CN109522760B - 一种基于硬件控制逻辑的数据转发控制方法及系统 - Google Patents
一种基于硬件控制逻辑的数据转发控制方法及系统 Download PDFInfo
- Publication number
- CN109522760B CN109522760B CN201811264760.8A CN201811264760A CN109522760B CN 109522760 B CN109522760 B CN 109522760B CN 201811264760 A CN201811264760 A CN 201811264760A CN 109522760 B CN109522760 B CN 109522760B
- Authority
- CN
- China
- Prior art keywords
- interface
- data
- external
- forwarding
- protected host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本发明公开一种基于硬件控制逻辑的数据转发控制方法及相应的数据转发控制系统,该方法包括:将终端防护设备外接于被保护主机上,并将被保护主机的全部数据接口进行接管;当有外部设备通过终端防护设备与被保护主机进行数据交互时,终端防护设备内部的硬件控制逻辑控制对应数据转发的物理线路连通和/或断开,以控制数据在外部设备与被保护主机之间交互。本发明无需在被保护主机上安装数据监控和安全防护软件即可达到对各类型的数据进行控制和安全防护的功能,通过硬件控制逻辑实现物理线路的隔离,更好的实现数据转发安全控制的效果,进而全面解决了由各个接口可能产生的病毒木马植入以及恶意代码注入等安全隐患。
Description
技术领域
本发明属于计算机安全技术领域,尤其涉及一种基于硬件控制逻辑的数据转发控制方法及相应的数据转发控制系统。
背景技术
近些年,计算机及网络技术获得高速发展,从而大大促进了网络的普及,当人们日益享受着网络带来的便利同时,也为生产/生活中人们所使用的计算机中的数据安全带来了新的威胁,例如常见的有恶意代码入侵、病毒/木马感染、流量攻击、黑客窃取、非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒和中间人窃听等等。
解决内网计算机网络数据安全问题的技术手段已有很多,例如在主机中安装和使用黑/白名单、流量控制软件、防火墙、防病毒、入侵检测系统等网络安全产品,但采取上述措施后各种网络安全事件仍频频发生。据统计,计算机犯罪的70%是由内部人员非法使用主机等关键资源造成的,真正来自外部的威胁只有30%,内部人员在使用主机时缺乏安全意识,又位于防火墙后端,接入各种外部设备不规范,被植入病毒或者木马后门,从而导致数据泄露、病毒感染、系统崩溃甚至网络瘫痪,同时,系统的误操作或者蓄意的破坏,也会对机关、企事业单位等造成恶劣的影响甚至重大损失。
同时,对于某些特殊设备,如配备有特殊软件控制的主机,某些工业领域的工程师站/工作员站的设备,这些主机/设备往往由于系统特殊性,市面上没有此类系统适配的数据控制软件和安全防护软件,或是由于数据控制软件或安全类软件容易导致主机原有软件出现兼容性问题,甚至性能受到影响。另外这些工程师站/工作员站的主机上线后基本不会对操作系统进行升级,即使安装流量监控及安全类软件后也往往不及时更新防恶意代码软件版本和恶意代码库,起不到全面的数据流量控制和安全防护作用。
发明内容
基于此,本发明提供一种解决上述问题的一种基于硬件控制逻辑的数据转发控制方法及系统,以实现对被保护主机的各个接口的接管,确保使用被保护主机的USB接口或串口设备必须通过外接式的终端防护设备完成,从而无需在被保护主机上安装安全防护软件即可到达对被保护主机USB接口或串口进行数据控制和安全防护的目的。
第一方面,本申请提供一种基于硬件控制逻辑的数据转发控制方法,包括:将终端防护设备外接于被保护主机上,并将被保护主机的全部数据接口进行接管;当有外部设备通过终端防护设备与被保护主机进行数据交互时,终端防护设备内部的硬件控制逻辑控制对应数据转发的物理线路连通和/或断开,以控制数据在外部设备与被保护主机之间交互。
可选地,所述将被保护主机的全部数据接口进行接管,进一步为将被保护主机的全部数据接口分别与终端防护设备上的多个对内接口按照接口类型对应一一连接。
可选地,所述硬件控制逻辑通过连通所述终端防护设备内部的对外接口与系统控制模块之间的物理线路,通过系统控制模块对外部设备进行安全鉴权,确认所述外部设备是否为许可接入设备。
可选地,当所述通过系统控制模块对外部设备进行安全鉴权后,确认所述外部设备不是许可接入设备时,所述硬件控制逻辑断开所述外部设备接入的对外接口与其他接口的物理线路的状态,从而对所述外部设备接入后的数据传输进行过滤禁止;和/或当所述系统控制模块外部设备进行安全鉴权后,确认所述外部设备为许可接入设备时,所述硬件控制逻辑连通所述外部设备接入的对外接口与被保护主机接入的对内接口之间的物理线路,从而实现外部设备与被保护主机之间数据转发。
可选地,所述终端防护设备进一步包括接口控制模块,设置所述硬件控制逻辑、对内接口、对外接口以及转发接口位于接口控制模块上;将所述转发接口连接到所述系统控制模块。
可选地,当所述外部设备需要导入数据到被保护主机时,所述硬件控制逻辑连通所述接入外部设备的对外接口与转发接口之间的物理线路,并保持转发接口与其他接口之间物理线路处于断开状态,将所述导入数据仅通过转发接口传输到系统控制模块,使得被保护主机处于数据隔离状态。
可选地,在所述被保护主机处于数据隔离状态下,系统控制模块对所述导入数据进行安全性检测;当所述导入数据通过安全性检测后,再通过接口控制模块中的内部存储器隔离转存所述导入数据。
可选地,所述通过接口控制模块中的内部存储器隔离转存所述导入数据,进一步包括:所述硬件控制逻辑控制连通所述转发接口与接口控制模块的内部存储器之间的物理线路,并断开所述对外接口与转发接口、内部存储器与对内接口之间的物理线路,将所述导入数据通过上述转发接口拷贝到接口控制模块的内部存储器。
可选地,所述硬件控制逻辑断开对外接口与内部存储器之间的物理线路,控制内部存储与对内接口的物理线路连通;将内部存储器中的所述导入数据通过对内接口发送给所述被保护主机,期间硬件控制逻辑保持对外接口与转发接口、转发接口与内部存储器的物理线路的断开状态;所述保护主机通过所述对内接口接收到所述导入数据。
可选地,当所述被保护主机需要导出数据到外部设备时,通过接口控制模块中的内部存储器隔离转存所述导出数据。
可选地,通过所述硬件控制逻辑连通所述内部存储器与对内接口之间的物理线路,将所述被保护主机中的导出数据经由所述对内接口发送给所述内部存储器,并保持所述内部存储器与其他接口之间物理线路处于断开状态。
可选地,当所述被保护主机中的导出数据经由所述对内接口发送给所述内部存储器后,进一步包括,通过所述硬件控制逻辑断开所述内部存储器与对内接口之间的物理线路,连通所述内部存储器与所述转发接口之间的物理线路;将所述内部存储器中的所述导出数据通过转发接口发送给系统控制模块;所述系统控制模块对所述导出数据进行合规性检查,确认导出数据是否符合设定的合规策略,同时硬件控制逻辑保持对外接口与转发接口、对内接口与内部存储器之间的物理线路连接处于断开状态。
可选地,当所述导出数据通过合规性检查后,所述硬件控制逻辑连通接入外部设备的对外接口与转发接口之间的物理线路;将所述导出数据拷入对外接口接入的外部设备中,同时硬件控制逻辑保持转发接口与内部存储器、对内接口与内部存储器之间物理线路处于断开状态。
第二方面,本申请提供一种数据转发控制系统,包括:
一个或多个外部设备;
被保护主机;以及
内部包含硬件控制逻辑的终端防护设备,其外接于被保护主机上,并将被保护主机的全部数据接口进行接管,其中所述硬件控制逻辑用于控制数据转发的物理线路连通和/或断开,以控制数据在外部设备与被保护主机之间交互。
通过本发明上述技术方案,至少具有如下一种或多种技术效果:可以实现对被保护主机各个数据接口的接管,确保使用被保护主机各个接口的数据交互通信都通过外接式的终端完成,从而无需在被保护主机上安装流量监控和安全防护软件即可达到对被保护主机各个类型的数据进行控制和安全防护的功能,通过硬件控制逻辑实现物理线路的隔离,从而实现数据转发和转存时物理隔离的效果,比纯软件控制更为显著的安全有效,进一步起到安全防护的目的,并且极大降低了整体系统的网络安全风险,全面解决了由各个接口可能产生的病毒木马植入以及恶意代码注入等安全隐患。
附图说明
图1为本发明涉及的用于数据转发控制系统的应用场景;
图2为本发明涉及的用于数据转发控制方法的流程图;
图3为本发明涉及的终端防护设备内部构造示意图;
图4为本发明涉及的USB数据转发控制的实施例;
图5为本发明涉及的串口数据转发控制的实施例;
图6为本发明涉及的数据转发控制系统的网络部署实施例。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本发明提出的基于硬件控制逻辑的数据转发控制方法包括将终端防护设备外接于被保护主机上,并将被保护主机的全部数据接口进行接管;当有外部设备通过终端防护设备与被保护主机进行数据交互时,终端防护设备内部的硬件控制逻辑控制对应数据转发的物理线路连通和/或断开,以控制数据在外部设备与被保护主机之间交互。可见,本发明提供了一种基于硬件方式的数据转发控制方法,无需在被保护主机上安装流量监控和安全防护软件即可达到对各个类型的数据进行控制和安全防护的功能,通过硬件控制逻辑实现物理线路的隔离,全面解决了由各个接口可能产生的病毒木马植入以及恶意代码注入等安全隐患。
需要注意的是,本发明中所称的“模块”为硬件模块,即由电路、数据处理装置、存储器、缓存器等有形电子元件构成的硬件模块。本发明中的接口控制模块和系统控制模块可以是物理上或功能上独立的元件组合,也可以是物理上或功能上整合在一起的整体元件组合。例如,作为一种实施方式,接口控制模块由接口控制板构成,系统控制模块由系统控制板构成,接口控制板和系统控制板均为集成有电子元件的电路板,二者之间通过总线连接。而在其他的实施方式中,接口控制模块和系统控制模块亦可以集成在一个电路板上。因此,本发明的关键在于接口控制模块和系统控制模块之间的控制关系,但不限于组成各自模块的电子元件在空间上或物理连接上的组合方式。
实施例
图1所示为本发明涉及的一种用于数据转发控制系统的应用场景的应用场景。
如图1所示,为了对被保护主机的各个数据转发进行控制,需要对被保护主机各个接口进行接管,由此本发明提出的方法通过终端防护设备上设置有与被保护主机各个接口类型对应的对内接口,同时另外还提供类型相应的对外接口,各对内接口用于连接被保护主机,对外接口用于连接需要与被保护主机进行数据交互的外部设备。所述终端防护设备外接于被保护主机上,将需要防护的被保护主机上各个接口(如USB口的UC1、UC2,COM口的CC0、网口EC0)通过各种类型的连接线连接到自身对应类型的对内接口上,比如将被保护主机的接口UC1与UC2分别连接到外接式的终端防护设备的对内USB口UA4和UA3上,将串口CC0连接到对内串口CA2上,网口EC0 连接到对内网口EA2上。而各种外部设备(U盘、光驱、串口连接设备等) 全部接到所述终端防护设备上各外部接口上,通过终端防护设备才能与被保护主机进行数据交互通信,从而实现外部设备与被保护主机之间数据转发控制,比如外部U盘设备通过所述终端防护设备的对外接口UA1接入,USB光驱通过对外接口UA2接入,串口连接设备通过对外接口CA1接入。U盘、 USB光驱以及串口连接设备这些外部设备需要与被保护主机进行数据通信,都不能直接接入到被保护主机上,必须通过所述外接式的终端防护设备相应的对外接口转接通信。
这样,经由外部设备传输的数据,需要首先经过外接式的终端防护设备的数据流量控制,从而可以对数据传输进行转发控制,进一步还可以进行协议过滤、流量镜像、流量审计及安全性检测等控制。
图2为本发明涉及的用于数据转发控制方法的流程图,包括如下步骤:
S1:将终端防护设备外接于被保护主机上,并将被保护主机的全部数据接口进行接管;
S2:当有外部设备通过终端防护设备与被保护主机进行数据交互时,终端防护设备内部的硬件控制逻辑控制对应数据转发的物理线路连通和/或断开,以控制数据在外部设备与被保护主机之间交互。
其中,所述终端防护设备进一步包括接口控制模块和系统控制模块,接口控制模块中设置有所述硬件控制逻辑、对内接口、对外接口以及转发接口,对内接口连接到所述被保护主机,对外接口接入各种类型的外部设备,转发接口连接到所述系统控制模块。
在步骤S1中,进一步为将被保护主机的全部数据接口分别与终端防护设备上的多个对内接口按照接口类型对应一一连接,从而使得被保护主机的全部数据接口全部被终端防护设备接管,屏蔽了一切可能外部设备直接接入被保护主机,这其中数据接口包括但不限于:USB口、串口、并口和/或网口等。
在步骤S2中,基于所述硬件控制逻辑的操作,控制终端防护设备内部物理线路的通断,以起到数据转发控制和物理隔离的作用。
以外部设备为非存储类直连设备(如USB光驱、加密狗、银行U盾、键盘、鼠标、显示设备等)为例,通过硬件控制逻辑连通接入此直连设备的对外接口与系统控制模块之间的物理线路,使得系统控制模块对此直连设备进行安全鉴权,确认所述直连设备是否为许可接入设备。如果确认所述直连设备不是许可接入设备时,系统控制模块通知所述硬件控制逻辑隔离此直连设备接入的对外接口,断开其与各个接口的物理线路的状态,从而对所述直连设备接入后的数据传输进行过滤禁止;而如果确认所述直连设备为许可接入设备时,所述硬件控制逻辑连通所述直连设备接入的对外接口与被保护主机接入的对内接口之间的物理线路,从而实现直连设备(即外部设备)与被保护主机之间数据转发。
以外部设备为存储类设备为例,当所述存储类设备需要导入数据到被保护主机时,所述硬件控制逻辑连通所述接入存储类设备的对外接口与转发接口之间的物理线路,并保持转发接口与其他接口之间物理线路处于断开状态,将所述导入数据仅通过转发接口传输到系统控制模块,使得被保护主机处于数据隔离状态。在所述被保护主机处于数据隔离状态下,系统控制模块对所述导入数据进行安全性检测;当所述导入数据通过安全性检测后,再通过接口控制模块中的内部存储器隔离转存所述导入数据。此隔离转存通过所述硬件控制逻辑控制连通所述转发接口与接口控制模块的内部存储器之间的物理线路,并断开所述对外接口与转发接口、内部存储器与对内接口之间的物理线路,将所述导入数据通过上述转发接口拷贝到接口控制模块的内部存储器。之后,所述硬件控制逻辑断开对外接口与内部存储器之间的物理线路,控制内部存储与对内接口的物理线路连通;将内部存储器中的所述导入数据通过对内接口发送给所述被保护主机,期间硬件控制逻辑保持对外接口与转发接口、转发接口与内部存储器的物理线路的断开状态,最后,所述保护主机通过所述对内接口接收到所述导入数据。
仍然以外部设备为存储类设备为例,当所述被保护主机需要导出数据到此存储类设备时,也需要通过接口控制模块中的内部存储器隔离转存所述导出数据,这其中,首先通过所述硬件控制逻辑连通所述内部存储器与对内接口之间的物理线路,将所述被保护主机中的导出数据经由所述对内接口发送给所述内部存储器,并保持所述内部存储器与其他接口之间物理线路处于断开状态;之后,通过所述硬件控制逻辑断开所述内部存储器与对内接口之间的物理线路,连通所述内部存储器与所述转发接口之间的物理线路;将所述内部存储器中的所述导出数据通过转发接口发送给系统控制模块;由所述系统控制模块对所述导出数据进行合规性检查,确认导出数据是否符合设定的合规策略,同时硬件控制逻辑保持对外接口与转发接口、对内接口与内部存储器之间的物理线路连接处于断开状态。当所述导出数据通过合规性检查后,所述硬件控制逻辑连通接入此存储类设备的对外接口与转发接口之间的物理线路,最后将所述导出数据拷入对外接口接入的存储类设备中,期间硬件控制逻辑保持转发接口与内部存储器、对内接口与内部存储器之间物理线路处于断开状态。
由此可见基于本发明的数据转发控制方法,无论外部设备类型是直连设备或是需要数据导入/导出的存储类设备,都必须通过硬件控制逻辑控制内部物理线路的通断,实现进出被保护主机的数据转发存储和隔离鉴定,保证了数据转发的安全防护。
图3所示为本发明涉及的终端防护设备内部构造的实施例。
该实施例中,所述终端防护设备主要由接口控制板A和系统控制板B构成,接口控制板A中设置硬件控制逻辑,其支持USB、串口及网络接口的物理线路数据转发通信。接口控制板与系统控制板B之间通过控制连接线E连接(例如总线),用于控制接口控制板A上各个接口的工作模式,比如USB 接口、串口及网口的不同工作模式,进而实现对各种外部设备的接入进行安全控制的功能。系统控制板A可实现对各个接口的工作模式控制,工作模式包括可用、不可用、网络协议过滤、流量镜像或流量审计等,但本发明不限于具体的工作模式控制类型。系统控制板B可通过I2C或SPI接口与接口控制板A相连,但本发明不限于此类具体的控制连接接口。接口控制板通过各个类型的转发接口(数据连接F中的串口、网口、USB等)将对外接口和对内接口中传输的数据流量转发给系统控制板。
所述终端防护设备中的接口控制板需接入内部存储器,如图2中硬件存储D,用于隔离转存所述接口控制板上各接口间交换的数据。
当有外部设备通过接口控制板上各种类型的对外接口接入时,系统控制板按照设定的安全策略对接口控制板上不同类型的接口进行安全鉴权,以确认所述外部设备是否为许可接入设备。
在此实施例中,终端防护设备所实现的的安全功能包括但不限于,管理员预先对外接式的终端防护设备进行权限设置和安全策略设定;安全策略包括但不限于:使能数据导入(如USB接口)、使能数据导出(如USB接口)、 USB接入设备限制(如基于USB设备的Vendor ID,即供应商识别码,和/或 Product ID,即产品识别码)、数据导入杀毒策略、数据导出黑白名单控制策略、数据导出格式控制策略、使能串口接入策略、USB接口插入保护、使能网络通信审计、使能防火墙功能、设置串口命令黑白名单等。
在一种优选的实施方式中,安全策略包括:管理员在设定好各个安全策略后,相关的这些安全策略将被所述终端防护设备逐一执行。
在一种优选的实施方式中,安全策略包括:管理员还控制所述终端防护设备是否进入监控保护模式,此模式将监控与被保护主机间的连接,异常情况下将进行告警。
在一种优选的实施方式中,安全策略包括:当需要记录异常告警或接口访问情况以备后续管理员查询时,内部存储器还用于进一步记录所述告警信息或接口访问日志信息。
所述硬件控制逻辑实现接口控制板内部各个接口之间物理线路的通断。在一种优选的实施方式中,当所述系统控制板通过安全策略对外部设备进行安全鉴权后,确认所述外部设备不是许可接入设备时,通过总线通知接口控制板中的硬件控制逻辑保持断开所述外部设备接入的对外接口与转发接口的物理线路的状态,从而对所述外部设备接入后的数据传输进行过滤禁止。当所述系统控制板对外部设备的安全鉴权后,确认所述外部设备为许可接入设备时,通过总线通知接口控制板允许所述外部设备的数据传输;所述接口控制板中的硬件控制逻辑连通所述外部设备接入的对外接口与转发接口的物理线路。
图4所示,为本发明涉及的USB数据转发控制的实施例。
其中接口控制板包含硬件控制逻辑,用于实现接口控制板内部各个接口之间物理线路的通断;接口控制板的对内USB接口UA3与被保护主机的USB 口连接,转发接口UB1、UB2分别接入系统控制板的USB接口UD3和UD4,对外USB接口UA1插入待接入的外部设备U盘或移动存储介质,UB3插入用于转存数据的内部USB存储,CTRL口作为总线接口连接系统控制板的控制接口。
当外部设备U盘中的数据需要导入到被保护主机时,系统控制板通过总线传输控制指令通知接口控制板,以控制所述硬件控制逻辑连通UA1与UB1 之间的物理线路,将U盘中的数据Data1拷入系统控制板的缓存中,在此期间硬件控制逻辑保持转发接口UB1(与系统控制板连接)与UB3(与内部USB 存储连接)的物理线路处于断开状态,同时保持对内USB接口UA3(与被保护主机连接)与UB3的物理线路处于断开状态。
硬件控制逻辑之后断开UA1与UB1之间物理线路的开关,接通UB1与 UB3之间的物理线路,将UB3内部USB存储的数据接入UB1接口,系统控制板对缓存中的数据Data1进行安全性检测,实现在被保护主机隔离状态下,系统控制板对UA1插入的USB存储进行杀毒等安全性检测。当Data1通过安全性检测后,将数据Data1拷贝到接口控制板UB3接口的内部USB存储中,期间硬件控制逻辑控制UA1与UB1、UA3与UB3之间的物理连接处于断开状态。之后,硬件控制逻辑断开UB1与UB3之间的物理连接,控制UA3与 UB3的物理线路连通,将UB3接口上内部USB存储中的数据Data1通过对内接口UA3口发送给被保护主机,期间硬件控制逻辑断开UA1与UB1、UB1 与UB3的物理线路。
相应的,当被保护主机中数据需要导出到外部设备U盘中时,系统控制板通过总线传输控制指令通知接口控制板,以控制所述硬件控制逻辑控制对内接口UA3与UB3的物理线路连接,UB3接口上内部USB存储将与被保护主机数据连通,用户操作被保护主机B将数据Data2导入所述内部USB存储中,期间硬件控制逻辑保持对外接口UA1与转发接口UB1、UB1与UB3之间的物理线路处于断开状态。之后,硬件控制逻辑断开UA3与UB3之间的物理线路,接通UB1与UB3之间的物理线路,将UB3接口上内部USB存储中的数据Data2通过转发接口UB1转发给系统控制板的缓存,系统控制板对缓存中的数据Data2进行合规性检查,确认导出数据是否符合设定的合规策略,期间硬件控制逻辑保持对外接口UA1与转发接口UB1、对内接口UA3与UB3 之间的物理线路连接处于断开状态。当确认导出数据Data2通过合规性检查后,硬件控制逻辑连通对外接口UA1与转发接口UB1之间的物理线路,将数据Data2拷入UA1接口的外部设备U盘中,期间硬件控制逻辑保持转发接口 UB1与UB3、对内接口UA3与UB3之间物理线路处于断开状态。至此,完成数据导出过程。
通过本实施例中终端防护设备的数据导入导出的过程经硬件控制逻辑的控制,在任意时刻,只接通一处连接,其他连接处于物理线路断开状态,保证了外部设备接入后与被保护主机之间的数据单向/双向传输全部进行数据流量过滤禁止控制。
图4所示的又一实施例中,还可提供一种非存储类USB直连设备数据转发控制方法,主要针对一些需要直接接入且非存储类的USB设备,例如USB 光驱。通过硬件控制逻辑实现对USB光驱的数据转发的控制,硬件连线情况如下:终端防护设备中的接口控制板的对内USB接口UA4连接被保护主机的 USB接口,转发接口UB2接入系统控制板的USB接口,对外USB接口UA2 插入需直连被保护主机B的USB光驱,接口控制板的CTRL口接入总线连接系统控制板的控制接口。
本实施例中所述终端防护设备对USB设备直连控制方法如下:当终端防护设备的对外USB接口UA2插入需直连被保护主机B的USB光驱时,接口控制板通过总线通知系统控制板,系统控制板控制接口控制板的硬件控制逻辑接通接口UA2与转发接口UB2的物理线路,使得UA2接口上插入的USB 光驱与系统控制板的USB接口连通,在此期间硬件控制逻辑保持接口UA2 与连接被保护主机的对内接口UA4的物理线路处于断开状态。
系统控制板对UA2接口上的USB光驱进行安全鉴权,确认此外部设备是否为许可接入设备,当确认此USB光驱是许可接入设备后,硬件控制逻辑将对外接口UA2与对内接口UA4的物理线路接通,实现UA2接口上插入的USB 光驱与被保护主机的连接。
当所述系统控制板监测到存在一个或多个接口的连接状态发生变化时,硬件控制逻辑自动断开所述接口与其他接口的物理线路。例如UA2接口上插入的外部设备接入UA4接口期间,系统控制板将实时监测接口控制板的UA2 插入的外部设备连接情况,一旦检测到外部设备拔出接口将自动断开连接。
参见图5,本发明涉及的串口数据转发控制的实施例,可实现对串口通信数据的过滤及禁止某些非法命令输入。接口控制板的硬件控制逻辑控制对外串行接口CA1与转发接口CB1、对内串行接口CA2与转发接口CB2之间物理线路的断开与连通。接入对外串行接口CA1的外部设备首先需要通过系统控制板的安全鉴权,之后串口CD1和CD2实现数据互通,接口控制板的硬件控制逻辑接通串口CA1与CB1、CA2与CB2之间的物理线路,从而实现数据从对外串行接口CA1上的外部串口设备到对内串行接口CA2,进而再到被保护主机间的数据交互通信。
进一步地,系统控制板通过硬件控制逻辑断开CA1与CB1、CA2与CB2 之间的物理连接,实现对CA1与CA2之间串口通信的线路切断。由于CA1 与CA2间通信均通过CB1与CB2进行数据转发,系统控制板可对串口通信数据进行过滤及禁止某些非法命令输入。
图5所示的另一实施例中,所述终端防护设备可具备网线防拔出功能,系统控制板通过读取交换芯片网口寄存器状态,从而获得对外网络接口E1与对内网络接口E2的连接状态,连接状态描述为链路连接失败/成功。系统控制板通过监测E1/E2网口连接状态,获得网口状态信息,进而实现对网线插入或拔出情况的告警。
图6为本发明涉及的数据转发控制系统的网络部署实施例。所述数据转发控制系统包括一个或多个外部设备;被保护主机;以及内部包含硬件控制逻辑的终端防护设备,其外接于被保护主机上,并将被保护主机的全部数据接口进行接管,其中所述硬件控制逻辑用于控制数据转发的物理线路连通和/ 或断开,以控制数据在外部设备与被保护主机之间交互。在此,数据转发控制的方法如上所述,此不再赘述。
进一步地,所述数据转发控制系统还包括其远程控制所述终端防护设备的控制中心,控制中心由服务器、管理工作站,以及其他节点所组成,通过网络交换节点连接到所述终端防护设备的网口EA1上。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文字内容的拍照录入装置、计算设备和计算机可读存储介质中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
Claims (9)
1.一种基于硬件控制逻辑的数据转发控制方法,包括:
将终端防护设备外接于被保护主机上,该终端防护设备包括接口控制模块和系统控制模块,设置所述硬件控制逻辑模块、对内接口、对外接口以及转发接口位于接口控制模块上,将被保护主机的全部数据接口分别与终端防护设备上的多个对内接口按照接口类型对应一一连接,将所述转发接口连接到所述系统控制模块;
当有外部设备需要导入数据到被保护主机时,终端防护设备内部的硬件控制逻辑模块连通所述外部设备接入的对外接口与转发接口之间的物理线路,并保持转发接口与其他接口之间物理线路处于断开状态,将所述导入数据仅通过转发接口传输到系统控制模块,以控制数据在外部设备与被保护主机之间交互,使得当所述外部设备需要导入数据到被保护主机时,被保护主机处于数据隔离状态;
通过所述硬件控制逻辑模块连通所述终端防护设备内部的对外接口与系统控制模块之间的物理线路;
通过系统控制模块对外部设备进行安全鉴权,确认所述外部设备是否为许可接入设备;
当所述通过系统控制模块对外部设备进行安全鉴权后,确认所述外部设备不是许可接入设备时,所述硬件控制逻辑模块断开所述外部设备接入的对外接口与其他接口的物理线路的状态,从而对所述外部设备接入后的数据传输进行过滤禁止;和/或
当所述系统控制模块对外部设备进行安全鉴权后,确认所述外部设备为许可接入设备时,所述硬件控制逻辑模块连通所述外部设备接入的对外接口与其他接口的物理线路。
2.如权利要求1所述的数据转发控制方法,进一步包括,
在所述被保护主机处于数据隔离状态下,系统控制模块对所述导入数据进行安全性检测;
当所述导入数据通过安全性检测后,再通过接口控制模块中的内部存储器隔离转存所述导入数据。
3.如权利要求2所述的数据转发控制方法,其中,所述通过接口控制模块中的内部存储器隔离转存所述导入数据,进一步包括:
所述硬件控制逻辑模块控制连通所述转发接口与接口控制模块的内部存储器之间的物理线路,并断开所述对外接口与转发接口、内部存储器与对内接口之间的物理线路,将所述导入数据通过上述转发接口拷贝到接口控制模块的内部存储器。
4.如权利要求2所述的数据转发控制方法,其进一步包括:
所述硬件控制逻辑模块断开对外接口与内部存储器之间的物理线路,控制内部存储器与对内接口的物理线路连通;
将内部存储器中的所述导入数据通过对内接口发送给所述被保护主机,期间硬件控制逻辑模块保持对外接口与转发接口、转发接口与内部存储器的物理线路的断开状态;
所述被保护主机通过所述对内接口接收到所述导入数据。
5.如权利要求1所述的数据转发控制方法,进一步包括,
当所述被保护主机需要导出数据到外部设备时,通过接口控制模块中的内部存储器隔离转存所述导出数据。
6.如权利要求5所述的数据转发控制方法,所述通过接口控制模块中的内部存储器隔离转存所述导出数据,进一步包括,
通过所述硬件控制逻辑模块连通所述内部存储器与对内接口之间的物理线路,将所述被保护主机中的导出数据经由所述对内接口发送给所述内部存储器,并保持所述内部存储器与其他接口之间物理线路处于断开状态。
7.如权利要求6所述的数据转发控制方法,当所述被保护主机中的导出数据经由所述对内接口发送给所述内部存储器后,进一步包括,
通过所述硬件控制逻辑模块断开所述内部存储器与对内接口之间的物理线路,连通所述内部存储器与所述转发接口之间的物理线路;
将所述内部存储器中的所述导出数据通过转发接口发送给系统控制模块;
所述系统控制模块对所述导出数据进行合规性检查,确认导出数据是否符合设定的合规策略,同时硬件控制逻辑模块保持对外接口与转发接口、对内接口与内部存储器之间的物理线路连接处于断开状态。
8.如权利要求7所述的数据转发控制方法,进一步包括,
当所述导出数据通过合规性检查后,所述硬件控制逻辑模块连通接入外部设备的对外接口与转发接口之间的物理线路;
将所述导出数据拷入对外接口接入的外部设备中,同时硬件控制逻辑模块保持转发接口与内部存储器、对内接口与内部存储器之间物理线路处于断开状态。
9.一种数据转发控制系统,包括:
一个或多个外部设备;
被保护主机;以及
内部包含硬件控制逻辑模块的终端防护设备,其外接于被保护主机上,并将被保护主机的全部数据接口进行接管,其中,该终端防护设备包括接口控制模块和系统控制模块,硬件控制逻辑模块、对内接口、对外接口以及转发接口位于接口控制模块上,被保护主机的全部数据接口分别与终端防护设备上的多个对内接口按照接口类型对应一一连接,所述转发接口连接到所述系统控制模块;
当有外部设备需要导入数据到被保护主机时,所述硬件控制逻辑模块用于连通所述外部设备接入的对外接口与转发接口之间的物理线路,并保持转发接口与其他接口之间物理线路处于断开状态,将所述导入数据仅通过转发接口传输到系统控制模块,以控制数据在外部设备与被保护主机之间交互,使得当所述外部设备需要导入数据到被保护主机时,被保护主机处于数据隔离状态;
还包括,
通过所述硬件控制逻辑模块连通所述终端防护设备内部的对外接口与系统控制模块之间的物理线路;
通过系统控制模块对外部设备进行安全鉴权,确认所述外部设备是否为许可接入设备;
当所述系统控制模块对外部设备进行安全鉴权后,确认所述外部设备不是许可接入设备时,所述硬件控制逻辑模块断开所述外部设备接入的对外接口与其他接口的物理线路的状态,从而对所述外部设备接入后的数据传输进行过滤禁止;和/或
当所述系统控制模块对外部设备进行安全鉴权后,确认所述外部设备为许可接入设备时,所述硬件控制逻辑模块连通所述外部设备接入的对外接口与其他接口的物理线路。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811264760.8A CN109522760B (zh) | 2018-10-29 | 2018-10-29 | 一种基于硬件控制逻辑的数据转发控制方法及系统 |
| US16/978,777 US10931641B1 (en) | 2018-10-29 | 2019-01-16 | Hardware control logic based data forwarding control method and system |
| JP2020571667A JP7191990B2 (ja) | 2018-10-29 | 2019-01-16 | ハードウェア制御ロジックに基づくデータ転送制御方法及びシステム |
| KR1020207036697A KR102313544B1 (ko) | 2018-10-29 | 2019-01-16 | 하드웨어 제어 로직에 기반한 데이터 포워딩 제어 방법 및 시스템 |
| EP19879947.0A EP3876121B1 (en) | 2018-10-29 | 2019-01-16 | Data forwarding control method and system based on hardware control logic |
| PCT/CN2019/072031 WO2020087783A1 (zh) | 2018-10-29 | 2019-01-16 | 一种基于硬件控制逻辑的数据转发控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811264760.8A CN109522760B (zh) | 2018-10-29 | 2018-10-29 | 一种基于硬件控制逻辑的数据转发控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109522760A CN109522760A (zh) | 2019-03-26 |
| CN109522760B true CN109522760B (zh) | 2020-08-14 |
Family
ID=65774298
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811264760.8A Active CN109522760B (zh) | 2018-10-29 | 2018-10-29 | 一种基于硬件控制逻辑的数据转发控制方法及系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10931641B1 (zh) |
| EP (1) | EP3876121B1 (zh) |
| JP (1) | JP7191990B2 (zh) |
| KR (1) | KR102313544B1 (zh) |
| CN (1) | CN109522760B (zh) |
| WO (1) | WO2020087783A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109561071B (zh) * | 2018-10-29 | 2020-07-07 | 北京博衍思创信息科技有限公司 | 一种数据流量控制的外接式终端防护设备及防护系统 |
| CN111835680A (zh) * | 2019-04-18 | 2020-10-27 | 四川卫鼎新科信息技术有限公司 | 一种工业自动制造的安全防护系统 |
| CN111447240B (zh) * | 2020-04-29 | 2022-02-15 | 安康鸿天科技股份有限公司 | 数据通信控制方法、装置、系统、存储介质及计算机设备 |
| CN111753340B (zh) * | 2020-05-18 | 2023-07-18 | 贵州电网有限责任公司 | 一种usb接口信息安全防控方法及系统 |
| CN111666568B (zh) * | 2020-07-13 | 2023-01-24 | 深圳犁陌科技有限公司 | 一种防病毒入侵的自断式数据安全传输方法 |
| JP7356483B2 (ja) | 2021-10-18 | 2023-10-04 | 株式会社日立製作所 | 情報処理装置、真正性検証方法、及びプログラム |
| CN114385539A (zh) * | 2022-01-12 | 2022-04-22 | 苏州国芯科技股份有限公司 | 一种usb存储设备的验证系统、方法、装置及介质 |
| CN115203686A (zh) * | 2022-07-11 | 2022-10-18 | 北京博衍思创信息科技有限公司 | 基于接口检测的外接式防护设备和方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN206003099U (zh) * | 2016-06-29 | 2017-03-08 | 国家电网公司 | 一种可集成于计算机的外网u盘隔离检测仪 |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
| US20070293183A1 (en) * | 2002-12-11 | 2007-12-20 | Ira Marlowe | Multimedia device integration system |
| JP4945053B2 (ja) | 2003-03-18 | 2012-06-06 | ルネサスエレクトロニクス株式会社 | 半導体装置、バスインターフェース装置、およびコンピュータシステム |
| US20060072241A1 (en) * | 2004-09-30 | 2006-04-06 | Feliss Norbert A | System, method, and apparatus for a wireless hard disk drive |
| US10454931B2 (en) * | 2005-01-31 | 2019-10-22 | Unisys Corporation | Secure remote access for secured enterprise communications |
| US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
| US9083565B2 (en) * | 2006-09-25 | 2015-07-14 | Hangzhou H3C Technologies Co., Ltd. | Network apparatus and method for communication between different components |
| US8595487B2 (en) * | 2006-11-01 | 2013-11-26 | Vmware, Inc. | Virtualization hardware for device driver isolation |
| US8230149B1 (en) * | 2007-09-26 | 2012-07-24 | Teradici Corporation | Method and apparatus for managing a peripheral port of a computer system |
| JP4999736B2 (ja) | 2008-03-13 | 2012-08-15 | キヤノン株式会社 | データ処理装置 |
| US9351193B2 (en) * | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
| US20140075567A1 (en) * | 2009-01-28 | 2014-03-13 | Headwater Partners I Llc | Service Processor Configurations for Enhancing or Augmenting System Software of a Mobile Communications Device |
| US9980146B2 (en) * | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
| CN101989923B (zh) * | 2009-07-31 | 2013-08-28 | 国际商业机器公司 | 将cim代理注册到管理代理的方法和系统以及管理系统 |
| IT1398578B1 (it) | 2010-03-05 | 2013-03-01 | Elsag Datamat Spa | Dispositivo elettronico portatile interfacciabile ad un calcolatore |
| US8566934B2 (en) | 2011-01-21 | 2013-10-22 | Gigavation, Inc. | Apparatus and method for enhancing security of data on a host computing device and a peripheral device |
| US8726343B1 (en) * | 2012-10-12 | 2014-05-13 | Citrix Systems, Inc. | Managing dynamic policies and settings in an orchestration framework for connected devices |
| US9224013B2 (en) * | 2012-12-05 | 2015-12-29 | Broadcom Corporation | Secure processing sub-system that is hardware isolated from a peripheral processing sub-system |
| CN103020546A (zh) * | 2012-12-18 | 2013-04-03 | 广州市华标科技发展有限公司 | 智能物理隔离安全数据交换设备及方法 |
| US9471781B2 (en) | 2013-08-23 | 2016-10-18 | Cisco Technology, Inc. | Method and apparatus for monitoring and filtering universal serial bus network traffic |
| CN203618018U (zh) * | 2013-10-30 | 2014-05-28 | 国家信息中心 | 内外网安全接入终端 |
| CN103532978A (zh) * | 2013-10-30 | 2014-01-22 | 北京艾斯蒙科技有限公司 | 内外网安全接入模式 |
| CN203618020U (zh) * | 2013-10-30 | 2014-05-28 | 北京艾斯蒙科技有限公司 | 内外网安全接入模式 |
| CN103532980A (zh) * | 2013-10-30 | 2014-01-22 | 国家信息中心 | 内外网安全接入终端 |
| US20150365237A1 (en) | 2014-06-17 | 2015-12-17 | High Sec Labs Ltd. | Usb security gateway |
| US9911011B1 (en) * | 2014-11-19 | 2018-03-06 | Western Digital Technologies, Inc. | Communications device that logically connects an upstream signal line to a downstream signal line |
| JP6719894B2 (ja) | 2015-12-04 | 2020-07-08 | キヤノン株式会社 | 機能デバイス、制御装置 |
| US9984248B2 (en) * | 2016-02-12 | 2018-05-29 | Sophos Limited | Behavioral-based control of access to encrypted content by a process |
| US11277416B2 (en) * | 2016-04-22 | 2022-03-15 | Sophos Limited | Labeling network flows according to source applications |
| US10855725B2 (en) * | 2016-06-02 | 2020-12-01 | Microsoft Technology Licensing, Llc | Hardware-based virtualized security isolation |
| US10210326B2 (en) * | 2016-06-20 | 2019-02-19 | Vmware, Inc. | USB stack isolation for enhanced security |
| CN106022094A (zh) * | 2016-06-29 | 2016-10-12 | 国家电网公司 | 一种可集成于计算机的外网u盘隔离检测仪及检测方法 |
| GB2551813B (en) * | 2016-06-30 | 2020-01-08 | Sophos Ltd | Mobile device policy enforcement |
| DE102016124383B4 (de) * | 2016-10-18 | 2018-05-09 | Fujitsu Technology Solutions Intellectual Property Gmbh | Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen |
| US10387686B2 (en) * | 2017-07-27 | 2019-08-20 | International Business Machines Corporation | Hardware based isolation for secure execution of virtual machines |
| US10592663B2 (en) * | 2017-12-28 | 2020-03-17 | Intel Corporation | Technologies for USB controller state integrity protection |
| US11792307B2 (en) * | 2018-03-28 | 2023-10-17 | Apple Inc. | Methods and apparatus for single entity buffer pool management |
-
2018
- 2018-10-29 CN CN201811264760.8A patent/CN109522760B/zh active Active
-
2019
- 2019-01-16 US US16/978,777 patent/US10931641B1/en active Active
- 2019-01-16 JP JP2020571667A patent/JP7191990B2/ja active Active
- 2019-01-16 EP EP19879947.0A patent/EP3876121B1/en active Active
- 2019-01-16 KR KR1020207036697A patent/KR102313544B1/ko active IP Right Grant
- 2019-01-16 WO PCT/CN2019/072031 patent/WO2020087783A1/zh unknown
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN206003099U (zh) * | 2016-06-29 | 2017-03-08 | 国家电网公司 | 一种可集成于计算机的外网u盘隔离检测仪 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021522619A (ja) | 2021-08-30 |
| EP3876121C0 (en) | 2023-11-15 |
| EP3876121A4 (en) | 2022-06-08 |
| KR102313544B1 (ko) | 2021-10-15 |
| US10931641B1 (en) | 2021-02-23 |
| JP7191990B2 (ja) | 2022-12-19 |
| EP3876121B1 (en) | 2023-11-15 |
| CN109522760A (zh) | 2019-03-26 |
| WO2020087783A1 (zh) | 2020-05-07 |
| US20210067487A1 (en) | 2021-03-04 |
| EP3876121A1 (en) | 2021-09-08 |
| KR20210003934A (ko) | 2021-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109561071B (zh) | 一种数据流量控制的外接式终端防护设备及防护系统 | |
| CN109522760B (zh) | 一种基于硬件控制逻辑的数据转发控制方法及系统 | |
| CN109543475B (zh) | 一种外接式终端防护设备及防护系统 | |
| US9471769B2 (en) | Method and device for controlling access to a computer system | |
| US6487664B1 (en) | Processes and systems for secured information exchange using computer hardware | |
| CN101594360A (zh) | 局域网系统和维护局域网信息安全的方法 | |
| CN101901559A (zh) | 一种usb接口安全控制方法 | |
| CN111901418B (zh) | 基于单向文件传输协议的外接式终端防护设备及系统 | |
| CN111898167A (zh) | 包括身份信息验证的外接式终端防护设备及防护系统 | |
| CN111885179B (zh) | 一种基于文件监测服务的外接式终端防护设备及防护系统 | |
| CN111859434A (zh) | 一种提供保密文件传输的外接式终端防护设备及防护系统 | |
| Sun et al. | Analysis and prevention of information security of USB | |
| US20100132046A1 (en) | Electronic Circuit for Securing Data Interchanges Between a Computer Station and a Network | |
| CN111859473A (zh) | 基于空间检测的外接式终端防护设备及防护系统 | |
| CN111898105A (zh) | 具有用户追溯功能的外接式终端防护设备及防护系统 | |
| Dumitru et al. | The Impostor Among {US (B)}:{Off-Path} Injection Attacks on {USB} Communications | |
| WO2022151601A1 (zh) | 具有两个键盘的信息终端 | |
| CN111859453A (zh) | 外接式防护设备的文件安全防护方法及外接式防护设备 | |
| CN111885178A (zh) | 包括语音信息验证的外接式终端防护设备及防护系统 | |
| Li et al. | A Portable Network Isolation Apparatus for Substation Maintenance Based on Firewall | |
| CN111859344A (zh) | 包括人脸信息验证的外接式终端防护设备及防护系统 | |
| CN117879901A (zh) | 用于数据隔离的系统及数据传输方法 | |
| CN114510733A (zh) | 一种数据安全隔离传输的方法和装置 | |
| WO2003009563A1 (en) | Processes and systems for secured information exchange using computer hardware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |