KR102313544B1 - 하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법 및 시스템 - Google Patents

하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법 및 시스템 Download PDF

Info

Publication number
KR102313544B1
KR102313544B1 KR1020207036697A KR20207036697A KR102313544B1 KR 102313544 B1 KR102313544 B1 KR 102313544B1 KR 1020207036697 A KR1020207036697 A KR 1020207036697A KR 20207036697 A KR20207036697 A KR 20207036697A KR 102313544 B1 KR102313544 B1 KR 102313544B1
Authority
KR
South Korea
Prior art keywords
interface
data
forwarding
external
external device
Prior art date
Application number
KR1020207036697A
Other languages
English (en)
Other versions
KR20210003934A (ko
Inventor
후아 두
웨이 아이
전허 차이
하오 장
Original Assignee
베이징 비욘드인포 테크놀로지 씨오., 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 베이징 비욘드인포 테크놀로지 씨오., 엘티디. filed Critical 베이징 비욘드인포 테크놀로지 씨오., 엘티디.
Publication of KR20210003934A publication Critical patent/KR20210003934A/ko
Application granted granted Critical
Publication of KR102313544B1 publication Critical patent/KR102313544B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Systems (AREA)

Abstract

본 발명은 하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법 및 이에 상응한 데이터 포워딩 제어 시스템을 공개한다. 해당 방법은 단말 보호 장치를 보호 대상 호스트에 외부적으로 연결하고, 보호 대상 호스트의 모든 데이터 인터페이스를 관리하며; 외부 장치가 단말 보호 장치를 통해 보호 대상 호스트와 데이터 호환을 수행할 때, 단말 보호 장치 내부의 하드웨어 제어 로직은 데이터 포워딩에 해당되는 물리적 라인의 연통 및/또는 차단을 제어함으로써, 외부 장치와 보호 대상 호스트 간의 데이터 호환을 제어한다. 본 발명은 보호 대상 호스트에 데이터 모니터링 및 보안 소프트웨어를 설치할 필요가 없이, 보호 대상 호스트 각 유형의 데이터에 대한 제어와 보안의 기능을 달성할 수 있으며, 하드웨어 제어 로직을 통해 물리적 라인의 격리를 구현하여, 데이터 포워딩과 저장 시에 물리적 격리의 효과를 구현할 수 있으며, 각 인터페이스에서 발생할 수 있는 바이러스 및 트로이 목마 삽입 및 악성 코드 삽입과 같은 보안 리스크를 포괄적으로 해결한다.

Description

하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법 및 시스템
본 발명은 컴퓨터 보안 기술 분야에 관한 것으로, 특히 하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법 및 이에 해당된 데이터 포워딩 제어 시스템에 관한 것이다.
최근에는 컴퓨터와 정보 기술의 급속한 발전으로 인터넷의 대중화가 크게 촉진되었으며, 사람들이 컴퓨터와 정보 기술이 가져다준 편리함을 점점 더 누리게 되면서 생산/생활에서 사람들이 사용하는 컴퓨터의 데이터 보안에 새로운 위협이 되었다. 예를 들어, 비교적 흔한 악성 코드 침입, 바이러스/트로이 목마 감염, 트래픽 공격, 해커 도용, 무단 접속, 합법적인 사용자로 가장, 데이터 무결성 파괴, 시스템의 정상적인 작동을 방해, 네트워크를 이용한 바이러스 확산과 중개자 도청 등을 포함한다.
인트라넷 보안 문제를 해결하기 위한 기술적 수단은 다양하며, 블랙/화이트리스트,흐름 제어 소프트웨어, 방화벽, 안티 바이러스, 침입 탐지 시스템 등과 같은 네트워크 보안 제품을 호스트에 설치하고 사용하는 것을 예로 들 수 있다. 하지만, 상술한 조치를 취한 후에도 여전히 다양한 네트워크 보안 사고가 빈번히 발생한다. 통계에 따르면, 컴퓨터 범죄의 70%는 내부자가 호스트와 같은 핵심 자원을 불법적으로 사용함으로 인해 발생하며, 실제 위협의 30%만이 외부에서 발생한다. 내부자가 호스트를 사용할 때, 보안 인식이 부족하고 방화벽 백 엔드에 위치하며 다양한 외부 장치를 연결할 때 표준화되지 않고, 바이러스 또는 트로이 목마 백도어가 이식되어 데이터 유출, 바이러스 감염, 시스템 충돌, 심지어 네트워크 마비까지 초래할 수 있는 동시에, 시스템의 오작동 또는 고의적인 파괴로 인해 기관, 기업 등에 심각한 영향을 미치고 중대한 손실을 초래할 수 있다.
동시에, 특수 장치, 예를 들어 특수 소프트웨어로 제어되는 호스트, 특정 산업 분야의 엔지니어 스테이션/작업자 스테이션과 같은 일부 특수 장치의 경우,이러한 호스트/장치는 종종 시스템의 특수성으로 인해, 시장에는 이러한 시스템에 적합한 보안 소프트웨어가 없거나, 또는 보안 소프트웨어 설치는 호스트의 원래 소프트웨어와의 호환성 문제를 쉽게 일으킬 수 있으며, 성능에도 영향을 미칠 수 있다. 또한, 이러한 엔지니어 스테이션/작업자 스테이션의 호스트는 온라인 상태가 되면, 기본적으로 운영 체제가 업그레이드되지 않는다. 데이터 모니터링 및 보안 소프트웨어를 설치한 후에도 맬웨어 방지 소프트웨어 버전 및 악성 코드 라이브러리가 종종 제때에 업데이트 되지 않아 포괄적인 데이터 흐름 제어 및 보안을 제공 할 수 없다.
이를 기반으로, 본 발명은 위와 같은 문제점을 해결하기 위한 하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법 및 시스템을 제공하여 보호 대상 호스트의 각 인터페이스 관리를 구현하고, 보호 대상 호스트의 USB 인터페이스 또는 직렬 장치의 사용은 반드시 외접식 단말 보호 장치에 의해 완성됨을 보증함으로써, 보호 대상 호스트에 보안 소프트웨어를 설치하지 않고도 보호 대상 호스트의 USB 인터페이스 또는 직렬 포트에 대한 데이터 제어 및 보안의 목적을 달성할 수 있다.
첫번째 측면에서, 본 출원은 하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법을 제공한다. 해당 방법은 단말 보호 장치를 보호 대상 호스트에 외부적으로 연결하고, 보호 대상 호스트의 모든 데이터 인터페이스를 관리하고; 외부 장치가 단말 보호 장치를 통해 보호 대상 호스트와 데이터 호환을 수행할 때, 단말 보호 장치 내부의 하드웨어 제어 로직은 데이터 포워딩에 해당되는 물리적 라인의 연통 및/또는 차단을 제어함으로써, 외부 장치와 보호 대상 호스트 간의 데이터 호환을 제어한다.
선택적으로, 상기 보호 대상 호스트의 모든 데이터 인터페이스를 관리하는 것은, 해당 인터페이스 유형에 따라 보호 대상 호스트의 모든 데이터 인터페이스를 단말 보호 장치의 복수개의 내부 인터페이스에 대응되게 각각 연결하는 것을 더 포함한다.
선택적으로, 상기 하드웨어 제어 로직은 상기 단말 보호 장치 내부의 외부 인터페이스와 시스템 제어 모듈 간의 물리적 라인을 연통시켜, 시스템 제어 모듈을 통해 외부 장치에 대한 보안 인증을 수행하며, 상기 외부 장치가 접속 허가 장치인지 여부를 확인한다.
선택적으로, 상기 시스템 제어 모듈을 통해 외부 장치에 대한 보안 인증을 수행한 후, 상기 외부 장치가 접속 허가 장치인지 여부를 확인할 때, 상기 하드웨어 제어 로직은 상기 외부 장치에 접속된 외부 인터페이스와 기타 인터페이스의 물리적 라인을 차단한 상태이며, 상기 외부 장치에 접속된 데이터 전송을 필터링 및 금지하며; 및/또는
상기 시스템 제어 모듈에서 외부 장치에 대한 보안 인증을 수행한 후, 상기 외부 장치가 접속이 허가된 장치임이 확인된 경우, 상기 하드웨어 제어 로직은 상기 외부 장치에 접속된 외부 인터페이스와 보호 대상 호스트에 접속된 내부 인터페이스 간의 물리적 라인을 연통시킴으로써 외부 장치와 보호 대상 호스트 간의 데이터 포워딩을 구현한다.
선택적으로, 상기 단말 보호 장치는 인터페이스 제어 모듈을 더 포함하며, 상기 하드웨어 제어 로직, 내부 인터페이스, 외부 인터페이스 및 포워딩 인터페이스는 인터페이스 제어 모듈에 위치하며; 상기 포워딩 인터페이스는 상기 시스템 제어 모듈에 연결된다.
선택적으로, 상기 외부 장치가 보호 대상 호스트에 데이터를 도입해야 하는 경우, 상기 하드웨어 제어 로직은 상기 외부 장치에 접속된 외부 인터페이스와 포워딩 인터페이스 간의 물리적 라인을 연통시키고, 포워딩 인터페이스와 기타 인터페이스 간의 물리적 라인은 차단 상태를 유지시키며, 상기 도입된 데이터는 단지 포워딩 인터페이스를 통해서만 시스템 제어 모듈로 전송되므로, 보호 대상 호스트는 데이터 격리 상태를 유지한다.
선택적으로, 상기 보호 대상 호스트가 데이터 격리 상태에 있을 때, 시스템 제어 모듈은 상기 도입된 데이터에 대해 보안 검사를 수행하고; 상기 도입된 데이터가 보안 검사를 통과한 후, 다시 인터페이스 제어 모듈의 내부 메모리를 통해 상기 도입된 데이터를 격리 및 저장한다.
선택적으로, 상기 인터페이스 제어 모듈의 내부 메모리를 통해 상기 도입된 데이터를 격리 및 저장하는 것은 상기 하드웨어 제어 로직이 상기 포워딩 인터페이스와 인터페이스 제어 모듈의 내부 메모리 간의 물리적 라인이 연통되도록 제어하고, 상기 외부 인터페이스와 포워딩 인터페이스, 내부 메모리와 내부 인터페이스 간의 물리적 라인을 차단시키며, 상기 도입된 데이터를 상기 포워딩 인터페이스를 통해 인터페이스 제어 모듈의 내부 메모리로 복사하는 것을 포함한다.
선택적으로, 상기 하드웨어 제어 로직은 외부 인터페이스와 내부 메모리 간의 물리적 라인을 차단시키고, 내부 메모리와 내부 인터페이스 간의 물리적 라인이 연통되도록 제어하며; 내부 메모리의 상기 도입된 데이터를 내부 인터페이스를 통해 상기 보호 대상 호스트로 전송하고, 상기 도입된 데이터가 상기 보호 대상 호스트로 전송되는 기간에 하드웨어 제어 로직은 외부 인터페이스와 포워딩 인터페이스, 포워딩 인터페이스와 내부 메모리 간의 물리적 라인이 차단 상태를 유지하도록 하며; 상기 보호 대상 호스트는 상기 내부 인터페이스를 통해 상기 도입된 데이터를 수신한다.
선택적으로, 상기 보호 대상 호스트가 외부 장치에 데이터를 도입하려는 경우, 인터페이스 제어 모듈의 내부 메모리를 통해 상기 도입된 데이터를 격리 및 저장한다.
선택적으로, 상기 하드웨어 제어 로직은 상기 내부 메모리와 내부 인터페이스 간의 물리적 라인을 연통시킴으로써 상기 보호 대상 호스트의 도입된 데이터를 상기 내부 인터페이스를 거쳐 상기 내부 메모리로 전송하며, 상기 내부 메모리와 기타 인터페이스 간의 물리적 라인은 차단 상태를 유지한다.
선택적으로, 상기 보호 대상 호스트의 도입된 데이터를 상기 내부 인터페이스를 거쳐 상기 내부 메모리로 전송한 후, 상기 하드웨어 제어 로직은 상기 내부 메모리와 내부 인터페이스 간의 물리적 라인을 차단시킴으로써 상기 내부 메모리와 상기 포워딩 인터페이스 간의 물리적 라인을 연통시키며; 상기 내부 메모리의 상기 도입된 데이터를 포워딩 인터페이스를 통해 시스템 제어 모듈로 전송하며; 상기 시스템 제어 모듈은 상기 도입된 데이터에 대한 합규성 검사를 수행하여 도입된 데이터가 설정된 합규정책에 부합되는지 확인함과 동시에, 하드웨어 제어 로직은 외부 인터페이스 UA1와 포워딩 인터페이스UB1, 내부 인터페이스UA3와 UB3 간의 물리적 라인이 차단 상태를 유지하도록 한다.
선택적으로, 상기 도입된 데이터가 합규성 검사를 통과하면, 상기 하드웨어 제어 로직은 외부 장치의 외부 인터페이스와 포워딩 인터페이스 간의 물리적 라인을 연통시키며; 상기 도입된 데이터를 외부 인터페이스에 접속된 외부 장치에 복사함과 동시에, 하드웨어 제어 로직은 포워딩 인터페이스와 내부 메모리, 내부 인터페이스와 내부 메모리 간의 물리적 라인이 차단상태를 유지하도록 한다.
두번째 측면에서, 본 출원은 하나 이상의 외부 장치; 보호 대상 호스트; 및 내부에 하드웨어 제어 로직이 포함된 단말 보호 장치; 를 포함하는 데이터 포워딩 제어 시스템을 제공하며, 상기 단말 보호 장치는 보호 대상 호스트에 외부적으로 연결되고, 보호 대상 호스트의 모든 데이터 인터페이스를 관리하며, 상기 하드웨어 제어 로직은 데이터 포워딩 물리적 라인의 연통 및/또는 차단을 제어함으로써, 외부 장치와 보호 대상 호스트 간의 데이터 호환을 제어한다.
위와 같은 본 발명의 기술적 방안을 통해, 다음과 같은 기술 효과 중 적어도 하나 이상을 달성할 수 있다: 보호 대상 호스트의 각 인터페이스를 이용하는 데이터 호환 통신이 외접식 단말을 통해 완료되도록 보장할 수 있으며, 보호 대상 호스트에 데이터 모니터링 및 보안 소프트웨어를 설치할 필요가 없이, 보호 대상 호스트 각 유형의 데이터에 대한 제어와 보안의 기능을 달성할 수 있으며, 하드웨어 제어 로직을 통해 물리적 라인의 격리를 구현하여 데이터 포워딩과 저장 시에 물리적 격리의 효과를 구현할 수 있으며, 소프트웨어 제어만 하는 것보다 훨씬 안전하고 효과적이며, 더 나아가 보안의 목적을 달성하고, 전체 시스템의 네트워크 보안 위험을 크게 감소시키며, 각 인터페이스에서 발생할 수 있는 바이러스 및 트로이 목마 삽입 및 악성 코드 삽입과 같은 보안 리스크를 포괄적으로 해결한다.
도 1은 본 발명에 따른 데이터 포워딩 제어 시스템에 사용되는 애플리케이션 시나리오이다.
도 2는 본 발명에 따른 데이터 포워딩 제어 방법에 사용되는 흐름도이다.
도 3은 본 발명에 따른 단말 보호 장치 내부 구조의 개략도이다.
도 4는 본 발명에 따른 USB 데이터 포워딩 제어의 실시예이다.
도 5는 본 발명에 따른 직렬 포트 데이터 포워딩 제어의 실시예이다.
도 6은 본 발명에 따른 데이터 포워딩 제어 시스템의 네트워크 배치 실시예이다.
이하, 첨부된 도면을 참조하여 본 발명의 예시적인 실시예를 보다 상세하게 설명한다. 비록 본 발명의 예시적인 실시예가 도면에 도시되어 있지만, 본 발명은 다양한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 의해 제한되어서는 안된다는 것을 이해해야 한다. 이와 반대로, 이들 실시예는 본 발명의 보다 철저한 이해를 가능하게 하고 본 발명의 범위를 당업자에게 충분히 포워딩하기 위해 제공된다.
본 명세서에서, "및/또는"이라는 용어는 단지 연관된 객체의 연관 관계를 설명하며, 세 종류의 관계가 있을 수 있음을 의미한다. 예를 들어,"A 및/또는 B"는 A 만 존재, A와 B가 동시에 존재, B만 존재하는 3가지 경우를 포함한다. 또한, 본 명세서에서 "/"는 일반적으로 앞뒤 연관 대상이 "또는"의 관계임을 나타낸다.
본 발명에서 제공하는 하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법은 단말 보호 장치를 보호 대상 호스트에 외부적으로 연결하고, 보호 대상 호스트의 모든 데이터 인터페이스를 관리하고; 외부 장치가 단말 보호 장치를 통해 보호 대상 호스트와 데이터 호환을 수행할 때, 단말 보호 장치 내부의 하드웨어 제어 로직은 데이터 포워딩에 해당되는 물리적 라인의 연통 및/또는 차단을 제어함으로써, 외부 장치와 보호 대상 호스트 간의 데이터 호환을 제어한다. 보다시피, 본 발명은 하드웨어 형태에 기반한 데이터 포워딩 제어 방법을 제공하며, 보호 대상 호스트에 데이터 모니터링 및 보안 소프트웨어를 설치할 필요가 없이, 각 유형의 데이터에 대한 제어와 보안의 기능을 달성할 수 있으며, 하드웨어 제어 로직을 통해 물리적 라인의 격리를 구현하여, 각 인터페이스에서 발생할 수 있는 바이러스 및 트로이 목마 삽입 및 악성 코드 삽입과 같은 보안 리스크를 포괄적으로 해결한다.
유의해야 할 점은, 본 발명에서 언급된 "모듈"은 하드웨어 모듈, 즉 회로, 데이터 처리 장치, 메모리 및 버퍼와 같은 유형의 전자 부품으로 구성된 하드웨어 모듈임을 유의해야 한다. 본 발명의 인터페이스 제어 모듈 및 시스템 제어 모듈은 물리적으로 또는 기능적으로 독립된 요소의 조합 또는 물리적으로 또는 기능적으로 통합된 통합 요소의 조합 일 수 있다. 예를 들어, 구현예에 있어서, 인터페이스 제어 모듈은 인터페이스 제어 보드로 구성되고, 시스템 제어 모듈은 시스템 제어 보드로 구성되며, 인터페이스 제어 보드와 시스템 제어 보드는 모두 전자 부품이 통합된 라인 보드이며 양자는 버스를 통해 연결된다. 다른 실시예에서, 인터페이스 제어 모듈과 시스템 제어 모듈은 또한 라인 기판에 통합될 수 있다. 따라서, 본 발명의 핵심은 인터페이스 제어 모듈과 시스템 제어 모듈 간의 제어 관계에 있으나, 각 모듈을 구성하는 전자 부품의 공간적 또는 물리적 연결 조합에 한정되지는 않는다.
실시예
도 1은 본 발명에 따른 데이터 포워딩 제어 시스템에 사용되는 애플리케이션 시나리오이다.
도 1에 도시 된 바와 같이, 보호 대상 호스트의 각 데이터 포워딩을 제어하기 위해서는, 보호 대상 호스트의 각 인터페이스를 관리해야 하며, 이에 본 발명에서 제안하는 방법은 단말 보호 장치에 보호 대상 호스트의 각 인터페이스 유형에 해당하는 내부 인터페이스를 설치하며, 유형에 대응되는 외부 인터페이스도 제공하고, 내부 인터페이스 각각은 보호 대상 호스트를 연결하는데 사용되며, 외부 인터페이스는 보호 대상 호스트와 데이터 호환이 필요한 외부 장치를 연결하는데 사용된다. 상기 단말 보호 장치는 보호 대상 호스트에 외접되며, 보호가 필요한 보호 대상 호스트에는 각 인터페이스(예를 들어 USB 포트의 UC1, UC2, COM 포트의 CC0, 네트워크 포트의 EC0)는 다양한 유형의 케이블을 통해 자체에 대응되는 유형의 내부 인터페이스에 연결되며, 예를 들면, 보호 대상 호스트의 인터페이스 UC1과 UC2를 각각 외접식 단말 보호 장치의 내부 USB 포트 UA4 및 UA3에 연결하고, 직렬 포트 CC0을 내부 직렬 포트 CA2에 연결하며, 네트워크 포트 EC0은 내부 네트워크 포트 EA2에 연결된다. 모든 종류의 외부 장치( U 디스크, 광학 드라이브, 직렬 포트 연결 장치 등)는 모두 상기 단말 보호 장치의 외부 인터페이스에 연결되며, 단말 보호 장치를 통해 보호 대상 호스트와 데이터 호환 통신을 진행할 수 있으며, 이로써 외부 장치와 보호 대상 호스트 간의 데이터 포워딩 제어를 구현할 수 있다. 예를 들어, 외부 U 디스크 장치는 상기 단말 보호 장치의 외부 인터페이스 UA1을 통해 접속되고, USB 광학 드라이브는 외부 인터페이스 UA2를 통해 접속되며, 직렬 포트 연결 장치는 외부 인터페이스 CA1을 통해 접속된다. U 디스크, USB 광학 드라이브 및 직렬 포트 연결 장치와 같은 외부 장치는 보호 대상 호스트와 데이터 통신을 진행해야 하며, 보호 대상 호스트에 직접 연결할 수 없는 바, 상기 외접식 단말 보호 장치의 대응되는 외부 인터페이스를 통해 통신한다.
이러한 방식으로, 외부 장치를 통해 전송되는 데이터는 먼저 외접식 단말 보호 장치의 데이터 흐름 제어를 거쳐야 하며, 이로써 데이터 전송에 대해 포워딩 제어를 수행할 수 있으며, 프로토콜 필터링, 흐름 미러링, 흐름 감사 및 보안 검사 등 제어가 추가로 수행될 수 있다.
도 2는 다음 단계를 포함하는 본 발명에 따른 데이터 포워딩 제어 방법의 흐름도이다.
도 2는 본 발명에 따른 데이터 포워딩 제어 방법에 사용되는 흐름도이며, 다음과 같은 단계를 포함한다.
S1: 단말 보호 장치를 보호 대상 호스트에 연결하고 보호 대상 호스트의 모든 데이터 인터페이스를 관리한다;
S2: 외부 장치가 단말 보호 장치를 통해 보호 대상 호스트와 데이터 호환을 수행할 때, 단말 보호 장치 내부의 하드웨어 제어 로직은 데이터 포워딩에 해당되는 물리적 라인의 연통 및/또는 차단을 제어함으로써, 외부 장치와 보호 대상 호스트 간의 데이터 호호환을 제어한다.
여기서, 상기 단말 보호 장치는 인터페이스 제어 모듈과 시스템 제어 모듈을 더 포함한다. 인터페이스 제어 모듈에는 상기 하드웨어 제어 로직, 내부 인터페이스, 외부 인터페이스 및 포워딩 인터페이스가 설치되며, 내부 인터페이스는 상기 보호 대상 호스트에 연결되고, 외부 인터페이스는 다양한 유형의 외부 장치에 접속되며, 포워딩 인터페이스는 상기 시스템 제어 모듈에 연결된다.
단계 S1에서, 보호 대상 호스트의 모든 데이터 인터페이스는 해당 인터페이스 유형에 따라, 단말 보호 장치의 복수개의 내부 인터페이스에 각각 대응되게 연결되어, 보호 대상 호스트의 모든 데이터 인터페이스가 모두 단말 보호 장치에 의해 제어되도록 하며, 가능한 모든 외부 장치가 보호 대상 호스트에 직접 연결되지 않도록 보호한다. 여기서, 데이터 인터페이스에는 USB 포트, 직렬 포트, 병렬 포트 및/또는 네트워크 포트 등이 포함되지만 이에 국한되지 않는다.
단계 S2에서, 상기 하드웨어 제어 로직의 동작을 기반으로, 단말 보호 장치 내부의 물리적 라인의 온오프가 제어되어 데이터 포워딩 제어 및 물리적 격리의 역할을 한다.
외부 장치가 비 저장류 직접 연결 장치(예를 들어 USB 광학 드라이브, 동글, 뱅크 USB 실드, 키보드, 마우스, 디스플레이 장치 등)인 경우를 예로 들면, 하드웨어 제어 로직을 통해 직접 연결 장치에 접속된 외부 인터페이스와 시스템 제어 모듈 간의 물리적 라인을 연통시킴으로써, 시스템 제어 모듈이 해당 직접 연결 장치에 대한 보안 인증을 수행하도록 하고, 상기 직접 연결 장치가 접속 허가 장치인지 확인한다. 만일 상기 직접 연결 장치가 접속 허가 장치가 아닌 것으로 확인되면, 시스템 제어 모듈은 상기 하드웨어 제어 로직에 알려 직접 연결 장치가 접속하는 외부 인터페이스를 격리하도록 하며, 각 인터페이스와의 물리적 라인의 상태를 차단하여, 상기 직접 연결 장치가 접속된 후의 데이터 전송에 대해 필터링 및 금지를 수행하며; 만일 상기 직접 연결 장치가 접속 허가 장치인 경우, 상기 하드웨어 제어 로직은 상기 직접 연결 장치가 접속한 외부 인터페이스와 보호 대상 호스트가 접속한 내부 인터페이스 간의 물리적 라인을 연통시켜, 직접 연결 장치(즉, 외부 장치)와 보호 대상 호스트 간의 데이터 포워딩을 구현한다.
외부 장치가 저장류 장치인 경우를 예로 들면, 상기 저장류 장치가 보호 대상 호스트에 데이터를 도입해야 하는 경우, 상기 하드웨어 제어 로직은 상기 저장류 장치에 접속된 외부 인터페이스와 포워딩 인터페이스 간의 물리적 라인을 연통시키며, 포워딩 인터페이스와 다른 인터페이스 간의 물리적 라인이 차단 상태를 유지하도록 하고, 상기 도입된 데이터를 포워딩 인터페이스를 통해서만 시스템 제어 모듈로 전송함으로써, 보호 대상 호스트가 데이터 격리 상태가 되도록 한다. 상기 보호 대상 호스트가 데이터 격리 상태에 있는 경우, 시스템 제어 모듈은 상기 도입된 데이터에 대해 보안 검사를 수행하며; 상기 도입된 데이터가 보안 검사를 통과한 후, 인터페이스 제어 모듈의 내부 메모리를 통해 상기 도입된 데이터를 격리 및 저장한다. 해당 격리 및 저장은 상기 하드웨어 제어 로직에 의해 제어되어 상기 포워딩 인터페이스와 인터페이스 제어 모듈의 내부 메모리 간의 물리적 라인을 연통시키고, 상기 외부 인터페이스와 포워딩 인터페이스, 내부 메모리와 내부 인터페이스 간의 물리적 라인을 차단시키며, 상기 도입된 데이터는 상기 포워딩 인터페이스를 통해 인터페이스 제어 모듈의 내부 메모리에 복사된다. 그 후, 상기 하드웨어 제어 로직은 외부 인터페이스와 내부 메모리 간의 물리적 회로를 차단시키고, 내부 스토리지와 내부 인터페이스 간의 물리적 라인이 연통되도록 제어하며; 내부 메모리의 상기 도입된 데이터는 내부 인터페이스를 통해 상기 보호 대상 호스트로 전송되며, 해당 기간에 하드웨어 제어 로직은 외부 인터페이스와 포워딩 인터페이스, 포워딩 인터페이스와 내부 메모리 간의 물리적 라인의 차단 상태를 유지하고, 마지막으로 상기 보호 대상 호스트는 상기 내부 인터페이스를 통해 상기 도입된 데이터를 수신한다.
여전히 외부 장치가 저장류 장치인 경우를 예로 들면, 상기 보호 대상 호스트가 해당 저장류 장치로 데이터를 도출해야 하는 경우, 인터페이스 제어 모듈의 내부 메모리를 통해 상기 도출된 데이터를 격리 및 저장하며, 여기서, 먼저 상기 하드웨어 제어 로직을 통해 상기 내부 메모리와 내부 인터페이스 간의 물리적 라인을 연통시키고, 상기 보호 대상 호스트의 도출된 데이터를 상기 내부 인터페이스를 경유하여 상기 내부 메모리로 전송함과 동시에, 상기 내부 메모리와 기타 인터페이스 간의 물리적 라인이 차단 상태를 유지하도록 하며; 그 후, 상기 하드웨어 제어 로직을 통해 상기 내부 메모리와 내부 인터페이스 간의 물리적 라인을 차단하며, 상기 내부 메모리와 상기 포워딩 인터페이스 간의 물리적 라인을 연통시키고; 상기 내부 메모리의 상기 도출된 데이터를 포워딩 인터페이스를 통해 시스템 제어 모듈로 전송하며; 상기 시스템 제어 모듈은 상기 도출된 데이터에 대한 합규성 검사를 수행하여, 도출된 데이커가 설정된 합규 정책에 부합되는지 확인하며, 이와 동시에 시스템 제어 로직은 외부 인터페이스와 포워딩 인터페이스, 내부 인터페이스와 내부 메모리 간의 물리적 라인의 연결을 차단 상태로 유지한다. 상기 도출된 데이터가 합규성 검사를 통과하면, 상기 하드웨어 제어 로직은 해당 저장류 장치에 접속된 외부 인터페이스와 포워딩 인터페이스 간의 물리적 라인을 연통시키며, 마지막으로 상기 도출된 데이터를 외부 인터페이스에 접속된 저장류 장치에 복사하고, 이 기간에 하드웨어 제어 로직은 포워딩 인터페이스와 내부 메모리, 내부 인터페이스와 내부 메모리 간의 물리적 라인을 차단상태로 유지한다.
보다시피, 본 발명의 데이터 포워딩 제어 방법에 따르면, 외부 장치 유형이 직접 연결 장치인지 또는 데이터 도입/도출에 필요한 저장류 장치인지를 막론하고, 반드시 하드웨어 제어 로직을 통해 내부 물리적 라인의 온오프를 제어해야 하며, 보호 대상 호스트를 거치는 데이터의 포워딩 저장 및 격리 식별을 구현하여, 데이터 포워딩의 안전 보호를 보장한다.
도 3은 본 발명에 따른 단말 보호 장치의 내부 구조의 실시 예를 나타낸다.
해당 실시예에서, 상기 단말 보호 장치는 주로 인터페이스 제어 보드 A와 시스템 제어 보드 B로 구성되며, 인터페이스 제어 보드 A는 하드웨어 제어 로직을 구비하고, USB, 직렬 포트 및 네트워크 인터페이스의 물리적 라인 데이터 포워딩 통신을 지원한다. 인터페이스 제어 보드와 시스템 제어 보드 B는 라인 E (예: 버스)에 대한 제어를 통해 연통되고, 인터페이스 제어 보드 A의 각 인터페이스의 작업 모드를 제어하는데 사용되며, USB 인터페이스, 직렬 포트 및 네트워크 포트의 서로 다른 작업 모드를 예로 들 수 있다. 이로써 다양한 외부 장치의 접속에 대한 보안 관제 기능을 구현한다. 시스템 제어 보드 A는 각 인터페이스의 작업 모드를 제어할 수 있으며, 작업 모드는 사용 가능, 사용 불가능, 네트워크 프로토콜 필터링, 플로우 미러링 또는 플로우 감사 등을 포함하지만, 본 발명은 특정된 작업 모드 제어 유형에 국한되지 않는다. 시스템 제어 보드B는 I2C 또는 SPI 인터페이스를 통해 인터페이스 제어 보드A에 연결될 수 있지만, 본 발명은 이러한 특정 제어 연결 인터페이스에 국한되지 않는다. 인터페이스 제어 보드는 다양한 유형의 포워딩 인터페이스(데이터 연결 F의 직렬 포트, 네트워크 포트, USB 등)를 통해 외부 인터페이스와 내부 인터페이스에서 전송된 데이터 트래픽을 시스템 제어 보드로 포워딩한다.
상기 단말 보호 장치의 인터페이스 제어 보드는 내부 메모리에 접속되어야 하며, 도 3의 하드웨어 메모리 D와 같이, 상기 인터페이스 제어 보드의 각 인터페이스 간에 교환되는 데이터를 격리 및 저장한다.
외부 장치가 인터페이스 제어 보드의 다양한 유형의 외부 인터페이스를 통해 접속할 경우, 시스템 제어 보드는 설정된 보안 정책에 따라 인터페이스 제어 보드의 다양한 인터페이스 유형에 대해 보안 인증을 수행하여 상기 외부 장치가 접속 허가 장치인지 확인한다.
본 실시예에서, 단말 보호 장치에 의해 구현되는 보안 기능은 관리자가 외접식 단말 보호 장치에 대해 권한 및 보안 정책을 미리 설정하는 것을 포함하나, 이에 국한되지 않는다; 보안 정책에는 데이터 도입(예: USB 인터페이스) 활성화, 데이터 도출(예: USB 인터페이스) 활성화, USB 접속 장치 제한(예: USB 장치를 기반으로 한 Vendor ID,즉 공급 업체 식별 코드 및/또는 Product ID,즉 제품 식별 코드), 데이터 도입 안티 바이러스 정책, 데이터 도출 블랙/화이트 리스트 제어 정책, 데이터 도출 형식 제어 정책, 직렬 포트 접속 활성화 정책, USB 인터페이스 접속 보호, 네트워크 통신 감사 활성화, 방화벽 기능 활성화, 직렬 명령 블랙/화이트 리스트 설정 등을 포함하나, 이에 국한되지 않는다.
바람직한 실시예에서, 보안 정책은 관리자가 각 보안 정책을 설정한 후, 이러한 관련 보안 정책이 상기 단말 보호 장치에 의해 하나씩 실행되는 것을 포함한다.
바람직한 실시예에서, 보안 정책은 관리자가 상기 단말 보호 장치가 모니터링 보호 모드로 진입했는지 여부를 제어하고, 해당 모드는 보호 대상 호스트와의 연결을 모니터링하고, 비정상 조건에서 경보를 발송하는 것을 포함한다.
바람직한 실시예에서, 보안 정책은 비정상적인 알람 또는 인터페이스 접속 조건을 후속 관리자가 조회할 수 있도록 기록할 필요가 있는 경우에, 내부 메모리가 상기 알람 정보 또는 인터페이스 접속 로그 정보를 추가로 기록하는 것을 포함한다.
상기 하드웨어 제어 로직은 인터페이스 제어 보드 내부의 각인터페이스 간의 물리적 라인의 온오프를 구현한다. 바람직한 실시예에서, 상기 시스템 제어 보드가 보안 정책을 통해 외부 장치에 대한 보안 인증을 수행하고, 상기 외부 장치가 접속 허가 장치가 아닌 것을 확인한 경우, 버스를 통해 인터페이스 제어 보드의 하드웨어 제어 로직에 상기 외부 장치가 접속한 외부 인터페이스와 포워딩 인터페이스 간의 물리적 라인의 차단 상태를 유지하도록 알리며, 상기 외부 장치 접속 후의 데이터 전송에 대한 필터링 및 금지를 수행한다. 상기 시스템 제어 보드가 외부 장치의 보안 인증을 수행한 후, 상기 외부 장치가 접속 허가 장치 인 것으로 확인되면, 버스를 통해 인터페이스 제어 보드가 상기 외부 장치의 데이터 전송을 허용하도록 알리며; 상기 인터페이스 제어 보드의 하드웨어 제어 로직은 상기 외부 장치에 접속된 외부 인터페이스와 포워딩 인터페이스 간의 물리적 라인을 연통시킨다.
도 4는 본 발명과 관련된 USB 데이터 포워딩 제어의 실시예를 나타낸다.
여기서, 인터페이스 제어 보드는 인터페이스 제어 로직을 포함하며, 이는 인터페이스 제어 보드 내부 각 인터페이스 간의 물리적 라인의 온오프를 구현하는데 사용되고; 인터페이스 제어 보드의 내부 USB 인터페이스 UA3는 보호 대상 호스트의 USB 포트에 연결되고, 포워딩 인터페이스 UB1, UB2는 각각 시스템 제어 보드의 USB 인터페이스 UD3 및 UD4에 접속되고, 외부 USB 인터페이스 UA1에 접속될 외부 장치 U 디스크 또는 모바일 저장 매체에 삽입하고, UB3를 데이터를 저장할 내부 USB 저장소에 삽입하고, CTRL 포트를 버스 인터페이스로서 시스템 제어 보드의 제어 인터페이스에 연결한다.
외부 장치의 USB의 데이터를 보호 대상 호스트에 도입해야 하는 경우, 시스템 제어 보드는 버스를 통해 제어 명령을 전송하여 인터페이스 제어 보드에 알림으로써, 상기 하드웨어 제어 로직을 제어하여 UA1과 UB1 간의 물리적 라인을 연통시키고, USB의 데이터 Data1을 시스템 제어 보드의 캐시에 복사하며, 이 기간에 하드웨어 제어 로직은 포워딩 인터페이스 UB1 (시스템 제어 보드에 연결됨) 및 UB3 (내부 USB 스토리지에 연결됨)의 물리적 라인이 차단된 상태를 유지하도록 하며, 이와 동시에, 내부 USB 인터페이스 UA3 (보호 대상 호스트에 연결됨)과 UB3 간의 물리적 라인이 차단된 상태를 유지하도록 한다.
하드웨어 제어 로직 후에, UA1과 UB1 간의 물리적 라인의 스위치를 오프하고, UB1과 UB3 간의 물리적 라인을 연통시키며, UB3내부 USB에 저장된 데이터를 UB1 인터페이스에 접속시키며, 시스템 제어 보드는 캐시의 데이터 Data1에 대한 보안 검사를 수행함으로써, 보호 대상 호스트의 격리 상태에서 UA1에 삽입된 USB 저장소에 대한 바이러스 제거 등 보안 검사를 수행한다. Data1이 보안 테스트를 통과한 후, 데이터 Data1을 인터페이스 제어 보드의 UB3 인터페이스의 내부 USB 저장소에 복사하며, 이 기간에 하드웨어 제어 로직은 UA1과 UB1, UA3과 UB3 간의 물리적 연결이 차단 상태를 유지하도록 제어한다. 그 후, 하드웨어 제어 로직은 UB1과 UB3 간의 물리적 연결을 차단하고, UA3과 UB3 간의 물리적 라인을 연통시키며, UB3 인터페이스의 내부 USB 저장소의 데이터 Data1을 내부 인터페이스 UA3을 통해 보호 대상 호스트로 전송하며, 이 기간에 하드웨어 제어 로직은 UA1과 UB1, UB1과 UB3 간의 물리적 라인을 차단시킨다.
이에 상응하게, 보호 대상 호스트의 데이터를 외부 장치의 USB로 도출해야 하는 경우, 시스템 제어 보드는 버스를 통해 제어 명령을 전송하여 인터페이스 제어 보드에 알림으로써, 상기 하드웨어 제어 로직을 내부 인터페이스 UA3과 UB3의 물리적 라인을 연통시키도록 제어하며, UB3 인터페이스의 내부 USB 저장소는 보호 대상 호스트와 연통되고, 사용자가 보호 대상 호스트 B를 작동시켜 데이터 Data2를 상기 내부 USB 저장소로 도입하며, 이 기간에 하드웨어 제어 로직은 외부 인터페이스 UA1과 포워딩 인터페이스 UB1, UB1과 UB3 간의 물리적 라인이 차단되도록 유지한다. 그 후, 하드웨어 제어 로직은 UA3와 UB3 간의 물리적 라인을 차단하고,
UB1과 UB3 간의 물리적 라인을 연통시키며, UB3 인터페이스의 내부 USB 스토리지에 있는 데이터 Data2를 포워딩 인터페이스 UB1을 통해 시스템 제어 보드의 캐시로 포워딩하며, 시스템 제어 보드는 캐시의 데이터 Data2에 대한 합규성 검사를 수행하여, 도출된 데이터가 설정된 합규 정책에 부합되는지 확인하며, 이 기간 동안 하드웨어 제어 로직은 외부 인터페이스 UA1과 포워딩 인터페이스 UB1, 내부 인터페이스 UA3과 UB3 간의 물리적 라인이 차단상태를 유지하도록 한다. 도출된 데이터 Data2가 합규성 검사를 통과한 것으로 확인되면, 하드웨어 제어 로직은 외부 인터페이스 UA1과 포워딩 인터페이스 UB1 간의 물리적 라인을 연통시키고, 데이터 Data2를 UA1 인터페이스의 외부 장치 USB에 복사하며, 그 동안 하드웨어 제어 로직은 포워딩 인터페이스 UB1과 UB3, 내부 인터페이스 UA3과 UB3 간의 물리적 라인이 차단 상태를 유지하도록 한다. 이로서, 데이터 도출 프로세스가 완료된다.
본 실시예에서 단말 보호 장치의 데이터 도입 및 도출의 과정은 하드웨어 제어 로직의 제어에 의해, 임의의 시각에 한 곳만 연통시키고, 기타 연결은 물리적 라인이 차단된 상태에 있으므로, 외부 장치가 접속된 후에 보호 대상 호스트와의 단방향/양방향 데이터 전송이 모두 데이터 흐름 필터링 금지 제어를 수행하도록 보장한다.
도 4에 도시된 또 다른 실시 예에서는 비 저장류 USB 직접 연결 장치의 데이터 포워딩 제어 방법이 제공되며, 주로 USB 광학 드라이브와 같이 직접 연결되어야 하는 일부 비 저장류의 USB 장치를 위한 것이다. 하드웨어 제어 로직을 통해 USB 광학 드라이브에 대한 데이터 포워딩 제어를 구현하며, 하드웨어 연결 정황은 다음과 같다: 단말 보호 장치의 인터페이스 제어 보드의 내부 USB 인터페이스 UA4는 보호 대상 호스트의 USB 인터페이스에 접속되고, 포워딩 인터페이스 UB2는 시스템 제어 보드의 USB 인터페이스에 접속되며, 외부 USB 인터페이스 UA2는 보호 대상 호스트 B에 직접 연결되는 USB 광학 드라이브에 삽입되고, 인터페이스 제어 보드의 CTRL 포트는 버스 연결 시스템 제어 보드의 제어 인터페이스에 접속된다.
본 실시예에서, 상기 단말 보호 장치가 USB 장치에 대한 직접 연결 제어 방법은 다음과 같다. 단말 보호 장치의 외부 USB 인터페이스 UA2를 보호 대상 호스트 B에 직접 연결해야 하는 USB 광학 드라이브에 삽입하면, 인터페이스 제어 보드가 버스를 통해 시스템 제어 보드에 알리며, 시스템 제어 보드는 인터페이스 제어 보드의 하드웨어 제어 로직을 제어하여 인터페이스 UA2와 포워딩 인터페이스 UB2의 물리적 라인을 연통시키고, UA2 인터페이스에 삽입된 USB 광학 드라이브와 시스템 제어 보드의 USB 인터페이스가 연통되도록 하며, 이 기간에 하드웨어 제어 로직은 인터페이스 UA2와 보호 대상 호스트의 내부 인터페이스 UA4를 연결하는 물리적 라인이 차단 상태를 유지하도록 한다.
시스템 제어 보드는 UA2 인터페이스의 USB 광학 드라이브에 대한 보안 인증을 수행하여, 해당 외부 장치가 접속 허가 장치인지 확인하며, 해당 USB 광학 드라이브가 접속 허가 장치인 것으로 확인되면, 하드웨어 제어 로직은 외부 인터페이스 UA2와 내부 인터페이스 UA4의 물리적 라인을 연통시키며, UA2 인터페이스에 삽입 된 USB 광학 드라이브와 보호 대상 호스트 간의 연결을 구현한다.
상기 시스템 제어 보드가 하나 이상의 인터페이스의 연결 상태가 변경되었음을 감지한 경우, 하드웨어 제어 로직은 상기 인터페이스와 다른 인터페이스 간의 물리적 라인을 자동으로 차단한다. 예를 들어, UA2 인터페이스에 삽입된 외부 장치가 UA4 인터페이스에 접속되면, 시스템 제어 보드는 인터페이스 제어 보드의 UA2에 삽입된 외부 장치의 연결 상태를 실시간으로 모니터링하고, 외부 장치가 인터페이스에서 분리된 것이 감지되는 즉시, 자동으로 연결을 차단한다.
도 5를 참조하면, 본 발명과 관련된 직렬 포트 데이터 포워딩 제어의 실시예는 직렬 포트 통신 데이터의 필터링을 구현하고 특정 불법 명령의 입력을 금지할 수 있다. 인터페이스 제어 보드의 하드웨어 제어 로직은 외부 직렬 인터페이스 CA1과 포워딩 인터페이스 CB1, 내부 직렬 인터페이스 CA2와 포워딩 인터페이스 CB2 간의 물리적 라인의 차단과 연통을 제어한다. 외부 직렬 인터페이스 CA1에 접속된 외부 장치는 먼저 시스템 제어 보드의 보안 인증을 통과해야 하며, 그 후, 직렬 포트 CD1 과 CD2는 데이터 교환을 실현하고, 인터페이스 제어 보드의 하드웨어 제어 로직은 직렬 포트 CA1과 CB1, CA2와 CB2간의 물리적 라인을 접속시켜, 외부 직렬 인터페이스 CA1의 외부 직렬 포트 장치에서 내부 직렬 인터페이스 CA2로, 다시 보호 대상 호스트로의 데이터 교환 통신을 구현한다.
또한, 시스템 제어 보드는 하드웨어 제어 로직을 통해 CA1과 CB1, CA2와 CB2 간의 물리적 연결을 차단하여, CA1과 CA2 간의 직렬 통신의 라인을 차단한다. CA1와 CA2 간의 통신은 모두 CB1과 CB2를 통해 데이터 포워딩을 수행하기 때문에 시스템 제어 보드는 직렬 통신 데이터를 필터링하고 일부 불법 명령의 입력을 금지할 수 있다.
도 5에 도시된 다른 실시예에서, 상기 단말 보호 장치는 네트워크 케이블의 분리를 방지하는 기능을 구비할 수 있으며, 시스템 제어 보드는 스위칭 칩의 네트워크 포트 레지스터의 상태를 읽어, 외부 네트워크 인터페이스 E1와 내부 네트워크 인터페이스E2의 연결 상태를 획득하며, 연결 상태는 링크 연결 실패/성공으로 설명된다. 시스템 제어 보드는 E1/E2 네트워크 포트의 연결 상태를 모니터링하여 네트워크 포트의 상태 정보를 얻은 다음, 케이블 삽입 또는 분리에 대한 경보를 구현한다.
도 6은 본 발명과 관련된 데이터 포워딩 제어 시스템의 네트워크 배치 실시예이다. 상기 데이터 포워딩 제어 시스템은 하나 이상의 외부 장치; 보호 대상 호스트; 및 내부에 하드웨어 제어 로직을 포함하는 단말 보호 장치를 포함하며, 해당 장치는 보호 대상 호스트에 외부적으로 연결되고, 보호 대상 호스트의 모든 데이터 인터페이스를 관리하며, 상기 하드웨어 제어 로직은 데이터 포워딩을 위한 물리적 라인의 연통 및/또는 차단을 제어함으로써, 외부 장치와 보호 대상 호스트 간의 데이터 상호 작용을 제어한다. 여기서, 데이터 포워딩 제어의 방법은 전술한 바와 같으며, 여기서는 중복하지 않는다.
또한, 상기 데이터 포워딩 제어 시스템은 상기 단말 보호 장치를 원격으로 제어하기 위한 제어 센터를 더 포함하며, 제어 센터는 서버, 관리 워크 스테이션 및 기타 노드로 구성되며, 네트워크 스위칭 노드를 통해 상기 단말 보호 장치의 네트워크 EA1에 연결된다.
본 명세서에서는 대량의 특정된 세부 정보가 설명되었다. 그러나, 본 발명의 실시예는 이러한 특정 세부 사항이 없는 경우에도 구현 될 수 있음을 이해할 수 있을 것이다. 일부 실시예에서, 잘 알려진 공지의 방법, 구조 및 기술은 본 명세서의 이해를 모호하게 하지 않기 위해 상세히 설명되지 않는다.
이와 유사하게, 본 발명에 대한 설명을 간소화하고 다양한 발명의 측면 중 하나 이상을 이해하는 것을 돕기 위해, 본 발명의 예시적인 실시예에 대한 상기 설명에서, 본 발명의 다양한 특징은 경우에 따라 단일 실시예, 도면, 또는 이에 대한 설명에 함께 포괄됨을 이해해야 할 것이다. 그러나, 개시된 방법은 청구된 발명이 청구 범위에 명시적으로 언급된 것보다 더 많은 특징을 요구한다는 의도를 반영하는 것으로 해석되어서는 안된다. 따라서, 특정 실시예에 따른 청구 범위는 해당 특정 실시예에 명시적으로 통합되며, 각 청구 범위 자체는 본 발명의 별도의 실시예로서 작용한다.
당업자들은 실시예의 장치에서 모듈을 적응적으로 변경하여 해당 실시예와 다른 하나 이상의 장치에 설치하는 것이 가능함을 이해할 수 있을 것이다. 실시예에서의 모듈 또는 유닛 또는 구성 요소는 하나의 모듈 또는 유닛 또는 구성 요소로 결합될 수 있으며, 추가로 이들은 다수의 서브 모듈 또는 서브 유닛 또는 서브 구성 요소로 분할 될 수 있다. 이러한 특징 및/또는 프로세스 또는 유닛 중 적어도 일부가 상호 배타적이라는 점을 제외하고, 임의의 조합을 사용하여 본 명세서(첨부된 청구 범위, 요약서 및 도면 포함)에 개시된 모든 특징 및 이러한 방식으로 개시된 방법 또는 장치의 모든 프로세스 또는 유닛을 조합할 수 있다. 달리 명시 적으로 언급하지 않는 한, 본 명세서(첨부된 청구 범위, 요약서 및 도면 포함)에 개시된 각 특징은 동일하거나 동등하거나 유사한 목적을 제공하는 대안적인 특징으로 대체될 수 있다.
또한, 당업자들은 본 명세서에 기재된 일부 실시예가 다른 실시예에 포함된 일부 특징을 포함하고 다른 특징은 포함하지 않지만, 상이한 실시예의 특징의 조합은 이들이 본 발명의 범위 내에 있으며 상이한 실시예를 구성함을 이해할 수 있다. 예를 들면, 청구 범위에서 청구된 실시예 중 어느 하나는 임의의 조합으로 사용될 수 있다.
본 발명의 다양한 구성 요소 실시예는 하드웨어, 또는 하나 이상의 프로세서에서 실행되는 소프트웨어 모듈에 의해, 또는 이들의 조합에 의해 구현될 수 있다. 당업자들은 구현 과정에서 마이크로 프로세서 또는 디지털 신호 프로세서(DSP)를 사용하여 본 발명의 실시예에 따른 텍스트 콘텐츠 촬영 및 기록 장치, 컴퓨팅 장치 및 컴퓨터 판독 가능 저장 매체의 일부 또는 전부 기능을 구현 할 수 있음을 이해할 것이다. 본 발명은 또한 여기에 설명된 방법의 일부 또는 전부를 실행하기 위한 장치 또는 장치 프로그램 (예를 들어, 컴퓨터 프로그램 및 컴퓨터 프로그램 제품)으로 구현 될 수 있다. 본 발명을 구현하기 위한 이러한 프로그램은 컴퓨터 판독 가능 매체에 저장되거나 또는 하나 이상의 신호 형태를 가질 수 있다. 이러한 신호는 인터넷 웹 사이트에서 다운로드 하거나 캐리어 신호로 제공 또는 기타 임의의 형태로 제공될 수 있다.

Claims (14)

  1. 단말 보호 장치를 보호 대상 호스트에 외부적으로 연결하고, 상기 단말 보호 장치는 인터페이스 제어 모듈 및 시스템 제어 모듈을 포함하며, 하드웨어 제어 로직 모듈, 내부 인터페이스, 외부 인터페이스 및 포워딩 인터페이스는 인터페이스 제어 모듈에 위치하며, 보호 대상 호스트의 모든 데이터 인터페이스를 단말 보호 장치의 복수개의 내부 인터페이스에 대응되게 각각 연결하고, 상기 포워딩 인터페이스는 상기 시스템 제어 모듈에 연결하며;
    외부 장치가 보호 대상 호스트에 데이터를 도입해야 하는 경우, 상기 단말 보호 장치의 내부의 하드웨어 제어 로직 모듈은 상기 외부 장치에 접속된 외부 인터페이스와 포워딩 인터페이스 간의 물리적 라인을 연통시키고, 포워딩 인터페이스와 기타 인터페이스 간의 물리적 라인은 차단 상태를 유지시키며, 상기 도입된 데이터는 단지 포워딩 인터페이스를 통해서만 시스템 제어 모듈로 전송되므로 외부 장치와 보호 대상 호스트 간의 데이터 호환을 제어함으로써, 상기 외부 장치가 보호 대상 호스트에 데이터를 도입해야 하는 경우, 보호 대상 호스트는 데이터 격리 상태를 유지하는 것을 포함하고,
    상기 하드웨어 제어 로직 모듈을 통해 상기 단말 보호 장치 내부의 외부 인터페이스와 시스템 제어 모듈 간의 물리적 라인을 연통시키고;
    시스템 제어 모듈을 통해 외부 장치에 대한 보안 인증을 수행하며, 상기 외부 장치가 접속 허가 장치인지 여부를 확인하며;
    상기 시스템 제어 모듈을 통해 외부 장치에 대한 보안 인증을 수행한 후, 상기 외부 장치가 접속 허가 장치인지 여부를 확인할 때, 상기 하드웨어 제어 로직 모듈은 상기 외부 장치에 접속된 외부 인터페이스와 기타 인터페이스의 물리적 라인을 차단한 상태이며, 상기 외부 장치에 접속된 데이터 전송을 필터링 및 금지하며; 및/또는
    상기 시스템 제어 모듈에서 외부 장치에 대한 보안 인증을 수행한 후, 상기 외부 장치가 접속이 허가된 장치임이 확인된 경우, 상기 하드웨어 제어 로직 모듈은 상기 외부 장치에 접속된 외부 인터페이스와 기타 인터페이스 간의 물리적 라인을 연통시키는 것을 특징으로 하는 데이터 포워딩 제어 방법.
  2. 제1항에 있어서,
    상기 보호 대상 호스트가 데이터 격리 상태에 있을 때, 시스템 제어 모듈은 상기 도입된 데이터에 대해 보안 검사를 수행하고;
    상기 도입된 데이터가 보안 검사를 통과한 후, 다시 인터페이스 제어 모듈의 내부 메모리를 통해 상기 도입된 데이터를 격리 및 저장하는 것을 특징으로 하는 데이터 포워딩 제어 방법.
  3. 제2항에 있어서,
    상기 인터페이스 제어 모듈의 내부 메모리를 통해 상기 도입된 데이터를 격리 및 저장하는 것은 상기 하드웨어 제어 로직 모듈이 상기 포워딩 인터페이스와 인터페이스 제어 모듈의 내부 메모리 간의 물리적 라인이 연통되도록 제어하고, 상기 외부 인터페이스와 포워딩 인터페이스, 내부 메모리와 내부 인터페이스 간의 물리적 라인을 차단시키며, 상기 도입된 데이터를 상기 포워딩 인터페이스를 통해 인터페이스 제어 모듈의 내부 메모리로 복사하는 것을 포함하는 것을 특징으로 하는 데이터 포워딩 제어 방법.
  4. 제2항에 있어서,
    상기 하드웨어 제어 로직 모듈은 외부 인터페이스와 내부 메모리 간의 물리적 라인을 차단시키고, 내부 메모리와 내부 인터페이스 간의 물리적 라인이 연통되도록 제어하며;
    내부 메모리의 상기 도입된 데이터를 내부 인터페이스를 통해 상기 보호 대상 호스트로 전송하고, 상기 도입된 데이터가 상기 보호 대상 호스트로 전송되는 기간에 하드웨어 제어 로직 모듈은 외부 인터페이스와 포워딩 인터페이스, 포워딩 인터페이스와 내부 메모리 간의 물리적 라인이 차단 상태를 유지하도록 하며;
    상기 보호 대상 호스트는 상기 내부 인터페이스를 통해 상기 도입된 데이터를 수신하는 것을 특징으로 하는 데이터 포워딩 제어 방법.
  5. 제1항에 있어서,
    상기 보호 대상 호스트가 외부 장치에 데이터를 도입하려는 경우, 인터페이스 제어 모듈의 내부 메모리를 통해 상기 도입된 데이터를 격리 및 저장하는 것을 특징으로 하는 데이터 포워딩 제어 방법.
  6. 제5항에 있어서,
    인터페이스 제어 모듈의 내부 메모리를 통해 상기 도입된 데이터를 격리 및 저장하는 것은, 상기 하드웨어 제어 로직 모듈을 통해 상기 내부 메모리와 내부 인터페이스 간의 물리적 라인을 연통시킴으로써 상기 보호 대상 호스트의 도입된 데이터를 상기 내부 인터페이스를 거쳐 상기 내부 메모리로 전송하며, 상기 내부 메모리와 기타 인터페이스 간의 물리적 라인은 차단 상태를 유지하는 것을 특징으로 하는 데이터 포워딩 제어 방법.
  7. 제6항에 있어서,
    상기 보호 대상 호스트의 도입된 데이터를 상기 내부 인터페이스를 거쳐 상기 내부 메모리로 전송한 후,
    상기 하드웨어 제어 로직 모듈은 상기 내부 메모리와 내부 인터페이스 간의 물리적 라인을 차단시킴으로써 상기 내부 메모리와 상기 포워딩 인터페이스 간의 물리적 라인을 연통시키며;
    상기 내부 메모리의 상기 도입된 데이터를 포워딩 인터페이스를 통해 시스템 제어 모듈로 전송하며;
    상기 시스템 제어 모듈은 상기 도입된 데이터에 대한 합규성 검사를 수행하여 도입된 데이터가 설정된 합규정책에 부합되는지 확인함과 동시에, 하드웨어 제어 로직 모듈은 외부 인터페이스 UA1와 포워딩 인터페이스UB1, 내부 인터페이스UA3와 UB3 간의 물리적 라인이 차단 상태를 유지하는 것을 특징으로 하는 데이터 포워딩 제어 방법.
  8. 제7항에 있어서,
    상기 도입된 데이터가 합규성 검사를 통과하면, 상기 하드웨어 제어 로직 모듈은 외부 장치의 외부 인터페이스와 포워딩 인터페이스 간의 물리적 라인을 연통시키며;
    상기 도입된 데이터를 외부 인터페이스에 접속된 외부 장치에 복사함과 동시에, 하드웨어 제어 로직 모듈은 포워딩 인터페이스와 내부 메모리, 내부 인터페이스와 내부 메모리 간의 물리적 라인이 차단상태를 유지하도록 하는 것을 특징으로 하는 데이터 포워딩 제어 방법.
  9. 하나 이상의 외부 장치;
    보호 대상 호스트; 및
    내부에 하드웨어 제어 로직 모듈이 포함된 단말 보호 장치; 를 포함하는 데이터 포워딩 제어 시스템에 있어서,
    상기 단말 보호 장치는 보호 대상 호스트에 외부적으로 연결되고, 보호 대상 호스트의 모든 데이터 인터페이스를 관리하며, 상기 단말 보호 장치는 인터페이스 제어 모듈 및 시스템 제어 모듈을 포함하며, 하드웨어 제어 로직 모듈, 내부 인터페이스, 외부 인터페이스 및 포워딩 인터페이스는 인터페이스 제어 모듈에 위치하며, 보호 대상 호스트의 모든 데이터 인터페이스를 단말 보호 장치의 복수개의 내부 인터페이스에 대응되게 각각 연결하고, 상기 포워딩 인터페이스는 상기 시스템 제어 모듈에 연결하며;
    상기 외부 장치가 보호 대상 호스트에 데이터를 도입해야 하는 경우, 단말 보호 장치 내부의 하드웨어 제어 로직 모듈은 상기 외부 장치에 접속된 외부 인터페이스와 포워딩 인터페이스 간의 물리적 라인을 연통시키고, 포워딩 인터페이스와 기타 인터페이스 간의 물리적 라인은 차단 상태를 유지시키며, 상기 도입된 데이터는 단지 포워딩 인터페이스를 통해서만 시스템 제어 모듈로 전송되므로, 외부 장치와 보호 대상 호스트 간의 데이터 호환을 제어함으로써, 상기 외부 장치가 보호 대상 호스트에 데이터를 도입해야 하는 경우, 보호 대상 호스트는 데이터 격리 상태를 유지하는 것을 포함하고;
    상기 하드웨어 제어 로직 모듈을 통해 상기 단말 보호 장치 내부의 외부 인터페이스와 시스템 제어 모듈 간의 물리적 라인을 연통시키고;
    시스템 제어 모듈을 통해 외부 장치에 대한 보안 인증을 수행하며, 상기 외부 장치가 접속 허가 장치인지 여부를 확인하며;
    상기 시스템 제어 모듈을 통해 외부 장치에 대한 보안 인증을 수행한 후, 상기 외부 장치가 접속 허가 장치인지 여부를 확인할 때, 상기 하드웨어 제어 로직 모듈은 상기 외부 장치에 접속된 외부 인터페이스와 기타 인터페이스의 물리적 라인을 차단한 상태이며, 상기 외부 장치에 접속된 데이터 전송을 필터링 및 금지하며; 및/또는
    상기 시스템 제어 모듈에서 외부 장치에 대한 보안 인증을 수행한 후, 상기 외부 장치가 접속이 허가된 장치임이 확인된 경우, 상기 하드웨어 제어 로직 모듈은 상기 외부 장치에 접속된 외부 인터페이스와 기타 인터페이스 간의 물리적 라인을 연통시키는 것을 더 포함하는 것을 특징으로 하는 데이터 포워딩 제어 시스템.
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
KR1020207036697A 2018-10-29 2019-01-16 하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법 및 시스템 KR102313544B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201811264760.8 2018-10-29
CN201811264760.8A CN109522760B (zh) 2018-10-29 2018-10-29 一种基于硬件控制逻辑的数据转发控制方法及***
PCT/CN2019/072031 WO2020087783A1 (zh) 2018-10-29 2019-01-16 一种基于硬件控制逻辑的数据转发控制方法及***

Publications (2)

Publication Number Publication Date
KR20210003934A KR20210003934A (ko) 2021-01-12
KR102313544B1 true KR102313544B1 (ko) 2021-10-15

Family

ID=65774298

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207036697A KR102313544B1 (ko) 2018-10-29 2019-01-16 하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법 및 시스템

Country Status (6)

Country Link
US (1) US10931641B1 (ko)
EP (1) EP3876121B1 (ko)
JP (1) JP7191990B2 (ko)
KR (1) KR102313544B1 (ko)
CN (1) CN109522760B (ko)
WO (1) WO2020087783A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109561071B (zh) * 2018-10-29 2020-07-07 北京博衍思创信息科技有限公司 一种数据流量控制的外接式终端防护设备及防护***
CN111835680A (zh) * 2019-04-18 2020-10-27 四川卫鼎新科信息技术有限公司 一种工业自动制造的安全防护***
CN111447240B (zh) * 2020-04-29 2022-02-15 安康鸿天科技股份有限公司 数据通信控制方法、装置、***、存储介质及计算机设备
CN111753340B (zh) * 2020-05-18 2023-07-18 贵州电网有限责任公司 一种usb接口信息安全防控方法及***
CN111666568B (zh) * 2020-07-13 2023-01-24 深圳犁陌科技有限公司 一种防病毒入侵的自断式数据安全传输方法
JP7356483B2 (ja) * 2021-10-18 2023-10-04 株式会社日立製作所 情報処理装置、真正性検証方法、及びプログラム
CN114385539B (zh) * 2022-01-12 2024-05-10 苏州国芯科技股份有限公司 一种usb存储设备的验证***、方法、装置及介质
CN115203686A (zh) * 2022-07-11 2022-10-18 北京博衍思创信息科技有限公司 基于接口检测的外接式防护设备和方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060072241A1 (en) 2004-09-30 2006-04-06 Feliss Norbert A System, method, and apparatus for a wireless hard disk drive
CN103020546A (zh) 2012-12-18 2013-04-03 广州市华标科技发展有限公司 智能物理隔离安全数据交换设备及方法
CN103532980A (zh) 2013-10-30 2014-01-22 国家信息中心 内外网安全接入终端
CN106022094A (zh) 2016-06-29 2016-10-12 国家电网公司 一种可集成于计算机的外网u盘隔离检测仪及检测方法

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US20070293183A1 (en) * 2002-12-11 2007-12-20 Ira Marlowe Multimedia device integration system
JP4945053B2 (ja) 2003-03-18 2012-06-06 ルネサスエレクトロニクス株式会社 半導体装置、バスインターフェース装置、およびコンピュータシステム
US10454931B2 (en) * 2005-01-31 2019-10-22 Unisys Corporation Secure remote access for secured enterprise communications
US20070174429A1 (en) * 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
US9083565B2 (en) * 2006-09-25 2015-07-14 Hangzhou H3C Technologies Co., Ltd. Network apparatus and method for communication between different components
US8595487B2 (en) * 2006-11-01 2013-11-26 Vmware, Inc. Virtualization hardware for device driver isolation
US8230149B1 (en) * 2007-09-26 2012-07-24 Teradici Corporation Method and apparatus for managing a peripheral port of a computer system
JP4999736B2 (ja) 2008-03-13 2012-08-15 キヤノン株式会社 データ処理装置
US20140075567A1 (en) * 2009-01-28 2014-03-13 Headwater Partners I Llc Service Processor Configurations for Enhancing or Augmenting System Software of a Mobile Communications Device
US9351193B2 (en) * 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US9980146B2 (en) * 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
CN101989923B (zh) * 2009-07-31 2013-08-28 国际商业机器公司 将cim代理注册到管理代理的方法和***以及管理***
IT1398578B1 (it) 2010-03-05 2013-03-01 Elsag Datamat Spa Dispositivo elettronico portatile interfacciabile ad un calcolatore
US8566934B2 (en) 2011-01-21 2013-10-22 Gigavation, Inc. Apparatus and method for enhancing security of data on a host computing device and a peripheral device
US9392077B2 (en) * 2012-10-12 2016-07-12 Citrix Systems, Inc. Coordinating a computing activity across applications and devices having multiple operation modes in an orchestration framework for connected devices
US9224013B2 (en) * 2012-12-05 2015-12-29 Broadcom Corporation Secure processing sub-system that is hardware isolated from a peripheral processing sub-system
US9471781B2 (en) 2013-08-23 2016-10-18 Cisco Technology, Inc. Method and apparatus for monitoring and filtering universal serial bus network traffic
CN103532978A (zh) * 2013-10-30 2014-01-22 北京艾斯蒙科技有限公司 内外网安全接入模式
CN203618018U (zh) * 2013-10-30 2014-05-28 国家信息中心 内外网安全接入终端
CN203618020U (zh) * 2013-10-30 2014-05-28 北京艾斯蒙科技有限公司 内外网安全接入模式
US20150365237A1 (en) 2014-06-17 2015-12-17 High Sec Labs Ltd. Usb security gateway
US9911011B1 (en) * 2014-11-19 2018-03-06 Western Digital Technologies, Inc. Communications device that logically connects an upstream signal line to a downstream signal line
JP6719894B2 (ja) 2015-12-04 2020-07-08 キヤノン株式会社 機能デバイス、制御装置
US9984248B2 (en) * 2016-02-12 2018-05-29 Sophos Limited Behavioral-based control of access to encrypted content by a process
US11277416B2 (en) * 2016-04-22 2022-03-15 Sophos Limited Labeling network flows according to source applications
US10855725B2 (en) * 2016-06-02 2020-12-01 Microsoft Technology Licensing, Llc Hardware-based virtualized security isolation
US10210326B2 (en) * 2016-06-20 2019-02-19 Vmware, Inc. USB stack isolation for enhanced security
CN206003099U (zh) * 2016-06-29 2017-03-08 国家电网公司 一种可集成于计算机的外网u盘隔离检测仪
GB2551813B (en) * 2016-06-30 2020-01-08 Sophos Ltd Mobile device policy enforcement
DE102016124383B4 (de) * 2016-10-18 2018-05-09 Fujitsu Technology Solutions Intellectual Property Gmbh Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
US10387686B2 (en) * 2017-07-27 2019-08-20 International Business Machines Corporation Hardware based isolation for secure execution of virtual machines
US10592663B2 (en) * 2017-12-28 2020-03-17 Intel Corporation Technologies for USB controller state integrity protection
US11792307B2 (en) * 2018-03-28 2023-10-17 Apple Inc. Methods and apparatus for single entity buffer pool management

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060072241A1 (en) 2004-09-30 2006-04-06 Feliss Norbert A System, method, and apparatus for a wireless hard disk drive
CN103020546A (zh) 2012-12-18 2013-04-03 广州市华标科技发展有限公司 智能物理隔离安全数据交换设备及方法
CN103532980A (zh) 2013-10-30 2014-01-22 国家信息中心 内外网安全接入终端
CN106022094A (zh) 2016-06-29 2016-10-12 国家电网公司 一种可集成于计算机的外网u盘隔离检测仪及检测方法

Also Published As

Publication number Publication date
JP7191990B2 (ja) 2022-12-19
EP3876121B1 (en) 2023-11-15
EP3876121A1 (en) 2021-09-08
JP2021522619A (ja) 2021-08-30
US10931641B1 (en) 2021-02-23
EP3876121C0 (en) 2023-11-15
KR20210003934A (ko) 2021-01-12
EP3876121A4 (en) 2022-06-08
WO2020087783A1 (zh) 2020-05-07
US20210067487A1 (en) 2021-03-04
CN109522760B (zh) 2020-08-14
CN109522760A (zh) 2019-03-26

Similar Documents

Publication Publication Date Title
KR102313544B1 (ko) 하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법 및 시스템
CN109561071B (zh) 一种数据流量控制的外接式终端防护设备及防护***
KR102313543B1 (ko) 외접식 단말 보호 장치 및 보호 시스템
US8862803B2 (en) Mediating communciation of a univeral serial bus device
AU2011350978B2 (en) Method and device for controlling access to a computer system
US9380023B2 (en) Enterprise cross-domain solution having configurable data filters
MXPA05012560A (es) Manejo de seguridad de computadora, tal como en una maquina virtual o sistema operativo reforzado.
JP2011503689A (ja) 分離型の読み取り専用領域及び読み書き領域を有するコンピュータ記憶デバイス、リムーバブル媒体コンポーネント、システム管理インタフェース、及び、ネットワークインタフェース
CN111901418B (zh) 基于单向文件传输协议的外接式终端防护设备及***
EP3239886B1 (en) System and method of counteracting unauthorized access to microphone data
CN111898167A (zh) 包括身份信息验证的外接式终端防护设备及防护***
CN111885179B (zh) 一种基于文件监测服务的外接式终端防护设备及防护***
US11461490B1 (en) Systems, methods, and devices for conditionally allowing processes to alter data on a storage device
RU2822994C2 (ru) Способ управления перемещением данных на основе логического узла аппаратного управления и система для осуществления способа
JP4638494B2 (ja) コンピュータのデータ保護方法
CN111859434A (zh) 一种提供保密文件传输的外接式终端防护设备及防护***
WO2013125055A1 (ja) 情報制御サーバ及び情報制御方法
EP3239887B1 (en) System and method for protecting transmission of audio data from microphone to application processes
CN111859453A (zh) 外接式防护设备的文件安全防护方法及外接式防护设备
CN111885178A (zh) 包括语音信息验证的外接式终端防护设备及防护***
JP2006251989A (ja) オペレーションシステムでネットワークに対応するデータ保護装置

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant