KR20190045892A - 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 - Google Patents
분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 Download PDFInfo
- Publication number
- KR20190045892A KR20190045892A KR1020190046090A KR20190046090A KR20190045892A KR 20190045892 A KR20190045892 A KR 20190045892A KR 1020190046090 A KR1020190046090 A KR 1020190046090A KR 20190046090 A KR20190046090 A KR 20190046090A KR 20190045892 A KR20190045892 A KR 20190045892A
- Authority
- KR
- South Korea
- Prior art keywords
- internal network
- external network
- bypass switch
- module
- communication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명의 일 실시예는, 내부망으로부터 수신한 데이터를 단방향 통신을 통해 중간 연계 모듈로 전송하고, 상기 중간 연계 모듈로부터 내부망 바이패스 스위치의 제어에 따른 제1 단방향 통신을 통해 전송 받은 데이터를 상기 내부망으로 전송하는 내부망 연계 모듈; 상기 중간 연계 모듈로부터 단방향 통신을 통해 수신한 데이터를 외부망으로 전송하고, 상기 외부망으로부터 수신한 데이터를 외부망 바이패스 스위치의 제어에 따른 제2 단방향 통신을 통해 상기 중간 연계 모듈로 전송하는 외부망 연계 모듈; 상기 내부망 연계 모듈로부터 수신한 데이터를 상기 외부망 연계 모듈로 전송하고, 상기 외부망 연계 모듈로부터 수신한 데이터를 상기 내부망 연계 모듈로 전송하는 중간 연계 모듈 및 상기 내부망 바이패스 스위치와 상기 외부망 바이패스 스위치의 동작 모드는 실시간 양방향 연결을 배제하는 배타적 동작 모드를 포함하는 것인, 분리된 망 사이의 데이터 통신을 지원하는 장치를 제공한다.
Description
본 발명은 내부망과 외부망 사이의 보안성 높은 데이터 통신을 지원하기 위한 것으로, 외부망에서 내부망으로의 데이터 통신을 제어하여 내부 네트워크와 외부 네트워크 사이의 데이터 통신을 지원하는 장치 및 그 방법에 관한 것이다.
근본적으로 외부 네트워크로부터의 공격을 원천 차단하기 위해서는 외부망과 내부망을 물리적으로 분리하는 망 분리가 필요하다. 그러나 내부망에 상응하는 로그 정보 등을 전송이 필요하여, 외부의 공격을 원천 차단할 수 있으면서 외부망으로 데이터 전송을 가능케하는 물리적 단방향 데이터 전송 기술이 개발되었다.
하지만, 물리적 단방향 데이터 전송 장치를 사용하여 내부망과 외부망을 분리하여 내부망에서 외부망으로의 단방향 전송만 가능한 환경을 구성하더라도 환경에 따라 내부망에서 외부망으로의 데이터 수신을 필요로 할 수 있다. 예를 들어, 비정기적으로 또는 필요시 내부망 기기의 프로그램을 패치하거나 백신을 업데이트 할 수 있다. 이를 위해, 물리적 단방향 데이터 전송장치를 외부망에서 내부망으로 적용하거나 방화벽을 사용하여 DMZ(demilitarized zone)를 구축할 수도 있다.
Waterfall사의 FLIP이라는 장치는 방향을 반전할 수 있는 물리적인 단방향 데이터 전송 장치이며, 이를 적용하면, 외부망에서 내부망으로의 주기적인 보안 업데이트 등을 수행할 수 있다. 이는 내부망에서 외부망으로의 물리적인 양방향은 허용하지 않는다. 하지만, FLIP장치가 역방향(외부망에서 내부망)으로의 단방향이 적용된 시간 동안에는 내부망에서 외부망으로의 단방향 통신 구간이 끊기게 되는 단점이 있다.
방화벽은 내부망에서 외부망으로의 직접적인 또는 간접적인 양방향 통신을 허용하며, 이 경우 보안 위협에 노출될 수도 있다. 예를 들어, 방화벽이 설정되어 있더라도, 내부망 기기에 감염되어 있는 백도어 공격을 통해 내부망 기기가 외부망 기기의 공격자에 의해 실시간으로 제어당할 수도 있다. 이는 내부망 기기와 외부망 기기가 물리적으로 양방향으로 연결되어 있기 때문에 나타날 수 있는 문제이다.
따라서, FLIP장치의 단점을 해결함과 동시에 내부망과 외부망간의 직접적인 양방향 통신은 물리적으로 불가능한 구조를 지닌 네트워크 기반 데이터 연계 구조를 포함한 시스템 및 방법의 개발이 필요하다.
전술한 배경기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.
본 발명의 목적은 내부망에서 외부망으로의 단방향 통신은 허용하되, 외부망에서 내부망으로의 단방향 통신을 제어하여 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법을 제공하는 것이다.
또한, 본 발명의 목적은 내부망에서 외부망으로의 직접적인 양방향 통신이 물리적으로 불가능하도록 하여 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법을 제공하는 것이다.
상기의 목적을 달성하기 위한 본 발명의 일실시예에 따른 분리된 망 사이의 데이터 통신을 지원하는 장치는 내부망으로부터 수신한 데이터를 단방향 통신을 통해 중간 연계 모듈로 전송하고, 상기 중간 연계 모듈로부터 내부망 바이패스 스위치의 제어에 따른 제1 단방향 통신을 통해 전송 받은 데이터를 상기 내부망으로 전송하는 내부망 연계 모듈; 상기 중간 연계 모듈로부터 단방향 통신을 통해 수신한 데이터를 외부망으로 전송하고, 상기 외부망으로부터 수신한 데이터를 외부망 바이패스 스위치의 제어에 따른 제2 단방향 통신을 통해 상기 중간 연계 모듈로 전송하는 외부망 연계 모듈; 상기 내부망 연계 모듈로부터 수신한 데이터를 상기 외부망 연계 모듈로 전송하고, 상기 외부망 연계 모듈로부터 수신한 데이터를 상기 내부망 연계 모듈로 전송하는 중간 연계 모듈 및 상기 내부망 바이패스 스위치와 상기 외부망 바이패스 스위치의 동작 모드는 실시간 양방향 연결을 배제하는 배타적 동작 모드를 포함한다.
이 때, 상기 배타적 동작 모드는 상기 제1 단방향 통신 및 상기 제2 단방향 통신이 동시에 활성화되지 않는 모드일 수 있다.
이 때, 상기 내부망 연계 모듈은 상기 동작 모드에 기반하여 상기 내부망 바이패스 스위치를 제어하고, 상기 내부망 바이패스 스위치의 제어에 상응하여 상기 외부망 바이패스 스위치를 제어하기 위한 제어 신호를 상기 외부망 연계 모듈에 전송하여 상기 외부망 바이패스 스위치를 제어할 수 있다.
이 때, 상기 배타적 동작 모드는 상기 제1 단방향 통신이 비활성화된 경우에만 상기 제2 단방향 통신의 활성화가 가능할 수 있다.
이 때, 상기 제1 단방향 통신 및 상기 제2 단방향 통신 중 어느 하나 이상의 활성화 여부와 상관 없이, 상기 내부망으로부터 상기 외부망으로의 단방향 데이터는 항상 전송 가능할 수 있다.
이 때, 상기 내부망 연계 모듈은 상기 내부망으로부터 수신된 5tuple(source IP, source port, destination IP, destination port, protocol)의 TCP SYN(Synchronization) 패킷의 송신을 위해 상기 제2 단방향 통신이 비활성화된 동안 먼저 상기 제1 단방향 통신을 활성화하여 상기 중간 연계 모듈을 전송 서버로 하는 제1 TCP 세션을 설정하고, 이후 상기 제1 단방향 통신이 비활성화되고 상기 제2 단방향 통신이 활성화되면 상기 중간 연계 모듈을 전송 클라이언트로 하는 제2 TCP 세션이 설정될 수 있다.
이 때, 상기 외부망 연계 모듈은 상기 제1 단방향 통신이 비활성화된 경우, 상기 제2 단방향 통신의 활성화가 가능함을 상기 외부망 연계 모듈의 송수신기로 알리기 위한 제1 단방향 제어 라인 및 상기 송수신기로부터 상기 외부망 바이패스 스위치로 상기 제2 단방향 통신의 활성화 제어 신호를 제공하기 위한 제2 단방향 제어 라인을 포함하고, 상기 제1 단방향 제어 라인 및 제2 단방향 제어 라인은 신호 전달 방향이 반대일 수 있다.
이 때, 상기 제어 신호는 다이오드를 이용한 단방향 신호 라인을 통해, 상기 내부망 연계 모듈로부터 상기 외부망 연계 모듈로 전송될 수 있다.
이 때, 상기 중간 연계 모듈은 상기 내부망 연계 모듈 또는 상기 외부망 연계 모듈로부터 전송 받은 중간 데이터를 임시적으로 보관하고 관리할 수 있다.
이 때, 상기 중간 연계 모듈은 상기 중간 데이터에 대해서 악성코드 검사, 무결성 검사 및 바이러스 검사 중 하나 이상을 수행하여 검사하고, 상기 중간 데이터를 전송할 때 검사 후 통과된 데이터만을 전송할 수 있다.
또한, 상기의 목적을 달성하기 위한 분리된 망 사이의 데이터 통신을 지원하는 방법은 내부망 바이패스 스위치를 통해, 내부망과 통신하는 내부망 연계 모듈과 외부망과 통신하는 외부망 연계 모듈의 사이에서 통신하는 중간 연계 모듈에서 상기 내부망 연계 모듈로의 제1 단방향 통신을 제어하는 단계; 외부망 바이패스 스위치를 통해, 상기 외부망 연계 모듈에서 상기 중간 연계 모듈로의 제2 단방향 통신을 제어하는 단계; 상기 내부망 연계 모듈에서 상기 중간 연계 모듈로의 단방향 통신과 상기 제1 단방향 통신을 통해, 상기 내부망 연계 모듈과 상기 중간 연계 모듈이 서로 내부망 연계 통신하는 단계 및 상기 중간 연계 모듈에서 상기 외부망 연계 모듈로의 단방향 통신과 상기 제2 단방향 통신을 통해, 상기 중간 연계 모듈과 상기 외부망 연계 모듈이 서로 외부망 연계 통신하는 단계를 포함하고, 상기 내부망 바이패스 스위치와 상기 외부망 바이패스 스위치의 동작 모드는 실시간 양방향 연결을 배제하는 배타적 동작 모드를 포함할 수 있다.
이 때, 상기 배타적 동작 모드는 상기 제1 단방향 통신 및 상기 제2 단방향 통신이 동시에 활성화되지 않을 수 있다.
이 때, 상기 내부망 연계 모듈은 상기 동작 모드에 기반하여 상기 내부망 바이패스 스위치를 제어하고, 상기 내부망 바이패스 스위치의 제어에 상응하여 상기 외부망 바이패스 스위치를 제어하기 위한 제어 신호를 상기 외부망 연계 모듈에 전송하여 상기 외부망 바이패스 스위치를 제어할 수 있다.
이 때, 상기 배타적 동작 모드는 상기 제1 단방향 통신이 비활성화된 경우에만 상기 제2 단방향 통신의 활성화가 가능할 수 있다.
이 때, 상기 제1 단방향 통신 및 상기 제2 단방향 통신 중 어느 하나 이상의 활성화 여부와 상관 없이, 상기 내부망으로부터 상기 외부망으로의 단방향 데이터는 항상 전송 가능할 수 있다.
이 때, 상기 내부망 연계 모듈은 상기 내부망으로부터 수신된 5tuple(source IP, source port, destination IP, destination port, protocol)의 TCP SYN(Synchronization) 패킷의 송신을 위해 상기 제2 단방향 통신이 비활성화된 동안 먼저 상기 제1 단방향 통신을 활성화하여 상기 중간 연계 모듈을 전송 서버로 하는 제1 TCP 세션을 설정하고, 이후 상기 제1 단방향 통신이 비활성화되고 상기 제2 단방향 통신이 활성화되면 상기 중간 연계 모듈을 전송 클라이언트로 하는 제2 TCP 세션이 설정될 수 있다.
이 때, 상기 제1 단방향 통신을 제어하는 단계는 상기 외부망 연계 모듈은 상기 제1 단방향 통신이 비활성화된 경우, 제1 단방향 제어 라인을 이용하여 상기 제2 단방향 통신의 활성화가 가능함을 상기 외부망 연계 모듈의 송수신기로 알리는 단계 및 제2 단방향 제어 라인을 이용하여 상기 송수신기로부터 상기 외부망 바이패스 스위치로 상기 제2 단방향 통신의 활성화 제어 신호를 제공하든 단계를 포함하고, 상기 제1 단방향 제어 라인 및 제2 단방향 제어 라인은 신호 전달 방향이 반대일 수 있다.
이 때, 상기 제어 신호는 다이오드를 이용한 단방향 신호 라인을 통해, 상기 내부망 연계 모듈로부터 상기 외부망 연계 모듈로 전송될 수 있다.
이 때, 상기 분리된 망 사이의 데이터 통신을 지원하는 방법은 상기 중간 연계 모듈이 상기 내부망 연계 모듈 또는 상기 외부망 연계 모듈로부터 전송 받은 중간 데이터를 임시적으로 보관하고 관리하는 단계를 더 포함할 수 있다.
이 때, 상기 중간 데이터를 임시적으로 보관하고 관리하는 단계는 상기 중간 데이터에 대해서 악성코드 검사, 무결성 검사 및 바이러스 검사 중 하나 이상을 수행하여 검사하는 단계를 포함하고, 상기 내부망 연계 통신하는 단계와 상기 외부망 연계 통신하는 단계는 상기 중간 데이터를 전송할 때 검사 후 통과된 데이터만을 전송할 수 있다.
본 발명에 따르면, 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법에 의해, 내부망에서 외부망으로의 단방향 통신은 허용하되, 외부망에서 내부망으로의 단방향 통신을 제어함으로써, 내부망과 외부망 간의 두 개의 단방향 통신을 분리하여 관리하고 외부망으로부터의 통신을 물리적으로 관리하여 보안성을 높일 수 있다.
또한, 본 발명에 따르면, 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법에 의해, 내부망에서 외부망으로의 직접적인 양방향 통신이 물리적으로 불가능하도록 함으로써, 악성코드나 백도어 등을 통한 실시간 양방향 연결을 요구하는 위협에도 내부망과 외부망 사이의 직접적인 양방향 연결을 차단하여 보다 높은 보안성과 안전성을 도모할 수 있다.
도 1은 본 발명의 일 실시예에 따른 분리된 망 사이의 데이터 통신을 지원하는 시스템의 구성을 나타낸 도면이다.
도 2는 도 1에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치의 일 예를 나타낸 블록도이다.
도 3은 도 2에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치의 구성 요소 사이의 관계의 일 예를 나타낸 블록도이다.
도 4는 본 발명의 일 실시예에 따른 내부망 연계 모듈를 나타낸 블록도이다.
도 5는 본 발명의 일 실시예에 따른 중간 연계 모듈를 나타낸 블록도이다.
도 6은 본 발명의 일 실시예에 따른 외부망 연계 모듈를 나타낸 블록도이다.
도 7은 본 발명의 일 실시예에 따른 분리된 망 사이의 데이터 통신을 지원하는 장치에서 사용하는 신호 전송 라인을 나타낸 도면이다.
도 8은 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 단방향 UDP 데이터를 전송하는 방법을 나타낸 도면이다.
도 9는 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법을 나타낸 도면이다.
도 10은 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법을 나타낸 도면이다.
도 11은 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법의 전체 과정을 나타낸 도면이다.
도 12는 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법의 전체 과정을 나타낸 도면이다.
도 13는 도 1에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치의 다른 일 예를 나타낸 블록도이다.
도 2는 도 1에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치의 일 예를 나타낸 블록도이다.
도 3은 도 2에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치의 구성 요소 사이의 관계의 일 예를 나타낸 블록도이다.
도 4는 본 발명의 일 실시예에 따른 내부망 연계 모듈를 나타낸 블록도이다.
도 5는 본 발명의 일 실시예에 따른 중간 연계 모듈를 나타낸 블록도이다.
도 6은 본 발명의 일 실시예에 따른 외부망 연계 모듈를 나타낸 블록도이다.
도 7은 본 발명의 일 실시예에 따른 분리된 망 사이의 데이터 통신을 지원하는 장치에서 사용하는 신호 전송 라인을 나타낸 도면이다.
도 8은 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 단방향 UDP 데이터를 전송하는 방법을 나타낸 도면이다.
도 9는 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법을 나타낸 도면이다.
도 10은 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법을 나타낸 도면이다.
도 11은 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법의 전체 과정을 나타낸 도면이다.
도 12는 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법의 전체 과정을 나타낸 도면이다.
도 13는 도 1에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치의 다른 일 예를 나타낸 블록도이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 본 발명의 효과 및 특징, 그리고 그것들을 달성하는 방법은 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성되어 다양한 형태로 구현될 수 있다. 이하의 실시예에서, 제1, 제2 등의 용어는 한정적인 의미가 아니라 하나의 구성 요소를 다른 구성 요소와 구별하는 목적으로 사용되었다. 또한, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 또한, 포함하다 또는 가지다 등의 용어는 명세서상에 기재된 특징, 또는 구성요소가 존재함을 의미하는 것이고, 하나 이상의 다른 특징들 또는 구성요소가 부가될 가능성을 미리 배제하는 것은 아니다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명하기로 하며, 도면을 참조하여 설명할 때 동일하거나 대응하는 구성 요소는 동일한 도면 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 본 발명의 일 실시예에 따른 분리된 망 사이의 데이터 통신을 지원하는 시스템의 구성을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 분리된 망 사이의 데이터 통신을 지원하는 시스템에서 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는 내부망(210) 및 외부망(220)과 상호 연결된다. 그리고, 내부망(210)은 하나 이상의 기기들(210a, 210b 및 210c)과 상호 연결되며, 외부망(220)은 하나 이상의 기기들(220a, 220b 및 220c)과 상호 연결된다.
본 발명의 일 실시예에 따른 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는 내부망으로부터 수신한 데이터를 단방향 통신을 통해 중간 연계 모듈로 전송하고 중간 연계 모듈로부터 내부망 바이패스 스위치의 제어에 따른 제1 단방향 통신을 통해 전송 받은 데이터를 내부망으로 전송하는 내부망 연계 모듈, 중간 연계 모듈 단방향 통신을 통해 수신한 데이터를 외부망으로 전송하고 외부망으로부터 수신한 데이터를 외부망 바이패스 스위치의 제어에 따른 제2 단방향 통신을 통해 중간 연계 모듈로 전송하는 외부망 연계 모듈, 내부망 연계 모듈 또는 외부망 연계 모듈로부터 전송 받은 중간 데이터를 임시적으로 보관하여 관리하는 중간 연계 모듈을 통해 내부망(210)과 외부망(220) 사이의 통신을 지원하는 것을 특징으로 한다.
즉, 내부망(210)과 외부망(220) 사이의 통신을 중간 연계 모듈을 기준으로 2단계로 구분하여, 내부망 연계 모듈과 중간 연계 모듈 사이의 통신 및 중간 연계 모듈과 외부망 연계 모듈 사이의 통신을 이용한다.
이때, 내부망 연계 모듈과 중간 연계 모듈 사이의 통신 및 중간 연계 모듈과 외부망 연계 모듈 사이의 통신은 무선 네트워크를 통한 통신, 이더넷 케이블을 통한 유선 네트워크 통신, USB(Universal Serial Bus)를 포함하는 데이터 통신 케이블을 통한 데이터 통신 등을 포함할 수 있다.
이때, 내부망(210)과 내부망 연계 모듈 사이의 통신 및 외부망(220)과 외부망 연계 모듈 사이의 통신은 무선 네트워크를 통한 통신, 이더넷 케이블을 통한 유선 네트워크 통신, USB(Universal Serial Bus)를 포함하는 데이터 통신 케이블을 통한 데이터 통신 등을 포함할 수 있다.
여기서, 내부망 연계 모듈과 중간 연계 모듈 사이의 통신은 내부망 연계 모듈에서 중간 연계 모듈로의 단방향 통신과 내부망 바이패스 스위치를 통해 제어되는 중간 연계 모듈에서 내부망 연계 모듈로의 제1 단방향 통신을 통해 이루어질 수 있다. 또한, 중간 연계 모듈과 외부망 연계 모듈 사이의 통신은 중간 연계 모듈에서 외부망 연계 모듈로의 단방향 통신과 외부망 바이패스 스위치를 통해 제어되는 외부망 연계 모듈에서 중간 연계 모듈로의 제2 단방향 통신을 통해 이루어질 수 있다.
여기서, 내부망(210)과 외부망(220) 사이의 통신은 내부망 바이패스 스위치와 외부망 바이패스 스위치의 제어에 따라, 내부망(210)에서 외부망(220)으로의 단방향 통신 및 양방향 통신을 포함할 수 있다.
선택적 실시예에서, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는 내부망 바이패스 스위치와 외부망 바이패스 스위치의 동작 모드를 선택하는 스위치 동작 모드 선택부를 포함할 수 있고, 스위치 동작 모드가 배타적 동작 모드인 경우, 내부망 바이패스 스위치와 외부망 바이패스 스위치가 서로 배타적으로 동작할 수 있다.
이때, 내부망 바이패스 스위치와 외부망 바이패스 스위치가 서로 배타적으로 동작하게 되면, 내부망 바이패스 스위치에 의하여 제1 단방향 통신이 활성화 되었을 경우 제2 단방향 통신은 외부망 바이패스 스위치에 의하여 비활성화되고, 외부망 바이패스 스위치에 의하여 제2 단방향 통신이 활성화되면 제1 단방향 통신은 내부망 바이패스 스위치에 의하여 비활성화됨을 의미할 수 있다.
만약, 스위치가 배타적으로 동작하는 경우에는, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는 내부망(210)에서 시작하는 양방향 세션이 있는 기간 동안은 내부망 연계 모듈을 양방향 장치로 사용할 수 있다. 그리고, 내부망 연계 모듈을 양방향 장치로 사용하는 동안 외부망 연계 모듈은 외부망(220)과의 양방향 연결을 물리적으로 차단한다. 반대로, 내부망(210)에서 시작하는 양방향 세션이 없는 기간 동안은 외부망 연계 모듈을 양방향 장치로 사용할 수 있다. 그리고, 외부망 연계 모듈을 양방향 장치로 사용하는 동안, 내부망 연계 모듈은 내부망(210)과의 양방향 연결이 물리적으로 차단된다. 이와는 별개로 내부망 기기(210a 내지 210c)는 외부망 기기(220a 내지 220c)로 항상 단방향 UDP 데이터를 전송할 수 있다.
이때, 스위치 동작 모드가 동기적 동작 모드인 경우에는 내부망 바이패스 스위치와 외부망 바이패스 스위치를 동기적으로 동작하게 하여 내부망 연계 모듈과 외부망 연계 모듈이 동시에 양방향 장치로 동작하도록 할 수 있다.
예컨대, 스위치 동작 모드가 동기적 동작 모드인 경우에는, 내부망 바이패스 스위치가 비활성화되면 외부망 바이패스 스위치가 비활성화되고, 내부망 바이패스 스위치가 활성화되면 외부망 바이패스 스위치가 활성화될 수 있다.
선택적 실시예에서, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)에서 내부망 연계 모듈은 내부망 바이패스 스위치에 제어 신호를 전송하여 내부망 바이패스 스위치를 제어할 수 있다.
즉, 내부망 연계 모듈에서 내부망 바이패스 스위치를 제어할 수 있다.
이때, 제어 신호는 내부망 연계 모듈에서 내부망 바이패스 스위치로 연결된 다이오드를 통해 0 또는 1의 1비트 신호로 전송될 수 있으며, 역방향으로는 전송되지 못하도록 할 수 있다.
예컨대, 내부망 연계 모듈이 내부망 바이패스 스위치로 0의 제어 신호를 전송하여 내부망 바이패스 스위치를 비활성화하도록 할 수 있다. 또한, 내부망 연계 모듈이 내부망 바이패스 스위치로 1의 제어 신호를 전송하여 내부망 바이패스 스위치가 활성화될 수 있도록 할 수 있다.
이때, 내부망 바이패스 스위치에 대한 제어의 기준은 내부망(210)에서 시작하는 허용된 양방향 트래픽의 시작과 종료일 수 있다.
예컨대, 내부망 연계 모듈이 TCP(Transmission Control Protocol) 세션의 시작을 의미하는 내부망 기기(210a 내지 210c)에서 시작하는 허용된 5tuple(source IP, source port, destination IP, destination port, protocol)의 TCP SYN(Synchronization) 패킷을 수신하면, 내부망 바이패스 스위치로 바이패스 연결 및 전원 ON 상태로 설정할 것을 요청할 수 있다. 마찬가지로, 내부망 연계 모듈이 설립되어 있는 TCP 세션에 대해 TCP 세션의 종료를 의미하는 TCP FIN(Finish) 패킷을 수신하면, 일정시간(예, 1초) 이후에 내부망 바이패스 스위치로 바이패스 해제 및 전원 OFF 상태로 설정할 것을 요청할 수 있다.
이때, 내부망 바이패스 스위치에 대한 제어의 기준으로 스케줄링 방식을 이용할 수도 있다.
예컨대, 내부망 연계 모듈이 10분 주기로 타이머를 구동시켜, 첫 10분 동안에는 내부망 바이패스 스위치를 활성화하고, 다음 10분 동안에는 내부망 바이패스 스위치를 비활성화할 것을 요청할 수 있다.
이때, 내부망 바이패스 스위치에 대한 제어가 물리적 버튼이나 물리적 스위치을 통하여 이루어질 수 있다.
예컨대, 내부망 바이패스 스위치를 제어하기 위한 물리적 버튼을 통하여 내부망 바이패스 스위치를 연결이나 차단하기 위한 설정을 할 수 있고, 내부망 바이패스 스위치는 물리적 버튼의 설정에 의하여 연결이나 차단에 대한 제어가 이루어질 수 있다.
또한, 내부망 바이패스 스위치는 내부망 연계 모듈의 명시적인 트리거링 없이 스스로 스케줄링 기반으로 스위치의 활성화 여부를 결정할 수 있다.
선택적 실시예에서, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는 내부망 바이패스 스위치와 외부망 바이패스 스위치를 제어할 때, 각각 바이패스 연결/해제 설정 또는 전원 공급/차단 설정 중 하나 이상을 이용하여 제어할 수 있다.
즉, 스위치의 바이패스 연결/해제 설정을 통해서 제1 단방향 통신 또는 제2 단방향 통신를 활성화/비활성화 할 수도 있지만, 스위치의 전원 공급/해제 설정을 통해 제1 단방향 통신 또는 제2 단방향 통신를 활성화/비활성화 할 수도 있다. 또한, 스위치 바이패스 연결/해제 설정과 스위치 전원 공급/해제 설정을 모두 사용하여 제1 단방향 통신 또는 제2 단방향 통신를 활성화/비활성화 할 수도 있다.
예컨대, 내부망(210)에서 외부망(220)으로의 단방향 통신만을 지원하기 위하여 제1 단방향 통신을 비활성화 또는 차단하는 경우에는, 내부망 바이패스 스위치의 전원을 차단하고 내부망 바이패스 스위치의 바이패스 해제 설정을 할 수 있다. 또한, 제2 단방향 통신을 비활성화 또는 차단하는 경우에는, 외부망 바이패스 스위치의 전원을 차단하고 외부망 바이패스 스위치의 바이패스 해제 설정을 할 수 있다.
선택적 실시예에서, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)에서 내부망 바이패스 스위치는 외부망 바이패스 스위치에 제어 신호를 전송하여 외부망 바이패스 스위치를 제어할 수 있다.
즉, 내부망 바이패스 스위치에서 외부망 바이패스 스위치를 제어할 수 있다는 것이며, 이에 따라 외부망 바이패스 스위치의 동작은 내부망 바이패스 스위치의 동작과 연동되도록 할 수 있다.
이때, 제어 신호는 내부망 바이패스 스위치에서 외부망 바이패스 스위치로 연결된 다이오드를 통해 0 또는 1의 1비트 신호로 전송될 수 있으며, 역방향으로는 전송되지 못하도록 할 수 있다.
예컨대, 내부망 바이패스 스위치가 활성화되어 제1 단방향 통신이 연결될 경우에, 외부망 바이패스 스위치로 0의 제어 신호를 전송하여 외부망 바이패스 스위치를 비활성화하도록 할 수 있다. 또한, 내부망 바이패스 스위치가 비활성화되어 제1 단방향 통신이 차단된 경우에, 외부망 바이패스 스위치로 1의 제어 신호를 전송하여 외부망 바이패스 스위치가 활성화될 수 있도록 할 수 있다.
이때, 외부망 바이패스 스위치로 전송된 1의 제어 신호를, 외부망 바이패스 스위치를 활성화하라는 의미로 사용할 수도 있지만, 외부망 바이패스 스위치가 활성화 가능한 상태임을 알리는 의미로 사용할 수도 있다.
예컨대, 외부망 바이패스 스위치로 전송된 1의 제어 신호를 통해 외부망 바이패스 스위치가 활성화 가능한 상태인 경우, 제2 단방향 통신의 연결이 필요한 경우에만 외부망 바이패스 스위치를 활성화할 수 있다.
선택적 실시예에서, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는 스위치 동작 모드가 배타적 동작 모드인 경우, 내부망 바이패스 스위치는 제1 단방향 통신이 연결 또는 활성화될 때 외부망 바이패스 스위치로 제어 신호를 전송하여 제2 단방향 통신을 차단 또는 비활성화하도록 제어할 수 있다.
즉, 제1 단방향 통신이 활성화되면 제2 단방향 통신을 비활성화함으로써 제1 단방향 통신과 제2 단방향 통신이 동시에 활성화하지 못하게 되므로, 물리적으로 내부망(210)과 외부망(220) 간의 실시간 양방향 연결이 물리적으로 불가능하도록 구성할 수 있다.
이에 따라, 내부망 바이패스 스위치와 외부망 바이패스 스위치가 서로 배타적으로 동작하여 내부망과 외부망 사이의 실시간 양방향 연결이 물리적으로 불가능해짐으로써, 내부망이 보안 위협에 노출된 경우라도 외부 공격자에 의해 실시간 제어되는 것을 막을 수 있다.
*선택적 실시예에서, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)에서 내부망 연계 모듈은 화이트리스트를 이용하여 외부망(220)과 연결된 외부망 기기(220a 내지 220c)와의 데이터 통신 여부를 결정하고, 내부망 바이패스 스위치 및 외부망 바이패스 스위치를 제어할 수 있다.
이때, 화이트리스트는 내부망 바이패스 스위치에 상응하는 화이트리스트와 외부망 바이패스 스위치에 상응하는 화이트리스트가 별도로 존재할 수 있으며, 각각의 화이트리스트가 동일하도록 제한되지 않는다.
여기서, 각각의 화이트리스트는 내부망(210)에 연결된 내부망 기기(210a 내지210c)에 상응하는 IP(Internet Protocol) 주소, 포트, 외부망(220)에 연결된 외부망 기기(220a 내지 220c)에 상응하는 IP 주소, 포트, 통신을 위한 프로토콜, 양방향 여부, 1일 허용횟수, 1일 이용횟수, 1회 허용시간 등을 포함할 수 있다.
예컨대, 내부망 바이패스 스위치에 상응하는 화이트리스트에 내부망 기기(210a)에서 외부망 기기(220a)로의 단방향 UDP(User Datagram Protocol) 통신에 대한 내용이 포함된 경우에는, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는 내부망 기기(210a)에서 외부망 기기(220a)로의 단방향 통신을 허용하고 내부망 바이패스 스위치를 비활성화하여 외부망 기기(220a)에서 내부망 기기(210a)로의 통신을 제한할 수 있다. 마찬가지로, 외부망 바이패스 스위치에 상응하는 화이트리스트에 내부망 기기(210a)에서 외부망 기기(220a)로의 단방향 UDP 통신에 대한 내용이 포함된 경우에는, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는 내부망 기기(210a)에서 외부망 기기(220a)로의 단방향 통신을 허용하고 외부망 바이패스 스위치를 비활성화하여 외부망 기기(220a)에서 내부망 기기(210a)로의 통신을 제한할 수 있다.
이때, 각각의 화이트리스트는 내부망 기기(210a)에서 외부망 기기(220a)로의 단방향 통신을 허용하고, 외부망 기기(220a)에서 내부망 기기(210a)로의 단방향 통신은 내부망 기기(210a)에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 허용하도록 하는 조건부 양방향 통신을 지원하는 화이트리스트를 의미할 수 있다.
예컨대, 내부망 바이패스 스위치에 상응하는 화이트리스트와 외부망 바이패스 스위치에 상응하는 화이트리스트 모두가 조건부 양방향 통신을 지원하는 화이트리스트이고, 그에 따라 내부망 기기(210a)와 외부망 기기(220a)의 조건부 양방향 통신을 허용하는 경우, 내부망 바이패스 스위치와 외부망 바이패스 스위치는 각각에 상응하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 통신을 허용하도록 동작할 수 있다. 그리고, 내부망 바이패스 스위치와 외부망 바이패스 스위치는 각각의 제어 절차에 의하여 제어될 수 있다.
이때, 내부망 바이패스 스위치에 상응하는 화이트리스트와 외부망 바이패스 스위치에 상응하는 화이트리스트 모두 조건부 양방향 통신을 위한 화이트리스트인 경우에, 스위치 동작 모드가 배타적 동작 모드로 설정될 수 있다.
이에 따라, 미리 외부망과 내부망 사이의 통신이 가능한 기기를 설정하여 익명의 기기로부터의 통신을 미리 제한하여 보안 위협을 낮출 수 있다.
선택적 실시예에서, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)에서 중간 연계 모듈은 중간 데이터에 대해 악성코드 검사, 무결성 검사, 바이러스 검사 중 하나 이상을 수행하여 검사하고, 중간 데이터의 검사 후 통과된 데이터만을 전송할 수 있다.
예컨대, 외부망(220)에서 내부망(210)으로 전송하고자 하는 데이터가 제2 단방향 통신을 통해 중간 연계 모듈에 임시적으로 저장되고 관리될 때, 중간 연계 모듈은 수신한 중간 데이터에 대하여 검사할 수 있으며, 검사 후 통과된 데이터만 제1 단방향 통신을 통해 내부망(210)으로 전송하도록 할 수 있다.
이에 따라, 통신하는 데이터를 중간에 미리 검사함으로써 보안성을 높일 수 있으며, 특히 외부망에서 내부망으로 전송될 데이터가 감염된 경우라도 내부망과 직접 연결되지 않은 중간 연계 장치에서 먼저 수신하여 검사함으로써 보안이 요구되는 내부망과 격리하여 처리할 수 있다.
선택적 실시예에서, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)에서 중간 연계 모듈은 외부망 바이패스 스위치에 의해 제2 단방향 통신이 활성화되거나, 내부망 바이패스 스위치에 의해 제1 단방향 통신이 비활성화되거나 또는 주기적으로, 외부망 연계 모듈과의 양방향 통신을 요청할 수 있다.
여기서, 중간 연계 모듈이 외부망 연계 모듈과 양방향 통신을 요청하더라도 외부망 바이패스 스위치를 활성화할 수 없는 상태인 경우라면, 중간 연계 모듈과 외부망 연계 모듈 사이의 양방향 통신은 이루어질 수 없다.
예컨대, 내부망 바이패스 스위치가 비활성화되어 내부망 바이패스 스위치가 외부망 바이패스 스위치로 1의 제어 신호를 전송한 경우, 외부망 바이패스 스위치는 활성화 가능한 상태가 될 수 있고, 중간 연계 모듈이 제1 단방향 통신이 비활성화되었으므로 제2 단방향 통신의 활성화 요청을 보내 외부망 바이패스 스위치를 통해 제2 단방향 통신을 활성화할 수 있다.
내부망(210)은 분리된 망 사이의 데이터 통신을 지원하는 장치(100)을 통해 다른 분리된 망과 제한적으로 통신하는, 통신 보안을 요구하는 분리된 망을 의미한다.
예컨대, 내부망(210)은 기업이나 학교 등의 인트라넷일 수 있다.
외부망(220)은 내부망(210)과 분리된 망을 의미한다.
도 2는 도 1에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치(100)의 일 예를 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는 제어부(110), 내부망 연계 모듈(120), 중간 연계 모듈(130), 외부망 연계 모듈(140), 내부망 바이패스 스위치(150), 외부망 바이패스 스위치(160) 및 스위치 동작 모드 선택부(170) 등을 포함한다.
상세히, 제어부(110)는 일종의 중앙처리장치로서 분리된 망 사이의 데이터 통신을 지원하는 전체 과정을 제어한다. 즉, 제어부(110)는 내부망 연계 모듈(120), 중간 연계 모듈(130), 외부망 연계 모듈(140), 내부망 바이패스 스위치(150), 외부망 바이패스 스위치(160) 및 스위치 동작 모드 선택부(170) 등을 제어하여 다양한 기능을 제공할 수 있다.
여기서, 제어부(110)는 프로세서(processor)와 같이 데이터를 처리할 수 있는 모든 종류의 장치를 포함할 수 있다. 여기서, '프로세서(processor)'는, 예를 들어 프로그램 내에 포함된 코드 또는 명령으로 표현된 기능을 수행하기 위해 물리적으로 구조화된 회로를 갖는, 하드웨어에 내장된 데이터 처리 장치를 의미할 수 있다. 이와 같이 하드웨어에 내장된 데이터 처리 장치의 일 예로써, 마이크로프로세서(microprocessor), 중앙처리장치(central processing unit: CPU), 프로세서 코어(processor core), 멀티프로세서(multiprocessor), ASIC(application-specific integrated circuit), FPGA(field programmable gate array) 등의 처리 장치를 망라할 수 있으나, 본 발명의 범위가 이에 한정되는 것은 아니다.
내부망 연계 모듈(120)은 내부망(도 1의 210 참조)과 상호 연결되어 양방향 통신하고, 내부망 연계 모듈(120)에서 중간 연계 모듈(130)로의 단방향 통신 및 내부망 바이패스 스위치(150)을 통해 제어되는 중간 연계 모듈(130)에서 내부망 연계 모듈(120)로의 제1 단방향 통신을 통해, 중간 연계 모듈(130)과 통신한다.
즉, 내부망 연계 모듈(120)은 내부망(도 1의 210 참조)과 중간 연계 모듈(130) 사이에 위치한다.
여기서, 내부망 연계 모듈(120), 중간 연계 모듈(130) 및 외부망 연계 모듈(140)은 각각 물리적으로 분리되어 구성될 수 있다.
이때, 내부망 연계 모듈(120)은 내부망 바이패스 스위치(150)에 단방향으로 연결된 인터페이스의 링크업 이벤트 또는 링크다운 이벤트 정보를 이용하여 제1 단방향 통신이 활성화 또는 연결되었는지, 혹은 제1 단방향 통신이 비활성화 또는 차단되었는지 식별할 수 있다.
예를 들어, 내부망 바이패스 스위치(150)가 바이패스 연결 및 전원 ON 설정이 되면, 내부망 연계 모듈(120)에서는 링크업 이벤트가 발생하며, 반대로 바이패스 연결 해제 및 전원 OFF 설정이 되면, 내부망 연계 모듈(120)에서는 링크다운 이벤트가 발생한다.
이때, 내부망 연계 모듈(120)은 중간 연계 모듈(130)로의 단방향 통신이 가능하고, 중간 연계 모듈(130)에서 내부망 연계 모듈(120)로의 통신은 내부망 바이패스 스위치(150)에 의하여 제어되는 제1 단방향 통신을 통해서만 단방향 통신이 가능하다.
이때, 내부망 연계 모듈(120)에서 중간 연계 모듈(130)로의 단방향 통신은 물리적인 단방향 이더넷 링크를 사용하여 네트워크 신호를 전송할 수 있다.
이때, 중간 연계 모듈(130)에서 내부망 연계 모듈(120)로의 제1 단방향 통신은 물리적인 단방향 이더넷 링크를 사용하여 네트워크 신호를 전송할 수 있으나, 내부망 바이패스 스위치(150)의 제어하에 전송되는 네트워크 신호를 바이패스하거나 드롭할 수 있다.
즉, 내부망 연계 모듈(120)은 내부망 바이패스 스위치(150)의 제어에 따라 중간 연계 모듈(130)과 단방향 통신 또는 양방향 통신이 가능하다.
선택적 실시예에서, 내부망 연계 모듈(120)은 내부망 바이패스 스위치(150)에 제어 신호를 전송하여 내부망 바이패스 스위치(150)를 제어할 수 있다.
즉, 내부망 연계 모듈(120)에서 내부망 바이패스 스위치(150)를 제어할 수 있다.
이때, 제어 신호는 내부망 연계 모듈(120)에서 내부망 바이패스 스위치(150)로 연결된 다이오드를 통해 0 또는 1의 1비트 신호로 전송될 수 있으며, 역방향으로는 전송되지 못하도록 할 수 있다.
예컨대, 내부망 연계 모듈(120)이 내부망 바이패스 스위치(150)로 0의 제어 신호를 전송하여 내부망 바이패스 스위치(150)를 비활성화하도록 할 수 있다. 또한, 내부망 연계 모듈(120)이 내부망 바이패스 스위치(150)로 1의 제어 신호를 전송하여 내부망 바이패스 스위치(150)가 활성화될 수 있도록 할 수 있다.
이때, 내부망 바이패스 스위치(150)에 대한 제어의 기준은 내부망(도 1의 210 참조)에서 시작하는 허용된 양방향 트래픽의 시작과 종료일 수 있다.
예컨대, 내부망 연계 모듈(120)이 TCP 세션의 시작을 의미하는 내부망 기기(도 1의 210a 내지 210c 참조)에서 시작하는 허용된 5tuple(source IP, source port, destination IP, destination port, protocol)의 TCP SYN 패킷을 수신하면, 내부망 바이패스 스위치(150)로 바이패스 연결 및 전원 ON 상태로 설정할 것을 요청할 수 있다. 마찬가지로, 내부망 연계 모듈(120)이 설립되어 있는 TCP 세션에 대해 TCP 세션의 종료를 의미하는 TCP FIN 패킷을 수신하면, 일정시간(예, 1초) 이후에 내부망 바이패스 스위치(150)로 바이패스 해제 및 전원 OFF 상태로 설정할 것을 요청할 수 있다.
선택적 실시예에서, 내부망 연계 모듈(120)은 외부망 바이패스 스위치(160)에 제어 신호를 전송하여 외부망 바이패스 스위치(160)를 제어할 수 있다.
즉, 내부망 연계 모듈(120)에서 외부망 바이패스 스위치(160)를 제어할 수 있다.
이때, 제어 신호는 내부망 연계 모듈(120)에서 외부망 바이패스 스위치(160)로 연결된 다이오드를 통해 0 또는 1의 1비트 신호로 전송될 수 있으며, 역방향으로는 전송되지 못하도록 할 수 있다.
예컨대, 내부망 연계 모듈(120)이 외부망 바이패스 스위치(160)로 0의 제어 신호를 전송하여 외부망 바이패스 스위치(160)를 비활성화하도록 할 수 있다. 또한, 내부망 연계 모듈(120)이 외부망 바이패스 스위치(160)로 1의 제어 신호를 전송하여 내부망 바이패스 스위치(160)가 활성화될 수 있도록 할 수 있다.
이때, 스위치 동작 모드 선택부(170)에서 선택된 스위치 동작 모드가 배타적 동작 모드인 경우, 내부망 연계 모듈(120)은 내부망 바이패스 스위치(150)과 외부망 바이패스 스위치(160)로 상반되는 제어 신호를 전송하여 제1 단방향 통신과 제2 단방향 통신이 동시에 활성화되지 않도록 제어할 수 있다.
즉, 제1 단방향 통신이 활성화되면 제2 단방향 통신을 비활성화하고, 제2 단방향 통신이 활성화되면 제1 단방향 통신을 비활성화함으로써 제1 단방향 통신과 제2 단방향 통신이 동시에 활성화하지 못하게 되므로, 물리적으로 내부망(210)과 외부망(220) 간의 실시간 양방향 연결이 물리적으로 불가능하도록 구성할 수 있다.
선택적 실시예에서, 내부망 연계 모듈(120)은 화이트리스트를 이용하여 외부망(도 1의 220 참조)과 연결된 외부망 기기(220a 내지 220c)와의 데이터 통신 여부를 결정하고, 내부망 바이패스 스위치(150) 및 외부망 바이패스 스위치(160)를 제어할 수 있다.
이때, 화이트리스트는 내부망 바이패스 스위치(150)에 상응하는 화이트리스트와 외부망 바이패스 스위치(160)에 상응하는 화이트리스트가 별도로 존재할 수 있으며, 각각의 화이트리스트가 동일하도록 제한되지 않는다.
여기서, 각각의 화이트리스트는 내부망(도 1의 210 참조)에 연결된 내부망 기기(도 1의 210a 내지210c 참조)에 상응하는 IP 주소, 포트, 외부망(도 1의 220 참조)에 연결된 외부망 기기(도 1의 220a 내지 220c 참조)에 상응하는 IP 주소, 포트, 통신을 위한 프로토콜, 양방향 여부, 1일 허용횟수, 1일 이용횟수, 1회 허용시간 등을 포함할 수 있다.
예컨대, 내부망 바이패스 스위치(150)에 상응하는 화이트리스트에 내부망 기기(도 1의 210a 참조)에서 외부망 기기(도 1의 220a 참조)로의 단방향 UDP 통신에 대한 내용이 포함된 경우에는, 내부망 기기(도 1의 210a 참조)에서 외부망 기기(도 1의 220a 참조)로의 단방향 통신을 허용하고 내부망 바이패스 스위치(150)를 비활성화하여 외부망 기기(도 1의 220a 참조)에서 내부망 기기(도 1의 210a 참조)로의 통신을 제한할 수 있다. 마찬가지로, 외부망 바이패스 스위치(160)에 상응하는 화이트리스트에 내부망 기기(도 1의 210a 참조)에서 외부망 기기(도 1의 220a 참조)로의 단방향 UDP 통신에 대한 내용이 포함된 경우에는, 내부망 기기(도 1의 210a 참조)에서 외부망 기기(도 1의 220a 참조)로의 단방향 통신을 허용하고 외부망 바이패스 스위치(160)를 비활성화하여 외부망 기기(도 1의 220a 참조)에서 내부망 기기(도 1의 210a 참조)로의 통신을 제한할 수 있다.
이때, 각각의 화이트리스트는 내부망 기기(도 1의 210a 참조)에서 외부망 기기(도 1의 220a 참조)로의 단방향 통신을 허용하고, 외부망 기기(도 1의 220a 참조)에서 내부망 기기(도 1의 210a 참조)로의 단방향 통신은 내부망 기기(도 1의 210a 참조)에서 시작하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 허용하도록 하는 조건부 양방향 통신을 지원하는 화이트리스트를 의미할 수 있다.
예컨대, 내부망 바이패스 스위치(150)에 상응하는 화이트리스트와 외부망 바이패스 스위치(160)에 상응하는 화이트리스트 모두가 조건부 양방향 통신을 지원하는 화이트리스트이고, 그에 따라 내부망 기기(도 1의 210a 참조)와 외부망 기기(도 1의 220a 참조)의 조건부 양방향 통신을 허용하는 경우, 내부망 바이패스 스위치(150)와 외부망 바이패스 스위치(160)는 각각에 상응하는 양방향 통신 프로토콜 세션이 존재하는 경우에만 한시적으로 통신을 허용하도록 동작할 수 있다. 그리고, 내부망 바이패스 스위치(150)와 외부망 바이패스 스위치(160)는 각각의 제어 절차에 의하여 제어될 수 있다.
이때, 내부망 바이패스 스위치에 상응하는 화이트리스트와 외부망 바이패스 스위치에 상응하는 화이트리스트 모두 조건부 양방향 통신을 위한 화이트리스트인 경우에, 스위치 동작 모드가 배타적 동작 모드로 설정될 수 있다.
이때, 내부망 연계 모듈(120)이 내부망(도 1의 210 참조)로부터 수신한 데이터가 ARP(Address Resolution Protocol) 요청 패킷인 경우, ARP 요청 패킷의 target IP address가 선정된 화이트리스트의 특정 항목의 destination IP와 일치한다면, 해당 destination IP를 대신하여 ARP 응답 패킷을 생성한 뒤, 내부망(도 1의 210 참조)로 전송한다. 즉, 내부망 연계 모듈(120)은 destination IP를 대신하여 ARP 프록시 역할을 수행할 수 있다.
이에 따라, 미리 외부망과 내부망 사이의 통신이 가능한 기기를 설정하여 익명의 기기로부터의 통신을 미리 제한하여 보안 위협을 낮출 수 있다.
선택적 실시예에서, 내부망 연계 모듈(120)은 중간 연계 모듈(130)을 거치지 않고 외부망 연계 모듈(140)로 바로 단방향 통신을 통해 내부망기 기기(도 1의 210a 내지 210c 참조)의 데이터를 외부망 기기(도 1의 220a 내지 220c 참조)로 전송할 수 있다.
이때, 내부망 기기(도 1의 210a 내지 210c 참조)에서 외부망 기기(도 1의 220c 내지 220c 참조)로의 단방향 UDP 데이터는 항상 전송 가능하도록 할 수 있다.
예컨대, 내부망 기기(도 1의 210a 내지 210c 참조)에서 모니터링 데이터를 단방향 UDP로 외부망 기기(도 1의 220c 내지 220c 참조)에 전송하는 경우, 내부망 기기(도 1의 210a 내지 210c 참조)는 일반 라우팅 및 ARP 과정을 통해서 내부망 연계 모듈(120)로 UDP 패킷을 전달하고, 전달된 UDP 패킷은 내부망 연계 모듈(120)에서 중간 연계 모듈(130) 및 외부망 연계 모듈(140)로 순차적으로 전달되며, 외부망 연계 모듈(140)은 수신한 단방향 UDP 패킷을 외부망 기기(도 1의 220a 내지 220c 참조)로 전달한다.
중간 연계 모듈(130)은 내부망 연계 모듈(120)에서 단방향 통신을 통해 전송받은 중간 데이터를 임시적으로 저장하고 관리한다. 또한, 외부망 연계 모듈(140)에서 제2 단방향 통신을 통해 전송받은 중간 데이터를 임시적으로 저장하고 관리한다.
즉, 중간 연계 모듈(130)은 내부망 연계 모듈(120)과 외부망 연계 모듈(140)의 사이에 위치하여, 내부망(도 1의 210 참조)에서 송신하는 데이터 또는 내부망(도 1의 210 참조)에서 수신할 필요가 있는 데이터를 중간에서 연계하는 장치이다.
이때, 중간 연계 모듈(130)은 내부망 연계 모듈(120) 및 외부망 연계 모듈(140)과 네트워크 스위치를 사용하여 연결될 수 있다.
이때, 중간 연계 모듈(130)은 외부망 바이패스 스위치(160)와 단방향으로 연결된 인터페이스의 링크업 이벤트 또는 링크다운 이벤트 정보를 이용하여 제2 단방향 통신이 활성화 또는 연결되었는지, 제2 단방향 통신이 비활성화 또는 차단 되었는지를 식별할 수 있다.
이때, 중간 연계 모듈(130)은 주기적으로 또는 내부망 연계 모듈(120)과의 양방향 연결이 종료되거나 외부망 바이패스 스위치(160)로부터 양방향 허용 메시지를 수신하면, 외부망 기기(도 1의 220a 내지 220c 참조)로의 양방향 통신을 시작할 수 있다.
이때, 중간 연계 모듈(130)은 내부망 기기(도 1의 210a 내지 210c 참조)로부터 수신하여 저장한 데이터를 외부망 기기(도 1의 220a 내지 220c 참조)로 전송하거나, 외부망 기기(도 1의 220a 내지 220c 참조)가 가지고 있는 데이터를 수신하여 저장하기 위해서 외부망 기기(도 1의 220a 내지 220c 참조)와 양방향 통신할 수 있다. 내부망 기기(도 1의 210a 내지 210c 참조)가 양방향 세션 연결을 시도하면, 연계 스토리지가 외부망 기기(도 1의 220a 내지 220c 참조)와의 맺어진 세션이 비정상적으로 종료될 수 있다.
이때, 중간 연계 모듈(130)은 내부망 연계 모듈(120)처럼 내부망 기기(도 1의 210a 내지 210c)를 대신하여 ARP 응답패킷을 전송할 수 있다. 이를 위해, sender IP, sender MAC(Media Access Control), destination IP로 구성된 proxy ARP table을 유지할 수 있다.
선택적 실시예에서, 중간 연계 모듈(130)은 중간 데이터에 대해서 악성코드 검사, 무결성 검사, 바이러스 검사 중 하나 이상을 수행하여 검사하고, 중간 데이터의 검사 후 통과된 데이터만을 전송하도록 할 수 있다.
예컨대, 외부망(도 1의 220 참조)에서 내부망(도 1의 210 참조)으로 전송하고자 하는 데이터가 제2 단방향 통신을 통해 중간 연계 모듈(130)에 임시적으로 저장되고 관리될 때, 중간 연계 모듈(130)은 수신한 중간 데이터에 대하여 검사할 수 있으며, 검사 후 통과된 데이터만 제1 단방향 통신을 통해 내부망 연계 모듈(120)을 통해 내부망(도 1의 210 참조)으로 전송하도록 할 수 있다.
이에 따라, 통신하는 데이터를 중간에 미리 검사함으로써 보안성을 높일 수 있으며, 특히 외부망에서 내부망으로 전송될 데이터가 감염된 경우라도 내부망과 직접 연결되지 않은 중간 연계 장치에서 먼저 수신하여 검사함으로써 보안이 요구되는 내부망과 격리하여 처리할 수 있다.
선택적 실시예에서, 중간 연계 모듈(130)은 외부망 바이패스 스위치(160)에 의해 제2 단방향 통신이 활성화되거나, 내부망 바이패스 스위치(150)에 의해 제1 단방향 통신이 비활성화되거나 또는 주기적으로, 외부망 연계 모듈(140)과의 양방향 통신을 요청할 수 있다.
여기서, 중간 연계 모듈(130)이 외부망 연계 모듈(140)과 양방향 통신을 요청하더라도 외부망 바이패스 스위치(160)를 활성화할 수 없는 상태인 경우라면, 중간 연계 모듈(130)과 외부망 연계 모듈(140) 사이의 양방향 통신은 이루어질 수 없다.
예컨대, 내부망 바이패스 스위치(150)가 비활성화되어 내부망 바이패스 스위치(150)가 외부망 바이패스 스위치(160)로 1의 제어 신호를 전송한 경우, 외부망 바이패스 스위치(160)는 활성화 가능한 상태가 될 수 있고, 중간 연계 모듈(130)이 제1 단방향 통신이 비활성화되었으므로 제2 단방향 통신의 활성화 요청을 보내 외부망 바이패스 스위치(160)를 통해 제2 단방향 통신을 활성화할 수 있다.
외부망 연계 모듈(140)은 외부망(도 1의 220 참조)과 상호 연결되어 양방향 통신하고, 중간 연계 모듈(130)에서 외부망 연계 모듈(140)로의 단방향 통신 및 외부망 바이패스 스위치(160)을 통해 제어되는 외부망 연계 모듈(140)에서 중간 연계 모듈(130)로의 제2 단방향 통신을 통해, 중간 연계 모듈(130)과 통신한다.
즉, 외부망 연계 모듈(140)은 외부망(도 1의 220 참조)과 중간 연계 모듈(130) 사이에 위치한다.
이때, 중간 연계 모듈(130)은 외부망 연계 모듈(140)로의 단방향 통신이 가능하고, 외부망 연계 모듈(140)에서 중간 연계 모듈(130)로의 통신은 외부망 바이패스 스위치(160)에 의하여 제어되는 제2 단방향 통신을 통해서만 단방향 통신이 가능하다.
이때, 중간 연계 모듈(130)에서 외부망 연계 모듈(140)로의 단방향 통신은 물리적인 단방향 이더넷 링크를 사용하여 네트워크 신호를 전송할 수 있다.
이때, 외부망 연계 모듈(140)에서 중간 연계 모듈(130)로의 제2 단방향 통신은 물리적인 단방향 이더넷 링크를 사용하여 네트워크 신호를 전송할 수 있으나, 외부망 바이패스 스위치(160)의 제어하에 전송되는 네트워크 신호를 바이패스하거나 드롭할 수 있다.
즉, 외부망 연계 모듈(140)은 외부망 바이패스 스위치(160)의 제어에 따라 중간 연계 모듈(130)로부터의 단방향 통신 또는 양방향 통신이 가능하다.
이때, 외부망 연계 모듈(140)은 내부망 연계 모듈(120)처럼 내부망 기기(도 1의 210a 내지 210c)를 대신하여 ARP 응답패킷을 전송할 수 있다. 이를 위해, sender IP, sender MAC, destination IP로 구성된 proxy ARP table을 유지할 수 있다.
내부망 바이패스 스위치(150)는 중간 연계 모듈(130)에서 내부망 연계 모듈(120)로의 제1 단방향 통신을 제어하는 스위치이다. 스위치는 FSAL200 등의 analog multiplexer / demultiplexer switch(아날로그 멀티플렉서 / 디멀티플렉서 스위치)를 의미할 수 있으며, 스위치의 종류는 이에 한정되지 않는다.
여기서, 내부망 바이패스 스위치(150)는 제1 단방향 통신을 통해 전송되는 네트워크 신호를 중간에서 전달하거나 드롭할 수 있다.
선택적 실시예에서, 내부망 바이패스 스위치(150)는 바이패스 연결/해제 설정 또는 전원 공급/차단 설정 중 하나 이상을 이용하여 제1 단방향 통신을 제어할 수 있다.
즉, 내부망 바이패스 스위치(150)는 바이패스 연결/해제 설정이나 전원 공급/차단 설정을 선택적으로 이용할 수도 있으며, 바이패스 연결/해제 설정과 전원 공급/차단 설정을 모두 이용하여 제1 단방향 통신을 제어할 수 있다.
예컨대, 내부망 바이패스 스위치(150)의 바이패스 해제 및 전원 차단 설정이 된 경우에는 제1 단방향 통신을 통해 전송되는 네트워크 신호를 중간에서 드롭할 수 있고, 내부망 바이패스 스위치(150)의 바이패스 연결 및 전원 공급 설정이 된 경우에는 제1 단방향 통신을 통해 전송되는 네트워크 신호를 중간에서 전달할 수 있다.
선택적 실시예에서, 내부망 바이패스 스위치(150)는 외부망 바이패스 스위치(160)에 제어 신호를 전송하여 외부망 바이패스 스위치(160)를 제어할 수 있다.
즉, 내부망 바이패스 스위치(150)에서 외부망 바이패스 스위치(160)를 제어할 수 있다는 것이며, 이에 따라 외부망 바이패스 스위치(160)의 동작은 내부망 바이패스 스위치(150)의 동작과 연동되도록 할 수 있다.
이때, 제어 신호는 내부망 바이패스 스위치(150)에서 외부망 바이패스 스위치(160)로 연결된 다이오드를 통해 0 또는 1의 1비트 신호로 전송될 수 있으며, 역방향으로는 전송되지 못하도록 할 수 있다.
예컨대, 내부망 바이패스 스위치(150)가 활성화되어 제1 단방향 통신이 연결될 경우에, 외부망 바이패스 스위치(160)로 0의 제어 신호를 전송하여 외부망 바이패스 스위치(160)를 비활성화하도록 할 수 있다. 또한, 내부망 바이패스 스위치가 비활성화(150)되어 제1 단방향 통신이 차단된 경우에, 외부망 바이패스 스위치(160)로 1의 제어 신호를 전송하여 외부망 바이패스 스위치(160)가 활성화될 수 있도록 할 수 있다.
이때, 외부망 바이패스 스위치(160)로 전송된 1의 제어 신호를, 외부망 바이패스 스위치(160)를 활성화하라는 의미로 사용할 수도 있지만, 외부망 바이패스 스위치(160)가 활성화 가능한 상태임을 알리는 의미로 사용할 수도 있다.
예컨대, 외부망 바이패스 스위치(160)로 전송된 1의 제어 신호를 통해 외부망 바이패스 스위치(160)가 활성화 가능한 상태인 경우, 제2 단방향 통신의 연결이 필요한 경우에만 외부망 바이패스 스위치(160)를 활성화할 수 있다. 즉, 내부망 바이패스 스위치(150)가 비활성화 되었더라도, 중간 연계 모듈(130)로부터 양방향 세션 요청이 온 경우에만 외부망 바이패스 스위치(160)를 활성화할 수 있다.
선택적 실시예에서, 스위치 동작 모드 선택부(170)에서 선택된 스위치 동작 모드가 배타적 동작 모드인 경우, 내부망 바이패스 스위치(150)는 제1 단방향 통신이 연결 또는 활성화될 때 외부망 바이패스 스위치(160)로 제어 신호를 전송하여 제2 단방향 통신을 차단 또는 비활성화하도록 제어할 수 있다.
즉, 제1 단방향 통신이 활성화되면 제2 단방향 통신을 비활성화함으로써 제1 단방향 통신과 제2 단방향 통신이 동시에 활성화하지 못하게 되므로, 물리적으로 내부망(210)과 외부망(220) 간의 실시간 양방향 연결이 물리적으로 불가능하도록 구성할 수 있다.
이때, 내부망 바이패스 스위치(150)는 스위치 동작 모드가 배타적 동작 모드인 경우, 내부망 연계 모듈(120)로부터 수신한 제어 신호와 반대되는 제어 신호를 외부망 바이패스 스위치(160)로 전송할 수 있다. 이 경우, 내부망 바이패스 스위치(150)와 외부망 바이패스 스위치(160)는 항상 상반되는 동작을 한다.
이에 따라, 내부망 연계 모듈(120)이 네트워크를 통한 악성코드 등에 감염되어 내부망 바이패스 스위치(150)로 보내는 제어 신호를 조작한다 하더라도, 내부망 바이패스 스위치(150)와 외부망 바이패스 스위치(160)가 동시에 바이패스 설정 및 전원 ON 상태가 되는 것은 불가능하다. 따라서, 내부망에서 외부망으로의 직접적인 end-to-end 양방향 연결은 물리적으로 불가능하기 때문에 내부망 기기에 백도어(backdoor)가 있을지라도 실시간으로 외부의 공격자에 의해 제어되는 것은 차단할 수 있다.
외부망 바이패스 스위치(160)는 외부망 연계 모듈(140)에서 중간 연계 모듈(130)로의 제2 단방향 통신을 제어하는 스위치이다. 스위치는 FSAL200 등의 analog multiplexer / demultiplexer switch(아날로그 멀티플렉서 / 디멀티플렉서 스위치)를 의미할 수 있으며, 스위치의 종류는 이에 한정되지 않는다.
여기서, 외부망 바이패스 스위치(160)는 제2 단방향 통신을 통해 전송되는 네트워크 신호를 중간에서 전달하거나 드롭할 수 있다.
이때, 외부망 바이패스 스위치(160)는 링크업 이벤트 또는 링크다운 이벤트 발생시, 중간 연계 모듈(130)에 양방향 통신 허용 시작 또는 양방향 통신 허용 종료 알림 메시지를 전송할 수 있다.
선택적 실시예에서, 외부망 바이패스 스위치(160)는 바이패스 연결/해제 설정 또는 전원 공급/차단 설정 중 하나 이상을 이용하여 제2 단방향 통신을 제어할 수 있다.
즉, 외부망 바이패스 스위치(160)는 바이패스 연결/해제 설정이나 전원 공급/차단 설정을 선택적으로 이용할 수도 있으며, 바이패스 연결/해제 설정과 전원 공급/차단 설정을 모두 이용하여 제2 단방향 통신을 제어할 수 있다.
예컨대, 외부망 바이패스 스위치(160)의 바이패스 해제 및 전원 차단 설정이 된 경우에는 제2 단방향 통신을 통해 전송되는 네트워크 신호를 중간에서 드롭할 수 있고, 외부망 바이패스 스위치(160)의 바이패스 연결 및 전원 공급 설정이 된 경우에는 제2 단방향 통신을 통해 전송되는 네트워크 신호를 중간에서 전달할 수 있다.
스위치 동작 모드 선택부(170)는 내부망 바이패스 스위치(150)와 외부망 바이패스 스위치(160)의 동작 모드를 선택한다.
이때, 스위치 동작 모드 선택부(170)는 사용자의 입력에 의하여 내부망 바이패스 스위치(150)와 외부망 바이패스 스위치(160)의 동작 모드를 선택할 수 있다.
이때, 스위치 동작 모드 선택부(170)는 물리적인 스위치, 버튼 또는 선택기 등으로 구현되어 스위치의 동작 모드를 선택할 수 있다.
이때, 동작 모드에는 배타적 동작 모드가 포함될 수 있다.
여기서, 배타적 동작 모드는 내부망 바이패스 스위치(150)와 외부망 바이패스 스위치(160)가 서로 배타적으로 동작하게되는 동작 모드이다.
예컨대, 스위치 동작 모드가 배타적 동작 모드인 경우에, 내부망 바이패스 스위치(150)가 활성화되면 외부망 바이패스 스위치(160)가 비활성화되고, 내부망 바이패스 스위치(150)가 비활성화되면 외부망 바이패스 스위치(160)가 활성화될 수 있다.
이때, 스위치 동작 모드가 동기적 동작 모드인 경우에는 내부망 바이패스 스위치와 외부망 바이패스 스위치를 동기적으로 동작하게 하여 내부망 연계 모듈과 외부망 연계 모듈이 동시에 양방향 장치로 동작하도록 할 수 있다.
예컨대, 스위치 동작 모드가 동기적 동작 모드인 경우에, 내부망 바이패스 스위치가 비활성화되면 외부망 바이패스 스위치가 비활성화되고, 내부망 바이패스 스위치가 활성화되면 외부망 바이패스 스위치가 활성화될 수 있다.
이에 따라, 스위치 동작 모드를 배타적 동작 모드를 사용하여 내부망 바이패스 스위치와 외부망 바이패스 스위치가 배타적으로 동작함으로써, 제1 단방향 통신과 제2 단방향 통신이 동시에 연결되지 않게 되므로, 외부망과 내부망 사이에 실시간 양방향 통신을 제한할 수 있다.
선택적 실시예에서, 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는 스위치 동작 모드, 내부망 바이패스 스위치(150) 및 외부망 바이패스 스위치(160) 중 하나 이상에 상응하는 정보를 관리 소프트웨어 콘솔 등으로 전달할 수 있다.
이때, 관리 소프트웨어는 수신한 정보를 기반으로 시스템이 정상 작동하는지 판단할 수 있다.
예컨대, 스위치 동작 모드가 배타적 동작 모드인데, 내부망 바이패스 스위치(150)와 외부망 바이패스 스위치(160)가 모두 활성화된 상태인 경우, 관리 소프트웨어는 오류 알람을 제공하고 외부망 바이패스 스위치(160)를 비활성화하도록 할 수 있다.
이에 따라, 분리된 망 사이의 데이터 통신을 지원하는 장치가 의도치 않은 동작에 의해 발생할 수 있는 문제를 차단할 수 있다.
도 3은 도 2에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치(100)의 구성 요소 사이의 관계의 일 예를 나타낸 블록도이다.
도 3을 참조하면, 도 2에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는, 내부망 연계 모듈(120)이 내부망(210)과 상호 연결되며, 외부망 연계 모듈(140)이 외부망(220)과 상호 연결된다.
이때, 내부망 연계 모듈(120)은 중간 연계 모듈(130) 또는 외부망 연계 모듈(140)로 단방향 통신할 수 있다.
이때, 중간 연계 모듈(130)은 외부망 연계 모듈(140)로 단방향 통신할 수 있다.
이때, 중간 연계 모듈(130)은 내부망 바이패스 스위치(150)를 통해 내부망 연계 모듈(120)로 제1 단방향 통신을 할 수 있다.
즉, 제1 단방향 통신은 내부망 바이패스 스위치(150)의 제어에 따라 연결되거나 차단될 수 있다.
*이때, 내부망 연계 모듈(140)은 내부망 바이패스 스위치(150)에 제어 신호를 전송하여 내부망 바이패스 스위치(150)의 상태를 제어할 수 있다.
이때, 외부망 연계 모듈(140)은 외부망 바이패스 스위치(160)를 통해 중간 연계 모듈(130)로 제2 단방향 통신을 할 수 있다.
즉, 제2 단방향 통신은 외부망 바이패스 스위치(160)의 제어에 따라 연결되거나 차단될 수 있다.
이때, 내부망 바이패스 스위치(150)와 외부망 바이패스 스위치(160)는 스위치 동작 모드 선택부(170)에서 선택된 스위치의 동작 모드에 따라 그 동작이 결정될 수 있다.
예컨대, 스위치 동작 모드가 배타적 동작 모드인 경우, 내부망 바이패스 스위치(150)와 외부망 바이패스 스위치(160)가 배타적으로 동작할 수 있다.
이때, 내부망 바이패스 스위치(150)는 외부망 바이패스 스위치(160)에 제어 신호를 전송하여 외부망 바이패스 스위치(160)의 상태를 제어할 수 있다.
이때, 내부망 연계 모듈(140)은 외부망 바이패스 스위치(160)에 제어 신호를 전송하여 외부망 바이패스 스위치(160)의 상태를 제어할 수 있다.
여기서, 도 3에는 명확한 표현을 위하여 내부망 연계 모듈(120)과 중간 연계 모듈(130) 사이의 통신, 그리고 중간 연계 모듈(130)과 외부망 연계 모듈(140) 사이의 통신을 두 개의 단방향 통신으로 구분하여 표현하였으나, 이는 물리적으로 구분된 두 개의 단방향 통신 채널을 이용하는 것뿐만 아니라, 양방향 통신 채널에서 통신 방향을 구분하여 이용하는 것을 포함한다.
이에 따라, 내부망과 외부망 사이의 통신을 중간 연계 모듈을 이용하여 2개 단계로 분리하고, 외부망에서 내부망 방향으로의 단방향 통신에 대해 바이패스 스위치를 통해 제어함으로써, 외부망에서 내부망으로의 공격에 대해 더욱 효과적으로 대처할 수 있다.
또한, 스위치 동작 모드가 배타적 동작 모드인 경우, 내부망 바이패스 스위치와 외부망 바이패스 스위치가 배타적으로 동작함에 따라, 내부망과 외부망 사이의 실시간 양방향 연결을 제한하여 보안 위협에도 안정성이 높다.
도 4는 본 발명의 일 실시예에 따른 내부망 연계 모듈(120)를 나타낸 블록도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 내부망 연계 모듈(120)은, 내부망 송수신기(121), 송신기(122), 수신기(123) 및 관리부(124) 등을 포함한다.
상세히, 내부망 송수신기(121)는 내부망(210)과 상호 연결되며, 내부망(210)과 양방향 통신을 통해 신호를 송수신한다.
송신기(122)는 내부망 송수신기(121)을 통해 내부망(210)로부터 수신한 데이터를 중간 연계 모듈(130) 또는 외부망 연계 모듈(140)로 단방향 통신을 통해 신호를 송신한다. 여기서, 송신기(122)는 물리적으로 송신만 지원한다.
수신기(123)는 중간 연계 모듈(130)에서 송신되어 내부망 바이패스 스위치(150)를 거친 신호를 수신한다. 여기서, 수신기(123)는 물리적으로 수신만 지원한다.
이때, 중간 연계 모듈(130)에서 수신기(123)으로 전송되는 단방향 통신 신호는 내부망 바이패스 스위치(150)의 제어를 통해 연결되거나 차단될 수 있다.
관리부(124)는 내부망 연계 모듈(120) 내에서의 일련의 과정을 관리하는 역할을 하며, 신호 라인을 통해 내부망 바이패스 스위치(150)를 제어하기 위한 제어 신호를 전송할 수 있다.
이때, 내부망 바이패스 스위치(150)를 제어하기 위한 제어 신호를 전송하는 신호 라인은 0 또는 1의 값을 갖는 1비트 신호 전송 라인으로, 다이오드를 통해 한쪽 방향으로만 신호 전송이 가능하도록 구현될 수 있다.
비록 도 4에는 도시되지 않았지만, 관리부(124)는 신호 라인을 통해 외부망 바이패스 스위치(160)를 제어하기 위한 제어 신호를 전송할 수 있다.
이때, 외부망 바이패스 스위치(160)를 제어하기 위한 제어 신호를 전송하는 신호 라인은 0 또는 1의 값을 갖는 1비트 신호 전송 라인으로, 다이오드를 통해 한쪽 방향으로만 신호 전송이 가능하도록 구현될 수 있다.
도 5는 본 발명의 일 실시예에 따른 중간 연계 모듈(130)를 나타낸 블록도이다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 중간 연계 모듈(130)은, 수신기(131), 송신기(132), 송신기(133), 수신기(134), 저장부(135), 데이터 검증부(136) 및 관리부(137) 등을 포함한다.
상세히, 수신기(131)는 내부망 연계 모듈(120)로부터 단방향 통신을 통해 외부망 연계 모듈(140)로 전송하기 위한 신호를 수신한다. 여기서, 수신기(131)는 물리적으로 수신만 지원한다.
송신기(132)는 내부망 바이패스 스위치(150)를 통해 내부망 연계 모듈(120)로 단방향 통신을 통해 외부망 연계 모듈(140)로부터 수신한 신호를 송신한다. 여기서, 송신기(132)는 물리적으로 송신만 지원한다.
송신기(133)는 외부망 연계 모듈(140)로 단방향 통신을 통해 내부망 연계 모듈(120)로부터 수신한 신호를 송신한다. 여기서, 송신기(133)는 물리적으로 송신만 지원한다.
수신기(134)는 외부망 연계 모듈(140)에서 송신되어 외부망 바이패스 스위치(160)를 거친 신호를 수신한다. 여기서 수신기(134)는 물리적으로 수신만 지원한다.
저장부(135)는 내부망 연계 모듈(120)로부터 수신한 데이터 또는 외부망 연계 모듈(140)로부터 수신한 데이터를 임시적으로 보관한다.
데이터 검증부(136)는 내부망 연계 모듈(120)로부터 수신한 데이터 또는 외부망 연계 모듈(140)로부터 수신한 데이터를 검사한다.
이때, 데이터 검증부(136)는 검사 대상 데이터에 대해서 악성코드 검사, 무결성 검사, 바이러스 검사 중 하나 이상의 검사를 할 수 있다.
관리부(137)는 중간 연계 모듈(130) 내에서의 일련의 과정을 관리하는 역할을 하며, 신호 라인을 통해 외부망 바이패스 스위치(160)로부터 외부망 바이패스 스위치(160)의 상태 정보를 수신할 수 있다.
이때, 외부망 바이패스 스위치(160)의 상태 정보를 전송하는 신호 라인은 0 또는 1의 값을 나타내는 1비트 신호 전송 라인으로, 다이오드를 통해 한쪽 방향으로만 신호 전송이 가능하도록 구현될 수 있다.
이때, 관리부(137)는 외부망 바이패스 스위치(160)에 양방향 세션을 요청하기 위한 신호를 전송할 수 있다.
이때, 외부망 바이패스 스위치(160)에 양방향 세션을 요청하기 위한 신호를 전송하는 신호 라인은 0 또는 1의 값을 갖는 1비트 신호 전송 라인으로, 다이오드를 통해 한쪽 방향으로만 신호 전송이 가능하도록 구현될 수 있다.
도 6은 본 발명의 일 실시예에 따른 외부망 연계 모듈(140)를 나타낸 블록도이다.
도 6을 참조하면, 본 발명의 일 실시예에 따른 외부망 연계 모듈(140)은, 외부망 송수신기(141), 수신기(142) 및 송신기(142) 등을 포함한다.
상세히, 외부망 송수신기(141)는 외부망(220)과 상호 연결되며, 외부망(220)과의 양방향 통신을 통한 신호를 송수신한다.
수신기(142)는 내부망 연계 모듈(120) 또는 중간 연계 모듈(130)에서 송신되어 단방향 통신을 통한 신호를 수신한다. 여기서, 수신기(142)는 물리적으로 수신만 지원한다.
송신기(143)는 외부망 바이패스 스위치(160)를 통해 중간 연계 모듈(130)로 신호를 송신한다. 여기서, 송신기(143)는 물리적으로 송신만 지원한다.
이때, 송신기(143)에서 중간 연계 모듈(130)로 전송되는 단방향 통신을 통한 신호는 외부망 바이패스 스위치(160)의 제어를 통해 연결되거나 차단될 수 있다.
이때, 외부망 바이패스 스위치(160)는 내부망 연계 모듈(120) 또는 내부망 바이패스 스위치(150)에서 전송된 제어 신호에 의하여 제어될 수 있다.
도 7은 본 발명의 일 실시예에 따른 분리된 망 사이의 데이터 통신을 지원하는 장치(도 1의 100 참조)에서 사용하는 신호 전송 라인을 나타낸 도면이다.
도 7을 참조하면, 본 발명의 일 실시예에 따른 분리된 망 사이의 데이터 통신을 지원하는 장치(도 1의 100 참조)의 신호 전송 라인들(7a, 7b, 7c, 7d 및 7e)은 각각 다이오드를 이용하여 단방향으로 신호를 전송하도록 구성될 수 있다.
그리고, 각각의 신호 전송 라인들(7a, 7b, 7c, 7d 및 7e)은 0 또는 1의 값을 갖는 1비트 신호 전송 라인이다.
여기서, 라인 1(7a)은 내부망 연계 모듈(120)에서 내부망 바이패스 스위치(150)를 제어하기 위한 신호를 내부망 바이패스 스위치(150)로 전송하는 라인이다.
또한, 라인 2(7b)는 내부망 연계 모듈(120)에서 외부망 바이패스 스위치(160)를 제어하기 위한 신호를 외부망 바이패스 스위치(160)로 전송하는 라인이다.
이때, 라인 2(7b)는 라인 1(7a)에서 전송되는 신호와 상반되는 제어 신호를 전송할 수 있다.
예컨대, 라인 1(7a)이 내부망 바이패스 스위치(150)를 활성화하기 위한 제어 신호로서 1을 전송하는 경우, 라인 2(7b)가 전송하는 제어 신호는 외부망 바이패스 스위치(160)를 비활성화하기 위한 제어 신호 0일 수 있다.
또한, 라인 3(7c)은 내부망 바이패스 스위치(150)에서 외부망 바이패스 스위치(160)를 제어하기 위한 신호를 외부망 바이패스 스위치(160)로 전송하는 라인이다.
이때, 라인 3(7c)은 라인 1(7a)에서 전송되는 신호와 상반되는 제어 신호를 전송할 수 있다.
예컨대, 라인 1(7a)이 내부망 바이패스 스위치(150)를 활성화하기 위한 제어 신호로서 1을 전송하는 경우, 라인 3(7c)가 전송하는 제어 신호는 외부망 바이패스 스위치(160)를 비활성화하기 위한 제어 신호 0일 수 있다.
또한, 라인 4(7d)는 외부망 바이패스 스위치(160)에서 외부망 바이패스 스위치(160)의 상태 신호를 중간 연계 모듈(130)로 전송하는 라인이다.
또한, 라인 5(7e)는 중간 연계 모듈(130)에서 양방향 세션 요청을 외부망 바이패스 스위치(160)로 전송하는 라인이다.
이때, 라인 5(7e)를 사용하는 경우, 외부망 바이패스 스위치(160)가 활성화된 경우라도 중간 연계 모듈(130)에서 외부망 연계 모듈(140)와의 양방향 세션을 바로 설립하지 않고, 라인 5(7e)의 신호에 의한 양방향 세션 요청이 있을 때 양방향 세션을 설립할 수 있다.
도 8은 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 단방향 UDP 데이터를 전송하는 방법을 나타낸 도면이다.
도 8을 참조하면, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 단방향 UDP 데이터를 전송하는 방법은, 내부망 기기(210a 내지 210c)에서 단방향 UDP 트래픽이 발생한다(S801).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 단방향 UDP 데이터를 전송하는 방법은, 내부망 기기(210a 내지 210c)에서 내부망 연계 모듈(120)로 UDP 패킷을 전송한다(S803).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 단방향 UDP 데이터를 전송하는 방법은, 내부망 연계 모듈(120)에서 외부망 연계 모듈(140)로 UDP 패킷을 전송한다(S805).
이때, 내부망 연계 모듈(120)은 중간 연계 모듈(도 2의 130 참조)를 통해 외부망 연계 모듈(140)로 UDP 패킷을 전송할 수 있다.
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 단방향 UDP 데이터를 전송하는 방법은, 외부망 연계 모듈(140)에서 외부망 기기(220a 내지 220c)로 UDP 패킷을 전송한다(S807).
이에 따라, 내부망 기기는 항상 외부망 기기로 단방향 UDP 데이터를 전송할 수 있다.
도 9는 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법을 나타낸 도면이다.
여기서, 내부망 기기에서 외부망 기기로 TCP 데이터를 전송할 때, 내부망 기기는 TCP 데이터 전송 클라이언트로 동작하며, 중간 연계 모듈(도 2의 130 참조)는 내부망 기기에 대한 TCP 데이터 전송 서버로 동작할 수 있다.
또한, 중간 연계 모듈(도 2의 130 참조)는 외부망 기기에 대한 TCP 데이터 전송 클라이언트로 동작할 수 있다.
즉, 내부망 기기가 전송하는 TCP 데이터는 중간 연계 모듈(도 2의 130 참조)에 저장되고, 중간 연계 모듈(도 2의 130 참조)이 외부망 기기로 TCP 데이터를 전송함으로써, 데이터 전송이 완료된다.
도 9 및 도 10에서는 내부망 기기가 TCP 데이터를 중간 연계 모듈(도 2의 130 참조)로 전송하는 동작 과정에 대해서만 나타내며, 도 9는 TCP 데이터 통신을 위한 세션 설립 과정을 나타내며, 도 10은 TCP 세션 설립 이후 TCP 데이터 통신 절차를 마무리하는 과정을 나타낸다.
도 9를 참조하면, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 기기(210a 내지 210c)에서 TCP 기반 전송 데이터가 발생한다(S901).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 기기(210a 내지 210c)에서 내부망 연계 모듈로 TCP SYN 패킷을 전송한다(S903).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 연계 모듈(120)이 TCP SYN 패킷을 수신하여 해당 세션을 생성하고 관리한다(S905).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 연계 모듈(120)이 내부망 바이패스 스위치(150)로 바이패스 설정 및 전원 공급을 요청한다(S907).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 바이패스 스위치(150)가 외부망 바이패스 스위치(160)로 바이패스 해제 및 전원 차단을 요청한다(S909).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 외부망 바이패스 스위치(160)는 바이패스 해제 및 전원 차단을 통해 제2 단방향 통신을 비활성화한다(S911).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 외부망 바이패스 스위치(160)가 중간 연계 모듈(130)로 제2 단방향 통신 비활성화 알림을 전송한다(S913).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 바이패스 스위치(150)가 바이패스 설정 및 전원 공급을 통해 제1 단방향 통신을 활성화한다(S915).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 연계 모듈(120)에서 링크업 이벤트가 발생한다(S917).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 연계 모듈(120)이 링크업 이벤트가 발생하면 TCP SYN 패킷을 중간 연계 모듈(130)로 전송한다(S919).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)이 내부망 바이패스 스위치(150)를 거쳐 내부망 연계 모듈(120)로 TCP SYN-ACK(Synchronization-Acknowledgement) 패킷을 전송한다(S921, S923).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 연계 모듈(120)이 내부망 기기(210a 내지 210c)로 TCP SYN-ACK 패킷을 전송한다(S925).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 기기(210a 내지 210c)가 TCP SYN-ACK 패킷을 수신하여 중간 연계 모듈(130)과 TCP 세션이 설립되고, 내부망 기기(210a 내지 210c)와 중간 연계 모듈(130)가 TCP 기반 데이터 통신한다(S927).
여기서, 제2 단방향 통신이 비활성화되는 단계(S911) 이후로는 외부망(도 1의 220 참조)과 양방향 통신을 지원할 수 없다.
도 10은 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법을 나타낸 도면이다.
도 10은 도 9의 TCP 세션 설립 이후 TCP 데이터 통신 절차를 마무리하는 과정을 나타낸다.
도 10을 참조하면, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 기기(210a 내지 210c)와 중간 연계 모듈(130) 사이의 TCP 통신이 종료되면, TCP 세션 종료 절차를 수행한다(S1001).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 연계 모듈(120)이 종료하기 위한 해당 TCP 세션을 삭제한다(S1003).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 연계 모듈(120)이 내부망 바이패스 스위치(150)로 바이패스 해제 및 전원 차단을 요청한다(S1005).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 바이패스 스위치(150)가 바이패스 해제 및 전원 차단을 통해 제1 단방향 통신을 비활성화한다(S1007).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 바이패스 스위치(150)가 외부망 바이패스 스위치(160)로 바이패스 설정 및 전원 공급을 요청한다(S1009).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 외부망 바이패스 스위치(160)는 바이패스 설정 및 전원 공급을 통해 제2 단방향 통신을 활성화한다(S1011).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 외부망 바이패스 스위치(160)가 중간 연계 모듈(130)로 제2 단방향 통신 활성화 알림을 전송한다(S1013).
여기서, TCP 세션이 설립되어 TCP 데이터 통신이 진행된 이후로부터 제2 단방향 통신이 활성화되는 단계(S1011) 전까지는 외부망(도 1의 220 참조)과의 양방향 통신을 지원할 수 없지만, 제2 단방향 통신이 활성화되는 단계(S1011) 이후에는 외부망(도 1의 220 참조)과의 양방향 통신을 지원할 수 있다.
도 11은 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법의 전체 과정을 나타낸 도면이다.
도 11을 참조하면, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 기기(210a 내지 210c)와 중간 연계 모듈(130)이 TCP 세션을 설립한다(S1101).
이때, 내부망 기기(210a 내지 210c)와 중간 연계 모듈(130) 사이의 TCP 세션 설립은 도 9에 도시된 과정에 따를 수 있다.
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 기기(210a 내지 210c)에서 중간 연계 모듈(130)로 데이터를 전송하고, 중간 연계 모듈(130)은 수신한 데이터를 저장한다(S1103).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 내부망 기기(210a 내지 210c)와 중간 연계 모듈(130) 사이의 TCP 세션을 종료한다(S1105).
이때, 내부망 기기(210a 내지 210c)와 중간 연계 모듈(130) 사이의 TCP 세션 종료는 도 10에 도시된 과정에 따를 수 있다.
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)이 수신한 데이터에 대해서 악성코드 검사, 무결성 검사, 바이러스 검사 중 하나 이상의 검사를 수행할 수 있다(S1107).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)이 데이터 검사 후 통과된 데이터를 선별한다(S1109).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)과 외부망 기기(220a 내지 220c)가 TCP 세션을 설립한다(S1111).
이때, 중간 연계 모듈(130)과 외부망 기기(220a 내지 220c) 사이의 TCP 세션 설립은 주기적으로 혹은 외부망 바이패스 스위치(도 2의 160 참조)로부터 양방향 허용 메시지를 수신할 때마다 이루어질 수 있다.
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)이 외부망 기기(220a 내지 220c)로 선별 데이터를 전송한다(S1113).
또한, 본 발명의 일 실시예에 따른 내부망 기기에서 외부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)과 외부망 기기(220a 내지 220c) 사이의 TCP 세션을 종료한다(S1115).
도 12는 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법의 전체 과정을 나타낸 도면이다.
도 12을 참조하면, 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)과 외부망 기기(220a 내지 220c)가 TCP 세션을 설립한다(S1201).
이때, 중간 연계 모듈(130)과 외부망 기기(220a 내지 220c) 사이의 TCP 세션 설립은 주기적으로 혹은 외부망 바이패스 스위치(도 2의 160 참조)로부터 양방향 허용 메시지를 수신할 때마다 이루어질 수 있다.
또한, 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법은, 외부망 기기(220a 내지 220c)에서 중간 연계 모듈(130)로 데이터를 전송하고, 중간 연계 모듈(130)은 수신한 데이터를 저장한다(S1203).
또한, 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법은, 외부망 기기(220a 내지 220c)와 중간 연계 모듈(130) 사이의 TCP 세션을 종료한다(S1205).
또한, 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)이 수신한 데이터에 대해서 악성코드 검사, 무결성 검사, 바이러스 검사 중 하나 이상의 검사를 수행할 수 있다(S1207).
또한, 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)이 데이터 검사 후 통과된 데이터를 선별한다(S1209).
또한, 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)과 내부망 기기(210a 내지 210c)가 TCP 세션을 설립한다(S1211).
이때, 중간 연계 모듈(130)과 내부망 기기(210a 내지 210c) 사이의 TCP 세션 설립은 주기적으로 혹은 필요시 이루어질 수 있다.
또한, 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)이 내부망 기기(210a 내지 210c)로 선별 데이터를 전송한다(S1213).
또한, 본 발명의 일 실시예에 따른 외부망 기기에서 내부망 기기로 TCP 데이터를 전송하는 방법은, 중간 연계 모듈(130)과 내부망 기기(210a 내지 210c) 사이의 TCP 세션을 종료한다(S1215).
도 13는 도 1에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치(100)의 다른 일 예를 나타낸 블록도이다.
도 13을 참조하면, 도 1에 도시된 분리된 망 사이의 데이터 통신을 지원하는 장치(100)는, 내부망 연계 모듈(320), 중간 연계 모듈(330) 및 외부망 연계 모듈(340) 등을 포함한다.
상세히, 내부망 연계 모듈(320)은 내부망(도 1의 210 참조)와 상호 연결되어 양방향 통신하고, 외부망 연계 모듈(340)은 외부망(도 1의 220 참조)와 상호 연결되어 양방향 통신한다.
내부망 연계 모듈(320)은 내부망 송수신기(321), 송수신기(322) 및 내부망 바이패스 스위치(323) 등을 포함한다.
내부망 송수신기(321)는 내부망(도 1의 210 참조)과 양방향 통신하며, 내부망(도 1의 210 참조)으로부터 수신한 데이터를 송수신기(322)로 전송하고, 송수신기(322)로부터 내부망 바이패스 스위치(323)을 통해 데이터를 수신한다.
이때, 송수신기(322)에서 내부망 송수신기(321)로 전송하는 데이터는 외부망(도 1의 220 참조)에서 내부망(도 1의 210 참조)로 전송하기 위하여 중간 연계 모듈(330)로 전송된 데이터일 수 있다.
이때, 내부망 송수신기(321)는 내부망 바이패스 스위치(323)의 상태를 제어하기 위하여 제어 신호를 전송할 수 있다.
이때, 내부망 송수신기(321)는 외부망 바이패스 스위치(343)의 상태를 제어하기 위하여 제어 신호를 전송할 수 있다.
내부망 바이패스 스위치(323)는 송수신기(322)에서 내부망 송수신기(321)로의 제1 단방향 통신을 활성화하거나 비활성화하도록 제어한다.
이때, 내부망 바이패스 스위치(323)는 외부망 바이패스 스위치(343)의 상태를 제어하기 위하여 제어 신호를 전송할 수 있다.
여기서, 도 13에는 명확한 표현을 위하여 내부망 송수신기(321)와 송수신기(322)를 두 개의 단방향 통신으로 구분하여 표현하였으나, 이는 물리적으로 구분된 두 개의 단방향 통신 채널을 이용하는 것뿐만 아니라, 양방향 통신 채널에서 통신 방향을 구분하여 이용하는 것을 포함한다.
중간 연계 모듈(330)은 송수신기(331), 저장부(332) 및 데이터 검증부(333) 등을 포함한다.
송수신기(331)는 내부망 연계 모듈(320) 및 외부망 연계 모듈(340)과 상호 연결되어, 내부망 연계 모듈(320)의 송수신기(322) 및 외부망 연계 모듈(340)의 수신기(341)과 양방향 통신한다.
저장부(332)는 송수신기(331)가 수신한 데이터를 임시적으로 저장한다.
데이터 검증부(333)는 저장부(332)에 저장한 데이터를 검사한다.
이때, 데이터 검증부(333)는 악성코드 검사, 무결성 검사, 바이러스 검사 중 하나 이상의 검사를 수행할 수 있다.
이때, 송수신기(331)는 송수신기(322) 또는 송수신기(341)에 데이터를 전송할 때, 데이터 검증부(333)에서 검사하여 통과하여 선별한 데이터만을 전송할 수 있다.
외부망 연계 모듈(340)은 송수신기(341), 외부망 송수신기(342) 및 외부망 바이패스 스위치(343) 등을 포함한다.
내부망 송수신기(342)는 외부망(도 1의 210 참조)과 양방향 통신하며, 외부망(도 1의 220 참조)으로부터 수신한 데이터를 외부망 바이패스 스위치(343)를 통해 제3 송수신기(341)로 전송하고, 송수신기(341)로부터 데이터를 수신한다.
이때, 송수신기(341)에서 외부망 송수신기(342)로 전송하는 데이터는 내부망(도 1의 210 참조)에서 외부망(도 1의 220 참조)로 전송하기 위하여 중간 연계 모듈(330)로 전송된 데이터일 수 있다.
외부망 바이패스 스위치(343)는 외부망 송수신기(342)에서 송수신기(341)로의 제2 단방향 통신을 활성화하거나 비활성화하도록 제어한다.
이때, 외부망 바이패스 스위치(343)는 내부망 송수신기(321) 또는 내부망 바이패스 스위치(323)에서 전송한 제어 신호에 따라 제어될 수 있다.
이때, 외부망 바이패스 스위치(343)는 자신의 상태 정보를 담은 신호를 제3 송수신기(341)에 전송할 수 있다.
이때, 송수신기(341)는 중간 연계 모듈(330)로부터 수신한 외부망(도 1의 220 참조)과의 양방향 통신 요청을 외부망 바이패스 스위치(343)로 전송할 수 있다.
여기서, 도 13에는 명확한 표현을 위하여 송수신기(341)와 외부망 송수신기(342) 사이의 통신을 두 개의 단방향 통신으로 구분하여 표현하였으나, 이는 물리적으로 구분된 두 개의 단방향 통신 채널을 이용하는 것뿐만 아니라, 양방향 통신 채널에서 통신 방향을 구분하여 이용하는 것을 포함한다.
이상 설명된 본 발명에 따른 실시예는 다양한 컴퓨터 구성요소를 통하여 실행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등과 같은, 프로그램 명령어를 저장하고 실행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의하여 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용하여 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위하여 하나 이상의 소프트웨어 모듈로 변경될 수 있으며, 그 역도 마찬가지이다.
본 발명에서 설명하는 특정 실행들은 일 실시 예들로서, 어떠한 방법으로도 본 발명의 범위를 한정하는 것은 아니다. 명세서의 간결함을 위하여, 종래 전자적인 구성들, 제어 시스템들, 소프트웨어, 상기 시스템들의 다른 기능적인 측면들의 기재는 생략될 수 있다. 또한, 도면에 도시된 구성 요소들 간의 선들의 연결 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것으로서, 실제 장치에서는 대체 가능하거나 추가의 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들로서 나타내어질 수 있다. 또한, “필수적인”, “중요하게” 등과 같이 구체적인 언급이 없다면 본 발명의 적용을 위하여 반드시 필요한 구성 요소가 아닐 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 또는 이로부터 등가적으로 변경된 모든 범위는 본 발명의 사상의 범주에 속한다고 할 것이다.
1: 분리된 망 사이의 데이터 통신을 지원하는 시스템
100: 분리된 망 사이의 데이터 통신을 지원하는 장치
110: 제어부
120: 내부망 연계 모듈 121: 내부망 송수신기
122: 송신기 123: 수신기
124: 관리부
130: 중간 연계 모듈 131: 수신기
132: 송신기 133: 제3 송신기
134: 수신기 135: 저장부
136: 데이터 검증부 137: 관리부
140: 외부망 연계 모듈 141: 외부망 송수신기
142: 수신기 143: 송신기
150: 내부망 바이패스 스위치 160: 외부망 바이패스 스위치
170: 스위치 동작 모드 선택부
210: 내부망 220: 외부망
100: 분리된 망 사이의 데이터 통신을 지원하는 장치
110: 제어부
120: 내부망 연계 모듈 121: 내부망 송수신기
122: 송신기 123: 수신기
124: 관리부
130: 중간 연계 모듈 131: 수신기
132: 송신기 133: 제3 송신기
134: 수신기 135: 저장부
136: 데이터 검증부 137: 관리부
140: 외부망 연계 모듈 141: 외부망 송수신기
142: 수신기 143: 송신기
150: 내부망 바이패스 스위치 160: 외부망 바이패스 스위치
170: 스위치 동작 모드 선택부
210: 내부망 220: 외부망
Claims (20)
- 내부망으로부터 수신한 데이터를 단방향 통신을 통해 중간 연계 모듈로 전송하고, 상기 중간 연계 모듈로부터 내부망 바이패스 스위치의 제어에 따른 제1 단방향 통신을 통해 전송 받은 데이터를 상기 내부망으로 전송하는 내부망 연계 모듈;
상기 중간 연계 모듈로부터 단방향 통신을 통해 수신한 데이터를 외부망으로 전송하고, 상기 외부망으로부터 수신한 데이터를 외부망 바이패스 스위치의 제어에 따른 제2 단방향 통신을 통해 상기 중간 연계 모듈로 전송하는 외부망 연계 모듈;
상기 내부망 연계 모듈로부터 수신한 데이터를 상기 외부망 연계 모듈로 전송하고, 상기 외부망 연계 모듈로부터 수신한 데이터를 상기 내부망 연계 모듈로 전송하는 중간 연계 모듈; 및
상기 내부망 바이패스 스위치와 상기 외부망 바이패스 스위치의 동작 모드는 실시간 양방향 연결을 배제하는 배타적 동작 모드를 포함하는 것인, 분리된 망 사이의 데이터 통신을 지원하는 장치. - 청구항 1에 있어서,
상기 배타적 동작 모드는
상기 제1 단방향 통신 및 상기 제2 단방향 통신이 동시에 활성화되지 않는 모드인 것인, 분리된 망 사이의 데이터 통신을 지원하는 장치. - 청구항 2에 있어서,
상기 내부망 연계 모듈은
상기 동작 모드에 기반하여 상기 내부망 바이패스 스위치를 제어하고, 상기 내부망 바이패스 스위치의 제어에 상응하여 상기 외부망 바이패스 스위치를 제어하기 위한 제어 신호를 상기 외부망 연계 모듈에 전송하여 상기 외부망 바이패스 스위치를 제어하는 것인, 분리된 망 사이의 데이터 통신을 지원하는 장치. - 청구항 3에 있어서,
상기 배타적 동작 모드는
상기 제1 단방향 통신이 비활성화된 경우에만 상기 제2 단방향 통신의 활성화가 가능한 것인, 분리된 망 사이의 데이터 통신을 지원하는 장치. - 청구항 4에 있어서,
상기 제1 단방향 통신 및 상기 제2 단방향 통신 중 어느 하나 이상의 활성화 여부와 상관 없이, 상기 내부망으로부터 상기 외부망으로의 단방향 데이터는 항상 전송 가능한 것인, 분리된 망 사이의 데이터 통신을 지원하는 장치. - 청구항 5에 있어서,
상기 내부망 연계 모듈은
상기 내부망으로부터 수신된 5tuple(source IP, source port, destination IP, destination port, protocol)의 TCP SYN(Synchronization) 패킷의 송신을 위해 상기 제2 단방향 통신이 비활성화된 동안 먼저 상기 제1 단방향 통신을 활성화하여 상기 중간 연계 모듈을 전송 서버로 하는 제1 TCP 세션을 설정하고, 이후 상기 제1 단방향 통신이 비활성화되고 상기 제2 단방향 통신이 활성화되면 상기 중간 연계 모듈을 전송 클라이언트로 하는 제2 TCP 세션이 설정되는 것인, 분리된 망 사이의 데이터 통신을 지원하는 장치. - 청구항 6에 있어서,
상기 외부망 연계 모듈은 상기 제1 단방향 통신이 비활성화된 경우,
상기 제2 단방향 통신의 활성화가 가능함을 상기 외부망 연계 모듈의 송수신기로 알리기 위한 제1 단방향 제어 라인; 및
상기 송수신기로부터 상기 외부망 바이패스 스위치로 상기 제2 단방향 통신의 활성화 제어 신호를 제공하기 위한 제2 단방향 제어 라인을 포함하고, 상기 제1 단방향 제어 라인 및 제2 단방향 제어 라인은 신호 전달 방향이 반대인, 분리된 망 사이의 데이터 통신을 지원하는 장치. - 청구항 3에 있어서,
상기 제어 신호는 다이오드를 이용한 단방향 신호 라인을 통해, 상기 내부망 연계 모듈로부터 상기 외부망 연계 모듈로 전송되는 것인, 분리된 망 사이의 데이터 통신을 지원하는 장치. - 청구항 3에 있어서,
상기 중간 연계 모듈은
상기 내부망 연계 모듈 또는 상기 외부망 연계 모듈로부터 전송 받은 중간 데이터를 임시적으로 보관하고 관리하는 것인, 분리된 망 사이의 데이터 통신을 지원하는 장치. - 청구항 9에 있어서,
상기 중간 연계 모듈은
상기 중간 데이터에 대해서 악성코드 검사, 무결성 검사 및 바이러스 검사 중 하나 이상을 수행하여 검사하고, 상기 중간 데이터를 전송할 때 검사 후 통과된 데이터만을 전송하는 것인, 분리된 망 사이의 데이터 통신을 지원하는 장치. - 내부망 바이패스 스위치를 통해, 내부망과 통신하는 내부망 연계 모듈과 외부망과 통신하는 외부망 연계 모듈의 사이에서 통신하는 중간 연계 모듈에서 상기 내부망 연계 모듈로의 제1 단방향 통신을 제어하는 단계;
외부망 바이패스 스위치를 통해, 상기 외부망 연계 모듈에서 상기 중간 연계 모듈로의 제2 단방향 통신을 제어하는 단계;
상기 내부망 연계 모듈에서 상기 중간 연계 모듈로의 단방향 통신과 상기 제1 단방향 통신을 통해, 상기 내부망 연계 모듈과 상기 중간 연계 모듈이 서로 내부망 연계 통신하는 단계; 및
상기 중간 연계 모듈에서 상기 외부망 연계 모듈로의 단방향 통신과 상기 제2 단방향 통신을 통해, 상기 중간 연계 모듈과 상기 외부망 연계 모듈이 서로 외부망 연계 통신하는 단계;
를 포함하고,
상기 내부망 바이패스 스위치와 상기 외부망 바이패스 스위치의 동작 모드는 실시간 양방향 연결을 배제하는 배타적 동작 모드를 포함하는 것인, 분리된 망 사이의 데이터 통신을 지원하는 방법. - 청구항 11에 있어서,
상기 배타적 동작 모드는
상기 제1 단방향 통신 및 상기 제2 단방향 통신이 동시에 활성화되지 않는 모드인 것인, 분리된 망 사이의 데이터 통신을 지원하는 방법. - 청구항 12에 있어서,
상기 내부망 연계 모듈은
상기 동작 모드에 기반하여 상기 내부망 바이패스 스위치를 제어하고, 상기 내부망 바이패스 스위치의 제어에 상응하여 상기 외부망 바이패스 스위치를 제어하기 위한 제어 신호를 상기 외부망 연계 모듈에 전송하여 상기 외부망 바이패스 스위치를 제어하는 것인, 분리된 망 사이의 데이터 통신을 지원하는 방법. - 청구항 13에 있어서,
상기 배타적 동작 모드는
상기 제1 단방향 통신이 비활성화된 경우에만 상기 제2 단방향 통신의 활성화가 가능한 것인, 분리된 망 사이의 데이터 통신을 지원하는 방법. - 청구항 14에 있어서,
상기 제1 단방향 통신 및 상기 제2 단방향 통신 중 어느 하나 이상의 활성화 여부와 상관 없이, 상기 내부망으로부터 상기 외부망으로의 단방향 데이터는 항상 전송 가능한 것인, 분리된 망 사이의 데이터 통신을 지원하는 방법. - 청구항 15에 있어서,
상기 내부망 연계 모듈은
상기 내부망으로부터 수신된 5tuple(source IP, source port, destination IP, destination port, protocol)의 TCP SYN(Synchronization) 패킷의 송신을 위해 상기 제2 단방향 통신이 비활성화된 동안 먼저 상기 제1 단방향 통신을 활성화하여 상기 중간 연계 모듈을 전송 서버로 하는 제1 TCP 세션을 설정하고, 이후 상기 제1 단방향 통신이 비활성화되고 상기 제2 단방향 통신이 활성화되면 상기 중간 연계 모듈을 전송 클라이언트로 하는 제2 TCP 세션이 설정되는 것인, 분리된 망 사이의 데이터 통신을 지원하는 방법. - 청구항 16에 있어서,
상기 제1 단방향 통신을 제어하는 단계는
상기 외부망 연계 모듈은 상기 제1 단방향 통신이 비활성화된 경우,
제1 단방향 제어 라인을 이용하여 상기 제2 단방향 통신의 활성화가 가능함을 상기 외부망 연계 모듈의 송수신기로 알리는 단계; 및
제2 단방향 제어 라인을 이용하여 상기 송수신기로부터 상기 외부망 바이패스 스위치로 상기 제2 단방향 통신의 활성화 제어 신호를 제공하든 단계;
를 포함하고, 상기 제1 단방향 제어 라인 및 제2 단방향 제어 라인은 신호 전달 방향이 반대인, 분리된 망 사이의 데이터 통신을 지원하는 방법. - 청구항 13에 있어서,
상기 제어 신호는 다이오드를 이용한 단방향 신호 라인을 통해, 상기 내부망 연계 모듈로부터 상기 외부망 연계 모듈로 전송되는 것인, 분리된 망 사이의 데이터 통신을 지원하는 방법. - 청구항 13에 있어서,
상기 분리된 망 사이의 데이터 통신을 지원하는 방법은
상기 중간 연계 모듈이 상기 내부망 연계 모듈 또는 상기 외부망 연계 모듈로부터 전송 받은 중간 데이터를 임시적으로 보관하고 관리하는 단계
를 더 포함하는 것인, 분리된 망 사이의 데이터 통신을 지원하는 방법. - 청구항 19에 있어서,
상기 중간 데이터를 임시적으로 보관하고 관리하는 단계는
상기 중간 데이터에 대해서 악성코드 검사, 무결성 검사 및 바이러스 검사 중 하나 이상을 수행하여 검사하는 단계
를 포함하고,
상기 내부망 연계 통신하는 단계와 상기 외부망 연계 통신하는 단계는
상기 중간 데이터를 전송할 때 검사 후 통과된 데이터만을 전송하는 것인, 분리된 망 사이의 데이터 통신을 지원하는 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190046090A KR102067186B1 (ko) | 2019-04-19 | 2019-04-19 | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190046090A KR102067186B1 (ko) | 2019-04-19 | 2019-04-19 | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170085001A Division KR101972469B1 (ko) | 2017-07-04 | 2017-07-04 | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200003653A Division KR102175953B1 (ko) | 2020-01-10 | 2020-01-10 | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190045892A true KR20190045892A (ko) | 2019-05-03 |
KR102067186B1 KR102067186B1 (ko) | 2020-01-16 |
Family
ID=66582751
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190046090A KR102067186B1 (ko) | 2019-04-19 | 2019-04-19 | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102067186B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118300831A (zh) * | 2024-03-28 | 2024-07-05 | 广州思迈特软件有限公司 | 一种内外网访问权限的控制方法及系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111049631B (zh) * | 2019-06-06 | 2021-03-19 | 北京仁光科技有限公司 | 跨网交互系统和跨网交互方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101080107B1 (ko) * | 2011-04-22 | 2011-11-04 | 한국항공우주연구원 | 독립된 망간 자료공유를 위한 망연계시스템 |
KR20140106902A (ko) * | 2013-02-27 | 2014-09-04 | 대성전기공업 주식회사 | 전자식 브레이크 스위치 |
KR101438702B1 (ko) * | 2014-03-12 | 2014-09-04 | 쉐도우시스템즈(주) | 내외부망의 물리적 분리 장치 |
KR101569200B1 (ko) | 2015-03-25 | 2015-11-20 | (주)앤앤에스피 | 일방향 통신 환경에서 양방향으로 통신 가능한 긴급 비상 채널을 제공하는 장치 및 그 동작 방법 |
KR101593168B1 (ko) * | 2014-09-11 | 2016-02-18 | 한국전자통신연구원 | 물리적 단방향 통신 장치 및 방법 |
-
2019
- 2019-04-19 KR KR1020190046090A patent/KR102067186B1/ko active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101080107B1 (ko) * | 2011-04-22 | 2011-11-04 | 한국항공우주연구원 | 독립된 망간 자료공유를 위한 망연계시스템 |
KR20140106902A (ko) * | 2013-02-27 | 2014-09-04 | 대성전기공업 주식회사 | 전자식 브레이크 스위치 |
KR101438702B1 (ko) * | 2014-03-12 | 2014-09-04 | 쉐도우시스템즈(주) | 내외부망의 물리적 분리 장치 |
KR101593168B1 (ko) * | 2014-09-11 | 2016-02-18 | 한국전자통신연구원 | 물리적 단방향 통신 장치 및 방법 |
KR101569200B1 (ko) | 2015-03-25 | 2015-11-20 | (주)앤앤에스피 | 일방향 통신 환경에서 양방향으로 통신 가능한 긴급 비상 채널을 제공하는 장치 및 그 동작 방법 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118300831A (zh) * | 2024-03-28 | 2024-07-05 | 广州思迈特软件有限公司 | 一种内外网访问权限的控制方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
KR102067186B1 (ko) | 2020-01-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101972469B1 (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 | |
US9118716B2 (en) | Computer system, controller and network monitoring method | |
JP6106718B2 (ja) | 物理的単方向通信装置および方法 | |
EP2991292B1 (en) | Network collaborative defense method, device and system | |
US10931655B2 (en) | Apparatus and method for supporting bidirectional communication using unidirectional communication | |
US9160771B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
US20140237372A1 (en) | System and method for secure unidirectional transfer of commands to control equipment | |
EP3580910B1 (en) | Method and device for providing a security service | |
WO2017012142A1 (zh) | 一种双连接安全通讯的方法及装置 | |
KR101290963B1 (ko) | 가상화 기반 망분리 시스템 및 방법 | |
CN107277058B (zh) | 一种基于bfd协议的接口认证方法及系统 | |
JP6052692B1 (ja) | セキュリティ管理方法、プログラム、およびセキュリティ管理システム | |
KR102175953B1 (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 | |
KR102067186B1 (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 | |
US20060184784A1 (en) | Method for secure transference of data | |
KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
US20140075541A1 (en) | Systems and methods for accessing resources through a firewall | |
JP6289656B2 (ja) | セキュアなコンピュータシステム間の通信のための方法及びコンピュータネットワーク・インフラストラクチャ | |
KR101951672B1 (ko) | 조건부 양방향 통신 장치 및 방법 | |
JP2011160286A (ja) | 呼制御サーバ、中継サーバ、vpn装置、vpn通信システム、vpnネットワーキング方法、プログラム、及び記憶媒体 | |
JP6488001B2 (ja) | コンピュータ・ネットワーク・インフラストラクチャにおける外部コンピュータシステムのブロック解除方法、そのようなコンピュータ・ネットワーク・インフラストラクチャを有する分散コンピュータネットワーク、およびコンピュータプログラム製品 | |
JP2019036892A (ja) | 制御装置、通信システム、制御方法及びコンピュータプログラム | |
JP5420465B2 (ja) | 通信監視装置、方法およびプログラム | |
Hu et al. | A framework for security on demand | |
US20140075533A1 (en) | Accessing resources through a firewall |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A107 | Divisional application of patent | ||
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |