별도로 구비함으로써, 상기 데이터 처리장치(100)가 상기 네트워크 장치(400)를 제어하는 과정 및/또는 인터페이스의 일관성을 유지한 채, 상기 컨트롤 라인(450)을 통해 추가적으로 상기 포트 스위칭 부(420)를 제어할 수 있다.In this case, the agent 110 may output the control signal to the port switching unit 420 through the network controller 410, but may output the control signal through at least one separate control line 450. It may be. As such, by separately providing the at least one control line 450, the port switching unit 420 may be prevented from being controlled by an illegal application installed in the data processing apparatus 100. Only the agent 110 may control the port switching unit 420. In addition, by providing the control line 450 separately, the data processing apparatus 100 controls the network device 400 and / or through the control line 450 while maintaining the consistency of the interface. In addition, the port switching unit 420 may be controlled.

한편, 상기 인가된 애플리케이션(예컨대, 상기 에이전트(110))이 소정의 악의적인 공격에 의해 종료되거나 비정상적으로 동작하는 경우에는 본 발명의 네트워크 장치(400)는 보안을 유지하기 위해 상기 네트워크 장치(400)가 어떠한 네트워크 에도 연결되지 않도록 할 수 있다. 이를 위해 본 발명의 실시 예에 따른 네트워크 디바이스 드라이버(미도시)는, 상기 데이터 처리장치(100)에 설치되어 상기 인가된 애플리케이션(예컨대, 상기 에이전트(110))이 종료 또는 비정상적인 동작을 하는 경우를 체크할 수 있다. 이를 위해 상기 네트워크 디바이스 드라이버는 상기 인가된 애플리케이션(예컨대, 상기 에이전트(110))으로부터 소정의 신호(예컨대,ACK)를 주기적으로 수신할 수 있다. 물론, 다른 다양한 구현 예에 의해 상기 인가된 애플리케이션(예컨대, 상기 에이전트(110))의 상태를 체크할 수도 있다. 만약 상기 에이전트(110)가 종료되거나 정상적인 동작을 수행하지 않는 경우, 상기 네트워크 디바이스 드라이버는 상기 컨트롤 라인(450)을 제어하여 상기 네트워크 장치(400)가 상기 네트워크 포트부(440)를 통해 연결될 수 있는 어떠한 네트워크와도 연결되지 않도록 하기 위한 소정의 강제차단신호를 상기 호스트 인터페이스(430)로 출력할 수 있다. 그러면, 상기 강제차단신호에 응답하여 상기 포트 스위칭 부(420)는 상기 네트워크 포트부(440)가 어떠한 네트워크와도 연결되지 않도록 단락될 수 있다.On the other hand, when the authorized application (eg, the agent 110) is terminated or abnormally operated by a predetermined malicious attack, the network device 400 of the present invention, the network device 400 to maintain security ) Can not be connected to any network. To this end, a network device driver (not shown) according to an exemplary embodiment of the present invention may be installed in the data processing apparatus 100 to terminate or abnormally operate the authorized application (eg, the agent 110). You can check. To this end, the network device driver may periodically receive a predetermined signal (eg, ACK) from the authorized application (eg, the agent 110). Of course, the status of the authorized application (eg, the agent 110) may be checked by various other implementations. If the agent 110 is terminated or does not perform a normal operation, the network device driver controls the control line 450 so that the network device 400 may be connected through the network port unit 440. A predetermined forced blocking signal may be output to the host interface 430 so as not to be connected to any network. Then, in response to the forced blocking signal, the port switching unit 420 may be shorted so that the network port unit 440 is not connected to any network.

한편, 본 발명의 다른 실시 예에 의하면, 상기 인가된 애플리케이션(예컨대, 에이전트(110))이 종료되거나 비정상적으로 동작하는 경우에 보안 메커니즘을 적용하기 위해, 상기 포트 스위칭 부(420)는 소정의 프로세서(미도시)를 포함할 수도 있다. 그러면, 상기 포트 스위칭 부(420)에 포함된 상기 프로세서는 상기 에이전트(110)로부터 주기적으로 제어신호를 수신할 수 있고, 수신된 제어신호에 따라 포트 스위칭 부(420)를 제어하여 상기 제어신호에 상응하는 네트워크와 상기 데이터 처리장치(100)가 연결되도록 할 수 있다. 이때, 상기 프로세서가 상기 에이전 트(110)로부터 미리 설정된 시간 동안 아무런 제어신호를 수신하지 않는 경우, 상기 프로세서는 상기 네트워크 포트부(440)의 어느 네트워크 포트와도 상기 데이터 처리장치(100)가 연결되지 않도록 상기 포트 스위칭 부(420)를 단락시킬 수 있다. 즉, 상기 에이전트(110)는 주기적으로 상기 제어신호를 상기 포트 스위칭 부(420)로 전송하도록 되어 있는데, 상기 제어신호가 일정 시간 동안 이상 수신되지 않는 경우에는 상기 에이전트(110)가 악의적 공격에 의해 종료되거나 비정상적인 행동을 수행하고 있을 수 있으므로, 이때에는 상기 데이터 처리장치(100)가 어떠한 네트워크와도 연결되지 않도록 제어함으로써 소정의 네트워크에 연결되어 있는 동안은 상기 에이전트(110)에 의해 보안 메커니즘이 가동됨을 보장받을 수 있다.Meanwhile, according to another exemplary embodiment of the present disclosure, in order to apply a security mechanism when the authorized application (eg, the agent 110) terminates or operates abnormally, the port switching unit 420 may include a predetermined processor. It may also include (not shown). Then, the processor included in the port switching unit 420 may periodically receive a control signal from the agent 110, and controls the port switching unit 420 according to the received control signal to the control signal. A corresponding network and the data processing device 100 may be connected. At this time, when the processor does not receive any control signal from the agent 110 for a predetermined time, the processor is the data processing apparatus 100 with any network port of the network port unit 440 The port switching unit 420 may be shorted so as not to be connected. That is, the agent 110 is configured to periodically transmit the control signal to the port switching unit 420. When the control signal is not received for a predetermined time or more, the agent 110 is attacked by a malicious attack. In this case, the security mechanism is operated by the agent 110 while being connected to a predetermined network by controlling the data processing apparatus 100 not to be connected to any network. Can be guaranteed.

상기 컨트롤 라인(450)의 개수는 상기 네트워크 포트부(440)에 포함되는 네트워크 포트의 개수에 따라 달라질 수 있다. 즉, 2개의 네트워크 포트를 선택하기 위해서는 최소 1개의 컨트롤 라인(450)이 필요할 수 있다. 구현 예에 따라서는, 어느 네트워크 포트와도 연결되지 않은 상태를 위한 제어신호가 필요할 수도 있다. 따라서, 본 발명의 실시 예에 따른 네트워크 장치(400)는 2 개의 네트워크 포트를 위해서 적어도 2개의 컨트롤 라인(450)이 구비되는 경우를 일 예로 설명한다. The number of control lines 450 may vary depending on the number of network ports included in the network port unit 440. That is, at least one control line 450 may be required to select two network ports. In some implementations, a control signal for a state in which no network port is connected may be required. Therefore, the network device 400 according to an embodiment of the present invention will be described as an example in which at least two control lines 450 are provided for two network ports.

도 6a 내지 도 6c는 본 발명의 실시 예에 따른 네트워크 장치의 포트 스위칭 부의 동작을 설명하기 위한 도면이다.6A to 6C are diagrams for describing an operation of a port switching unit of a network device according to an embodiment of the present invention.

먼저, 도 6a를 참조하면, 본 발명의 실시 예에 따른 포트 스위칭 부(420)는 컨트롤 신호의 값이 "11" 이나 "00"인 경우에는 상기 네트워크 컨트롤러(410)가 어느 네트워크 포트와도 연결되지 않도록 제어한다. 즉, 데이터 처리장치(100)는 물 리적으로 네트워크에 접속되지 않은 상태가 된다. First, referring to FIG. 6A, when the value of the control signal is “11” or “00”, the port switching unit 420 according to the embodiment of the present invention connects the network controller 410 to any network port. Control not to. That is, the data processing apparatus 100 is in a state where it is not physically connected to the network.

도 6b를 참조하면, 상기 데이터 처리장치(100) 즉, 상기 에이전트(110)로부터 "01"의 제어신호가 수신된 경우, 상기 포트 스위칭 부(420)는 상기 네트워크 컨트롤러(410)를 제1네트워크 포트(141)에 연결할 수 있다. 이때는 상기 제1네트워크 포트(441)를 제외한 나머지 네트워크 포트는 모두 단락될 수 있다. Referring to FIG. 6B, when a control signal of “01” is received from the data processing apparatus 100, that is, the agent 110, the port switching unit 420 may connect the network controller 410 to the first network. Port 141 may be connected. In this case, all network ports except for the first network port 441 may be shorted.

또한, 도 6c를 참조하면, 상기 에이전트(110)로부터 "10"의 제어신호가 수신된 경우, 상기 포트 스위칭 부(420)는 상기 네트워크 컨트롤러(410)를 제2네트워크 포트(442)에 연결할 수 있다. 물론, 상기 제2네트워크 포트(442)를 제외한 나머지 네트워크 포트는 모두 단락될 수 있다. In addition, referring to FIG. 6C, when a control signal of “10” is received from the agent 110, the port switching unit 420 may connect the network controller 410 to the second network port 442. have. Of course, all network ports except for the second network port 442 may be shorted.

따라서, 상기 데이터 처리장치(100)의 특정 프로그램(예컨대, 상기 에이전트(110))은 상기 제어신호를 상기 컨트롤 라인(450)을 통해 상기 포트 스위칭 부(420)로 출력함으로써, 선택적으로 제1네트워크 및 제2네트워크에 접속되며 동시에 접속되는 경우가 발생하지 않으며, 접속된 네트워크 이외의 네트워크와는 물리적으로 단락시킴으로써 인터넷과 같은 개방형 네트워크를 통해 인트라넷 등과 같은 네트워크 환경에서의 응용 프로그램 및/또는 정보의 불법적 접근이나 악의적 공격을 원천적으로 차단할 수 있다. 상기 포트 스위칭 부(420)가 상술한 바와 같은 스위칭 기능을 수행하기 위해서는 다양한 실시 예가 가능할 수 있음은, 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.Therefore, the specific program (eg, the agent 110) of the data processing apparatus 100 outputs the control signal to the port switching unit 420 through the control line 450, thereby selectively providing the first network. And the second network is not connected to the network at the same time, and is physically short-circuited with a network other than the network to which the second network is connected. Access or malicious attacks can be blocked at source. It can be easily inferred by the average expert in the art that the port switching unit 420 may have various embodiments in order to perform the switching function as described above.

한편, 상기 네트워크 장치(400)의 초기화 상태 예컨대, 상기 네트워크 장치(400)가 파워 온 되는 경우에는 특정 네트워크 포트(예컨대, 제1네트워크 포 트(441) 또는 제2네트워크 포트(442) 중 어느 하나)에 항상 연결되도록 상기 포트 스위칭 부(420)는 세팅될 수 있다. 예컨대, 초기화 상태에서는 항상 안전한 인트라넷 망에 접속되도록 할 수 있으며, 보안성이 취약한 인터넷 망에 접속되기 위해서는 인위적으로 상기 에이전트(110)로부터 소정의 제어신호를 수신해야만 상기 인터넷 망에 접속이 되도록 할 수 있다.On the other hand, when the network device 400 is initialized, for example, when the network device 400 is powered on, one of a specific network port (for example, the first network port 441 or the second network port 442). The port switching unit 420 may be set so as to always be connected. For example, in the initialization state, it may always be connected to a secure intranet network, and in order to be connected to an insecure internet network, it may be connected to the internet network only by receiving a predetermined control signal from the agent 110 artificially. have.

또한, 상기 제1네트워크 포트(441)와 상기 제2네트워크 포트(442)는 서로 다른 타입의 네트워크 포트로 구현될 수 있다. 예컨대, 상기 제1네트워크 포트(441)는 RJ-11 타입으로, 상기 제2네트워크 포트(442)는 RJ-45 타입으로 구현될 수 있다. 이처럼 서로 다른 타입의 네트워크 포트를 이용함으로써, 물리적으로 상기 데이터 처리장치(100)가 연결될 네트워크를 구분할 수 있다. In addition, the first network port 441 and the second network port 442 may be implemented as different types of network ports. For example, the first network port 441 may be implemented as an RJ-11 type, and the second network port 442 may be implemented as an RJ-45 type. By using different types of network ports as described above, the network to which the data processing apparatus 100 is physically connected can be distinguished.

다시 도 1을 참조하면, 상기 메모리 장치(200)를 이용해 전술한 바와 같이 사용자의 인증절차가 수행될 수 있다. 사용자의 인증이 성공되면, 사용자는 제1네트워크(예컨대, 인트라넷) 사용 환경에서는 상기 제1네트워크 환경에서 허락된 모든 응용프로그램(애플리케이션)을 사용할 수 있으며, 상기 데이터 처리장치(100)에 구비된 저장장치(예컨대, 하드 디스크 등)에도 접근이 가능할 수 있다. 즉, 상기 데이터 처리장치(100)의 기본 사용 환경인 상기 제1네트워서에서는 사용자는 적은 제약으로 필요한 작업을 수행할 수 있다. 제1네트워크에서 환경에서의 사용자의 제약으로는 상기 에이전트(110) 자체에 대한 접근 또는 상기 메모리 장치(200)의 접근 중 일부의 접근(예컨대, 사용자 인증정보에 대한 접근 등)을 일 예로 들 수 있다.Referring back to FIG. 1, a user authentication process may be performed using the memory device 200 as described above. If the user's authentication is successful, the user can use all the applications (applications) allowed in the first network environment in the first network (eg, intranet) use environment, and the storage provided in the data processing apparatus 100 can be used. Devices (eg, hard disks, etc.) may also be accessible. That is, in the first network, which is a basic use environment of the data processing apparatus 100, a user may perform necessary tasks with little restriction. Restriction of a user in an environment in a first network may include, for example, access of the agent 110 itself or access of a part of the memory device 200 (eg, access to user authentication information). have.

사용자는 상기 에이전트(110) 자체에 접근하여, 필요한 기능 또는 설정을 변경할 수 없는 것이 바람직하다. 또한, 제1네트워크 사용 환경에서 상기 메모리 장치(200)에 소정의 파일을 저장할 때에 암호화가 수행되지 않고 바로 저장될 수도 있지만, 상기 메모리 장치(200)에 소정의 파일이 저장될 때에는 암호화되어 저장될 수도 있다. 따라서, 상기 데이터 처리장치(100)와 분리되어 독립적으로 관리될 수 있는 상기 메모리 장치(200)의 보안을 보장할 수 있다. 암호화 프로세스는 상기 에이전트(110)에 의해 수행될 수 있다. 구현 예에 따라서는 상기 메모리 장치(200)에 소정의 프로세서가 구비된 경우, 상기 메모리 장치(200)에 의해 암호화 프로세스가 수행될 수도 있다.It is preferable that a user cannot access the agent 110 itself and change necessary functions or settings. In addition, when the predetermined file is stored in the memory device 200 in the first network use environment, encryption may be performed without performing the encryption. However, when the predetermined file is stored in the memory device 200, the encrypted file may be stored. It may be. Therefore, security of the memory device 200, which can be managed separately from the data processing device 100, can be guaranteed. An encryption process can be performed by the agent 110. According to an exemplary embodiment, when a predetermined processor is provided in the memory device 200, an encryption process may be performed by the memory device 200.

예컨대, 상기 에이전트(110)는 상기 데이터 처리장치(100)가 상기 메모리 장치(200)에 파일을 쓰려고 하는 경우, 소정의 암호화방식을 이용하여 암호화를 진행한 후 저장할 수 있다. 상기 에이전트(110)는 상기 메모리 장치(200)의 고유식별번호를 암호화키로 사용하여 암호화를 수행할 수 있다.For example, when the data processing apparatus 100 attempts to write a file to the memory device 200, the agent 110 may perform encryption using a predetermined encryption method and store the encrypted data. The agent 110 may perform encryption by using the unique identification number of the memory device 200 as an encryption key.

한편, 사용자가 제1네트워크 환경에서 상기 데이터 처리장치(100)를 사용하다가 제2네트워크에 접속할 필요가 있을 수 있다.Meanwhile, a user may need to access the second network while using the data processing apparatus 100 in the first network environment.

이때에는 도 2에 도시된 바와 같은 절차가 진행될 수 있다.At this time, a procedure as shown in FIG. 2 may proceed.

도 2는 본 발명의 실시 예에 따른 메모리 장치를 이용한 망 이중화 시스템 제공방법의 데이터 흐름도를 나타낸다.2 is a data flowchart of a method of providing a network redundancy system using a memory device according to an embodiment of the present invention.

도 1 및 도 2를 참조하면, 전술한 바와 같이 상기 에이전트(110)는 메모리 장치(200)에서 인증정보를 추출하여 사용자를 인증할 수 있으며(S100), 사용자는 기본 네트워크 환경인 제1네트워크에서 본 발명의 실시 예에 따른 망 이중화 시스템을 사용할 수 있다(S110).1 and 2, as described above, the agent 110 may extract authentication information from the memory device 200 to authenticate a user (S100). A network redundancy system according to an embodiment of the present invention may be used (S110).

그 후, 사용자는 상기 에이전트(110)에게 네트워크 전환을 요청할 수 있다(S120). 네트워크 전환을 요청하기 위해 사용자는 상기 에이전트(110)가 제공하는 소정의 UI(예컨대, 버튼 등)를 선택할 수 있다. 그러면, 상기 에이전트(110)는 네트워크 환경을 전환하기 위해 소정의 과정을 수행한다.Thereafter, the user may request the agent 110 to switch the network (S120). To request network switching, the user may select a predetermined UI (eg, a button, etc.) provided by the agent 110. Then, the agent 110 performs a predetermined process to switch the network environment.

먼저 상기 에이전트(110)는 제1네트워크의 사용환경에서 실행되고 있는 모든 응용 프로그램을 종료할 수 있다(S130). 물론, 상기 모든 응용 프로그램에는 상기 에이전트(110)는 포함되지 않는다.First, the agent 110 may terminate all the application programs running in the usage environment of the first network (S130). Of course, the agent 110 is not included in all the applications.

그 후, 상기 에이전트(110)는 전술한 바와 같이 상기 네트워크 장치(400)로 소정의 제어신호를 출력하여, 상기 네트워크 컨트롤러(410)가 상기 제1네트워크 포트(441)와는 단락되고, 상기 제2네트워크 포트(442)와는 연결되도록 할 수 있다(S140).Thereafter, the agent 110 outputs a predetermined control signal to the network device 400 as described above, so that the network controller 410 is shorted with the first network port 441, and the second It may be connected to the network port 442 (S140).

그러면, 상기 데이터 처리장치(100)는 제2네트워크에 접속하게 된다(S150).Then, the data processing apparatus 100 is connected to the second network (S150).

상기 제2네트워크는 상기 데이터 처리장치(100)의 기본환경이 아니므로, 보안상 또는 기능상 여러 가지 사용환경의 제약 즉, 보안 메커니즘이 필요할 수 있다.Since the second network is not a basic environment of the data processing apparatus 100, a security mechanism or a restriction of various usage environments may be necessary for security or function.

본 발명의 일 실시 예에 의하면 상기 보안 메커니즘은 제2네트워크 환경에서는 상기 메모리 장치(200) 또는 전술한 바와 같은 상기 데이터 처리장치(100)의 저장장치(미도시)의 특정 영역에 저장된 응용프로그램만이 실행되는 메커니즘을 포함 할 수 있다. According to an embodiment of the present invention, the security mechanism is a second network environment, but only an application program stored in a specific area of the memory device 200 or a storage device (not shown) of the data processing device 100 as described above. This may include the mechanism by which it is executed.

상기 메모리 장치(200) 또는 상기 특정 영역에 저장된 응용프로그램만이 실행되도록 하기 위해 도 3에 도시된 바와 같은 과정이 수행될 수 있다.A process as shown in FIG. 3 may be performed to execute only an application program stored in the memory device 200 or the specific region.

도 3은 본 발명의 실시 예에 따른 망 이중화 시스템의 보안 메커니즘의 데이터 흐름을 나타낸다.3 illustrates a data flow of a security mechanism of a network redundancy system according to an embodiment of the present invention.

도 3을 참조하면, 상기 에이전트(110)는 제2네트워크 환경에서 호출되는 응용프로그램을 모니터링(monitoring) 할 수 있다(S151). 그러면 상기 에이전트(110)는 호출된 응용프로그램이 상기 메모리 장치(200)에 저장된 응용 프로그램인지를 판단할 수 있다(S152). 구현 예에 따라 상기 데이터 처리장치(100)에 구비된 저장장치(미도시)의 특정영역이 상기 메모리 장치(200)의 역할을 수행할 수 있음은 전술한 바와 같다. 즉, 상기 에이전트(110)는 호출된 응용프로그램이 상기 특정영역에 저장된 응용 프로그램인지 여부를 판단할 수도 있다. 상기 메모리 장치(200) 또는 상기 특정영역에 저장된 응용 프로그램이 호출되었는지 여부는 상기 응용 프로그램 자체가 호출되는 경우인지 여부뿐만 아니라, 호출된 응용프로그램에 대응되는 응용프로그램이 상기 메모리 장치(200)에 저장되어 있는지 여부를 포함하는 의미로 사용될 수 있다.Referring to FIG. 3, the agent 110 may monitor an application program called in a second network environment (S151). Then, the agent 110 may determine whether the called application program is an application program stored in the memory device 200 (S152). As described above, a specific region of a storage device (not shown) included in the data processing device 100 may serve as the memory device 200 according to an embodiment. That is, the agent 110 may determine whether the called application program is an application program stored in the specific area. Whether an application program stored in the memory device 200 or the specific region is called is not only whether the application program itself is called, but also an application program corresponding to the called application program is stored in the memory device 200. It can be used to mean whether it is.

예컨대, 상기 에이전트(110)는 사용자로부터 OS로 출력되는 응용프로그램의 호출을 후킹(hooking)하고, 후킹된 응용프로그램의 호출에 대응되는 응용프로그램이 상기 메모리 장치(200) 또는 특정영역에 존재하면 상기 메모리 장치(200) 또는 특정영역에 저장된 응용프로그램으로 경로 또는 메시지를 변경할 수 있다. 예컨대, 상기 데이터 처리장치(100)에 저장된 웹 브라우저가 호출되는 경우, 상기 메모리 장치(200) 또는 상기 특정영역에 저장된 상기 웹 브라우저에 대응되는 보안 웹 클라이언트가 호출될 수 있다. For example, the agent 110 hooks a call of an application program output from a user to an OS, and if the application program corresponding to the call of the hooked application program exists in the memory device 200 or a specific region, The path or the message may be changed by the application stored in the memory device 200 or a specific region. For example, when a web browser stored in the data processing apparatus 100 is called, a secure web client corresponding to the web browser stored in the memory device 200 or the specific region may be called.

만약 호출된 응용프로그램에 대응되는 응용프로그램이 상기 메모리 장치(200) 또는 상기 특정영역에 존재하지 않는 경우 아무런 응용프로그램도 수행되지 않을 수 있다. If an application program corresponding to the called application program does not exist in the memory device 200 or the specific region, no application program may be executed.

상기 메모리 장치(200) 또는 상기 특정영역에 저장된 응용프로그램은 제2네트워크 환경에서 사용이 허락된 인증된 응용프로그램일 수 있다. 특히, 상기 응용프로그램은 상기 제2네트워크가 인터넷인 경우 보안 웹 클라이언트(예컨대, 웹 브라우저)를 포함할 수 있다.The application program stored in the memory device 200 or the specific area may be an authenticated application program that is permitted to be used in a second network environment. In particular, the application may include a secure web client (eg, a web browser) when the second network is the Internet.

상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 자체적으로 보안 메커니즘을 가질 수 있다. 예컨대, 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 상기 메모리 장치(200) 또는 상기 특정영역에 저장되며, 이동이 되지 않도록 설정될 수 있다. The secure web client (eg, web browser) may have its own security mechanism. For example, the secure web client (for example, a web browser) may be stored in the memory device 200 or the specific area, and may be set to not move.

즉, 본 발명의 실시 예에 따른 망 이중화 시스템의 보안 메커니즘이 메모리 장치(200)를 이용해 제공되는 경우에, 상기 보안 웹 클라이언트는 상기 메모리 장치(200)에 저장되어 있고, 상기 데이터 처리장치(100)에 설치되지 않으며, 상기 메모리 장치(200)를 통해서만 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)가 실행될 수 있다.That is, when the security mechanism of the network redundancy system according to the embodiment of the present invention is provided using the memory device 200, the secure web client is stored in the memory device 200 and the data processing device 100. ), The secure web client (eg, a web browser) may be executed only through the memory device 200.

또한, 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 상기 보안 웹 클라 이언트(예컨대, 웹 브라우저)를 통해 일어나는 디스크 I/O는 상기 메모리 장치(200)로만 일어나도록 제어할 수 있다. 즉, 상기 데이터 처리장치(100)에 구비된 다른 저장장치로의 I/O가 일어나는 것을 방지할 수 있다. 따라서, 기본 사용환경이 제1네트워크 환경에 영향을 미치지 않도록 할 수 있다. 예컨대, 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 웹 브라우징 시에 자동 또는 수동으로 설치될 수 있는 ActiveX 등과 같은 프로그램이 설치되는 것을 방지할 수 있다. 물론, ActiveX 뿐만 아니라, 모든 기타 파일들도 상기 데이터 처리장치(100)에 저장되는 것을 방지하도록 할 수 있다.In addition, the secure web client (eg, web browser) may control the disk I / O occurring through the secure web client (eg, web browser) to occur only to the memory device 200. That is, I / O to other storage devices provided in the data processing apparatus 100 may be prevented from occurring. Therefore, it is possible to prevent the basic use environment from affecting the first network environment. For example, the secure web client (eg, web browser) can prevent the installation of a program such as an ActiveX, which can be installed automatically or manually during web browsing. Of course, not only ActiveX but also all other files can be prevented from being stored in the data processing apparatus 100.

구현 예에 따라 본 발명의 실시 예에 따른 망 이중화 시스템의 보안 메커니즘이 상기 특정영역(예컨대, 가상 드라이브)를 이용해 제공되는 경우, 상기 보안 웹 클라이언트는 상기 특정영역에 저장되어 있고, 상기 데이터 처리장치(100)의 다른 영역에는 설치되지 않으며, 상기 특정영역을 통해서만 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)가 실행될 수 있다.According to an embodiment, when a security mechanism of a network redundancy system according to an embodiment of the present invention is provided using the specific area (eg, a virtual drive), the secure web client is stored in the specific area, and the data processing device The secure web client (for example, a web browser) may be executed only through the specific area.

또한, 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)를 통해 일어나는 디스크 I/O는 상기 특정영역으로만 일어나도록 제어할 수 있다. 즉, 상기 데이터 처리장치(100)에 구비된 다른 저장영역으로의 I/O가 일어나는 것을 방지할 수 있다.In addition, the secure web client (eg, web browser) may control the disk I / O occurring through the secure web client (eg, web browser) to occur only in the specific area. That is, it is possible to prevent I / O to occur in another storage area provided in the data processing apparatus 100.

한편, 상기 보안 웹 클라이언트가 상기 제2네트워크 환경에서 실행되는 동안 소정의 임시파일들이 생성 및 저장될 수 있는데, 상기 임시파일들은 상기 데이터 처리장치(100)에 구비된 메모리(예컨대, 메인 메모리(RAM) 등)의 일부 지정된 영역 에 저장될 수 있다. 즉, 상기 메모리의 일부 영역이 임시파일이 저장될 영역으로 설정될 수 있으며, 임시파일이 상기 메모리의 일부 영역에 저장되도록 함으로써 상기 임시파일은 상기 메모리 장치(200) 또는 상기 데이터 처리장치(100)에 구비된 저장장치에 저장되는 경우와 달리 시스템의 종료 또는 전원이 차단될 경우에 저장된 상기 임시파일도 모두 없어지는 특성을 가진다. 따라서 시스템의 종료 후 기본네트워크 환경인 제1네트워크 환경으로 다시 시스템이 파워온 되더라도 제2네트워크 환경의 산물인 임시파일은 모두 없어진 상태로 시스템이 초기화되는 효과를 갖는다.Meanwhile, predetermined temporary files may be generated and stored while the secure web client is executed in the second network environment. The temporary files may be a memory (eg, a main memory (RAM) provided in the data processing apparatus 100). Can be stored in some designated area). That is, a partial area of the memory may be set as an area in which the temporary file is to be stored, and the temporary file is stored in the partial area of the memory so that the temporary file is stored in the memory device 200 or the data processing device 100. Unlike the case in which the storage device is provided in the storage device, all of the temporary files stored when the system is shut down or powered off are also lost. Accordingly, even after the system is shut down, even if the system is powered on to the first network environment, the temporary network, which is a product of the second network environment, is lost.

만약, 상기 제2네트워크 환경에서 상기 제1네트워크 환경으로 상기 데이터 처리장치(100)의 네트워크 환경이 변경되는 경우에는 상기 에이전트(110)가 상기 메모리의 일부 영역에 저장된 임시파일들을 삭제하는 기능을 수행한다. 따라서, 개방형 네트워크 환경에서 생성된 임시파일들로 인해 발생 가능한 정보 보안의 문제점 및 시스템이 공격받을 수 있는 요소를 완전히 제거할 수 있는 효과가 있다.If the network environment of the data processing apparatus 100 is changed from the second network environment to the first network environment, the agent 110 performs a function of deleting temporary files stored in some regions of the memory. do. Therefore, there is an effect that can completely eliminate the problem of information security that can occur due to the temporary files created in the open network environment and the elements that can be attacked by the system.

도 4는 본 발명의 실시 예에 따른 디스크 I/O 제어 과정을 나타내는 도면이다.4 is a diagram illustrating a disk I / O control process according to an embodiment of the present invention.

도 4를 참조하면, 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 상기 데이터 처리장치(100)에서 디스크 I/O(예컨대, 파일 저장 등)가 발생하는 경우, 상기 디스크 I/O를 모니터링 할 수 있다(S153). 그리고 상기 디스크 I/O에 포함된 경로 정보가 상기 메모리 장치(200)(또는 상기 특정영역)가 아닌 경우에는 사용자의 동의하에 또는 자동으로 상기 메모리 장치(200)(또는 상기 특정영역)로 디스크 I/O가 일어날 경로를 변경할 수 있다(S154). 또는 사용자가 디스크 I/O의 경로를 지정하여야 하는 경우, 상기 데이터 처리장치(100)에 구비된 저장장치에 대응되는 경로의 지정을 디스에이블(disable) 시킬 수도 있다.Referring to FIG. 4, the secure web client (eg, a web browser) may monitor the disk I / O when a disk I / O (eg, file storage, etc.) occurs in the data processing apparatus 100. There is (S153). If the path information included in the disk I / O is not the memory device 200 (or the specific area), the disk I is automatically transferred to the memory device 200 (or the specific area) with the user's consent or automatically. It is possible to change the path where the / O will occur (S154). Alternatively, when a user needs to designate a path of the disk I / O, the designation of a path corresponding to the storage provided in the data processing apparatus 100 may be disabled.

그 후 상기 데이터 처리장치(100)는 지정된 경로로 디스크 I/O를 수행할 수 있다.Thereafter, the data processing apparatus 100 may perform disk I / O with a designated path.

이처럼, 본 발명의 실시 예에 따른 망 이중화 방법은 상기 메모리 장치(200)(또는 상기 특정영역)에 저장된 응용 프로그램만이 실행되도록 하는 메커니즘 및/또는 상기 응용 프로그램 자체가 가지는 메커니즘을 포함할 수 있다.As such, the network redundancy method according to the embodiment of the present invention may include a mechanism for executing only an application program stored in the memory device 200 (or the specific region) and / or a mechanism of the application program itself. .

또한, 본 발명의 실시 예에 따른 망 이중화 방법은 상기 에이전트(110)를 통해 디스크 I/O를 추가적으로 제어할 수 있다. In addition, the network redundancy method according to an embodiment of the present invention may further control disk I / O through the agent 110.

예컨대, 제2네트워크 환경에서 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)에 의한 디스크 I/O가 아닌 경우, 또는 기타 다른 프로세스 연산에서 디스크 I/O가 일어나는 경우 상기 에이전트(110)는 상기 메모리 장치(200)(또는 상기 특정영역)에서만 디스크 I/O가 일어나도록 제어할 수 있다. 상기 에이전트(110)가 디스크 I/O를 수행하는 과정은 도 4에서 설명한 것과 유사하므로 상세한 설명은 생략한다.For example, when the disk I / O is not performed by the secure web client (eg, a web browser) in a second network environment, or when disk I / O occurs in another process operation, the agent 110 may be configured to execute the memory device ( 200) (or the specific region), it is possible to control the disk I / O to occur. Since the process of the agent 110 performing the disk I / O is similar to that described in FIG. 4, a detailed description thereof will be omitted.

상술한 바와 같이, 본 발명의 실시 예에 따른 망 이중화 시스템은 기본 사용환경이 아닌 제2네트워크 환경에서는 인증된(즉, 메모리 장치(200)(또는 상기 특정영역)에 저장된) 응용 프로그램의 실행만을 허용하며, 디스크 I/O역시 메모리 장치(200)(또는 상기 특정영역)를 통해서만 일어나도록 함으로써 제1네트워크와 물리 적/논리적으로 분리된 이중화 방법을 제시할 수 있다.As described above, the network redundancy system according to the embodiment of the present invention only executes an application program that is authenticated (that is, stored in the memory device 200 (or the specific area)) in the second network environment, not the basic use environment. Allowing the disk I / O to occur only through the memory device 200 (or the specific region) can provide a duplication method physically and logically separated from the first network.

한편, 제2네트워크 환경에서 사용자는 다시 제1네트워크 환경으로 네트워크 전환 요청을 상기 에이전트(110)에게 할 수 있다.Meanwhile, in the second network environment, the user may make a request for the network switch back to the first network environment to the agent 110.

그러면, 상기 에이전트(110)는 상기 제2네트워크 환경에서의 응용 프로그램 및 프로세스를 종료하며, 상기 제2네트워크 포트(442)를 단락시키고 상기 제1네트워크 포트(441)를 상기 네트워크 컨트롤러와 연결시키며, 그에 따라 상기 제1네트워크에 접속할 수 있다.Then, the agent 110 terminates applications and processes in the second network environment, shorts the second network port 442 and connects the first network port 441 with the network controller. As a result, the first network can be accessed.

제2네트워크 환경은 기본 사용 환경이 아니므로 보안상 취약할 수 있으므로, 상기 에이전트(110)는 제2네트워크 환경에서 수행되던 응용 프로그램뿐만 아니라, 사용자 프로세스도 강제로 종료할 수 있다. 왜냐하면 제2네트워크 환경에서 수행되던 프로세스가 종료되지 않으면 제1네트워크 환경으로 변환된 뒤에도 제1네트워크 환경에서 상기 데이터 처리장치(100)에 소정의 연산을 수행하는 등의 작업을 통해 상기 데이터 처리장치(100)에 영향을 미칠 수 있기 때문이다.Since the second network environment is not a basic use environment and thus may be vulnerable for security, the agent 110 may forcibly terminate not only an application program executed in the second network environment, but also a user process. If the process that is performed in the second network environment is not terminated, the data processing device (eg, by performing a predetermined operation on the data processing device 100 in the first network environment even after being converted to the first network environment) Because it may affect 100).

그 후 사용자는 다시 기본 사용환경인 제1네트워크에서 최소한의 제약으로 상기 데이터 처리장치(100)를 사용할 수 있다. 제1네트워크 환경에서는 상기 메모리 장치(200)(또는 상기 특정영역)에 접근 및/또는 사용을 제약할 수도 있으며, 정책에 따라 제1네트워크 환경에서는 상기 메모리 장치(200)(또는 상기 특정영역)에 접근 및/또는 사용을 허용할 수도 있다.Thereafter, the user may use the data processing apparatus 100 with minimal restrictions in the first network, which is a basic use environment. In a first network environment, access and / or use of the memory device 200 (or the specific area) may be restricted, and in the first network environment, the memory device 200 (or the specific area) may be restricted. It may also allow access and / or use.

본 발명의 실시 예에 따른 이용한 망 이중화 시스템 제공방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 USB저장장치, ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The method for providing a network redundancy system according to an embodiment of the present invention may be embodied as computer readable codes on a computer readable recording medium. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media include USB storage devices, ROMs, RAM, CD-ROMs, magnetic tapes, hard disks, floppy disks, optical data storage devices, and the like. Transmission). The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion. And functional programs, codes and code segments for implementing the present invention can be easily inferred by programmers in the art to which the present invention belongs.

본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.Although the present invention has been described with reference to one embodiment shown in the drawings, this is merely exemplary, and those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.BRIEF DESCRIPTION OF THE DRAWINGS In order to better understand the drawings cited in the detailed description of the invention, a brief description of each drawing is provided.

도 1은 본 발명의 실시 예에 따른 망 이중화 시스템의 개략적인 구성도를 나타낸다.1 is a schematic diagram of a network redundancy system according to an exemplary embodiment of the present invention.

도 2는 본 발명의 실시 예에 따른 망 이중화 시스템 제공방법의 데이터 흐름도를 나타낸다.2 is a data flowchart of a method for providing a network redundancy system according to an exemplary embodiment of the present invention.

도 3은 본 발명의 실시 예에 따른 망 이중화 시스템 제공방법의 보안 메커니즘의 데이터 흐름을 나타낸다.3 illustrates a data flow of a security mechanism of a method for providing a network redundancy system according to an exemplary embodiment of the present invention.

도 4는 본 발명의 실시 예에 따른 망 이중화 시스템의 디스크 I/O 제어 과정을 나타내는 도면이다.4 is a diagram illustrating a disk I / O control process of a network duplication system according to an exemplary embodiment of the present invention.

도 5는 본 발명의 실시 예에 따른 망 이중화 시스템의 네트워크 장치의 개략적인 구성을 나타내는 도면이다.5 is a diagram illustrating a schematic configuration of a network device of a network redundancy system according to an embodiment of the present invention.

도 6a 내지 도 6c는 본 발명의 실시 예에 따른 네트워크 장치의 포트 스위칭 부의 동작을 설명하기 위한 도면이다.6A to 6C are diagrams for describing an operation of a port switching unit of a network device according to an embodiment of the present invention.

Claims (21)

서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치; 및A data processing device including a network device selectively connected to a first network and a second network having different network environments; And 상기 데이터 처리장치에 설치된 에이전트를 포함하며,An agent installed in the data processing apparatus, 상기 데이터 처리장치가 상기 제2네트워크에 접속하는 경우, 상기 에이전트는 상기 데이터 처리장치에 탈부착 가능한 메모리 장치 또는 상기 데이터 처리장치에 구비된 저장장치의 특정영역에 저장된 응용프로그램 이외의 응용프로그램의 실행을 막는 것을 특징으로 하는 망 이중화 시스템.When the data processing apparatus connects to the second network, the agent executes execution of an application program other than an application program stored in a specific area of a memory device detachable from the data processing apparatus or a storage device included in the data processing apparatus. Network redundancy system characterized in that it prevents. 제 1항에 있어서, 상기 네트워크 장치는,The method of claim 1, wherein the network device, 상기 데이터 처리장치가 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와는 단락되는 것을 특징으로 하는 망 이중화 시스템.And when the data processing apparatus is connected to either the first network or the second network, short-circuits with the other unconnected networks. 제 1항에 있어서, 상기 메모리 장치는,The memory device of claim 1, wherein the memory device comprises: 사용자 인증 정보를 저장하며,Stores your credentials, 상기 에이전트는 상기 메모리 장치에 저장된 상기 사용자 인증 정보에 기초하여 상기 제1네트워크 환경에서 사용자를 인증하는 이용한 망 이중화 시스템.And the agent authenticates a user in the first network environment based on the user authentication information stored in the memory device. 제 2항에 있어서, 상기 네트워크 장치는,The method of claim 2, wherein the network device, 상기 제1네트워크에 연결되기 위한 제1네트워크 포트 및 상기 제2네트워크에 연결되기 위한 제2네트워크 포트를 포함하는 네트워크 포트부;A network port unit including a first network port for connecting to the first network and a second network port for connecting to the second network; 상기 데이터 처리장치와 인터페이싱하기 위한 호스트 인터페이스부;A host interface for interfacing with the data processing device; 네트워크 컨트롤러; 및Network controller; And 상기 네트워크 컨트롤러와 상기 네트워크 포트부에 포함된 네트워크 포트 중 어느 하나가 연결되고, 나머지 네트워크 포트는 단락시키기 위한 스위칭 회로를 포함하는 포트 스위칭부를 포함하는 망 이중화 시스템..And one of a network port included in the network controller and the network port unit is connected, and the other network port includes a port switching unit including a switching circuit for shorting. 제 4항에 있어서, 상기 에이전트는,The method of claim 4, wherein the agent, 제1네트워크 환경에서 제2네트워크 환경으로 전환되는 경우,When switching from the first network environment to the second network environment, 상기 제1네트워크 환경에서의 응용 프로그램 및 프로세스를 종료하며, Terminating applications and processes in the first network environment; 상기 제1네트워크 포트를 단락시키고 상기 제2네트워크 포트와 상기 네트워크 컨트롤러를 연결시키기 위해 제1제어신호를 상기 네트워크 장치로 출력하는 망 이중화 시스템.And outputting a first control signal to the network device for shorting the first network port and connecting the second network port and the network controller. 제 4항에 있어서, 상기 에이전트는,The method of claim 4, wherein the agent, 상기 제2네트워크 환경에서 상기 메모리 장치 또는 상기 저장장치의 특정영역에서만 디스크 I/O가 일어나도록 제어하는 망 이중화 시스템.And network I / O only occurs in a specific region of the memory device or the storage device in the second network environment. 제 5항에 있어서, 상기 에이전트는,The method of claim 5, wherein the agent, 상기 제2네트워크 환경에서 상기 제1네트워크 환경으로 전환되는 경우,When switching from the second network environment to the first network environment, 상기 제2네트워크 환경에서의 응용 프로그램 및 프로세스를 종료하며, Terminating applications and processes in the second network environment; 상기 제2네트워크 포트를 단락시키고 상기 제1네트워크 포트와 상기 네트워크 컨트롤러를 연결시키기 위해 제2제어신호를 상기 네트워크 장치로 출력하는 망 이중화 시스템.And outputting a second control signal to the network device for shorting the second network port and connecting the first network port and the network controller. 제 1항에 있어서, 상기 제1네트워크 및 상기 제2네트워크는,The method of claim 1, wherein the first network and the second network, 각각 인트라넷 및 인터넷인 망 이중화 시스템.Network redundancy systems, which are intranets and the Internet, respectively. 제 1항에 있어서, 상기 메모리 장치 또는 상기 저장장치의 특정영역에 저장된 응용프로그램은,The method of claim 1, wherein the application program stored in the memory device or a specific area of the storage device, 보안 웹 클라이언트를 포함하며,Includes a secure web client, 상기 보안 웹 클라이언트는,The secure web client, 상기 보안 웹 클라이언트를 통해 일어나는 디스크 I/O가 상기 메모리 장치 또는 상기 저장장치의 특정영역에서만 일어나도록 제어하는 망 이중화 시스템.And network I / O occurring through the secure web client to occur only in a specific area of the memory device or the storage device. 제 9항에 있어서, The method of claim 9, 상기 보안 웹 클라이언트가 상기 제2네트워크 환경에서 실행되면서 생성되는 임시파일은 상기 데이터 처리장치에 포함된 메모리의 일부 영역에 저장되는 것을 특징으로 하는 망 이중화 시스템.And a temporary file generated while the secure web client is executed in the second network environment is stored in a partial region of a memory included in the data processing apparatus. 제 10항에 있어서,The method of claim 10, 상기 에이전트는,The agent, 제2네트워크 환경에서 제1네트워크 환경으로 전환되는 경우,When switching from the second network environment to the first network environment, 상기 메모리의 일부 영역에 저장된 상기 임시파일을 삭제하는 것을 특징으로 하는 망 이중화 시스템.And deleting the temporary file stored in the partial region of the memory. 제 4항에 있어서, 상기 네트워크 장치는,The network device of claim 4, wherein the network device comprises: 상기 포트 스위칭부와 상기 호스트 인터페이스부를 연결하며, 상기 데이터 처리 장치로부터 출력되는 제어신호를 상기 포트 스위칭부로 출력하기 위한 적어도 하나의 컨트롤 라인을 더 포함하며,At least one control line connecting the port switching unit to the host interface unit and outputting a control signal output from the data processing apparatus to the port switching unit, 상기 포트 스위칭부는 상기 적어도 하나의 컨트롤 라인을 통해 수신되는 상기 제어신호에 응답하여 상기 네트워크 포트부에 포함된 어느 하나의 네트워크 포트를 연결하는 망 이중화 시스템.And the port switching unit connects one network port included in the network port unit in response to the control signal received through the at least one control line. 제 12항에 있어서, 상기 포트 스위칭부는,The method of claim 12, wherein the port switching unit, 상기 에이전트로부터 미리 설정된 시간 동안 소정의 응답신호가 수신되지 않는 경우,If a predetermined response signal is not received from the agent for a preset time, 상기 제1네트워크 포트와 상기 제2네트워크 포트를 모두 단락시키는 망 이중 화 시스템.A network redundancy system shorting both the first network port and the second network port. 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치를 포함하며,It includes a data processing device including a network device that can be selectively connected to the first network and the second network having a different network environment, 상기 네트워크 장치는 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와 상기 데이터 처리장치를 단락시키는 것을 특징으로 하는 이용한 망 이중화 시스템.And the network device short-circuits the remaining unconnected network and the data processing device when the network device is connected to either the first network or the second network. 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치;A data processing device including a network device selectively connected to a first network and a second network having different network environments; 상기 데이터 처리장치에 설치된 에이전트; 및An agent installed in the data processing device; And 상기 데이터 처리장치에 탈부착 가능한 메모리 장치를 포함하며,A memory device detachable from the data processing device; 상기 데이터 처리장치는 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와 상기 데이터 처리장치는 단락되며,When the data processing apparatus is connected to either the first network or the second network, the remaining network which is not connected and the data processing apparatus are short-circuited, 상기 에이전트는,The agent, 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우,When connected to either the first network or the second network, 연결된 네트워크에서 데이터의 저장은 상기 메모리 장치에서만 일어나도록 제어하는 것을 특징으로 하는 망 이중화 시스템.The network redundancy system of claim 1, wherein the storage of data in the connected network is controlled to occur only in the memory device. 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치를 포함하며,It includes a data processing device including a network device that can be selectively connected to the first network and the second network having a different network environment, 상기 데이터 처리장치에 설치된 에이전트와 상기 네트워크 장치가 미리 설정된 시간 동안 통신이 되지 않는 경우, When the agent installed in the data processing device and the network device does not communicate for a preset time, 상기 네트워크 장치는 상기 제1네트워크 및 상기 제2네트워크를 모두 단락시키는 망 이중화 시스템.The network device short-circuits both the first network and the second network. 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치; 및A data processing device including a network device selectively connected to a first network and a second network having different network environments; And 상기 데이터 처리장치에 설치된 에이전트를 포함하며,An agent installed in the data processing apparatus, 상기 데이터 처리장치가 상기 제2네트워크에 접속하는 경우, 상기 에이전트는 상기 데이터 처리장치에 탈부착 가능한 메모리 장치 또는 상기 데이터 처리장치에 구비된 보안 웹 클라이언트로 상기 제2네트워크를 브라우징(browsing)하도록 제어하며,When the data processing apparatus accesses the second network, the agent controls to browse the second network with a memory device detachable from the data processing apparatus or a secure web client included in the data processing apparatus. , 상기 보안 웹 클라이언트가 상기 제2네트워크 환경에서 실행되면서 생성되는 임시파일은 상기 데이터 처리장치에 포함된 메모리의 일부 영역에 저장되는 것을 특징으로 하는 망 이중화 시스템.And a temporary file generated while the secure web client is executed in the second network environment is stored in a partial region of a memory included in the data processing apparatus. 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치가 상기 제2네트워크에 접속하는 단계; 및Accessing the second network by a data processing apparatus including a first network having a different network environment and a network device capable of being selectively connected to the second network; And 상기 데이터 처리장치에 설치된 에이전트가 상기 데이터 처리장치에 탈부착 가능한 메모리 장치 또는 상기 데이터 처리장치에 구비된 저장장치의 특정영역에 저장된 응용프로그램 이외의 응용프로그램의 실행을 막는 단계를 포함하는 망 이중화 시스템 제공방법.An agent installed in the data processing apparatus provides a network redundancy system comprising the step of preventing execution of an application other than an application stored in a specific area of a memory device detachable to the data processing apparatus or a storage device provided in the data processing apparatus. Way. 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치가 데이터 처리장치로부터 상기 제2네트워크와 연결되기 위한 제어신호를 수신하는 단계;Receiving a control signal for connecting to the second network from a data processing apparatus by a network device capable of being selectively connected to a first network and a second network having different network environments; 수신된 상기 제어신호에 응답하여 상기 네트워크 장치가 상기 제2네트워크에 연결되며, 상기 제1네트워크와는 단락되는 단계를 포함하는 이용한 망 이중화 시스템 제공방법.And connecting the network device to the second network in response to the received control signal, and shorting the first network. 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치가 데이터 처리장치에 설치된 에이전트와 미리 설정된 시간 이상 동안 통신이 되지 않는지를 판단하는 단계; 및Determining whether a network device that can be selectively connected to a first network and a second network having a different network environment is not communicating with an agent installed in the data processing device for a preset time or more; And 판단결과 상기 미리 설정된 시간 이상 동안 통신이 되지 않은 경우, 상기 네트워크 장치는 상기 제1네트워크 및 상기 제2네트워크를 모두 단락시키는 단계를 포함하는 망 이중화 시스템 제공방법.And if the communication is not performed for more than the preset time, determining that the network device short-circuits both the first network and the second network. 제 18항 내지 제 20항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록매체.A computer-readable recording medium having recorded thereon a program for performing the method according to any one of claims 18 to 20.
KR1020090123890A 2009-12-14 2009-12-14 System for network duplication and method thereof KR101098382B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090123890A KR101098382B1 (en) 2009-12-14 2009-12-14 System for network duplication and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090123890A KR101098382B1 (en) 2009-12-14 2009-12-14 System for network duplication and method thereof

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020110069722A Division KR20110096516A (en) 2011-07-14 2011-07-14 System for network duplication and method thereof

Publications (2)

Publication Number Publication Date
KR20110067332A true KR20110067332A (en) 2011-06-22
KR101098382B1 KR101098382B1 (en) 2011-12-23

Family

ID=44399797

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090123890A KR101098382B1 (en) 2009-12-14 2009-12-14 System for network duplication and method thereof

Country Status (1)

Country Link
KR (1) KR101098382B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101507701B1 (en) * 2013-12-18 2015-04-07 유상열 Logical network separation system using network filter driver and method thereof

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100911345B1 (en) * 2007-06-20 2009-08-07 (주)테르텐 Method and apparatus for contents security
KR100874409B1 (en) * 2008-01-11 2008-12-17 (주)테크모아 Double computer

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101507701B1 (en) * 2013-12-18 2015-04-07 유상열 Logical network separation system using network filter driver and method thereof

Also Published As

Publication number Publication date
KR101098382B1 (en) 2011-12-23

Similar Documents

Publication Publication Date Title
KR101487865B1 (en) Computer storage device having separate read-only space and read-write space, removable media component, system management interface, and network interface
US10558798B2 (en) Sandbox based Internet isolation in a trusted network
US10554475B2 (en) Sandbox based internet isolation in an untrusted network
US8201239B2 (en) Extensible pre-boot authentication
EP2973171B1 (en) Context based switching to a secure operating system environment
US8909940B2 (en) Extensible pre-boot authentication
US8281363B1 (en) Methods and systems for enforcing network access control in a virtual environment
US9071599B2 (en) Method and device for securely configuring a terminal
US9158916B2 (en) Unauthorized access and/or instruction prevention, detection, and/or remediation, at least in part, by storage processor
EP2786298B1 (en) Method and apparatus for securing a computer
US9178884B2 (en) Enabling access to remote entities in access controlled networks
US20100235833A1 (en) Methods and systems for providing secure image mobility
KR101408524B1 (en) System and method for sharing atrusted platform module
KR101997254B1 (en) Computer having isolated user computing part
US20090217375A1 (en) Mobile Data Handling Device
US11941264B2 (en) Data storage apparatus with variable computer file system
KR101098382B1 (en) System for network duplication and method thereof
JP4728871B2 (en) Device quarantine method, quarantine device, aggregate client management device, aggregate client management program, network connection device, and user terminal
US20230025979A1 (en) Systems and methods for peripheral device security
Ramachandran et al. New Client Virtualization Usage Models Using Intel Virtualization Technology.
KR101349807B1 (en) Security system for mobile storage and method thereof
KR20110096516A (en) System for network duplication and method thereof
KR20100026428A (en) System for network duplication using memory device and method thereof
KR20140026315A (en) Security system for mobile storage and method thereof
JP2006251989A (en) Data protection device compatible with network by operation system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150120

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee