KR102063270B1 - Service interworking apparatus for separated networks, apparatus and method for data control between separate networks - Google Patents

Service interworking apparatus for separated networks, apparatus and method for data control between separate networks Download PDF

Info

Publication number
KR102063270B1
KR102063270B1 KR1020170140140A KR20170140140A KR102063270B1 KR 102063270 B1 KR102063270 B1 KR 102063270B1 KR 1020170140140 A KR1020170140140 A KR 1020170140140A KR 20170140140 A KR20170140140 A KR 20170140140A KR 102063270 B1 KR102063270 B1 KR 102063270B1
Authority
KR
South Korea
Prior art keywords
internal network
data
label
network data
hmac
Prior art date
Application number
KR1020170140140A
Other languages
Korean (ko)
Other versions
KR20190046391A (en
Inventor
오윤근
안정철
강철오
심재화
원종진
박성진
오지수
윤한준
김민식
백승현
정계옥
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170140140A priority Critical patent/KR102063270B1/en
Publication of KR20190046391A publication Critical patent/KR20190046391A/en
Application granted granted Critical
Publication of KR102063270B1 publication Critical patent/KR102063270B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

분리망 간 서비스 연동 장치, 분리망 간 데이터 통제 장치 및 방법이 개시된다. 본 발명에 따른 분리망 간 데이터 통제 장치는, 서비스 연동 장치로부터 레이블이 추가된 내부망 데이터를 수신하는 내부망 데이터 수신부, 상기 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출하고, 추출된 상기 HMAC 키 정보를 이용하여 상기 내부망 데이터에 상응하는 HMAC 값을 생성하며, 생성된 상기 HMAC 값과 상기 내부망 데이터에 포함된 HMAC 값을 비교하여, 상기 HMAC 값에 대한 검증을 수행하는 레이블 검사부, 상기 HMAC 값에 대한 검증에 성공한 경우, 상기 서비스 연동 장치로부터 수신한 상기 내부망 데이터에서 상기 레이블을 제거하는 레이블 제거부, 그리고 상기 레이블이 제거된 상기 내부망 데이터를 외부망 서버로 전송하는 외부망 통신부를 포함한다. Disclosed are an interworking service interworking device and a data controlling device and method between the seperating networks. The apparatus for controlling data between separate networks according to the present invention includes an internal network data receiving unit for receiving internal network data with a label from a service interworking device, extracting HMAC key information of the internal network data with a label, and extracting the extracted network information. A label inspecting unit generating an HMAC value corresponding to the internal network data by using HMAC key information, comparing the generated HMAC value with an HMAC value included in the internal network data, and performing verification of the HMAC value; When the verification of the HMAC value is successful, a label removing unit removing the label from the internal network data received from the service companion device, and an external network transmitting the internal network data from which the label is removed to an external network server. It includes a communication unit.

Description

분리망 간 서비스 연동 장치, 분리망 간 데이터 통제 장치 및 방법{SERVICE INTERWORKING APPARATUS FOR SEPARATED NETWORKS, APPARATUS AND METHOD FOR DATA CONTROL BETWEEN SEPARATE NETWORKS}SERVICE INTERWORKING APPARATUS FOR SEPARATED NETWORKS, APPARATUS AND METHOD FOR DATA CONTROL BETWEEN SEPARATE NETWORKS}

본 발명은 분리망 간의 안전한 데이터 유통을 위하여, 데이터를 가공 및 통제하는 기술에 관한 것으로, 특히 분리망 간의 접점에 설치되어 분리망 간 연동 데이터를 통제하는 기술에 관한 것이다.The present invention relates to a technology for processing and controlling data for secure data distribution between separation networks, and more particularly, to a technology for controlling interworking data between separation networks by being installed at a contact point between the separation networks.

내부망과 외부망, 보안 등급이 상이한 네트워크는 각각의 네트워크 자원을 보호하기 위하여, 서로 분리되어 운용된다. 그리고 양단의 시스템 간 데이터 교환이 필요한 경우, 오프라인(Off-line) 방식으로 데이터를 전달하거나, 두 망간의 연동 시스템을 구성하고 관리자가 데이터에 대한 통제를 수행한 후 데이터의 전달 여부를 결정하는 방식으로 데이터를 교환하였다. 이러한 방식의 데이터 교환은, 데이터 연동의 실시간성을 보장하지 못하고, 전달 과정에서 데이터의 노출이나 오류 등이 발생할 수 있는 문제점이 있다. Networks with different security levels, internal networks and external networks, operate separately from each other to protect their network resources. And when data exchange between systems at both ends is needed, data is transferred in off-line, or the interworking system between two networks is established and the administrator decides whether to transfer data after controlling the data. Exchanged data. This type of data exchange does not guarantee real-time data interworking, and there is a problem that data may be exposed or errors may occur during the transfer process.

최근, 정보 처리의 신속성 및 효율성 증대를 위해 분리망간 데이터 연동의 필요성이 증가하고 있다. 또한, 기존 방식보다 자동화되고 안전한 데이터 연동 시스템에 대한 수요가 증가하고 있다. In recent years, the necessity of data interworking between networks is increasing to increase the speed and efficiency of information processing. In addition, there is an increasing demand for an automated and secure data interworking system than the conventional method.

그러나, 분리망간 연동이 요구되는 다양한 응용 서비스를 수용하는 연동 시스템의 개발 및 구축이 용이하지 않아, 각 사이트별로 요구되는 서비스에 특화된 보안통제 기술이 적용된 시스템이나 장비가 개발 및 운용되고 있다. However, since it is not easy to develop and build an interlocking system that accommodates various application services requiring interworking between separate networks, systems and equipments to which security control technologies specialized for services required for each site are applied are being developed and operated.

따라서, 종래 기술에 따른 보안 통제 시스템이 응용 서비스에 종속적인 단점을 개선하여 응용 서비스 독립적이며, 안전한 물리적 수준의 망 분리를 수행하고, 응용 서비스의 분리망 간 데이터 교환 시 전송되는 데이터의 가공 및 통제를 수행하는 보안 통제 기술의 개발이 필요하다. Therefore, the security control system according to the prior art improves the disadvantages dependent on the application service to perform application service independent, secure physical level network separation, and process and control the data transmitted when exchanging data between the application network's separation networks. The development of security control techniques is needed.

한국 등록 특허 제10-1489759호, 2015년 02월 06일 공고(명칭: 스토리지 장치를 이용한 파일전송 프로토콜 제어 방법)Korean Registered Patent No. 10-1489759, Feb 06, 2015 (Name: File Transfer Protocol Control Method Using Storage Device)

본 발명의 목적은 응용 서비스에 독립적이며, 안전한 물리적 수준의 망 분리를 구현하는 것이다. An object of the present invention is to implement a network separation of a secure physical level independent of the application service.

또한, 본 발명의 목적은 응용 서비스의 데이터를 통일된 통제 데이터 연동 규격에 따라 변환하여, 연동되는 응용 서비스별로 각각의 보안 통제장비를 구축해야 하는 문제점을 해결하는 것이다. In addition, an object of the present invention is to solve the problem of converting the data of the application service in accordance with the unified control data interworking standard, to establish the respective security control equipment for each application service to be linked.

또한, 본 발명의 목적은 응용 서비스의 분리망 간 데이터 교환 시, 전송되는 데이터의 가공 및 통제를 수행하는 보안 통제를 수행하는 것이다. In addition, an object of the present invention is to perform a security control that performs the processing and control of the transmitted data when data exchange between the separation network of the application service.

또한, 본 발명의 목적은 통제 데이터 연동 규격에 따른 데이터인지 여부를 판단하고, 변환된 데이터의 무결성을 검증함으로써, 통제 데이터 연동 규격으로 통제 받지 않은 데이터의 분리망 통과를 방지하는 것이다. In addition, an object of the present invention is to determine whether the data according to the control data interlocking standard, and to verify the integrity of the converted data, to prevent the passage of the separation network of data not controlled by the control data interlocking standard.

또한, 본 발명의 목적은 데이터 통제의 주요 기능을 TEE 기반 CPU의 안전한 실행 영역에서 수행함으로써, 분리망 간 데이터 통제 방법의 안전성을 추가 보장하는 것이다. In addition, an object of the present invention is to further ensure the safety of the data control method between the separate networks by performing the main function of data control in the secure execution area of the TEE-based CPU.

상기한 목적을 달성하기 위한 본 발명에 따른 분리망 간 데이터 통제 장치 는 서비스 연동 장치로부터 레이블이 추가된 내부망 데이터를 수신하는 내부망 데이터 수신부, 상기 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출하고, 추출된 상기 HMAC 키 정보를 이용하여 상기 내부망 데이터에 상응하는 HMAC 값을 생성하며, 생성된 상기 HMAC 값과 상기 내부망 데이터에 포함된 HMAC 값을 비교하여, 상기 HMAC 값에 대한 검증을 수행하는 레이블 검사부, 상기 HMAC 값에 대한 검증에 성공한 경우, 상기 서비스 연동 장치로부터 수신한 상기 내부망 데이터에서 상기 레이블을 제거하는 레이블 제거부, 그리고 상기 레이블이 제거된 상기 내부망 데이터를 외부망 서버로 전송하는 외부망 통신부를 포함한다. In accordance with another aspect of the present invention, an apparatus for controlling data between divided networks according to the present invention includes an internal network data receiving unit for receiving internal network data with a label from a service interworking device, and HMAC key information of the internal network data with a label. Extract the HMAC value corresponding to the internal network data using the extracted HMAC key information, compare the generated HMAC value with the HMAC value included in the internal network data, and verify the HMAC value. A label inspecting unit which performs a verification, a label removing unit removing the label from the internal network data received from the service companion device when the verification of the HMAC value is successful, and the internal network data from which the label is removed. External network communication unit for transmitting to the server.

이때, 수신된 상기 내부망 데이터에 추가된 상기 레이블은, 상기 내부망 데이터의 페이로드에 대한 HMAC 값 및 상기 HMAC 값에 상응하는 HMAC 키 정보를 포함할 수 있다. In this case, the label added to the received internal network data may include an HMAC value for the payload of the internal network data and HMAC key information corresponding to the HMAC value.

이때, 상기 HMAC 키 정보는, 상기 내부망 데이터에 상응하는 상기 HMAC 값을 생성하기 위한 HMAC 키의 그룹 정보 및 인덱스 정보를 포함할 수 있다. In this case, the HMAC key information may include group information and index information of the HMAC key for generating the HMAC value corresponding to the internal network data.

이때, 상기 레이블 검사부는, 기 저장된 HMAC 키 값 중에서 상기 HMAC 키 정보에 상응하는 상기 HMAC 키를 검색하고, 검색된 상기 HMAC 키를 이용하여 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성할 수 있다. In this case, the label checker may search for the HMAC key corresponding to the HMAC key information among previously stored HMAC key values, and generate an HMAC value for the payload of the internal network data using the retrieved HMAC key. .

이때, 상기 레이블 검사부는, 생성된 상기 HMAC 값과 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 비교하여, 두 HMAC 값이 동일한지 여부를 판단할 수 있다. In this case, the label checker may compare the generated HMAC value with the HMAC value for the payload of the internal network data, and determine whether the two HMAC values are the same.

이때, 상기 서비스 연동 장치로부터 수신된 상기 내부망 데이터는, 신뢰된 실행 환경(Trusted Execution Environment, TEE)에서 내부망 서버의 상기 내부망 데이터에 상기 레이블이 추가된 것으로, 레이블 및 페이로드 형태일 수 있다. In this case, the internal network data received from the service interworking device is the label added to the internal network data of the internal network server in a trusted execution environment (TEE), and may be in the form of a label and payload. have.

또한, 본 발명의 일실시예에 따른 서비스 연동 장치는, 내부망 서버로부터, 외부망 서버로 전송되는 내부망 데이터를 수신하는 내부망 통신부, 상기 내부망 데이터를 분석하여, 상기 내부망 데이터가 상기 외부망 서버로의 전송이 허용된 데이터인지 여부를 판단하는 데이터 분석부, 상기 내부망 데이터가 상기 외부망 서버로의 전송이 허용된 데이터인 것으로 판단된 경우, 상기 내부망 데이터에 레이블을 추가하는 레이블 추가부, 그리고 상기 레이블이 추가된 상기 내부망 데이터를 분리망 간 데이터 통제 장치를 통하여 상기 외부망 서버로 전송하는 내부망 데이터 중계부를 포함한다. In addition, the service interworking apparatus according to an embodiment of the present invention, an internal network communication unit for receiving internal network data transmitted from the internal network server to the external network server, by analyzing the internal network data, the internal network data is the A data analyzer which determines whether the data is permitted to be transmitted to an external network server, and if it is determined that the internal network data is data that is permitted to be transmitted to the external network server, adding a label to the internal network data And a label adding unit, and an internal network data relay unit for transmitting the internal network data to which the label is added to the external network server through a data network controlling device between separate networks.

이때, 상기 레이블 추가부는, 상기 내부망 데이터의 페이로드에 대한 HMAC 값 및 상기 HMAC 값에 상응하는 HMAC 키 정보를 포함하는 상기 레이블을 추가할 수 있다. In this case, the label adding unit may add the label including the HMAC value for the payload of the internal network data and the HMAC key information corresponding to the HMAC value.

이때, 상기 HMAC 값에 상응하는 HMAC 키 정보는, 상기 분리망 간 데이터 통제 장치와 사전에 공유된 키 그룹 중에서 선택된 HMAC 키의 정보를 의미하고, 상기 레이블 추가부는, 선택된 상기 HMAC 키를 이용하여 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성할 수 있다. In this case, the HMAC key information corresponding to the HMAC value means information of the HMAC key selected from the key group previously shared with the data control device between the network, and the label adder is configured to use the selected HMAC key. It is possible to generate an HMAC value for the payload of the internal network data.

이때, 상기 레이블 추가부는, 응용 서비스의 데이터인 상기 내부망 데이터에 상기 레이블을 추가하여, 상기 내부망 데이터를 레이블 및 페이로드의 조합 형태로 규격화할 수 있다. In this case, the label adding unit may add the label to the internal network data which is data of an application service, and standardize the internal network data into a combination of a label and a payload.

이때, 상기 분리망 간 데이터 통제 장치는, 상기 레이블에 포함된 상기 내부망 데이터의 페이로드에 대한 HMAC 값과 상기 분리망 간 데이터 통제 장치가 상기 HMAC 키 정보를 이용하여 생성한 HMAC 값을 비교하여, 상기 내부망 데이터를 상기 외부망 서버로 전송할지 여부를 결정할 수 있다. In this case, the apparatus for controlling data between the divided networks may compare the HMAC value for the payload of the internal network data included in the label with the HMAC value generated by the apparatus for controlling data between the divided networks using the HMAC key information. It may be determined whether to transmit the internal network data to the external network server.

이때, 상기 레이블에 포함된 HMAC 키 정보는 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하기 위한 HMAC 키 정보로, HMAC 키의 그룹 정보 및 인덱스 정보를 포함할 수 있다. In this case, the HMAC key information included in the label is HMAC key information for generating an HMAC value for the payload of the internal network data, and may include group information and index information of the HMAC key.

또한, 본 발명의 일실시예에 따른 분리망 간 데이터 통제 장치에 의해 수행되는 분리망 간 데이터 통제 방법은 서비스 연동 장치로부터 레이블이 추가된 내부망 데이터를 수신하는 단계, 상기 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출하는 단계, 추출된 상기 HMAC 키 정보를 이용하여 상기 내부망 데이터에 상응하는 HMAC 값을 생성하는 단계, 생성된 상기 HMAC 값과 상기 내부망 데이터에 포함된 HMAC 값을 비교하여, 상기 HMAC 값에 대한 검증을 수행하는 단계, 상기 HMAC 값에 대한 검증에 성공한 경우, 상기 서비스 연동 장치로부터 수신한 상기 내부망 데이터에서 상기 레이블을 제거하는 단계, 그리고 상기 레이블이 제거된 상기 내부망 데이터를 외부망 서버로 전송하는 단계를 포함한다. In addition, the method for controlling data between networks performed by the apparatus for controlling data between networks according to an embodiment of the present invention, the method comprising: receiving internal network data with a label added from a service interworking device; Extracting the HMAC key information of the data, generating an HMAC value corresponding to the internal network data using the extracted HMAC key information, comparing the generated HMAC value with the HMAC value included in the internal network data Performing the verification of the HMAC value, if the verification of the HMAC value is successful, removing the label from the internal network data received from the service companion device, and removing the label from the internal network data. Transmitting network data to an external network server.

이때, 수신된 상기 내부망 데이터에 추가된 상기 레이블은, 상기 내부망 데이터의 페이로드에 대한 HMAC 값 및 상기 HMAC 값에 상응하는 HMAC 키 정보를 포함할 수 있다. In this case, the label added to the received internal network data may include an HMAC value for the payload of the internal network data and HMAC key information corresponding to the HMAC value.

이때, 상기 HMAC 키 정보는, 상기 내부망 데이터에 상응하는 상기 HMAC 값을 생성하기 위한 HMAC 키의 그룹 정보 및 인덱스 정보를 포함할 수 있다. In this case, the HMAC key information may include group information and index information of the HMAC key for generating the HMAC value corresponding to the internal network data.

이때, 상기 내부망 데이터에 상응하는 HMAC 값을 생성하는 단계는, 기 저장된 HMAC 키 값 중에서 상기 HMAC 키 정보에 상응하는 상기 HMAC 키를 검색하는 단계, 그리고 검색된 상기 HMAC 키를 이용하여, 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하는 단계를 포함할 수 있다. The generating of the HMAC value corresponding to the internal network data may include retrieving the HMAC key corresponding to the HMAC key information from previously stored HMAC key values, and using the retrieved HMAC key. Generating an HMAC value for the payload of the data.

이때, 상기 HMAC 값에 대한 검증을 수행하는 단계는, 생성된 상기 HMAC 값과 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 비교하여, 두 HMAC 값이 동일한지 여부를 판단할 수 있다. In this case, the verifying of the HMAC value may include determining whether the two HMAC values are the same by comparing the generated HMAC value with the HMAC value for the payload of the internal network data.

이때, 상기 서비스 연동 장치로부터 수신된 상기 내부망 데이터는, 신뢰된 실행 환경(Trusted Execution Environment, TEE)에서 내부망 서버의 상기 내부망 데이터에 상기 레이블이 추가된 것으로, 레이블 및 페이로드 형태일 수 있다. In this case, the internal network data received from the service interworking device is the label added to the internal network data of the internal network server in a trusted execution environment (TEE), and may be in the form of a label and payload. have.

이때, 추출된 상기 HMAC 키 정보는, 상기 서비스 연동 장치가, 상기 분리망 간 데이터 통제 장치와 사전에 공유된 키 그룹 중에서 선택한 HMAC 키의 정보이고, 상기 내부망 데이터에 포함된 HMAC 값은, 상기 서비스 연동 장치가, 선택한 상기 HMAC 키를 이용하여 상기 내부망 데이터의 페이로드에 대해 생성한 HMAC 값일 수 있다. In this case, the extracted HMAC key information, the service companion device is information of the HMAC key selected from the key group previously shared with the data control device between the network, the HMAC value included in the internal network data, The service companion device may be an HMAC value generated for the payload of the internal network data by using the selected HMAC key.

이때, 상기 서비스 연동 장치로부터 수신된 상기 레이블이 추가된 내부망 데이터는, 내부망 서버의 응용 서비스 데이터 중에서, 상기 서비스 연동 장치에 의해 상기 외부망 서버로의 전송이 인가된 것으로 판단된 것일 수 있다. In this case, the internal network data to which the label is added received from the service companion device may be determined to have been transmitted from the application service data of the internal network server to the external network server by the service companion device. .

본 발명에 따르면, 응용 서비스에 독립적이며, 안전한 물리적 수준의 망 분리를 구현할 수 있다. According to the present invention, it is possible to implement network separation of a secure physical level independent of an application service.

또한 본 발명에 따르면, 응용 서비스의 데이터를 통일된 통제 데이터 연동 규격에 따라 변환하여, 연동되는 응용 서비스별로 각각의 보안 통제장비를 구축해야 하는 문제점을 해결할 수 있다. In addition, according to the present invention, by converting the data of the application service according to the unified control data interworking standard, it is possible to solve the problem of building each security control equipment for each application service to be linked.

또한 본 발명에 따르면, 응용 서비스의 분리망 간 데이터 교환 시, 전송되는 데이터의 가공 및 통제를 수행하는 보안 통제를 수행할 수 있다. In addition, according to the present invention, when the data exchange between the separation network of the application service, it is possible to perform a security control for processing and controlling the transmitted data.

또한 본 발명에 따르면, 통제 데이터 연동 규격에 따른 데이터인지 여부를 판단하고, 변환된 데이터의 무결성을 검증함으로써, 통제 데이터 연동 규격으로 통제 받지 않은 데이터의 분리망 통과를 방지할 수 있다. In addition, according to the present invention, by determining whether the data according to the control data interlocking standard, and verifying the integrity of the converted data, it is possible to prevent the passage of the separation network of data not controlled by the control data interlocking standard.

또한 본 발명에 따르면, 데이터 통제의 주요 기능을 TEE 기반 CPU의 안전한 실행 영역에서 수행함으로써, 분리망 간 데이터 통제 방법의 안전성을 추가 보장할 수 있다. In addition, according to the present invention, by performing the main function of the data control in the secure execution area of the TEE-based CPU, it is possible to further ensure the safety of the data control method between the separate networks.

도 1은 본 발명의 일실시예에 따른 분리망 간 데이터 통제 시스템이 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 분리망 간 서비스 연동 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 분리망 간 데이터 통제 장치의 구성을 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 분리망 간 데이터 통제 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 일실시예에 따른 분리망 간 데이터 통제 시스템의 데이터 통제 과정의 흐름을 설명하기 위한 순서도이다.
도 6은 본 발명의 일실시예에 따른 내부망 서버의 데이터를 나타낸 예시도이다.
도 7은 본 발명의 일실시예에 따른 레이블이 추가된 내부망 데이터를 나타낸 예시도이다.
도 8은 본 발명의 일실시예에 따른 외부망 서버로 전송되는 내부망 데이터를 나타낸 예시도이다.
도 9는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.1 is a diagram schematically showing an environment to which a data control system between separate networks is applied according to an embodiment of the present invention.
2 is a block diagram showing the configuration of a service interworking device between separate networks according to an embodiment of the present invention.
3 is a block diagram showing the configuration of an apparatus for controlling data between separate networks according to an embodiment of the present invention.
4 is a flowchart illustrating a method for controlling data between divided networks according to an embodiment of the present invention.
5 is a flowchart illustrating a data control process of a data control system between separate networks according to an embodiment of the present invention.
6 is an exemplary view showing data of an internal network server according to an embodiment of the present invention.
7 is an exemplary diagram illustrating internal network data to which a label is added according to an embodiment of the present invention.
8 is an exemplary diagram illustrating internal network data transmitted to an external network server according to an embodiment of the present invention.
9 is a block diagram illustrating a computer system according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.As the inventive concept allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, with reference to the accompanying drawings, it will be described in detail a preferred embodiment of the present invention. In the following description of the present invention, the same reference numerals are used for the same elements in the drawings and redundant descriptions of the same elements will be omitted.

도 1은 본 발명의 일실시예에 따른 분리망 간 데이터 통제 시스템이 적용되는 환경을 개략적으로 나타낸 도면이다. 1 is a diagram schematically showing an environment to which a data control system between separate networks is applied according to an embodiment of the present invention.

도 1에 도시한 바와 같이, 분리망 간 데이터 통제 시스템은 내부망 서버(100), 서비스 연동 장치(200), 분리망 간 데이터 통제 장치(300) 및 외부망 서버(400)를 포함한다. As shown in FIG. 1, the data network control system between the divided networks includes an internal network server 100, a service interworking device 200, a data control device 300 between the separated networks, and an external network server 400.

그리고 도 1과 같이, 분리망 간 안전한 데이터의 전송을 위하여, 내부망 서버(100)는 서비스 연동 장치(200) 및 분리망 간 데이터 통제 장치(300)를 통하여 외부망 서버(400)와 연동될 수 있다. 즉, 내부망 서버(100)에서 외부망 서버(400)로의 연동 프로토콜 및 데이터는, 반드시 서비스 연동 장치(200) 및 분리망 간 데이터 통제 장치(300)를 통하여 처리 및 전송될 수 있다. In addition, as shown in FIG. 1, the internal network server 100 may be linked with the external network server 400 through the service interworking device 200 and the data control device 300 between the separate networks in order to securely transmit data between the separate networks. Can be. That is, the interworking protocol and data from the internal network server 100 to the external network server 400 may be processed and transmitted through the service interworking device 200 and the data control device 300 between the separate networks.

내부망 서버(100)와 외부망 서버(400)의 응용 서비스 연동이 요구되는 경우, 서비스 연동 장치(200) 및 분리망 간 데이터 통제 장치(300)는 분리망 간 접점에 설치되어, 망 분리 및 응용 서비스간 데이터 공유를 수행하며, 이를 통하여 분리망 간 연동 데이터를 통제할 수 있다. When the application service interworking between the internal network server 100 and the external network server 400 is required, the service interworking device 200 and the data control device 300 between the separation network are installed at the contact point between the separation network, network separation and Data sharing is performed between application services, and through this, interworking data between controlled networks can be controlled.

특히, 서비스 연동 장치(200)는 내부망 서버(100)로부터 수신한 내부망 데이터에 대한 검사를 수행하고, 내부망 데이터에 레이블을 추가하여 분리망 간 데이터 통제 장치(300)로 전송한다. In particular, the service interworking device 200 performs an inspection on the internal network data received from the internal network server 100, adds a label to the internal network data, and transmits the label to the data control device 300 between the separate networks.

그리고 분리망 간 데이터 통제 장치(300)는 수신된 내부망 데이터의 레이블을 검사하고, 레이블 검사에 성공한 경우 수신된 내부망 데이터에서 레이블을 제거하여 외부망 서버(400)로 전송한다. The apparatus 300 for controlling data between the separate networks checks the label of the received internal network data and, if the label test is successful, removes the label from the received internal network data and transmits the label to the external network server 400.

여기서, 분리망 간 데이터 통제 장치(300)는 내부망 운용 소프트웨어, 내부망 하드웨어 통제 모듈, 외부망 하드웨어 통제 모듈 및 외부망 운용 소프트웨어로 구성될 수 있다. In this case, the separation network data control device 300 may be composed of an internal network operation software, an internal network hardware control module, an external network hardware control module and an external network operation software.

그리고 내부망 데이터를 수신한 분리망 간 데이터 통제 장치(300)는 내부망 운용 소프트웨어의 레이블 프로토콜 관리 모듈을 통해 레이블 프로토콜 중계 및 세션 관리를 수행할 수 있다. 그리고 내부망 운용 소프트웨어는 하드웨어 통제 모듈 전송 모듈을 통해 내부망 하드웨어 통제 모듈로 내부망 데이터를 전송할 수 있다.In addition, the apparatus 300 for controlling data between the separated networks receiving the internal network data may perform label protocol relay and session management through a label protocol management module of the internal network operating software. And the internal network operation software can transmit the internal network data to the internal network hardware control module through the hardware control module transmission module.

특히, 분리망 간 데이터 통제 장치(300)의 내부망 하드웨어 통제 모듈이 내부망 데이터를 수신한 경우, 내부망 하드웨어 통제 모듈은 레이블의 HMAC 키 정보를 이용하여 내부망 하드웨어 통제 모듈에 저장된 HMAC 키를 검색할 수 있다. 그리고 내부망 하드웨어 통제 모듈은 검색된 HMAC 키를 이용하여 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하고, 생성된 HMAC 값과 내부망 데이터의 레이블에 포함된 HMAC 값을 비교할 수 있다.In particular, when the internal network hardware control module of the inter-network data control device 300 receives the internal network data, the internal network hardware control module uses the HMAC key information of the label to store the HMAC key stored in the internal network hardware control module. You can search. The internal network hardware control module may generate an HMAC value for the payload of the internal network data using the retrieved HMAC key, and compare the generated HMAC value with the HMAC value included in the label of the internal network data.

HMAC 값의 비교 결과 두 HMAC 값이 동일한 것으로 판단된 경우, 분리망 간 데이터 통제 장치(300)의 내부망 하드웨어 통제 모듈은 레이블이 제거된 내부망 데이터를 외부망 하드웨어 통제 모듈로 전송하고, 외부망 하드웨어 통제 모듈은 레이블이 제거된 내부망 데이터를 외부망 운용 소프트웨어로 전송할 수 있다. If it is determined that the two HMAC values are the same as a result of the comparison of the HMAC values, the internal network hardware control module of the data control device 300 between the separate networks transmits the unlabeled internal network data to the external network hardware control module, and the external network. The hardware control module can send unlabeled internal network data to external network operating software.

이때, 내부망 하드웨어 통제 모듈과 외부망 하드웨어 통제 모듈은 광 모듈로 연결되어, 고속으로 분리망 간 데이터를 전송할 수 있다. 그리고 외부망 운용 소프트웨어는 수신한 내부망 데이터를 외부망 서버(400)로 전송하며, 외부망 서버(400)와의 TCP 세션 관리를 수행할 수 있다.At this time, the internal network hardware control module and the external network hardware control module is connected to the optical module, it is possible to transmit data between the separation network at high speed. In addition, the external network operation software may transmit the received internal network data to the external network server 400, and perform TCP session management with the external network server 400.

이하에서는 도 2 및 도 3을 통하여 본 발명의 일실시예에 따른 분리망 간 서비스 연동 장치 및 분리망 간 데이터 통제 장치의 구성에 대하여 더욱 상세하게 설명한다. Hereinafter, the configuration of the service interworking device between the separate networks and the data control device between the separate networks according to an embodiment of the present invention will be described in more detail with reference to FIGS. 2 and 3.

도 2는 본 발명의 일실시예에 따른 분리망 간 서비스 연동 장치의 구성을 나타낸 블록도이다. 2 is a block diagram showing the configuration of a service interworking device between separate networks according to an embodiment of the present invention.

도 2와 같이, 서비스 연동 장치(200)는 내부망 통신부(210), 데이터 분석부(220), 레이블 추가부(230) 및 내부망 데이터 중계부(240)를 포함한다. As shown in FIG. 2, the service interworking apparatus 200 includes an internal network communication unit 210, a data analyzer 220, a label adder 230, and an internal network data relay 240.

먼저, 내부망 통신부(210)는 내부망 서버(100)로부터 외부망 서버(400)로 전송할 내부망 데이터를 수신한다. First, the internal network communication unit 210 receives internal network data to be transmitted from the internal network server 100 to the external network server 400.

내부망 통신부(210)는 내부망과 외부망으로 분리된 분리망 간에 응용 서비스의 연동이 요구되는 환경에서, 내부망 서버(100)가 외부망 서버(400)로 전송하는 응용 프로토콜 및 내부망 데이터를 수신한다. The internal network communication unit 210 is an application protocol and internal network data transmitted by the internal network server 100 to the external network server 400 in an environment where application service interworking is required between a separate network separated into an internal network and an external network. Receive

그리고 내부망 통신부(210)는 내부망 서버(100)가 전송하는 프로토콜이나 서비스의 중계 및 분석을 수행할 수 있다. 데이터 분석부(220)는 내부망 데이터를 분석하여, 내부망 데이터가 외부망 서버(400)로의 전송이 허용된 데이터인지 여부를 판단한다. 이때, 데이터 분석부(220)는 내부망 데이터가 통제 데이터 연동 규격을 따른 데이터인지 여부를 판단할 수 있다. In addition, the internal network communication unit 210 may perform relaying and analysis of a protocol or service transmitted by the internal network server 100. The data analyzer 220 analyzes the internal network data to determine whether the internal network data is data that is allowed to be transmitted to the external network server 400. In this case, the data analyzer 220 may determine whether the internal network data is data according to a control data interworking standard.

데이터 분석 결과, 내부망 데이터가 외부망 서버(400)로의 전송이 허용되지 않은 데이터인 것으로 판단된 경우, 서비스 연동 장치(200)는 내부망 데이터를 분리망 간 데이터 통제 장치(300)로 전송하지 않을 수 있다. As a result of data analysis, when it is determined that the internal network data is data that is not allowed to be transmitted to the external network server 400, the service interworking device 200 does not transmit the internal network data to the data control device 300 between the separate networks. You may not.

다음으로, 레이블 추가부(230)는 내부망 데이터가 외부망 서버(400)로의 전송이 허용된 데이터인 것으로 판단된 경우, 검사가 완료된 내부망 데이터에 레이블을 추가한다. 여기서, 레이블 추가부(230)는 신뢰된 실행 환경(Trusted Execution Environment, TEE)에서 내부망 데이터에 레이블을 추가할 수 있다. Next, when it is determined that the internal network data is data that is allowed to be transmitted to the external network server 400, the label adding unit 230 adds a label to the internal network data that has been inspected. Here, the label adding unit 230 may add a label to the internal network data in a trusted execution environment (TEE).

레이블 추가부(230)는 내부망 데이터의 페이로드에 대한 HMAC 값 및 HMAC 값에 상응하는 HMAC 키 정보를 포함하는 레이블을 내부망 데이터에 추가할 수 있다. 여기서, HMAC 값은 HMAC 키를 이용하여 내부망 데이터의 페이로드(payload)에 대해 생성한 HMAC 값을 의미한다. The label adding unit 230 may add a label including the HMAC value for the payload of the internal network data and the HMAC key information corresponding to the HMAC value to the internal network data. Here, the HMAC value means an HMAC value generated for the payload of the internal network data using the HMAC key.

그리고 HMAC 키 정보는 레이블에 포함된 HMAC 값의 생성에 활용된 HMAC 키의 정보를 의미한다. HMAC 키 정보는 서비스 연동 장치(200)와 분리망 간 데이터 통제 장치(300)에 사전에 공유된 키 그룹 중에서 선택된 HMAC 키의 정보를 의미하며, HMAC 키의 그룹 정보 및 인덱스 정보를 포함할 수 있다. The HMAC key information means information on the HMAC key used to generate the HMAC value included in the label. The HMAC key information refers to information on an HMAC key selected from a group of keys previously shared between the service interworking device 200 and the data control device 300 between the separation network, and may include group information and index information of the HMAC key. .

즉, 레이블 추가부(230)는 분리망 간 데이터 통제 장치(300)와 사전에 공유한 HMAC 키 그룹 중에서 하나의 HMAC 키를 선택하고, 선택된 HMAC 키를 이용하여 내부망 데이터의 페이로드에 대한 HMAC 값을 생성한다. 그리고 레이블 추가부(230)는 HMAC 값의 생성에 사용된 HMAC 키의 정보 및 페이로드에 대한 HMAC 값을 포함하는 레이블을 내부망 데이터에 추가한다. That is, the label adding unit 230 selects one HMAC key from the HMAC key group previously shared with the data control device 300 between the separate networks, and uses the selected HMAC key to HMAC the payload of the internal network data. Create a value. The label adding unit 230 adds a label including the information of the HMAC key used to generate the HMAC value and the HMAC value for the payload to the internal network data.

또한, 레이블 추가부(230)는 응용 서비스인 데이터인 내부망 데이터에 레이블을 추가하여, 내부망 데이터를 레이블 및 페이로드의 조합 형태로 규격화할 수 있다. 그리고 레이블 추가 시 사용되는 알고리즘 및 HMAC 키의 정보는 CPU 내의 안전한 메모리 영역에서 보호 및 실행될 수 있다. In addition, the label adding unit 230 may add a label to the internal network data, which is data that is an application service, and standardize the internal network data into a combination of a label and a payload. And the information of the algorithm and HMAC key used for label addition can be protected and executed in a secure memory area in the CPU.

마지막으로, 내부망 데이터 중계부(240)는 레이블이 추가된 내부망 데이터를 분리망 간 데이터 통제 장치(300)를 통하여 외부망 서버(400)로 전송한다. Finally, the internal network data relay unit 240 transmits the internal network data to which the label is added to the external network server 400 through the inter-network data control device 300.

도 3은 본 발명의 일실시예에 따른 분리망 간 데이터 통제 장치의 구성을 나타낸 블록도이다. 3 is a block diagram showing the configuration of an apparatus for controlling data between separate networks according to an embodiment of the present invention.

도 3에 도시한 바와 같이, 분리망 간 데이터 통제 장치(300)는 내부망 데이터 수신부(310), 레이블 검사부(320), 레이블 제거부(330) 및 외부망 통신부(340)를 포함한다. As shown in FIG. 3, the apparatus for controlling data between the separate networks 300 includes an internal network data receiver 310, a label inspector 320, a label remover 330, and an external network communicator 340.

내부망 데이터 수신부(310)는 서비스 연동 장치(200)로부터 내부망 서버(100)의 내부망 데이터를 수신한다. 여기서, 내부망 데이터 수신부(310)가 수신한 내부망 데이터는 서비스 연동 장치(200)에 의해 레이블이 추가된 형태이다. The internal network data receiver 310 receives the internal network data of the internal network server 100 from the service companion device 200. Here, the internal network data received by the internal network data receiver 310 is in the form of a label is added by the service companion device (200).

레이블 검사부(320)는 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출한다. 그리고 레이블 검사부(320)는 추출된 HMAC 키 정보를 이용하여, 내부망 데이터에 상응하는 HMAC 값을 생성한다. 이때, 레이블 검사부(320)는 기 저장된 HMAC 키 값들 중에서 레이블의 HMAC 키 정보에 상응하는 HMAC 키를 검색한다. 그리고 레이블 검사부(320)는 검색된 HMAC 키를 이용하여 내부망 데이터의 페이로드에 대한 HMAC 값을 생성할 수 있다. The label inspecting unit 320 extracts the HMAC key information of the internal network data to which the label is added. The label inspecting unit 320 generates the HMAC value corresponding to the internal network data by using the extracted HMAC key information. At this time, the label inspecting unit 320 searches for the HMAC key corresponding to the HMAC key information of the label among the previously stored HMAC key values. The label inspecting unit 320 may generate an HMAC value for the payload of the internal network data using the retrieved HMAC key.

HMAC 값을 생성한 레이블 검사부(320)는 생성한 HMAC 값과 내부망 데이터의 레이블에 포함된 HMAC 값을 비교하여, HMAC 값에 대한 검증을 수행한다. 설명의 편의를 위하여, 레이블에 포함된 HMAC 값을 제1 HMAC 값이라 명명하고, 레이블 검사부(320)가 생성한 HMAC 값을 제2 HMAC 값이라 명명한다. The label inspecting unit 320 generating the HMAC value compares the generated HMAC value with the HMAC value included in the label of the internal network data, and verifies the HMAC value. For convenience of description, the HMAC value included in the label is called a first HMAC value, and the HMAC value generated by the label check unit 320 is called a second HMAC value.

제1 HMAC 값과 제2 HMAC 값을 비교한 결과, 제1 HMAC 값과 제2 HMAC 값이 동일한 경우, 레이블 검사부(320)는 레이블 검증에 성공한 것으로 판단할 수 있다. 반면, 제1 HMAC 값과 제2 HMAC 값이 상이한 경우 레이블 검사부(320)는 레이블 검증에 실패한 것으로 판단하고, 분리망 간 데이터 통제 과정의 수행을 종료할 수 있다. As a result of comparing the first HMAC value and the second HMAC value, when the first HMAC value and the second HMAC value are the same, the label inspecting unit 320 may determine that the label verification is successful. On the other hand, if the first HMAC value and the second HMAC value is different, the label inspecting unit 320 may determine that the label verification has failed, and may terminate the performance of the data control process between the separate networks.

다음으로 레이블 제거부(330)는 HMAC 값에 대한 검증에 성공한 경우, 서비스 연동 장치(200)로부터 수신한 내부망 데이터에서 레이블을 제거한다. 그리고 외부망 통신부(340)는 레이블이 제거된 내부망 데이터를 외부망 서버(400)로 전송하여, 내부망 서버(100)의 데이터를 외부망 서버(400)로 중계한다. Next, when the verification of the HMAC value is successful, the label removing unit 330 removes the label from the internal network data received from the service companion device 200. In addition, the external network communication unit 340 transmits the internal network data from which the label is removed to the external network server 400, and relays the data of the internal network server 100 to the external network server 400.

이하에서는 도 4를 통하여, 본 발명의 일실시예에 따른 분리망 간 데이터 통제 장치에 의해 수행되는 분리망 간 데이터 통제 방법에 대하여 더욱 상세하게 설명한다.Hereinafter, a method of controlling data between divided networks performed by the apparatus for controlling data between divided networks according to an embodiment of the present invention will be described in more detail with reference to FIG. 4.

도 4는 본 발명의 일실시예에 따른 분리망 간 데이터 통제 방법을 설명하기 위한 순서도이다.4 is a flowchart illustrating a method for controlling data between divided networks according to an embodiment of the present invention.

먼저, 분리망 간 데이터 통제 장치(300)는 서비스 연동 장치(200)로부터 레이블이 추가된 내부망 데이터를 수신한다(S410).First, the data control device 300 between the separate networks receives the internal network data to which the label is added from the service companion device 200 (S410).

분리망 간 데이터 통제 장치(300)는 서비스 연동 장치(200)로부터, 내부망 서버(100)의 내부망 데이터를 수신한다. 이때, 수신된 데이터는 서비스 연동 장치(200)에 의해 외부망 서버(400)로의 전송이 허용된 것으로 판단된 데이터로, 내부망 서버(100)의 데이터에 레이블이 추가된 형태일 수 있다. The inter-network data control device 300 receives the internal network data of the internal network server 100 from the service interworking device 200. In this case, the received data is data determined to be allowed to be transmitted to the external network server 400 by the service companion device 200, and a label may be added to the data of the internal network server 100.

그리고 내부망 데이터에 추가된 레이블은 내부망 데이터의 페이로드에 대한 HMAC 값 및 HMAC 값에 상응하는 HMAC 키 정보를 포함할 수 있으며, S410 단계에서 수신된 내부망 데이터는 레이블 및 페이로드의 형태일 수 있다. The label added to the internal network data may include the HMAC value for the payload of the internal network data and the HMAC key information corresponding to the HMAC value, and the internal network data received in step S410 may be in the form of a label and payload. Can be.

다음으로 분리망 간 데이터 통제 장치(300)는 내부망 데이터의 HMAC 키 정보를 추출한다(S420). Next, the apparatus 300 for controlling data between the separate networks extracts HMAC key information of the internal network data (S420).

분리망 간 데이터 통제 장치(300)는 수신된 내부망 데이터의 레이블로부터, HMAC 키 정보를 추출한다. 여기서, 레이블에 포함된 HMAC 키 정보는 HMAC 키의 그룹 정보 및 인덱스 정보를 포함할 수 있다. The inter-network data control device 300 extracts HMAC key information from the label of the received internal network data. Here, the HMAC key information included in the label may include group information and index information of the HMAC key.

그리고 분리망 간 데이터 통제 장치(300)는 기 저장된 HMAC 키 그룹 중에서 추출된 HMAC 키 정보에 상응하는 HMAC 키를 검색한다. 여기서, 기 저장된 HMAC 키 그룹은 분리망 간 데이터 통제 장치(300)와 서비스 연동 장치(200)가 사전에 공유한 것으로, 분리망 간 데이터 통제 장치(300)는 HMAC 키 정보의 그룹 정보 및 인덱스 정보를 기반으로 HMAC 키를 검색할 수 있다. The apparatus 300 for controlling data between the separation networks searches for the HMAC key corresponding to the extracted HMAC key information among the previously stored HMAC key groups. Here, the pre-stored HMAC key group is shared in advance by the data control device 300 and the service interworking device 200 between the divided networks, and the data control device 300 between the divided networks includes group information and index information of the HMAC key information. You can retrieve the HMAC key based on.

그리고 분리망 간 데이터 통제 장치(300)는 내부망 데이터에 상응하는 HMAC 값을 생성하고(S430), 생성한 HMAC 값과 내부망 데이터의 HMAC 값을 비교한다(S440).The apparatus 300 for controlling data between the separate networks generates an HMAC value corresponding to the internal network data (S430), and compares the generated HMAC value with the HMAC value of the internal network data (S440).

분리망 간 데이터 통제 장치(300)는 S420 단계에서 검색된 HMAC 키를 이용하여 내부망 데이터의 페이로드에 대한 HMAC 값을 생성한다. 그리고 분리망 간 데이터 통제 장치(300)는 S430 단계에서 생성한 HMAC 값과 S410 단계에서 수신한 내부망 데이터의 레이블에 포함된 HMAC 값을 비교한다. The inter-network data control device 300 generates the HMAC value for the payload of the internal network data by using the HMAC key retrieved in step S420. The apparatus 300 for controlling data between the separate networks compares the HMAC value generated in step S430 with the HMAC value included in the label of the internal network data received in step S410.

HMAC 값의 비교 결과 두 HMAC 값이 상이한 경우, 분리망 간 데이터 통제 장치(300)는 내부망 데이터의 처리를 중단하고, 사용자에게 내부망 데이터의 검증 결과를 알릴 수 있다. As a result of comparing the HMAC values, when the two HMAC values are different, the data control device 300 between the separate networks may stop processing of the internal network data and notify the user of the verification result of the internal network data.

반면, HMAC 값의 비교 결과, 두 HMAC 값이 동일한 것으로 판단된 경우 분리망 간 데이터 통제 장치(300)는 내부망 데이터에서 레이블을 제거한다(S450).On the contrary, when it is determined that the two HMAC values are the same as a result of the comparison of the HMAC values, the data control device 300 between the separated networks removes the label from the internal network data (S450).

생성한 HMAC 값과 레이블에 포함된 HMAC 값이 동일한 경우, 분리망 간 데이터 통제 장치(300)는 수신된 내부망 데이터에서 레이블을 제거할 수 있다. When the generated HMAC value and the HMAC value included in the label are the same, the network controller 300 may remove the label from the received internal network data.

마지막으로, 분리망 간 데이터 통제 장치(300)는 레이블이 제거된 내부망 데이터를 외부망 서버(400)로 전송한다(S460). Finally, the separation network data control device 300 transmits the internal network data from which the label is removed to the external network server 400 (S460).

여기서, 레이블이 제거된 내부망 데이터는 내부망 서버(100)가 외부망 서버(400)로 전송하기 위하여 서비스 연동 장치(200)로 전송한 데이터와 동일한 것으로, 분리망 간 데이터 통제 장치(300)는 레이블이 제거된 내부망 데이터를 외부망 서버(400)로 전송함으로써, 내부망 서버(100)가 외부망 서버(400)로 전송하고자 하는 데이터를 중계할 수 있다. Here, the internal network data from which the label is removed is the same as the data transmitted to the service interworking device 200 by the internal network server 100 to transmit to the external network server 400, and the data control device 300 between the separated networks. By transmitting the label-free internal network data to the external network server 400, the internal network server 100 may relay the data to be transmitted to the external network server 400.

이하에서는 도 5 내지 도 8을 통하여 본 발명의 일 실시예에 따른 분리망 간 데이터 통제 시스템의 데이터 통제 과정에 대하여 더욱 상세하게 설명한다. Hereinafter, the data control process of the data control system between networks according to an embodiment of the present invention will be described in more detail with reference to FIGS. 5 to 8.

도 5는 본 발명의 일실시예에 따른 분리망 간 데이터 통제 시스템의 데이터 통제 과정의 흐름을 설명하기 위한 순서도이다. 5 is a flowchart illustrating a data control process of a data control system between separate networks according to an embodiment of the present invention.

먼저, 내부망 서버(100)는 서비스 연동 장치(200)로 내부망 데이터를 전송한다(S510). First, the internal network server 100 transmits internal network data to the service companion device 200 (S510).

도 6은 본 발명의 일실시예에 따른 내부망 서버의 데이터를 나타낸 예시도이다.6 is an exemplary view showing data of an internal network server according to an embodiment of the present invention.

도 6에 도시한 바와 같이, 내부망 서버(100)는 외부망 서버(400)와의 응용 서비스 연동을 위하여, 외부망 서버(400)로 전송하고자 하는 데이터(내부망 데이터)(10)를 분리망 간 접점에 설치된 서비스 연동 장치(200)로 전송할 수 있다. As shown in FIG. 6, the internal network server 100 separates data (internal network data) 10 to be transmitted to the external network server 400 for interworking an application service with the external network server 400. It may be transmitted to the service interworking device 200 installed at the contact point.

그리고 서비스 연동 장치(200)는 수신한 내부망 데이터에 대한 검사를 수행한다(S520). In operation S520, the service interworking device 200 inspects the received internal network data.

서비스 연동 장치(200)는 내부망 데이터가 외부망 서버(400)로의 전송이 허용된 데이터인지 여부를 판단하는 검사를 수행할 수 있다. 검사 결과, 수신된 데이터가 외부망 서버(400)로의 전송이 허용된 데이터가 아닌 것으로 판단된 경우, 서비스 연동 장치(200)는 해당 내부망 데이터를 폐기하거나, 사용자에게 허가되지 않은 내부망 데이터의 전송 시도가 발생함을 알릴 수 있다. The service companion device 200 may perform a check to determine whether the internal network data is data that is allowed to be transmitted to the external network server 400. If it is determined that the received data is not data that is allowed to be transmitted to the external network server 400, the service interworking device 200 discards the internal network data, or the internal network data that is not authorized by the user. It may inform that a transmission attempt has occurred.

반면, 내부망 데이터에 대한 검사가 완료된 경우, 서비스 연동 장치(200)는 검사가 완료된 내부망 데이터(10)에 레이블(25)을 추가하여, 레이블이 추가된 내부망 데이터(20)를 생성할 수 있다(S530). On the other hand, when the inspection of the internal network data is completed, the service interlocking device 200 adds the label 25 to the internal network data 10 on which the inspection is completed, and generates the internal network data 20 to which the label is added. It may be (S530).

그리고 서비스 연동 장치(200)는 레이블이 추가된 내부망 데이터(20)를 분리망 간 데이터 통제 장치(300)로 전송한다(S540). The service interworking device 200 transmits the internal network data 20 to which the label is added, to the data control device 300 between the separate networks (S540).

도 7은 본 발명의 일실시예에 따른 레이블이 추가된 내부망 데이터를 나타낸 예시도이다.7 is an exemplary diagram illustrating internal network data to which a label is added according to an embodiment of the present invention.

S530 단계에서 레이블(25)이 추가된 내부망 데이터(20)를 생성한 서비스 연동 장치(200)는 도 7에 도시한 바와 같이, 분리망 간 데이터 통제 장치(300)로 레이블이 추가된 내부망 데이터(20)를 전송할 수 있다. As shown in FIG. 7, the service interworking device 200 that generates the internal network data 20 to which the label 25 is added in step S530 is an internal network to which the label is added to the data control device 300 between the separate networks. Data 20 can be transmitted.

다시 도 5에 대하여 설명하면, 레이블이 추가된 내부망 데이터를 수신한 분리망 간 데이터 통제 장치(300)는 내부망 데이터에 대한 HMAC 값을 생성한다(S550). 그리고 분리망 간 데이터 통제 장치(300)는 생성한 HMAC 값과 레이블에 포함된 HMAC 값을 비교하여, HMAC 값에 대한 검증을 수행한다(S560).Referring to FIG. 5 again, the inter-network data control device 300 receiving the label-added internal network data generates an HMAC value for the internal network data (S550). The data control device 300 between the separation networks compares the generated HMAC value with the HMAC value included in the label, and performs verification on the HMAC value (S560).

도 8은 본 발명의 일실시예에 따른 외부망 서버로 전송되는 내부망 데이터를 나타낸 예시도이다.8 is an exemplary diagram illustrating internal network data transmitted to an external network server according to an embodiment of the present invention.

도 8과 같이, 분리망 간 데이터 통제 장치(300)의 내부망 데이터 수신부(310)는 S540 단계에서 서비스 연동 장치(200)로부터 레이블이 추가된 내부망 데이터(20)를 수신한다. As shown in FIG. 8, the internal network data receiver 310 of the apparatus for controlling data between the separate networks 300 receives the internal network data 20 with the label added from the service companion device 200 in operation S540.

그리고 분리망 간 데이터 통제 장치(300)의 레이블 검사부(320)는 레이블(25)에 대한 검사를 수행한다. 이때, 레이블 검사부(320)는 도 3의 레이블 검사부(320)와 실질적으로 동일한 방법으로 레이블(25)에 대한 검사를 수행할 수 있다. In addition, the label inspection unit 320 of the data control device 300 between the separation network performs a check on the label (25). In this case, the label inspecting unit 320 may inspect the label 25 in substantially the same manner as the label inspecting unit 320 of FIG. 3.

레이블 검사부(320)는 레이블(25)에 포함된 HMAC 키 정보를 이용하여 HMAC 키를 검색하고, 검색된 HMAC 키를 이용하여 내부망 데이터에 대한 HMAC 값을 생성한다. 그리고 레이블 검사부(320)는 생성된 HMAC 값과 레이블(25)에 포함된 HMAC 값을 비교하여 HMAC 값에 대한 검증을 수행할 수 있다. The label inspecting unit 320 searches for the HMAC key using the HMAC key information included in the label 25 and generates an HMAC value for the internal network data using the retrieved HMAC key. In addition, the label inspecting unit 320 may verify the HMAC value by comparing the generated HMAC value with the HMAC value included in the label 25.

다시 도 5에 대하여 설명하면, HMAC 값에 대한 검증에 성공한 경우, 분리망 간 데이터 통제 장치(300)는 내부망 데이터의 레이블을 제거하고(S570), 레이블이 제거된 내부망 데이터를 외부망 서버(400)로 전송한다(S580).Referring back to FIG. 5, if the verification of the HMAC value is successful, the inter-network data control device 300 removes the label of the internal network data (S570), and removes the unlabeled internal network data from the external network server. The transmission to 400 (S580).

도 8에 도시한 바와 같이, HMAC 값에 대한 검증에 성공한 경우 레이블 제거부(330)는 레이블이 추가된 내부망 데이터(20)에서 레이블(25)을 제거하여, 레이블이 제거된 내부망 데이터(30)를 생성한다. 그리고 외부망 통신부(340)를 통하여 내부망 서버(100)가 전송한 내부망 데이터(10)와 동일한 형태의 내부망 데이터를 외부망 서버(400)로 전송할 수 있다. As shown in FIG. 8, when the verification of the HMAC value is successful, the label removing unit 330 removes the label 25 from the internal network data 20 to which the label is added, thereby removing the internal network data ( 30). The internal network data having the same form as the internal network data 10 transmitted by the internal network server 100 may be transmitted to the external network server 400 through the external network communication unit 340.

도 9는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.9 is a block diagram illustrating a computer system according to an embodiment of the present invention.

도 9을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(900)에서 구현될 수 있다. 도 9에 도시된 바와 같이, 컴퓨터 시스템(900)은 버스(920)를 통하여 서로 통신하는 하나 이상의 프로세서(910), 메모리(930), 사용자 인터페이스 입력 장치(940), 사용자 인터페이스 출력 장치(950) 및 스토리지(960)를 포함할 수 있다. 또한, 컴퓨터 시스템(900)은 네트워크(980)에 연결되는 네트워크 인터페이스(970)를 더 포함할 수 있다. 프로세서(910)는 중앙 처리 장치 또는 메모리(930)나 스토리지(960)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(930) 및 스토리지(960)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(931)이나 RAM(932)을 포함할 수 있다.9, an embodiment of the present invention may be implemented in a computer system 900 such as a computer readable recording medium. As shown in FIG. 9, computer system 900 may include one or more processors 910, a memory 930, a user interface input device 940, and a user interface output device 950 that communicate with each other via a bus 920. And storage 960. In addition, the computer system 900 may further include a network interface 970 connected to the network 980. The processor 910 may be a central processing unit or a semiconductor device that executes processing instructions stored in the memory 930 or the storage 960. Memory 930 and storage 960 may be various types of volatile or nonvolatile storage media. For example, the memory may include a ROM 931 or a RAM 932.

따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.Accordingly, embodiments of the present invention may be implemented in a computer-implemented method or a non-transitory computer-readable medium in which computer-executable instructions are recorded. When computer readable instructions are executed by a processor, the computer readable instructions may perform a method according to at least one aspect of the present invention.

이상에서와 같이 본 발명에 따른 분리망 간 서비스 연동 장치, 분리망 간 데이터 통제 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다. As described above, the apparatus and method for interworking between services according to the present invention, the apparatus and method for controlling data between networks, are not limited to the configuration and method of the embodiments described above, but the embodiments are various. All or some of the embodiments may be selectively combined to allow modifications to be made.

100: 내부망 서버
200: 서비스 연동 장치
210: 내부망 통신부
220: 데이터 분석부
230: 레이블 추가부
240: 내부망 데이터 중계부
300: 분리망 간 데이터 통제 장치
310: 내부망 데이터 수신부
320: 레이블 검사부
330: 레이블 제거부
340: 외부망 통신부
400: 외부망 서버
10: 내부망 데이터
20: 레이블이 추가된 내부망 데이터
25: 레이블
30: 레이블이 제거된 내부망 데이터
900: 컴퓨터 시스템
910: 프로세서
920: 버스
930: 메모리
931: 롬
932: 램
940: 사용자 인터페이스 입력 장치
950: 사용자 인터페이스 출력 장치
960: 스토리지
970: 네트워크 인터페이스
980: 네트워크 100: internal network server
200: service interworking device
210: internal network communication unit
220: data analysis unit
230: label addition unit
240: internal network data relay
300: data control device between network
310: internal network data receiving unit
320: label inspection unit
330: label removal unit
340: external network communication unit
400: external network server
10: Internal network data
20: Labeled internal network data
25: Label
30: Unlabeled internal network data
900: computer system
910 processor
920: bus
930: memory
931: Romans
932 RAM
940: user interface input device
950: user interface output device
960: storage
970: network interface
980: network

Claims (20)

서비스 연동 장치로부터 레이블이 추가된 내부망 데이터를 수신하는 내부망 데이터 수신부,
상기 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출하고, 추출된 상기 HMAC 키 정보를 이용하여 상기 내부망 데이터에 상응하는 HMAC 값을 생성하며, 생성된 상기 HMAC 값과 상기 내부망 데이터에 포함된 HMAC 값을 비교하여, 상기 HMAC 값에 대한 검증을 수행하는 레이블 검사부,
상기 HMAC 값에 대한 검증에 성공한 경우, 상기 서비스 연동 장치로부터 수신한 상기 내부망 데이터에서 상기 레이블을 제거하는 레이블 제거부, 그리고
상기 레이블이 제거된 상기 내부망 데이터를 외부망 서버로 전송하는 외부망 통신부를 포함하고,
상기 레이블이 추가된 내부망 데이터는 내부망 서버와 상기 외부망 서버 사이에서 응용 서비스 연동을 위하여 통제 데이터 연동 규격에 따라 생성되는 것을 특징으로 하는 분리망 간 데이터 통제 장치.An internal network data receiver configured to receive internal network data with a label added from the service companion device;
Extract HMAC key information of the internal network data to which the label is added, and generate the HMAC value corresponding to the internal network data using the extracted HMAC key information, and include the generated HMAC value and the internal network data. A label checker configured to compare the HMAC value and verify the HMAC value,
A label removing unit for removing the label from the internal network data received from the service companion device when the verification of the HMAC value is successful; and
An external network communication unit for transmitting the internal network data from which the label is removed to an external network server;
The internal network data added with the label is generated according to a control data interworking standard for interworking an application service between an internal network server and the external network server. 제1항에 있어서,
수신된 상기 내부망 데이터에 추가된 상기 레이블은,
상기 내부망 데이터의 페이로드에 대한 HMAC 값 및 상기 HMAC 값에 상응하는 HMAC 키 정보를 포함하는 것을 특징으로 하는 분리망 간 데이터 통제 장치. The method of claim 1,
The label added to the received internal network data,
And a HMAC value for the payload of the internal network data and HMAC key information corresponding to the HMAC value. 제2항에 있어서,
상기 HMAC 키 정보는,
상기 내부망 데이터에 상응하는 상기 HMAC 값을 생성하기 위한 HMAC 키의 그룹 정보 및 인덱스 정보를 포함하는 것을 특징으로 하는 분리망 간 데이터 통제 장치. The method of claim 2,
The HMAC key information,
And an HMAC key group information and index information for generating the HMAC value corresponding to the internal network data. 제3항에 있어서,
상기 레이블 검사부는,
기 저장된 HMAC 키 값 중에서 상기 HMAC 키 정보에 상응하는 상기 HMAC 키를 검색하고,
검색된 상기 HMAC 키를 이용하여 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 생성하는 것을 특징으로 하는 분리망 간 데이터 통제 장치. The method of claim 3,
The label inspection unit,
Searching for the HMAC key corresponding to the HMAC key information among previously stored HMAC key values,
And an HMAC value for the payload of the internal network data using the retrieved HMAC key. 제2항에 있어서,
상기 레이블 검사부는,
생성된 상기 HMAC 값과 상기 내부망 데이터의 페이로드에 대한 HMAC 값을 비교하여, 두 HMAC 값이 동일한지 여부를 판단하는 것을 특징으로 하는 분리망 간 데이터 통제 장치. The method of claim 2,
The label inspection unit,
And comparing the generated HMAC value with the HMAC value of the payload of the internal network data, and determining whether two HMAC values are the same. 제1항에 있어서,
상기 서비스 연동 장치로부터 수신된 상기 내부망 데이터는,
신뢰된 실행 환경(Trusted Execution Environment, TEE)에서 내부망 서버의 상기 내부망 데이터에 상기 레이블이 추가된 것으로, 레이블 및 페이로드 형태인 것을 특징으로 하는 분리망 간 데이터 통제 장치.The method of claim 1,
The internal network data received from the service companion device,
And a label added to the internal network data of an internal network server in a trusted execution environment (TEE), wherein the label is a form of a label and a payload. 내부망 서버로부터, 외부망 서버로 전송되는 내부망 데이터를 수신하는 내부망 통신부,
상기 내부망 데이터를 분석하여, 상기 내부망 데이터가 상기 외부망 서버로의 전송이 허용된 데이터인지 여부를 판단하는 데이터 분석부,
상기 내부망 데이터가 상기 외부망 서버로의 전송이 허용된 데이터인 것으로 판단된 경우, 상기 내부망 데이터에 레이블을 추가하는 레이블 추가부, 그리고
상기 레이블이 추가된 내부망 데이터를 분리망 간 데이터 통제 장치를 통하여 상기 외부망 서버로 전송하는 내부망 데이터 중계부를 포함하고,
상기 레이블이 추가된 내부망 데이터는 상기 내부망 서버와 상기 외부망 서버 사이에서 응용 서비스 연동을 위하여 통제 데이터 연동 규격에 따라 생성되는 것을 특징으로 하는 서비스 연동 장치. An internal network communication unit which receives internal network data transmitted from the internal network server to the external network server,
A data analyzer which analyzes the internal network data and determines whether the internal network data is data that is permitted to be transmitted to the external network server;
A label adding unit for adding a label to the internal network data when it is determined that the internal network data is allowed to be transmitted to the external network server; and
An internal network data relay unit for transmitting the internal network data to which the label is added to the external network server through a data network between separate networks;
And the internal network data added with the label is generated according to a control data interworking standard for interworking an application service between the internal network server and the external network server. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 분리망 간 데이터 통제 장치에 의해 수행되는 분리망 간 데이터 통제 방법에 있어서,
서비스 연동 장치로부터 레이블이 추가된 내부망 데이터를 수신하는 단계,
상기 레이블이 추가된 내부망 데이터의 HMAC 키 정보를 추출하는 단계,
추출된 상기 HMAC 키 정보를 이용하여 상기 내부망 데이터에 상응하는 HMAC 값을 생성하는 단계,
생성된 상기 HMAC 값과 상기 내부망 데이터에 포함된 HMAC 값을 비교하여, 상기 HMAC 값에 대한 검증을 수행하는 단계,
상기 HMAC 값에 대한 검증에 성공한 경우, 상기 서비스 연동 장치로부터 수신한 상기 내부망 데이터에서 상기 레이블을 제거하는 단계, 그리고
상기 레이블이 제거된 상기 내부망 데이터를 외부망 서버로 전송하는 단계를 포함하고,
상기 레이블이 추가된 내부망 데이터는 내부망 서버와 상기 외부망 서버 사이에서 응용 서비스 연동을 위하여 통제 데이터 연동 규격에 따라 생성되는 것을 특징으로 하는 분리망 간 데이터 통제 방법. In the method of controlling data between networks performed by the data control device between the networks,
Receiving internal network data to which a label is added from a service companion device;
Extracting HMAC key information of the internal network data to which the label is added;
Generating an HMAC value corresponding to the internal network data using the extracted HMAC key information;
Comparing the generated HMAC value with the HMAC value included in the internal network data, and performing verification of the HMAC value;
If the verification of the HMAC value is successful, removing the label from the internal network data received from the service companion device; and
Transmitting the internal network data without the label to an external network server,
The internal network data to which the label is added is generated according to a control data interworking standard for interworking an application service between an internal network server and the external network server. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020170140140A 2017-10-26 2017-10-26 Service interworking apparatus for separated networks, apparatus and method for data control between separate networks KR102063270B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170140140A KR102063270B1 (en) 2017-10-26 2017-10-26 Service interworking apparatus for separated networks, apparatus and method for data control between separate networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170140140A KR102063270B1 (en) 2017-10-26 2017-10-26 Service interworking apparatus for separated networks, apparatus and method for data control between separate networks

Publications (2)

Publication Number Publication Date
KR20190046391A KR20190046391A (en) 2019-05-07
KR102063270B1 true KR102063270B1 (en) 2020-01-07

Family

ID=66656580

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170140140A KR102063270B1 (en) 2017-10-26 2017-10-26 Service interworking apparatus for separated networks, apparatus and method for data control between separate networks

Country Status (1)

Country Link
KR (1) KR102063270B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050033990A1 (en) * 2003-05-19 2005-02-10 Harvey Elaine M. Method and system for providing secure one-way transfer of data
JP2014027350A (en) * 2012-07-24 2014-02-06 Yokogawa Electric Corp Packet transfer device and method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101489759B1 (en) 2013-10-30 2015-02-06 한국전자통신연구원 Method for controlling file transfer protocol using storage apparatus

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050033990A1 (en) * 2003-05-19 2005-02-10 Harvey Elaine M. Method and system for providing secure one-way transfer of data
JP2014027350A (en) * 2012-07-24 2014-02-06 Yokogawa Electric Corp Packet transfer device and method

Also Published As

Publication number Publication date
KR20190046391A (en) 2019-05-07

Similar Documents

Publication Publication Date Title
Krueger et al. Learning stateful models for network honeypots
CN112242984B (en) Method, electronic device and computer program product for detecting abnormal network request
CN103748853A (en) Method and system for classifying a protocol message in a data communication network
Hu et al. [Retracted] CLD‐Net: A Network Combining CNN and LSTM for Internet Encrypted Traffic Classification
CN104899499A (en) Internet image search based Web verification code generation method
KR20190107373A (en) Fuzzing method and device for network protocol vulnerability detection
CN108234506B (en) Unidirectional isolation network gate and data transmission method
CN111552626A (en) Method and system for testing developed system using real transaction data
KR102063270B1 (en) Service interworking apparatus for separated networks, apparatus and method for data control between separate networks
CN111752819B (en) Abnormality monitoring method, device, system, equipment and storage medium
CN111371588A (en) SDN edge computing network system based on block chain encryption, encryption method and medium
EP3545658B1 (en) Evaluation and generation of a whitelist
CN107844290B (en) Software product design method and device based on data stream security threat analysis
KR101954620B1 (en) Apparatus and method for analyzing of network traffic
CN111722943B (en) Big data processing method based on edge computing and central cloud server
CN115860683A (en) Business process processing system, method, client and medium
CN115314268A (en) Malicious encrypted traffic detection method and system based on traffic fingerprints and behaviors
CN101938428A (en) Message transmission method and equipment
CN115659346A (en) Function testing method and device for multi-party secure computing platform
CN115051874A (en) Multi-feature CS malicious encrypted traffic detection method and system
CN115037537A (en) Abnormal traffic interception and abnormal domain name identification method, device, equipment and medium
CN111385253B (en) Vulnerability detection system for network security of power distribution automation system
EP3174263A1 (en) Apparatus and method for verifying detection rule
Pechenkin et al. Modeling the search for vulnerabilities via the fuzzing method using an automation representation of network protocols
Liu et al. An efficient massive log discriminative algorithm for anomaly detection in cloud

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant