KR20190046391A - Service interworking apparatus for separated networks, apparatus and method for data control between separate networks - Google Patents

Service interworking apparatus for separated networks, apparatus and method for data control between separate networks Download PDF

Info

Publication number
KR20190046391A
KR20190046391A KR1020170140140A KR20170140140A KR20190046391A KR 20190046391 A KR20190046391 A KR 20190046391A KR 1020170140140 A KR1020170140140 A KR 1020170140140A KR 20170140140 A KR20170140140 A KR 20170140140A KR 20190046391 A KR20190046391 A KR 20190046391A
Authority
KR
South Korea
Prior art keywords
internal network
hmac
network data
label
data
Prior art date
Application number
KR1020170140140A
Other languages
Korean (ko)
Other versions
KR102063270B1 (en
Inventor
오윤근
안정철
강철오
심재화
원종진
박성진
오지수
윤한준
김민식
백승현
정계옥
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170140140A priority Critical patent/KR102063270B1/en
Publication of KR20190046391A publication Critical patent/KR20190046391A/en
Application granted granted Critical
Publication of KR102063270B1 publication Critical patent/KR102063270B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Disclosed are a service interlocking apparatus among separated networks, and an apparatus for controlling data among separated networks and a method thereof. The apparatus for controlling data among separated networks according to the present invention comprises: an internal network data receiving unit receiving internal network data to which a label is added by the service interlocking apparatus; a label inspection unit extracting HMAC key information of the internal network data to which the label is added, generating an HMAC value corresponding to the internal network data by using the extracted HMAC key information, and comparing the generated HMAC value to the HMAC value included in the internal network data to perform verification with respect to the HMAC value; a label removing unit removing the label from the internal network data received from the service interlocking apparatus when verification of the HMAC value has succeeded; and an external communication unit transmitting the internal network data from which the label is removed to an external network server.

Description

분리망 간 서비스 연동 장치, 분리망 간 데이터 통제 장치 및 방법{SERVICE INTERWORKING APPARATUS FOR SEPARATED NETWORKS, APPARATUS AND METHOD FOR DATA CONTROL BETWEEN SEPARATE NETWORKS}TECHNICAL FIELD [0001] The present invention relates to a service interworking apparatus, a data interworking apparatus, and a data interconnection network interworking apparatus,

본 발명은 분리망 간의 안전한 데이터 유통을 위하여, 데이터를 가공 및 통제하는 기술에 관한 것으로, 특히 분리망 간의 접점에 설치되어 분리망 간 연동 데이터를 통제하는 기술에 관한 것이다.TECHNICAL FIELD The present invention relates to a technique for processing and controlling data for secure data distribution among separated networks, and more particularly, to a technique for controlling interworking data installed at a contact point between separated networks.

내부망과 외부망, 보안 등급이 상이한 네트워크는 각각의 네트워크 자원을 보호하기 위하여, 서로 분리되어 운용된다. 그리고 양단의 시스템 간 데이터 교환이 필요한 경우, 오프라인(Off-line) 방식으로 데이터를 전달하거나, 두 망간의 연동 시스템을 구성하고 관리자가 데이터에 대한 통제를 수행한 후 데이터의 전달 여부를 결정하는 방식으로 데이터를 교환하였다. 이러한 방식의 데이터 교환은, 데이터 연동의 실시간성을 보장하지 못하고, 전달 과정에서 데이터의 노출이나 오류 등이 발생할 수 있는 문제점이 있다. Internal and external networks and networks with different security levels operate separately from each other to protect their respective network resources. When data exchange between both systems is required, data can be transmitted off-line, or an interworking system between two networks can be established, an administrator can control data, . Data exchange in this manner does not guarantee real-time data interlocking, and there is a problem that exposure or error of data may occur during transmission.

최근, 정보 처리의 신속성 및 효율성 증대를 위해 분리망간 데이터 연동의 필요성이 증가하고 있다. 또한, 기존 방식보다 자동화되고 안전한 데이터 연동 시스템에 대한 수요가 증가하고 있다. Recently, there is an increasing need for data interworking between separate networks in order to increase the speed and efficiency of information processing. In addition, there is an increasing demand for automated and secure data interlocking systems rather than the existing methods.

그러나, 분리망간 연동이 요구되는 다양한 응용 서비스를 수용하는 연동 시스템의 개발 및 구축이 용이하지 않아, 각 사이트별로 요구되는 서비스에 특화된 보안통제 기술이 적용된 시스템이나 장비가 개발 및 운용되고 있다. However, it is not easy to develop and construct an interworking system that accommodates a variety of application services requiring interworking between separate networks. Therefore, a system or equipment using security control technology specialized for each service required for each site is being developed and operated.

따라서, 종래 기술에 따른 보안 통제 시스템이 응용 서비스에 종속적인 단점을 개선하여 응용 서비스 독립적이며, 안전한 물리적 수준의 망 분리를 수행하고, 응용 서비스의 분리망 간 데이터 교환 시 전송되는 데이터의 가공 및 통제를 수행하는 보안 통제 기술의 개발이 필요하다. Therefore, the security control system according to the prior art improves the disadvantages that are dependent on the application service, so that application service independent, secure physical level network separation is performed, and data processing and control And to develop security control technology that performs

한국 등록 특허 제10-1489759호, 2015년 02월 06일 공고(명칭: 스토리지 장치를 이용한 파일전송 프로토콜 제어 방법)Korean Registered Patent No. 10-1489759, February 06, 2015 (Name: File Transfer Protocol Control Method Using Storage Device)

본 발명의 목적은 응용 서비스에 독립적이며, 안전한 물리적 수준의 망 분리를 구현하는 것이다. It is an object of the present invention to implement an application-independent, secure physical level network separation.

또한, 본 발명의 목적은 응용 서비스의 데이터를 통일된 통제 데이터 연동 규격에 따라 변환하여, 연동되는 응용 서비스별로 각각의 보안 통제장비를 구축해야 하는 문제점을 해결하는 것이다. It is another object of the present invention to solve the problem of converting data of an application service according to a unified control data interworking standard and establishing each security control equipment for each interworking application service.

또한, 본 발명의 목적은 응용 서비스의 분리망 간 데이터 교환 시, 전송되는 데이터의 가공 및 통제를 수행하는 보안 통제를 수행하는 것이다. It is also an object of the present invention to perform security control for processing and controlling data to be transmitted when exchanging data between separate networks of application services.

또한, 본 발명의 목적은 통제 데이터 연동 규격에 따른 데이터인지 여부를 판단하고, 변환된 데이터의 무결성을 검증함으로써, 통제 데이터 연동 규격으로 통제 받지 않은 데이터의 분리망 통과를 방지하는 것이다. In addition, the object of the present invention is to prevent data that is not controlled by the control data interworking standard from passing through the separation network by determining whether the data conforms to the control data interworking standard and verifying the integrity of the converted data.

또한, 본 발명의 목적은 데이터 통제의 주요 기능을 TEE 기반 CPU의 안전한 실행 영역에서 수행함으로써, 분리망 간 데이터 통제 방법의 안전성을 추가 보장하는 것이다. It is also an object of the present invention to further ensure the safety of the data control method between the separated networks by performing the main function of the data control in the safe execution area of the TEE-based CPU.

상기한 목적을 달성하기 위한 본 발명에 따른 분리망 간 데이터 통제 장치 는 서비스 연동 장치로부터 레이블이 추가된 내부망 데이터를 수신하는 내부망 데이터 수신부, 상기 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출하고, 추출된 상기 HMAC 키 정보를 이용하여 상기 내부망 데이터에 상응하는 HMAC 값을 생성하며, 생성된 상기 HMAC 값과 상기 내부망 데이터에 포함된 HMAC 값을 비교하여, 상기 HMAC 값에 대한 검증을 수행하는 레이블 검사부, 상기 HMAC 값에 대한 검증에 성공한 경우, 상기 서비스 연동 장치로부터 수신한 상기 내부망 데이터에서 상기 레이블을 제거하는 레이블 제거부, 그리고 상기 레이블이 제거된 상기 내부망 데이터를 외부망 서버로 전송하는 외부망 통신부를 포함한다. In order to accomplish the above object, the inter-network data control apparatus according to the present invention includes an internal network data receiver for receiving internal network data having a label added thereto from the service interworking apparatus, an HMAC key information of the internal network data to which the label is added, Extracts the extracted HMAC key information, generates an HMAC value corresponding to the internal network data using the extracted HMAC key information, compares the generated HMAC value with the HMAC value included in the internal network data, A label removing unit for removing the label from the internal network data received from the service interworking apparatus when the verification of the HMAC value is successful, And an external network communication unit for transmitting to the server.

이때, 수신된 상기 내부망 데이터에 추가된 상기 레이블은, 상기 내부망 데이터의 페이로드에 대한 HMAC 값 및 상기 HMAC 값에 상응하는 HMAC 키 정보를 포함할 수 있다. At this time, the label added to the received internal network data may include an HMAC value for the payload of the internal network data and HMAC key information corresponding to the HMAC value.

이때, 상기 HMAC 키 정보는, 상기 내부망 데이터에 상응하는 상기 HMAC 값을 생성하기 위한 HMAC 키의 그룹 정보 및 인덱스 정보를 포함할 수 있다. Here, the HMAC key information may include group information and index information of an HMAC key for generating the HMAC value corresponding to the internal network data.

이때, 상기 레이블 검사부는, 기 저장된 HMAC 키 값 중에서 상기 HMAC 키 정보에 상응하는 상기 HMAC 키를 검색하고, 검색된 상기 HMAC 키를 이용하여 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성할 수 있다. At this time, the label checker may search for the HMAC key corresponding to the HMAC key information among the previously stored HMAC key values, and generate the HMAC value for the payload of the internal network data using the retrieved HMAC key .

이때, 상기 레이블 검사부는, 생성된 상기 HMAC 값과 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 비교하여, 두 HMAC 값이 동일한지 여부를 판단할 수 있다. At this time, the label checking unit can determine whether the two HMAC values are the same by comparing the generated HMAC value with the HMAC value of the payload of the internal network data.

이때, 상기 서비스 연동 장치로부터 수신된 상기 내부망 데이터는, 신뢰된 실행 환경(Trusted Execution Environment, TEE)에서 내부망 서버의 상기 내부망 데이터에 상기 레이블이 추가된 것으로, 레이블 및 페이로드 형태일 수 있다. At this time, the internal network data received from the service interworking device is the label added to the internal network data of the internal network server in the Trusted Execution Environment (TEE), and may be in the form of a label and a payload have.

또한, 본 발명의 일실시예에 따른 서비스 연동 장치는, 내부망 서버로부터, 외부망 서버로 전송되는 내부망 데이터를 수신하는 내부망 통신부, 상기 내부망 데이터를 분석하여, 상기 내부망 데이터가 상기 외부망 서버로의 전송이 허용된 데이터인지 여부를 판단하는 데이터 분석부, 상기 내부망 데이터가 상기 외부망 서버로의 전송이 허용된 데이터인 것으로 판단된 경우, 상기 내부망 데이터에 레이블을 추가하는 레이블 추가부, 그리고 상기 레이블이 추가된 상기 내부망 데이터를 분리망 간 데이터 통제 장치를 통하여 상기 외부망 서버로 전송하는 내부망 데이터 중계부를 포함한다. According to another aspect of the present invention, there is provided a service interworking apparatus comprising: an internal network communication unit for receiving internal network data transmitted from an internal network server to an external network server; A data analyzing unit for determining whether or not data to be transmitted to the external network server is permitted; and a step of adding a label to the internal network data when it is determined that the internal network data is data permitted to be transmitted to the external network server A label addition unit, and an internal network data relay unit for transmitting the internal network data to which the label is added, to the external network server through the inter-network data control device.

이때, 상기 레이블 추가부는, 상기 내부망 데이터의 페이로드에 대한 HMAC 값 및 상기 HMAC 값에 상응하는 HMAC 키 정보를 포함하는 상기 레이블을 추가할 수 있다. At this time, the label adding unit may add the label including the HMAC value for the payload of the internal network data and the HMAC key information corresponding to the HMAC value.

이때, 상기 HMAC 값에 상응하는 HMAC 키 정보는, 상기 분리망 간 데이터 통제 장치와 사전에 공유된 키 그룹 중에서 선택된 HMAC 키의 정보를 의미하고, 상기 레이블 추가부는, 선택된 상기 HMAC 키를 이용하여 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성할 수 있다. In this case, the HMAC key information corresponding to the HMAC value means information of an HMAC key selected from a pre-shared key group with the inter-network data control apparatus, and the label adding unit adds It is possible to generate the HMAC value for the payload of the internal network data.

이때, 상기 레이블 추가부는, 응용 서비스의 데이터인 상기 내부망 데이터에 상기 레이블을 추가하여, 상기 내부망 데이터를 레이블 및 페이로드의 조합 형태로 규격화할 수 있다. At this time, the label adding unit may add the label to the internal network data, which is data of the application service, and normalize the internal network data into a combination of a label and a payload.

이때, 상기 분리망 간 데이터 통제 장치는, 상기 레이블에 포함된 상기 내부망 데이터의 페이로드에 대한 HMAC 값과 상기 분리망 간 데이터 통제 장치가 상기 HMAC 키 정보를 이용하여 생성한 HMAC 값을 비교하여, 상기 내부망 데이터를 상기 외부망 서버로 전송할지 여부를 결정할 수 있다. At this time, the inter-network data control apparatus compares the HMAC value of the payload of the internal network data included in the label with the HMAC value generated by the inter-network data control apparatus using the HMAC key information , And determine whether to transmit the internal network data to the external network server.

이때, 상기 레이블에 포함된 HMAC 키 정보는 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하기 위한 HMAC 키 정보로, HMAC 키의 그룹 정보 및 인덱스 정보를 포함할 수 있다. In this case, the HMAC key information included in the label may include HMAC key information for generating an HMAC value for the payload of the internal network data, and may include group information and index information of the HMAC key.

또한, 본 발명의 일실시예에 따른 분리망 간 데이터 통제 장치에 의해 수행되는 분리망 간 데이터 통제 방법은 서비스 연동 장치로부터 레이블이 추가된 내부망 데이터를 수신하는 단계, 상기 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출하는 단계, 추출된 상기 HMAC 키 정보를 이용하여 상기 내부망 데이터에 상응하는 HMAC 값을 생성하는 단계, 생성된 상기 HMAC 값과 상기 내부망 데이터에 포함된 HMAC 값을 비교하여, 상기 HMAC 값에 대한 검증을 수행하는 단계, 상기 HMAC 값에 대한 검증에 성공한 경우, 상기 서비스 연동 장치로부터 수신한 상기 내부망 데이터에서 상기 레이블을 제거하는 단계, 그리고 상기 레이블이 제거된 상기 내부망 데이터를 외부망 서버로 전송하는 단계를 포함한다. In addition, a method for controlling inter-network data control performed by a inter-network data control apparatus according to an embodiment of the present invention includes receiving internal network data with a label added from a service interworking apparatus, Extracting HMAC key information of the data, generating an HMAC value corresponding to the internal network data using the extracted HMAC key information, comparing the generated HMAC value with an HMAC value included in the internal network data The method comprising the steps of: verifying the HMAC value; if the verification of the HMAC value is successful, removing the label from the internal network data received from the service interworking device; And transmitting the network data to the external network server.

이때, 수신된 상기 내부망 데이터에 추가된 상기 레이블은, 상기 내부망 데이터의 페이로드에 대한 HMAC 값 및 상기 HMAC 값에 상응하는 HMAC 키 정보를 포함할 수 있다. At this time, the label added to the received internal network data may include an HMAC value for the payload of the internal network data and HMAC key information corresponding to the HMAC value.

이때, 상기 HMAC 키 정보는, 상기 내부망 데이터에 상응하는 상기 HMAC 값을 생성하기 위한 HMAC 키의 그룹 정보 및 인덱스 정보를 포함할 수 있다. Here, the HMAC key information may include group information and index information of an HMAC key for generating the HMAC value corresponding to the internal network data.

이때, 상기 내부망 데이터에 상응하는 HMAC 값을 생성하는 단계는, 기 저장된 HMAC 키 값 중에서 상기 HMAC 키 정보에 상응하는 상기 HMAC 키를 검색하는 단계, 그리고 검색된 상기 HMAC 키를 이용하여, 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하는 단계를 포함할 수 있다. The generating of the HMAC value corresponding to the internal network data may include searching for the HMAC key corresponding to the HMAC key information from the previously stored HMAC key values and using the retrieved HMAC key, And generating an HMAC value for the payload of the data.

이때, 상기 HMAC 값에 대한 검증을 수행하는 단계는, 생성된 상기 HMAC 값과 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 비교하여, 두 HMAC 값이 동일한지 여부를 판단할 수 있다. In this case, the step of verifying the HMAC value may determine whether the two HMAC values are the same by comparing the generated HMAC value with the HMAC value of the payload of the internal network data.

이때, 상기 서비스 연동 장치로부터 수신된 상기 내부망 데이터는, 신뢰된 실행 환경(Trusted Execution Environment, TEE)에서 내부망 서버의 상기 내부망 데이터에 상기 레이블이 추가된 것으로, 레이블 및 페이로드 형태일 수 있다. At this time, the internal network data received from the service interworking device is the label added to the internal network data of the internal network server in the Trusted Execution Environment (TEE), and may be in the form of a label and a payload have.

이때, 추출된 상기 HMAC 키 정보는, 상기 서비스 연동 장치가, 상기 분리망 간 데이터 통제 장치와 사전에 공유된 키 그룹 중에서 선택한 HMAC 키의 정보이고, 상기 내부망 데이터에 포함된 HMAC 값은, 상기 서비스 연동 장치가, 선택한 상기 HMAC 키를 이용하여 상기 내부망 데이터의 페이로드에 대해 생성한 HMAC 값일 수 있다. In this case, the extracted HMAC key information is information of an HMAC key selected from among a key group pre-shared with the inter-network data control apparatus by the service interworking apparatus, and the HMAC value included in the internal network data is The service interworking device may be an HMAC value generated for the payload of the internal network data using the selected HMAC key.

이때, 상기 서비스 연동 장치로부터 수신된 상기 레이블이 추가된 내부망 데이터는, 내부망 서버의 응용 서비스 데이터 중에서, 상기 서비스 연동 장치에 의해 상기 외부망 서버로의 전송이 인가된 것으로 판단된 것일 수 있다. At this time, the label-added internal network data received from the service interworking device may be one of application service data of the internal network server that is determined to be transmitted to the external network server by the service interworking device .

본 발명에 따르면, 응용 서비스에 독립적이며, 안전한 물리적 수준의 망 분리를 구현할 수 있다. According to the present invention, it is possible to implement a network separation that is independent of application services and secure physical level.

또한 본 발명에 따르면, 응용 서비스의 데이터를 통일된 통제 데이터 연동 규격에 따라 변환하여, 연동되는 응용 서비스별로 각각의 보안 통제장비를 구축해야 하는 문제점을 해결할 수 있다. Also, according to the present invention, it is possible to solve the problem that the data of the application service is converted according to the unified control data interworking standard, and each security control equipment is constructed for the interworking application service.

또한 본 발명에 따르면, 응용 서비스의 분리망 간 데이터 교환 시, 전송되는 데이터의 가공 및 통제를 수행하는 보안 통제를 수행할 수 있다. Also, according to the present invention, it is possible to perform security control for processing and controlling data to be transmitted when exchanging data between separate networks of application services.

또한 본 발명에 따르면, 통제 데이터 연동 규격에 따른 데이터인지 여부를 판단하고, 변환된 데이터의 무결성을 검증함으로써, 통제 데이터 연동 규격으로 통제 받지 않은 데이터의 분리망 통과를 방지할 수 있다. Also, according to the present invention, it is possible to prevent data that is not controlled by the control data interlocking standard from passing through the separation network, by determining whether the data conforms to the control data interlocking standard and verifying the integrity of the converted data.

또한 본 발명에 따르면, 데이터 통제의 주요 기능을 TEE 기반 CPU의 안전한 실행 영역에서 수행함으로써, 분리망 간 데이터 통제 방법의 안전성을 추가 보장할 수 있다. Further, according to the present invention, by performing the main function of data control in the safe execution area of the TEE-based CPU, it is possible to further ensure the safety of the data control method between the split networks.

도 1은 본 발명의 일실시예에 따른 분리망 간 데이터 통제 시스템이 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 분리망 간 서비스 연동 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 분리망 간 데이터 통제 장치의 구성을 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 분리망 간 데이터 통제 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 일실시예에 따른 분리망 간 데이터 통제 시스템의 데이터 통제 과정의 흐름을 설명하기 위한 순서도이다.
도 6은 본 발명의 일실시예에 따른 내부망 서버의 데이터를 나타낸 예시도이다.
도 7은 본 발명의 일실시예에 따른 레이블이 추가된 내부망 데이터를 나타낸 예시도이다.
도 8은 본 발명의 일실시예에 따른 외부망 서버로 전송되는 내부망 데이터를 나타낸 예시도이다.
도 9는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.1 is a diagram schematically illustrating an environment in which a data network control system according to an embodiment of the present invention is applied.
2 is a block diagram illustrating a configuration of a service interworking apparatus according to an embodiment of the present invention.
FIG. 3 is a block diagram illustrating a configuration of an inter-network data control apparatus according to an embodiment of the present invention.
FIG. 4 is a flowchart illustrating a data control method between separated networks according to an embodiment of the present invention. Referring to FIG.
5 is a flowchart illustrating a flow of a data control process of a data control system between networks according to an embodiment of the present invention.
6 is a diagram illustrating data of an internal network server according to an exemplary embodiment of the present invention.
7 is a diagram illustrating internal network data to which a label is added according to an embodiment of the present invention.
8 is a diagram illustrating internal network data transmitted to an external network server according to an exemplary embodiment of the present invention.
9 is a block diagram illustrating a computer system in accordance with an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the relevant art and are to be interpreted in an ideal or overly formal sense unless explicitly defined in the present application Do not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate the understanding of the present invention, the same reference numerals are used for the same constituent elements in the drawings and redundant explanations for the same constituent elements are omitted.

도 1은 본 발명의 일실시예에 따른 분리망 간 데이터 통제 시스템이 적용되는 환경을 개략적으로 나타낸 도면이다. 1 is a diagram schematically illustrating an environment in which a data network control system according to an embodiment of the present invention is applied.

도 1에 도시한 바와 같이, 분리망 간 데이터 통제 시스템은 내부망 서버(100), 서비스 연동 장치(200), 분리망 간 데이터 통제 장치(300) 및 외부망 서버(400)를 포함한다. 1, the inter-network data control system includes an internal network server 100, a service interworking apparatus 200, a inter-network data control apparatus 300, and an external network server 400.

그리고 도 1과 같이, 분리망 간 안전한 데이터의 전송을 위하여, 내부망 서버(100)는 서비스 연동 장치(200) 및 분리망 간 데이터 통제 장치(300)를 통하여 외부망 서버(400)와 연동될 수 있다. 즉, 내부망 서버(100)에서 외부망 서버(400)로의 연동 프로토콜 및 데이터는, 반드시 서비스 연동 장치(200) 및 분리망 간 데이터 통제 장치(300)를 통하여 처리 및 전송될 수 있다. 1, the internal network server 100 is connected to the external network server 400 through the service interworking apparatus 200 and the inter-network data control apparatus 300 for the secure data transmission between the separated networks . That is, the interworking protocol and data from the internal network server 100 to the external network server 400 must be processed and transmitted through the service interworking apparatus 200 and the inter-network data control apparatus 300.

내부망 서버(100)와 외부망 서버(400)의 응용 서비스 연동이 요구되는 경우, 서비스 연동 장치(200) 및 분리망 간 데이터 통제 장치(300)는 분리망 간 접점에 설치되어, 망 분리 및 응용 서비스간 데이터 공유를 수행하며, 이를 통하여 분리망 간 연동 데이터를 통제할 수 있다. When interworking between the internal network server 100 and the external network server 400 is required, the service interworking apparatus 200 and the inter-network data control apparatus 300 are installed at the inter-network connection point, Data sharing between application services is performed, and interworking data between separate networks can be controlled.

특히, 서비스 연동 장치(200)는 내부망 서버(100)로부터 수신한 내부망 데이터에 대한 검사를 수행하고, 내부망 데이터에 레이블을 추가하여 분리망 간 데이터 통제 장치(300)로 전송한다. In particular, the service interworking apparatus 200 inspects internal network data received from the internal network server 100, adds labels to internal network data, and transmits the internal network data to the inter-network data control apparatus 300.

그리고 분리망 간 데이터 통제 장치(300)는 수신된 내부망 데이터의 레이블을 검사하고, 레이블 검사에 성공한 경우 수신된 내부망 데이터에서 레이블을 제거하여 외부망 서버(400)로 전송한다. The inter-network data control apparatus 300 checks the label of the received internal network data, and if the label check is successful, removes the label from the received internal network data and transmits the label to the external network server 400.

여기서, 분리망 간 데이터 통제 장치(300)는 내부망 운용 소프트웨어, 내부망 하드웨어 통제 모듈, 외부망 하드웨어 통제 모듈 및 외부망 운용 소프트웨어로 구성될 수 있다. Here, the inter-network data control device 300 may be composed of internal network operating software, internal network hardware control module, external network hardware control module, and external network operating software.

그리고 내부망 데이터를 수신한 분리망 간 데이터 통제 장치(300)는 내부망 운용 소프트웨어의 레이블 프로토콜 관리 모듈을 통해 레이블 프로토콜 중계 및 세션 관리를 수행할 수 있다. 그리고 내부망 운용 소프트웨어는 하드웨어 통제 모듈 전송 모듈을 통해 내부망 하드웨어 통제 모듈로 내부망 데이터를 전송할 수 있다.In addition, the inter-decentralized data control apparatus 300 receiving the internal network data can perform label protocol relay and session management through the label protocol management module of the internal network operating software. The internal network operating software can transmit the internal network data to the internal network hardware control module through the hardware control module transmission module.

특히, 분리망 간 데이터 통제 장치(300)의 내부망 하드웨어 통제 모듈이 내부망 데이터를 수신한 경우, 내부망 하드웨어 통제 모듈은 레이블의 HMAC 키 정보를 이용하여 내부망 하드웨어 통제 모듈에 저장된 HMAC 키를 검색할 수 있다. 그리고 내부망 하드웨어 통제 모듈은 검색된 HMAC 키를 이용하여 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하고, 생성된 HMAC 값과 내부망 데이터의 레이블에 포함된 HMAC 값을 비교할 수 있다.In particular, when the internal network hardware control module of the inter-network data control device 300 receives internal network data, the internal network hardware control module uses the label's HMAC key information to determine the HMAC key stored in the internal network hardware control module You can search. The internal network hardware control module generates an HMAC value for the payload of the internal network data using the retrieved HMAC key, and compares the generated HMAC value with the HMAC value included in the label of the internal network data.

HMAC 값의 비교 결과 두 HMAC 값이 동일한 것으로 판단된 경우, 분리망 간 데이터 통제 장치(300)의 내부망 하드웨어 통제 모듈은 레이블이 제거된 내부망 데이터를 외부망 하드웨어 통제 모듈로 전송하고, 외부망 하드웨어 통제 모듈은 레이블이 제거된 내부망 데이터를 외부망 운용 소프트웨어로 전송할 수 있다. If it is determined that the two HMAC values are the same as the HMAC value, the internal network hardware control module of the inter-network data control apparatus 300 transmits the unlabeled internal network data to the external network hardware control module, The hardware control module can transmit the unlabeled internal network data to the external network operating software.

이때, 내부망 하드웨어 통제 모듈과 외부망 하드웨어 통제 모듈은 광 모듈로 연결되어, 고속으로 분리망 간 데이터를 전송할 수 있다. 그리고 외부망 운용 소프트웨어는 수신한 내부망 데이터를 외부망 서버(400)로 전송하며, 외부망 서버(400)와의 TCP 세션 관리를 수행할 수 있다.At this time, the internal network hardware control module and the external network hardware control module are connected to the optical module, and data can be transmitted between the separated networks at high speed. The external network operating software transmits the received internal network data to the external network server 400 and can perform TCP session management with the external network server 400.

이하에서는 도 2 및 도 3을 통하여 본 발명의 일실시예에 따른 분리망 간 서비스 연동 장치 및 분리망 간 데이터 통제 장치의 구성에 대하여 더욱 상세하게 설명한다. Hereinafter, the configuration of a data interconnection network interworking apparatus and a data interconnection network interconnection control apparatus according to an embodiment of the present invention will be described in detail with reference to FIG. 2 and FIG.

도 2는 본 발명의 일실시예에 따른 분리망 간 서비스 연동 장치의 구성을 나타낸 블록도이다. 2 is a block diagram illustrating a configuration of a service interworking apparatus according to an embodiment of the present invention.

도 2와 같이, 서비스 연동 장치(200)는 내부망 통신부(210), 데이터 분석부(220), 레이블 추가부(230) 및 내부망 데이터 중계부(240)를 포함한다. 2, the service interworking apparatus 200 includes an internal network communication unit 210, a data analysis unit 220, a label addition unit 230, and an internal network data relay unit 240.

먼저, 내부망 통신부(210)는 내부망 서버(100)로부터 외부망 서버(400)로 전송할 내부망 데이터를 수신한다. First, the internal network communication unit 210 receives internal network data to be transmitted from the internal network server 100 to the external network server 400.

내부망 통신부(210)는 내부망과 외부망으로 분리된 분리망 간에 응용 서비스의 연동이 요구되는 환경에서, 내부망 서버(100)가 외부망 서버(400)로 전송하는 응용 프로토콜 및 내부망 데이터를 수신한다. The internal network communication unit 210 may transmit the application protocol and internal network data transmitted from the internal network server 100 to the external network server 400 in an environment requiring interworking of application services between the internal network and the separated external network, .

그리고 내부망 통신부(210)는 내부망 서버(100)가 전송하는 프로토콜이나 서비스의 중계 및 분석을 수행할 수 있다. 데이터 분석부(220)는 내부망 데이터를 분석하여, 내부망 데이터가 외부망 서버(400)로의 전송이 허용된 데이터인지 여부를 판단한다. 이때, 데이터 분석부(220)는 내부망 데이터가 통제 데이터 연동 규격을 따른 데이터인지 여부를 판단할 수 있다. The internal network communication unit 210 can relay and analyze protocols and services transmitted by the internal network server 100. The data analyzer 220 analyzes the internal network data and determines whether or not the internal network data is data that is allowed to be transmitted to the external network server 400. At this time, the data analysis unit 220 may determine whether the internal network data is data according to the control data interworking standard.

데이터 분석 결과, 내부망 데이터가 외부망 서버(400)로의 전송이 허용되지 않은 데이터인 것으로 판단된 경우, 서비스 연동 장치(200)는 내부망 데이터를 분리망 간 데이터 통제 장치(300)로 전송하지 않을 수 있다. If it is determined that the internal network data is data that is not allowed to be transmitted to the external network server 400 as a result of the data analysis, the service interworking apparatus 200 does not transmit the internal network data to the inter-network data control apparatus 300 .

다음으로, 레이블 추가부(230)는 내부망 데이터가 외부망 서버(400)로의 전송이 허용된 데이터인 것으로 판단된 경우, 검사가 완료된 내부망 데이터에 레이블을 추가한다. 여기서, 레이블 추가부(230)는 신뢰된 실행 환경(Trusted Execution Environment, TEE)에서 내부망 데이터에 레이블을 추가할 수 있다. If it is determined that the internal network data is allowed to be transmitted to the external network server 400, the label adding unit 230 adds the label to the internal network data that has been checked. Here, the label adding unit 230 may add a label to internal network data in a Trusted Execution Environment (TEE).

레이블 추가부(230)는 내부망 데이터의 페이로드에 대한 HMAC 값 및 HMAC 값에 상응하는 HMAC 키 정보를 포함하는 레이블을 내부망 데이터에 추가할 수 있다. 여기서, HMAC 값은 HMAC 키를 이용하여 내부망 데이터의 페이로드(payload)에 대해 생성한 HMAC 값을 의미한다. The label adding unit 230 may add the label including the HMAC value corresponding to the payload of the internal network data and the HMAC key information to the internal network data. Here, the HMAC value refers to the HMAC value generated for the payload of the internal network data using the HMAC key.

그리고 HMAC 키 정보는 레이블에 포함된 HMAC 값의 생성에 활용된 HMAC 키의 정보를 의미한다. HMAC 키 정보는 서비스 연동 장치(200)와 분리망 간 데이터 통제 장치(300)에 사전에 공유된 키 그룹 중에서 선택된 HMAC 키의 정보를 의미하며, HMAC 키의 그룹 정보 및 인덱스 정보를 포함할 수 있다. The HMAC key information is information of the HMAC key used to generate the HMAC value included in the label. The HMAC key information is information of an HMAC key selected from a key group previously shared in the service interworking apparatus 200 and the inter-network data control apparatus 300, and may include group information and index information of the HMAC key .

즉, 레이블 추가부(230)는 분리망 간 데이터 통제 장치(300)와 사전에 공유한 HMAC 키 그룹 중에서 하나의 HMAC 키를 선택하고, 선택된 HMAC 키를 이용하여 내부망 데이터의 페이로드에 대한 HMAC 값을 생성한다. 그리고 레이블 추가부(230)는 HMAC 값의 생성에 사용된 HMAC 키의 정보 및 페이로드에 대한 HMAC 값을 포함하는 레이블을 내부망 데이터에 추가한다. That is, the label adding unit 230 selects one HMAC key from among the HMAC key groups previously shared with the inter-inter-network data control apparatus 300, and selects the HMAC key for the payload of the internal network data using the selected HMAC key. Value. The label adding unit 230 adds the label including the information of the HMAC key used for generating the HMAC value and the HMAC value for the payload to the internal network data.

또한, 레이블 추가부(230)는 응용 서비스인 데이터인 내부망 데이터에 레이블을 추가하여, 내부망 데이터를 레이블 및 페이로드의 조합 형태로 규격화할 수 있다. 그리고 레이블 추가 시 사용되는 알고리즘 및 HMAC 키의 정보는 CPU 내의 안전한 메모리 영역에서 보호 및 실행될 수 있다. In addition, the label adding unit 230 may add a label to internal network data, which is application service data, to standardize the internal network data into a combination of a label and a payload. And the information of the algorithm and the HMAC key used in adding the label can be protected and executed in the secure memory area in the CPU.

마지막으로, 내부망 데이터 중계부(240)는 레이블이 추가된 내부망 데이터를 분리망 간 데이터 통제 장치(300)를 통하여 외부망 서버(400)로 전송한다. Finally, the internal network data relay unit 240 transmits the label-added internal network data to the external network server 400 through the inter-network data control apparatus 300.

도 3은 본 발명의 일실시예에 따른 분리망 간 데이터 통제 장치의 구성을 나타낸 블록도이다. FIG. 3 is a block diagram illustrating a configuration of an inter-network data control apparatus according to an embodiment of the present invention.

도 3에 도시한 바와 같이, 분리망 간 데이터 통제 장치(300)는 내부망 데이터 수신부(310), 레이블 검사부(320), 레이블 제거부(330) 및 외부망 통신부(340)를 포함한다. 3, the inter-network data control apparatus 300 includes an internal network data receiving unit 310, a label checking unit 320, a label removing unit 330, and an external network communication unit 340.

내부망 데이터 수신부(310)는 서비스 연동 장치(200)로부터 내부망 서버(100)의 내부망 데이터를 수신한다. 여기서, 내부망 데이터 수신부(310)가 수신한 내부망 데이터는 서비스 연동 장치(200)에 의해 레이블이 추가된 형태이다. The internal network data receiving unit 310 receives the internal network data of the internal network server 100 from the service interworking device 200. Here, the internal network data received by the internal network data receiving unit 310 is a label added by the service interworking device 200.

레이블 검사부(320)는 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출한다. 그리고 레이블 검사부(320)는 추출된 HMAC 키 정보를 이용하여, 내부망 데이터에 상응하는 HMAC 값을 생성한다. 이때, 레이블 검사부(320)는 기 저장된 HMAC 키 값들 중에서 레이블의 HMAC 키 정보에 상응하는 HMAC 키를 검색한다. 그리고 레이블 검사부(320)는 검색된 HMAC 키를 이용하여 내부망 데이터의 페이로드에 대한 HMAC 값을 생성할 수 있다. The label checking unit 320 extracts HMAC key information of the label-added internal network data. The label checking unit 320 generates an HMAC value corresponding to the internal network data using the extracted HMAC key information. At this time, the label checking unit 320 searches for an HMAC key corresponding to the HMAC key information of the label among the previously stored HMAC key values. The label checking unit 320 may generate an HMAC value for the payload of the internal network data using the retrieved HMAC key.

HMAC 값을 생성한 레이블 검사부(320)는 생성한 HMAC 값과 내부망 데이터의 레이블에 포함된 HMAC 값을 비교하여, HMAC 값에 대한 검증을 수행한다. 설명의 편의를 위하여, 레이블에 포함된 HMAC 값을 제1 HMAC 값이라 명명하고, 레이블 검사부(320)가 생성한 HMAC 값을 제2 HMAC 값이라 명명한다. The label checking unit 320 that has generated the HMAC value compares the generated HMAC value with the HMAC value included in the label of the internal network data, and performs verification of the HMAC value. For convenience of explanation, the HMAC value included in the label is referred to as a first HMAC value, and the HMAC value generated by the label checking unit 320 is referred to as a second HMAC value.

제1 HMAC 값과 제2 HMAC 값을 비교한 결과, 제1 HMAC 값과 제2 HMAC 값이 동일한 경우, 레이블 검사부(320)는 레이블 검증에 성공한 것으로 판단할 수 있다. 반면, 제1 HMAC 값과 제2 HMAC 값이 상이한 경우 레이블 검사부(320)는 레이블 검증에 실패한 것으로 판단하고, 분리망 간 데이터 통제 과정의 수행을 종료할 수 있다. As a result of comparing the first HMAC value with the second HMAC value, if the first HMAC value and the second HMAC value are equal to each other, the label checking unit 320 can determine that label verification is successful. On the other hand, if the first HMAC value is different from the second HMAC value, the label checking unit 320 determines that the label verification has failed and terminates the data control process between the split networks.

다음으로 레이블 제거부(330)는 HMAC 값에 대한 검증에 성공한 경우, 서비스 연동 장치(200)로부터 수신한 내부망 데이터에서 레이블을 제거한다. 그리고 외부망 통신부(340)는 레이블이 제거된 내부망 데이터를 외부망 서버(400)로 전송하여, 내부망 서버(100)의 데이터를 외부망 서버(400)로 중계한다. Next, the label removal unit 330 removes the label from the internal network data received from the service interworking device 200 when the HMAC value is successfully verified. The external network communication unit 340 transmits the unlabeled internal network data to the external network server 400 and relays the data of the internal network server 100 to the external network server 400.

이하에서는 도 4를 통하여, 본 발명의 일실시예에 따른 분리망 간 데이터 통제 장치에 의해 수행되는 분리망 간 데이터 통제 방법에 대하여 더욱 상세하게 설명한다.Hereinafter, a data control method between the split networks performed by the inter-network data control apparatus according to an embodiment of the present invention will be described in detail with reference to FIG.

도 4는 본 발명의 일실시예에 따른 분리망 간 데이터 통제 방법을 설명하기 위한 순서도이다.FIG. 4 is a flowchart illustrating a data control method between separated networks according to an embodiment of the present invention. Referring to FIG.

먼저, 분리망 간 데이터 통제 장치(300)는 서비스 연동 장치(200)로부터 레이블이 추가된 내부망 데이터를 수신한다(S410).First, the inter-network data control apparatus 300 receives the label-added internal network data from the service interworking apparatus 200 (S410).

분리망 간 데이터 통제 장치(300)는 서비스 연동 장치(200)로부터, 내부망 서버(100)의 내부망 데이터를 수신한다. 이때, 수신된 데이터는 서비스 연동 장치(200)에 의해 외부망 서버(400)로의 전송이 허용된 것으로 판단된 데이터로, 내부망 서버(100)의 데이터에 레이블이 추가된 형태일 수 있다. The inter-network data control apparatus 300 receives internal network data of the internal network server 100 from the service interworking apparatus 200. At this time, the received data is data that is determined to be allowed to be transmitted to the external network server 400 by the service interworking device 200, and may be a form in which the label of the internal network server 100 is added.

그리고 내부망 데이터에 추가된 레이블은 내부망 데이터의 페이로드에 대한 HMAC 값 및 HMAC 값에 상응하는 HMAC 키 정보를 포함할 수 있으며, S410 단계에서 수신된 내부망 데이터는 레이블 및 페이로드의 형태일 수 있다. The label added to the internal network data may include the HMAC value corresponding to the payload of the internal network data and the HMAC key information corresponding to the HMAC value. The internal network data received in step S410 may be in the form of a label and a payload .

다음으로 분리망 간 데이터 통제 장치(300)는 내부망 데이터의 HMAC 키 정보를 추출한다(S420). Next, the inter-network data control apparatus 300 extracts HMAC key information of the internal network data (S420).

분리망 간 데이터 통제 장치(300)는 수신된 내부망 데이터의 레이블로부터, HMAC 키 정보를 추출한다. 여기서, 레이블에 포함된 HMAC 키 정보는 HMAC 키의 그룹 정보 및 인덱스 정보를 포함할 수 있다. The inter-network data control apparatus 300 extracts HMAC key information from the label of the received internal network data. Here, the HMAC key information included in the label may include group information and index information of the HMAC key.

그리고 분리망 간 데이터 통제 장치(300)는 기 저장된 HMAC 키 그룹 중에서 추출된 HMAC 키 정보에 상응하는 HMAC 키를 검색한다. 여기서, 기 저장된 HMAC 키 그룹은 분리망 간 데이터 통제 장치(300)와 서비스 연동 장치(200)가 사전에 공유한 것으로, 분리망 간 데이터 통제 장치(300)는 HMAC 키 정보의 그룹 정보 및 인덱스 정보를 기반으로 HMAC 키를 검색할 수 있다. The inter-network data control apparatus 300 searches for an HMAC key corresponding to the extracted HMAC key information from the previously stored HMAC key group. Here, the pre-stored HMAC key group is pre-shared between the inter-decentralized data control apparatus 300 and the service interworking apparatus 200, and the inter-decentralized data control apparatus 300 receives group information of the HMAC key information and index information The HMAC key can be retrieved based on the HMAC key.

그리고 분리망 간 데이터 통제 장치(300)는 내부망 데이터에 상응하는 HMAC 값을 생성하고(S430), 생성한 HMAC 값과 내부망 데이터의 HMAC 값을 비교한다(S440).The inter-network data control apparatus 300 generates an HMAC value corresponding to the internal network data (S430), and compares the generated HMAC value with the HMAC value of the internal network data (S440).

분리망 간 데이터 통제 장치(300)는 S420 단계에서 검색된 HMAC 키를 이용하여 내부망 데이터의 페이로드에 대한 HMAC 값을 생성한다. 그리고 분리망 간 데이터 통제 장치(300)는 S430 단계에서 생성한 HMAC 값과 S410 단계에서 수신한 내부망 데이터의 레이블에 포함된 HMAC 값을 비교한다. The inter-network data control apparatus 300 generates an HMAC value for the payload of the internal network data using the HMAC key retrieved in step S420. The inter-network data control apparatus 300 compares the HMAC value generated in step S430 with the HMAC value included in the label of the internal network data received in step S410.

HMAC 값의 비교 결과 두 HMAC 값이 상이한 경우, 분리망 간 데이터 통제 장치(300)는 내부망 데이터의 처리를 중단하고, 사용자에게 내부망 데이터의 검증 결과를 알릴 수 있다. If the two HMAC values are different from each other as a result of the comparison of the HMAC values, the inter-network data control apparatus 300 may stop the processing of the internal network data and notify the user of the verification result of the internal network data.

반면, HMAC 값의 비교 결과, 두 HMAC 값이 동일한 것으로 판단된 경우 분리망 간 데이터 통제 장치(300)는 내부망 데이터에서 레이블을 제거한다(S450).On the other hand, if it is determined that the two HMAC values are the same as the result of the comparison of the HMAC values, the inter-network data control apparatus 300 removes the label from the internal network data (S450).

생성한 HMAC 값과 레이블에 포함된 HMAC 값이 동일한 경우, 분리망 간 데이터 통제 장치(300)는 수신된 내부망 데이터에서 레이블을 제거할 수 있다. If the generated HMAC value is equal to the HMAC value included in the label, the inter-decentralized data control apparatus 300 can remove the label from the received internal network data.

마지막으로, 분리망 간 데이터 통제 장치(300)는 레이블이 제거된 내부망 데이터를 외부망 서버(400)로 전송한다(S460). Finally, the inter-network data control apparatus 300 transmits the unlabeled internal network data to the external network server 400 (S460).

여기서, 레이블이 제거된 내부망 데이터는 내부망 서버(100)가 외부망 서버(400)로 전송하기 위하여 서비스 연동 장치(200)로 전송한 데이터와 동일한 것으로, 분리망 간 데이터 통제 장치(300)는 레이블이 제거된 내부망 데이터를 외부망 서버(400)로 전송함으로써, 내부망 서버(100)가 외부망 서버(400)로 전송하고자 하는 데이터를 중계할 수 있다. The inner network data with the label removed is identical to the data transmitted from the inner network server 100 to the service interworking device 200 for transmission to the external network server 400, The internal network server 100 can relay the data to be transmitted to the external network server 400 by transmitting the unlabeled internal network data to the external network server 400. [

이하에서는 도 5 내지 도 8을 통하여 본 발명의 일 실시예에 따른 분리망 간 데이터 통제 시스템의 데이터 통제 과정에 대하여 더욱 상세하게 설명한다. Hereinafter, the data control process of the inter-network data control system according to an embodiment of the present invention will be described in detail with reference to FIG. 5 through FIG.

도 5는 본 발명의 일실시예에 따른 분리망 간 데이터 통제 시스템의 데이터 통제 과정의 흐름을 설명하기 위한 순서도이다. 5 is a flowchart illustrating a flow of a data control process of a data control system between networks according to an embodiment of the present invention.

먼저, 내부망 서버(100)는 서비스 연동 장치(200)로 내부망 데이터를 전송한다(S510). First, the internal network server 100 transmits internal network data to the service interworking device 200 (S510).

도 6은 본 발명의 일실시예에 따른 내부망 서버의 데이터를 나타낸 예시도이다.6 is a diagram illustrating data of an internal network server according to an exemplary embodiment of the present invention.

도 6에 도시한 바와 같이, 내부망 서버(100)는 외부망 서버(400)와의 응용 서비스 연동을 위하여, 외부망 서버(400)로 전송하고자 하는 데이터(내부망 데이터)(10)를 분리망 간 접점에 설치된 서비스 연동 장치(200)로 전송할 수 있다. 6, the internal network server 100 transmits data (internal network data) 10 to be transmitted to the external network server 400 to the external network server 400 in order to link application services with the external network server 400, To the service interworking apparatus 200 installed at the point of intersection.

그리고 서비스 연동 장치(200)는 수신한 내부망 데이터에 대한 검사를 수행한다(S520). Then, the service interworking apparatus 200 inspects the received internal network data (S520).

서비스 연동 장치(200)는 내부망 데이터가 외부망 서버(400)로의 전송이 허용된 데이터인지 여부를 판단하는 검사를 수행할 수 있다. 검사 결과, 수신된 데이터가 외부망 서버(400)로의 전송이 허용된 데이터가 아닌 것으로 판단된 경우, 서비스 연동 장치(200)는 해당 내부망 데이터를 폐기하거나, 사용자에게 허가되지 않은 내부망 데이터의 전송 시도가 발생함을 알릴 수 있다. The service interworking apparatus 200 may perform an inspection to determine whether the internal network data is data permitted to be transmitted to the external network server 400. [ If it is determined that the received data is not the data permitted to be transmitted to the external network server 400, the service interworking apparatus 200 discards the internal network data, It can notify that a transmission attempt has occurred.

반면, 내부망 데이터에 대한 검사가 완료된 경우, 서비스 연동 장치(200)는 검사가 완료된 내부망 데이터(10)에 레이블(25)을 추가하여, 레이블이 추가된 내부망 데이터(20)를 생성할 수 있다(S530). On the other hand, if the inspection of the internal network data is completed, the service interworking apparatus 200 adds the label 25 to the internal network data 10 that has been inspected to generate the internal network data 20 with the label added thereto (S530).

그리고 서비스 연동 장치(200)는 레이블이 추가된 내부망 데이터(20)를 분리망 간 데이터 통제 장치(300)로 전송한다(S540). The service interworking apparatus 200 transmits the label-added internal network data 20 to the inter-network data control apparatus 300 (S540).

도 7은 본 발명의 일실시예에 따른 레이블이 추가된 내부망 데이터를 나타낸 예시도이다.7 is a diagram illustrating internal network data to which a label is added according to an embodiment of the present invention.

S530 단계에서 레이블(25)이 추가된 내부망 데이터(20)를 생성한 서비스 연동 장치(200)는 도 7에 도시한 바와 같이, 분리망 간 데이터 통제 장치(300)로 레이블이 추가된 내부망 데이터(20)를 전송할 수 있다. 7, the service interworking apparatus 200, which has generated the internal network data 20 to which the label 25 is added in step S530, adds the label to the inter-network data control apparatus 300, Data 20 may be transmitted.

다시 도 5에 대하여 설명하면, 레이블이 추가된 내부망 데이터를 수신한 분리망 간 데이터 통제 장치(300)는 내부망 데이터에 대한 HMAC 값을 생성한다(S550). 그리고 분리망 간 데이터 통제 장치(300)는 생성한 HMAC 값과 레이블에 포함된 HMAC 값을 비교하여, HMAC 값에 대한 검증을 수행한다(S560).Referring to FIG. 5 again, the inter-decentralized data control apparatus 300 receiving the internal network data with the added label generates the HMAC value for the internal network data (S550). Then, the inter-network data control apparatus 300 compares the generated HMAC value with the HMAC value included in the label, and performs verification of the HMAC value (S560).

도 8은 본 발명의 일실시예에 따른 외부망 서버로 전송되는 내부망 데이터를 나타낸 예시도이다.8 is a diagram illustrating internal network data transmitted to an external network server according to an exemplary embodiment of the present invention.

도 8과 같이, 분리망 간 데이터 통제 장치(300)의 내부망 데이터 수신부(310)는 S540 단계에서 서비스 연동 장치(200)로부터 레이블이 추가된 내부망 데이터(20)를 수신한다. 8, the internal network data receiving unit 310 of the inter-network data control apparatus 300 receives the internal network data 20 to which the label is added from the service interworking apparatus 200 in step S540.

그리고 분리망 간 데이터 통제 장치(300)의 레이블 검사부(320)는 레이블(25)에 대한 검사를 수행한다. 이때, 레이블 검사부(320)는 도 3의 레이블 검사부(320)와 실질적으로 동일한 방법으로 레이블(25)에 대한 검사를 수행할 수 있다. And the label checking unit 320 of the inter-network data control apparatus 300 performs an inspection on the label 25. At this time, the label checking unit 320 may check the label 25 in substantially the same manner as the label checking unit 320 of FIG.

레이블 검사부(320)는 레이블(25)에 포함된 HMAC 키 정보를 이용하여 HMAC 키를 검색하고, 검색된 HMAC 키를 이용하여 내부망 데이터에 대한 HMAC 값을 생성한다. 그리고 레이블 검사부(320)는 생성된 HMAC 값과 레이블(25)에 포함된 HMAC 값을 비교하여 HMAC 값에 대한 검증을 수행할 수 있다. The label checking unit 320 searches for the HMAC key using the HMAC key information included in the label 25 and generates the HMAC value for the internal network data using the retrieved HMAC key. The label checking unit 320 may compare the generated HMAC value with the HMAC value included in the label 25 to verify the HMAC value.

다시 도 5에 대하여 설명하면, HMAC 값에 대한 검증에 성공한 경우, 분리망 간 데이터 통제 장치(300)는 내부망 데이터의 레이블을 제거하고(S570), 레이블이 제거된 내부망 데이터를 외부망 서버(400)로 전송한다(S580).5, when the verification of the HMAC value is successful, the inter-decentralized data control apparatus 300 removes the label of the internal network data (S570), and transmits the unlabeled internal network data to the external network server (Step S580).

도 8에 도시한 바와 같이, HMAC 값에 대한 검증에 성공한 경우 레이블 제거부(330)는 레이블이 추가된 내부망 데이터(20)에서 레이블(25)을 제거하여, 레이블이 제거된 내부망 데이터(30)를 생성한다. 그리고 외부망 통신부(340)를 통하여 내부망 서버(100)가 전송한 내부망 데이터(10)와 동일한 형태의 내부망 데이터를 외부망 서버(400)로 전송할 수 있다. 8, when the HMAC value is successfully verified, the label removal unit 330 removes the label 25 from the label-added internal network data 20, 30). The external network server 400 can transmit internal network data of the same type as the internal network data 10 transmitted by the internal network server 100 through the external network communication unit 340.

도 9는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.9 is a block diagram illustrating a computer system in accordance with an embodiment of the present invention.

도 9을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(900)에서 구현될 수 있다. 도 9에 도시된 바와 같이, 컴퓨터 시스템(900)은 버스(920)를 통하여 서로 통신하는 하나 이상의 프로세서(910), 메모리(930), 사용자 인터페이스 입력 장치(940), 사용자 인터페이스 출력 장치(950) 및 스토리지(960)를 포함할 수 있다. 또한, 컴퓨터 시스템(900)은 네트워크(980)에 연결되는 네트워크 인터페이스(970)를 더 포함할 수 있다. 프로세서(910)는 중앙 처리 장치 또는 메모리(930)나 스토리지(960)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(930) 및 스토리지(960)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(931)이나 RAM(932)을 포함할 수 있다.Referring to FIG. 9, embodiments of the present invention may be implemented in a computer system 900, such as a computer readable recording medium. 9, the computer system 900 includes one or more processors 910, a memory 930, a user interface input device 940, a user interface output device 950, And storage 960. In addition, the computer system 900 may further include a network interface 970 coupled to the network 980. The processor 910 may be a central processing unit or a semiconductor device that executes the processing instructions stored in the memory 930 or the storage 960. [ Memory 930 and storage 960 can be various types of volatile or non-volatile storage media. For example, the memory may include a ROM 931 or a RAM 932.

따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.Thus, embodiments of the invention may be embodied in a computer-implemented method or in a non-volatile computer readable medium having recorded thereon instructions executable by the computer. When computer readable instructions are executed by a processor, the instructions readable by the computer are capable of performing the method according to at least one aspect of the present invention.

이상에서와 같이 본 발명에 따른 분리망 간 서비스 연동 장치, 분리망 간 데이터 통제 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다. As described above, the configuration and method of the above-described embodiments are not limited to the embodiments of the present invention, All or some of the embodiments may be selectively combined so as to allow the modification to be made.

100: 내부망 서버
200: 서비스 연동 장치
210: 내부망 통신부
220: 데이터 분석부
230: 레이블 추가부
240: 내부망 데이터 중계부
300: 분리망 간 데이터 통제 장치
310: 내부망 데이터 수신부
320: 레이블 검사부
330: 레이블 제거부
340: 외부망 통신부
400: 외부망 서버
10: 내부망 데이터
20: 레이블이 추가된 내부망 데이터
25: 레이블
30: 레이블이 제거된 내부망 데이터
900: 컴퓨터 시스템
910: 프로세서
920: 버스
930: 메모리
931: 롬
932: 램
940: 사용자 인터페이스 입력 장치
950: 사용자 인터페이스 출력 장치
960: 스토리지
970: 네트워크 인터페이스
980: 네트워크 100: Internal network server
200: service interlocking device
210: internal network communication section
220: Data analysis section
230: label adding section
240: Internal network data relay unit
300: Separate network data control device
310: internal network data receiver
320: label checker
330: Label removal
340: External network communication unit
400: external network server
10: Internal network data
20: Labeled internal network data
25: Label
30: Labeled internal network data
900: Computer system
910: Processor
920: Bus
930: Memory
931: Rom
932: RAM
940: User interface input device
950: User interface output device
960: Storage
970: Network interface
980: Network

Claims (20)

서비스 연동 장치로부터 레이블이 추가된 내부망 데이터를 수신하는 내부망 데이터 수신부,
상기 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출하고, 추출된 상기 HMAC 키 정보를 이용하여 상기 내부망 데이터에 상응하는 HMAC 값을 생성하며, 생성된 상기 HMAC 값과 상기 내부망 데이터에 포함된 HMAC 값을 비교하여, 상기 HMAC 값에 대한 검증을 수행하는 레이블 검사부,
상기 HMAC 값에 대한 검증에 성공한 경우, 상기 서비스 연동 장치로부터 수신한 상기 내부망 데이터에서 상기 레이블을 제거하는 레이블 제거부, 그리고
상기 레이블이 제거된 상기 내부망 데이터를 외부망 서버로 전송하는 외부망 통신부
를 포함하는 분리망 간 데이터 통제 장치. An internal network data receiving unit for receiving internal network data added with a label from the service interworking device,
Extracts HMAC key information of the label-added internal network data, generates an HMAC value corresponding to the internal network data using the extracted HMAC key information, and stores the generated HMAC value in the internal network data A label checker for checking the HMAC value by comparing the calculated HMAC values,
Removing the label from the internal network data received from the service interworking device when the verification of the HMAC value is successful, and
An external network communication unit for transmitting the internal network data from which the label is removed to an external network server
To-peer data control device. 제1항에 있어서,
수신된 상기 내부망 데이터에 추가된 상기 레이블은,
상기 내부망 데이터의 페이로드에 대한 HMAC 값 및 상기 HMAC 값에 상응하는 HMAC 키 정보를 포함하는 것을 특징으로 하는 분리망 간 데이터 통제 장치. The method according to claim 1,
Wherein the label added to the received internal network data includes:
An HMAC value for the payload of the internal network data, and HMAC key information corresponding to the HMAC value. 제2항에 있어서,
상기 HMAC 키 정보는,
상기 내부망 데이터에 상응하는 상기 HMAC 값을 생성하기 위한 HMAC 키의 그룹 정보 및 인덱스 정보를 포함하는 것을 특징으로 하는 분리망 간 데이터 통제 장치. 3. The method of claim 2,
The HMAC key information includes:
And index information for grouping HMAC keys for generating the HMAC value corresponding to the internal network data. 제3항에 있어서,
상기 레이블 검사부는,
기 저장된 HMAC 키 값 중에서 상기 HMAC 키 정보에 상응하는 상기 HMAC 키를 검색하고,
검색된 상기 HMAC 키를 이용하여 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하는 것을 특징으로 하는 분리망 간 데이터 통제 장치. The method of claim 3,
Wherein the label checking unit comprises:
Retrieving the HMAC key corresponding to the HMAC key information from among the previously stored HMAC key values,
And generates an HMAC value for the payload of the internal network data using the retrieved HMAC key. 제2항에 있어서,
상기 레이블 검사부는,
생성된 상기 HMAC 값과 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 비교하여, 두 HMAC 값이 동일한지 여부를 판단하는 것을 특징으로 하는 분리망 간 데이터 통제 장치. 3. The method of claim 2,
Wherein the label checking unit comprises:
And compares the generated HMAC value with the HMAC value of the payload of the internal network data to determine whether the two HMAC values are the same. 제1항에 있어서,
상기 서비스 연동 장치로부터 수신된 상기 내부망 데이터는,
신뢰된 실행 환경(Trusted Execution Environment, TEE)에서 내부망 서버의 상기 내부망 데이터에 상기 레이블이 추가된 것으로, 레이블 및 페이로드 형태인 것을 특징으로 하는 분리망 간 데이터 통제 장치.The method according to claim 1,
Wherein the internal network data received from the service interworking device comprises:
Wherein the label is added to the internal network data of the internal network server in a trusted execution environment (TEE), and is in the form of a label and a payload. 내부망 서버로부터, 외부망 서버로 전송되는 내부망 데이터를 수신하는 내부망 통신부,
상기 내부망 데이터를 분석하여, 상기 내부망 데이터가 상기 외부망 서버로의 전송이 허용된 데이터인지 여부를 판단하는 데이터 분석부,
상기 내부망 데이터가 상기 외부망 서버로의 전송이 허용된 데이터인 것으로 판단된 경우, 상기 내부망 데이터에 레이블을 추가하는 레이블 추가부, 그리고
상기 레이블이 추가된 상기 내부망 데이터를 분리망 간 데이터 통제 장치를 통하여 상기 외부망 서버로 전송하는 내부망 데이터 중계부
를 포함하는 서비스 연동 장치. An internal network communication unit for receiving internal network data transmitted from the internal network server to the external network server,
A data analyzer for analyzing the internal network data and determining whether the internal network data is data allowed to be transmitted to the external network server,
A label adding unit for adding a label to the internal network data when it is determined that the internal network data is data allowed to be transmitted to the external network server,
An internal network data relaying unit for transmitting the internal network data to which the label is added to the external network server through the inter-network data control apparatus,
And a service interlocking device. 제7항에 있어서,
상기 레이블 추가부는,
상기 내부망 데이터의 페이로드에 대한 HMAC 값 및 상기 HMAC 값에 상응하는 HMAC 키 정보를 포함하는 상기 레이블을 추가하는 것을 특징으로 하는 서비스 연동 장치.8. The method of claim 7,
Wherein the label adding unit comprises:
And adds the label including the HMAC value for the payload of the internal network data and the HMAC key information corresponding to the HMAC value. 제8항에 있어서,
상기 HMAC 값에 상응하는 HMAC 키 정보는,
상기 분리망 간 데이터 통제 장치와 사전에 공유된 키 그룹 중에서 선택된 HMAC 키의 정보를 의미하고,
상기 레이블 추가부는,
선택된 상기 HMAC 키를 이용하여 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하는 것을 특징으로 하는 서비스 연동 장치. 9. The method of claim 8,
The HMAC key information corresponding to the HMAC value,
Means information of an HMAC key selected from a pre-shared key group with the inter-network data control device,
Wherein the label adding unit comprises:
And generates an HMAC value for the payload of the internal network data using the selected HMAC key. 제8항에 있어서,
상기 레이블 추가부는,
응용 서비스의 데이터인 상기 내부망 데이터에 상기 레이블을 추가하여, 상기 내부망 데이터를 레이블 및 페이로드의 조합 형태로 규격화하는 것을 특징으로 하는 서비스 연동 장치.9. The method of claim 8,
Wherein the label adding unit comprises:
And adding the label to the internal network data which is data of the application service, and normalizing the internal network data into a combination of a label and a payload. 제8항에 있어서,
상기 분리망 간 데이터 통제 장치는,
상기 레이블에 포함된 상기 내부망 데이터의 페이로드에 대한 HMAC 값과 상기 분리망 간 데이터 통제 장치가 상기 HMAC 키 정보를 이용하여 생성한 HMAC 값을 비교하여, 상기 내부망 데이터를 상기 외부망 서버로 전송할지 여부를 결정하는 것을 특징으로 하는 서비스 연동 장치. 9. The method of claim 8,
Wherein the inter-network data control apparatus comprises:
The HMAC value for the payload of the internal network data included in the label is compared with the HMAC value generated by the data control apparatus for interleaving network using the HMAC key information to transmit the internal network data to the external network server Wherein the control unit determines whether to transmit the service. 제8항에 있어서,
상기 레이블에 포함된 HMAC 키 정보는
상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하기 위한 HMAC 키 정보로, HMAC 키의 그룹 정보 및 인덱스 정보를 포함하는 것을 특징으로 하는 서비스 연동 장치. 9. The method of claim 8,
The HMAC key information included in the label is
And the HMAC key information for generating an HMAC value for the payload of the internal network data, the HMAC key information including group information of the HMAC key and index information. 분리망 간 데이터 통제 장치에 의해 수행되는 분리망 간 데이터 통제 방법에 있어서,
서비스 연동 장치로부터 레이블이 추가된 내부망 데이터를 수신하는 단계,
상기 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출하는 단계,
추출된 상기 HMAC 키 정보를 이용하여 상기 내부망 데이터에 상응하는 HMAC 값을 생성하는 단계,
생성된 상기 HMAC 값과 상기 내부망 데이터에 포함된 HMAC 값을 비교하여, 상기 HMAC 값에 대한 검증을 수행하는 단계,
상기 HMAC 값에 대한 검증에 성공한 경우, 상기 서비스 연동 장치로부터 수신한 상기 내부망 데이터에서 상기 레이블을 제거하는 단계, 그리고
상기 레이블이 제거된 상기 내부망 데이터를 외부망 서버로 전송하는 단계
를 포함하는 분리망 간 데이터 통제 방법. In a data control method between separated networks performed by a data control apparatus between separate networks,
Receiving label-added internal network data from the service interworking device,
Extracting HMAC key information of the label-added internal network data,
Generating an HMAC value corresponding to the internal network data using the extracted HMAC key information,
Comparing the generated HMAC value with an HMAC value included in the internal network data to perform verification of the HMAC value,
Removing the label from the internal network data received from the service interworking device when the verification of the HMAC value is successful, and
Transmitting the internal network data from which the label has been removed to an external network server
To-peer data control method. 제13항에 있어서,
수신된 상기 내부망 데이터에 추가된 상기 레이블은,
상기 내부망 데이터의 페이로드에 대한 HMAC 값 및 상기 HMAC 값에 상응하는 HMAC 키 정보를 포함하는 것을 특징으로 하는 분리망 간 데이터 통제 방법. 14. The method of claim 13,
Wherein the label added to the received internal network data includes:
The HMAC value for the payload of the internal network data and the HMAC key information corresponding to the HMAC value. 제14항에 있어서,
상기 HMAC 키 정보는,
상기 내부망 데이터에 상응하는 상기 HMAC 값을 생성하기 위한 HMAC 키의 그룹 정보 및 인덱스 정보를 포함하는 것을 특징으로 하는 분리망 간 데이터 통제 방법. 15. The method of claim 14,
The HMAC key information includes:
And index information for grouping HMAC keys for generating the HMAC value corresponding to the internal network data. 제15항에 있어서,
상기 내부망 데이터에 상응하는 HMAC 값을 생성하는 단계는,
기 저장된 HMAC 키 값 중에서 상기 HMAC 키 정보에 상응하는 상기 HMAC 키를 검색하는 단계, 그리고
검색된 상기 HMAC 키를 이용하여, 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하는 단계를 포함하는 것을 특징으로 하는 분리망 간 데이터 통제 방법.16. The method of claim 15,
Wherein the step of generating an HMAC value corresponding to the internal network data comprises:
Retrieving the HMAC key corresponding to the HMAC key information from among the previously stored HMAC key values, and
And generating an HMAC value for the payload of the internal network data using the retrieved HMAC key. 제14항에 있어서,
상기 HMAC 값에 대한 검증을 수행하는 단계는,
생성된 상기 HMAC 값과 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 비교하여, 두 HMAC 값이 동일한지 여부를 판단하는 것을 특징으로 하는 분리망 간 데이터 통제 방법. 15. The method of claim 14,
Wherein the step of verifying the HMAC value comprises:
And comparing the generated HMAC value with the HMAC value of the payload of the internal network data to determine whether the two HMAC values are the same. 제13항에 있어서,
상기 서비스 연동 장치로부터 수신된 상기 내부망 데이터는,
신뢰된 실행 환경(Trusted Execution Environment, TEE)에서 내부망 서버의 상기 내부망 데이터에 상기 레이블이 추가된 것으로, 레이블 및 페이로드 형태인 것을 특징으로 하는 분리망 간 데이터 통제 방법.14. The method of claim 13,
Wherein the internal network data received from the service interworking device comprises:
Wherein the label is added to the internal network data of the internal network server in a Trusted Execution Environment (TEE), and is in the form of a label and a payload. 제13항에 있어서,
추출된 상기 HMAC 키 정보는,
상기 서비스 연동 장치가, 상기 분리망 간 데이터 통제 장치와 사전에 공유된 키 그룹 중에서 선택한 HMAC 키의 정보이고,
상기 내부망 데이터에 포함된 HMAC 값은,
상기 서비스 연동 장치가, 선택한 상기 HMAC 키를 이용하여 상기 내부망 데이터의 페이로드에 대해 생성한 HMAC 값인 것을 특징으로 하는 분리망 간 데이터 통제 방법. 14. The method of claim 13,
The extracted HMAC key information,
Wherein the service interworking device is information of an HMAC key selected from a key group previously shared with the inter-network data control device,
Wherein the HMAC value included in the internal network data includes:
Wherein the service interworking device is an HMAC value generated for a payload of the internal network data using the selected HMAC key. 제13항에 있어서,
상기 서비스 연동 장치로부터 수신된 상기 레이블이 추가된 내부망 데이터는,
내부망 서버의 응용 서비스 데이터 중에서, 상기 서비스 연동 장치에 의해 상기 외부망 서버로의 전송이 인가된 것으로 판단된 것을 특징으로 하는 분리망 간 데이터 통제 방법. 14. The method of claim 13,
Wherein the label-added internal network data received from the service interworking device includes:
Wherein it is determined that transmission from the application service data of the internal network server to the external network server is authorized by the service interworking device.
KR1020170140140A 2017-10-26 2017-10-26 Service interworking apparatus for separated networks, apparatus and method for data control between separate networks KR102063270B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170140140A KR102063270B1 (en) 2017-10-26 2017-10-26 Service interworking apparatus for separated networks, apparatus and method for data control between separate networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170140140A KR102063270B1 (en) 2017-10-26 2017-10-26 Service interworking apparatus for separated networks, apparatus and method for data control between separate networks

Publications (2)

Publication Number Publication Date
KR20190046391A true KR20190046391A (en) 2019-05-07
KR102063270B1 KR102063270B1 (en) 2020-01-07

Family

ID=66656580

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170140140A KR102063270B1 (en) 2017-10-26 2017-10-26 Service interworking apparatus for separated networks, apparatus and method for data control between separate networks

Country Status (1)

Country Link
KR (1) KR102063270B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050033990A1 (en) * 2003-05-19 2005-02-10 Harvey Elaine M. Method and system for providing secure one-way transfer of data
JP2014027350A (en) * 2012-07-24 2014-02-06 Yokogawa Electric Corp Packet transfer device and method
KR101489759B1 (en) 2013-10-30 2015-02-06 한국전자통신연구원 Method for controlling file transfer protocol using storage apparatus

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050033990A1 (en) * 2003-05-19 2005-02-10 Harvey Elaine M. Method and system for providing secure one-way transfer of data
JP2014027350A (en) * 2012-07-24 2014-02-06 Yokogawa Electric Corp Packet transfer device and method
KR101489759B1 (en) 2013-10-30 2015-02-06 한국전자통신연구원 Method for controlling file transfer protocol using storage apparatus

Also Published As

Publication number Publication date
KR102063270B1 (en) 2020-01-07

Similar Documents

Publication Publication Date Title
Narayan et al. A survey of automatic protocol reverse engineering tools
CN101764819B (en) For detecting the method and system of man-in-the-browser attacks
Krueger et al. Learning stateful models for network honeypots
CN112398860A (en) Safety control method and device
WO2003100619A1 (en) Unauthorized access detection apparatus, unauthorized access detection program, and unauthorized access detection method
CN100559763C (en) A kind of integrity check method of telecommunication network service
CN108234506B (en) Unidirectional isolation network gate and data transmission method
CN111092910A (en) Database security access method, device, equipment, system and readable storage medium
CN111371588A (en) SDN edge computing network system based on block chain encryption, encryption method and medium
CN102045310B (en) Industrial Internet intrusion detection as well as defense method and device
CN111552626A (en) Method and system for testing developed system using real transaction data
CN102509057B (en) Mark-based method for safely filtering unstructured data
Ziauddin et al. Formal analysis of ISO/IEC 9798-2 authentication standard using AVISPA
CN115051874B (en) Multi-feature CS malicious encrypted traffic detection method and system
KR20190046391A (en) Service interworking apparatus for separated networks, apparatus and method for data control between separate networks
EP3545658B1 (en) Evaluation and generation of a whitelist
CN116614251A (en) Data security monitoring system
KR101954620B1 (en) Apparatus and method for analyzing of network traffic
CN115037537A (en) Abnormal traffic interception and abnormal domain name identification method, device, equipment and medium
CN113672888A (en) Cloud platform access method, device and system and cloud platform server
CN110943893B (en) Method and device for verifying connectivity between servers
CN111385253B (en) Vulnerability detection system for network security of power distribution automation system
Pechenkin et al. Modeling the search for vulnerabilities via the fuzzing method using an automation representation of network protocols
CN112463405A (en) Big data processing method based on edge computing and central cloud server
KR102508418B1 (en) Method and system for providing in-house security management solution

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant