JP2024524618A - 安全な転送ゲートウェイ - Google Patents
安全な転送ゲートウェイ Download PDFInfo
- Publication number
- JP2024524618A JP2024524618A JP2024501134A JP2024501134A JP2024524618A JP 2024524618 A JP2024524618 A JP 2024524618A JP 2024501134 A JP2024501134 A JP 2024501134A JP 2024501134 A JP2024501134 A JP 2024501134A JP 2024524618 A JP2024524618 A JP 2024524618A
- Authority
- JP
- Japan
- Prior art keywords
- data
- network
- transfer
- transferred
- transmission channel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012546 transfer Methods 0.000 title claims description 186
- 230000005540 biological transmission Effects 0.000 claims abstract description 87
- 230000015654 memory Effects 0.000 claims abstract description 83
- 230000006854 communication Effects 0.000 claims abstract description 68
- 238000004891 communication Methods 0.000 claims abstract description 68
- 230000004913 activation Effects 0.000 claims description 17
- 238000012795 verification Methods 0.000 claims description 14
- 238000005192 partition Methods 0.000 claims description 13
- 238000000034 method Methods 0.000 claims description 10
- 238000010200 validation analysis Methods 0.000 claims description 10
- 230000003213 activating effect Effects 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims description 3
- 230000002457 bidirectional effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000011144 upstream manufacturing Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000007175 bidirectional communication Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000000638 solvent extraction Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013502 data validation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Abstract
本発明は、通信システムにおいて、第1のネットワークと第2のネットワークとの間でデジタルデータを転送するための転送デバイスに関する。本デバイスは、第1のネットワークとの第1のインターフェースと、第2のネットワークとの第2のインターフェースと、転送デバイスを通じたデジタルデータの転送を制御するための転送コントローラを備えた第3のインターフェースと、少なくとも1つの転送メモリに接続されるように構成された第4のインターフェースとを備える。転送デバイスは、それぞれ排他的な形で、第1および第4のインターフェースを通じて第1の伝送チャネルを、第3および第4のインターフェースを通じて第2の伝送チャネルを、第2および第4のインターフェースを通じて第3の伝送チャネルを連続的にアクティブ化するように構成される。
Description
本発明は、情報システムセキュリティの分野に関する。より具体的には、本発明はデジタルデータを転送するためのデバイスに関する。本発明はまた、非網羅的な形で、そのようなデバイスを備える通信システム、そのようなシステムにおいてそのようなデバイスを使用するデジタルデータを転送するための方法、およびそのようなデバイスを制御するために設計されたコンピュータプログラムにも関する。
5Gなどのセルラーネットワークの開発、コンピュータネットワークの仮想化の進展、またはモノのインターネットの出現と普及はすべて、個人的な領域と職業的な領域の両方において、デジタルコミュニケーションの分散化に向かう現在の一般的な傾向の例である。
必然的に、この動きは、産業上および商業上の機密またはプライバシの保護などの繰り返し発生する問題に対処するために、セキュリティシステムの成長と複雑さの増大を伴う。
現在進行中のもう1つの課題は、病院に接続された、または防衛分野におけるコンピュータシステム、あるいは大規模なネットワークおよびインフラストラクチャ、特に流体(水、ガスなど)の分配または輸送のための分散制御システムのセキュリティを維持することであり、そのようなシステムは高度な攻撃を受ける可能性がある。
この一般的な状況において、デジタルデータ転送を安全に保つために、ネットワークゲートウェイまたはルータなど、コンピュータネットワークを相互接続するデバイスに様々なセキュリティコンポーネントを提供することが知られている。
そのようなセキュリティコンポーネントの例としては、ハードウェアファイアウォールの挿入がある。そのようなデバイスは少なくとも2つのネットワークインターフェースを有し、そこを通過するデータを分析し、このデータがあらかじめ定義されたルールに対応するかどうかを確認する。これらのルールにはいくつかのタイプがある。たとえば、特定のドメインからのすべてのリクエスト、特定のプロトコルを使用するすべてのリクエスト、またはあれこれのポート番号に関連するすべてのリクエストを体系的に拒否するようにファイアウォールに依頼することができる。
ハードウェアファイアウォールの欠点は、フィルタリングの実装が複雑であることである。さらに、不正なデータは暗号化によってマスクされているか、正規のデータと同じフォーマットで提供されているため、フィルタリングされないままになる可能性がある。
セキュリティコンポーネントの別の例は、二重変換要素を利用したプロトコルを破壊するゲートウェイである。
プロトコルを破壊するゲートウェイは、クライアントとサーバとの間で直接通信セッションを確立できないようにする効果を有するが、対照的に、そのようなセッションを傍受する。プロトコル破壊ゲートウェイは、クライアントによって認識されるプロトコルを使用してクライアントと通信する「擬似サーバ」モジュール、サーバによって認識されるプロトコルを使用してサーバと通信する「擬似クライアント」モジュール、および二重変換要素を統合するフィルタを備える。フィルタは、擬似サーバモジュールを擬似クライアントモジュールに接続し、制限付きプロトコルを使用し、したがって、つまり一方ではクライアントプロトコルと制限付きプロトコルの間で、もう一方ではサーバプロトコルと制限付きプロトコルの間で、2つの連続したプロトコル変換を実装する。
目的は2つあり、特定のプロトコルに関連した攻撃を防止することと、通信内容を検査できるようにすることである。
プロトコル破壊の欠点は、考えられるすべての正当なデータの伝送が許可されるのではなく、制限されたプロトコルと互換性のあるデータの伝送のみが許可されることである。プロトコル破壊のもう1つの欠点は、一部の不正なデータが制限されたプロトコルを介して通過する可能性があることである。
セキュリティコンポーネントの別の例は、ネットワークダイオードである。ネットワークダイオードは単方向であり、ソースネットワーク上に配置された上流ウィンドウからデジタルデータを受信し、このデジタルデータを保護される下位ネットワーク上に配置された下流ウィンドウに伝送する。もちろん、双方向のやり取りを可能にするためにダイオードを2つ配置することも可能である。
ネットワークダイオードの欠点は、交換機のセキュリティが、保護されるネットワーク上に配置された転送ウィンドウの完全性に依存することである。実際には、上流ウィンドウが破損すると、データ転送の制御が失われ、下流ウィンドウへの不正な伝送のリスクが生じる。
一般に、既存のセキュリティコンポーネントによって提供されるセキュリティレベルが高くなるほど、交換の可能性は低下するが、保護されるネットワークの完全な分割を達成することはできない。
2つの別個のコンピュータネットワーク間のデジタルデータの転送をさらに安全にするために、上記の欠点を克服することが望ましい。
また、関係するネットワークから独立した方法で、2つのコンピュータネットワーク間の転送の正当性、ならびに転送されるデジタルデータの正当性を検証できることが望ましい。
本開示により状況は改善される。
本発明の一態様によれば、通信システムにおいて、第1のネットワークと第2のネットワークとの間でデジタルデータを転送するための転送デバイスが提案され、このデバイスは、
第1のネットワークとの第1の通信インターフェースと、
第2のネットワークとの第2の通信インターフェースと、
転送デバイスを通じたデジタルデータの転送を制御するための転送コントローラを備えた第3の通信インターフェースと、
少なくとも1つの転送メモリに接続されるように構成された第4の通信インターフェースと
を備え、
転送デバイスは、それぞれ排他的な形で、
第1および第4の通信インターフェースを通じて第1の伝送チャネルを、
第3および第4の通信インターフェースを通じて第2の伝送チャネルを、
第2および第4の通信インターフェースを通じて第3の伝送チャネルを
連続的にアクティブ化するように構成される。
第1のネットワークとの第1の通信インターフェースと、
第2のネットワークとの第2の通信インターフェースと、
転送デバイスを通じたデジタルデータの転送を制御するための転送コントローラを備えた第3の通信インターフェースと、
少なくとも1つの転送メモリに接続されるように構成された第4の通信インターフェースと
を備え、
転送デバイスは、それぞれ排他的な形で、
第1および第4の通信インターフェースを通じて第1の伝送チャネルを、
第3および第4の通信インターフェースを通じて第2の伝送チャネルを、
第2および第4の通信インターフェースを通じて第3の伝送チャネルを
連続的にアクティブ化するように構成される。
デジタルデータを転送するためのこの転送デバイスの特殊なアーキテクチャにより、これらの2つのネットワーク間に物理的な接続が決して確立されないという意味で、2つのネットワーク間の完全な分割が取得される。
さらに、やはり、デジタルデータを転送するためのこの転送デバイスの特殊なアーキテクチャにより、デジタルデータの転送を制御するための転送コントローラを独立させることができ、破損のレベルに関係なく、分割されるネットワークとの接続を一切排除することができる。
デバイスが、第4の通信インターフェースに接続された転送メモリ、または場合によっては第4の通信インターフェースに接続されたいくつかの転送メモリをさらに備えることが可能である。
転送メモリは、たとえば、ランダムアクセスメモリ(random access memory: RAM)、フラッシュメモリ(SDカード、USBスティック)、ハードディスクドライブ(hard disk drive: HDD)、またはソリッドステートディスク(solid state disk: SSD)などのデジタルデータストレージデバイスである。そのような転送メモリは、第4の通信インターフェースに接続され、転送されるデータを一時的に記憶する媒体として機能する。この媒体は、転送コントローラによって中間検証を実行しながら、第1のネットワークから第2のネットワークにデータを転送するために、転送デバイスによって、第1のネットワーク、次いで転送コントローラ、最後に第2のネットワークに連続的に接続することができる。対称的に、この媒体は、転送コントローラによって中間検証を実行しながら、第2のネットワークから第1のネットワークにデータを転送するために、転送デバイスによって、第2のネットワーク、次いで転送コントローラ、最後に第1のネットワークに連続的に接続することができる。
たとえば、転送メモリは、
第1のネットワークから第2のネットワークに転送されるデジタルデータを記憶する専用の第1のパーティションと、
第2のネットワークから第1のネットワークに転送されるデジタルデータを記憶する専用の第2のパーティションとを備え得る。
第1のネットワークから第2のネットワークに転送されるデジタルデータを記憶する専用の第1のパーティションと、
第2のネットワークから第1のネットワークに転送されるデジタルデータを記憶する専用の第2のパーティションとを備え得る。
したがって、転送デバイスが第1の伝送チャネル、次いで第2の伝送チャネルを連続的にアクティブ化すると、第1のパーティションのみが第1のネットワークから来て第2のネットワークに転送されるデータを含むことが予想される。したがって、そのような状況では、第2のネットワークへの不正な転送を回避するために、転送コントローラが第2のパーティションの内容を自動的に消去することが予想される。
本発明の別の態様によれば、第1のネットワークと第2のネットワークとの間の通信システムが提案され、本システムは、
デジタルデータを転送するための上記の転送デバイスと、
転送デバイスを通じたデジタルデータの転送を制御するための転送コントローラと
を備え、
前記転送コントローラは、転送デバイスの第3の通信インターフェースに接続され、第1のネットワークと第2のネットワークの両方から独立している。
デジタルデータを転送するための上記の転送デバイスと、
転送デバイスを通じたデジタルデータの転送を制御するための転送コントローラと
を備え、
前記転送コントローラは、転送デバイスの第3の通信インターフェースに接続され、第1のネットワークと第2のネットワークの両方から独立している。
「第1のネットワークと第2のネットワークから独立している」とは、転送コントローラがこれらの2つのネットワークとの物理的なデータ接続、バスまたはネットワークを、一時的であっても持たないことを意味すると理解される。その結果、転送コントローラは、これらの2つのネットワークのいずれかに属する破損している可能性のあるエンティティから命令を受け取る可能性は低くなる。
転送デバイスと転送コントローラを組み合わせることで、第1のネットワークと第2のネットワークとの間のあらゆる形式のデータ交換を、2つのネットワークとは独立してエンドツーエンドで管理することが可能になる。したがって、たとえ2つのネットワークのいずれかにある転送されるデータのソースが破損した場合でも、このソースは転送コントローラまたは転送デバイスを直接的または間接的に制御することができない。
たとえば、転送コントローラは、転送デバイスによる伝送チャネルの連続的なアクティブ化を制御するようにさらに構成することができる。たとえば、そのような制御は、伝送チャネルを通過しないオールオアナッシング(all-or-nothing)信号によって実行することができる。伝送チャネルの連続的なアクティブ化が転送コントローラによってのみ物理的にトリガできる場合、転送デバイスの動作は第1のネットワークおよび第2のネットワークから独立して行われる。その結果、悪意のある攻撃者が2つのネットワークのいずれかからの論理命令を使用して転送デバイスを制御することは物理的に不可能である。
たとえば、転送コントローラは、第1のネットワークから来る着信デジタルデータの第1のセットを、第1の伝送チャネルを介して転送メモリに伝送することを目的として、第1のネットワークに接続された第1のスレーブコントローラを制御して、着信データの前記第1のセットを、転送されるデータの第1のセットとして記憶するようにさらに構成され得る。たとえば、転送コントローラは、第1の伝送チャネルがアクティブであるかどうかを第1のスレーブコントローラに信号を送ってもよい。これにより、第1の伝送チャネルがアクティブになるとすぐに第1のネットワークと転送メモリとの間のデータ交換をトリガすることと、第1の伝送チャネルがアクティブでなくなるとすぐにそのようなデータ交換を停止することとが可能になる。この例では、転送コントローラは、第1のネットワークの観点から、第2のネットワークとの断続的なデジタルデータの交換の調整装置として機能する。
たとえば、転送コントローラは、転送されるデータの第1のセットの検証を実行するために、転送されるデータの前記第1のセットを第2の伝送チャネルを介して取得するようにさらに構成され得、前記検証は、転送されるデータの前記第1のセットに関する少なくとも1つのセキュリティルールの遵守または違反を示す第1の結果を提供する。セキュリティルールは、あらかじめ決定されたセキュリティポリシによって導かれ、たとえば、転送されるデジタルデータの機密性および/または完全性に関連する場合がある。転送されるデータの検証は、たとえば、ウイルス対策プログラムの実行または転送権限の確認を備え得る。
たとえば、転送コントローラは、第1の結果がセキュリティルール違反を示していない場合のみ、転送されるデータの第1のセットを、発信デジタルデータの第1のセットとして第3の伝送チャネルを介して第2のネットワークに伝送することを目的として、第2のネットワークに接続された第2のスレーブコントローラを制御するようにさらに構成され得る。これは、データの第1のセットの第2のネットワークへの転送が、転送コントローラによって許可されていることを示す。
たとえば、転送コントローラは、転送されるデータの第1のセットのデータに関する第1の結果が少なくとも1つのセキュリティルールの違反を示す場合、第3の伝送チャネルを介して先に伝送することなく、転送されるデータの第1のセットのデータを転送メモリから消去するようにさらに構成され得る。たとえば、所与の時点で、転送コントローラが、転送されるデータの第1のセットに関連するセキュリティルールの違反を検出したとする。この所与の時点では、第2の伝送チャネルがアクティブであり、したがって、転送メモリは第1のネットワークにも第2のネットワークにも接続されていないが、転送コントローラに接続されている。したがって、転送コントローラは、転送されるデータの第1のセット内の一部または全部のデータを具体的に消去することもでき、転送メモリの内容全体を消去することもできる。転送メモリが、第1のネットワークから第2のネットワークへのデータの転送専用のパーティションを含むいくつかのパーティションを備える場合、このパーティションの内容全体が消去されるようにすることが可能である。
たとえば、本システムは、
第2のネットワークから来る着信デジタルデータの第2のセットを第3の伝送チャネルを介して転送メモリに伝送し、着信データの前記第2のセットを転送されるデータの第2のセットとして記憶することを目的として、第2のスレーブコントローラを制御することと、
転送されるデータの第2のセットの検証を実行する目的で、転送されるデータの第2のセットを、第2の伝送チャネルを介して取得することであって、前記検証が、転送されるデータの前記第2のセットに関連する少なくとも1つのセキュリティルールの遵守または違反を示す第2の結果を提供する、ことと、
第2の結果がセキュリティルール違反を示していない場合のみ、第1の伝送チャネルを介して、転送されるデータの第2のセットを発信デジタルデータの第2のセットとして第1のネットワークに伝送することを目的として、第1のスレーブコントローラを制御することと、
転送されるデータの第2のセットのデータに関する第2の結果が少なくとも1つのセキュリティルールの違反を示している場合、転送されるデータの第2のセットのデータを、第1の伝送チャネルを介して先に伝送することなく、転送メモリから消去することとを行うようにさらに構成され得る。
第2のネットワークから来る着信デジタルデータの第2のセットを第3の伝送チャネルを介して転送メモリに伝送し、着信データの前記第2のセットを転送されるデータの第2のセットとして記憶することを目的として、第2のスレーブコントローラを制御することと、
転送されるデータの第2のセットの検証を実行する目的で、転送されるデータの第2のセットを、第2の伝送チャネルを介して取得することであって、前記検証が、転送されるデータの前記第2のセットに関連する少なくとも1つのセキュリティルールの遵守または違反を示す第2の結果を提供する、ことと、
第2の結果がセキュリティルール違反を示していない場合のみ、第1の伝送チャネルを介して、転送されるデータの第2のセットを発信デジタルデータの第2のセットとして第1のネットワークに伝送することを目的として、第1のスレーブコントローラを制御することと、
転送されるデータの第2のセットのデータに関する第2の結果が少なくとも1つのセキュリティルールの違反を示している場合、転送されるデータの第2のセットのデータを、第1の伝送チャネルを介して先に伝送することなく、転送メモリから消去することとを行うようにさらに構成され得る。
したがって、転送コントローラは、第1のネットワークから来て第2のネットワーク宛てのデータと、第2のネットワークから来て第1のネットワーク宛てのデータの両方を検証する。したがって、転送コントローラは、それらの実際の転送を許可または拒否する前に、第1のネットワークと第2のネットワーク間のすべてのデータ交換自体と、その内容、つまり、第1のネットワークと第2のネットワークとの間で、一方向または他方向に交換されるすべてのデータを検証する。
本発明の別の態様によれば、通信システムにおいて、第1のネットワークと第2のネットワークとの間で、
第1のネットワークとの第1の通信インターフェースと、
第2のネットワークとの第2の通信インターフェースと、
転送デバイスを通じたデジタルデータの転送を制御するための転送コントローラを備えた第3の通信インターフェースと、
第4の通信インターフェースと、
第4の通信インターフェースに接続された転送メモリと
を備える転送デバイスによって、デジタルデータを転送するための方法であって、
それぞれ排他的な形で、第1および第4の通信インターフェースを通じて第1の伝送チャネルを、第3および第4の通信インターフェースを通じて第2の伝送チャネルを、第2および第4の通信インターフェースを通じて第3の伝送チャネルを連続的にアクティブ化することを備える、方法が提案される。
第1のネットワークとの第1の通信インターフェースと、
第2のネットワークとの第2の通信インターフェースと、
転送デバイスを通じたデジタルデータの転送を制御するための転送コントローラを備えた第3の通信インターフェースと、
第4の通信インターフェースと、
第4の通信インターフェースに接続された転送メモリと
を備える転送デバイスによって、デジタルデータを転送するための方法であって、
それぞれ排他的な形で、第1および第4の通信インターフェースを通じて第1の伝送チャネルを、第3および第4の通信インターフェースを通じて第2の伝送チャネルを、第2および第4の通信インターフェースを通じて第3の伝送チャネルを連続的にアクティブ化することを備える、方法が提案される。
本方法は、たとえば、
転送されるデータの第1のセットとして転送することを目的として、第1のネットワークから来る着信デジタルデータの第1のセットを、第1の伝送チャネルを介して転送メモリに伝送することと、
転送されるデータの前記第1のセットの検証を実行する目的で、転送されるデータの第1のセットを第2の伝送チャネルを介して転送コントローラに通信することであって、前記検証は、転送されるデータの前記第1のセットに関する少なくとも1つのセキュリティルールの遵守または違反を示す第1の結果を提供することと、
第1の結果がセキュリティルール違反を示していない場合のみ、転送されるデータの第1のセットを、発信デジタルデータの第1のセットとして、第3の伝送チャネルを介して第2のネットワークに伝送することと、
第1の結果が少なくとも1つのセキュリティルールの違反を示している場合、転送されるデータの第1のセットを転送メモリから消去することとをさらに備え得る。
転送されるデータの第1のセットとして転送することを目的として、第1のネットワークから来る着信デジタルデータの第1のセットを、第1の伝送チャネルを介して転送メモリに伝送することと、
転送されるデータの前記第1のセットの検証を実行する目的で、転送されるデータの第1のセットを第2の伝送チャネルを介して転送コントローラに通信することであって、前記検証は、転送されるデータの前記第1のセットに関する少なくとも1つのセキュリティルールの遵守または違反を示す第1の結果を提供することと、
第1の結果がセキュリティルール違反を示していない場合のみ、転送されるデータの第1のセットを、発信デジタルデータの第1のセットとして、第3の伝送チャネルを介して第2のネットワークに伝送することと、
第1の結果が少なくとも1つのセキュリティルールの違反を示している場合、転送されるデータの第1のセットを転送メモリから消去することとをさらに備え得る。
本方法は、たとえば、転送コントローラによって実装される以下のステップをさらに備え得る。
転送デバイスが、第1の伝送チャネルのアクティブ化をトリガすることと、
伝送信号の開始が、第1のネットワークに接続された第1のスレーブコントローラに送信されることと、
割り当てられた時間が経過すると、伝送信号の終了が第1のスレーブコントローラに送信されることと、
第2の伝送チャネルのアクティブ化がトリガされることと、
転送メモリの内容が読み取られ、検証されることと、
任意で、転送メモリの内容の一部または全部が消去されることと、
第3の伝送チャネルのアクティブ化がトリガされること。
転送デバイスが、第1の伝送チャネルのアクティブ化をトリガすることと、
伝送信号の開始が、第1のネットワークに接続された第1のスレーブコントローラに送信されることと、
割り当てられた時間が経過すると、伝送信号の終了が第1のスレーブコントローラに送信されることと、
第2の伝送チャネルのアクティブ化がトリガされることと、
転送メモリの内容が読み取られ、検証されることと、
任意で、転送メモリの内容の一部または全部が消去されることと、
第3の伝送チャネルのアクティブ化がトリガされること。
本発明の別の態様によれば、このプログラムがプロセッサによって遂行されるときに上記の方法を実装するための1つまたは複数の命令を備えるコンピュータプログラムが提案される。
他の特徴、詳細、および利点は、以下の詳細な説明を読み、添付の図面を分析することによって明らかになるであろう。
本発明の目的は、異なるネットワーク間で物理的な通信を確立することなく、これらのネットワーク間でデジタルデータの転送を確実にすることである。本明細書全体を通じて、簡略化された「データ」という用語は体系的にデジタルデータを指すものとして理解される。
したがって、ソースネットワークからのデータを、様々なネットワークから独立したコントローラに転送し、次いで、この検証が実行された後、検証されたデータを宛先ネットワークに転送することが提案されている。ストリームは断続的に一度に一方向に転送されるが、異なるネットワーク間の物理的な分離を確保しながら、伝送データを変更することなく高スループットで転送される。
特に、異なる機能または異なるデータ機密性を有する複数の情報システムを所有し、定期的からほぼ連続的な頻度での高速転送を必要とし、セキュリティ目標のためにこれらの情報システム間または外部システムとのネットワーク接続を持たない最高レベルのパーティショニングが必要な企業および組織では、多くのアプリケーションが可能である。
たとえば、病院の場合、本発明は、医療デバイスのコンピュータネットワークと管理コンピュータネットワークとの間のデータ転送の管理に適用することができる。エネルギー生産者または輸送管理者などの非常に重要な組織の場合、本発明は、産業機器をホストするネットワークと、生産管理およびオフィスオートメーションのためのネットワークとの間のデジタルデータ転送の管理に適用することができる。防衛分野の組織は、本発明を、様々な機密性のデータをホストするが依然としてネットワーク間の交換を必要とするコンピュータネットワーク間の転送の管理に適用することができる。
ここで、通信システムの一例を機能的に示す図1と、異なるネットワーク間でデータを転送するためのアルゴリズムの一例を示す図2とを参照するが、そのようなアルゴリズムは、そのような通信システムに適用可能である。
デジタルデータを転送するためのデバイスが示されており、このデバイスは4つの通信インターフェース1、2、3、4を有する。
第1の通信インターフェース1は、第1のデータバスを介して第1のコントローラ11に接続される。この第1のコントローラは、第1のネットワーク10へのネットワークリンクを備え、第1の共有メモリ12に接続される。第1の共有メモリ12に関連付けられる第1のコントローラ11は、第1のネットワーク10の観点から、発信デジタルデータおよび着信デジタルデータ(S1)をそれぞれ収容するための2つのネットワーク共有を提供する。
第2の通信インターフェース2は、第2のデータバスを介して第2のコントローラ21に接続される。この第2のコントローラは、第2のネットワーク20へのネットワークリンクを備え、第2の共有メモリ22に接続される。第2の共有メモリ22に関連付けられる第2のコントローラ21は、第2のネットワーク20の観点から、発信デジタルデータおよび着信デジタルデータを収容するためのネットワーク共有を提供する。
第3の通信インターフェース3は、第3のデータバスを介して転送コントローラ30に接続される。この転送コントローラは、第1のコントローラ11および第2のコントローラ21のマスタコントローラとして機能し、デジタルデータを転送するための転送デバイスの動作を制御するコントローラとしても機能する。
第4の通信インターフェース4は、転送されるデータを一時的に記憶するための転送メモリ40に接続されている。任意で、転送メモリ40は、第4の通信インターフェース4に取り外し可能に接続され、これは、たとえば、USBキーまたは外付けハードドライブの場合である。
デジタルデータ転送デバイスでは、各瞬間において、第4の通信インターフェース4は、たとえば転送コントローラ30の命令により、他の3つの通信インターフェース1、2、3のうちの他の1つのインターフェースのみに接続することができる。
これは、転送コントローラ30が、デジタルデータを転送するために、
第1および第4の通信インターフェースを通じて第1の伝送チャネルC1をアクティブ化するコマンド、または、
第3および第4の通信インターフェースを通じて第2の伝送チャネルC2をアクティブ化するコマンド、または、
第2および第4の通信インターフェースを通じて第3の伝送チャネルC3をアクティブ化するコマンドを転送デバイスに送信できることを意味する。
第1および第4の通信インターフェースを通じて第1の伝送チャネルC1をアクティブ化するコマンド、または、
第3および第4の通信インターフェースを通じて第2の伝送チャネルC2をアクティブ化するコマンド、または、
第2および第4の通信インターフェースを通じて第3の伝送チャネルC3をアクティブ化するコマンドを転送デバイスに送信できることを意味する。
伝送チャネルのうちの1つがアクティブ化されると、他の2つの伝送チャネルが同時に非アクティブ化され、特に、
第1のネットワーク10と第2のネットワーク20との間の物理的な接続は決して確立されない、および、
一方で第1のネットワーク10または第2のネットワーク20と、他方で転送コントローラ30との間の物理的な接続も決して確立されない。
第1のネットワーク10と第2のネットワーク20との間の物理的な接続は決して確立されない、および、
一方で第1のネットワーク10または第2のネットワーク20と、他方で転送コントローラ30との間の物理的な接続も決して確立されない。
具体的には、伝送チャネルをアクティブにするためのコマンドは、少なくとも3つの可能な値を許可する信号に単純に関連付けることができる。たとえば、第3のチャネルがアクティブ化されるデフォルトの位置を定義することができる。したがって、アクティブ化信号は2ビットでコード化することができ、2つの可能な値、たとえば、第1の伝送チャネルのアクティブ化には「10」、第2の伝送チャネルのアクティブ化には「01」を許可する。他のコード化、すなわち「00」と「11」は、デフォルトの位置、すなわち第3の伝送チャネルのアクティブ化に対応する。したがって、そのようなアクティブ化コマンドは、言い換えれば、転送コントローラ30による2つのオールオアナッシングデバイス、すなわちデジタルデータを転送するための転送デバイス内の2つのバイナリスイッチの制御として要約することができる。これらのオールオアナッシング交換は図1においてI/Oで示され、データリンクを構成するものではない。
第1の伝送チャネルC1がアクティブ化されると(S2)、第1の共有メモリ12と転送メモリ40との間でデータを交換することができる(S4)。具体的には、第1の共有メモリ12に以前に記憶されていた第1のネットワーク10からの発信デジタルデータを、転送メモリ40に伝送し、そこに記憶することができる。対称的に、転送メモリ40に以前に記憶されていた着信データは、第1のネットワーク10に転送されることを目的として、第1の共有メモリ12に伝送され、そこに記憶することもできる。
たとえば、着信データと発信データは、転送メモリ40の異なるパーティションに記憶されてもよい。言い換えれば、第1のパーティションは、第1のネットワーク10から第2のネットワーク20へのデジタルデータの転送専用とすることができ、一方、第2のパーティションは、第2のネットワーク20から第1のネットワーク10へのデジタルデータの転送専用とすることができる。
これらのデジタルデータの転送は、たとえば、マスタコントローラとしての転送コントローラ30による、スレーブコントローラとしての第1のコントローラ11への制御信号の伝送によって開始またはトリガされる(S3)。したがって、そのような制御信号は、基本的に、転送メモリ40が接続されていることと、一方向または双方向の転送を開始できることとを第1のコントローラ11に示すことができる。その単純性を考慮すると、そのような制御信号は、単一のオールオアナッシング交換、つまりスイッチなどの単一のオールオアナッシングデバイスを作動させることによって、転送コントローラ30と第1のコントローラ11との間の直接接続を介して伝送することができる。
第1の共有メモリ12と転送メモリ40との間のデジタルデータの転送が完了すると(S5)、第1のコントローラ11は、新たなオールオアナッシング交換の形で転送コントローラ30にその旨を通知することができる。そのようなオールオアナッシング交換に続いて、または転送メモリ40と第1の共有メモリ12との間のデジタルデータの転送に割り当てられたあらかじめ決定された時間が経過した後、転送コントローラ30は、デジタルデータを転送するための転送デバイスによる第2の伝送チャネルC2のアクティブ化を命令することができる(S6)。
第2の伝送チャネルC2がアクティブ化されると、すでに示したように、転送メモリ40は転送コントローラ30に接続され、共有メモリ12、22の2つのコントローラ11、21から切断され、したがって、これにより、2つのネットワーク10、20のそれぞれから切断される。
この段階で、転送メモリ40は、第1の共有メモリ12から転送されるデータを、場合によっては専用パーティションに記憶することができる。
転送コントローラ30は、検証の目的で転送メモリ40の内容を読み取ることができる(S7)。
1つの目的は、進行中の交換の正当性を検証することであり得る。たとえば、転送されるデータには、発行者を認証する署名が必ず添付されなければならない場合がある。言い換えれば、そのような署名が存在する場合にのみ、転送コントローラがデータの転送を許可するようにしてもよい。
転送コントローラ30はまた、異なる潜在的なソースとそれらに割り当てられたそれぞれの権利とを関連付けるルックアップテーブルにアクセスし得る。次いで、転送コントローラ30は、転送メモリ40に記憶されたデータの転送を許可するかまたは許可しないために、転送されるデータのソースに割り当てられた権利を確認することができ、このソースはその署名によって認証される。
転送コントローラ30が転送メモリ40の内容を読み取ることによって達成できる別の目的は、転送される実際のデータの検証である。この検証は、たとえば、ウイルス対策によるデータの無害性の検証、および/または、たとえば暗号化技法によるデータの信頼性の検証、および/またはデータの形式、サイズ、完全性の検証を含み得る。
一般的に言えば、転送コントローラ30によって実行される各データ検証は、前記データに関するあらかじめ決定されたセキュリティルールの違反または遵守を示す結果を返す。
セキュリティルールは、ターゲットネットワークに応じて区別されてよく、これは、第1のネットワーク10に転送されることを意図した任意のデータに対してセキュリティルールの第1のセットが提供されてよく、第2のネットワーク20に転送されることを意図した任意のデータに対してセキュリティルールの第2のセットが提供されてよいことを意味する。
少なくとも1つのあらかじめ定義されたセキュリティルールに違反した場合、たとえば、転送が違法である場合、または第1のネットワーク10から来て転送されるデータがセキュリティリスクを示すか、本物ではない場合、これらのデータの転送が許可されないこと(S9)、すなわち、データが第2のネットワーク20に送信されないことが適切である。これを行うために、転送コントローラ30が前記データの消去を命令してもよい(S10)。
逆に、あらかじめ定義されたセキュリティルールのいずれにも違反していない場合、すなわち、たとえば、転送コントローラが、転送が正当であり、第1のネットワーク10から来て転送されるデータが本物であり、第2のネットワーク20にセキュリティリスクをもたらさないとみなしている場合、転送コントローラ30が転送を許可してもよい(S8)。
転送コントローラ30は、転送の許可または転送メモリ40に記憶されたデータの消去のいずれかをもたらす各検証または各制御アクションの結果をログに記録してもよい。
次に、デジタルデータを転送するためのデバイスは、たとえば、転送コントローラ30の命令により、第3の伝送チャネルC3をアクティブ化することができる(S11)。
第3の伝送チャネルC3がアクティブ化されると、すでに示したように、転送メモリ40は第2のネットワーク20に接続され、第1のネットワーク10および転送コントローラ30の両方から切断される。この段階では、転送メモリ40に記憶されている転送されるデータは、以前に転送コントローラ30による転送許可の対象となっており、そうでなければ消去されていたであろう。
次いで、転送メモリ40と第2の共有メモリ22との間のデータ交換(S13)が可能となる。
この交換は、第2のネットワーク20の観点から、着信データと発信データをそれぞれ収容するためのネットワーク共有機能を担当する第2のコントローラ21によって実行することができる。
実際、第3の伝送チャネルC3がアクティブ化されると、第2のコントローラ21は、データを転送メモリ40から第2の共有メモリ22に移動することができる。また、第2のコントローラ21は、並行して、第2のネットワーク20から来て第2の共有メモリ22に以前に記憶されたデータを転送メモリ40に移動することができる。
マスタコントローラとしての転送コントローラ30とスレーブコントローラとしての第2のコントローラ21との間の通信は、転送コントローラ30と第1のコントローラ11との間ですでに説明したものと同様の方法で提供および実行することができる。
そのような通信の例を以下に説明する。最初に、第3の伝送チャネルC3のアクティブ化に続いて、転送コントローラ30は、オールオアナッシング交換によって、データ転送を開始できることを第2のコントローラ21に信号で通知する(S12)。第2のステップにおいて、第2の共有メモリ22と転送メモリ40との間でデータの一方向または双方向の転送が行われ(S13)、この転送は第2のコントローラ21によって制御される。最後に、第3のステップにおいて、第2のコントローラ21は、やはりオールオアナッシング交換によって、データ転送が終了したことを転送コントローラ30に信号で通知する(S14)。
第1のネットワーク10にリンクされた第1の共有メモリ12から、第2のネットワーク20にリンクされた第2の共有メモリ22にデータの第1のセットを転送するための一般的なメカニズムについて説明した。次いで、第2の共有メモリ22に存在するデータを、第2のネットワーク20を介して送信することができる(S15)。
このメカニズムによれば、転送は単一のマスタコントローラ、すなわち転送コントローラ30によってエンドツーエンドで制御することができ、その動作は2つのネットワーク10、20のうちの一方または他方にリンクされたエンティティから完全に独立して行うことができる。特に、第2のインターフェース2は、第1のインターフェース1または第3のインターフェース3に物理的に接続することができない。
さらに、第1のインターフェース1と第3のインターフェース3との間には接続が決して確立されないため、デジタルデータを転送するための転送コントローラ30も転送デバイスも物理的に迂回することはできない。
データの第2のセットを逆方向、つまり第2のネットワーク20にリンクされた第2の共有メモリ22から第1のネットワーク10にリンクされた第1の共有メモリ12に転送するための一般的なメカニズムは、今説明した転送と同様の方法で動作する。
デジタルデータを転送するための転送デバイスは、第3の伝送チャネルC3をアクティブ化し(S11)、データの第2のセットが第2の共有メモリ22から転送メモリ40に転送された(S13)と考えられる。この転送の終了(S14)は、たとえば、オールオアナッシング信号によって、第2のコントローラによって転送コントローラ30に信号を送られてもよい。あるいは、転送コントローラ30は、この転送の終了を、たとえば第3の伝送チャネルC3のアクティブ化の瞬間から始まるあらかじめ確立された期間の満了に対応するものとして予測することができる。
したがって、転送コントローラ30は、デジタルデータを転送するように転送デバイスに命令することができ、これにより第2の伝送チャネルC2は再びアクティブ化する(S6)。
次に、転送コントローラ30による、進行中の新しい交換の正当性、ならびに第2の共有メモリ22から転送メモリ40に転送されるデータの完全性および信頼性の検証を行うことができる(S7)。この検証の終了時に、第1のネットワーク10への前記データの転送は、承認され得るか(S8)、または拒否され得る(S9)。
したがって、拒否の場合、転送コントローラ30は、転送メモリ40から転送中のデータを消去することができる(S10)。
この検証の後、および転送が拒否された場合、対応するデータの消去後、転送コントローラ30は、転送デバイスが再び第1の伝送チャネルC1をアクティブ化する(S2)ように、デジタルデータを転送するように転送デバイスに命令することができる。
次いで、データの第2のセットを転送メモリ40から第1の共有メモリ12に転送することができる(S4)。データの第2のセットのこの転送は、すでに説明したように、第1のコントローラ11によって制御され得、それ自体は転送コントローラ30によって制御される。
したがって、デジタルデータを転送するための転送デバイスにより、これらの2つのネットワーク間に物理的な接続を決して確立することなく、2つのネットワーク間で双方向のデータ転送を実行することが可能になる。さらに、この双方向データ転送は、完全に独立し、これらの2つのネットワークのいずれとも物理的な接続を一切持たないようにすることができる転送コントローラによって制御することができる。
1 第1の通信インターフェース
2 第2の通信インターフェース
3 第3の通信インターフェース
4 第4の通信インターフェース
10 第1のネットワーク
11 第1のコントローラ
12 第1の共有メモリ
20 第2のネットワーク
21 第2のコントローラ
22 第2の共有メモリ
30 転送コントローラ
40 転送メモリ
2 第2の通信インターフェース
3 第3の通信インターフェース
4 第4の通信インターフェース
10 第1のネットワーク
11 第1のコントローラ
12 第1の共有メモリ
20 第2のネットワーク
21 第2のコントローラ
22 第2の共有メモリ
30 転送コントローラ
40 転送メモリ
セキュリティコンポーネントの別の例は、ネットワークダイオードである。ネットワークダイオードは単方向であり、ソースネットワーク上に配置された上流ウィンドウからデジタルデータを受信し、このデジタルデータを保護される宛先ネットワーク上に配置された下流ウィンドウに伝送する。もちろん、双方向のやり取りを可能にするためにダイオードを2つ配置することも可能である。
したがって、ソースネットワークからのデータを、様々なネットワークから独立したコントローラに転送し、次いで、検証が実行された後、検証されたデータを宛先ネットワークに転送することが提案されている。ストリームは断続的に一度に一方向に転送されるが、異なるネットワーク間の物理的な分離を確保しながら、伝送データを変更することなく高スループットで転送される。
Claims (14)
- 通信システムにおいて、第1のネットワーク(10)と第2のネットワーク(20)との間でデジタルデータを転送するための転送デバイスであって、
前記第1のネットワークとの第1の通信インターフェース(1)と、
前記第2のネットワークとの第2の通信インターフェース(2)と、
前記転送デバイスを通じてデジタルデータを転送するための転送コントローラ(30)を備えた第3の通信インターフェース(3)と、
少なくとも1つの転送メモリ(40)に接続されるように構成された第4の通信インターフェース(4)と
を備え、
前記転送デバイスが、それぞれ排他的な形で、
まず、前記第1および第4の通信インターフェース(1、4)を通じて第1の伝送チャネル(C1)を、
次いで、前記第3および第4の通信インターフェース(3、4)を通じて第2の伝送チャネル(C2)を、
最後に、前記第2および第4の通信インターフェース(2、4)を通じて第3の伝送チャネル(C3)を連続的にアクティブ化するように構成される、デバイス。 - 前記第4の通信インターフェースに接続された少なくとも1つの転送メモリ(40)を備える、請求項1に記載のデバイス。
- 前記転送メモリ(40)が、
前記第1のネットワーク(10)から前記第2のネットワーク(20)に転送されるデジタルデータを記憶する専用の第1のパーティションと、
前記第2のネットワーク(20)から前記第1のネットワーク(10)に転送されるデジタルデータを記憶する専用の第2のパーティションと
を備える、請求項2に記載のデバイス。 - 第1のネットワーク(10)と第2のネットワーク(20)との間の通信システムであって、
請求項1から3のいずれか一項に記載の、デジタルデータを転送するための転送デバイスと、
前記転送デバイスを通じたデジタルデータの前記転送を制御するための転送コントローラ(30)と
を備え、
前記転送コントローラ(30)が、前記転送デバイスの前記第3の通信インターフェース(3)に接続され、前記第1のネットワークと前記第2のネットワークの両方から独立している、システム。 - 前記転送コントローラ(30)が、前記転送デバイスによる前記伝送チャネルの前記連続的なアクティブ化を制御するようにさらに構成されている、請求項4に記載のシステム。
- 前記転送コントローラ(30)が、前記第1のネットワークから来る着信デジタルデータの第1のセットを、前記第1の伝送チャネル(C1)を介して前記転送メモリ(40)に伝送することを目的として、前記第1のネットワーク(10)に接続された第1のスレーブコントローラ(11)を制御して、着信データの前記第1のセットを、転送されるデータの第1のセットとして記憶するようにさらに構成されている、請求項4または5のいずれか一項に記載のシステム。
- 前記転送コントローラ(30)が、転送されるデータの前記第1のセットの検証を実行するために、転送されるデータの前記第1のセットを前記第2の伝送チャネル(C2)を介して取得するようにさらに構成され、前記検証が、転送されるデータの前記第1のセットに関する少なくとも1つのセキュリティルールの遵守または違反を示す第1の結果を提供する、請求項6に記載のシステム。
- 前記転送コントローラ(30)が、前記第1の結果がセキュリティルール違反を示していない場合のみ、転送されるデータの前記第1のセットを、発信デジタルデータの第1のセットとして前記第3の伝送チャネル(C3)を介して前記第2のネットワークに伝送することを目的として、前記第2のネットワーク(20)に接続された第2のスレーブコントローラ(21)を制御するようにさらに構成されている、請求項7に記載のシステム。
- 前記転送コントローラ(30)が、転送されるデータの前記第1のセットのデータに関する前記第1の結果が少なくとも1つのセキュリティルールの違反を示す場合、前記第3の伝送チャネル(C3)を介して先に伝送することなく、転送されるデータの前記第1のセットの前記データを前記転送メモリ(40)から消去するようにさらに構成されている、請求項7または8のいずれか一項に記載のシステム。
- 前記第2のネットワーク(20)から来る着信デジタルデータの第2のセットを前記第3の伝送チャネル(C3)を介して前記転送メモリ(40)に伝送し、着信データの前記第2のセットを転送されるデータの第2のセットとして記憶することを目的として、前記第2のスレーブコントローラ(21)を制御することと、
転送されるデータの前記第2のセットの検証を実行する目的で、転送されるデータの前記第2のセットを、前記第2の伝送チャネル(C2)を介して取得することであって、前記検証が、転送されるデータの前記第2のセットに関連する少なくとも1つのセキュリティルールの遵守または違反を示す第2の結果を提供する、ことと、
前記第2の結果がセキュリティルール違反を示していない場合のみ、前記第1の伝送チャネル(C1)を介して、転送されるデータの前記第2のセットを発信デジタルデータの第2のセットとして前記第1のネットワーク(20)に伝送することを目的として、前記第1のスレーブコントローラ(11)を制御することと、
転送されるデータの前記第2のセットのデータに関する前記第2の結果が少なくとも1つのセキュリティルールの違反を示している場合、転送されるデータの前記第2のセットの前記データを、前記第1の伝送チャネル(C1)を介して先に伝送することなく、前記転送メモリ(40)から消去することと
を行うようにさらに構成される、請求項9に記載のシステム。 - 通信システムにおいて、第1のネットワーク(10)と第2のネットワーク(20)との間で、
前記第1のネットワークとの第1の通信インターフェース(1)と、
前記第2のネットワークとの第2の通信インターフェース(2)と、
転送デバイスを通じたデジタルデータの転送を制御するための転送コントローラ(30)を備えた第3の通信インターフェース(3)と、
第4の通信インターフェース(4)と、
前記第4の通信インターフェース(4)に接続された転送メモリ(40)と
を備える転送デバイスによって、デジタルデータを転送するための方法であって、
それぞれ排他的な形で、まず、前記第1および第4の通信インターフェース(1、4)を通じて第1の伝送チャネル(C1)を、次いで、前記第3および第4の通信インターフェース(3、4)を通じて第2の伝送チャネル(C2)を、最後に、前記第2および第4の通信インターフェース(2、4)を通じて第3の伝送チャネル(C3)を連続的にアクティブ化することを備える、方法。 - 転送されるデータの第1のセットとして転送することを目的として、前記第1のネットワーク(10)から来る着信デジタルデータの第1のセットを、前記第1の伝送チャネル(C1)を介して前記転送メモリ(40)に伝送することと、
転送されるデータの前記第1のセットの検証を実行する目的で、転送されるデータの前記第1のセットを前記第2の伝送チャネル(C2)を介して前記転送コントローラ(30)に通信することであって、前記検証が、転送されるデータの前記第1のセットに関する少なくとも1つのセキュリティルールの遵守または違反を示す第1の結果を提供する、ことと、
前記第1の結果がセキュリティルール違反を示していない場合のみ、転送されるデータの前記第1のセットを、発信デジタルデータの第1のセットとして、前記第3の伝送チャネル(C3)を介して前記第2のネットワーク(20)に伝送することと、
転送されるデータの前記第1のセットからのデータに関する前記第1の結果が少なくとも1つのセキュリティルールの違反を示している場合、転送されるデータの前記第1のセットからの前記データを前記転送メモリ(40)から消去することと
を備える、請求項11に記載の方法。 - 前記転送コントローラ(30)によって実装される、
前記転送デバイスが、前記第1の伝送チャネル(C1)のアクティブ化をトリガすることと、
伝送信号の開始が、前記第1のネットワークに接続された第1のスレーブコントローラ(11)に送信されることと、
割り当てられた時間が経過すると、伝送信号の終了が前記第1のスレーブコントローラに送信されることと、
前記第2の伝送チャネル(C2)のアクティブ化がトリガされることと、
前記転送メモリ(40)の内容が読み取られ、検証されることと、
任意で、前記転送メモリの前記内容の一部または全部が消去されることと、
前記第3の伝送チャネル(C3)のアクティブ化がトリガされることと
のステップを備える、請求項11または12のいずれか一項に記載の方法。 - プロセッサによって遂行されるときに、請求項11から13のいずれか一項に記載の方法を実装するための1つまたは複数の命令を備える、コンピュータプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2107339 | 2021-07-07 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2024524618A true JP2024524618A (ja) | 2024-07-05 |
Family
ID=
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7734844B2 (en) | Trusted interface unit (TIU) and method of making and using the same | |
| KR101474226B1 (ko) | 원격 리소스에 대한 이용가능한 보안 액세스를 위한 웜홀디바이스들 | |
| US8661521B2 (en) | Controlling a network connection using dual-switching | |
| US8281363B1 (en) | Methods and systems for enforcing network access control in a virtual environment | |
| US9306953B2 (en) | System and method for secure unidirectional transfer of commands to control equipment | |
| US9369492B1 (en) | Out-of band network security management | |
| AU2003225263A1 (en) | Method and apparatus for in-line serial data encryption | |
| EP1760988A1 (en) | Multi-level and multi-factor security credentials management for network element authentication | |
| CN101436934A (zh) | 一种控制用户上网的方法、系统及设备 | |
| IL206067A (en) | Method for securing a two-way communication channel and device for implementing the method | |
| US20230035007A1 (en) | Trusted cyber physical system | |
| TW200814635A (en) | Bi-planar network architecture | |
| RU2214623C2 (ru) | Вычислительная сеть с межсетевым экраном и межсетевой экран | |
| CN114499976B (zh) | 一种实现跨网交换的数据交换方法 | |
| US20070150947A1 (en) | Method and apparatus for enhancing security on an enterprise network | |
| KR102144594B1 (ko) | 보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드 | |
| US11941130B2 (en) | Secure data storage | |
| JP2024524618A (ja) | 安全な転送ゲートウェイ | |
| KR20240042403A (ko) | 보안 전송 게이트웨이 | |
| CN111628960B (zh) | 用于连接至专用网络上的网络服务的方法和装置 | |
| GB2570914A (en) | Secure data storage | |
| US8839445B2 (en) | Method and device for securely transferring digital data | |
| CN112491886A (zh) | 基于网络系统的安全控制方法、系统、装置和存储介质 | |
| ES2634332A1 (es) | Testigo digital: Dispositivos para la gestión segura de evidencias electrónicas con credenciales vinculantes | |
| KR101260388B1 (ko) | 망 연동 시스템 및 방법 |