CN1229737C - 防止信息从内部外流的总系统 - Google Patents

防止信息从内部外流的总系统 Download PDF

Info

Publication number
CN1229737C
CN1229737C CN01810626.9A CN01810626A CN1229737C CN 1229737 C CN1229737 C CN 1229737C CN 01810626 A CN01810626 A CN 01810626A CN 1229737 C CN1229737 C CN 1229737C
Authority
CN
China
Prior art keywords
file
information
security
outflowing
prevents
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
CN01810626.9A
Other languages
English (en)
Other versions
CN1432159A (zh
Inventor
李钟诚
崔承烈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wotewo System Co Ltd
Original Assignee
SAFA SOFT CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR10-2000-0030133A external-priority patent/KR100368813B1/ko
Priority claimed from KR10-2001-0020076A external-priority patent/KR100390086B1/ko
Application filed by SAFA SOFT CO Ltd filed Critical SAFA SOFT CO Ltd
Publication of CN1432159A publication Critical patent/CN1432159A/zh
Application granted granted Critical
Publication of CN1229737C publication Critical patent/CN1229737C/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种防止在线和离线泄漏信息的总系统,该系统包括安全维护客户和安全维护服务器,该安全维护客户具有将文件存储在存储装置中的程序和对要存储在存储中的文件内容进行编码并存储记录信息的文件安全控制部件,该安全维护服务器接收记录信息和解码密钥并对经编码的文件进行解码。该安全维护客户进一步包括通信安全控制部件,该通信安全控制部件具有发送文件的通信程序,并对要发送到网络的发送目的地的文件内容进行编码和存储记录信息。安全维护服务器进一步包括自动密钥发送部件,该自动密钥发送部件在接收了记录信息和发送目的地之后接收根据文件发送安全策略要发送到发送目的地的解码密钥。

Description

防止信息从内部外流的总系统
                        技术领域
一般地说本发明涉及一种防止内部信息外流的综合信息安全系统,更具体地说,本发明涉及这样的一种综合信息安全系统,该综合信息安全系统监测并防止通过输出装置或便携式存储装置实施的离线信息外流和通过计算机通信程序实施的在线信息外流,由此防止重要的内部信息外流。
                        背景技术
最近,随着计算机的广泛应用,通过计算机以数字化的格式可以处理已经人工处理的数据。
数字处理和计算机通信的增加给人们带来了好处,然而,它可能使信息外流而被用于非法目的。
在大多数的情况下,通过在受害单位工作的人而不是外部源将信息外流到竞争单位。
参考附图1,可以如下解释从单位外流信息的常规方法。
数据外流可以分为如下的情况:通过输出装置实施外流的情况,该输出装置例如有连接到单位的计算机系统的监视器或打印机或便携式存储装置比如软盘、硬盘、CD-R、Zip驱动器或CD-RW,通过连接到计算机的调制解调器由因特网或PSTN实施外流的情况(例如通过上载到公告或数据收集板的文件、电子邮件、网络邮件、FTP、因特网web-hard和聊天程序等实施的数据外流)。
防止信息外流的常规方法具有如下的问题。
防止数据通过软盘外流的防御措施
常规的方法I:从所有的公共用户的个人计算机中去除软盘以事先实现防止数据通过软盘外流。
常规的方法II:在将软盘携带到单位之外时阻止读软盘。
问题:方法I存在的问题是公共用户可能不允许使用软盘,方法II存在的问题是需要从普通的软盘中识别特定的软盘,并且在其它单位使用的计算机可能不能识别该软盘是内部使用的已格式化的盘还是被损坏的盘。此外,不能产生数据通过软盘外流的记录数据,因此不能识别与通过软盘数据外流的试验相关的数据。
防止数据通过硬盘外流的防御措施
常规的方法:对主引导记录进行加密以防止其它的用户引导该系统。
问题:没有对策防止通过硬盘的所有者实施的数据外流。
防止数据通过Zip盘、CD-R等外流的防御措施
常规的方法:存储媒体比如Zip盘、CD-R是一种近年来正普通使用的辅助性存储装置,它具有较高的效率。为实现事先防止内部数据外流,Zip驱动器和CD-R驱动器都应该从所有的公共用户的个人计算机中去除或取消,用于在MP播放器和个人计算机之间连接的所有的通信接口(比如USB、串行端口和无线端口)都应该取消以防止数据通过数字声频播放器(比如MP播放器)外流。
问题:公共用户可能不能使用便携式存储媒体。
防止数据通过打印输出或监视器输出外流的防御措施
常规的方法:通过管理服务器监视所打印的内容。这种方法详细描述在韩国专利申请No.-(题为“System and method for monitoring andpreventing data outflow through output device”)中,本发明的申请人已经将该申请提交给韩国工业产权局。
防止数据通过因特网或PSTN外流的措施
I.通过电子邮件实施的数据外流
-.附带重要的文件
-.拷贝文件的重要信息并将其粘贴到邮件正文中
-.打开重要的文件并将该文件的内容输入到邮件的正文中。
常规的方法:检查邮件的正文和附件的内容以确定是否发送该邮件。
问题:当对附带的文件进行加密或压缩时,不可能检查内容。因此对电子邮件或附带的文件的内容进行检查受到限制。
II.通过经HTTP(包括网络邮件)的数据上载实施的数据外流
常规的方法:通过网点的数据外流是通过“post”(它是HTTP的内部指令)进行,通过防火墙控制在HTTP中可使用的指令使得不能使用该指令“post”本身。
问题:由于这种方法防止了所有情况的文件传输,因此即使文件是一种普通的文件也会由于发送文件的麻烦造成工作效率下降。
III.通过FTP实施的数据外流
常规的方法:通过使用文件传输指令“put”执行这种方法,通过防火墙控制在HTTP中可使用的指令使得不能使用该指令“put”本身。
问题:由于这种方法防止了所有情况的文件传输,因此即使文件是一种普通的文件也会由于发送文件的麻烦造成工作效率下降。
IV.通过经TELNET或RLOGIN(Z-调制解调器、KERMIT等)的数据上载实施的数据外流
常规的方法:数据上载是数据通过TELNET外流的最普通的方法,在这种方法中使用比如Z-调制解调器或KERMIT的协议。防火墙限制了通过在TELNET上使用比如Z-调制解调器或KERMIT的协议进行的数据下载或上载。
问题:除了在TELNET上上载或下载数据以外还存在其它方法。因此,如果按照编码格式而不是简单的正文格式以外的格式传输数据,则即使通过关键字搜索也不可能搜索到数据。这意味着存在明显的限制以防止数据通过使用TELNET外流。
V.通过PSTN实施的数据外流
常规的方法:检查流经调制解调器的数据非常困难,并且防止数据从调制解调器外流的仅有的方法是从个人计算机中取去调制解调器。
VI.数据通过网络硬件外流
VII.数据通过网络文件系统进行外流
除了上述的通信协议以外,还存在通过因特网其它可用的协议,这些协议增加了内部数据外流的可能性。上述的方法都是最普通的方法并且存在不同的缺陷,这些常规的方法可概括为一句话“防止内部数据通过网络外流的最好的方法是使网络本身不可用”。然而,这句话是没有意义的,因为现代社会不可能不使用因特网和计算机通信,甚至一天都不可能。
                          发明内容
因此,本发明的一个目的是提供一种防止内部信息外流的综合信息安全系统,在这种综合信息安全系统中信息安全系统监测并防止通过输出装置和便携式存储装置实施的离线信息外流和通过通信程序实施的在线信息外流,由此实现了事先防止信息从单位外流。
为实现上述的发明目的,提供一种防止信息从内部外流的总系统,该系统包括将文件存储在外部存储装置中的存储单元、安全管理客户部分和安全管理服务器,该安全管理客户部分具有对文件内容进行编码、将经编码的文件存储在所述外部存储装置中并存储关于文件存储的记录数据的文件安全控制单元,该安全管理服务器通过与文件安全控制单元的通信接收所述的编码的文件的记录数据和与对所述文件进行编码的密钥相对应的解码密钥并对经编码的文件进行解码。
可取的是,该外部存储装置至少是连接网络的便携式存储装置和远程存储装置中的一种。
可取的是,所述的安全管理客户部分进一步包括传输文件的通信单元和通信安全控制单元,该通信安全控制单元用于对所述的文件内容进行编码、经由网络将经编码的文件和与对所述文件进行编码的密钥相对应的解码密钥传输到所述的网络的目的地以及存储文件传输的记录数据,以及所述的安全管理服务器包括自动密钥传输单元,该自动密钥传输单元通过经由所述网络与所述的通信安全控制单元的通信接收用于所述的编码的文件的解码密钥、接收所述的记录数据和关于目的地的数据以及根据所述的目的地的文件传输安全策略将解码密钥传输给目的地,所述文件传输安全策略是根据所述目的地的安全等级来执行文件传输的一种策略。
可取的是,一旦通过通信单元传输文件该通信安全控制单元就从用户输入端接收文件内容和传输描述。
可取的是,文件传输安全策略确定目的地的安全等级,如果安全等级是“可靠”等级则自动地仅将解码的密钥传输到目的地,如果安全等级是“合作”等级则将解码密钥传输到目的地并且同时存储记录数据,以及如果安全等级是“不可靠”等级则仅存储和管理记录数据。
可取的是,传输的经编码的文件由根据用于解码所述的编码文件的代码所确定的文件格式构成。
可取的是,通信安全控制单元基于文件传输安全策略根据目的地控制是否将文件传输给网络。
可取的是,如果目的地是“可靠”等级则文件传输安全策略能将文件传输到目的地,如果目的地是“合作”等级则能将文件传输到目的地并同时能存储记录数据,以及如果目的地是“不可靠”等级则能使文件传输中断并仅存储和管理记录数据。
可取的是,一旦出现从网络到安全管理客户部分的通信请求,如果源地址不存在预先设定的安全组内则通信安全控制单元能使通信中断,一旦出现从安全管理客户部分到网络的通信请求,如果目的地址不存在预先设定的安全组内则通信安全控制单元能使通信中断。
可取的是,通过安全管理服务器将预先设定的安全组设定在源地址或目的地址的IP地址组中。
可取的是,通信安全控制单元清除执行所述的通信单元的计算机的剪切板并且在启动所述的通信单元时使其它的程序停止运行。
可取的是,通信安全控制单元存储通过执行通信单元的计算机的键盘输入的信息并将所存储的信息传输到用于信息的存储和管理的安全管理服务器。
可取的是,安全管理客户部分进一步包括产生打印数据和执行打印工作的应用单元和截获打印数据并将该打印数据传输到安全管理服务器的打印控制单元,以及该安全管理服务器与打印控制单元进行通信的同时接收并输出打印数据。
可取的是,安全管理客户部分进一步包括硬件控制单元,用于根据来自安全管理服务器的请求将在监视器上输出的内容传输到安全管理服务器。
可取的是,硬件控制单元根据来自安全管理服务器的请求启动/停止安全管理客户部分的输入功能。
可取的是,文件安全控制单元将安装在安全管理客户部分中的程序和硬件信息传输到安全管理服务器。
可取的是,文件安全控制单元根据来自安全管理服务器的请求禁止打开已安装的程序,由此禁止启动该程序。
可取的是,安全管理服务器管理所述的安全管理客户部分通过授权可使用的程序的清单,并禁止启动没有包括在所述的已安装的程序的可用程序清单中的程序。
可取的是,安装了所述的安全管理客户部分的计算机的所述外部存储装置具有经编码的主引导记录(MBR),其编码密钥值是由组成所述的计算机的硬件的特征硬件序列号构成的,由此控制存取在所述安装了所述的安全管理客户部分的计算机。
可取的是,通过安全管理服务器存储并管理硬件序列号。
可取的是,文件安全控制单元通过使用解码密钥对存储在外部存储装置中的经编码的文件进行解码,将经解码的文件存储在外部存储装置中,并将该文件的内容连同传输描述一起传输到安全管理服务器,其中传输描述是关于使用所述的外部存储装置进行的文件传输的信息。
可取的是,文件安全控制单元根据所读取的来自安全管理客户程序的请求通过使用解码密钥对存储在外部存储装置中的经编码的文件进行解码,并将结果传输到安全管理服务器程序。
可取的是,安全管理服务器能在预先设定的安全组内的安全管理客户部分的每个文件安全控制单元一起共享解码密钥值,由此能使存储在外部存储装置中的经编码的文件解码并在安全组内读取。
可取的是,安全管理客户部分安装在多个用户计算机中,并在被从所述的用户计算机卸载时接收来自所述的安全管理服务器的授权。
可取的是,文件安全控制单元根据来自安全管理服务器的请求控制是否存取外部存储装置。
可取的是,文件安全控制单元通过所述的存储单元将所述的文件存储在所述的外部存储装置的情况下接收传输描述并将传输描述传输到所述的安全管理服务器,其中传输描述是关于使用所述的外部存储装置进行文件传输的信息。
可取的是,安全管理客户部分进一步包括临时记录数据存储单元,一旦在发生与安全管理服务器的通信中断时该临时记录数据存储单元存储记录数据,并且在恢复了与安全管理服务器的通信时将所存储的记录数据传输到安全管理服务器。
                         附图说明
通过参考下文对实例性的实施例的详细描述并结合附图,将会更好地理解本发明以及最佳使用方式、进一步的目的和优点,其中:
附图1所示为由受害单位的工作人员可能实施的信息外流的类型;
附图2所示为根据本发明通过信息安全系统监测并防止信息外流的各种用户计算机的综合安全服务;
附图3所示为根据本发明防止内部信息外流的综合信息安全系统;
附图4a所示为根据本发明在通过文件安全控制单元将文件传输到便携式存储装置时输入传输描述的离线传输描述输入窗口;
附图4b所示为这样的实例,在该实例中将输入到离线传输描述输入窗口的内容存储在安全管理服务器的离线文件传输记录数据库中;
附图5a所示为根据本发明通过通信程序传输的在线传输文件的格式(SDFA);
附图5b所示为由接收器所执行的在线文件传输屏幕;
附图6a所示为根据本发明在通过通信安全控制单元在网络上传输文件时输入传输描述的在线传输描述输入窗口;
附图6b所示为这样的实例,在该实例中将输入到在线传输描述输入窗口的内容存储在安全管理服务器的在线文件传输记录数据库中;
附图7所示为根据本发明的每种类型的通信程序目的地的安全等级的文件传输安全策略;
附图8a所示为用于用户计算机A、B和C的安全组管理数据库的结构;
附图8b所示为用于用户计算机D和E的安全组管理数据库的结构;
附图8c所示为根据本发明在相同的安全组内共享便携式存储装置和网络的情况下的存取控制的概念;
附图9所示为常规的计算机系统的引导序列;
附图10a所示根据本发明通过主引导记录(MRB)加密的系统存取过程;
附图10b所示为存储并管理用于主引导记录的加密的MRB口令的安全管理服务器的MRB数据库;以及
附图11所示为根据本发明的安全管理服务器的控制板的一种实施例。
                        具体实施方式
现在参考附图,更加详细地描述防止内部信息外流的综合信息安全系统。
在本说明书中所使用的术语根据在本发明中的元件的功能定义。因此,应该容易理解的是,本发明的术语并不限于在此所描述的特定类型的元件,而是可以根据在本领域中熟练人员的意图或通常实践进行改变。
具体地说,在本发明的实施例中,由于用于对传输文件进行编码的编码系统是一种对称的编码系统,因此编码密钥和解码密钥具有相同的值。因此,由于通过解码密钥可以对通过编码密钥编码的文件进行解码(即编码密钥),因此可以将编码密钥和解码密钥或文件编码密钥和文件解码密钥混合使用。
参考附图2和3,在文件通过程序1300存储在便携式存储装置1200比如软盘、Zip盘、高速存储器、MP-3播放器、小型数字存储装置等中时,用户的计算机1000的安全管理客户部分1100通过文件安全控制单元1110使用预先设定的编码密钥自动地对文件进行编码,并将经编码的文件存储在便携式存储装置1200中以防止通过便携式存储装置1200进行离线的信息外流。
随后,记录数据(包括文件名、用户和时间信息)和编码密钥信息传输到安全管理服务器2000,并分别存储在总安全组管理数据库2100和文件传输记录数据库2200中。
可取的是,一旦安全管理客户部分1100安装在用户计算机1000中就产生编码密钥,并存储在安全管理客户部分1100的安全组管理数据库1120中。安全组管理数据库1120存储并管理在相同的安全组内已有的用户计算机的编码密钥,而安全管理服务器2000的总安全组管理数据库2100存储并管理在所有的安全组内已有的用户计算机的编码密钥。
下文更加详细地解释文件的自动编码。一旦出现文件存储事件,从安全组管理数据库1120中搜索用户计算机1000的编码密钥并输入到文件安全控制单元1110中。随后,文件安全控制单元1110将要存储的文件的内容作为输入,通过使用用户计算机1000的编码密钥对所接收的文件内容进行编码,以及将所编码的文件存储在便携式存储装置1200中。
文件安全控制单元1110根据来自安全管理服务器2000的请求控制是否操作便携式存储装置1200,并从用户接收传输描述,并且一旦将文件存储在便携式存储装置1200中就通过程序1300将其传送给安全管理服务器2000。例如,一旦通过CD-记录器传输文件,在接收了关于通过使用CD-记录器传输文件的传输描述之后,安全管理服务器2000允许使用CD-记录器。
同时,文件安全控制单元1110从安全组管理数据库1120中接收用户计算机1000的解码密钥(与编码密钥相同),通过使用解码密钥对经编码的文件进行解码,并根据从程序1300中读取的请求相对于存储在便携式存储装置中的经编码的文件将经解码的文件传输到程序1300。
因此,程序1300读取并执行存储在便携式存储装置1200中的经编码的文件,并将在执行完成之后自动编码的文件存储到便携式存储装置1200中。
安全管理服务器2000可以根据安全管理员的控制构造安全组,由于每个用户计算机1000的编码密钥在相同的安全组内共享,因此可以不受限制地读取经编码的并存储在安全组内的便携式存储装置中的文件。参考附图8详细地描述这种实施例。
为从便携式存储装置1200中合法地取出经编码的文件,用户通过文件安全控制单元1110从用户计算机1000的安全组管理数据库1120中接收解码密钥(与编码密钥相同),通过使用解码密钥对经编码的文件进行解码,并将解码的文件存储在便携式存储装置1200中。在此,用户通过在附图4a中所示的离线传输描述输入窗口输入传输描述并将输入内容存储在如附图4b中所示的安全管理服务器2000的离线文件传输记录数据库中。
如附图4a和4b中所示,要传输的文件名为“study result.txt”,传输描述(目的)是“to shard the study result(共享学习结果)”。
作为本发明的另一实施例,安全管理服务器控制单元2300通过使用从该系统中接收的解码密钥对记录在便携式存储装置1200中的经编码的文件进行解码,该系统对存储在总安全组管理数据库2100中的文件进行编码。
此外,安全管理员通过文件外流的记录数据识别试图通过便携式存储装置1200外流信息的试验次数。可取的是,对于连接到网络的存储装置(未示)情况相同。
为防止信息通过输出装置比如打印机1400外流,用户计算机1000的打印控制单元1130截获由应用程序1500所产生的打印数据并将该打印数据传输到安全管理服务器2000。然后将该打印数据存储在安全管理服务器2000的打印记录数据库中,并通过控制面板2500根据来自安全管理员的请求输出。
为防止信息通过通信程序外流,用户计算机1000的安全管理客户部分1100能通过通信安全控制单元1140对文件自动编码,通过网络装置1700比如调制解调器、LAN卡等将经编码的文件传输到目的地,以及在将该文件传输到网络3000比如因特网、PSTN、无线电网络等时将相关的记录数据(比如目的地、文件名、用户和时间信息)和编码密钥信息传输到安全管理服务器2000以便存储。
下文详细地描述自动地编码文件和发送经编码的文件的过程。一旦从硬盘1800中打开文件,通信安全控制单元1140通过使用从会话密钥产生单元(未示)中产生的会话编码密钥对要打开的文件的内容进行编码并通过网络300将经编码的文件发送到接收器。如附图5a所示,通信安全控制单元1140传输在其中附带有解码程序代码的编码文件,并能使接收器接收解码密钥和通过使用如在附图5b中所示的解码密钥对编码的文件进行解码。
可取的是,通信程序1600是使用网络浏览器的网络邮件程序。
传输的经编码的文件(即如附图5a格式化的文件)具有仅通过安全管理客户部分1100接收的解码密钥可理解的内容。因此,如果黑客4000没有来自安全管理服务器2000的解码密钥,则他是不能看见该文件的内容。因此,可以防止信息外流。
一旦通过通信程序1600传输文件,通信控制单元1140通过在附图6a中所示的在线传输描述输入窗口从用户输入端接收文件内容、传输描述和接收器信息,并将所接收的信息存储在如附图6b中所示的安全管理服务器2000的文件传输记录数据库2200的在线文件传输记录数据库中。
可取的是,安全管理服务器2000的自动密钥传输单元2310从用户计算机1000的安全管理客户部分1100中接收关于经编码的文件传输的记录数据、目的地和接收信息,并根据预先设置在文件传输安全策略数据库2600中的文件传输安全策略自动地传输用于经编码的文件的解码密钥。
安全管理员通过确定目的地和接收器的安全等级建立文件传输安全策略。
附图7所示为在使用SMTP邮件和网络邮件的情况下的文件传输安全策略。
可取的是,如果安全等级是“可靠”等级,则自动密钥7传输单元2310仅将解码密钥传输给目的地,如果安全等级是“合作”等级,则传输解码密钥,同时将记录数据存储在文件传输记录数据库2200中,以及如果安全等级是“不可靠”等级,则仅将记录数据存储在文件传输记录数据库2200中并管理它,如附图7所示。
根据本发明的另一实施例,在通信程序1600是使用SMTP协议的邮件代理程序的情况下,在文件通过通信程序1600传输到网络3000时,安全管理客户部分1100的通信安全控制单元1140根据文件传输安全策略控制是否传输文件。
如果目的地的安全等级是“可靠”等级,则文件传输安全策略允许文件传输到目的地,如果目的地的安全等级是“合作”等级,则能使文件传输到目的地并同时存储在安全管理服务器2000中,如果目的地的安全等级是“不可靠”等级,则中断文件传输并仅将记录数据存储在安全管理服务器2000中并管理所存储的记录数据,如附图7所示。
在通信请求是从网络3000到安全管理客户部分1100时,如果源IP地址并不存在于预先设置在安全组管理数据库1120中的安全组内,则通信安全控制单元1140中断通信,在通信请求是从安全管理客户部分1100到网络3000时,如果目的IP地址并不存在于预先设置在安全组管理数据库1120中的安全组内,则通信安全控制单元1140中断通信。
由于中断特定的通信的技术对于本领域的熟练人员来说是十分公知的,因此在此省略了对它的详细描述。
管理员通过安全管理服务器2000的控制面板2500设定安全管理客户部分1100的安全组管理数据库1120,该安全组管理数据库1120由在相同的安全组内的IP地址清单和文件编码密钥清单组成。
下文参考附图8描述共享存储在相同的安全组内的便携式存储装置中的编码文件和控制彼此通过网络的访问的过程。
首先,在附图8a中示出了用户计算机(A)的安全组数据库1120。在文件从用户计算机(A)传输到便携式存储装置1200的情况下,用户计算机(B或C)具有如附图8a中所示的安全组管理数据库1120。因此,通过使用存储在该数据库中的用户计算机(A)的文件编码密钥(即,“12345678”)通过文件安全控制单元1110可以读取该文件。然而,用户计算机(D或E)具有如附图8b所示的安全组管理数据库1120,它不能读取在用户计算机(A)中编码的文件。
同时,用户计算机(A)能够访问用户计算机(B),然而,它不能访问不属于相同的安全组的用户计算机(D)。此外,用户计算机(A)能从用户计算机(B或C)访问,然而,不允许来自用户不属于相同的安全组的计算机(D或E)的访问。通过参考每个用户计算机1000的安全组管理数据库1120,由每个通信安全控制单元1140执行这种访问限制。
可取的是,在用户计算机1000中启动通信程序1600时,即,在通信程序窗口最大化时,通信安全控制单元1140使执行通信程序的用户计算机1000的剪切板(未示)清除并停止当前处于启动状态的所有的其它程序(即,使所有的程序窗口最小化)。
因此,可以在启动通信程序之后防止打开重要的文件,以及防止拷贝并粘贴到通信程序正文中。
通信安全控制单元1140存储通过键盘输入的信息,并在用户计算机1000中启动了通信程序时将该信息传输到安全管理服务器2000。
根据来自安全管理服务器2000的请求,安全管理客户部分1100的硬件控制单元1150将内容输出传输到监视器1900a以能将内容实时地输出在控制面板2500上。可替换的是,硬件控制单元1150将数据传输到安全管理服务器2000,通过周期性地屏幕捕获监视器1900a的输出内容产生该数据,以便将捕获的数据存储在安全管理服务器2000。硬件控制单元1150根据来自安全管理服务器2000的请求启动/停止输入装置1900b的功能。
安全管理客户部分1100响应来自安全管理服务器2000的请求将安装在用户计算机1000中的程序和计算机的硬件信息传输到安全管理服务器2000。安全管理客户部分1100由注册(未示)信息、程序注册信息和从用户计算机1000中检索的系统管理信息构成。
安全管理客户部分1100根据来自安全管理服务器2000的请求可以防止启动特定的程序,安全管理服务器2000管理可用的经授权的软件清单,并从通过安全管理客户部分1100传输的计算机程序中停止没有包括在该清单中的程序。通过这种方法,可以防止使用整个单位的未经授权的软件。
在用户计算机1000中安装或从其中卸下时安全管理客户部分1100需要来自安全管理服务器2000的授权。例如,在下载例行程序的过程中通过到安全管理服务器2000的连接校验安全管理员是否有授权,并且只有经授权的管理员能够允许下载。
在中断了与安全管理服务器2000的通信时,安全管理客户部分1100将要传输到安全管理服务器2000的记录数据(比如文件传输信息或网络使用状态)存储在临时记录数据存储单元1160中,并在与安全管理服务器2000的通信恢复时将存储在临时记录数据存储单元1160中的记录数据传输到安全管理服务器2000。因此,即使由于用户的意图或网络故障的缘故已经中断了通信时也能够提供与上文描述的那些相同的信息安全服务。
可取的是,对用户计算机1000的主引导记录器进行编码,通常仅引导相应的用户计算机的系统。在此,密钥值由每个用户计算机唯一的硬件序列号(例如通信卡序列号(MCA)或处理器(CPU)序列号)构成。
同时,安全管理服务器2000管理唯一的硬件序列号以便引导用户计算机1000的硬盘。因此,在硬盘合法地安装在其他的计算机上时利用唯一硬件序列号。
因此,在由计算机用户或他人取出硬盘时不能读该硬盘,由此防止了通过硬盘实施信息外流。
参考附图9解释计算机系统的常规的引导过程和访问控制。
首先,将引导方法划分为通过软盘引导盘的方法和通过硬盘的方法。在接通计算机系统的电源时,系统本身自检它的状态,这称为“加电自检”。在将软盘插入到驱动器时,该系统首先读软盘引导盘的引导扇区,然后读硬盘分区信息,并加载到存储器地址0000:7C00中以进行系统引导。如果软盘没有插入,则系统读硬盘的引导扇区以执行MRB代码,然后读硬盘的分区信息,并加载到存储器地址0000:7C00中。仅在系统存取控制的授权代码输入到MBR代码中并输入正确的口令时,通过授权对分区信息的访问可以控制系统访问。
参考附图10解释通过主引导记录(MBR)的编码过程获得对系统访问的授权的过程。在安全管理客户部分1100安装在用户计算机1000中时,通过抽取系统硬件信息所获得的和通过MD5所编码的结果分别存储在用户计算机1000和安全管理服务器2000的MBR数据库中,如附图10b所示。
在完成安装安全管理客户部分1100的安装之后试图引导时,如果通过使用MD5通过处理硬件信息所获得的口令和预先产生的口令彼此匹配,则引导过程正常地进行。如果口令不匹配,通过MBR口令输入窗口输入128位字符串以校验口令。即,在安装在其中已经装有安全管理客户部分1100的硬盘安装并在其它的计算机上正常地使用时,从MBR数据库2700中获得安装有该硬盘的用户计算机的MBR口令并输入到MBR口令输入窗口中。
为执行上述的本发明的所有功能,则安全管理员通过如在附图11中所示的安全管理服务器2000的控制面板2500控制所有的安全管理客户部分1100。
工业实用性
如上文所述,本发明的防止内部信息外流的综合信息安全系统的优点在于系统监视并防止通过输出装置或便携式存储装置实施的离线信息外流和通过计算机通信程序实施的在线信息外流,由此防止了重要的内部信息外流。
根据上述的技术本发明的许多改型和变化都是可能的,因此应该理解的是在所附加的权利要求的范围内除了上述的特定描述以外还可以以其它的方式实施本发明。
例如,本发明的综合信息安全系统可以用于通过在存储装置和安装在用户计算机中的通信和输出接口(比如串行端口、并行端口、USB端口、IEEE1394端口或无线电端口)之间的连接可传输的所有类型的文件。
在上述的实施例中,通过用户计算机装置管理安全管理服务器的数据库。然而,还可以通过用户装置管理数据库。

Claims (27)

1.一种防止信息从内部外流的总系统,该系统包括将文件存储在外部存储装置中的存储单元、安全管理客户单元和安全管理服务器,该安全管理客户单元具有对文件内容进行编码、将经编码的文件存储在所述外部存储装置中并存储关于文件存储的记录数据的文件安全控制单元,该安全管理服务器通过与文件安全控制单元的通信接收所述的编码的文件的记录数据和与对所述文件进行编码的密钥相对应的解码密钥并对经编码的文件进行解码。
2.根据权利要求1所述的防止信息从内部外流的总系统,其中所述的外部存储装置至少是连接网络的便携式存储装置和远程存储装置中的一种。
3.根据权利要求1所述的防止信息从内部外流的总系统,其中所述的安全管理客户单元进一步包括传输文件的通信单元和通信安全控制单元,该通信安全控制单元用于对所述的文件内容进行编码、经由网络将经编码的文件和与对所述文件进行编码的密钥相对应的解码密钥传输到所述的网络的目的地以及存储文件传输的记录数据,以及
所述的安全管理服务器包括自动密钥传输单元,该自动密钥传输单元通过经由所述网络与所述的通信安全控制单元的通信接收用于所述的编码的文件的解码密钥、接收所述的记录数据和关于目的地的数据以及根据所述的目的地的文件传输安全策略将解码密钥传输给目的地,所述文件传输安全策略是根据所述目的地的安全等级来执行文件传输的一种策略。
4.根据权利要求3所述的防止信息从内部外流的总系统,其中所述的通信安全控制单元通过所述的通信单元在一旦发生文件传输事件就从用户输入接收所述的文件内容和传输描述。
5.根据权利要求3所述的防止信息从内部外流的总系统,其中所述的文件传输安全策略确定所述的目的地的安全等级,如果安全等级是“可靠”等级则自动地仅将解码密钥传输到所述的目的地,如果安全等级是“合作”等级则将解码密钥传输到所述的目的地并且同时存储所述的记录数据,以及如果安全等级是“不可靠”等级则仅存储和管理所述的记录数据。
6.根据权利要求3所述的防止信息从内部外流的总系统,其中所述的传输的经编码的文件由根据用于解码所述的编码文件的代码所确定的文件格式构成。
7.根据权利要求3所述的防止信息从内部外流的总系统,其中所述的通信安全控制单元基于所述的文件传输安全策略根据所述的目的地控制是否将所述的文件传输给所述的网络。
8.根据权利要求7所述的防止信息从内部外流的总系统,其中如果所述的目的地是“可靠”等级则所述的文件传输安全策略允许将所述的文件传输到所述的目的地,如果所述的目的地是“合作”等级则能使将所述的文件传输到所述的目的地并同时能存储所述的记录数据,以及如果所述的目的地是“不可靠”等级则能中断文件传输并仅存储和管理记录数据。
9.根据权利要求3所述的防止信息从内部外流的总系统,其中一旦出现从所述的网络到所述的安全管理客户单元的通信请求,如果源地址不存在预先设定的安全组内则所述的通信安全控制单元使通信中断,一旦出现从所述的安全管理客户单元到所述的网络的通信请求,如果目的地址不存在预先设定的安全组内则通信安全控制单元使通信中断。
10.根据权利要求9所述的防止信息从内部外流的总系统,其中通过所述的安全管理服务器将所述的预先设定的安全组设定在源地址或目的地址的IP地址组中。
11.根据权利要求3所述的防止信息从内部外流的总系统,其中所述的通信安全控制单元清除执行所述的通信单元的计算机的剪切板并且在启动所述的通信单元时使其它的程序停止运行。
12.根据权利要求3所述的防止信息从内部外流的总系统,其中所述的通信安全控制单元存储通过执行所述的通信单元的计算机的键盘输入的信息并将所存储的信息传输到用于所述的信息的存储和管理的所述的安全管理服务器。
13.根据权利要求1所述的防止信息从内部外流的总系统,其中所述的安全管理客户单元进一步包括产生打印数据和执行打印工作的应用单元、以及截获所述的打印数据并将所述的打印数据传输到所述的安全管理服务器的打印控制单元,以及所述的安全管理服务器在与所述的打印控制单元进行通信的同时接收并输出所述的打印数据。
14.根据权利要求1所述的防止信息从内部外流的总系统,其中所述的安全管理客户单元进一步包括硬件控制单元,用于根据来自所述的安全管理服务器的请求将在监视器上输出的内容传输到安全管理服务器。
15.根据权利要求14所述的防止信息从内部外流的总系统,其中所述的硬件控制单元根据来自所述的安全管理服务器的请求启动/停止所述的安全管理客户单元的输入功能。
16.根据权利要求1所述的防止信息从内部外流的总系统,其中所述的文件安全控制单元将安装在所述的安全管理客户单元中的程序和硬件信息传输到所述的安全管理服务器。
17.根据权利要求16所述的防止信息从内部外流的总系统,其中所述的文件安全控制单元根据来自所述的安全管理服务器的请求禁止打开所述的已安装的程序,由此禁止启动所述的程序。
18.根据权利要求17所述的防止信息从内部外流的总系统,其中所述的安全管理服务器管理所述的安全管理客户单元通过授权可使用的程序的清单,并禁止启动没有包括在所述的已安装的程序的可使用的程序清单中的程序。
19.根据权利要求1所述的防止信息从内部外流的总系统,其中安装了所述的安全管理客户单元的计算机的所述外部存储装置具有经编码的主引导记录MBR,其编码密钥值是由组成所述的计算机的硬件的特征硬件序列号构成的,由此控制存取在所述安装了所述的安全管理客户单元的计算机。
20.根据权利要求19所述的防止信息从内部外流的总系统,其中通过所述的安全管理服务器存储并管理所述的硬件序列号。
21.根据权利要求1所述的防止信息从内部外流的总系统,其中所述的文件安全控制单元通过使用所述的解码密钥对存储在所述的外部存储装置中的经编码的文件进行解码、将经解码的文件存储在所述的外部存储装置中以及将所述的文件的内容连同传输描述一起传输到所述的安全管理服务器,其中传输描述是关于使用所述的外部存储装置进行的文件传输的信息。
22.根据权利要求1所述的防止信息从内部外流的总系统,其中所述的文件安全控制单元根据所读取的来自所述的安全管理客户单元的请求通过使用所述的解码密钥对存储在所述的外部存储装置中的经编码的文件进行解码,并将经解码的文件传输到所述的安全管理客户单元。
23.根据权利要求9或权利要求22所述的防止信息从内部外流的总系统,其中所述的安全管理服务器由在所述的预先设定的安全组内的安全管理客户单元的每个文件安全控制单元一起共享所述的解码密钥,由此能使存储在所述的外部存储装置中的所述的经编码的文件解码并在所述的安全组内被读取。
24.根据权利要求1或权利要求3所述的防止信息从内部外流的总系统,其中所述的安全管理客户单元安装在多个用户计算机中,并在被从所述的用户计算机卸载时接收来自所述的安全管理服务器的授权。
25.根据权利要求1所述的防止信息从内部外流的总系统,其中所述的文件安全控制单元根据来自所述的安全管理服务器的请求控制是否存取所述的外部存储装置。
26.根据权利要求1所述的防止信息从内部外流的总系统,其中在所述的文件安全控制单元通过所述的存储单元将所述的文件存储在所述的外部存储装置的情况下接收传输描述并将传输描述传输到所述的安全管理服务器,其中传输描述是关于使用所述的外部存储装置进行文件传输的信息。
27.根据权利要求1所述的防止信息从内部外流的总系统,其中所述的安全管理客户单元进一步包括临时记录数据存储单元,一旦在发生与所述的安全管理服务器的通信中断时该临时记录数据存储单元存储所述的记录数据,并且在恢复了与所述的安全管理服务器的通信时将所述的所存储的记录数据传输到所述的安全管理服务器。
CN01810626.9A 2000-06-01 2001-05-21 防止信息从内部外流的总系统 Expired - Lifetime CN1229737C (zh)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
KR10-2000-0030133A KR100368813B1 (ko) 2000-06-01 2000-06-01 인쇄 장치를 통한 데이터 유출 감시 및 방지 시스템 및 방법
KR30133/2000 2000-06-01
KR20000037749 2000-07-03
KR37749/2000 2000-07-03
KR20076/2001 2001-04-14
KR10-2001-0020076A KR100390086B1 (ko) 2000-07-03 2001-04-14 통합 내부정보 유출 방지 시스템

Publications (2)

Publication Number Publication Date
CN1432159A CN1432159A (zh) 2003-07-23
CN1229737C true CN1229737C (zh) 2005-11-30

Family

ID=27350252

Family Applications (1)

Application Number Title Priority Date Filing Date
CN01810626.9A Expired - Lifetime CN1229737C (zh) 2000-06-01 2001-05-21 防止信息从内部外流的总系统

Country Status (8)

Country Link
US (1) US7370198B2 (zh)
JP (1) JP4099387B2 (zh)
CN (1) CN1229737C (zh)
AU (1) AU2001258905A1 (zh)
CA (1) CA2410788C (zh)
HK (1) HK1057630A1 (zh)
IL (1) IL153184A0 (zh)
WO (1) WO2001093055A1 (zh)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080244695A1 (en) * 2000-06-01 2008-10-02 Jong-Sung Lee Total system for preventing information outflow from inside
JP2005141556A (ja) * 2003-11-07 2005-06-02 Canon Inc ジョブ管理システム、情報処理装置、ジョブ管理方法、ジョブ管理プログラム及び記憶媒体
JP4665963B2 (ja) * 2005-02-14 2011-04-06 セイコーエプソン株式会社 外部記録媒体書き込み装置を用いたデータ管理方法およびデータ管理システム
JP3762935B1 (ja) * 2005-04-11 2006-04-05 クオリティ株式会社 情報処理装置,ファイル管理システムおよびファイル管理プログラム
JP4671340B2 (ja) * 2005-07-12 2011-04-13 株式会社日立ソリューションズ 外部記憶媒体へのデータ保存・読み出し方法
CN100371847C (zh) * 2005-09-22 2008-02-27 深圳市江波龙电子有限公司 文档加密、解密的方法及其安全管理存储设备和系统方法
JP4742010B2 (ja) * 2006-10-20 2011-08-10 日立キャピタル株式会社 個人情報ファイルの監視システム
EP2001164A1 (en) * 2007-05-14 2008-12-10 Abb Research Ltd. Simplified support of an isolated computer network
JP4772022B2 (ja) * 2007-10-03 2011-09-14 中国電力株式会社 データ管理システムおよびデータ管理方法
US8661234B2 (en) * 2008-01-31 2014-02-25 Microsoft Corporation Individualized per device initialization of computing devices in avoidance of mass exploitation of vulnerabilities
US8225106B2 (en) * 2008-04-02 2012-07-17 Protegrity Corporation Differential encryption utilizing trust modes
EP2293489A1 (en) * 2008-06-23 2011-03-09 Panasonic Corporation Key migration device
CN101378358B (zh) * 2008-09-19 2010-12-15 成都市华为赛门铁克科技有限公司 一种实现安全接入控制的方法及系统、服务器
JP2010186352A (ja) * 2009-02-12 2010-08-26 Brother Ind Ltd 情報処理装置及び情報処理用プログラム
TWI472945B (zh) * 2009-04-14 2015-02-11 Fineart Technology Co Ltd 外接式儲存裝置及其製造方法與資訊安全管理方法
FR2973185B1 (fr) * 2011-03-22 2013-03-29 Sagem Defense Securite Procede et dispositif de connexion a un reseau de haute securite
US20140032924A1 (en) * 2012-07-30 2014-01-30 David M. Durham Media encryption based on biometric data
WO2015163499A1 (ko) * 2014-04-24 2015-10-29 (주)지란지교시큐리티 파일 유출 방지 방법 및 그를 위한 장치
CN104780174A (zh) * 2015-04-21 2015-07-15 成都汇智远景科技有限公司 一种内容安全存取方法
CN106294209B (zh) * 2015-06-12 2019-10-29 联想(北京)有限公司 一种信息处理方法及电子设备
US10904292B1 (en) * 2018-09-25 2021-01-26 Amazon Technologies, Inc. Secure data transfer device
CN110188545B (zh) * 2019-04-26 2020-06-26 特斯联(北京)科技有限公司 一种基于链式数据库的数据加密方法及装置
CN116112481B (zh) * 2022-12-15 2024-08-13 苏州迈艾木软件科技有限公司 一种文件实时同步及交互方法

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5032979A (en) * 1990-06-22 1991-07-16 International Business Machines Corporation Distributed security auditing subsystem for an operating system
JPH06102822A (ja) * 1991-09-26 1994-04-15 Rooreru Intelligent Syst:Kk ファイルセキュリティシステム
JPH05265832A (ja) 1992-03-16 1993-10-15 Nec Corp データセキュリティ機能付きクライアント・サーバ型ファイルシステム
US6154850A (en) * 1993-11-01 2000-11-28 Beaufort River, Inc. Data storage system and method
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
JP3831990B2 (ja) * 1996-10-04 2006-10-11 株式会社日立製作所 通信データ監査方法および装置
US20030054879A1 (en) * 1996-12-31 2003-03-20 Bruce Schneier System and method for securing electronic games
JP3497338B2 (ja) * 1997-01-08 2004-02-16 株式会社日立製作所 分散ログ一括管理機能付きネットワークシステム
JP3705891B2 (ja) * 1997-04-07 2005-10-12 富士通株式会社 コンピュータシステム
JP3180054B2 (ja) 1997-05-16 2001-06-25 インターナショナル・ビジネス・マシーンズ・コーポレ−ション ネットワーク・セキュリティ・システム
JP4027482B2 (ja) * 1997-12-24 2007-12-26 富士通株式会社 暗号復元を行う翻訳装置およびその方法
JP3457184B2 (ja) * 1998-06-25 2003-10-14 シャープ株式会社 検索装置及びその制御プログラムを記憶した媒体
JP2000083016A (ja) * 1998-07-01 2000-03-21 Nec Corp アクセス制御システム、端末装置、データ送信装置及びデータ鍵サーバ、並びに記録媒体
JP2000112706A (ja) * 1998-09-30 2000-04-21 Canon Inc 印刷ログ集計管理システム、印刷ログ集計管理方法、および記憶媒体
JP2000132543A (ja) * 1998-10-27 2000-05-12 Ntt Data Corp 文書処理システム、方法及び記録媒体
US20020118954A1 (en) * 2001-12-07 2002-08-29 Barton James M. Data storage management and scheduling system
JP2002101087A (ja) * 2000-09-21 2002-04-05 Hitachi Ltd 情報保管システム及び情報移動システム並びにそれらに用いる記憶媒体
WO2003073295A1 (fr) * 2002-02-27 2003-09-04 Matsushita Electric Industrial Co., Ltd. Dispositif hote
JP4161859B2 (ja) * 2003-09-11 2008-10-08 ソニー株式会社 情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラム

Also Published As

Publication number Publication date
US20030187619A1 (en) 2003-10-02
US7370198B2 (en) 2008-05-06
HK1057630A1 (en) 2004-04-08
CA2410788A1 (en) 2001-12-06
CN1432159A (zh) 2003-07-23
IL153184A0 (en) 2003-06-24
AU2001258905A1 (en) 2001-12-11
CA2410788C (en) 2009-01-20
JP4099387B2 (ja) 2008-06-11
WO2001093055A1 (en) 2001-12-06
JP2003535398A (ja) 2003-11-25

Similar Documents

Publication Publication Date Title
CN1229737C (zh) 防止信息从内部外流的总系统
CN1310467C (zh) 基于端口的网络访问控制方法
CN101034977A (zh) 在客户端计算机上施加策略兼容的方法、装置、信号和介质
CN1230752C (zh) 信息处理系统、信息处理设备以及信息处理方法
CN1467642A (zh) 数据保护程序及数据保护方法
US20080244695A1 (en) Total system for preventing information outflow from inside
CN101047504A (zh) 一种网站登录认证方法及认证系统
CN1208527A (zh) 自动、安全及直接的数据传送方法及微计算机系统
CN1855926A (zh) 实现dhcp地址安全分配的方法及系统
CN1914857A (zh) 访问控制系统及其访问控制设备和资源提供设备
CN101068204A (zh) 通信架构中的中间网络节点及其执行的方法
CN1497472A (zh) 服务验证系统、认证要求终端、服务使用终端及提供方法
CN101052167A (zh) 一种通信号码自动更新系统及其实现方法
CN1780219A (zh) 终端远程操作系统和方法,网关服务器,终端及控制设备
CN1801816A (zh) 端点识别和安全
CN1790360A (zh) 认证系统以及认证方法
CN1874218A (zh) 一种许可证管理方法、系统及装置
CN1725703A (zh) 网络行为管理方法与系统
CN1747387A (zh) 信息处理装置及信息处理方法
CN1815946A (zh) 一种实现数字信息安全存取的方法
CN1536807A (zh) 文件安全传送系统及其方法
CN1889427A (zh) 一种安全的星形局域网计算机系统
CN1385020A (zh) 初始化简单网络管理协议代理的系统和方法
CN1588850A (zh) 一种网络认证方法及系统
CN1925402A (zh) iSCSI鉴权方法、其发起设备和目标设备及鉴权方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: WATERWALL SYSTEMS CO., LTD.

Free format text: FORMER NAME: SAFA SOFT CO LTD

CP03 Change of name, title or address

Address after: Seoul, South Kerean

Patentee after: Wotewo System Co Ltd

Address before: Seoul, South Korea

Patentee before: SAFA Soft Co., Ltd.

CX01 Expiry of patent term

Granted publication date: 20051130

CX01 Expiry of patent term