KR20220088266A - 단방향 전송을 위한 통신 시스템 및 통신 방법 - Google Patents

단방향 전송을 위한 통신 시스템 및 통신 방법 Download PDF

Info

Publication number
KR20220088266A
KR20220088266A KR1020210041462A KR20210041462A KR20220088266A KR 20220088266 A KR20220088266 A KR 20220088266A KR 1020210041462 A KR1020210041462 A KR 1020210041462A KR 20210041462 A KR20210041462 A KR 20210041462A KR 20220088266 A KR20220088266 A KR 20220088266A
Authority
KR
South Korea
Prior art keywords
server
data packet
processor
programmable logic
data
Prior art date
Application number
KR1020210041462A
Other languages
English (en)
Inventor
완 첸 찬
포-치 슈
Original Assignee
블랙베어 (타이완) 인더스트리얼 네트워킹 시큐리티 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 블랙베어 (타이완) 인더스트리얼 네트워킹 시큐리티 리미티드 filed Critical 블랙베어 (타이완) 인더스트리얼 네트워킹 시큐리티 리미티드
Publication of KR20220088266A publication Critical patent/KR20220088266A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1441Resetting or repowering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Electroluminescent Light Sources (AREA)
  • Computer And Data Communications (AREA)

Abstract

단방향 전송을 위한 통신 시스템 및 통신 방법이 제공된다. 상기 통신 방법은 : 서버에 의해 프로그램 가능한 논리 장치에 필터링 규칙을 전송하는 단계; 상기 서버에 의해 신호를 수신하고 상기 신호로부터 데이터를 획득하는 단계; 상기 서버에 의해 적어도 하나의 데이터 패킷을 생성하기 위해 데이터를 패킹하는 단계; 상기 서버에 의해 상기 적어도 하나의 데이터 패킷을 상기 프로그램 가능한 논리 장치에 전송하는 단계; 및 상기 필터링 규칙에 따라, 상기 프로그램 가능한 논리 장치에 의해 적어도 하나의 데이터 패킷을 출력할지 여부를 결정하는 단계를 포함한다.

Description

단방향 전송을 위한 통신 시스템 및 통신 방법 {Communication system and communication method for one-way transmission}
관련 출원에 대한 상호 참조
본 출원은 2020년 12월 18일자에 출원된 미국 가출원 제63/127,154호의 우선권 이익을 주장한다. 상기 특허 출원의 전체는 본 명세서에 참고로 포함되어 본 명세서의 일부를 이룬다.
기술분야
본 개시서는 단방향 전송을 위한 통신 시스템 및 통신 방법에 관한 것이다.
보안 사이트(또는 운영기술(operation technology; OT) 사이트)가 인터넷에서 컴퓨터 바이러스 또는 해커에 의한 공격을 받지 못하도록 하기 위해서는, 보안 사이트와 비-보안 사이트(또는 정보기술(information technology; IT) 사이트) 간의 데이터 전송을 수행하는데 일반적으로 단방향 전송 기술이 사용된다. 단방향 링크는 신호들이 보안 사이트로부터 비-보안 사이트로만 송신될 수 있도록 신호들의 방향을 제한할 수 있고, 신호들은 비-보안 사이트로부터 보안 사이트로 송신될 수 없다. 그러나, 보안 사이트와 비-보안 사이트간에 단방향 링크가 구현되더라도 보안 사이트가 항상 안전하지는 않는다. 예를 들어, 보안 사이트의 장치는 펌웨어 업그레이드 절차에서 또는 유지 관리 기간에서 공격받기 쉽다. 보안 사이트의 장치가 공격된 경우, 장치는 악의적인 바이러스와 같은 불필요한 정보를 비-보안 사이트로 전송할 수 있다. 따라서, 비-보안 사이트의 장치들이 보안 사이트의 장치들에 의해 영향을 받지 않도록 보호하는 방법은 당업계에 중요한 문제이다.
따라서, 본 개시서는 단방향 전송을 위한 통신 시스템 및 통신 방법에 관한 것이다. 본 개시서는 보안 사이트의 장치들에 의해 비-보안 사이트의 장치들이 영향을 받는 것을 방지할 수 있다.
본 발명은 단방향 전송을 위한 통신 시스템에 관한 것이다. 통신 시스템은 서버 및 단방향 링크 회로를 포함한다. 서버는 프로세서를 포함한다. 단방향 링크 회로는 프로그램 가능한 논리 장치를 포함하며, 상기 단방향 링크 회로는 서버에 통신 가능하게 연결되며, 프로세서는 : 상기 프로그램 가능한 논리 장치에 필터링 규칙을 전송하도록 구성되고; 신호를 수신하고 신호로부터 데이터를 획득하도록 구성되고; 적어도 하나의 데이터 패킷을 생성하기 위해 데이터를 패킹(packing)하도록 구성되고; 그리고 상기 적어도 하나의 데이터 패킷을 상기 프로그램 가능한 논리 장치로 전송하도록 구성되며, 상기 프로그램 가능한 논리 장치는 상기 필터링 규칙에 따라 상기 적어도 하나의 데이터 패킷을 출력할지 여부를 결정하도록 구성된다.
본 발명의 예시적인 실시예에서, 프로세서는 공개 키에 대응하는 메시지에 의해 필터링 규칙을 프로그래밍 가능한 논리 장치에 전송하며, 프로그램 가능한 논리 장치는 공개 키에 대응하는 개인 키에 따라 메시지로부터 필터링 규칙을 획득하는 신뢰된 플랫폼 모듈을 포함한다.
본 발명의 예시적인 실시예에서, 서버는 제2 프로그램 가능한 논리 장치 및 워치도그 타이머를 더 포함한다. 제2 프로그램 가능한 논리 장치는 프로세서에 연결된다. 워치도그 타이머는 제2 프로그램 가능한 논리 장치 및 프로세서에 연결되고, 워치도그 타이머는 사전 구성된 시간 기간 내에 제2 프로그램 가능한 논리 장치로부터 명령을 수신하지 못하면 서버를 재부팅하도록 프로세서를 재설정한다.
본 발명의 예시적인 실시예에서, 서버는 메인 메모리 및 저장 매체를 더 포함한다. 메인 메모리는 프로세서에 연결된다. 저장 매체는 프로세서에 연결되며, 저장 매체는 커널(kernel) 프로그램을 저장하며, 상기 프로세서는 상기 커널 프로그램을 상기 메인 메모리에 로딩하여 상기 서버를 재부팅한다.
본 발명의 예시적인 실시예에서, 필터링 규칙은 적어도 하나의 데이터 패킷의 패킷 포맷과 관련된다.
본 발명의 예시적인 실시예에서, 패킷 포맷은 독점 헤더(proprietary header)를 포함하며, 독점 헤더는 독점 헤더의 체크섬 및 동기화 워드(synchronization word)를 포함하며, 프로그램 가능한 논리 장치는 필터링 규칙에 따라 동기화 워드와 체크섬을 점검함으로써 적어도 하나의 데이터 패킷을 출력할지 여부를 결정한다.
본 발명의 예시적인 실시예에서, 독점 헤더는 다음 중 적어도 하나를 더 포함한다 : 시스템 시간 스탬프, 데이터의 해시 방법, 데이터의 암호화 방법, 데이터의 전체 크기, 적어도 하나의 데이터 패킷의 데이터 크기 및 적어도 하나의 데이터 패킷의 시퀀스 번호.
본 발명의 예시적인 실시예에서, 패킷 포맷은 이더넷 패킷 포맷이다.
본 발명의 예시적인 실시예에서, 패킷 포맷은 해시 방법에 대응하는 해시값 및 적어도 하나의 데이터 패킷에 대응하는 파일의 목적지 파일 이름 중 적어도 하나를 저장하는 타입-길이-값 프레임을 더 포함한다.
본 발명의 예시적인 실시예에서, 서버는 프로세서에 연결된 트랜스시버를 더 포함하며, 프로세서는 트랜스시버를 통해 필터링 규칙을 수신한다.
본 발명의 예시적인 실시예에서, 서버는 프로세서에 연결된 트랜스시버를 더 포함하며, 프로세서는 트랜스시버를 통해 신호를 수신한다.
본 발명의 예시적인 실시예에서, 신호는 양방향 프로토콜에 대응되며, 적어도 하나의 데이터 패킷은 단방향 프로토콜에 대응된다.
본 발명의 예시적인 실시예에서, 통신 시스템은 단방향 링크 회로에 연결된 저장 장치를 더 포함하며, 프로그램 가능한 논리 장치는 적어도 하나의 데이터 패킷을 출력하지 않기로 결정한 것에 응답하여 상기 적어도 하나의 데이터 패킷을 상기 저장 장치로 전송한다.
본 발명은 단방향 전송을 위한 통신 방법에 관한 것이다. 상기 통신 방법은 : 서버에 의해 프로그램 가능한 논리 장치에 필터링 규칙을 전송하는 단계; 신호를 수신하고 상기 서버에 의해 상기 신호로부터 데이터를 획득하는 단계; 상기 서버에 의해 적어도 하나의 데이터 패킷을 생성하기 위해 데이터를 패킹하는 단계; 상기 서버에 의해 상기 적어도 하나의 데이터 패킷을 상기 프로그램 가능한 논리 장치에 전송하는 단계; 상기 필터링 규칙에 따라, 상기 프로그램 가능한 논리 장치에 의해 적어도 하나의 데이터 패킷을 출력할지 여부를 결정하는 단계를 포함한다.
전술한 관점에서, 본 개시서는 데이터 패킷들을 필터링할 수 있는 프로그램 가능한 논리 장치에 의해 단방향 전송 채널을 구현할 수 있다. 보안 사이트에서 비-보안 사이트로 불필요한 정보가 전송되지 않을 것이다.
전술한 내용을 더 이해하기 쉽게 만들기 위해, 도면을 수반하는 몇몇 실시예들은 다음과 같이 상세히 설명된다.
첨부 도면들은 본 개시서의 추가적인 이해를 제공하기 위해 포함되며, 그리고 본 명세서에 통합되고 본 명세서의 일부를 구성한다. 도면들은 본 개시서의 예시적인 실시예들을 도시하고, 설명과 함께, 본 개시서의 원리를 설명하는 역할을 한다.
도 1은 본 개시서의 일 실시예에 따른 단방향 전송을 위한 통신 시스템의 개략도를 도시한다.
도 2는 본 개시서의 일 실시예에 따른 서버의 개략도를 도시한다.
도 3은 본 개시서의 일 실시예에 따른 단방향 링크 회로의 개략도를 도시한다.
도 4는 본 개시서의 일 실시예에 따른 메인 메모리에서 실행되는 소프트웨어 아키텍처의 개략도를 도시한다.
도 5는 본 개시서의 일 실시예에 따른 패킷 포맷의 개략도를 도시한다.
도 6은 본 개시서의 일 실시예에 따른 단방향 전송을 위한 통신 시스템의 흐름도를 도시한다.
본 개시서를 보다 이해하기 쉽게 하기 위해, 몇 가지 실시예들이 아래에서 본 개시서의 구현 예들로서 설명된다. 또한, 동일한 참조 번호들을 갖는 요소들/구성 요소들/단계들은 적절한 경우 도면들 및 실시예들에서 동일하거나 유사한 부분들을 나타내는데 사용된다.
도 1은 본 개시서의 일 실시예에 따른 단방향 전송을 위한 통신 시스템(10)의 개략도를 도시한다. 통신 시스템(10)은 예를 들어 신호들이 OT 사이트의 적어도 하나의 장치(20)에서 IT 사이트의 적어도 하나의 장치(30)로만 전송될 수 있도록 신호들의 방향을 제한할 수 있다. 통신 시스템(10)은 서버(100) 및 단방향 링크 회로(200)를 포함할 수 있다. 일 실시예에서, 통신 시스템(10)은 장치(30)를 더 포함할 수 있으며, 장치(30)는 데이터 무결성 기능을 위한 해시, 복호화 및 독점 헤더 분석을 포함하는 수신 서버 기능을 제공할 수 있다. 일 실시예에서, 통신 시스템(10)은 저장 장치(300)를 더 포함할 수 있다. 단방향 링크 회로(200)는 서버(100) 및 저장 장치(300)에 연결될 수 있다.
도 2는 본 개시서의 일 실시예에 따른 서버(100)의 개략도를 도시한다. 서버(100)는 프로세서(110), 메인 메모리(120), 저장 매체(130), PLD(Programmable Logic Device)(140), 워치도그 타이머(150), 트랜스시버(160) 및 물리 계층(PHY) 포트(170)를 포함할 수 있다.
프로세서(110)는 예를 들어 중앙 처리 유닛(CPU), 프로그램 가능한 마이크로 프로세서, 디지털 신호 프로세서(DSP), 프로그램 가능한 제어기, 애플리케이션 특정 집적 회로(ASIC), 그래픽 처리 유닛(GPU), PLD 또는 다른 유사한 요소들 또는 이들의 조합일 수 있다. 프로세서(110)는 메인 메모리(120), 저장 매체(130), PLD(140), 워치도그 타이머(150), 트랜스시버(160) 및 PHY(170)에 연결될 수 있으며, 메인 메모리(120) 및 저장 매체(130)에 저장되는 모듈들, 소프트웨어 또는 다양한 애플리케이션들에 액세스하고 실행할 수 있다.
메인 메모리(120) 또는 저장 매체(130)는 예를 들어 프로세서(110)에 의해 실행 가능한 복수의 모듈들 또는 다양한 애플리케이션들을 기록하도록 구성되는 임의의 유형의 고정 또는 이동식 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), 플래시 메모리, 하드 디스크 드라이브(HDD), 솔리드 스테이트 드라이브(SSD) 또는 유사한 요소들 또는 이들의 조합을 포함할 수 있다. 본 실시예에서, 저장 매체(130)는 시스템 영역(131) 및 임시 영역(132)으로 분할될 수 있다. 시스템 영역(131)은 리눅스와 같은 운영 체제(OS)의 커널 프로그램을 저장할 수 있으며, 시스템 영역은 판독 전용이다. 임시 영역(132)은 로그 파일들과 같은 임시 데이터를 저장할 수 있다.
PLD(140)는 예를 들어 프로그램 가능한 어레이 로직(programmable array logicl; PAL), 일반 어레이 로직(generic array logic; GAL), 복소 PLD(complex PLD; CPLD), 필드 프로그램 가능한 게이트 어레이(field programmable gate array; FPGA) 또는 유사한 요소들 또는 이들의 조합을 포함할 수 있다. PLD(140)는 프로세서(110)에 의해 제어될 수 있고, 워치도그 타이머(150)에 연결될 수 있다. PLD(140)는 명령(또는 특정 주소)를 주기적으로 전송하여 워치도그 타이머(150)를 클리어하기 위해 운영 체제의 명령하에 프로세서(110)에 의해 액세스될 수 있다. 워치도그 타이머(150)가 사전 구성된 타이머 기간 내에 PLD(140)로부터 명령을 수신하지 않으면, 워치도그 타이머(150)는 프로세서(110)를 재설정하여 서버(100)를 재부팅할 수 있다.
트랜스시버(160)는 무선으로 또는 유선으로 신호들을 송신 또는 수신할 수 있다. 트랜스시버(160)는 예를 들어 범용 직렬 버스(USB), 블루투스, Wi-Fi, ZigBee 또는 다른 무선 변속기에 기초하여 신호를 수신하거나 송신하도록 구성된 송신 또는 수신 하드웨어 장치일 수 있으나, 이에 한정되는 것은 아니다. 트랜스시버(160)는 또한 저잡음 증폭(low noise amplifying; LNA), 임피던스 매칭, 주파수 혼합, 업다운 주파수 변환, 필터링, 증폭 및 유사한 동작들과 같은 동작들을 수행할 수 있다.
PHY(170)는 이더넷 PHY일 수 있다. 프로세서(110)는 PHY(170)를 통해 단방향 링크 회로(200)에 통신 가능하게 연결될 수 있다.
도 3은 본 개시서의 일 실시예에 따른 단방향 링크 회로의 개략도를 도시한다. 단방향 링크 회로(200)는 PLD(210), PHY(220), PHY(230) 및 PHY(240)을 포함할 수 있다.
PLD(210)는 예를 들어 PAL, GAL, CPLD, FPGA 또는 유사한 요소들 또는 이들의 조합을 포함할 수 있다. PLD(210)는 필터링 규칙(211)과 신뢰된 플랫폼 모듈(trusted platform module; TPM)(212)을 저장할 수 있다. PLD(210)는 각각 PHY(220), PHY(230) 및 PHY(240)을 통해 서버(100), 장치(30) 및 저장 장치(300)(또는 외부 장치)에 통신 가능하게 연결될 수 있다.
장치(30)는 장치(30)를 실행하기 위해 필요한 구성요소들을 포함할 수 있으며, 필요한 구성 요소들은 프로세서 유닛(예를 들어, 프로세서), 통신 유닛(예를 들어, 통신 칩 및/또는 트랜스시버) 및 저장 유닛(예를 들어, RAM, ROM, 플래시 메모리, HDD 또는 SSD)을 포함할 수 있지만, 이에 제한되지는 않는다.
서버(100)가 부팅되면, 시스템 영역(131)에 저장된 커널 프로그램은 메인 메모리(120)에 로딩될 수 있고, 메인 메모리(120)는 운영 체제를 초기화하기 위한 RAM 디스크가 될 수있다. 도 4는 본 개시서의 일 실시예에 따른 메인 메모리(120)에서 실행되는 소프트웨어 아키텍처의 개략도를 도시한다. 커널 프로그램이 로드되는 메인 메모리(120)는 프로토콜 브레이크(121), 이더넷 에이전트(122), 커널 레이어(123) 및 드라이버 레이어(124)와 같은 복수의 모듈들을 포함할 수 있다.
이더넷 에이전트(122)는 드라이버 레이어(124)를 통해 워치도그 타이머(150)에 명령을 주기적으로 전송할 수 있다. 명령은 PLD(140)에 의해 워치도그 타이머(150)로 전송될 수 있다. 프로세서가 공격받는다면, 워치도그 타이머(150)가 사전 구성된 시간 기간 내에 이더넷 에이전트(122)로부터 명령을 수신할 수 없게 된다. 따라서, 워치도그 타이머(150)는 프로토콜 브레이크(121)와 이더넷 에이전트(122)가 대체되거나 파괴되는 것을 보호하도록 프로세서(110)를 재설정하여 서버(100)를 재부팅할 수 있다. 커널 프로그램은 판독 전용인 시스템 영역(131)에 저장되기 때문에, 재부팅된 서버(100)의 기능들은 원래 서버(100)의 기능들과 동일할 수 있다.
프로세서(110)는 트랜스시버(160)를 통해 (예를 들어, 장치(20)로부터) 신호를 수신할 수 있다. 일 실시예에서, 수신된 신호는 전송 제어 프로토콜(TCP)과 같은 양방향 프로토콜에 대응될 수 있다. 일 실시예에서, 수신된 신호는 사용자 데이터그램 프로토콜(UDP), 실시간 전송 프로토콜(RTP), 간단한 네트워크 관리 프로토콜(SNMP), 라우팅 정보 프로토콜(RIP) 또는 도메인 이름 서버(DNS) 룩업과 같은 단방향 프로토콜에 상응될 수 있다. 프로토콜 브레이크(121)는 수신된 신호로부터 데이터를 획득할 수 있고, 이더넷 에이전트(122)는 수신된 신호의 프로토콜과 상이한 프로토콜과 함께 데이터를 패킹함으로써 적어도 하나의 데이터 패킷을 생성할 수 있다. 적어도 하나의 데이터 패킷의 프로토콜은 단방향 프로토콜에 대응될 수 있다. 즉, 프로토콜 브레이크(121)는 양방향 프로토콜에 대응하는 수신 신호에 응답하여, 수신 신호를 단방향 프로토콜에 대응하는 데이터 패킷으로 변환할 수 있다. 이더넷 에이전트(122)는, 커널 레이어(123)에 따라, 프로세서(110)가 PHY(170)를 통해 적어도 하나의 데이터 패킷을 딘방향 링크 회로(200)로 송신하게 할 수 있다.
적어도 하나의 데이터 패킷은 도 5에 도시된 바와 같이 패킷 포맷(500)으로 패킹될 수 있다. 도 5는 본 개시서의 일 실시예에 따른 패킷 포맷(500)의 개략도를 도시한다. 패킷 포맷(500)은 UDP와 같은 이더넷 패킷 포맷에 대응될 수 있으며, 필드 "DA"는 목적지 어드레스를 포함할 수 있으며, 필드 "SA"는 소스 어드레스를 포함할 수 있으며, 필드 "Type"은 이더넷 유형(예를 들어, IP 패킷에 대해서는 0x0800 또는 IEEE 802.1Q에 대해서는 0x8100)을 포함할 수 있으며, 필드 "CRC"는 CRC(Cyclic Redundancy Check) 코드를 포함할 수 있다. 독점 헤더(510)는 패킷 포맷(500)의 페이로드에 구성될 수 있으며, 상기 독점 헤더(510)는 동기화 워드, 암호화 방법(예를 들어, AES 암호화), 해시 방법, 시스템 타임 스탬프, 적어도 하나의 데이터 패킷에 대응하는 데이터의 전체 크기(즉, 세션의 전체 크기), 적어도 하나의 데이터 패킷의 데이터 크기(즉, 패킷 크기), 적어도 하나의 데이터 패킷의 시퀀스 번호(즉, 시퀀스 세션 수) 및 독점 헤더(510)의 체크섬을 포함할 수 있다. 패킷 포맷(500)에 대응하는 모든 데이터 패킷들(500)은 이더넷 에이전트(122)에 의해 생성된다. 페이로드 데이터는 독점 헤더(510)의 해시 함수의 순열(permutation)에 의해 생성된 키와 함께 독점 헤더(510)로부터의 정보에 따라 암호화된다. 마이크로초 단위의 정밀도를 갖는 시스템 타임 스탬프는 서로 다른 시간에 동일한 데이터가 각각 다른 암호화된 데이터로 암호화되도록 보장한다. 즉, 각 패킷은 데이터 암호화를 위한 자체 전용 키를 가질 수 있다.
동기화 워드
시스템 타임 스탬프(마이크로초)
암호화 방법
해시 방법
세션의 총 크기
세션의 시퀀스 수
패킷 크기
체크섬
독점 헤더(510)의 체크섬은 독점 헤더(510)에서 체크섬 자체를 제외한 모든 데이터에 따라 결정될 수 있다. 특정 데이터 패킷의 독점 헤더가 다른 데이터 패킷의 독점 헤더와 항상 상이하기 때문에, 특정 데이터 패킷의 체크섬은 다른 데이터 패킷의 체크섬과 항상 다르다.
일 실시예에서, 적어도 하나의 데이터 패킷의 패킷 포맷(500)은 타입-길이-값(TLV) 프레임(520)을 더 포함할 수 있다. TLV 프레임(520)은 독점 헤더(510)의 해시 방법에 대응하는 해시 값을 저장할 수 있고, 적어도 하나의 데이터 패킷에 대응하는 파일의 목적지 파일명을 저장할 수 있다.
PLD(210)는 PHY(220)를 통해 서버(100)에 의해 송신된 적어도 하나의 데이터 패킷을 수신할 수 있다. 적어도 하나의 데이터 패킷을 수신한 후, PLD(210)는 필터링 규칙(211)에 따라 적어도 하나의 데이터 패킷을 필터링할 수 있다. 구체적으로, PLD(210)는 독점 헤더(510) 및 필터링 규칙(211)에 따라 적어도 하나의 데이터 패킷을 (예를 들어, PHY(230)를 통해 장치(30)에) 출력할지 여부를 결정할 수 있으며, 필터링 규칙(211)은 패킷 포맷(500) 또는 독점 헤더(510)와 연관될 수 있다. 일 실시예에서, 필터링 규칙(211)은 IP 어드레스 검사 또는 UDP 포트 번호를 더 포함할 수 있다. PLD(210)는 적어도 독점 헤더(510)의 체크섬 및 동기화 워드를 점검함으로써 적어도 하나의 데이터 패킷을 출력할지 여부를 결정할 수 있다. 동기화 워드가 필터링 규칙(211)과 매치되고 체크섬이 독점 헤더(510)의 다른 필드들(예를 들어, 표 1의 체크섬 자체를 제외한 모든 데이터)과 매치되면, PLD(210)는 PHY(230)를 통해 적어도 하나의 데이터 패킷을 출력하기로 결정할 수 있다. 동기화 워드 또는 체크섬 중 적어도 하나가 올바르지 않은 경우, PLD(210)는 적어도 하나의 데이터 패킷을 드롭하기로 결정하거나, 또는 PHY(240)를 통해 적어도 하나의 데이터 패킷을 저장 장치(300)(또는 외부 장치)로 전송하도록 결정할 수 있다. 저장 장치(300)는 예를 들어 RAM, ROM, 플래시 메모리, HDD, SSD 또는 상기 구성 요소들의 조합일 수 있으며, 본 개시서는 이에 한정되지 않는다. 저장 장치(300)는 사용자 기준을 위해 PLD(210)로부터 수신된 적어도 하나의 데이터 패킷을 저장할 수 있다. 전술한 외부 장치는 예를 들어 진단 서버일 수 있다. PLD(210)는 적어도 하나의 데이터 패킷을 외부 장치로 전송할 수 있으며, 이로써, 외부 장치는 불일치된 패킷들이 어디에서 왔는지 또는 어디로 가는지 분석할 수 있다.
일 실시예에서, 장치(30)는 PLD(210)로부터 적어도 하나의 데이터 패킷을 수신할 수 있으며, 적어도 하나의 데이터 패킷은 독점 헤더(510)를 포함할 수 있다. 장치(30)는 적어도 하나의 데이터 패킷으로부터 데이터를 유지하도록 적어도 하나의 데이터 패킷을 해독할 수 있다. 장치(30)는 독점 헤더(510)에 나열된 암호화 방법 또는 해시 방법과 같이 독점 헤더(510)로부터의 정보에 따라 적어도 하나의 데이터 패킷을 해독할 수 있다. 일 실시예에서, 장치(30)는 데이터의 프로토콜을 단방향 프로토콜에서 양방향 프로토콜로 변환할 수 있다. 예를 들어, 장치(30)는 데이터를 다른 장치로 전송하기 전에 단방향 프로토콜로부터 양방향 프로토콜로 데이터의 프로토콜을 변환할 수 있다.
일 실시예에서, PLD(210)는 서버(100)로부터 필터링 규칙(211)을 획득할 수 있다. 구체적으로, 서버(100)의 프로세서(110)는 공개 키에 대응하는 메시지를 통해 필터링 규칙(211)을 PLD(210)로 전송할 수 있다. 예를 들어, 프로세서(110)는 공개 키에 따라 필터링 규칙(211)을 운반하는 메시지를 생성할 수 있다. 프로세서(110)는 트랜스시버(160)를 통해 필터링 규칙(211)을 수신할 수 있다. 예를 들어, 프로세서(110)는 트랜스시버(160)를 통해 입력 장치(예를 들어, 키보드가 있는 컴퓨터)에 통신 가능하게 연결될 수 있다. 사용자는 필터링 규칙(211)을 서버(100)로 전송하기 위해 입력 장치를 동작시킬 수 있으며, 필터링 규칙(211)은 사용자의 요구 사항에 따라 사용자에 의해 정의될 수 있다.
PLD(210)는 PHY(220)를 통해 서버(100)로부터 필터링 규칙(211)을 운반하는 메시지를 수신할 수 있다. 메시지를 수신한 후, TPM(212)은 메시지를 디코딩하여 메시지로부터 필터링 규칙(211)을 획득할 수 있다. TPM(212)은 공개 키에 대응하는 개인 키에 따라 메시지를 디코딩할 수 있다. 공개 키 및 개인 키는 각각 서버(100) 및 PLD(210)에 사전 저장될 수 있다.
도 6은 본 개시서의 일 실시예에 따른 단방향 전송을 위한 통신 방법의 흐름도를 도시하며, 통신 방법은 도 1에 도시된 바와 같이 통신 시스템(100)에 의해 구현될 수 있다. 단계 S601에서, 서버에 의해 프로그램 가능한 논리 장치에 필터링 규칙을 전송한다. 단계 S602에서, 상기 서버에 의해 신호를 수신하고 상기 신호로부터 데이터를 획득한다. 단계 S603에서, 상기 서버에 의해 적어도 하나의 데이터 패킷을 생성하기 위해 상기 데이터를 패킹한다. 단계 S604에서, 상기 적어도 하나의 데이터 패킷을 상기 서버에 의해 상기 프로그램 가능한 논리 장치로 전송한다. 단계 S605에서, 상기 필터링 규칙에 따라, 상기 프로그램 가능한 논리 장치에 의해 적어도 하나의 데이터 패킷을 출력할지 여부를 결정한다.
요약하면, 본 개시서는 FPGA와 같은 프로그램 가능한 논리 장치에 기초하여 보안 사이트와 비보안 사이트 사이의 단방향 전송 채널을 구현함으로써 불필요한 정보가 비-보안 사이트로 전송되는 것을 방지할 수 있다. 프로그램 가능한 논리 장치는 패킷 포맷과 관련된 필터링 규칙에 따라 보안 사이트로부터 비-보안 사이트로 전송된 데이터 패킷들을 필터링할 수 있다. 따라서, 패킷 포맷을 준수하지 않는 데이터 패킷은 단방향 전송 채널을 통해 비보안 사이트로 전송될 수 없다. 한편, 본 개시서는 하드웨어 설계 워치도그 메커니즘을 사용하여 교체되지 않을 이더넷 에이전트와 같은 소프트웨어 프로세스를 보장하는 방법을 제안한다.
본 출원의 개시된 실시예들의 상세한 설명에서 사용되는 요소, 동작 또는 지시는 명시적으로 설명되지 않는 한 본 개시서에 절대적으로 중요하거나 필수적인 것으로 해석되지 않아야 한다. 또한, 본 명세서에서 사용된 바와 같이, 부정관사 "a" 및 "an"는 하나 이상의 항목을 포함할 수 있다. 하나의 항목만 의도된 경우, "단일" 또는 비슷한 언어가 사용된다. 또한, 본 명세서에서 사용된 복수의 항목들 및/또는 복수의 항목 카테고리들의 리스팅이 뒤따르는 용어들 "임의의"는 개별적으로 또는 다른 항목들 또는 다른 항목 카테고리들과 함께 "임의의", "임의의 조합", "~ 중 여러개" 및/또는 "항목들 및/또는 항목 카테고리 중 여러개의 조합"을 포함하도록 의도된다. 또한, 본 명세서에서 사용된 바와 같이, 용어 "세트"는 0을 포함하는 임의의 수의 항목을 포함하도록 의도된다. 또한, 본 명세서에서 사용된 바와 같이, 용어 "개수"는 0을 포함하는 임의의 수를 포함하도록 의도된다.
본 발명의 범위 또는 사상을 벗어나지 않으면서 개시된 실시 예들에 대한 다양한 수정 및 변형이 이루어질 수 있음이 당업자에게 명백할 것이다. 전술한 바와 같이, 본 개시서는 수정들 및 변형들이 다음의 청구항의 청구범위 및 그 등가물 내에 있는 한 그러한 수정들 및 변형들을 포함하는 것으로 의도된다.

Claims (14)

  1. 단방향 전송을 위한 통신 시스템으로서,
    프로세서를 포함하는 서버; 및
    프로그램 가능한 논리 장치를 포함하는 단방향 링크 회로를 포함하며,
    상기 단방향 링크 회로는 서버에 통신 가능하게 연결되며,
    상기 프로세서는 :
    상기 프로그램 가능한 논리 장치에 필터링 규칙을 전송하도록 구성되고;
    신호를 수신하고 신호로부터 데이터를 획득하도록 구성되고;
    적어도 하나의 데이터 패킷을 생성하기 위해 데이터를 패킹(packing)하도록 구성되고; 그리고
    상기 적어도 하나의 데이터 패킷을 상기 프로그램 가능한 논리 장치로 전송하도록 구성되며,
    상기 프로그램 가능한 논리 장치는 :
    상기 필터링 규칙에 따라 상기 적어도 하나의 데이터 패킷을 출력할지 여부를 결정하도록 구성되는, 통신 시스템.
  2. 청구항 1에 있어서,
    상기 프로세서는 공개 키에 대응하는 메시지에 의해 상기 필터링 규칙을 상기 프로그래밍 가능한 논리 장치에 전송하며,
    상기 프로그램 가능한 논리 장치는 :
    상기 공개 키에 대응하는 개인 키에 따라 상기 메시지로부터 필터링 규칙을 획득하는 신뢰된 플랫폼 모듈을 포함하는, 통신 시스템.
  3. 청구항 1에 있어서,
    상기 서버는 :
    상기 프로세서에 연결된 제2 프로그램 가능한 논리 장치; 및
    상기 제2 프로그램 가능한 논리 장치 및 상기 프로세서에 연결된 워치도그 타이머를 더 포함하며,
    상기 워치도그 타이머는 사전 구성된 시간 기간 내에 상기 제2 프로그램 가능한 논리 장치로부터 명령을 수신하지 못하면 상기 서버를 재부팅하도록 상기 프로세서를 재설정하는, 통신 시스템.
  4. 청구항 3에 있어서,
    상기 서버는 :
    상기 프로세서에 연결된 메인 메모리; 및
    상기 프로세서에 연결된 저장 매체를 더 포함하며,
    상기 저장 매체는 커널(kernel) 프로그램을 저장하며,
    상기 프로세서는 상기 커널 프로그램을 상기 메인 메모리에 로딩하여 상기 서버를 재부팅하는, 통신 시스템.
  5. 청구항 1에 있어서,
    상기 필터링 규칙은 상기 적어도 하나의 데이터 패킷의 패킷 포맷과 연관되는, 통신 시스템.
  6. 청구항 5에 있어서,
    상기 패킷 포맷은 독점 헤더(proprietary header)를 포함하며,
    상기 독점 헤더는 :
    독점 헤더의 체크섬 및 동기화 워드(synchronization word)를 포함하며,
    상기 프로그램 가능한 논리 장치는 상기 필터링 규칙에 따라 동기화 워드와 체크섬을 점검함으로써 상기 적어도 하나의 데이터 패킷을 출력할지 여부를 결정하는, 통신 시스템.
  7. 청구항 6에 있어서,
    상기 독점 헤더는 :
    시스템 시간 스탬프, 데이터의 해시 방법, 데이터의 암호화 방법, 데이터의 전체 크기, 적어도 하나의 데이터 패킷의 데이터 크기 및 적어도 하나의 데이터 패킷의 시퀀스 번호 중 적어도 하나를 더 포함하는, 통신 시스템.
  8. 청구항 7에 있어서,
    상기 패킷 포맷은 이더넷 패킷 포맷인, 통신 시스템.
  9. 청구항 8에 있어서,
    상기 패킷 포맷은 :
    해시 방법에 대응하는 해시값 및 적어도 하나의 데이터 패킷에 대응하는 파일의 목적지 파일 이름 중 적어도 하나를 저장하는 타입-길이-값 프레임을 더 포함하는, 통신 시스템.
  10. 청구항 1에 있어서,
    상기 서버는 :
    상기 프로세서에 연결된 트랜스시버를 더 포함하며,
    상기 프로세서는 트랜스시버를 통해 필터링 규칙을 수신하는, 통신 시스템.
  11. 청구항 1에 있어서,
    상기 서버는 :
    상기 프로세서에 연결된 트랜스시버를 더 포함하며,
    상기 프로세서는 트랜스시버를 통해 상기 신호를 수신하는, 통신 시스템.
  12. 청구항 1에 있어서,
    상기 신호는 양방향 프로토콜에 대응되며,
    상기 적어도 하나의 데이터 패킷은 단방향 프로토콜에 대응되는, 통신 시스템.
  13. 청구항 1에 있어서,
    상기 통신 시스템은 :
    단방향 링크 회로에 연결된 저장 장치를 더 포함하며,
    상기 프로그램 가능한 논리 장치는 상기 적어도 하나의 데이터 패킷을 출력하지 않기로 결정한 것에 응답하여 상기 적어도 하나의 데이터 패킷을 상기 저장 장치에 전송하는, 통신 시스템.
  14. 단방향 전송을 위한 통신 방법으로서,
    서버에 의해 프로그램 가능한 논리 장치에 필터링 규칙을 전송하는 단계;
    상기 서버에 의해 신호를 수신하고 상기 신호로부터 데이터를 획득하는 단계;
    상기 서버에 의해 적어도 하나의 데이터 패킷을 생성하기 위해 상기 데이터를 패킹하는 단계;
    상기 서버에 의해 상기 적어도 하나의 데이터 패킷을 상기 프로그램 가능한 논리 장치에 전송하는 단계; 및
    상기 필터링 규칙에 따라, 상기 프로그램 가능한 논리 장치에 의해 적어도 하나의 데이터 패킷을 출력할지 여부를 결정하는 단계를 포함하는, 통신 방법.
KR1020210041462A 2020-12-18 2021-03-30 단방향 전송을 위한 통신 시스템 및 통신 방법 KR20220088266A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US202063127154P 2020-12-18 2020-12-18
US63/127,154 2020-12-18
US17/192,894 US11575652B2 (en) 2020-12-18 2021-03-05 Communication system and communication method for one-way transmission
US17/192,894 2021-03-05

Publications (1)

Publication Number Publication Date
KR20220088266A true KR20220088266A (ko) 2022-06-27

Family

ID=76137920

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210041462A KR20220088266A (ko) 2020-12-18 2021-03-30 단방향 전송을 위한 통신 시스템 및 통신 방법

Country Status (8)

Country Link
US (1) US11575652B2 (ko)
EP (1) EP4016957B1 (ko)
JP (1) JP2022097356A (ko)
KR (1) KR20220088266A (ko)
CA (1) CA3121352A1 (ko)
DE (1) DE21175846T1 (ko)
ES (1) ES2921204T3 (ko)
TW (1) TWI767673B (ko)

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5703562A (en) 1996-11-20 1997-12-30 Sandia Corporation Method for transferring data from an unsecured computer to a secured computer
US7031267B2 (en) 2000-12-21 2006-04-18 802 Systems Llc PLD-based packet filtering methods with PLD configuration data update of filtering rules
US7003775B2 (en) * 2001-08-17 2006-02-21 Hewlett-Packard Development Company, L.P. Hardware implementation of an application-level watchdog timer
JP3823089B2 (ja) * 2003-01-27 2006-09-20 インターナショナル・ビジネス・マシーンズ・コーポレーション 固定長データ検索装置、及び固定長データ検索方法、及びコンピュータプログラム、並びにコンピュータ読み取り可能な記録媒体
US8250235B2 (en) 2003-05-19 2012-08-21 Verizon Patent And Licensing Inc. Method and system for providing secure one-way transfer of data
EP2035948B1 (en) 2006-06-27 2016-04-13 Waterfall Security Solutions Ltd. Unidirectional secure links from and to a security engine
US8352450B1 (en) 2007-04-19 2013-01-08 Owl Computing Technologies, Inc. Database update through a one-way data link
US7649452B2 (en) 2007-06-29 2010-01-19 Waterfall Solutions Ltd. Protection of control networks using a one-way link
US7992209B1 (en) 2007-07-19 2011-08-02 Owl Computing Technologies, Inc. Bilateral communication using multiple one-way data links
US8250358B2 (en) 2009-04-01 2012-08-21 Raytheon Company Data diode system
US9521120B2 (en) 2009-04-23 2016-12-13 General Electric Technology Gmbh Method for securely transmitting control data from a secure network
DE102010011022A1 (de) 2010-03-11 2012-02-16 Siemens Aktiengesellschaft Verfahren zur sicheren unidirektionalen Übertragung von Signalen
US8732453B2 (en) 2010-07-19 2014-05-20 Owl Computing Technologies, Inc. Secure acknowledgment device for one-way data transfer system
US20130094619A1 (en) * 2011-10-17 2013-04-18 Qualcomm Incorporated Systems and methods for packet detection
US8893253B2 (en) 2011-11-29 2014-11-18 Bayshore Networks, Inc. Firewall apparatus, systems, and methods employing detection of application anomalies
US8646094B2 (en) 2011-12-07 2014-02-04 Owl Computing Technologies, Inc. Method and apparatus for preventing unauthorized access to information stored in a non-volatile memory
US9736121B2 (en) 2012-07-16 2017-08-15 Owl Cyber Defense Solutions, Llc File manifest filter for unidirectional transfer of files
US8776254B1 (en) 2013-01-23 2014-07-08 Owl Computing Technologies, Inc. System and method for the secure unidirectional transfer of software and software updates
US9306953B2 (en) 2013-02-19 2016-04-05 Owl Computing Technologies, Inc. System and method for secure unidirectional transfer of commands to control equipment
US9426124B2 (en) * 2013-04-08 2016-08-23 Solarflare Communications, Inc. Locked down network interface
US20150030027A1 (en) * 2013-07-26 2015-01-29 Lsi Corporation Switch Device With Device-Specified Bridge Domains
US9088558B2 (en) 2013-08-21 2015-07-21 Owl Computing Technologies, Inc. Secure one-way interface for OPC data transfer
US9444914B2 (en) * 2013-09-16 2016-09-13 Annapurna Labs Ltd. Configurable parser and a method for parsing information units
EP2849407B1 (en) 2013-09-17 2016-11-16 FIREGLASS Ltd. Method and system for prevention of malware infections
US8891546B1 (en) 2014-04-27 2014-11-18 Waterfall Security Solutions Ltd. Protocol splitter
GB201410089D0 (en) 2014-06-06 2014-07-23 Bae Systems Plc Secured network bridge
KR101593168B1 (ko) 2014-09-11 2016-02-18 한국전자통신연구원 물리적 단방향 통신 장치 및 방법
DE102014226398A1 (de) 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten
US10986000B2 (en) 2017-05-07 2021-04-20 Qualcomm Incorporated Enabling new radio cellular quality of service for non-internet protocol data sessions
ES2778848T3 (es) 2017-07-05 2020-08-12 Siemens Mobility GmbH Procedimiento y dispositivo para la transmisión unidireccional sin repercusión de datos a un servidor de aplicación remoto
DE102017217432A1 (de) 2017-09-29 2019-04-04 Siemens Mobility GmbH Konzept zum unidirektionalen Übertragen von Daten
IL268485B (en) 2018-08-13 2022-04-01 Waterfall Security Solutions Ltd Automatic security response using one-way links
US20200127974A1 (en) 2018-10-22 2020-04-23 Owl Cyber Defense Solutions, Llc Cross-domain transfer system using shared memory
US10990737B2 (en) 2019-04-23 2021-04-27 Owl Cyber Defense Solutions, Llc Secure one-way network gateway

Also Published As

Publication number Publication date
ES2921204T1 (es) 2022-08-19
US20220200961A1 (en) 2022-06-23
EP4016957A1 (en) 2022-06-22
DE21175846T1 (de) 2022-08-18
US11575652B2 (en) 2023-02-07
TWI767673B (zh) 2022-06-11
JP2022097356A (ja) 2022-06-30
CA3121352A1 (en) 2022-06-18
EP4016957B1 (en) 2023-05-10
TW202226778A (zh) 2022-07-01
ES2921204T3 (es) 2023-09-20

Similar Documents

Publication Publication Date Title
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
US11658949B2 (en) Secure publish-subscribe communication methods and apparatus
US7454785B2 (en) Proxy method and system for secure wireless administration of managed entities
KR20170117565A (ko) 시스템 계층들 간에 데이터 연산 기능을 분할하는 방법
CN107046495B (zh) 用于构建虚拟专用网络的方法、装置和系统
TW201714108A (zh) 安全防護管理方法、電腦系統以及非暫態電腦可讀取存儲媒體
WO2022257643A1 (zh) 网络传输层数据处理方法、设备及存储介质
US20190124055A1 (en) Ethernet security system and method
US20180176230A1 (en) Data packet transmission method, apparatus, and system, and node device
US20090217375A1 (en) Mobile Data Handling Device
US20220399957A1 (en) Communication system and communication method for reporting compromised state in one-way transmission
KR20220088266A (ko) 단방향 전송을 위한 통신 시스템 및 통신 방법
Schoenwaelder et al. Definition of managed objects for ipv6 over low-power wireless personal area networks (6lowpans)
US8683275B2 (en) Controlling IPSec offload enablement during hardware failures
US11496233B2 (en) Communication system and communication method for one-way transmission
KR20200060003A (ko) 센싱 데이터 전송장치, 이를 포함하는 센서 네트워크 원격 관리 시스템 및 이의 구동방법
US11689416B2 (en) Hardware device onboarding
US20230146633A1 (en) Systems and methods for secure communication between computing devices over an unsecured network
Schoenwaelder et al. RFC 7388: Definition of Managed Objects for IPv6 over Low-Power Wireless Personal Area Networks (6LoWPANs)
Zhou Internet Engineering Task Force (IETF) J. Schoenwaelder Request for Comments: 7388 A. Sehgal Category: Standards Track Jacobs University
CA2414830C (en) Proxy method and system for secure wireless administration of managed entities