KR20220054155A - 단방향 전송을 위한 스위치 디바이스 - Google Patents

단방향 전송을 위한 스위치 디바이스 Download PDF

Info

Publication number
KR20220054155A
KR20220054155A KR1020210027395A KR20210027395A KR20220054155A KR 20220054155 A KR20220054155 A KR 20220054155A KR 1020210027395 A KR1020210027395 A KR 1020210027395A KR 20210027395 A KR20210027395 A KR 20210027395A KR 20220054155 A KR20220054155 A KR 20220054155A
Authority
KR
South Korea
Prior art keywords
port
gateway
protocol
unidirectional
switch
Prior art date
Application number
KR1020210027395A
Other languages
English (en)
Inventor
위안 천 찬
포-치 수
Original Assignee
블랙베어 (타이완) 인더스트리얼 네트워킹 시큐리티 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 블랙베어 (타이완) 인더스트리얼 네트워킹 시큐리티 리미티드 filed Critical 블랙베어 (타이완) 인더스트리얼 네트워킹 시큐리티 리미티드
Publication of KR20220054155A publication Critical patent/KR20220054155A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1013Network architectures, gateways, control or user entities
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K17/00Electronic switching or gating, i.e. not by contact-making and –breaking
    • H03K17/002Switching arrangements with several input- or output terminals
    • H03K17/005Switching arrangements with several input- or output terminals with several inputs only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/253Routing or path finding in a switch fabric using establishment or release of connections between ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/11Arrangements specific to free-space transmission, i.e. transmission through air or vacuum
    • H04B10/114Indoor or close-range type systems
    • H04B10/1141One-way transmission
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/356Switches specially adapted for specific applications for storage area networks
    • H04L49/357Fibre channel switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/60Software-defined switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Electromagnetism (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Small-Scale Networks (AREA)
  • Amplifiers (AREA)
  • Near-Field Transmission Systems (AREA)
  • Apparatus For Radiation Diagnosis (AREA)
  • Transceivers (AREA)
  • Communication Control (AREA)

Abstract

스위치 디바이스가 제공된다. 상기 스위치 디바이스는 스위치 및 단방향 링크 회로를 포함하며, 여기에서 상기 스위치는 제1 포트, 제2 포트, 및 제3 포트를 포함한다. 상기 제3 포트는 제1 경로를 경유하여 상기 제2 포트에 연결되며 그리고 제2 경로를 경유하여 상기 제1 포트에 연결된다. 상기 단방향 링크 회로의 입력 단자는 상기 제1 포트에 연결된다.

Description

단방향 전송을 위한 스위치 디바이스 {SWITCH DEVICE FOR ONE-WAY TRANSMISSION}
관련된 출원에 대한 상호 참조
본원은 2020년 10월 23일에 출원된 미국 임시 출원 일련 번호 63/104,522에 대한 우선권의 이익을 주장한다. 상기 언급된 특허 출원의 전체는 본원에 참조로서 편입되며 본 명세서의 일부를 형성한다.
기술 분야
본 발명 개시는 단방향 전송을 위한 스위치 디바이스에 관한 것이다.
보안 사이트 (secure site) (또는 OT: Operation Technology site)가 인터넷으로부터의 해커들이나 컴퓨터 바이러스에 의해 공격받는 것을 방지하기 위해서, 상기 보안 사이트와 비보안 사이트 (unsecure site) (또는 IT: Information Technology site) 사이에서 데이터 전송을 수행하기 위해 단방향 (one-way) 전송 기술이 보통 사용된다. 단방향 링크는 신호들의 방향을 제한할 수 있으며, 그래서 상기 신호들은 보안 사이트로부터 비보안 사이트로만 전송될 수 있으며, 어떤 신호도 비보안 사이트로부터 보안 사이트로 전송될 수 없다. 단방향 링크는 보안 사이트 내 디바이스들 (또는 컴퓨터들)을 송신 노드 (예를 들면, 프록시 서버)에 연결시키고 비보안 사이트 내 디바이스들 (또는 컴퓨터들)을 수신 노드 (예를 들면, 프록시 서버)에 연결시켜 구현될 수 있으며, 여기에서 상기 송신 노드는 양방향성 프로토콜의 신호들을 단일 방향성 프로토콜의 신호들로 변환할 수 있으며, 그리고 상기 수신 노드는 단일 방향성 프로토콜의 신호들을 상기 비보안 사이트 내 디바이스들이 인식할 수 있는 원래 신호들로 변환할 수 있다.
송신 노드가 단방향 링크의 입력 단자에 연결된 유일 디바이스이기 때문에, 상기 송신 노드는 상기 단방향 링크의 병목일 수 있다. 상기 송신 노드에 의해 전송될 필요가 있는 상이한 프로토콜들의 다수의 신호들이 존재하면, 송신 노드는 많은 양의 컴퓨팅 자원들을 제공할 수 있어야 할 것이다.
반면에, 보안 사이트 내 디바이스를 위한 정기적인 진단이나 펌웨어 업그레이트 절차를 수행하는 디바이스는 상기 디바이스에게 바이러스를 가져올 수 있다. 그러므로, 보안 사이트 내 디바이스들이 서로 감염시키는 것을 어떻게 방지하는가는 당 기술 분야에서의 중요한 문제이다.
따라서, 본 발명 개시는 단방향 전송을 위한 스위치 디바이스에 관한 것이며, 여기에서 본 발명 개시는 보안 사이트의 보호를 보증할 수 있으며 그리고 단방향 전송의 병목 문제를 해결할 수 있다.
본 발명은 단방향 전송 (one-way transmission)을 위한 스위치 디바이스에 관한 것이다. 상기 스위치 디바이스는 스위치 및 단방향 링크 회로를 포함하며, 여기에서 상기 스위치는 제1 포트, 제2 포트, 및 제3 포트를 포함한다. 상기 제2 포트는 제1 경로를 경유하여 상기 제3 포트에 연결되며 제2 경로를 경유하여 상기 제1 포트에 연결된다. 상기 단방향 링크 회로의 입력 단자는 상기 제1 포트에 연결된다.
본 발명의 예시적인 실시예에서, 상기 단방향 링크 회로는: 다이오드 회로, 파이버 (fiber), RJ45 커넥터, 및 필드 프로그래머블 게이트 어레이 중 적어도 하나에 의해 구현된다.
본 발명의 예시적인 실시예에서, 상기 스위치는: 제3 경로를 경유하여 상기 제1 포트에 연결된 제4 포트를 더 포함한다.
본 발명의 예시적인 실시예에서, 상기 스위치는: 제3 경로를 경유하여 상기 제3 포트에 연결된 제4 포트; 그리고 제2 단방향 링크 회로를 더 포함하며, 여기에서 상기 제2 단방향 링크 회로의 제2 입력 단자는 상기 제4 포트에 연결된다.
본 발명의 예시적인 실시예에서, 상기 스위치는: 제4 포트 그리고 제5 포트를 더 포함하며, 여기에서 상기 제5 포트는, 제3 경로를 경유하여 상기 제4 포트에 연결되며 제4 경로를 경유하여 상기 제1 포트에 연결된다.
본 발명의 예시적인 실시예에서, 상기 스위치 디바이스는: 상기 제2 포트에 연결된 전자 디바이스; 그리고 상기 제3 포트에 연결된 게이트웨이를 더 포함하며, 여기에서 상기 전자 디바이스는 상기 제2 포트 및 상기 제3 포트를 경유하여 제1 프로토콜로 지원되는 제1 신호를 상기 게이트웨이로 전송하며, 상기 게이트웨이는 상기 제1 신호를 제2 프로토콜로 지원되는 제2 신호로 변환하여 그 제2 신호를 상기 단방향 링크 회로를 경유하여 출력한다.
본 발명의 예시적인 실시예에서, 상기 제2 프로토콜은 단일 방향성 프로토콜이다.
본 발명의 예시적인 실시예에서, 상기 스위치 디바이스는: 상기 제4 포트에 연결된 전자 디바이스를 더 포함하며, 여기에서 상기 전자 디바이스는 제1 프로토콜로 지원되는 신호를 상기 제4 포트, 상기 제1 포트 및 상기 단방향 링크 회로를 경유하여 출력한다.
본 발명의 예시적인 실시예에서, 상기 제1 프로토콜은 단일 방향성 프로토콜이다.
본 발명의 예시적인 실시예에서, 상기 제3 포트는 제5 경로를 경유하여 상기 제4 포트에 연결된다.
본 발명의 예시적인 실시예에서, 상기 스위치 디바이스는: 상기 제4 포트에 연결된 제1 전자 디바이스; 상기 제5 포트에 연결된 제1 게이트웨이; 그리고 상기 제3 포트 및 상기 제1 게이트웨이에 연결된 제2 게이트웨이를 더 포함하며, 여기에서 상기 전자 디바이스는 제1 프로토콜로 지원되는 제1 신호를 상기 제4 포트 및 상기 제5 포트를 경유하여 상기 제1 게이트웨이로 전송하며, 그리고 상기 제1 신호를 상기 제4 포트 및 상기 제3 포트를 경유하여 상기 제2 게이트웨이로 전송하며, 상기 제1 게이트웨이가 고장나지 않았다는 것에 응답하여, 상기 제1 게이트웨이는 상기 제1 신호를 제2 프로토콜로 지원되는 제2 신호로 변환하며 그리고 상기 제2 신호를 상기 단방향 링크 회로를 경유하여 출력한다.
본 발명의 예시적인 실시예에서, 상기 제1 게이트웨이가 고장났다는 것에 응답하여, 상기 제2 게이트웨이는 상기 제1 신호를 제2 프로토콜로 지원되는 제2 신호로 변환하며 그리고 상기 제2 신호를 상기 단방향 링크 회로를 경유하여 출력한다.
본 발명의 예시적인 실시예에서, 상기 제2 프로토콜은 단일 방향성 프로토콜이다.
전술한 내용을 고려하면, 본 발명 개시는 보안 문제를 줄이기 위해 보안 사이트 내 디바이스들을 위한 격리된 서브네트들을 생성할 수 있으며, 그리고 본 발명 개시는 병목 문제를 해결하기 위해 다수의 컴퓨팅 디바이스들을 단방향 링크의 입력 단자에 연결시킬 수 있다.
전술한 내용을 더 잘 이해할 수 있도록 하기 위해, 도면들을 동반한 여러 실시예들이 아래에서 상세하게 설명된다.
본 발명의 효과는 본 명세서의 해당되는 부분들에 개별적으로 명시되어 있다.
동반 도면들은 본 발명 개시에 대한 추가의 이해를 제공하기 위해 포함되었으며, 본 명세서의 일부에 통합되며 그리고 그 일부를 구성한다. 상기 도면들은 본 발명 개시의 예시적인 실시예를 도시하며 그리고 설명과 함께 본 발명 개시의 원칙들을 설명하기 위해 소용이 된다.
도 1은 본 발명 개시의 실시예에 따른 단방향 전송을 위한 스위치 디바이스의 개략적인 도면을 예시한다.
도 2는 본 발명 개시의 실시예에 따라 스위치 디바이스에 의해서 보안 사이트를 비보안 사이트로 연결시키는 것을 도시한다.
도 3은 본 발명 개시의 실시예에 따른 중복 구현을 위해 스위치 디바이스에 의해서 보안 사이트를 비보안 사이트로 연결시키는 것을 도시한다.
본 발명 개시를 더 이해할 수 있도록 만들기 위해서, 여러 실시예들이 본 발명 개시의 구현의 예들로서 아래에서 설명된다. 더욱이, 동일한 참조 번호들을 가진 요소들/컴포넌트들/단계들은 상기 도면들 및 적절한 실시예들에서 동일하거나 유사한 부분들을 나타내기 위해 사용된다.
도 1은 본 발명 개시의 실시예에 따른 단방향 전송을 위한 스위치 디바이스의 개략적인 도면을 예시한다. 상기 스위치 디바이스 (10)는 스위치 (100)를 포함할 수 있다. 일 실시예에서, 스위치 디바이스 (10)는 단방향 링크 회로 (200) 및/또는 단방향 링크 회로 (300)를 더 포함할 수 있다.
상기 스위치 (100)는 복수의 소스 포트들을 구비할 수 있으며, 그 소스 포트들은, 예를 들면, 포트 P1, 포트 P2, 포트 P3, 포트 P4, 및/또는 포트 P5를 포함한다. 반면에, 상기 스위치 (100)는, 예를 들면, 포트 P6 및/또는 포트 P7을 포함하는 하나 이상의 목적지 포트들을 구비할 수 있다.
상기 포트 P1은 경로 13을 경유하여 포트 P4에 연결될 수 있으며, 경로 11을 경유하여 포트 P6에 연결될 수 있으며, 그리고 포트 12를 경유하여 포트 P7에 연결될 수 있다. 상기 포트 P2는 경로 14를 경유하여 포트 P6에 연결될 수 있으며, 경로 15를 경유하여 포트 P7에 연결될 수 있으며, 그리고 포트 16을 경유하여 포트 P3에 연결될 수 있다. 상기 포트 P5는 경로 17을 경유하여 포트 P6에 연결될 수 있으며 그리고 포트 18을 경유하여 포트 P7에 연결될 수 있다.
단방향 링크 회로 (200)는 입력 단자 (210) 및 출력 단자 (220)를 포함할 수 있다. 상기 단방향 링크 회로 (200)는 입력 단자 (210)를 통해서 데이터 패킷들을 수신할 수 있으며 그리고 그 수신한 데이터 패킷들을 출력 단자 (220)를 통해서 전송할 수 있다. 상기 데이터 패킷들은 입력 단자 (210)로부터 출력 단자 (220)로의 방향으로만 전송될 수 있으며, 출력 단자 (220)로부터 입력 단자 (210)로의 방향으로는 전송될 수 없다. 상기 단방향 링크 회로 (200)의 입력 단자 (210)는 스위치 (100)의 포트 P6에 연결되어, 그 포트 P6로부터 데이터 패킷들을 수신할 수 있다.
참조번호 200의 단방향 링크 회로와 유사하게, 참조번호 300의 단방향 링크 회로는 입력 단자 (310) 및 출력 단자 (320)를 포함할 수 있다. 상기 단방향 링크 회로 (300)는 입력 단자 (310)를 통해서 데이터 패킷들을 수신할 수 있으며 그리고 그 수신한 데이터 패킷들을 출력 단자 (320)를 통해서 전송할 수 있다. 상기 데이터 패킷들은 입력 단자 (310)로부터 출력 단자 (320)로의 방향으로만 전송될 수 있으며, 출력 단자 (320)로부터 입력 단자 (310)로의 방향으로는 전송될 수 없다. 상기 단방향 링크 회로 (300)의 입력 단자 (310)는 스위치 (100)의 포트 P7에 연결되어, 그 포트 P7로부터 데이터 패킷들을 수신할 수 있다.
일 실시예에서, 참조번호 200의 단방향 링크 회로 또는 참조번호 300의 단방향 링크 회로는: 다이오드 회로, 파이버 (fiber), RJ45 커넥터, 및 필드 프로그래머블 게이트 어레이 (FPGA) 중 적어도 하나에 의해 구현될 수 있지만, 본 발명 개시는 그것들로 한정되지 않는다.
일 실시예에서, 상기 스위치 디바이스 (10)의 각 포트 사이의 경로들은 (또는 상기 스위치 디바이스 (10)의 라우팅 규칙은) 탈출 규칙을 포함하는 스위치 설정에 의해 설정될 수 있으며, 여기에서 상기 스위치 설정은 명령들의 세트를 경유하여 상기 스위치 디바이스 (10)로 전송될 수 있다.
도 2는 본 발명 개시의 실시예에 따라 스위치 디바이스에 의해서 보안 사이트를 비보안 사이트로 연결시키는 것을 도시한다. 상기 실시예에서, 상기 스위치 디바이스 (10)는 보안 사이트 (400) 내에 셋업된 전자 디바이스 그룹 (401), 전자 디바이스 그룹 (402), 또는 전자 디바이스 그룹 (403)과 같은 복수의 전자 디바이스 그룹들을 더 포함할 수 있으며, 여기에서 상기 전자 디바이스 그룹 각각은, 예를 들면, 센서 또는 컴퓨팅 디바이스를 포함할 수 있지만, 본 발명 개시는 그것으로 한정되지는 않는다. 상기 전자 디바이스 그룹 (401), 전자 디바이스 그룹 (402), 및 전자 디바이스 그룹 (403)은 양방향성 프로토콜들이나 단일 방향성 프로토콜들과 같은 동일한 또는 상이한 통신 프로토콜들을 지원할 수 있으며, 여기에서 상기 양방향성 프로토콜들은 전송 제어 프로토콜 (transmission control protocol (TCP))을 포함할 수 있으며, 그리고 상기 단일 방향성 프로토콜들은 실시간 전송 프로토콜 (real time transport protocol (RTP)), 단순 네트워크 관리 프로토콜 (simple network management protocol (SNMP)), 라우팅 정보 프로토콜 (routing information protocol (RIP)), 또는 도메인 네임 서버 (domain name server (DNS)) 룩업과 같은 사용자 데이터그램 프로토콜 (user datagram protocol (UDP))을 포함할 수 있다. 예를 들면, 상기 전자 디바이스 그룹 (401) 및 상기 전자 디바이스 그룹 (402)은 TCP 기반 프로토콜들을 지원할 수 있으며, 상기 전자 디바이스 그룹 (403)은 UDP 기반 프로토콜들을 지원할 수 있다.
상기 실시예에서, 상기 스위치 디바이스 (10)는 보안 사이트 (500) 내에서 셋업된 게이트웨이 (또는 프록시 서버) (501) 또는 게이트웨이 (502)와 같은 복수의 전자 디바이스들을 더 포함할 수 있다. 상기 게이트웨이 (501) 및 상기 게이트웨이 (502)는 양방향성 프로토콜들이나 단일 방향성 프로토콜들과 같은 동일한 또는 상이한 통신 프로토콜들을 지원할 수 있으며, 여기에서 상기 양방향성 프로토콜들은 TCP를 지원할 수 있으며, 상기 단일 방향성 프로토콜들은 RTP, SNMP, RIP, 또는 DNS 룩업과 같은 UDP를 포함할 수 있다. 예를 들면, 상기 게이트웨이 (501) 또는 상기 게이트웨이 (502)는 보안 사이트 (400)로부터 양방향성 프로토콜의 데이터 패킷들을 수신하며 그리고 그 수신한 데이터 패킷들을 단일 방향성 프로토콜의 데이터 패킷들로 변환할 수 있으며, 이는 단일 방향성 프로토콜의 데이터 패킷들을 비보안 사이트 (600)나 비보안 사이트 (700)으로 전송하기 위한 것이다.
상기 실시예에서, 비보안 사이트 (600)는 수신기 (601), 게이트웨이 (603), 게이트웨이 (604), 또는 관리자 제어 및 데이터 취득 (supervisory control and data acquisition (SCADA)) 디바이스 (605)와 같은 복수의 전자 디바이스들을 포함할 수 있으며, 여기에서 상기 수신기 (601), 게이트웨이 (603), 게이트웨이 (604), 및 SCADA 디바이스 (605)는 근거리 네트워크 (LAN) (602)를 경유하여 서로 통신할 수 있다. 상기 수신기 (601), 게이트웨이 (603), 게이트웨이 (604), 및 SCADA 디바이스 (605)는 양방향성 프로토콜들이나 단일 방향성 프로토콜들과 같은 동일한 또는 상이한 통신 프로토콜들을 지원할 수 있으며, 여기에서 상기 양방향성 프로토콜들은 TCP를 지원할 수 있으며, 상기 단일 방향성 프로토콜들은 RTP, SNMP, RIP, 또는 DNS 룩업과 같은 UDP를 포함할 수 있다. 예를 들면, 상기 수신기 (601)는 상기 단방향 링크 회로 (200)의 출력 단자 (220)로부터 양방향성 또는 단일 방향성 프로토콜의 데이터 패킷들을 수신할 수 있다. 상기 수신기 (601)에 의해 수신된 데이터 패킷들이 단일 방향성 프로토콜에 대응한다면, 상기 수신기 (601)는 그 수신한 데이터 패킷들을 타겟 서버로 통과시킬 수 있다. 상기 게이트웨이 (603) (또는 게이트웨이 604)는 LAN (602)을 경유하여 수신기 (601)로부터 단일 방향성 프로토콜의 데이터 패킷들을 수신할 수 있으며, 그 수신한 단일 방향성 프로토콜의 데이터 패킷들을 양방향성 프로토콜의 데이터 패킷들로 변환할 수 있으며, 그리고 양방향성 프로토콜의 상기 데이터 패킷들을 저장할 수 있다. 그러므로, 상기 SCADA 디바이스 (605)가 양방향성 프로토콜만을 지원하면, 상기 SCADA 디바이스 (605)는 상기 보안 사이트 (400)에 의해 생성된 데이터 패킷들을 게이트웨이 (603) (또는 게이트웨이 (604))를 통해 인출할 수 있다.
상기 실시예에서, 비보안 사이트 (700)는 스위치 (701), 수신기 (702), 게이트웨이 (703), 게이트웨이 (704), 또는 SCADA 디바이스 (705)와 같은 복수의 전자 디바이스들을 포함할 수 있다. 상기 수신기 (702), 게이트웨이 (703), 게이트웨이 (704), 또는 SCADA 디바이스 (705)는 양방향성 프로토콜들이나 단일 방향성 프로토콜들과 같은 동일한 또는 상이한 통신 프로토콜들을 지원할 수 있으며, 여기에서 상기 양방향성 프로토콜들은 TCP를 지원할 수 있으며, 상기 단일 방향성 프로토콜들은 RTP, SNMP, RIP, 또는 DNS 룩업과 같은 UDP를 포함할 수 있다. 예를 들면, 상기 수신기 (702)는 SNMP 트랩 서버와 같은 UPD-기반 서버일 수 있다. 상기 수신기 (702)는 상기 전자 디바이스 그룹 (403)에 의해 생성된 데이터 패킷들을 수신할 수 있다. 상기 스위치 (701)는 상기 단방향 링크 회로 (300)의 출력 단자 (220)로부터 양방향성 또는 단일 방향성 프로토콜의 데이터 패킷들을 수신할 수 있다. 상기 스위치 (701)는 상기 데이터 패킷들을 그 데이터 패킷들로부터 캡처된 정보 (예를 들면, 타겟 주소)에 따라 타겟 디바이스로 포워딩할 수 있다. 상기 게이트웨이 (603) (또는 게이트웨이 (604))는 상기 스위치 (701)로부터 단일 방향성 프로토콜의 데이터 패킷들을 수신할 수 있으며, 단일 방향성 프로토콜의 상기 수신한 데이터를 양방향성 프로토콜의 데이터 패킷들로 변환할 수 있으며, 그리고 양방향성 프로토콜의 상기 데이터 패킷들을 저장할 수 있다. 그러므로, SCADA 디바이스 (705)가 양방향성 프로토콜만을 지원하면, 상기 SCADA 디바이스 (705)는 상기 보안 사이트 (400)에 의해 생성된 데이터 패킷들을 상기 게이트웨이 (703) (또는 게이트웨이 (704))를 통해서 인출할 수 있다.
상기 전자 디바이스 그룹 (401)이 포트 P3에 연결되며 게이트웨이 (501)가 포트 P2에 연결되면, 상기 스위치 (100)는 상기 전자 디바이스 그룹 (401) 및 상기 게이트웨이 (501)를 연결할 수 있다. 상기 게이트웨이 (501)는 상기 전자 디바이스 그룹 (401)로부터의 데이터 패킷들에 액세스하기 위해 SCADA 디바이스나 모니터링 디바이스를 에뮬레이션할 수 있으며 그리고 그 데이터 패킷들을 단방향 전송 (예를 들면, 단일 방향성 프로토콜)에 적합한 프로토콜로 변환할 수 있다. 상기 게이트웨이 (501)는 상기 전자 디바이스 그룹 (401)에 의해 생성된 데이터 패킷들을 상기 포트 P6 및 상기 단방향 링크 회로 (200)를 경유하여 상기 비보안 사이트 (600)으로 포워딩할 수 있으며, 또는 상기 게이트웨이 (501)는 상기 전자 디바이스 그룹 (401)에 의해 생성된 데이터 패킷들을 상기 포트 P7 및 단방향 링크 회로 (300)를 경유하여 상기 비보안 사이트 (700)로 포워딩할 수 있다.
상기 전자 디바이스 그룹 (402)이 포트 P1에 연결되고 게이트웨이 (502)가 포트 P1에 연결되면, 상기 스위치 (100)는 상기 전자 디바이스 그룹 (402) 및 상기 게이트웨이 (502)를 연결할 수 있다. 상기 게이트웨이 (502)는 상기 전자 디바이스 그룹 (402)로부터의 데이터 패킷들에 액세스하기 위해 SCADA 디바이스나 모니터링 디바이스를 에뮬레이션할 수 있으며 그리고 그 데이터 패킷들을 단방향 전송에 적합한 프로토콜로 변환할 수 있다. 상기 게이트웨이 (502)는 상기 전자 디바이스 그룹 (402)에 의해 생성된 데이터 패킷들을 상기 포트 P6 및 상기 단방향 링크 회로 (200)를 경유하여 상기 비보안 사이트 (600)으로 포워딩할 수 있으며, 또는 상기 게이트웨이 (502)는 상기 전자 디바이스 그룹 (402)에 의해 생성된 데이터 패킷들을 상기 포트 P7 및 단방향 링크 회로 (300)를 경유하여 상기 비보안 사이트 (700)로 포워딩할 수 있다.
상기 전자 디바이스 그룹 (403)이 상기 포트 P5로 연결되면, 상기 스위치 (100)는 상기 전자 디바이스 그룹 (403) 및 상기 포트 P5를 연결시킬 수 있다. 상기 전자 디바이스 그룹 (403)은 데이터 패킷들을 상기 포트 P5 및 포트 P6를 경유하여 상기 단방향 링크 회로 (300)로 전송할 수 있으며, 여기에서 상기 데이터 패킷들은 단방향 전송에 적합한 프로토콜을 지원할 수 있다.
상기 스위치 (100) 및 그 스위치 (100)에 연결된 전자 디바이스들은 서로에게 격리된 다수의 서브네트들을 형성할 수 있다. 예를 들면, 상기 전자 디바이스 그룹 (401) 및 상기 게이트웨이 (501)는 상기 스위치 (100)의 포트 P2 및 포트 P3를 사용함으로써 제1 서브네트를 형성할 수 있으며, 상기 전자 디바이스 그룹 (402) 및 상기 게이트웨이 (502)는 상기 스위치 (100)의 포트 P1 및 포트 P4를 사용함으로써 제2 서브네트를 형성할 수 있다. 상기 제1 서브네트는 상기 제2 서브네트워크와 격리될 수 있다. 그러므로, 제1 서브네트 내 전자 디바이스가 컴퓨터 바이러스에 의해 감염된다면, 그 컴퓨터 바이러스는 제2 서브네트로 퍼지지 않을 것이며, 그래서 그 제2 서브네트워크의 안전이 보장될 수 있다.
도 3은 본 발명 개시의 실시예에 따른 중복 구현을 위해 상기 스위치 디바이스에 의해서 보안 사이트를 비보안 사이트로 연결시키는 것을 도시한다. 일 실시예에서, 상기 포트 P1은 경로 (20)를 통해서 포트 P3에 연결하도록 더 구성될 수 있으며, 상기 포트 P2는 경로 (19)를 통해서 포트 P4에 연결하도록 더 구성될 수 있다. 경로 (19)는 상기 전자 디바이스 그룹 (402)이 게이트웨이 (501)에 연결하는 것이 가능할 수 있게 허용하도록 구성될 수 있으며, 경로 (20)는 상기 전자 디바이스 그룹 (401)이 게이트웨이 (502)에 연결하는 것이 가능할 수 있게 허용하도록 또한 구성될 수 있다. 그 행동은 도 2의 실시예에서와 동일하지만, 상기 데이터 (예를 들면, 전자 디바이스 그룹 (401 또는 402)로부터의 데이터)는 게이트웨이 (501) 및 게이트웨이 (502) 둘 모두에 의해 수신될 수 있다. 상기 게이트웨이 (502)는 게이트웨이 (501)의 중복 게이트웨이일 수 있다. 게이트웨이 (501)에 의해 수신된 모든 데이터 패킷들은 전용 동기화 링크 (503)를 통해 게이트웨이 (502)로 업데이트될 수 있다. 보통은, 상기 게이트웨이 (501)는 상기 전자 디바이스 그룹 (401)에 의해 생성된 데이터 패킷들을 (프로토콜 브레이크 (protocol break))로서) 변환하여 비보안 사이트 (600) 또는 비보안 사이트 (700)로 포워딩할 수 있다. 일단 상기 게이트웨이 (501) 및 상기 포트 P2 사이의 링크 또는 상기 게이트웨이 그 자체가 고장나면, 상기 게이트웨이 (502)는 게이트웨이 (501)를 즉시 떠맡을 수 있으며, 이는 상기 전자 디바이스 그룹 (401)에 의해 생성된 데이터 패킷들을 (프로토콜 브레이크로서) 변환하여 비보안 사이트 (600) 및 비보안 사이트 (700)로 포워딩하기 위한 것이다. 상기 게이트웨이 (502)는 상기 게이트웨이 (501)가 고장났는가의 여부를 상기 동기화 링크 (503)를 경유하여 체크할 수 있다. 예를 들면, 상기 게이트웨이 (502)는 게이트웨이 (501)로부터의 동기화 신호를 디폴트 시간 구간 내에 수신하지 않는 것에 응답하여 상기 게이트웨이 (501)가 고장났다고 판단할 수 있다.
요약하면, 본 발명 개시는 단방향 링크 회로를 사용함으로써 보안 사이트 내 디바이스들이 비보안 사이트 내 디바이스들에 의해 전송된 데이터를 수신하는 것을 방지할 수 있다. 추가로, 본 발명 개시는 보안 사이트 내 디바이스들을 위해 다수의 서브네트들을 생성할 수 있으며, 이는 상기 디바이스들이 서로를 감염시키는 것을 방지하기 위한 것이다. 그러므로, 상기 보안 사이트에 대한 보호가 보장될 수 있다. 반면에, 본 발명 개시는 다수의 컴퓨팅 디바이스들 (예를 들면, 게이트웨이들 또는 프록시 서버들)을 상기 단방향 링크 회로의 입력 단자에 연결할 수 있다. 즉, 상기 단방향 전송의 전송 병목은 상기 단방향 링크 회로의 입력 단자로 연결하는 송신 노드의 능력에 의해 제한되지 않을 것이다.
본원의 개시된 실시예들의 상세한 설명에서 사용된 어떤 요소, 행동, 또는 명령어도, 명시적으로 설명되지 않는다면 본 발명 개시에 절대적으로 중요하거나 필수적인 것으로서 해석되지 않아야 한다. 또한, 본원에 사용되었듯이, 부정 관사들 "하나" 및 "한" 각각은 하나 이상의 아이템을 포함할 수 있을 것이다. 단 하나의 아이템만이 의도된다면, "단일"이라는 용어나 유사한 표현들이 사용될 것이다. 또한, 복수의 아이템들 및/또는 아이템들의 복수의 카테고리들의 목록이 이어지는 ".. 중 어느 하나"의 용어는, 본원에서 사용되었듯이, 다수의 아이템들 및/또는 아이템들의 카테고리 "중 어느 하나", "의 임의 조합", "중의 어떤 다수", 및/또는 "임의 조합"을 개별적으로 또는 다른 아이템들 및/또는 아이템들의 다른 카테고리들과 함께 포함하도록 의도된 것이다. 또한, 본원에서 사용되었듯이, "세트"의 용어는 제로 (0)를 포함하는 아이템들의 임의 개수를 포함하도록 의도된 것이다. 또한, 본원에서 사용되었듯이, "개수"의 용어는 제로를 포함하는 임의 개수를 포함하도록 의도된 것이다.
본 발명 개시의 범위나 사상으로부터 벗어나지 않으면서 다양한 수정들 및 변형들이 상기 개시된 실시예들에 대해 만들어질 수 있다는 것은 본 발명이 속한 기술 분야에서의 통상의 지식을 가진 자들에게는 명백할 것이다. 전술한 내용을 고려하면, 상기 개시가 다음의 청구항들 및 그것들의 등가물들의 범위내에 존재한다면 그 개시는 수정들 및 변형들을 포함하는 것으로 의도된 것이다.

Claims (13)

  1. 단방향 전송을 위한 스위치 디바이스로, 상기 스위치 디바이스는:
    스위치; 그리고
    단방향 링크 회로를 포함하며,
    상기 스위치는:
    제1 포트;
    제2 포트; 및
    제1 경로를 경유하여 상기 제2 포트에 연결되며 제2 경로를 경유하여 상기 제1 포트에 연결된 제3 포트를 포함하며;
    상기 단방향 링크 회로의 입력 단자는 상기 제1 포트에 연결된, 스위치 디바이스.
  2. 제1항에 있어서,
    상기 단방향 링크 회로는:
    다이오드 회로, 파이버, RJ45 커넥터, 및 필드 프로그래머블 게이트 어레이
    중 적어도 하나에 의해 구현되는, 스위치 디바이스.
  3. 제1항에 있어서,
    상기 스위치는:
    제3 경로를 경유하여 상기 제1 포트에 연결된 제4 포트를 더 포함하는, 스위치 디바이스.
  4. 제1항에 있어서,
    상기 스위치는:
    제3 경로를 경유하여 상기 제3 포트에 연결된 제4 포트; 그리고
    제2 단방향 링크 회로를 더 포함하며,
    상기 제2 단방향 링크 회로의 제2 입력 단자는 상기 제4 포트에 연결된, 스위치 디바이스.
  5. 제1항에 있어서,
    상기 스위치는:
    제4 포트; 그리고
    제3 경로를 경유하여 상기 제4 포트에 연결되며 제4 경로를 경유하여 상기 제1 포트에 연결된 제5 포트를 더 포함하는, 스위치 디바이스.
  6. 제1항에 있어서,
    상기 제2 포트에 연결된 전자 디바이스; 그리고
    상기 제3 포트에 연결된 게이트웨이를 더 포함하며,
    상기 전자 디바이스는 상기 제2 포트 및 상기 제3 포트를 경유하여 제1 프로토콜로 지원되는 제1 신호를 상기 게이트웨이로 전송하며,
    상기 게이트웨이는 상기 제1 신호를 제2 프로토콜로 지원되는 제2 신호로 변환하여 그 제2 신호를 상기 단방향 링크 회로를 경유하여 출력하는, 스위치 디바이스.
  7. 제6항에 있어서,
    상기 제2 프로토콜은 단일 방향성 프로토콜인, 스위치 디바이스.
  8. 제3항에 있어서,
    상기 제4 포트에 연결된 전자 디바이스를 더 포함하며,
    상기 전자 디바이스는 제1 프로토콜로 지원되는 신호를 상기 제4 포트, 상기 제1 포트 및 상기 단방향 링크 회로를 경유하여 출력하는, 스위치 디바이스.
  9. 제8항에 있어서,
    상기 제1 프로토콜은 단일 방향성 프로토콜인, 스위치 디바이스.
  10. 제5항에 있어서,
    상기 제3 포트는 제5 경로를 경유하여 상기 제4 포트에 연결된, 스위치 디바이스.
  11. 제10항에 있어서,
    상기 제4 포트에 연결된 제1 전자 디바이스;
    상기 제5 포트에 연결된 제1 게이트웨이; 그리고
    상기 제3 포트 및 상기 제1 게이트웨이에 연결된 제2 게이트웨이를 더 포함하며,
    상기 전자 디바이스는 제1 프로토콜로 지원되는 제1 신호를 상기 제4 포트 및 상기 제5 포트를 경유하여 상기 제1 게이트웨이로 전송하며, 그리고 상기 제1 신호를 상기 제4 포트 및 상기 제3 포트를 경유하여 상기 제2 게이트웨이로 전송하며,
    상기 제1 게이트웨이가 고장나지 않았다는 것에 응답하여, 상기 제1 게이트웨이는 상기 제1 신호를 제2 프로토콜로 지원되는 제2 신호로 변환하며 그리고 상기 제2 신호를 상기 단방향 링크 회로를 경유하여 출력하는, 스위치 디바이스.
  12. 제11항에 있어서,
    상기 제1 게이트웨이가 고장나지 않다는 것에 응답하여, 상기 제2 게이트웨이는 상기 제1 신호를 제2 프로토콜로 지원되는 제2 신호로 변환하며 그리고 상기 제2 신호를 상기 단방향 링크 회로를 경유하여 출력하는, 스위치 디바이스.
  13. 제11항에 있어서,
    상기 제2 프로토콜은 단일 방향성 프로토콜인, 스위치 디바이스.
KR1020210027395A 2020-10-23 2021-03-02 단방향 전송을 위한 스위치 디바이스 KR20220054155A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US202063104522P 2020-10-23 2020-10-23
US63/104,522 2020-10-23
US17/149,633 2021-01-14
US17/149,633 US11539756B2 (en) 2020-10-23 2021-01-14 Switch device for one-way transmission

Publications (1)

Publication Number Publication Date
KR20220054155A true KR20220054155A (ko) 2022-05-02

Family

ID=76098807

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210027395A KR20220054155A (ko) 2020-10-23 2021-03-02 단방향 전송을 위한 스위치 디바이스

Country Status (8)

Country Link
US (1) US11539756B2 (ko)
EP (1) EP3989441B1 (ko)
JP (1) JP2022069379A (ko)
KR (1) KR20220054155A (ko)
CA (1) CA3119134A1 (ko)
DE (1) DE21175572T1 (ko)
ES (1) ES2916603T3 (ko)
TW (1) TWI854113B (ko)

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69636116T2 (de) * 1995-03-31 2006-12-21 The Commonwealth Of Australia Verfahren und vorrichtung zum verbinden von netzwerken mit verschiedenen sicherheitsgraden
US5703562A (en) 1996-11-20 1997-12-30 Sandia Corporation Method for transferring data from an unsecured computer to a secured computer
US6603221B1 (en) 1999-04-22 2003-08-05 Zhongdu Liu Solid state electrical switch
WO2004105297A2 (en) 2003-05-19 2004-12-02 Network Security Technologies, Inc. Method and system for providing secure one-way transfer of data
US20050246529A1 (en) 2004-04-30 2005-11-03 Microsoft Corporation Isolated persistent identity storage for authentication of computing devies
US7675867B1 (en) * 2006-04-19 2010-03-09 Owl Computing Technologies, Inc. One-way data transfer system with built-in data verification mechanism
WO2008001344A2 (en) 2006-06-27 2008-01-03 Waterfall Solutions Ltd One way secure link
US8050260B1 (en) 2007-01-30 2011-11-01 Qlogic, Corporation Method and system for load balancing in infiniband switches and networks
US8352450B1 (en) 2007-04-19 2013-01-08 Owl Computing Technologies, Inc. Database update through a one-way data link
US8139581B1 (en) 2007-04-19 2012-03-20 Owl Computing Technologies, Inc. Concurrent data transfer involving two or more transport layer protocols over a single one-way data link
US7649452B2 (en) 2007-06-29 2010-01-19 Waterfall Solutions Ltd. Protection of control networks using a one-way link
US7992209B1 (en) 2007-07-19 2011-08-02 Owl Computing Technologies, Inc. Bilateral communication using multiple one-way data links
US8250358B2 (en) 2009-04-01 2012-08-21 Raytheon Company Data diode system
US9521120B2 (en) 2009-04-23 2016-12-13 General Electric Technology Gmbh Method for securely transmitting control data from a secure network
US8068504B2 (en) * 2009-05-18 2011-11-29 Tresys Technology, Llc One-way router
DE102010011022A1 (de) 2010-03-11 2012-02-16 Siemens Aktiengesellschaft Verfahren zur sicheren unidirektionalen Übertragung von Signalen
US8732453B2 (en) 2010-07-19 2014-05-20 Owl Computing Technologies, Inc. Secure acknowledgment device for one-way data transfer system
CN101917492B (zh) 2010-08-06 2013-06-05 北京乾唐视联网络科技有限公司 一种新型网的通信方法及系统
US8893253B2 (en) 2011-11-29 2014-11-18 Bayshore Networks, Inc. Firewall apparatus, systems, and methods employing detection of application anomalies
US9736121B2 (en) 2012-07-16 2017-08-15 Owl Cyber Defense Solutions, Llc File manifest filter for unidirectional transfer of files
US8776254B1 (en) 2013-01-23 2014-07-08 Owl Computing Technologies, Inc. System and method for the secure unidirectional transfer of software and software updates
US9306953B2 (en) 2013-02-19 2016-04-05 Owl Computing Technologies, Inc. System and method for secure unidirectional transfer of commands to control equipment
US9419975B2 (en) 2013-04-22 2016-08-16 Waterfall Security Solutions Ltd. Bi-directional communication over a one-way link
US9088558B2 (en) 2013-08-21 2015-07-21 Owl Computing Technologies, Inc. Secure one-way interface for OPC data transfer
US8891546B1 (en) 2014-04-27 2014-11-18 Waterfall Security Solutions Ltd. Protocol splitter
GB201410089D0 (en) 2014-06-06 2014-07-23 Bae Systems Plc Secured network bridge
KR101593168B1 (ko) 2014-09-11 2016-02-18 한국전자통신연구원 물리적 단방향 통신 장치 및 방법
US20160080425A1 (en) 2014-09-16 2016-03-17 Francis Cianfrocca Content-Aware Firewalling, Policy Regulation, and Policy Management for Industrial Automation, Machine To Machine Communications, and Embedded Devices
DE102014226398A1 (de) 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
JP5836528B1 (ja) * 2015-05-29 2015-12-24 三菱日立パワーシステムズ株式会社 通信接続装置及び通信システム
TWI647934B (zh) 2017-04-21 2019-01-11 思銳科技股份有限公司 網路拓樸實機模擬方法與系統
ES2778848T3 (es) 2017-07-05 2020-08-12 Siemens Mobility GmbH Procedimiento y dispositivo para la transmisión unidireccional sin repercusión de datos a un servidor de aplicación remoto
DE102017217432A1 (de) 2017-09-29 2019-04-04 Siemens Mobility GmbH Konzept zum unidirektionalen Übertragen von Daten
IL268485B (en) 2018-08-13 2022-04-01 Waterfall Security Solutions Ltd Automatic security response using one-way links
CN110943720B (zh) 2018-09-21 2024-01-26 凌宇科技(北京)有限公司 一种设备的自动关机电路及设备
TWI732233B (zh) 2019-06-24 2021-07-01 竹北動力股份有限公司 控制系統和控制方法
US11153275B2 (en) * 2020-02-24 2021-10-19 Saudi Arabian Oil Company Method to transfer process data utilizing highly secure boundary networks

Also Published As

Publication number Publication date
ES2916603T3 (es) 2023-10-05
US11539756B2 (en) 2022-12-27
TWI854113B (zh) 2024-09-01
JP2022069379A (ja) 2022-05-11
EP3989441B1 (en) 2023-04-26
ES2916603T1 (es) 2022-07-04
TW202218393A (zh) 2022-05-01
US20220131736A1 (en) 2022-04-28
DE21175572T1 (de) 2022-07-07
EP3989441A1 (en) 2022-04-27
CA3119134A1 (en) 2022-04-23

Similar Documents

Publication Publication Date Title
JP6518771B2 (ja) セキュリティシステム、通信制御方法
US8565237B2 (en) Concurrent data transfer involving two or more transport layer protocols over a single one-way data link
JP5532458B2 (ja) コンピュータシステム、コントローラ、及びネットワーク監視方法
CN1761240B (zh) 用于高度可实现性应用的智能集成网络安全设备
EP3832978B1 (en) Rule-based network-threat detection for encrypted communications
EP3418891B1 (en) Synchronization between virtual network functions and host systems
WO2016086064A1 (en) Source ip address transparency systems and methods
JP5765623B2 (ja) ネットワークシステム
WO2005107296A2 (en) Network security system
US20240163160A1 (en) Diagnosing intermediary network nodes
CN113242269B (zh) 基于虚拟化网络的数据传输方法、系统和网络安全设备
US20220231881A1 (en) Communication method for one-way transmission based on vlan id and switch device using the same
EP3989441A1 (en) Switch device for one-way transmission
US20150143516A1 (en) Session hopping
JP5625394B2 (ja) ネットワークセキュリティシステムおよび方法
Cisco Release Notes for Catalyst 6000 Family Content Switching Module Software Release 2.2(4)
US20230030504A1 (en) Transmission device for transmitting data
Chandradeep A Scheme for the Design and Implementation of a Distributed IDS
JP2002101101A (ja) 監視システムおよび監視方法
CN116055097A (zh) 网络隔离系统、方法、网络防护装置及网络使用装置

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20210302

PG1501 Laying open of application