KR20110096516A - 망 이중화 시스템 및 그 제공방법 - Google Patents

망 이중화 시스템 및 그 제공방법 Download PDF

Info

Publication number
KR20110096516A
KR20110096516A KR1020110069722A KR20110069722A KR20110096516A KR 20110096516 A KR20110096516 A KR 20110096516A KR 1020110069722 A KR1020110069722 A KR 1020110069722A KR 20110069722 A KR20110069722 A KR 20110069722A KR 20110096516 A KR20110096516 A KR 20110096516A
Authority
KR
South Korea
Prior art keywords
network
data processing
agent
processing apparatus
memory device
Prior art date
Application number
KR1020110069722A
Other languages
English (en)
Inventor
이시영
이동형
최병걸
박용호
권순일
Original Assignee
주식회사 크레블
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 크레블 filed Critical 주식회사 크레블
Priority to KR1020110069722A priority Critical patent/KR20110096516A/ko
Publication of KR20110096516A publication Critical patent/KR20110096516A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

망 이중화 시스템 및 그 제공방법이 개시된다. 상기 기술적 과제를 달성하기 위한 망 이중화 시스템은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치 및 상기 데이터 처리장치에 설치된 에이전트를 포함하며, 상기 데이터 처리장치가 상기 제2네트워크에 접속하는 경우, 상기 에이전트는 상기 데이터 처리장치에 탈부착 가능한 메모리 장치 또는 상기 데이터 처리장치에 구비된 저장장치의 특정영역에 저장된 응용프로그램 이외의 응용프로그램의 실행을 막는 것을 특징으로 한다.

Description

망 이중화 시스템 및 그 제공방법{System for network duplication and method thereof}
본 발명은 망 이중화 시스템 및 그 제공방법에 관한 것으로, 보다 상세하게는 두 개 이상의 네트워크에 선택적으로 연결가능하고, 연결되지 않는 네트워크와는 물리적으로 단락시킬 수 있는 네트워크 장치를 이용하여 망 이중화를 제공할 수 있는 시스템 및 그 제공방법에 관한 것이다.
공공기관 또는 대형 회사 등과 같은 대형조직에서는 조직 내의 업무의 수행 및 조직 내에서만 활용되어야 하는 정보들을 공유하기 위한 별도의 폐쇄된 네트워크를 구성하여 사용한다. 예컨대, 인트라넷이 대표적인 예일 수 있다.
하지만, 조직의 구성원들은 이러한 폐쇄된 네트워크 외에도 개방형 네트워크(예컨대, 인터넷)에 접속해야 하는 경우가 있을 수 있다.
하지만, 폐쇄된 네트워크를 개방형 네트워크와 동일한 방식으로 설정, 연결하여 동시에 두 개의 네트워크를 사용하는 경우에는 보안상에 심각한 문제를 유발할 수 있다. 이러한 문제점을 해결하기 위해서는 반드시 물리적으로 망을 분리해서 사용하는 망 이중화 방식을 사용하여야 한다.
기존의 망 이중화 방식으로는 폐쇄된 네트워크 및 개방형 네트워크별 데이터 프로세싱 장치(예컨대, 컴퓨터)를 별도로 구비하여 두 망을 물리적으로 분리하는 방법이 사용되어 왔다.
하지만, 이러한 방식은 상당한 자원낭비(중복된 장비 및 프로그램의 투자, 에너지 낭비)와 업무상의 비효율성을 유발하였다.
따라서 보안을 보장하면서도 자원 낭비를 최소화할 수 있고, 효율적인 업무프로세스를 지원할 수 있는 망 이중화 시스템 및 방법이 절실히 요구된다.
본 발명이 이루고자 하는 기술적인 과제는 하나의 네트워크 장치만을 이용하면서도 복수 개의 네트워크에 선택적으로 연결가능하고, 연결되지 않는 네트워크와는 데이터 처리 장치를 물리적으로 분리하여 보안성을 극대화하면서도 자원의 낭비를 최소화하는 망 이중화 시스템 및 방법을 제공하는 것이다.
또한, 메모리 장치를 이용하여 개방형 네트워크에서 실행 가능한 응용 프로그램을 제한할 수 있는 망 이중화 시스템 및 방법을 제공하는 것이다.
또한, 개방형 네트워크상에서 수행될 수 있는 디스크 I/O는 모두 메모리 장치를 통해 일어날 수 있도록 하여, 시스템상에서는 개방형 네트워크 환경에서 수행되었던 프로세스 또는 작업의 영향이 미치지 않도록 하는 시스템 및 방법을 제공하는 것이다.
또한, 개방형 네트워크에서 실행되는 별도의 웹 클라이언트를 메모리 장치를 통해 제공함으로써 보안을 유지할 수 있는 시스템 및 방법을 제공하는 것이다.
또한, 메모리 장치에 암호화 기능을 제공함으로써 메모리 장치에 저장되는 정보의 보안을 보장할 수 있는 시스템 및 방법을 제공하는 것이다.
상기 기술적 과제를 달성하기 위한 망 이중화 시스템은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치 및 상기 데이터 처리장치에 설치된 에이전트를 포함하며, 상기 데이터 처리장치가 상기 제2네트워크에 접속하는 경우, 상기 에이전트는 상기 데이터 처리장치에 탈부착 가능한 메모리 장치 또는 상기 데이터 처리장치에 구비된 저장장치의 특정영역에 저장된 응용프로그램 이외의 응용프로그램의 실행을 막는 것을 특징으로 한다.
상기 네트워크 장치는 상기 데이터 처리장치가 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와는 단락되는 것을 특징으로 할 수 있다.
상기 메모리 장치는 사용자 인증 정보를 저장하며, 상기 에이전트는 상기 메모리 장치에 저장된 상기 사용자 인증 정보에 기초하여 상기 제1네트워크 환경에서 사용자를 인증할 수 있다.
상기 네트워크 장치는 상기 제1네트워크에 연결되기 위한 제1네트워크 포트 및 상기 제2네트워크에 연결되기 위한 제2네트워크 포트를 포함하는 네트워크 포트부, 상기 데이터 처리장치와 인터페이싱하기 위한 호스트 인터페이스부, 네트워크 컨트롤러, 및 상기 네트워크 컨트롤러와 상기 네트워크 포트부에 포함된 네트워크 포트 중 어느 하나가 연결되고, 나머지 네트워크 포트는 단락시키기 위한 스위칭 회로를 포함하는 포트 스위칭부를 포함할 수 있다.
상기 에이전트는 제1네트워크 환경에서 제2네트워크 환경으로 전환되는 경우, 상기 제1네트워크 환경에서의 응용 프로그램 및 프로세스를 종료하며, 상기 제1네트워크 포트를 단락시키고 상기 제2네트워크 포트와 상기 네트워크 컨트롤러를 연결시키기 위해 제1제어신호를 상기 네트워크 장치로 출력할 수 있다.
상기 에이전트는 상기 제2네트워크 환경에서 상기 메모리 장치 또는 상기 저장장치의 특정영역에서만 디스크 I/O가 일어나도록 제어할 수 있다.
상기 에이전트는 상기 제2네트워크 환경에서 상기 제1네트워크 환경으로 전환되는 경우, 상기 제2네트워크 환경에서의 응용 프로그램 및 프로세스를 종료하며, 상기 제2네트워크 포트를 단락시키고 상기 제1네트워크 포트와 상기 네트워크 컨트롤러를 연결시키기 위해 제2제어신호를 상기 네트워크 장치로 출력할 수 있다.
상기 제1네트워크 및 상기 제2네트워크는 각각 인트라넷 및 인터넷일 수 있다.
상기 메모리 장치 또는 상기 저장장치의 특정영역에 저장된 응용프로그램은 보안 웹 클라이언트를 포함하며, 상기 보안 웹 클라이언트는, 상기 보안 웹 클라이언트를 통해 일어나는 디스크 I/O가 상기 메모리 장치 또는 상기 저장장치의 특정영역에서만 일어나도록 제어할 수 있다.
상기 네트워크 장치는 상기 포트 스위칭부와 상기 호스트 인터페이스부를 연결하며, 상기 데이터 처리 장치로부터 출력되는 제어신호를 상기 포트 스위칭부로 출력하기 위한 적어도 하나의 컨트롤 라인을 더 포함하며, 상기 포트 스위칭부는 상기 적어도 하나의 컨트롤 라인을 통해 수신되는 상기 제어신호에 응답하여 상기 네트워크 포트부에 포함된 어느 하나의 네트워크 포트를 연결할 수 있다.
상기 포트 스위칭부는 상기 에이전트로부터 미리 설정된 시간 동안 소정의 응답신호가 수신되지 않는 경우, 상기 제1네트워크 포트와 상기 제2네트워크 포트를 모두 단락시킬 수 있다.
상기 기술적 과제를 해결하기 위한 망 이중화 시스템은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치를 포함하며, 상기 네트워크 장치는 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와 상기 데이터 처리장치를 단락시키는 것을 특징으로 한다.
상기 기술적 과제를 해결하기 위한 망 이중화 시스템은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치, 상기 데이터 처리장치에 설치된 에이전트, 및 상기 데이터 처리장치에 탈부착 가능한 메모리 장치를 포함하며, 상기 데이터 처리장치는 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와 상기 데이터 처리장치는 단락되며, 상기 에이전트는 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결된 네트워크에서 데이터의 저장은 상기 메모리 장치에서만 일어나도록 제어할 수 있다.
상기 기술적 과제를 해결하기 위한 망 이중화 시스템은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치를 포함하며, 상기 데이터 처리장치에 설치된 에이전트와 상기 네트워크 장치가 미리 설정된 시간 동안 통신이 되지 않는 경우, 상기 네트워크 장치는 상기 제1네트워크 및 상기 제2네트워크를 모두 단락시킬 수 있다.
상기 기술적 과제를 해결하기 위한 망 이중화 시스템 제공방법은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치가 상기 제2네트워크에 접속하는 단계 및 상기 데이터 처리장치에 설치된 에이전트가 상기 데이터 처리장치에 탈부착 가능한 메모리 장치 또는 상기 데이터 처리장치에 구비된 저장장치의 특정영역에 저장된 응용프로그램 이외의 응용프로그램의 실행을 막는 단계를 포함한다.
상기 기술적 과제를 해결하기 위한 망 이중화 시스템 제공방법은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치가 데이터 처리장치로부터 상기 제2네트워크와 연결되기 위한 제어신호를 수신하는 단계 및 수신된 상기 제어신호에 응답하여 상기 네트워크 장치가 상기 제2네트워크에 연결되며, 상기 제1네트워크와는 단락되는 단계를 포함한다.
상기 기술적 과제를 해결하기 위한 망 이중화 시스템 제공방법은 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치가 데이터 처리장치에 설치된 에이전트와 미리 설정된 시간 이상 동안 통신이 되지 않는지를 판단하는 단계 및 판단결과 상기 미리 설정된 시간 이상 동안 통신이 되지 않은 경우, 상기 네트워크 장치는 상기 제1네트워크 및 상기 제2네트워크를 모두 단락시키는 단계를 포함할 수 있다. 상기 이중화 시스템 제공방법은 프로그램을 기록한 컴퓨터 판독 가능한 기록매체에 저장될 수 있다.
본 발명에 따른 망 이중화 시스템 및 그 제공방법은 물리적으로 분리된 네트워크 환경을 제공하기 위해 필요한 최소한의 자원(즉,네트워크 장치)만을 물리적으로 분리하여 자원의 낭비를 최소화할 수 있는 효과가 있다.
또한, 메모리 장치에 제공되는 응용프로그램의 설계 또는 에이전트 프로그램 등을 통한 소프트웨어 기반의 망 이중화 기능을 제공함으로써 응용성을 높일 수 있는 효과가 있다.
또한, 탈부착 가능한 메모리 장치를 이용하여 개방형 네트워크상에서 수행될 수 있는 디스크 I/O는 모두 메모리 장치를 통해 일어날 수 있도록 하거나, 인증된 응용프로그램만을 실행시킬 수 있도록 함으로써, 간편하게 보안을 유지하면서도 망 별 시스템의 독립성을 갖출 수 있는 효과가 있다.
또한, 메모리 장치에 암호화 기능을 제공함으로써 시스템과 분리되어 별도로 관리될 수 있는 정보의 보안을 보장하는 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 실시 예에 따른 망 이중화 시스템의 개략적인 구성도를 나타낸다.
도 2는 본 발명의 실시 예에 따른 망 이중화 시스템 제공방법의 데이터 흐름도를 나타낸다.
도 3은 본 발명의 실시 예에 따른 망 이중화 시스템 제공방법의 보안 메커니즘의 데이터 흐름을 나타낸다.
도 4는 본 발명의 실시 예에 따른 망 이중화 시스템의 디스크 I/O 제어 과정을 나타내는 도면이다.
도 5는 본 발명의 실시 예에 따른 망 이중화 시스템의 네트워크 장치의 개략적인 구성을 나타내는 도면이다.
도 6a 내지 도 6c는 본 발명의 실시 예에 따른 네트워크 장치의 포트 스위칭 부의 동작을 설명하기 위한 도면이다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다.
반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 실시 예에 따른 메모리 장치를 이용한 망 이중화 시스템의 개략적인 구성도를 나타낸다.
도 1을 참조하면, 본 발명의 실시 예에 따른 메모리 장치를 이용한 망 이중화 시스템은 데이터 처리장치(100)를 포함한다. 상기 데이터 처리장치(100)는 메모리 장치(200)와 연결될 수 있으며, 상기 메모리 장치(200)는 상기 데이터 처리장치(100)에 탈부착 가능한 형태로 구현될 수 있다. 예컨대, 상기 메모리 장치(200)는 USB(Universal Serial Bus) 인터페이스를 갖는 메모리 장치일 수 있다.
상기 데이터 처리장치(100)에는 본 발명의 실시 예에 따른 망 이중화 방법을 구현하기 위한 에이전트(110) 프로그램이 설치될 수 있다. 또한 상기 데이터 처리장치(100)에는 네트워크 장치(400)가 구비될 수 있다. 또한, 본 발명의 실시 예에 따른 망 이중화 시스템은 제1네트워크를 통하여 상기 데이터 처리장치(100)를 사용하는 사용자를 인증하기 위한 인증서버(300)를 더 포함할 수도 있다.
본 명세서에는 서로 다른 두 개의 네트워크 환경 및 상기 서로 다른 두 개의 네트워크 환경에 선택적으로 연결가능한 네트워크 장치(400)를 일 예로 들어 설명하지만, 구현 예에 따라 두 개 이상의 네트워크 환경 및 두 개 이상의 네트워크 환경에 선택적으로 연결가능한 네트워크 장치를 이용한 망 이중화 방법 및 시스템이 본 발명의 기술적 사상에 적용될 수 있음은 당해 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.
본 발명의 기술적 사상은 최소한의 자원을 사용하면서도 네트워크를 물리적으로 분리하여 서로 다른 네트워크를 사용하여야 하는 환경에서 망을 이중화할 수 있는 기술적 사상을 제공한다. 본 출원인은 이러한 기술적 사상을 위해 한국특허출원(출원번호 10-2008-0085426, "메모리 장치를 이용한 망 이중화 시스템 및 그 제공방법", 이하 '이전출원 1')을 출원한바 있으며, 이전출원 1에 기재된 기술적 사상 및 내용은 본 명세서에 기재된 내용으로 취급될 수 있으며, 본 명세서의 레퍼런스로 이용될 수 있다.
이전출원 1은 하나의 데이터 처리 장치에서 서로 다른 네트워크 장치 및 메모리 장치를 이용한 망 이중화 시스템의 기술적 사상을 제공하고 있다. 이전출원 1에 개시된 망 이중화 시스템 및 방법은 서로 다른 독립적인 네트워크 장치를 이용하여 어느 하나의 네트워크와 다른 네트워크 간의 응용프로그램 및/또는 데이터의 분리함으로써 보안성을 보장함과 동시에 자원의 효율적 사용을 가능케 한다.
한편, 본 출원인은 한국특허출원(출원번호 10-2009-0041033, "포트 스위칭 회로를 포함한 네트워크 인터페이스 카드", 이하 '이전출원 2')에서 하나의 네트워크 장치를 이용하여 복수 개의 네트워크 중 어느 하나에 선택적으로 연결가능하며, 연결되지 않은 네트워크들과는 연결을 물리적으로 차단할 수 있는 네트워크 인터페이스 카드를 개시한바 있다. 이전출원 2에 기재된 기술적 사상 및 그 기재는 본 명세서의 기재로 취급될 수 있으며, 본 명세서의 레퍼런스(reference)로 이용될 수 있다.
본 발명의 기술적 사상은 이러한 이전출원 1과 이전출원 2의 기술적 사상을 이용하여 도출될 수 있다. 즉, 본 발명의 기술적 사상은 이전출원 1의 기술적 사상에서 서로 독립된 복수 개의 네트워크 장치를 사용하는 대신, 이전출원 2에 개시된 바와 같이 복수 개의 네트워크 중 어느 하나에 선택적으로 연결가능하며, 연결되지 않은 네트워크들과는 연결을 물리적으로 차단할 수 있는 네트워크 인터페이스 카드를 이용함으로써 이종 망의 동시접속을 원천적으로 차단하고, 다른 환경에서 사용되는 응용 프로그램 및/또는 데이터의 사용/접근을 방지함으로써 보안을 보장하는 효과를 갖는 망 이중화 시스템을 제공할 수 있다. 그러면서도 이전출원 1에 비해 자원의 낭비를 막을 수 있는 효과가 있는 망 이중화 시스템을 제공할 수 있는 효과도 있다.
또한, 본 발명의 기술적 사상은 이전출원 1에 개시된 보안 메커니즘을 위한 메모리 장치 이외에도 데이터 처리장치의 특정 영역을 보안영역으로 사용하여 보안영역에서만 디스크 I/O가 일어나도록 하는 기술적 사상을 포함한다. 이러한 기술적 사상은 예컨대, (주)테르텐이 출원하여 등록된 한국등록특허(등록번호 10-0911345, "컨텐츠 보안 방법 및 그 장치",이하 '등록특허')에 개시된 기술적 사상을 이용하여 구현될 수 있다. 이때에는 상기 보안영역은 상기 등록특허에도 개시된 바와 같이 가상디스크 드라이브로 구현될 수 있다. 물론, 상기 등록특허 이외에도 본 발명의 기술적 사상을 구현하기 위해 데이터 처리장치에 구비된 저장장치의 특정 영역을 보안영역으로 설정하여, 인가된 프로세스나 인가된 동작만 수행할 수 있도록 하는 기술은 본 발명의 기술적 사상에 적용 가능할 수 있다. 상기 등록특허에 개시된 기술적 사상 및 그 내용은 본 명세서의 기재로 취급하면, 본 발명의 레퍼런스로 활용할 수 있다.
이하에서는, 좀 더 구체적으로 본 발명의 실시 예에 따른 망 이중화 시스템의 구성을 살펴보도록 한다.
본 명세서에서 네트워크 장치(400)는 상기 데이터 처리장치(100)를 제1네트워크 또는 제2네트워크 중 어느 하나에 선택적으로 연결시키기 위한 통신 장치를 의미할 수 있다. 예컨대, 상기 네트워크 장치(400)는 네트워크 인터페이스 카드(Network Interface Card)로 구현될 수 있으나 이에 한정되지는 않는다.
상기 데이터 처리장치(100)는 서로 다른 네트워크 환경에서 데이터 프로세싱을 수행할 수 있는 모든 장치를 포함하는 의미로 사용될 수 있다. 예컨대, 상기 데이터 처리장치는 컴퓨터, PDA 등일 수 있다.
상기 에이전트(110)는 본 발명의 실시 예에 따른 망 이중화 방법을 구현하기 위해 상기 메모리 장치(200) 또는 상기 데이터 처리장치(100)에 구비되는 저장장치(예컨대, 하드드라이브, SSD(Solid State Drive), Flash 드라이브 등, 미도시)의 특정영역에 대한 데이터 입출력을 제어하거나 상기 메모리 장치(200) 또는 상기 특정영역에 저장된 정보에 접근하거나 사용할 수 있는 소프트웨어 및/또는 프로세스를 의미할 수 있다. 또한 상기 에이전트(110)는 상기 네트워크 장치(400)를 제어하여 상기 네트워크 장치(400)가 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 선택적으로 연결되도록 제어할 수 있다. 또는, 필요에 따라 상기 데이터 처리장치(100)의 OS와 응용프로그램 또는 프로세스 사이의 메시지/호출 등을 제어할 수 있다.
상기 메모리 장치(200)는 상기 데이터 처리장치(100)에 탈부착 가능하며, 소정 용량 이상의 메모리를 갖추고 있어서 제1네트워크 또는 제2네트워크 중 적어도 어느 하나의 환경에서 상기 데이터 처리장치(100)가 사용될 때 기본적으로 필요한 용량을 지원할 수 있다.
예컨대, 상기 메모리 장치(200)는 상기 데이터 처리장치(100)와 USB(Universal Serial Bus) 포트를 통하여 연결될 수 있다. 또한, 상기 메모리 장치(200)는 단순히 정보를 저장하기 위한 장치뿐만 아니라, 상기 데이터 처리장치(100)에 필요한 다른 주변장치와 합쳐질 수도 있다.
예컨대, 상기 메모리 장치(200)는 상기 데이터 처리장치(100)의 입출력장치 중 하나(예컨대, 마우스, 키보드, 조이스틱 등)에 내장될 수 있다. 물론, 상기 메모리 장치(200)는 별도의 독립적인 정보 저장장치일 수도 있다.
한편, 상기 데이터 처리장치(100)에 구비된 저장장치(미도시)의 특정영역을 상기 메모리 장치(200)처럼 사용할 수 있다. 예컨대, 상기 특정영역은 등록특허에 기재된 바와 같은 가상드라이브로 설정되는 영역일 수 있다. 그러면, 상기 특정영역은 인가된 프로세스만 접근이 가능할 수 있으며, 상기 특정영역에 저장된 정보는 미리 정해진 특정 기능(예컨대, 파일 I/O, 클립보드 인터페이스, 네트워크 I/O 등)을 사용할 수 없게 된다. 또한, 특정 네트워크(예컨대, 제2네트워크)에서는 후술하는 바와 같이 디스크 I/O가 상기 특정 영역으로만 일어나도록 하여 본 발명의 기술적 사상에 따른 망 이중화 시스템에서의 보안 메커니즘을 적용할 수 있다. 이하에서는 설명의 편의를 위해 상기 메모리 장치(200)를 이용한 실시 예를 위주로 설명하지만 본 발명의 기술분야의 평균적 전문가는 상기 메모리 장치(200)의 기능 중 적어도 일부를 상기 특정영역이 대신할 수 있음을 용이하게 추론할 수 있을 것이다.
이하, 본 명세서에서는 상기 제1네트워크는 인트라넷이고, 상기 제2네트워크는 인터넷인 경우를 일 예로 설명한다. 하지만, 이에 한정되지는 않으며 서로 다른 네트워크 환경에 접속가능한 데이터 처리장치에서 망 이중화가 필요한 서로 다른 적어도 두 개의 네트워크에 본 발명의 권리범위가 미칠 수 있다.
먼저, 상기 데이터 처리장치(100)에는 상기 에이전트(110)가 설치될 수 있다. 그러면, 상기 에이전트(110)는 부팅(booting)시 또는 시스템 및/또는 사용자에 의해 설정된 시점에서 상기 메모리 장치(200)를 이용하여 사용자를 인증할 수 있다.
상기 메모리 장치(200)에는 사용자별로 고유하게 설정된 사용자 인증정보가 저장되어 있을 수 있다. 구현 예에 따라, 상기 사용자 인증정보는 상기 메모리 장치(200)의 고유 식별번호 및/또는 상기 고유 식별번호에 기초하여 생성되는 정보가 이용될 수 있다.
예컨대, 상기 데이터 처리장치(100)가 부팅되는 경우, 상기 에이전트(110)는 자동으로 실행되어 상기 메모리 장치(200)내의 사용자 인증정보를 추출할 수 있다. 그러면 상기 에이전트(110)는 인증서버(300)와 제1네트워크(예컨대, 인트라넷)을 통해 연결되어 사용자를 인증할 수 있다.
또한, 상기 메모리 장치(200)에는 제1네트워크의 환경설정 정보 및/또는 제2네트워크의 환경설정 정보가 더 저장되어 있을 수 있으며, 상기 데이터 처리장치(100)가 부팅되면서 상기 에이전트(110)는 저장된 제1네트워크 및/또는 제2네트워크의 환경설정 정보에 기초하여 네트워크 환경을 자동으로 설정할 수 있다.
부팅 후의 네트워크 환경은 기본 네트워크 환경인 제1네트워크 환경일 수 있다. 따라서, 상기 네트워크 장치(400)는 상기 제1네트워크와 연결될 수 있다. 이를 위해 상기 네트워크 장치(400)는 상기 네트워크 장치(400)에 구비된 소정의 구성(후술할, 포트 스위칭 부(420))을 제어함으로써, 상기 데이터 처리장치(100)가 상기 제1네트워크에 연결되도록 할 수 있다. 이하에서는, 상기 네트워크 장치(400)에 대해 구체적으로 살펴보도록 한다.
도 5는 본 발명의 실시 예에 따른 네트워크 장치의 구성을 개략적으로 나타낸다.
도 5를 참조하면, 본 발명의 실시 예에 따른 네트워크 장치(400)는 네트워크 컨트롤러(410), 포트 스위칭부(420), 호스트 인터페이스(430), 및 네트워크 포트부(440)를 포함한다. 상기 네트워크 장치(400)는 네트워크 인터페이스 카드로 구현될 수 있다. 상기 네트워크 컨트롤러(110) 또는 네트워크 장치(400)는 널리 공지된 다양한 구성요소(예컨대, DMA, FIFO, ARP 장치 등)를 더 포함할 수 있지만, 본 발명의 요지를 명확하게 하기 위해 상세한 설명은 생략한다.
상기 네트워크 컨트롤러(410)는 종래의 네트워크 인터페이스 카드와 같이 상기 호스트 인터페이스(예컨대, PCI 인터페이스, 430)를 통해 연결되는 호스트(미도시)에 MAC(media access control) 주소를 할당하여 상기 호스트가 네트워크에 접속하도록 하는 역할을 한다.
상기 포트 스위칭 부(420)는 상기 네트워크 컨트롤러(410)와 상기 네트워크 포트부(440)를 물리적으로 연결하는 역할을 수행한다. 특히, 상기 포트 스위칭부(420)는 상기 네트워크 포트부(440)에 포함되는 복수 개의 네트워크 포트 중 어느 하나의 네트워크 포트만을 상기 네트워크 컨트롤러(410)와 연결되도록 하며, 나머지 네트워크 포트와는 물리적으로 단락될 수 있다. 따라서, 상기 포트 스위칭 부(420)를 통해 본 발명의 실시 예에 따른 네트워크 장치(400)는 네트워크 컨트롤러(410)와 네트워크 포트 간의 물리적 연결을 선택적으로 차단함으로써, 서로 다른 네트워크에 동시에 접속되는 것을 원천적으로 차단할 수 있다.
상기 호스트 인터페이스(430)는 데이터 처리장치(100)와 상기 네트워크 장치(400)를 연결하는 역할을 수행하며, 상기 호스트 인터페이스(130)를 통해 데이터 처리장치의 확장슬롯 등에 상기 네트워크 장치(400)가 장착될 수 있다.
상기 네트워크 포트부(440)는 제1네트워크(예컨대, 인트라넷 망)에 연결되기 위한 제1네트워크 포트(441) 및 제2네트워크(예컨대, 인터넷 망)에 연결되기 위한 제2네트워크 포트(예컨대, 442)를 포함한다. 물론, 더 많은 네트워크 포트가 상기 네트워크 포트부(440)에 구비될 수도 있다.
한편, 상기 포트 스위칭부(420)를 제어하기 위한 소정의 제어신호는 상기 에이전트(110)로부터 출력될 수 있다.
이때 상기 에이전트(110)는 상기 네트워크 컨트롤러(410)를 통해 상기 포트 스위칭 부(420)로 상기 제어신호를 출력할 수도 있지만, 별도의 적어도 하나의 컨트롤 라인(450)을 통해 상기 제어신호를 출력할 수도 있다. 이처럼 상기 적어도 하나의 컨트롤 라인(450)을 별도로 구비함으로써 상기 데이터 처리장치(100)에 설치된 불법적인 애플리케이션에 의해 상기 포트 스위칭 부(420)가 제어되는 것을 방지할 수 있으며, 오직 인가된 애플리케이션(예컨대, 상기 에이전트(110))만이 상기 포트 스위칭 부(420)를 제어할 수 있도록 한다. 또한, 상기 컨트롤 라인(450)을 별도로 구비함으로써, 상기 데이터 처리장치(100)가 상기 네트워크 장치(400)를 제어하는 과정 및/또는 인터페이스의 일관성을 유지한 채, 상기 컨트롤 라인(450)을 통해 추가적으로 상기 포트 스위칭 부(420)를 제어할 수 있다.
한편, 상기 인가된 애플리케이션(예컨대, 상기 에이전트(110))이 소정의 악의적인 공격에 의해 종료되거나 비정상적으로 동작하는 경우에는 본 발명의 네트워크 장치(400)는 보안을 유지하기 위해 상기 네트워크 장치(400)가 어떠한 네트워크에도 연결되지 않도록 할 수 있다. 이를 위해 본 발명의 실시 예에 따른 네트워크 디바이스 드라이버(미도시)는, 상기 데이터 처리장치(100)에 설치되어 상기 인가된 애플리케이션(예컨대, 상기 에이전트(110))이 종료 또는 비정상적인 동작을 하는 경우를 체크할 수 있다. 이를 위해 상기 네트워크 디바이스 드라이버는 상기 인가된 애플리케이션(예컨대, 상기 에이전트(110))으로부터 소정의 신호(예컨대,ACK)를 주기적으로 수신할 수 있다. 물론, 다른 다양한 구현 예에 의해 상기 인가된 애플리케이션(예컨대, 상기 에이전트(110))의 상태를 체크할 수도 있다. 만약 상기 에이전트(110)가 종료되거나 정상적인 동작을 수행하지 않는 경우, 상기 네트워크 디바이스 드라이버는 상기 컨트롤 라인(450)을 제어하여 상기 네트워크 장치(400)가 상기 네트워크 포트부(440)를 통해 연결될 수 있는 어떠한 네트워크와도 연결되지 않도록 하기 위한 소정의 강제차단신호를 상기 호스트 인터페이스(430)로 출력할 수 있다. 그러면, 상기 강제차단신호에 응답하여 상기 포트 스위칭 부(420)는 상기 네트워크 포트부(440)가 어떠한 네트워크와도 연결되지 않도록 단락될 수 있다.
한편, 본 발명의 다른 실시 예에 의하면, 상기 인가된 애플리케이션(예컨대, 에이전트(110))이 종료되거나 비정상적으로 동작하는 경우에 보안 메커니즘을 적용하기 위해, 상기 포트 스위칭 부(420)는 소정의 프로세서(미도시)를 포함할 수도 있다. 그러면, 상기 포트 스위칭 부(420)에 포함된 상기 프로세서는 상기 에이전트(110)로부터 주기적으로 제어신호를 수신할 수 있고, 수신된 제어신호에 따라 포트 스위칭 부(420)를 제어하여 상기 제어신호에 상응하는 네트워크와 상기 데이터 처리장치(100)가 연결되도록 할 수 있다. 이때, 상기 프로세서가 상기 에이전트(110)로부터 미리 설정된 시간 동안 아무런 제어신호를 수신하지 않는 경우, 상기 프로세서는 상기 네트워크 포트부(440)의 어느 네트워크 포트와도 상기 데이터 처리장치(100)가 연결되지 않도록 상기 포트 스위칭 부(420)를 단락시킬 수 있다. 즉, 상기 에이전트(110)는 주기적으로 상기 제어신호를 상기 포트 스위칭 부(420)로 전송하도록 되어 있는데, 상기 제어신호가 일정 시간 동안 이상 수신되지 않는 경우에는 상기 에이전트(110)가 악의적 공격에 의해 종료되거나 비정상적인 행동을 수행하고 있을 수 있으므로, 이때에는 상기 데이터 처리장치(100)가 어떠한 네트워크와도 연결되지 않도록 제어함으로써 소정의 네트워크에 연결되어 있는 동안은 상기 에이전트(110)에 의해 보안 메커니즘이 가동됨을 보장받을 수 있다.
상기 컨트롤 라인(450)의 개수는 상기 네트워크 포트부(440)에 포함되는 네트워크 포트의 개수에 따라 달라질 수 있다. 즉, 2개의 네트워크 포트를 선택하기 위해서는 최소 1개의 컨트롤 라인(450)이 필요할 수 있다. 구현 예에 따라서는, 어느 네트워크 포트와도 연결되지 않은 상태를 위한 제어신호가 필요할 수도 있다. 따라서, 본 발명의 실시 예에 따른 네트워크 장치(400)는 2 개의 네트워크 포트를 위해서 적어도 2개의 컨트롤 라인(450)이 구비되는 경우를 일 예로 설명한다.
도 6a 내지 도 6c는 본 발명의 실시 예에 따른 네트워크 장치의 포트 스위칭 부의 동작을 설명하기 위한 도면이다.
먼저, 도 6a를 참조하면, 본 발명의 실시 예에 따른 포트 스위칭 부(420)는 컨트롤 신호의 값이 "11" 이나 "00"인 경우에는 상기 네트워크 컨트롤러(410)가 어느 네트워크 포트와도 연결되지 않도록 제어한다. 즉, 데이터 처리장치(100)는 물리적으로 네트워크에 접속되지 않은 상태가 된다.
도 6b를 참조하면, 상기 데이터 처리장치(100) 즉, 상기 에이전트(110)로부터 "01"의 제어신호가 수신된 경우, 상기 포트 스위칭 부(420)는 상기 네트워크 컨트롤러(410)를 제1네트워크 포트(141)에 연결할 수 있다. 이때는 상기 제1네트워크 포트(441)를 제외한 나머지 네트워크 포트는 모두 단락될 수 있다.
또한, 도 6c를 참조하면, 상기 에이전트(110)로부터 "10"의 제어신호가 수신된 경우, 상기 포트 스위칭 부(420)는 상기 네트워크 컨트롤러(410)를 제2네트워크 포트(442)에 연결할 수 있다. 물론, 상기 제2네트워크 포트(442)를 제외한 나머지 네트워크 포트는 모두 단락될 수 있다.
따라서, 상기 데이터 처리장치(100)의 특정 프로그램(예컨대, 상기 에이전트(110))은 상기 제어신호를 상기 컨트롤 라인(450)을 통해 상기 포트 스위칭 부(420)로 출력함으로써, 선택적으로 제1네트워크 및 제2네트워크에 접속되며 동시에 접속되는 경우가 발생하지 않으며, 접속된 네트워크 이외의 네트워크와는 물리적으로 단락시킴으로써 인터넷과 같은 개방형 네트워크를 통해 인트라넷 등과 같은 네트워크 환경에서의 응용 프로그램 및/또는 정보의 불법적 접근이나 악의적 공격을 원천적으로 차단할 수 있다. 상기 포트 스위칭 부(420)가 상술한 바와 같은 스위칭 기능을 수행하기 위해서는 다양한 실시 예가 가능할 수 있음은, 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.
한편, 상기 네트워크 장치(400)의 초기화 상태 예컨대, 상기 네트워크 장치(400)가 파워 온 되는 경우에는 특정 네트워크 포트(예컨대, 제1네트워크 포트(441) 또는 제2네트워크 포트(442) 중 어느 하나)에 항상 연결되도록 상기 포트 스위칭 부(420)는 세팅될 수 있다. 예컨대, 초기화 상태에서는 항상 안전한 인트라넷 망에 접속되도록 할 수 있으며, 보안성이 취약한 인터넷 망에 접속되기 위해서는 인위적으로 상기 에이전트(110)로부터 소정의 제어신호를 수신해야만 상기 인터넷 망에 접속이 되도록 할 수 있다.
또한, 상기 제1네트워크 포트(441)와 상기 제2네트워크 포트(442)는 서로 다른 타입의 네트워크 포트로 구현될 수 있다. 예컨대, 상기 제1네트워크 포트(441)는 RJ-11 타입으로, 상기 제2네트워크 포트(442)는 RJ-45 타입으로 구현될 수 있다. 이처럼 서로 다른 타입의 네트워크 포트를 이용함으로써, 물리적으로 상기 데이터 처리장치(100)가 연결될 네트워크를 구분할 수 있다.
다시 도 1을 참조하면, 상기 메모리 장치(200)를 이용해 전술한 바와 같이 사용자의 인증절차가 수행될 수 있다. 사용자의 인증이 성공되면, 사용자는 제1네트워크(예컨대, 인트라넷) 사용 환경에서는 상기 제1네트워크 환경에서 허락된 모든 응용프로그램(애플리케이션)을 사용할 수 있으며, 상기 데이터 처리장치(100)에 구비된 저장장치(예컨대, 하드 디스크 등)에도 접근이 가능할 수 있다. 즉, 상기 데이터 처리장치(100)의 기본 사용 환경인 상기 제1네트워서에서는 사용자는 적은 제약으로 필요한 작업을 수행할 수 있다. 제1네트워크에서 환경에서의 사용자의 제약으로는 상기 에이전트(110) 자체에 대한 접근 또는 상기 메모리 장치(200)의 접근 중 일부의 접근(예컨대, 사용자 인증정보에 대한 접근 등)을 일 예로 들 수 있다.
사용자는 상기 에이전트(110) 자체에 접근하여, 필요한 기능 또는 설정을 변경할 수 없는 것이 바람직하다. 또한, 제1네트워크 사용 환경에서 상기 메모리 장치(200)에 소정의 파일을 저장할 때에 암호화가 수행되지 않고 바로 저장될 수도 있지만, 상기 메모리 장치(200)에 소정의 파일이 저장될 때에는 암호화되어 저장될 수도 있다. 따라서, 상기 데이터 처리장치(100)와 분리되어 독립적으로 관리될 수 있는 상기 메모리 장치(200)의 보안을 보장할 수 있다. 암호화 프로세스는 상기 에이전트(110)에 의해 수행될 수 있다. 구현 예에 따라서는 상기 메모리 장치(200)에 소정의 프로세서가 구비된 경우, 상기 메모리 장치(200)에 의해 암호화 프로세스가 수행될 수도 있다.
예컨대, 상기 에이전트(110)는 상기 데이터 처리장치(100)가 상기 메모리 장치(200)에 파일을 쓰려고 하는 경우, 소정의 암호화방식을 이용하여 암호화를 진행한 후 저장할 수 있다. 상기 에이전트(110)는 상기 메모리 장치(200)의 고유식별번호를 암호화키로 사용하여 암호화를 수행할 수 있다.
한편, 사용자가 제1네트워크 환경에서 상기 데이터 처리장치(100)를 사용하다가 제2네트워크에 접속할 필요가 있을 수 있다.
이때에는 도 2에 도시된 바와 같은 절차가 진행될 수 있다.
도 2는 본 발명의 실시 예에 따른 메모리 장치를 이용한 망 이중화 시스템 제공방법의 데이터 흐름도를 나타낸다.
도 1 및 도 2를 참조하면, 전술한 바와 같이 상기 에이전트(110)는 메모리 장치(200)에서 인증정보를 추출하여 사용자를 인증할 수 있으며(S100), 사용자는 기본 네트워크 환경인 제1네트워크에서 본 발명의 실시 예에 따른 망 이중화 시스템을 사용할 수 있다(S110).
그 후, 사용자는 상기 에이전트(110)에게 네트워크 전환을 요청할 수 있다(S120). 네트워크 전환을 요청하기 위해 사용자는 상기 에이전트(110)가 제공하는 소정의 UI(예컨대, 버튼 등)를 선택할 수 있다. 그러면, 상기 에이전트(110)는 네트워크 환경을 전환하기 위해 소정의 과정을 수행한다.
먼저 상기 에이전트(110)는 제1네트워크의 사용환경에서 실행되고 있는 모든 응용 프로그램을 종료할 수 있다(S130). 물론, 상기 모든 응용 프로그램에는 상기 에이전트(110)는 포함되지 않는다.
그 후, 상기 에이전트(110)는 전술한 바와 같이 상기 네트워크 장치(400)로 소정의 제어신호를 출력하여, 상기 네트워크 컨트롤러(410)가 상기 제1네트워크 포트(441)와는 단락되고, 상기 제2네트워크 포트(442)와는 연결되도록 할 수 있다(S140).
그러면, 상기 데이터 처리장치(100)는 제2네트워크에 접속하게 된다(S150).
상기 제2네트워크는 상기 데이터 처리장치(100)의 기본환경이 아니므로, 보안상 또는 기능상 여러 가지 사용환경의 제약 즉, 보안 메커니즘이 필요할 수 있다.
본 발명의 일 실시 예에 의하면 상기 보안 메커니즘은 제2네트워크 환경에서는 상기 메모리 장치(200) 또는 전술한 바와 같은 상기 데이터 처리장치(100)의 저장장치(미도시)의 특정 영역에 저장된 응용프로그램만이 실행되는 메커니즘을 포함할 수 있다.
상기 메모리 장치(200) 또는 상기 특정 영역에 저장된 응용프로그램만이 실행되도록 하기 위해 도 3에 도시된 바와 같은 과정이 수행될 수 있다.
도 3은 본 발명의 실시 예에 따른 망 이중화 시스템의 보안 메커니즘의 데이터 흐름을 나타낸다.
도 3을 참조하면, 상기 에이전트(110)는 제2네트워크 환경에서 호출되는 응용프로그램을 모니터링(monitoring) 할 수 있다(S151). 그러면 상기 에이전트(110)는 호출된 응용프로그램이 상기 메모리 장치(200)에 저장된 응용 프로그램인지를 판단할 수 있다(S152). 구현 예에 따라 상기 데이터 처리장치(100)에 구비된 저장장치(미도시)의 특정영역이 상기 메모리 장치(200)의 역할을 수행할 수 있음은 전술한 바와 같다. 즉, 상기 에이전트(110)는 호출된 응용프로그램이 상기 특정영역에 저장된 응용 프로그램인지 여부를 판단할 수도 있다. 상기 메모리 장치(200) 또는 상기 특정영역에 저장된 응용 프로그램이 호출되었는지 여부는 상기 응용 프로그램 자체가 호출되는 경우인지 여부뿐만 아니라, 호출된 응용프로그램에 대응되는 응용프로그램이 상기 메모리 장치(200)에 저장되어 있는지 여부를 포함하는 의미로 사용될 수 있다.
예컨대, 상기 에이전트(110)는 사용자로부터 OS로 출력되는 응용프로그램의 호출을 후킹(hooking)하고, 후킹된 응용프로그램의 호출에 대응되는 응용프로그램이 상기 메모리 장치(200) 또는 특정영역에 존재하면 상기 메모리 장치(200) 또는 특정영역에 저장된 응용프로그램으로 경로 또는 메시지를 변경할 수 있다. 예컨대, 상기 데이터 처리장치(100)에 저장된 웹 브라우저가 호출되는 경우, 상기 메모리 장치(200) 또는 상기 특정영역에 저장된 상기 웹 브라우저에 대응되는 보안 웹 클라이언트가 호출될 수 있다.
만약 호출된 응용프로그램에 대응되는 응용프로그램이 상기 메모리 장치(200) 또는 상기 특정영역에 존재하지 않는 경우 아무런 응용프로그램도 수행되지 않을 수 있다.
상기 메모리 장치(200) 또는 상기 특정영역에 저장된 응용프로그램은 제2네트워크 환경에서 사용이 허락된 인증된 응용프로그램일 수 있다. 특히, 상기 응용프로그램은 상기 제2네트워크가 인터넷인 경우 보안 웹 클라이언트(예컨대, 웹 브라우저)를 포함할 수 있다.
상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 자체적으로 보안 메커니즘을 가질 수 있다. 예컨대, 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 상기 메모리 장치(200) 또는 상기 특정영역에 저장되며, 이동이 되지 않도록 설정될 수 있다.
즉, 본 발명의 실시 예에 따른 망 이중화 시스템의 보안 메커니즘이 메모리 장치(200)를 이용해 제공되는 경우에, 상기 보안 웹 클라이언트는 상기 메모리 장치(200)에 저장되어 있고, 상기 데이터 처리장치(100)에 설치되지 않으며, 상기 메모리 장치(200)를 통해서만 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)가 실행될 수 있다.
또한, 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)를 통해 일어나는 디스크 I/O는 상기 메모리 장치(200)로만 일어나도록 제어할 수 있다. 즉, 상기 데이터 처리장치(100)에 구비된 다른 저장장치로의 I/O가 일어나는 것을 방지할 수 있다. 따라서, 기본 사용환경이 제1네트워크 환경에 영향을 미치지 않도록 할 수 있다. 예컨대, 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 웹 브라우징 시에 자동 또는 수동으로 설치될 수 있는 ActiveX 등과 같은 프로그램이 설치되는 것을 방지할 수 있다. 물론, ActiveX 뿐만 아니라, 모든 기타 파일들도 상기 데이터 처리장치(100)에 저장되는 것을 방지하도록 할 수 있다.
구현 예에 따라 본 발명의 실시 예에 따른 망 이중화 시스템의 보안 메커니즘이 상기 특정영역(예컨대, 가상 드라이브)를 이용해 제공되는 경우, 상기 보안 웹 클라이언트는 상기 특정영역에 저장되어 있고, 상기 데이터 처리장치(100)의 다른 영역에는 설치되지 않으며, 상기 특정영역을 통해서만 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)가 실행될 수 있다.
또한, 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)를 통해 일어나는 디스크 I/O는 상기 특정영역으로만 일어나도록 제어할 수 있다. 즉, 상기 데이터 처리장치(100)에 구비된 다른 저장영역으로의 I/O가 일어나는 것을 방지할 수 있다.
한편, 상기 보안 웹 클라이언트가 상기 제2네트워크 환경에서 실행되는 동안 소정의 임시파일들이 생성 및 저장될 수 있는데, 상기 임시파일들은 상기 데이터 처리장치(100)에 구비된 메모리(예컨대, 메인 메모리(RAM) 등)의 일부 지정된 영역에 저장될 수 있다. 즉, 상기 메모리의 일부 영역이 임시파일이 저장될 영역으로 설정될 수 있으며, 임시파일이 상기 메모리의 일부 영역에 저장되도록 함으로써 상기 임시파일은 상기 메모리 장치(200) 또는 상기 데이터 처리장치(100)에 구비된 저장장치에 저장되는 경우와 달리 시스템의 종료 또는 전원이 차단될 경우에 저장된 상기 임시파일도 모두 없어지는 특성을 가진다. 따라서 시스템의 종료 후 기본네트워크 환경인 제1네트워크 환경으로 다시 시스템이 파워온 되더라도 제2네트워크 환경의 산물인 임시파일은 모두 없어진 상태로 시스템이 초기화되는 효과를 갖는다.
만약, 상기 제2네트워크 환경에서 상기 제1네트워크 환경으로 상기 데이터 처리장치(100)의 네트워크 환경이 변경되는 경우에는 상기 에이전트(110)가 상기 메모리의 일부 영역에 저장된 임시파일들을 삭제하는 기능을 수행한다. 따라서, 개방형 네트워크 환경에서 생성된 임시파일들로 인해 발생 가능한 정보 보안의 문제점 및 시스템이 공격받을 수 있는 요소를 완전히 제거할 수 있는 효과가 있다.
도 4는 본 발명의 실시 예에 따른 디스크 I/O 제어 과정을 나타내는 도면이다.
도 4를 참조하면, 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)는 상기 데이터 처리장치(100)에서 디스크 I/O(예컨대, 파일 저장 등)가 발생하는 경우, 상기 디스크 I/O를 모니터링 할 수 있다(S153). 그리고 상기 디스크 I/O에 포함된 경로 정보가 상기 메모리 장치(200)(또는 상기 특정영역)가 아닌 경우에는 사용자의 동의하에 또는 자동으로 상기 메모리 장치(200)(또는 상기 특정영역)로 디스크 I/O가 일어날 경로를 변경할 수 있다(S154). 또는 사용자가 디스크 I/O의 경로를 지정하여야 하는 경우, 상기 데이터 처리장치(100)에 구비된 저장장치에 대응되는 경로의 지정을 디스에이블(disable) 시킬 수도 있다.
그 후 상기 데이터 처리장치(100)는 지정된 경로로 디스크 I/O를 수행할 수 있다.
이처럼, 본 발명의 실시 예에 따른 망 이중화 방법은 상기 메모리 장치(200)(또는 상기 특정영역)에 저장된 응용 프로그램만이 실행되도록 하는 메커니즘 및/또는 상기 응용 프로그램 자체가 가지는 메커니즘을 포함할 수 있다.
또한, 본 발명의 실시 예에 따른 망 이중화 방법은 상기 에이전트(110)를 통해 디스크 I/O를 추가적으로 제어할 수 있다.
예컨대, 제2네트워크 환경에서 상기 보안 웹 클라이언트(예컨대, 웹 브라우저)에 의한 디스크 I/O가 아닌 경우, 또는 기타 다른 프로세스 연산에서 디스크 I/O가 일어나는 경우 상기 에이전트(110)는 상기 메모리 장치(200)(또는 상기 특정영역)에서만 디스크 I/O가 일어나도록 제어할 수 있다. 상기 에이전트(110)가 디스크 I/O를 수행하는 과정은 도 4에서 설명한 것과 유사하므로 상세한 설명은 생략한다.
상술한 바와 같이, 본 발명의 실시 예에 따른 망 이중화 시스템은 기본 사용환경이 아닌 제2네트워크 환경에서는 인증된(즉, 메모리 장치(200)(또는 상기 특정영역)에 저장된) 응용 프로그램의 실행만을 허용하며, 디스크 I/O역시 메모리 장치(200)(또는 상기 특정영역)를 통해서만 일어나도록 함으로써 제1네트워크와 물리적/논리적으로 분리된 이중화 방법을 제시할 수 있다.
한편, 제2네트워크 환경에서 사용자는 다시 제1네트워크 환경으로 네트워크 전환 요청을 상기 에이전트(110)에게 할 수 있다.
그러면, 상기 에이전트(110)는 상기 제2네트워크 환경에서의 응용 프로그램 및 프로세스를 종료하며, 상기 제2네트워크 포트(442)를 단락시키고 상기 제1네트워크 포트(441)를 상기 네트워크 컨트롤러와 연결시키며, 그에 따라 상기 제1네트워크에 접속할 수 있다.
제2네트워크 환경은 기본 사용 환경이 아니므로 보안상 취약할 수 있으므로, 상기 에이전트(110)는 제2네트워크 환경에서 수행되던 응용 프로그램뿐만 아니라, 사용자 프로세스도 강제로 종료할 수 있다. 왜냐하면 제2네트워크 환경에서 수행되던 프로세스가 종료되지 않으면 제1네트워크 환경으로 변환된 뒤에도 제1네트워크 환경에서 상기 데이터 처리장치(100)에 소정의 연산을 수행하는 등의 작업을 통해 상기 데이터 처리장치(100)에 영향을 미칠 수 있기 때문이다.
그 후 사용자는 다시 기본 사용환경인 제1네트워크에서 최소한의 제약으로 상기 데이터 처리장치(100)를 사용할 수 있다. 제1네트워크 환경에서는 상기 메모리 장치(200)(또는 상기 특정영역)에 접근 및/또는 사용을 제약할 수도 있으며, 정책에 따라 제1네트워크 환경에서는 상기 메모리 장치(200)(또는 상기 특정영역)에 접근 및/또는 사용을 허용할 수도 있다.
본 발명의 실시 예에 따른 이용한 망 이중화 시스템 제공방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 USB저장장치, ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (7)

  1. 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치; 및
    상기 데이터 처리장치에 설치된 에이전트를 포함하며,
    상기 데이터 처리장치가 상기 제2네트워크에 접속하는 경우, 상기 에이전트는 상기 데이터 처리장치에 탈부착 가능한 메모리 장치 또는 상기 데이터 처리장치에 구비된 저장장치의 특정영역에 저장된 응용프로그램 이외의 응용프로그램의 실행을 막는 것을 특징으로 하는 망 이중화 시스템.
  2. 제 1항에 있어서, 상기 네트워크 장치는,
    상기 데이터 처리장치가 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와는 단락되는 것을 특징으로 하는 망 이중화 시스템.
  3. 제 1항에 있어서, 상기 에이전트는,
    상기 제2네트워크 환경에서 상기 메모리 장치 또는 상기 저장장치의 특정영역에서만 디스크 I/O가 일어나도록 제어하는 망 이중화 시스템.
  4. 제 1항에 있어서, 상기 메모리 장치 또는 상기 저장장치의 특정영역에 저장된 응용프로그램은,
    보안 웹 클라이언트를 포함하며,
    상기 보안 웹 클라이언트는,
    상기 보안 웹 클라이언트를 통해 일어나는 디스크 I/O가 상기 메모리 장치 또는 상기 저장장치의 특정영역에서만 일어나도록 제어하는 망 이중화 시스템.
  5. 제 4항에 있어서,
    상기 보안 웹 클라이언트가 상기 제2네트워크 환경에서 실행되면서 생성되는 임시파일은 상기 데이터 처리장치에 포함된 메모리의 일부 영역에 저장되는 것을 특징으로 하는 망 이중화 시스템.
  6. 제 5항에 있어서,
    상기 에이전트는,
    제2네트워크 환경에서 제1네트워크 환경으로 전환되는 경우,
    상기 메모리의 일부 영역에 저장된 상기 임시파일을 삭제하는 것을 특징으로 하는 망 이중화 시스템.
  7. 서로 다른 네트워크 환경을 갖는 제1네트워크와 제2네트워크에 선택적으로 연결될 수 있는 네트워크 장치를 포함하는 데이터 처리장치;
    상기 데이터 처리장치에 설치된 에이전트; 및
    상기 데이터 처리장치에 탈부착 가능한 메모리 장치를 포함하며,
    상기 데이터 처리장치는 상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우, 연결되지 않은 나머지 네트워크와 상기 데이터 처리장치는 단락되며,
    상기 에이전트는,
    상기 제1네트워크 또는 상기 제2네트워크 중 어느 하나와 연결되는 경우,
    연결된 네트워크에서 데이터의 저장은 상기 메모리 장치에서만 일어나도록 제어하는 것을 특징으로 하는 망 이중화 시스템.
KR1020110069722A 2011-07-14 2011-07-14 망 이중화 시스템 및 그 제공방법 KR20110096516A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110069722A KR20110096516A (ko) 2011-07-14 2011-07-14 망 이중화 시스템 및 그 제공방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110069722A KR20110096516A (ko) 2011-07-14 2011-07-14 망 이중화 시스템 및 그 제공방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020090123890A Division KR101098382B1 (ko) 2009-12-14 2009-12-14 망 이중화 시스템 및 그 제공방법

Publications (1)

Publication Number Publication Date
KR20110096516A true KR20110096516A (ko) 2011-08-30

Family

ID=44931726

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110069722A KR20110096516A (ko) 2011-07-14 2011-07-14 망 이중화 시스템 및 그 제공방법

Country Status (1)

Country Link
KR (1) KR20110096516A (ko)

Similar Documents

Publication Publication Date Title
RU2714607C2 (ru) Двукратная самодиагностика памяти для защиты множества сетевых конечных точек
US10558798B2 (en) Sandbox based Internet isolation in a trusted network
US10554475B2 (en) Sandbox based internet isolation in an untrusted network
KR101487865B1 (ko) 판독전용 영역과 판독/기록 영역, 분리형 매체 구성부품, 시스템 관리 인터페이스, 네트워크 인터페이스를 가진 컴퓨터 기억장치
EP2973171B1 (en) Context based switching to a secure operating system environment
US8281363B1 (en) Methods and systems for enforcing network access control in a virtual environment
EP2909772B1 (en) Unauthorized access and/or instruction prevention, detection, and/or remediation, at least in part, by storage processor
EP2786298B1 (en) Method and apparatus for securing a computer
US20100235833A1 (en) Methods and systems for providing secure image mobility
US9178884B2 (en) Enabling access to remote entities in access controlled networks
US20120089838A1 (en) Method and device for securely configuring a terminal
KR101408524B1 (ko) 신뢰 플랫폼 모듈(tpm) 공유 방법 및 신뢰 플랫폼 모듈(tpm) 공유 시스템
EP3265949B1 (en) Operating system management
US11550898B2 (en) Browser application implementing sandbox based internet isolation
EP3623978B1 (en) Computer having isolated user computing unit
US11941264B2 (en) Data storage apparatus with variable computer file system
KR101098382B1 (ko) 망 이중화 시스템 및 그 제공방법
JP4728871B2 (ja) 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末
US20230025979A1 (en) Systems and methods for peripheral device security
JP6623656B2 (ja) 通信制御装置、通信制御方法及び通信制御プログラム
KR20110096516A (ko) 망 이중화 시스템 및 그 제공방법
Ramachandran et al. New Client Virtualization Usage Models Using Intel Virtualization Technology.
US20210365561A1 (en) Overriding sub-system identifiers with protected variable values
US20220374534A1 (en) File system protection apparatus and method in auxiliary storage device
KR20100026428A (ko) 메모리 장치를 이용한 망 이중화 시스템 및 그 제공방법

Legal Events

Date Code Title Description
A107 Divisional application of patent
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid