KR20000069102A - 정보 보안 방법 및 장치 - Google Patents

정보 보안 방법 및 장치 Download PDF

Info

Publication number
KR20000069102A
KR20000069102A KR1019997004567A KR19997004567A KR20000069102A KR 20000069102 A KR20000069102 A KR 20000069102A KR 1019997004567 A KR1019997004567 A KR 1019997004567A KR 19997004567 A KR19997004567 A KR 19997004567A KR 20000069102 A KR20000069102 A KR 20000069102A
Authority
KR
South Korea
Prior art keywords
computer system
secure
communication
area
access
Prior art date
Application number
KR1019997004567A
Other languages
English (en)
Inventor
디아맨트에레즈
프레쉬에르아미르
Original Assignee
볼테르 어드밴스드 데이터 시큐리티 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 볼테르 어드밴스드 데이터 시큐리티 리미티드 filed Critical 볼테르 어드밴스드 데이터 시큐리티 리미티드
Publication of KR20000069102A publication Critical patent/KR20000069102A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/83Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/1097Boot, Start, Initialise, Power

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Burglar Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 통신 중에 정보 보안을 위한 방법 및 시스템을 개시한다. 통신 장치는 공용 네트워크, 보안 네트워크, 공용 네트워크에 연결되는 복수의 공용 노드 및 상기 보안 네트워크와 상기 공용 네트워크에 연결되는 복수의 보안 노드를 포함한다. 노드는 네트워크들에 대해 그 사이에서 통신하는 수단을 포함하고, 여기서 각각의 보안 노드는 통신 제어기, 컴퓨터 시스템 및 보안 저장 영역을 포함한다. 보안 노드는 비밀 메시지를 적어도 2개의 세그먼트로 분할하고 네트워크를 통해 세그먼트를 전송하며, 여기서 적어도 선택된 세그먼트 중 하나는 적어도 하나의 보안 네트워크를 통하여 전송된다 또한 통신 제어기는 컴퓨터 시스템과 공용 네트워크 사이의 통신이 진행 중인 경우 컴퓨터 시스템과 공용 네트워크로부터 저장 영역을 해제하도록 동작된다.

Description

정보 보안 방법 및 장치 {INFORMATION SECURITY METHOD AND APPARATUS}
정보를 보안하는 방법은 주지의 기술이다. 종래의 정보를 보안하는 방법은 암호화를 기반으로 하고 있고, 여기서 보안 데이터가 기설정된 암호화 방법 또는 키에 따라 처리되어 암호화된 파일을 제공한다. 암호화된 파일을 디코딩하는 경우, 원래의 정보를 복구하려면 암호화된 방법이나 키에 따라 암호화된 파일을 역으로 처리할 필요가 있다.
WAN 또는 LAN 통신 네트워크에 연결되는 컴퓨터는 분류된 파일에 액세스를 시도하고, 분류된 파일을 다운로드(download)하며 분류된 파일의 암호화를 "푸는(crack)" 미인증자(unauthorized persons) 또는 데이터 바이러스(data viruses)에 의한 적대적인 침투에 취약하다.
상기 문제는 그 내부에 보유된 정보와 함께 도난 당하기 쉬운 휴대용 컴퓨터에 대해 상당히 커진다.
다른 중요한 문제는 네트워크를 따라 통신 중인 경우 데이터 및 장치로의 액세스를 보안하는 것에 관한 것이다. 미인증 네트워크 사용자가 보안 시스템에 침투를 시도하거나 소프트웨어 바이러스와 같이 손상을 주는 소프트웨어를 전송하려는 시도를 할 수 있다. 파이어-올(fire-wall) 등과 같은 종래 기술의 소프트웨어 시스템은 상기한 미인증 시도에 대해 풀 프루프 솔루션(foolproof solution)을 제공하지 않는다,
다른 중요한 문제는 조직체의 네트워크 및 컴퓨터를 바이러스 프로그램에 대해 보안하는 것에 관한 것이다. 현재 (이스라엘의 Netanya 소재의 Finjan Software Ltd.사의 WebShild 및 캘리포니아주 Santa Clara 소재의 McCafee Inc.사의 Webscan과 같은) 수많은 제품들이 바이러스와 같은 손상을 주는 소프트웨어를 식별하기 위해 입력되는 통신의 온-라인 스캐닝(on-line scanning)을 제공한다. 통신 중에 모든 입력 데이터 및 데이터 변경 사항을 스캐닝하는 것은 수많은 자원을 소모하고 일반적으로 실시간에서 전체 크기(full scale)로 수행되지 않는 것은 당연하다.
David C. Reardon에 부여된 미국 특허 제 5,434,562호는 네트워크로부터 미인증 액세스(unauthorized access)에 대해 하드 디스크 드라이브와 같은 장치를 보안하는 수동식 사용자 조작 스위치를 개시하고 있다.
컴퓨터 시스템에서는, 시스템 내 보안 관련 활동(activities)을 기록하도록 통상적으로 감사 로그(audit log)를 구현한다. 이러한 경우에서, 위조된 기록을 믿도록 감사자를 속이는 장래의 변경에 대비하여 기록 로그 자체가 보안되어야 할 필요가 있다.
유효 보안 로그가 변경 불가능한 매체 상에 기록될 필요가 있는 것은 당연하다. 통상적인 방법은 로그를 하드 카피(hard copy) 상에 프린트하는 것이다. 하드카피는 변경되기 어려우며, 또한 컴퓨터화된 환경 내에서 복사, 처리 및 통신하는 것은 더욱 어렵다.
다른 방법은 (Pinnacle Micro Corporation사의 Pinnacle RCD-1000과 같은) 웜(Write Once Read Many: WORM) 매체 상에 로그를 기록하는 것이다. 실제로 웜 데이터 저장 솔루션이 성능성과 신뢰성 모두에서 (자기 하드 디스크와 같은) 통상적인 기록-판독 기술보다 열악한 것은 당연하다. 또한, 로그를 기록할 단독 목적용 추기형(write-once) 장치의 설치는 상당히 비싼 비용이 든다.
특정 소프트웨어 애플리케이션은 미인증자 또는 데이터 바이러스에 의한 상기한 적대적인 침투의 시도를 검출할 수 있다. 이러한 경우에, 컴퓨터는 흔히 복구 디스켓으로 불리우는 "클린 매체(clean media)"를 사용하여 (부트 동작을) 재시동되어야 하는데, 그 이유는 컴퓨터의 하드 디스크 드라이브가 오염되었는지 의심스럽기 때문이다. 이러한 클린 매체는 흔히 디스켓이나 CD-ROM과 같은 분리가능한 매체를 포함한다.
본 발명은 통신 중에 정보를 보안하는 방법 및 시스템에 관한 것이다.
도 1은 본 발명의 바람직한 실시예에 따라 구성되고 동작되는, 보안 정보 통신을 제공하는 네트워크를 개략적으로 예시하는 도면.
도 2는 본 발명에 따른 도 1의 서버의 상세부 및 그 통신 제어기를 개략적으로 예시하는 도면.
도 3은 본 발명에 따른 도 1에 도시된 노드의 상세부 및 그 통신 제어기를 개략적으로 예시하는 도면.
도 4는 도 1에 도시된 다른 노드의 상세부를 개략적으로 예시하는 도면.
도 5는 본 발명의 다른 바람직한 실시예에 따라 동작되는, 컴퓨터에 제한된 통신 액세스를 제공하도록 통신 제어기를 동작시키는 방법의 개략적인 도면.
도 6은 본 발명의 또 다른 바람직한 실시예에 따라 구성되고 동작되는, 컴퓨터 시스템과 통신중 컴퓨터 시스템을 보호하는 장치를 개략적으로 예시하는 도면.
도 7은 본 발명의 또 다른 바람직한 실시예에 따라 구성되고 동작되는, 컴퓨터 시스템과 통신 중에 컴퓨터 시스템과 그 환경을 보호하는 장치를 개략적으로 예시하는 도면.
도 8은 본 발명의 추가적인 바람직한 실시예에 따라 동작되는, 도 1, 도 6, 및 도 7에 도시된 통신 제어기를 동작시키는 방법을 개략적으로 예시하는 도면.
도 9는 도 1에 도시된 추가 노드의 상세부를 개략적으로 예시하는 도면.
도 10은 본 발명의 바람직한 실시예에 따라 구성되고 동작되는, 컴퓨터 시스템과 통신 장치를 개략적으로 예시하는 도면.
도 11은 본 발명의 다른 바람직한 실시예에 따라 구성되고 동작되는, 통신 중에 컴퓨터 시스템을 보호하기 위한 컴퓨터 시스템, 저장 유닛, 통신 장치 및 휴대용 유닛을 개략적으로 예시하는 도면.
도 12는 본 발명의 또 다른 바람직한 실시예에 따라 구성되고 동작되는, 로그 유닛을 개략적으로 예시하는 도면.
도 13은 본 발명의 또 다른 바람직한 실시예에 따라 동작되는, 도 12에 도시된 로그 유닛을 동작시키는 방법을 개략적으로 예시하는 도면.
도 14는 본 발명의 바람직한 실시예에 따라 구성되고 동작되는, 컴퓨터와 장치를 개략적으로 예시하는 도면.
도 15는 본 발명의 다른 실시예에 따라 구성되고 동작되는, 제한된 데이터와 통신 액세스를 컴퓨터에 제공하도록 입/출력 및 통신 제어기를 동작시키는 방법의 개략적인 도면.
도 16은 본 발명의 또 다른 바람직한 실시예에 따라 동작되는, 보안 저장 영역과 공용 저장 영역을 제어하고, 각각 마스터 부트 레코드를 보유하는 본 발명의 장치를 동작시키는 방법을 개략적으로 예시하는 도면.
본 발명의 목적은 컴퓨터 시스템으로의 액세스 및 컴퓨터 시스템으로부터의 액세스를 보안하는 신규한 장치를 제공하여 종래 기술의 단점들을 극복하기 위한 것이다.
본 발명의 다른 목적은 자동화된 저장 유닛 내에 포함된 정보를 보안하는 신규한 방법을 제공하기 위한 것이다.
따라서 본 발명에 따라 컴퓨터 시스템에서 보안 영역을 보호하는 장치가 제공된다. 컴퓨터 시스템은 저장 유닛을 포함한다. 저장 유닛은 제1 저장 영역 및 제2 저장 영역을 포함한다.
본 발명에 따른 장치는 제1 네트워크에 연결되는 제1 통신 인터페이스, 컴퓨터 시스템에 연결되는 제2 통신 인터페이스, 저장 유닛에 연결되는 제1 입출력 인터페이스, 컴퓨터 시스템에 연결되는 제2 입출력 인터페이스, 및 제1 및 제2 통신 인터페이스를 통하여 제1 네트워크와 컴퓨터 시스템 사이에 연결되고, 또한 제1 및 제2 입출력 인터페이스를 통하여 저장 유닛과 컴퓨터 시스템 사이에 연결되는 관리 제어기를 포함한다.
상기 관리 제어기는 컴퓨터 시스템에 적어도 2개의 선택 모드를 제공한다. 제1 모드에서, 관리 제어기는 컴퓨터 시스템을 제1 저장 영역 및 제1 네트워크에 연결하고, 제2 모드에서, 관리 제어기는 컴퓨터 시스템을 제2 저장 영역에 연결한다.
상기 관리 제어기는 선택된 모드에 따라 동작시키기 위해 커맨드 다음에 뒤따르는 임의의 리셋 신호를 검출하며, 컴퓨터 시스템을 운영하는 사용자에 의해 또는 소프트웨어 애플리케이션에 의해 제공될 수 있다. 선택된 모드에 따라 동작하기 위해서 커맨드가 리셋 신호 이전에 보내질 수 있다는 점에 유의하여야 한다.
본 발명의 한 특징에 따르면, 보안 영역 보호 장치가 제2 네트워크에 연결하는 제3 통신 인터페이스 및 컴퓨터 시스템에 연결하는 제4 통신 인터페이스를 추가로 포함한다. 상기 특징에 따르면, 보안 영역 보호 장치가 제3 및 제4 통신 인터페이스를 통하여 제2 네트워크와 컴퓨터 시스템 사이에 연결된다. 보안 영역 보호 장치가 선택된 동작 모드에 따라 제2 네트워크로 및 제2 네트워크로부터 컴퓨터 시스템으로의 액세스를 인에이블 또는 디스에이블시킬 수 있다.
본 발명의 다른 특징에 따르면, 보안 영역 보호 장치가 경고, 중단 등과 같은 여러 상황에 관련한 표시뿐만 아니라 현재 동작 모드의 표시를 제공한다. 보안 영역 보호 장치가 디스플레이 유닛, 오디오 발생 유닛, 진동 발생 유닛 등을 각각 포함할 수 있다. 대안으로, 보안 영역 보호 장치가 상기한 표시들을 출력하기 위해 컴퓨터 시스템의 멀티-미디어 설비를 사용할 수 있다.
보안 영역 보호 장치가 관리 제어기에 연결되어 운영체제 소스 유닛에 연결하는 제1 리셋 입출력 인터페이스 및 관리 제어기에 연결되어 컴퓨터 시스템에 연결하는 제2 리셋 입출력 인터페이스를 추가로 포함한다. 관리 제어기가 운영체제 소스 유닛에 컴퓨터 시스템 액세스를 인에이블 또는 디스에이블시키도록 동작한다.
운영체제 소스 유닛이 자기 매체 드라이브, 광 매체 드라이브, 전기-광 매체 드라이브, 통신 링크 및 비휘발성 메모리를 포함하는 그룹으로부터 선택된다. 비휘발성 메모리가 롬(ROM), 플래시(FLASH), EPROM, EEPROM, 배터리 지원 램 등을 포함하는 그룹으로부터 선택되는 점에 유의하여야 한다.
본 발명의 다른 특징에 따르면, 통신 제어 장치를 동작시키는 방법이 제공된다. 통신 제어 장치는 적어도 하나의 저장 유닛, 적어도 하나의 주변 장치 및 컴퓨터 시스템 사이에 연결된다. 통신 제어 장치는 제1 기설정된 동작 모드 및 적어도 추가적인 상이한 동작 모드를 제공하도록 동작된다.
통신 제어 장치를 동작시키는 방법은 컴퓨터 시스템으로부터 수신되는 부트 신호를 검출하는 단계, 메뉴 절차를 실행하는 단계, 선택된 동작 모드에 따라 동작하도록 사용자로부터 인스트럭션을 수신하는 단계, 선택된 동작 모드에 따라 적어도 하나의 저장 유닛의 선택된 영역에 컴퓨터 시스템의 액세스를 인에이블시키는 단계, 선택된 동작 모드에 따라 적어도 하나의 저장 유닛의 비선택된 영역에 컴퓨터 시스템의 액세스를 디스에일블시키는 단계, 선택된 동작 모드에 따라 적어도 하나의 주변 장치의 선택된 영역에 컴퓨터 시스템의 액세스를 인에이블시키는 단계, 및 선택된 동작 모드에 따라 적어도 하나의 주변 장치의 비선택된 영역에 컴퓨터 시스템의 액세스를 디스에이블시키는 단계를 포함한다.
또한 본 발명에 따른 통신 제어 장치를 동작시키는 방법은 선택된 다른 동작 모드에 따라 동작하도록 사용자로부터 인스트럭션을 수신하는 단계, 컴퓨터 시스템으로부터 수신되는 부트 신호를 검출하는 단계, 선택된 다른 동작 모드에 따라 적어도 하나의 저장 유닛의 선택된 영역에 컴퓨터 시스템의 액세스를 인에이블시키는 단계, 선택된 다른 동작 모드에 따라 적어도 하나의 저장 유닛의 비선택된 영역에 컴퓨터 시스템의 액세스를 디스에이블시키는 단계, 선택된 다른 동작 모드에 따라 적어도 하나의 주변 장치의 선택된 영역에 컴퓨터 시스템의 액세스를 인에이블시키는 단계, 및 선택된 다른 동작 모드에 따라 적어도 하나의 주변 장치의 비선택된 영역에 컴퓨터 시스템의 액세스를 디스에이블시키는 단계를 포함한다.
본 발명에 따른 통신 제어 장치를 동작시키는 방법은 선택된 다른 동작 모드에 따라 동작하도록 사용자로부터 인스트럭션을 수신하는 단계, 컴퓨터 시스템에 재시동 커맨드를 제공하는 단계, 컴퓨터 시스템으로부터 수신되는 부트 신호를 검출하는 단계, 컴퓨터 시스템에 부트 커맨드를 제공하는 단계, 선택된 다른 동작 모드에 따라 적어도 하나의 저장 유닛의 선택된 영역에 컴퓨터 시스템의 액세스를 인이에블시키는 단계, 선택된 다른 동작 모드에 따라 적어도 하나의 저장 유닛의 비선택된 영역에 컴퓨터 시스템의 액세스를 디스에이블시키는 단계, 선택된 다른 동작 모드에 따라 적어도 하나의 주변 장치의 선택된 영역에 컴퓨터 시스템의 액세스를 인에이블시키는 단계, 및 선택된 다른 동작 모드에 따라 적어도 하나의 주변 장치의 비선택된 영역에 컴퓨터 시스템의 액세스를 디스에이블시키는 단계를 포함한다.
상기 부트 커맨드가 하드웨어 부트 커맨드이거나 소프트웨어 부트 커맨드일 수 있다. 상기 부트 커맨드가 컴퓨터 시스템의 메모리를 리셋시킨 다음에 수행될 수 있다.
본 발명의 다른 특징에 따르면, 컴퓨터 시스템에서 보안 영역을 보호하기 위한 장치를 동작시키는 방법이 제공된다. 컴퓨터 시스템은 제1 저장 영역 및 제2 저장 영역을 구비하는 저장 장치를 포함하고, 각각의 제1 및 제2 저장 영역은 마스터 부트 레코드(MBR)를 포함한다.
저장 유닛에 연결되는 제1 입출력 인터페이스, 컴퓨터 시스템에 연결되는 제2 입출력 인터페이스, 제1 및 제2 입출력 인터페이스를 통하여 상기 저장 유닛과 상기 컴퓨터 시스템 사이에 연결되는 관리 제어기를 포함하는 장치―여기서 상기 장치는 또한 주 저장 유닛으로서 제1 저장 영역을 상기 컴퓨터에 연결하고 제2 저장 영역으로의 액세스를 거부함―에서 보안 영역을 보호하는 방법에 있어서, 상기 컴퓨터 시스템을 디스에이블시키는 단계; 상기 주 저장 유닛으로서 상기 제2 저장 영역을 상기 컴퓨터에 연결하고 부 저장 유닛으로서 상기 제1 저장 영역을 상기 컴퓨터에 연결하는 단계; 및 상기 주 저장 유닛으로부터 상기 컴퓨터 시스템을 시동시키는 단계를 포함한다.
본 발명에 따른 보안 영역 보호 방법은 상기 디스에이블 단계 전에 미인증 코드의 존재를 검출하는 단계를 추가로 포함하며, 상기 디스에이블 단계가 상기 검출 단계의 결과로서 수행된다.
본 발명에 따른 보안 영역 보호 방법은 또한 상기 미인증 코드와 연관된 기설정된 소프트웨어를 실행하는 단계를 추가로 포함한다. 상기 미인증 코드의 존재를 검출하는 단계가 미인증 데이터 액세스를 검출하는 것을 포함한다.
본 발명은 다중 컴퓨터 시스템에서 데이터를 전송 및 저장하는 신규한 원리들을 정하는 여러 가지 특징을 포함한다.
본 발명의 한 특징에 따르면, 보안 영역과 공용 영역은 물리적으로 분리된다. 따라서, 본 발명에 따른 네트워크 시스템은 적어도 2개의 통신 네트워크를 포함하며, 여기서 적어도 이들 네트워크의 하나가 보안 네트워크로 정해지며, 이에 의해 비밀 정보가 일반적으로 보안 영역을 통하여 전송된다. 공용 네트워크와 보안 네트워크 사이에 직접적인 연결은 없다.
본 발명의 다른 특징에 따르면, 비밀 전송은 물리적으로 적어도 2개의 요소로 분할되고 적어도 기설정된 요소 중 하나가 원래의 정보를 복구하기 위하여 필요하다. 이러한 기설정된 요소가 보안 네트워크를 통하여 전송되고 보안 저장 영역에 저장되며, 2개의 요소 모두가 메인 통신 채널로부터 물리적으로 연결 해제될 수 있다.
본 발명의 제1 구현에 따르면, 제1 요소가 분류된 데이터의 일부를 포함하고, 제2 요소가 분류된 데이터의 상보적인 요소를 포함한다.
본 발명의 제2 구현에 따르면, 제1 요소가 암호화된 형식으로 분류된 데이터의 일부를 포함하고, 제2 요소가 암호-복호 소프트웨어를 포함한다.
본 발명의 제3 구현에 따르면, 제1 요소가 암호화된 형식으로 분류된 데이터의 일부를 포함하고, 제2 요소가 암호-복호 키를 포함한다.
이하 참조되는 도 1은 본 발명의 바람직한 실시예에 따라 구성되고 동작되는 보안 정보 통신을 제공하는 네트워크(1)를 개략적으로 예시하는 도면이다.
네트워크(1)는 복수의 노드(20, 30, 40, 50, 60, 70), 서버(4), 공용 네트워크(6) 및 보안 네트워크(8)를 포함한다. 모든 노드(20, 30, 40, 50, 60, 70)가 공용 네트워크(6)를 통하여 상호 연결된다.
본 예에 따르면, 노드들(20, 30, 40, 60)은 보안 네트워크(8)를 통하여 또한 상호 연결된다. 공용 네트워크(6)는 본 예에서 인터넷(80)인 외부 네트워크에 또한 연결된다.
서버(4)가 중앙처리 장치(CPU: 10), 저장 유닛(14) 및 제어기(12)를 포함한다. 제어기(12)는 네트워크들(6,8)로부터 전송을 수신하도록 적용되고, 저장 유닛(14) 내의 여러 위치에 전송을 기록한다. 저장 유닛은 적어도 2개의 영역인 공용 영역(16) 및 보안 영역(18)으로 분할된다. 공용 영역(16)이 비밀이 아닌 정보를 보유하지만 보안 영역(18)은 분류된 정보를 보유한다.
노드 20은 네트워크(6,8)에 대해 비밀 정보를 전송하고 수신할 수 있는 보안 노드이다. 노드 20은 컴퓨터 시스템(21), 저장 유닛(22) 및 통신 제어기(28)를 포함한다. 통신 제어기(28)는 컴퓨터 시스템(21), 저장 유닛(22), 공용 네트워크(6) 및 보안 네트워크(8)에 연결된다. 저장 유닛(22)이 2개의 저장 영역인 공용 저장 영역(26) 및 보안 저장 영역(24)으로 분할된다.
통신 제어기(28)는 노드 20으로 및 노드 20으로부터의 모든 통신을 제어한다. 통신 제어기(28)는 네트워크(6,8) 모두에 공용 저장 영역(26)으로의 액세스를 제공한다. 통신 제어기(28)는 단지 보안 네트워크(8)에 보안 저장 영역(24)으로의 액세스를 제공한다.
노드 20에서, 공용 네트워크(6)를 갖는 모든 통신은 통신 제어기(28)를 거치게 된다. 따라서, 통신 제어기(28)는 컴퓨터 시스템(21)과 공용 네트워크(6) 사이의 모든 통신을 감시하고 제어한다.
노드 30은 네트워크(6,8)에 대해 비밀 정보를 전송하고 수신할 수 있는 보안 노드이다. 노드 30은 컴퓨터 시스템(31), 저장 유닛(32) 및 통신 제어기(38)를 포함한다. 통신 제어기(38)는 컴퓨터 시스템(31), 저장 유닛(32), 공용 네트워크(6) 및 보안 네트워크(8)에 연결된다. 컴퓨터 시스템(31)은 공용 네트워크(6)에 또한 연결된다. 저장 유닛(32)이 2개의 저장 영역인 공용 저장 영역(36) 및 보안 저장 영역(34)으로 분할된다.
통신 제어기(38)는 보안 저장 영역(34)으로의 액세스 시도를 검출하기 위하여 공용 네트워크로부터 수신되는 모든 통신 전송을 감시한다. 상기한 시도가 검출된 경우, 통신 제어기는 보안 영역(34)으로의 액세스를 거부하고 노드 30의 사용자에게 경고하는 경고 절차를 실행한다.
노드 40은 네트워크(6, 8)에 대해 비밀 정보를 전송하고 수신할 수 있는 보안 노드이다. 노드 40은 컴퓨터 시스템(41), 저장 유닛(42) 및 통신 제어기(48)를 포함한다. 통신 제어기(48)는 컴퓨터 시스템(41), 보안 저장 유닛(44) 및 보안 네트워크(8)에 연결된다. 컴퓨터 시스템(41)은 공용 네트워크(6)와 공용 저장 유닛(46)에 또한 연결된다.
통신 제어기(48)는 보안 저장 유닛(44)으로 액세스를 제공한다. 공용 네트워크(6)는 컴퓨터 시스템(41)을 통하여 공용 저장 유닛(46)에 액세스한다.
노드 50은 저장 유닛(54) 및 공용 네트워크(6)로 연결되는 컴퓨터 시스템(52)을 구비하는 비보안 노드이다. 노드 60은 저장 유닛(64) 및 컴퓨터 시스템(2)을 구비하는 비보안 노드이다. 저장 유닛(64)과 컴퓨터 시스템(62) 모두는 공용 네트워크(6)에 연결될 뿐만 아니라 상호 연결된다.
노드 50과 노드 60은 단지 공용 네트워크(6)에 연결됨으로써 임의의 보안 저장 영역들(34,44,24,18)에 저장된 임의의 비밀 정보에 액세스를 인증받지 못하는 점에 유의하여야 한다.
노드 70은 컴퓨터 시스템(71), 저장 유닛(72) 및 통신 제어기(78)를 구비하는 지역 보안 노드이다. 저장 유닛(72)은 2개의 저장 영역인 공용 저장 영역(76) 및 보안 저장 영역(74)으로 분할된다.
통신 제어기(78)가 저장 유닛(72), 공용 네트워크(6) 및 컴퓨터 시스템(71)에 연결된다. 컴퓨터 시스템(71)은 공용 네트워크(6)에 연결된다. 통신 제어기(78)는 컴퓨터 시스템(71)이 공용 네트워크(6)로 통신 중인 것을 검출한 경우, 보안 저장 영역(74)으로의 어떤 액세스도 거부한다.
본 발명에 따르면, 각각의 통신 제어기(12,28,38,38)가 각각의 통신 제어기에 연결된 각각의 보안 저장 영역으로의 액세스 시도를 검출하기 위해 공용 네트워크(6)로부터 수신되는 모든 통신 전송을 감시한다. 상기한 시도가 검출된 경우, 각각의 통신 제어기는 관련 보안 영역으로의 액세스를 거부하고 노드나 서버를 사용하는 임의의 사용자에게 경고하는 경고 절차를 실행한다.
본 발명에 따르면, 제1 및 제2 세그먼트를 결정하는 상기 3가지 실시 모두 본 예에 대해 이용가능하며, 여기서 제1 세그먼트가 수신 노드의 공용 저장 영역에 저장되고 제2 세그먼트가 수신 노드의 보안 저장 영역에 저장된다. 이러한 문제에 대해 서버가 노드를 고려할 수 있는 점에 유의하여야 한다.
본 발명에 따르면, 임의의 노드로부터 임의의 노드까지 비밀이 아닌 데이터가 공용 네트워크(6)에 대해 전송되고 수신 노드의 공용 저장 영역에 저장될 수 있다. 비밀 정보는 공용 네트워크(6)에 대해 전송되고, 제1 및 제2 세그먼트로 분할되고, 저장되며, 여기서 제1 세그먼트가 수신 노드의 공용 저장 영역에 저장되고 제2 세그먼트가 수신 노드의 보안 저장 영역에 저장된다.
예를 들면, 서버(4)로부터 비밀 정보를 검색하는 것은 제1 세그먼트가 메인 네트워크(6)에 대해 목적 노드로 전송되고 제2 세그먼트가 보안 네트워크(8)에 대해 목적 노드로 전송되는 2개의 세그먼트로 분할되는 검색 요구를 전송함으로써 수행된다. 따라서, 단지 보안 네트워크(8)에 연결되는 노드들이 분류 정보를 복구하는데 필요한 2개의 세그먼트를 검색한다.
따라서, 보안 영역(18)에 저장되는 변경 데이터의 요구가 보안 네트워크(8)를 통해 적어도 일부가 수신될 경우에만 수행된다.
파일을 세그먼트로 분할하는 것은 원래 파일 내 모든 홀수 비트로부터 제1 세그먼트를 발생하는 것과 원래 파일 내 모든 짝수 비트로부터 제2 세그먼트를 발생하는 것, 파일을 절반으로 나누는 것, 파일을 기설정된 큰 수의 세그먼트로 나누는 것 등과 같은 여러 가지 방식에 따라 수행될 수 있다.
본 발명의 한 특징에 따르면, 공용 네트워크(6) 및 보안 네트워크(8)는 모두 동일한 통신 매체 상에 다른 방식으로 구현될 수 있다. 예를 들면, 공용 네트워크(6)는 제1 기설성된 주파수로 변조된 전송에 의해 표현되고 보안 네트워크(8)는 제2 기설정된 주파수로 변조된 전송에 의해 표현될 수 있다. 또한, 임의의 통신 네트워크(6,8)는 케이블 통신, 무선 통신, 광 통신 등을 포함할 수 있다.
본 발명에 따르면, 2 노드 간의 비밀 정보의 통신은 보안 네트워크(8)를 통하여 연결되는 노드들 사이에서만 수행될 수 있다. 예를 들면, 노드 40이 노드 20에 비밀 정보를 전송할 필요가 있는 경우, 비밀 정보가 2개의 요소로 분할된다. 2개의 요소는 노드 40으로부터 노드 20으로 전송되고, 여기서 제1 요소가 공용 네트워크(6)에 대해 전송되고 제2 요소가 보안 네트워크(8)에 대해 전송된다.
이하 참조되는 도 2는 본 발명에 따른 도 1의 서버(4)의 상세부 및 통신 제어기(12)를 개략적으로 예시하는 도면이다.
통신 제어기(12)가 공용 네트워크(6)에 연결되는 제1 네트워크 인터페이스(92), 보안 네트워크(8)에 연결되는 제2 네트워크 인터페이스(90), 저장 유닛(14)에 연결되는 제1 입출력 인터페이스(96), 중앙처리 장치(10)에 연결되는 제2 입출력 인터페이스(94) 및 관리 제어기(98)를 포함한다. 또한 관리 제어기(98)는 제1 네트워크 인터페이스(92), 제2 입출력 인터페이스(90), 제1 입출력 인터페이스(96) 및 제2 입출력 인터페이스(94)에 연결된다.
관리 제어기(98)는 보안 네트워크(8)를 통해서 제공되는 액세스 요구에 의해서만 보안 저장 영역(18) 액세스를 제공한다.
본 발명에 따르면, 액세스 요구는 여러 개의 데이터 세그먼트를 포함할 수 있고, 여기서 이러한 세그먼트의 일부가 공용 네트워크(6)로부터 수신되고 나머지 세그먼트가 보안 네트워크(8)로부터 수신된다.
관리 제어기(98)가 원래의 액세스 요구를 형성하기 전에 상기 데이터를 결합하고 원래의 액세스 요구를 실행한다.
따라서, 적어도 정보의 일부가 보안 네트워크(8)로부터 수신되었는지 또는 정보가 보안 네트워크(8)에 연결되는 컴퓨터들(20, 30, 40) 중 하나에 의해 비밀 정보로 원래부터 결정되었는지의 2 가지 경우에서 정보가 보안 저장 영역(18)에 저장된다. 보안이 모든 보안 정보가 보안 네트워크(8)에 대해 전송되는 경우 증가되는 것은 당연하다.
본 발명에 따르면, 비밀 정보 파일은 적어도 2개의 세그먼트로 분할되어 서버(4)에 도착한다. 이러한 비밀 정보 파일은 여러 가지 저장 및 검색 모드에 따라 보안 저장 영역(18)에 저장되거나 보안 저장 영역(18)과 공용 저장 영역(16) 모두에 저장될 수 있다.
한 저장 모드에 따르면, 관리 제어기(98)가 여러 개의 세그먼트로 분할되는 비밀 정보 파일을 수신한다. 이후 관리 제어기(98) 보안 저장 영역(18)에 상기 일부 세그먼트를 저장하고 공용 저장 영역(16)에 나머지 세그먼트를 저장한다.
다른 저장 모드에 따르면, 관리 제어기(98)가 모든 세그먼트를 결합하여 단독 파일을 형성하고 보안 저장 영역(18)에 단독 파일을 저장한다.
또 다른 저장 모드에 따르면, 관리 제어기(98)가 세그먼트 형식으로 보안 저장 영역에 비밀 정보 파일을 저장한다. 상기 모드에 따르면, 저장 유닛(14)으로부터 이러한 정보를 검색하도록 요구되는 경우, 관리 제어기(98)가 비밀 정보 파일을 형성하는 세그먼트들에 액세스하고 이후 소정의 처리(processing), 재어셈블링(reassembling) 등이 없이 세그먼트들을 전송한다.
본 발명의 다른 특징에 따르면, 서버(4)가 분류된 정보의 세그먼트들에 따른 비밀 정보의 원래 파일을 재어셈블링하고 보안 저장 영역(18)에 하나의 파일로서 재어셈블링된 파일을 저장한다.
이하 참조되는 도 3은 본 발명에 따른 도 1의 노드 20의 상세부 및 통신 제어기(28)를 개략적으로 예시하는 도면이다.
통신 제어기가 공용 네트워크(6)에 연결되는 제1 통신 인터페이스(150), 보안 네트워크(8)에 연결되는 제2 통신 인터페이스(154) 및 노드 20 내부의 데이터를 지시하는 스위칭 유닛(152)을 포함한다. 임의의 2 네트워크(6,8)에 의한 노드 20의 통신은 통신 제어기(28)를 통하여 수행되어야 한다.
이하 참조되는 도 4는 도 1의 노드 30의 상세부를 개략적으로 예시하는 도면이다.
컴퓨터 시스템(31)이 워크스테이션(33) 및 이에 연결되는 통신 인터페이스(35)를 포함한다. 통신 제어기(35)가 통신 검출기(162), 관리 제어기(160), 컴퓨터 인터페이스(166), 입출력 인터페이스(164) 및 통신 인터페이스(168)를 포함한다.
통신 검출기(162)가 관리 제어기(160) 및 컴퓨터 시스템(31)에 의해 수신되는 통신을 검출하기 위한 공용 네트워크(6)에 연결된다. 컴퓨터 인터페이스(166)가 관리 제어기(160) 및 컴퓨터 시스템(31)에 연결된다. 입출력 인터페이스(164)가 관리 제어기(160) 및 저장 유닛(32)에 연결된다.
통신 인터페이스(168)가 관리 제어기(160)와 보안 네트워크(8)에 연결된다.
통신 인터페이스(168)가 모뎀이나 이더넷(Ethernet) 인터페이스와 같은 종래의 WAN이나 LAN 인터페이스이다. 본 예에 따르면, 컴퓨터 시스템(31)이 통신 인터페이스(35)를 통해 직접 공용 네트워크(6)에 대해 통신할 수 있다.
컴퓨터 시스템(31)이 통신 인터페이스(35)를 통해 공용 네트워크(6)로부터 액세스 요구를 수신한다. 컴퓨터 시스템(31)이 컴퓨터 인터페이스(166)를 통하여 관리 제어기(160)에 상기 액세스 요구를 제공한다. 관리 제어기(160)가 공용 저장 유닛(36)으로부터 정보를 검색하고 컴퓨터 시스템(31)에 정보를 제공하며, 여기서 컴퓨터 시스템(31)은 통신 인터페이스(35)를 통하여 공용 네트워크(6)에 정보를 순서대로 전송한다.
또한 관리 제어기(160)가 공용 네트워크(6)로부터 직접 액세스 요구를 검출하여 액세스 요구를 처리한다. 관리 제어기(160)가 보안 저장 영역(34)에 저장된 정보와 관련된 정보 요구를 검출한 경우, 컴퓨터 시스템(31)에 의해 제공되는 정보에 대한 대응 요구가 거부된다.
컴퓨터 시스템(31)과 공용 저장 영역(36)과 같은, 공용 네트워크(6) 및 노드 30의 비보안 영역 사이의 비제한 통신 인터페이스(35)를 통하여 직접 제공되고 이것이 통신 제어기(38)에 의해 인터럽트되지 않는 점에 유의하여야 한다.
또한 통신 제어기(38)가 완전 분리 보안 모드를 제공한다. 상기 모드에 따르면, 통신 검출기(162)는 컴퓨터 시스템(31)이 공용 네트워크(6)로 전송되고 있는 것을 검출한 경우, 입출력 인터페이스(164)와 통신 인터페이스(168)를 물리적으로 디스에이블시킴으로써, 보안 저장 영역(34) 및 보안 네트워크(8)로의 어떤 액세스도 제거한다.
다시 도 1을 참조하여 본 발명에 따른 노드 40이 보안 감독 스테이션(security supervising station)으로 정해지는 다른 특징을 제공한다. 따라서, 노드 20과 같은 보안 노드가 보안 데이터 저장 영역(24)으로부터 비보안 노드, 예를 들어 노드 50에 데이터를 전송하려는 경우, 노드 20이 상기 데이터를 노드 40으로 전송한다. 상기 데이터를 수신하는 노드 40이 보안 저장 영역(44)에 데이터를 저장하고, 또한 감독자에게 데이터를 제공한다. 감독자가 그 인증을 제공하는 경우, 노드 40이 상기 데이터를 공용 저장 유닛(46)에 전송하고 또한 노드 50에 상기 데이터를 전송한다. 본 발명에 따르면, 노드 40이 축전 전송(Store-and-Forward) 버퍼로 동작되고, 이에 의해 임의의 시점에서 공용 네트워크(6) 또는 보안 네트워크(8) 중 어느 하나와 통신하지만 2 네트워크 모두와는 통신하지 않는 추가적인 특징이 있다. 이것은 통신 제어기(48)가 컴퓨터 시스템(41)이 공용 네트워크(6)로부터 연결해제되는 경우에만 보안 네트워크(8)와의 통신을 제공하는 것을 의미한다. 본 발명의 이와 같은 특징에 따르면, 공용 네트워크(6)와 보안 네트워크(8) 사이에 노드 40을 통하여 온-라인 통신할 수 없다.
이하 참조되는 도 5는 본 발명의 다른 실시예에 따라 동작되는, 컴퓨터 시스템에 제한된 통신 액세스를 제공할 수 있도록 통신 제어기를 동작시키는 방법을 개략적으로 나타내는 도면이다.
단계 200에서, 통신 제어기는 전송을 수신한다.
단계 202에서, 통신 제어기는 수신된 전송에 포함된 요구의 형식을 판정한다. 수신된 전송이 데이터 변경, 포맷, 지우기, 이동, 복사 등의 기록 액세스 요구를 포함하는 경우 통신 제어기는 단계 204로 진행한다. 수신된 전송이 판독 액세스 요구를 포함하는 경우 통신 제어기는 단계 220으로 진행한다.
단계 204에서, 통신 제어기는 적어도 전송의 일부가 보안 네트워크를 통하여 수신되었는지 판정한다. 그렇다면 이후 통신 제어기는 단계 206으로 진행한다. 그렇지 않다면 통신 제어기는 단계 214로 진행한다.
단계 206에서, 통신 제어기는 전술한 바와 같이 저장 모드를 판정하여, 이에 따라 전송이 저장되고 각각의 단계 208, 210 및 212로 진행한다.
단계 214에서, 통신 제어기는 요구되는 전송의 목적지가 보안 영역인지 판단한다. 그렇다면, 이후 통신 제어기는 단계 218로 진행한다. 그렇지 않다면, 통신 제어기는 단계 216으로 진행한다.
단계 216에서, 통신 제어기는 공용 저장 영역에 전송을 저장한다.
단계 218에서, 통신 제어기는 변경 절차를 실행한다. 상기 변경 절차는 보안 영역 액세스 거부, 통신 제어기에 연결된 컴퓨터 시스템을 동작시키는 사용자에게 변경 메시지나 신호의 출력, 통신 제어기를 포함하는 노드에 선택된 활동의 중단 등을 시킬 수 있다.
판독에 대하여, 통신 제어기는 적어도 전송의 일부가 보안 네트워크를 통하여 수신되는지 (단계 220에서) 판정한다. 그렇다면, 이후 통신 제어기는 단계 222로 진행한다. 그렇지 않다면, 통신 제어기는 단계 224로 진행한다.
단계 224에서, 통신 제어기는 요구된 전송의 목적지가 보안 영역인지 판정한다. 그렇다면, 이후 통신 제어기는 단계 218로 진행한다. 그렇지 않다면, 통신 제어기는 단계 226으로 진행한다.
단계 226에서, 통신 제어기는 전송에 포함된 액세스 요구에 따라 공용 저장 영역으로부터 데이터를 검색한다.
이하 참조되는 도 6은 본 발명의 보다 바람직한 실시예에 따라 구성되고 동작되는, 컴퓨터 시스템(390) 및 통신 중에 컴퓨터 시스템을 보안하기 위한 장치(300)를 개략적으로 예시하는 도면이다.
컴퓨터 시스템(390)은 중앙처리 장치(310), 메모리 유닛(314), 저장 유닛(316), 및 통신 네트워크(324)에 연결되는 통신 인터페이스(312), 및 통신 버스(322)를 포함한다. 본 발명에 따른 컴퓨터 시스템 보안 장치(300)는 프로세서(302) 및 이에 연결되는 스위칭 유닛(304)을 포함한다.
저장 유닛(316)은 2개의 영역인 공용 영역(318) 및 보안 영역(320)으로 분할된다. 보안 장치(300)는 저장 유닛(316)을 제어하여 CPU(310) 및 통신 인터페이스(312)와 같은 컴퓨터 시스템(390)의 모든 구성요소에 통신 버스(322)를 통하여 공용 영역(318)으로의 완전 액세스를 제공한다.
프로세서(302)는 스위치 유닛(304)을 제어하여 보안 영역(320)으로의 액세스를 인에이블 또는 디스에이블시킨다. 본 발명의 한 특징이 따르면, 보안 장치(300)는 통신 중 및 통신 직후의 분석 관리를 제공한다. 보안 영역(320)으로의 액세스 거부는 완전 액세스 거부, 판독 전용 액세스 제공 등을 포함하는 여러 방식으로 구현될 수 있다.
본 발명에 따르면, 네트워크(324)로 온-라인 통신 중에, 보안 장치(300)는 컴퓨터 시스템으로부터 보안 영역(320)을 연결 해제하고 보안 영역(320)으로의 모든 액세스를 거부한다. 추가적으로, 프로세서(302)는 통신 버스(322) 상의 모든 데이터 전송을 감시하고, 저장 유닛(316)의 공용 영역(318) 내의 데이터 변경을 검출하며, 그로부터 로그 파일을 생성한다.
컴퓨터 시스템(390)이 네트워크(324)로부터 연결 해제되는 경우, 프로세서(302)는 보안 영역으로부터 분석 소프트웨어 애플리케이션을 검색하고, 보안 키를 생성하며, 상기 분석 소프트웨어로 보안 키를 제공한다. 본 예에서, 분석 소프트웨어 애플리케이션은 앤티-바이러스(anti-virus) 스캐닝 소프트웨어이다. 이후, 프로세서(302)는 CPU(310)에 분석 소프트웨어 애플리케이션을 제공한다. CPU(310)는 공용 영역(318) 내의 모든 데이터 변경 상의 로그 파일에 따른 분석 소프트웨어 애플리케이션을 실행한다.
분석 소프트웨어 애플리케이션이 적대적인 소프트웨어 또는 임의의 의심스러운 데이터 변경을 검출하지 못하는 경우, 보안 키를 프로세서(302)로 반환한다. 이후, 프로세서(302)는 스위칭 유닛(304)을 동작시켜 보안 영역(320)으로의 액세스를 가능하게 한다.
보안 장치(300)는 여러 방식 및 파라미터에 따라 보안 영역(320)으로의 액세스를 거부하도록 동작된다. 본 발명의 한 특징이 따르면, 보안 영역(320)이 어드레스에 따라 물리적으로 정해진다. 따라서, 액세스가 선택된 어드레스에서 거부되고 나머지 모든 어드레스에 제공된다. 이러한 구현을 위한 프로세서는 보안 영역 어드레스로의 액세스를 자동으로 거부하는 몇 개의 논리 NAND 게이트를 포함할 수 있다.
본 발명의 다른 특징에 따르면, 보안 영역(320)이 액세스가 거부되는 파일명, 디렉토리명, 논리 속성 등과 같은 논리 어드레스에 따라 정해진다.
온-라인 통신 상황의 검출이 여러 방식으로 가능하다. 한 방식에 따르면, 검출이 도 3의 통신 제어기(28)와 관련하여 설명된 바와 같이, 전용 통신 인터페이스를 통하여 통신 라인에 직접 연결을 통하여 제공됨으로써, 그 내부의 모든 활동이 감시된다. 대안으로, 보안 장치(300)가 예를 들어, 도면부호 328로 표시된 바와 같이, 통신 케이블의 근처에서 나타나는 전자기장을 감지함으로써, 통신 라인에 간접적으로 연결되어, 그 내부의 모든 활동이 감시된다. 또한, 컴퓨터 시스템(390)이나 통신 인터페이스는 통신 상태와 관련되는 정보를 보안 장치(300)에 제공한다. 또한, 통신 소프트웨어와 같은 바람직한 소프트웨어 애플리케이션이 통신 상태와 관련되는 정보를 보안 장치(300)에 제공한다.
이하 참조되는 도 7은 본 발명의 바람직한 실시예에 따라 구성되고 동작되는, 컴퓨터 시스템(490) 및 통신 중에 컴퓨터 시스템과 그 환경을 보안하기 위한 장치(400)를 개략적으로 예시하는 도면이다.
컴퓨터 시스템(490)은 중앙처리 장치(406), 메모리 유닛(410), 저장 유닛(416), WAN 통신 네트워크(428)에 연결되는 WAN 통신 인터페이스(408), LAN 통신 네트워크(426)에 연결되는 LAN 통신 인터페이스(424), 및 통신 버스(422)를 포함한다. 보안 장치(400)는 프로세서(402) 및 이에 연결되는 스위칭 유닛(404)을 포함한다. 보안 장치(400)는 제한될 수 없고, 각각의 통신 네트워크(426,428)는 WAN, LAN, 무선 통신 네트워크, 광 기반 네트워크 등과 같은 임의의 네트워크 형식일 수 있는 것은 당연하다.
저장 유닛(416)이 2개의 영역인 공용 저장 영역(418) 및 보안 저장 영역(420)으로 분할된다. 메모리 유닛(410)이 2개의 영역 공용 메모리 영역(412) 및 보안 메모리 영역(414)으로 분할된다. 본 발명의 한 특징에 따르면, 2개의 저장 영역(418,420)은 보안 장치(400)에 의해 완벽하게 제어되는 2개의 부분으로 분할되는 단독 저장 유닛일 수 있다.
본 발명의 다른 특징에 따르면, 2개의 저장 영역(418, 420)은 상호 연결되지 않는 2개의 분리된 저장 유닛이지만, 보안 장치(400)가 보안 저장 영역(418)으로의 액세스를 완벽하게 제어하고 공용 저장 영역(420) 상의 분석 절차를 수행하도록 적용된다.
본 발명의 또 다른 특징에 따르면, 각각의 저장 영역(418, 420)은 여러 개의 저장 유닛을 포함한다.
공용 저장 영역(418), 공용 메모리 영역(412), CPU(406), WAN 통신 인터페이스(408) 및 보안 장치(400)가 통신 버스(422)를 통하여 상호 연결된다.
보안 저장 영역(418), 보안 메모리 영역(412) 및 LAN 통신 인터페이스(424)가 스위칭 유닛(404)에 연결된다.
프로세서(402)가 스위칭 유닛(404)을 제어하여 보안 저장 영역(420), 보안 메모리 영역(414) 및 LAN 통신 인터페이스(424)로의 액세스를 허용 또는 거부한다. 컴퓨터 시스템(490)이 WAN 통신 인터페이스(408)를 통하여 WAN 네트워크와 통신 중인 경우 액세스는 거부된다.
보안 장치 400은 보통은 보안 장치 300과 유사하게 동작한다. 따라서 보안 장치(400)는 도 9와 관련하여 이하 설명되는 방식에 따라 동작하지만, 이러한 방식에서 결정되는 보안 플래그가 온(on) 상태인 한, 보안 저장 영역(420), 보안 메모리 영역(414) 및 LAN 통신 인터페이스(424)로의 액세스는 거부된다.
본 발명의 다른 특징에 따르면, 프로세서(402)가 보안 메모리 영역(414)에서 분석 소프트웨어 애플리케이션을 실행하도록 동작하며, 이것은 WAN 통신이 연결 해제된 후에 공용 메모리 영역(412) 및 공용 저장 영역(418)을 스캔(scan)한다. 따라서, 분석 소프트웨어 애플리케이션은 적대적인 프로그램이나 외부 사용자와 같은 미인증 요소에 액세스할 수 없다.
본 발명에 따르면, 보안 장치(400)는 통신 중에 여기에 연결된 어떤 장치로의 액세스를 거부하여 미인증 액세스를 방지할 수 있다.
이하 참조되는 도 8은 본 발명의 보다 바람직한 실시예에 따라 동작되는, 도 1의 도면부호 28, 38, 48, 도 6의 도면부호 300 및 도 7의 도면부호 400의 보안 장치를 동작시키는 방법을 개략적으로 예시하는 도면이다. 본 예에서는, 도 6의 보안 장치(300) 및 컴퓨터 시스템(390)을 참고하여 설명된다. 상기 방법은 이하의 단계를 포함한다:
단계 500에서, 보안 장치(300)는 보안 플래그를 오프로 설정한다.
단계 502에서, 보안 장치(300)는 컴퓨터 시스템(390)이 온-라인 통신을 수행하는지 판정한다. 컴퓨터 시스템(390)이 온-라인 통신을 수행하면, 보안 장치는 단계 504로 진행한다. 그렇지 않다면, 보안 장치는 단계 507로 진행한다. 오프-라인 통신은 통신 인터페이스(예를 들면, 모뎀)가 네트워크로부터 연결 해제되는 경우, 또는 컴퓨터 시스템이 통신 인터페이스로부터 일시적으로 또는 영구적으로 연결 해제되는 경우로 제한되는 반면에, 온-라인 통신 인터페이스는 네트워크와 연결 및 통신을 유지한다.
단계 504에서, 보안 장치(300)는 보안 영역(320)을 컴퓨터 시스템(390)의 나머지로부터 연결 해제된다.
단계 506에서, 보안 장치(300)는 보안 플래그를 턴온시키고 수신 데이터 등 때문에 통신 중에 컴퓨터 시스템(390) 및 그 공용 저장 영역에서 발생하는 데이터 변경의 로그 파일을 생성한다. 동시에, 보안 장치(300)는 통신이 온-라인인 것을 확인하는 단계 502로 되돌아간다.
단계 507에서, 보안 플래그가 온인 경우, 이후 보안 장치(300)는 단계 508로 진행한다. 그렇지 않다면, 보안 장치(300)는 단계 502로 되돌아간다.
단계 508에서, 보안 장치(300)는 보안 키를 생성하고 단계 510으로 진행한다.
단계 510에서, 보안 장치(300)는 보안 영역으로부터 분석 소프트웨어 애플리케이션을 검색하고, 상기 보안 키를 분석 소프트웨어 애플리케이션에 제공하며, CPU(310)에 둘 모두를 제공한다.
단계 512에서, CPU는 로그 파일에 따라 온-라인 통신 중에 발생되는 모든 데이터 변경 상의 분석 소프트웨어 애플리케이션을 실행한다. 분석 소프트웨어 애플리케이션은 임의의 적대적 시도가 그 내부에 포함된 정보에 손상을 주는지 검출한다. 그렇다면, 컴퓨터 시스템(390)은 단계 516으로 진행한다. 그렇지 않다면, 컴퓨터 시스템(390)은 단계 514로 진행한다.
단계 514에서, 분석 소프트웨어 애플리케이션은 보안 키를 프로세서(302)에 반환하며, 이것은 보안 영역(320)으로의 액세스를 순서대로 인에이블시키고 단계 500으로 되돌아가게 한다.
단계 516에서, 컴퓨터 시스템(390)은 사용자에게 경고와 중단을 제공한다.
보안 키는 보안 영역(320) 내의 순간적인 데이터 상황에 따라 발생되는 것이 바람직하다. 또한 보안 키는 내부의 랜덤 발생기 등에 따른 것과 같은 보안 영역(320)에 무관한 시간 키로서 발생될 수 있다. 이러한 주된 이유는 인증받지 못한 요인들로부터 및 프로세서에 이 키를 제공하려고 할 수 있는 요인들로부터 이러한 보안 키로의 모든 가능한 액세스를 최소화하고 바람직하게는 제거하기 위한 것이다.
이하 참조되는 도 9는 도 1의 노드 70의 상세부를 개략적으로 예시하는 도면이다.
본 발명에 따른 통신 제어기(78)는 프로세서(602), 스위칭 유닛(604), 통신 인터페이스(606), 입출력 인터페이스(608), 및 컴퓨터 인터페이스(610)를 포함한다. 통신 제어기(78)는 통신 인터페이스(606)를 통하여 네트워크(6)에 연결되고, 입출력 인터페이스(608)를 통하여 저장 유닛(72)에 연결되며, 컴퓨터 인터페이스(610)를 통하여 컴퓨터 시스템(71)에 연결된다. 저장 유닛(72)은 2개의 주요 부분인 공용 부분(76) 및 보안 부분(74)으로 분할된다. 본 예에 따르면, 입출력 인터페이스는 IDE-ATA나 SCSI 디스크 제어기이다.
통신 인터페이스(606)는 네트워크(6)의 형식에 따라 결정되고, 다이얼-업 모뎀, WAN 모뎀, LAN 모뎀, 광 모뎀, ISDN 모뎀, 케이블 텔레비젼 모뎀 등을 포함하는 그룹으로부터 선택된다. 또한 통신 인터페이스(606)는 임의의 모뎀에 연결되는 입출력 인터페이스일 수 있다. 프로세서(602)는 컴퓨터 시스템, 저장 유닛(72) 및 네트워크 사이의 온-라인 물리적 연결을 제어한다.
통신 제어기(78)는 여러 가지 동작 모드에 따라 동작된다. 제1 동작 모드에 따르면, 통신 제어기(78)는 컴퓨터 시스템(71)으로부터 통신 요구 커맨드를 수신하는 경우 통신 인터페이스(606)를 동작시켜 통신에 네트워크(6)를 제공한다. 동시에, 통신 제어기(78)는 저장 유닛(72)으로의 모든 액세스 요구를 감시하고, 공용 영역(76)으로의 액세스를 허용하며, 보안 영역(74)으로의 액세스를 거부한다.
제2 동작 모드에 따르면, 컴퓨터 시스템(71)이 통신 제어기에 보안 영역(74)을 액세스 요구를 제공하는 경우, 통신 제어기(78)는 스위칭 유닛(604)을 동작시켜 컴퓨터 시스템(71)을 통신 인터페이스(606)로부터 연결 해제시키지만, 통신 인터페이스(606)와 네트워크(6) 사이의 통신은 감시한다.
그 시점에서, 프로세서(602)는 컴퓨터 시스템(71) 내의 임의의 다른 저장 유닛뿐만 아니라 공용 영역(76)을 스캔하여 보안 영역에 손상을 발생시킬 수 있는 해로운 프로그램을 식별한다. 상기 프로그램이 검출되지 않는 경우, 통신 제어기(78)는 컴퓨터 시스템(71)에 보안 영역(76)으로의 액세스를 제공한다. 컴퓨터 시스템(71)이 통신 제어기(78)에 네트워크에 재연결되는 커맨드를 제공하는 경우, 통신 제어기(78)는 컴퓨터 시스템(71)에 통신 인터페이스(606)를 재연결시키고 동시에 보안 영역(74)으로의 모든 액세스를 거부한다.
제3 동작 모드에 따르면, 통신 제어기(78)는 네트워크(6)와의 통신을 종료하고 프로세서(602)는 컴퓨터 시스템(71)에 다른 저장 유닛뿐만 아니라 공용 저장 영역(76)을 스캔하여 보안 영역에 손상을 발생시킬 수 있는 해로운 프로그램을 검출한다. 상기 프로그램이 검출되지 않으면, 통신 제어기는 컴퓨터 시스템(71)에 보안 영역(74)으로의 액세스를 제공한다.
프로세서(602)가 이러한 목적을 위하여 설계되는 소프트웨어를 스캐닝 및 분석 소프트웨어를 스캔하거나 실행한다. 본 발명에 따르면, 도 8에 도시된 방법은 통신 장치(81)에 구현될 수 있다는 것은 당연하다.
스위칭 유닛(604) 및 통신 인터페이스(606)를 제어함으로써, 프로세서(602)는 통신 인터페이스(606)에 네트워크(6)와의 통신을 종료하는 커맨드를 제공함으로써, 또는 스위칭 유닛(604)을 동작시킴으로써 네트워크로부터 컴퓨터 시스템(71)을 연결 해제하여 통신 인터페이스(606)와 네트워크(6) 사이의 연결을 유지하는 동안 컴퓨터 시스템(71)으로부터 통신 인터페이스를 연결 해제할 수 있다는 점에 유의하여야 한다.
본 발명에 따르면, 또한 프로세서(602)는 통신 인터페이스(606)와 네트워크(6) 사이 또는 통신 인터페이스(606)와 스위칭 유닛(604) 사이의 통신을 연결 해제하기 위하여 컴퓨터 시스템(71)으로부터 커맨드를 수신하도록 동작된다.
이하 참조되는 도 10은 본 발명의 바람직한 실시예에 따라 구성되고 동작되는, 컴퓨터 시스템(652)과 도면부호 650의 통신 장치를 개략적으로 예시하는 도면이다.
통신 장치(650)는 통신 인터페이스(656), 저장 유닛(654) 및 스위칭 유닛(662)을 포함한다. 통신 인터페이스(656)는 스위칭 유닛(662) 및 통신 라인(658)에 연결되고, 또한 통신 네트워크(660)와 연결된다. 통신 장치(650)는 프로세서(666)와 저장 유닛(670)을 추가로 포함하는 컴퓨터 시스템(652)의 데이터 버스에 연결된다.
통신 인터페이스(656)는 종래의 모뎀, 모뎀 에뮬레이터, 네트워크 통신 카드 등일 수 있다. 저장 유닛(654)은 ROM, RAM, 플래시 메모리, 디스크, 테이프 등과 같은 임의의 형식의 데이터 저장 장치일 수 있다. 제1 구현과 같은 본 발명의 일부 구현들은 RAM, 플래시 메모리, 디스크 등과 같은 동적(dynamic) 판독/기록 저장 유닛을 필요로 하는데, 그 이유는 보안 영역 유닛에 저장되는 데이터가 동적이기 때문이다. 제2 및 제3 구현과 같은 다른 구현들은 ROM, EPROM, EEPROM 등과 같은 적게 동적인 저장 유닛을 사용할 수 있으며, 이들은 전체 구조를 단순하게 하고 통신 장치(650)를 제조하는 비용을 절감하기 쉽다.
통신 장치(650)는 네트워크(660)로부터 미인증 액세스 시도에 대해 비밀 정보의 보안을 강화하는 여러 모드에 따라 동작한다. 이하, 수많은 비제한적이고 예시적인 모드가 개시된다.
제1 모드에 따르면, 보안될 필요가 있는 임의의 비밀 데이터 파일은 2개의 세그먼트로 분할된다. 제1 세그먼트가 컴퓨터(652)의 저장 유닛(670)에 저장되고, 제2 세그먼트가 통신 장치(650)의 저장 유닛(654)에 저장된다. 제1 세그먼트를 단독으로 사용하여 원래 파일을 재구성하는 것이 극히 어렵고 실제로 불가능하다고 간주될 수 있기 때문에 상기 분할이 수행된다.
다른 모드에 따르면, 저장 유닛(670)에 포함된 비밀 데이터는 배타적인 암호 키를 사용하여 암호화되며, 여기서 암호화가 완료되는 경우, 상기 암호 키가 저장 유닛(654)에 저장된다.
또 다른 모드에 따르면, 모든 비밀 데이터가 저장 유닛(654)에 저장된다.
컴퓨터 시스템(652)은 점선(688)으로 표시되는 바와 같이 통신 인터페이스(656)를 통하여 네트워크와 통신할 수 있다. 컴퓨터 시스템(652)이 네트워크와 통신하지 않는 경우, 스위칭 유닛(662)이 버스(664)를 통신 인터페이스(656)로부터 연결 해제하고 실선(672)으로 표시되는 바와 같이 저장 유닛(654)을 버스(664)에 연결한다.
컴퓨터가 통신 인터페이스를 통하여 통신 연결이 설정되는 경우, 스위칭 유닛(662)은 저장 유닛(654)을 버스(664)로부터 연결 해제하고 통신 인터페이스(656)를 버스(664)에 연결한다. 따라서, 컴퓨터 시스템(652)과 통신하는 어느 것도 저장 유닛(654)에 포함된 데이터가 아닌 컴퓨터 저장 유닛(670)에 저장된 데이터로 한정되는 제한된 데이터 액세스를 가진다.
스위칭 유닛(662)은 저장 유닛(654)을 버스로부터 연결 해제하는 경우 저장 유닛과 그 내부에 포함된 모든 데이터를 이용할 수 없다는 것은 당연하다.
통신 장치(650)는 AISA, VLB, PCI, PCMCIA 등과 같은 종래의 표준에 따른 추가형 내부 카드로 구현될 수 있다. 또한 통신 장치(650)는 직렬 포트, 병렬 포트 등을 통하여 연결되는 외부 장치로 구현될 수 있다. 따라서, 예를 들어 통신 장치(650)는 휴대용 컴퓨터를 위한 PCMCIA 모뎀으로 구현될 수 있다. 사용자는 통신 장치를 컴퓨터로부터 분리하고 키로서 통신 장치를 사용할 수 있다. 통신 장치(650)가 컴퓨터 시스템(650)에 연결되지 않는 한 저장 유닛(654) 내에 포함된 어떤 데이터에도 액세스하지 못하는 것은 당연하다.
본 발명에 따르면, 도 8에 설명된 방법은 통신 장치(650)에 구현될 수 있다.
이하 참조되는 도 11은 본 발명의 또 다른 바람직한 실시예에 따라 구성되고 동작되는, 도면부호 890인 컴퓨터 시스템, 도면부호 810인 저장 유닛, 통신 중에 컴퓨터 시스템을 보안하기 위한 도면부호 800인 장치와 휴대용 유닛(850)을 개략적으로 예시하는 도면이다.
컴퓨터 시스템(890)은 통신 네트워크와 본 발명의 보안 장치(800)에 연결된다. 또한 상기 보안 장치(800)는 저장 유닛(810)에 연결된다. 상기 보안 장치(800)는 프로세서(802), 스위칭 유닛(804) 및 무선 트랜시버(803)를 포함한다.
휴대용 유닛(850)은 무선 트랜시버(852) 및 여기에 연결되는 프로세서(854)를 포함한다.
저장 유닛(810)은 로그 파일을 관리하는 로그 영역(812), 데이터를 수신하자마자 보안 영역(820)으로 전송되기 전에 중간에 저장하는 버퍼 영역(814), 항상 액세스 가능한 공용 영역(816), 동작 단위 파일, 분석 소프트웨어 애플리케이션 등을 저장하는 판독 전용 영역(818), 및 비밀 정보를 저장하는 보안 영역(820)인 5개의 영역으로 분할된다.
상기 보안 장치(800)는 다음과 같은 저장 유닛(810)을 관리한다. 컴퓨터 시스템(890)이 통신 네트워크(892)와 온-라인 통신 중인 경우, 보안 장치(800)는 기록 및 판독을 위해 공용 영역(816) 및 버퍼 영역(814)으로의 완전 액세스를 인에이블시킨다. 또한 보안 장치(800)는 판독 전용 영역(818)으로의 제한된 판독 전용 액세스를 인에이블시킨다. 동시에, 보안 장치(800)는 저장 유닛(810) 내의 데이터 변경 및 컴퓨터 시스템(890)으로부터 수신되는 데이터 요구에 관련되는 정보를 로그 영역을 갱신한다. 보안 장치(800)는 보안 영역(820)으로의 액세스를 거부한다. 통신 시스템(890)이 통신 네트워크(892)로부터 연결 해제된 후에, 보안 장치(800)는 공용 영역(816) 및 버퍼 영역(814)에 포함된 데이터 상에서 로그 영역(812)에 포함된 정보에 따라, 판독 전용 유닛으로부터 분석 소프트웨어 애플리케이션을 검색하고 이를 실행시킨다. 보안 영역(820)을 목적지로 하는 소정의 데이터는 공용 영역(816)으로부터 버퍼 영역(814)까지 전달되고, 스캔되며, 해롭지 않다고 분류되는 경우 보안 영역(820)으로 전달된다.
본 발명의 실시예에 따르면, 보안 장치(800)는 휴대용 유닛(850)을 구비한 인증 사용자가 보안 장치(800) 근처에 있는 경우에만 저장 유닛(810) 내의 보안 영역으로의 액세스를 제공하도록 동작될 수 있다.
본 발명의 무선 모드에 따르면, 무선 트랜시버 852가 무선 트랜시버 803에 신호를 전송한다. 무선 트랜시버 803은 상기 신호를 검출하고 상기 신호를 저장 유닛(810) 내의 보안 영역으로의 액세스를 제공하는 인에이블 신호로 간주하는 프로세서(802)에 제공한다. 상기 무선 모드에 따르면, 사용자가 근거를 남겨 두고 무선 트랜시버 803이 무선 트랜시버 852에 의해 전달되는 신호를 검출하지 못한 경우, 보안 장치(800)는 저장 유닛(810)의 보안 영역으로의 액세스를 거부한다.
다른 무선 모드에 따르면, 프로세서 854는 간혹 상이한 신호를 전송하기 위해 무선 트랜시버 852 커맨드를 제공한다. 이후 프로세서 802는 여러 가지 신호나 신호들 사이의 변경을 인식하도록 적용된다.
또 다른 무선 모드에 따르면, 무선 트랜시버 803 및 무선트랜시버 852는 양방향 통신을 사용하여 통신한다. 따라서, 프로세서 802 및 854는 해독된 신호를 변경하도록 동작하여 보안 레벨을 보다 양호하게 강화시킨다.
이하 참조되는 도 12는 본 발명의 또 다른 바람직한 실시예에 따라 구성되고 동작되는, 도면부호 1000인 로그 유닛을 개략적으로 예시하는 도면이다.
로그 유닛(1000)은 저장 영역(1002) 및 여기에 연결되는 제어기(1004)를 포함한다. 제어기(1004)는 저장 유닛 내에 포함된 로그 엔트리의 랜덤-액세스 판독뿐만 아니라 저장 유닛 내의 로그 엔트리의 연속되는 기록을 제공하도록 동작된다.
본 발명에 따르면, 제어기(1004)가 신규의 로그 엔트리를 기록하기 위해 기록-커맨드를 수신하는 경우, 기록-커맨드에 결합되는 어드레스는 무시하고 계속되는 이전의 기록-커맨드의 어드레스로 어드레스를 할당한다. 따라서, 기선택된 로그 엔트리를 특정 어드레스를 포함하는 기록-커맨드로 변경하려는 시도는 실행되지 않는다. 본 발명의 한 특징에 따르면, 상기한 시도가 발생한 경우, 제어기(1004)는 여기에 연결된 컴퓨터(도시되지 않음)에 경고 커맨드를 출력한다.
상기한 로그 유닛의 주요한 장점의 하나는 자유롭게 로그 영역으로의 기록 액세스를 허용하지 않음으로써, 기선택된 로그 엔트리의 고의적인 변경을 방지한다는 것이다.
로그 파일이 유한한 크기의 저장 영역에 위치되고 있는 경우, 가끔 저장 공간의 한계를 초과한다. 이러한 상황의 통상적인 해결책은 로그 파일을 순환 파일(cyclic file), 즉 로그 파일의 끝 지점에 마지막 가능한 엔트리를 기록한 후, 다음에는 로그 파일의 시작 지점에 기록을 시작하는 것으로 정하는 것이다. 따라서, 로그 파일을 변경하고자 하는 경우, 많은 로그 파일을 저장할 필요가 있는 만큼 기록하고 전체 로그 파일을 다시 기록할 수 있다.
본 발명에 따른 방법은 2개의 연속적인 로그 엔트리 기록 커맨드 사이의 최소 시간 주기를 제공함으로써 상기한 문제를 극복한다. 따라서, 전체 로그 파일에 대한 기록은 짧은 시간 간격에서는 이를 수행할 수 없도록 제한된다.
이하 참조되는 도 13은 본 발명의 또 다른 바람직한 실시예에 따라 동작되는, 도 12의 로그 유닛(1000)을 동작시키는 방법을 개략적으로 예시하는 도면이다.
단계 1050에서, 로그 유닛(1000)은 로그 커맨드를 수신한다.
단계 1052에서, 수신된 로그 커맨드가 기록 커맨드인 경우, 이후 로그 유닛(1000)은 단계 1056으로 진행한다. 이와는 달리, 수신된 로그 커맨드가 판독 커맨드인 경우, 로그 유닛(1000)은 단계 1054로 진행한다.
단계 1054에서, 로그 유닛(1000)은 요구되는 로그 엔트리를 검색한다.
단계 1056에서, 시간 간격 Δt가 기설정된 시간 간격 T보다 크거나 같은 경우, 이후 제어기(1004)는 단계 1060으로 진행한다. 그렇지 않으면, 제어기(1000)는 단계 1058로 진행한다.
단계 1058에서, 제어기(1004)는 저장 영역(1002)으로의 액세스를 거부한다.
단계 1060에서, 제어기(1004)는 로그 커맨드로부터 로그 정보를 검색하고 단계 1062로 진행한다.
단계 1062에서, 제어기(1004)는 계속되는 이전의 기록-커맨드의 주소로 로그 어드레스를 제공한다.
단계 1064에서, 제어기(1004)는 로그 어드레스에서 로그 정보를 포함하는 로그 엔트리를 기록한다.
본 발명의 다른 특징에 따르면, 단계 1058은 또한 감독자 등에게 경고하기 위해 경고 신호를 출력하는 것을 포함할 수 있다.
이하 참조되는 도 14는 본 발명의 바람직한 실시예에 따라 구성되고 동작되는, 컴퓨터 시스템(1102) 및 도면부호 1100인 장치를 개략적으로 예시하는 도면이다.
상기 장치(1100)는 관리 제어기(1122), 2개의 디스크 드라이브 입출력 인터페이스(1118, 1120), 입출력 스위칭 유닛(1139), 2개의 디스켓 드라이브 입출력 인터페이스(1137, 1138), 컴퓨터 시스템(1102)을 공용 네트워크(1136)에 연결하는 제1 쌍의 통신 인터페이스(1110, 1112), 컴퓨터 시스템(1102)을 보안 네트워크(1134)로 연결하는 한 쌍의 통신 인터페이스(1114, 1116), 및 상기 관리 제어기(1122)에 연결되는 2개의 통신 스위치(1140, 1142)와 디스플레이(1144)를 포함한다.
디스크 드라이브 입출력 인터페이스(1118, 1120)는 관리 제어기(1122)에 연결된다. 입출력 스위칭 유닛(1139)은 2개의 디스켓 드라이브 입출력 인터페이스(1137, 1138)와 관리 제어기(1122)에 연결된다.
통신 인터페이스 1110은 통신 스위치 1142와 컴퓨터 시스템(1102)에 연결된다. 통신 인터페이스 1112는 통신 스위치 1142와 공용 네트워크(1136)에 연결된다. 통신 스위치 1142는 관리 제어기(1122)에 연결된다.
통신 인터페이스 1114는 통신 스위치 1140과 컴퓨터 시스템(1102)에 연결된다. 통신 인터페이스 1116은 통신 스위치 1140과 보안 네트워크(1134)에 연결된다.
상기 장치(1100)는 입출력 인터페이스 1120을 통해서 저장 유닛(1124)에 연결된다. 저장 유닛(1124)은 메뉴 영역(1126), 보안 영역(1130), 공용 영역(1128), 로그 영역(1132) 및 패스워드 영역(1133)인 복수의 영역으로 분할된다.
공용 영역(1128)은 비밀이 아닌 데이터 및 소프트웨어를 포함한다. 보안 영역(1130)은 비밀인 데이터 및 소프트웨어를 포함한다. 로그 영역(1132)은 지금까지 언급된 바와 같이, 종래의 방법이나 본 발명에 따른 로그 파일 구조를 포함한다. 패스워드 영역(1133)은 모드들 간의 스위칭 등과 같이 관리 제어기(1122)에 의한 여러 절차 동안 사용될 수 있는 패스워드를 포함한다.
메뉴 영역(1126)은 컴퓨터 시스템(1102)이 부트-업(즉, 시동이나 재시동)되는 경우 컴퓨터 시스템(1102)을 관리하는 기-동작 시스템 메뉴를 포함한다. 이러한 메뉴는 컴퓨터 시스템(1102) 내로 로드되고, 사용자는 작업 모드들 중에 공용 모드나 보안 모드를 선택하도록 요구된다.
사용자가 보안 모드에서 작업할 것을 선택하는 경우, 이후 컴퓨터 시스템은 상기 선택을 제공하여 관리 제어기(1122)가 보안 영역(1130)을 컴퓨터 시스템(1102)에 연결하는 동작, 공용 영역(1128)으로의 액세스를 거부하는 동작, 통신 스위치 1140에 통신 인터페이스 1114 및 1116 사이의 연결을 인에이블시키는 커맨드를 제공함으로써 컴퓨터 시스템(1102)과 보안 영역(1134)을 연결하는 동작, 및 통신 스위치 1142에 통신 인터페이스 1110 및 1112 사이의 임의의 연결을 거부하는 커맨드를 제공함으로써 컴퓨터 시스템(1102)을 공용 영역으로부터 연결 해제하는 동작을 순서대로 수행하게 한다.
사용자가 공용 모드로 작업할 것을 선택하는 경우, 이후 컴퓨터는 상기 선택을 제공하여 관리 제어기(1122)가 공용 영역(1128)을 컴퓨터 시스템(1102)에 연결하는 동작, 보안 영역(1130)으로의 액세스를 거부하는 동작, 통신 스위치 1142에 통신 인터페이스 1110 및 1112 사이의 연결을 인에이블시키는 커맨드를 제공함으로써 컴퓨터 시스템(1102)과 공용 영역(1136)을 연결하는 동작, 및 통신 스위치 1140에 통신 인터페이스 1114 및 1116 사이의 임의의 연결을 거부하는 커맨드를 제공함으로써 컴퓨터 시스템(1102)을 보안 영역으로부터 연결 해제하는 동작을 순서대로 수행하게 한다.
본 발명에 따르면, 상기 장치는 이러한 두 모드인 공용 모드와 보안 모드 중의 한 모드 상에서 동작된다. 공용 영역(1128) 및 보안 영역(1130)은 각각 전체 운영체제를 포함한다. 모드의 변경은 컴퓨터를 리셋시키고, 선택 모드에 따라 선택 영역으로부터 운영체제를 로드하는 것을 통해서만 가능하다.
IBM-PC 구조를 위해 설계된 프로그램들과 같은 종래의 소프트웨어는 주 파티션 테이블을 포함하는 0,0,1 이외의 0,0,#로 시작하는 디스크 어드레스를 사용하지 못한다.
본 발명의 비제한적인 예에 따르면, 0,0,1로 시작하는 어드레스는 보안 영역(1130)의 파티션 테이블을 포함하고, 0,0,2로 시작하는 어드레스는 메뉴 절차를 포함하며, 0,0,3으로 시작하는 어드레스는 공용 영역(1128)의 파티션 테이블을 포함하며, 0,0,4로 시작하는 어드레스는 로그 영역(1132)의 포인터를 포함하며, 0,0,5로 시작하는 어드레스는 패스워드 영역(1133)을 포함한다.
본 예에 따르면, 관리 제어기(1122)는 메뉴 절차를 포함하는 0,0,2로 시작하는 어드레스로의 모든 기록 액세스를 거부한다. 상기 장치는 모든 어드레스로의 모든 액세스를 물리적으로 제어하고 컴퓨터 시스템(1102)에 선택된 어드레스의 판독, 기록 등과 같은 여러 가지 액세스 형식을 제공할 수 있는 점에 유의하여야 한다.
이러한 배열은 저장 유닛(1124)이 관리 제어기를 구비하지 않는 다른 컴퓨터에 직접 연결되는 경우 0,0,2 및 그 이상의 어드레스로 결합되는 저장 유닛의 영역들에 상당한 보호를 제공한다. 이러한 배열은 휴대용 하드 디스크 드라이브를 위해 가장 적합한 것은 당연하다.
본 예에 따르면, 상기 장치(1100)는 컴퓨터 시스템(1102)이 리셋되는 경우를 검출하고 그 시점에 메뉴 영역(1126)으로의 액세스를 제공한다. 상기 장치(1100)는 컴퓨터 시스템으로부터 모드 선택을 수신하는 경우, 컴퓨터 시스템을 물리적으로 리셋시키고, 선택 모드에 따라 공용 영역(1128)이나 보안 영역(1130) 중 하나와 컴퓨터 시스템을 연결한다.
종래의 컴퓨터 시스템에서, 운영체제는 예를 들어, 로컬 하드 디스크 드라이브, 디스켓 드라이브, CD-ROM 드라이브, 컴퓨터에 연결된 네트워크 등과 같은 여러 가지 대안적인 소스로부터 로드될 수 있다. 본 발명에 따르면, 이러한 소스들의 일부는 운영체제의 제공이 미인증된 것으로 기설정됨으로써 운영체제가 제공될 수 없다.
본 예에서, 상기 장치(1100)는 미인증 소스로부터 수신되는 운영체제의 우연한 로딩으로부터 컴퓨터 시스템(1102)을 보호하도록 적용될 수 있다.
본 예에서, 상기 장치(1100)는 컴퓨터 시스템(1102)에 직접 연결될 수 있는 디스켓 드라이브(1135)로의 액세스를 제어한다. 컴퓨터 시스템(1102)이 운영체제의 로딩을 필요로 하는 경우, 관리 제어기(1122)는 이러한 요구를 검출하고 입출력 스위칭 유닛(1139)에 디스켓 드라이브 입출력 인터페이스 1137과 1138 사이를 연결 해제시키기 위해 커맨드를 제공함으로써, 디스켓 드라이브(1135)로의 액세스를 거부한다.
컴퓨터 시스템(1102) 저장 유닛(1124)으로부터 운영체제의 로딩을 개시한 후, 관리 제어기(1122)는 입출력 스위칭 유닛(1139)에 디스켓 드라이브 입출력 인터페이스 1137과 1138 사이를 연결하는 커맨드를 제공함으로써, 컴퓨터 시스템(1102)에 디스켓 드라이브(1135)로의 액세스를 인에이블시킨다.
본 발명의 다른 특징(도시되지 않음)에 따르면, 디스켓 드라이브(1135)가 컴퓨터 시스템(1102)에 직접 연결되는 경우, 관리 제어기(1122)는 컴퓨터의 부트-업과 운영체제의 로딩 사이의 시간 간격 Tmeasured를 측정한다.
하드 디스크 드라이브에 의해 제공되는 액세스 및 데이터 전송비는 디스켓 드라이브에 의해 제공되는 것보다 상당히 빠르다. 또한, 운영체제가 로드되기 전, 디스켓 드라이브로의 초기 액세스는 하드 디스크 드라이브와 비교하여 상당히 느리다. 따라서, Tmeasured는 디스켓 드라이브 액세스가 하드 디스크 드라이브 액세스와 비교되는 경우 상당히 커질 수 있다.
Tboot는 하드 디스크 드라이브로부터 운영체제를 로드하는데 소요되는 기설장된 최대 시간 간격을 나타내는 기설정된 값이다. 하드 디스크 드라이브의 Tboot는 디스켓 드라이브의 Tboot보다 짧다. 따라서, Tmeasured≥Tboot인 경우, 이후 관리 제어기(1122)는 운영체제의 미인증 로드가 진행 중인지 검출함으로써, 저장 유닛(1124)으로의 모든 액세스를 거부하는 것과 같이 여러 가지 방지책을 취할 수 있다.
관리 제어기(1122)가 디스켓 드라이브 부트 시도를 검출하는 경우, 컴퓨터 시스템(1102)의 멀티-미디어 설비 또는 외부 경고 장치 등을 사용하여 모든 동작을 중단시키거나 경고를 제공하도록 동작될 수 있다.
또한, 관리 제어기(1122)는 컴퓨터 시스템(1102)에 그 내부의 동작을 완전히 또는 부분적으로 디스에이블시키는 커맨드를 제공할 수 있다. 예를 들면, 관리 제어기(1122)는 컴퓨터 시스템(1102)에 일정한 부트 커맨드를 제공할 수 있다.
디스플레이(1144)는 장치의 현재 모드를 표시한다. 디스플레이(1144)는 사용자에 의해 보여지기 위해 컴퓨터 시스템(1102)에 부착되도록 적용된다. 본 발명의 한 특징에 따르면, 디스플레이(1144)는 여러 가지 모드에서 상이하게 깜박이거나 색을 변경시키는 광 발산 다이오드(LED) 또는 LED 어레이(LED array)이다. 본 발명에 따르면, 디스플레이(1144)는 또한 알파-영숫자 메시지 등을 디스플레이하는 액정(LCD)일 수 있다.
본 발명의 다른 특징에 따르면, 관리 제어기(1122)는 디스켓 드라이브(1135)로부터 수신되는 모든 데이터를 검출하고, 이에 의해 유지보수와 같은 기설정된 경우에 관리 제어기(1122)로 운영체제 로딩 액세스를 인에이블시키는 점에 유의하여야 한다. 디스켓 드라이브(1135)로의 운영체제 로딩 액세스는 기설정된 패스워드가 메뉴 절차가 실행되는 중에 컴퓨터 시스템(1102)에 제공되는 경우에만 컴퓨터 시스템(1102)에 제공될 수 있다.
이하 참조되는 도 15는 본 발명의 다른 실시예에 따라 동작되는, 컴퓨터 시스템에 제한된 데이터와 통신 액세스를 제공하도록 장치(1100)를 동작시키는 방법을 개략적으로 예시하는 도면이다.
단계 1150에서, 관리 제어기(1122)는 컴퓨터 시스템(1102)에 의해 제공되는 부트 신호를 검출한다. 상기 신호는 사용자가 컴퓨터를 수동으로 부트-업 시키는 경우 또는 컴퓨터 시스템이 턴온되는 경우에 제공된다. 본 예에 따르면, 관리 제어기(1122)는 부트 신호로서 디스크 드라이브 입출력 인터페이스(1118)를 통하여 어드레스 0,0,1에 액세스하는 첫번째 시도로 간주한다.
단계 1152에서, 관리 제어기(1122)는 컴퓨터 시스템(1102)에 메뉴 영역(1126)으로의 액세스를 제공한다. 컴퓨터 시스템(1102)은 메뉴 영역(1126)으로부터 메뉴 소프트웨어를 검색하고 이를 실행하며 단계 1154로 진행한다.
단계 1154에서, 관리 제어기(1122)는 컴퓨터 시스템(1102)을 통하여 여러 가지 선택 모드(즉, 공용, 보안 등)를 선택하는 사용자로부터 인스트럭션을 수신하도록 대기한다. 동시에, 관리 제어기(1122)는 시간 카운터 t를 리셋시킨다. 사용자는 기설정된 시간 간격 T 내에서 선택할 필요가 있다. t〉T(즉, 사용자가 기설정된 시간 간격 T 내에 선택하지 않음) 또는 사용자가 보안 모드를 선택한 경우, 이후 관리 제어기(1122)는 단계 1162로 진행한다. 그렇지 않으면, 관리 제어기(1122)는 단계 1156으로 진행한다.
단계 1156에서, 관리 제어기(1122)는 공용 장치로의 액세스 인에이블 및 보안 장치와 같은 비공용 장치로의 액세스의 거부와 같은 공용 모드를 판정하는 일련의 동작을 실행한다. 따라서, 관리 제어기(1122)는 공용 영역(1128)과 컴퓨터 시스템(1102) 사이를 연결함으로써, 공용 영역(1128)으로부터 운영체제를 로드하도록 컴퓨터 시스템(1102)을 인에이블시킨다. 관리 제어기는 또한 통신 스위치(1142)에 통신 인터페이스 1110과 1112를 연결하는 커맨드를 제공함으로써, 공용 네트워크(1136) 및 컴퓨터 시스템(1102) 사이를 연결한다.
단계 1158에서, 관리 제어기(1122)는 공용 데이터 플래그를 턴온시키고 보안 데이터 플래그를 턴오프시킨다. 본 예에서, 두 플래그는 관리 제어기(1122) 내의 메모리 요소들이다. 공용 데이터 플래그는 현재 모드가 공용 모드인 것을 나타낸다. 보안 데이터 플래그는 현재 모드가 보안 모드인 것을 나타낸다.
단계 1160에서, 관리 제어기(1122)는 사용자가 컴퓨터 시스템(1102)에 다른 모드로 변경하는 커맨드를 제공하였는지 검출한다. 다른 모드로 변경하는 커맨드를 제공하였다면, 관리 제어기(1122)는 단계 1168로 진행한다.
단계 1162에서, 관리 제어기(1122)는 보안 장치로의 액세스 인에이블 및 공용 장치와 같은 비보안 장치로의 액세스의 거부와 같은 공용 모드를 판정하는 일련의 동작을 실행한다. 따라서, 관리 제어기(1122)는 보안 영역(1130)과 컴퓨터 시스템(1102) 사이를 연결함으로써, 보안 영역(1130)으로부터 운영체제를 로드하도록 컴퓨터 시스템(1102)을 인에이블시킨다. 관리 제어기는 또한 통신 스위치(1140)에 통신 인터페이스 1114와 1116을 연결하는 커맨드를 제공함으로써, 보안 네트워크(1134) 및 컴퓨터 시스템(1102) 사이를 연결한다.
단계 1164에서, 관리 제어기(1122)는 내부의 보안 데이터 플래그를 턴온시키고 공용 데이터 플래그를 턴오프시킨다.
단계 1166에서, 관리 제어기(1122)는 사용자가 컴퓨터 시스템(1102)에 다른 모드로 변경하는 커맨드를 제공하였는지 검출한다. 다른 모드로 변경하는 커맨드를 제공하였다면, 관리 제어기(1122)는 단계 1168로 진행한다.
단계 1168에서, 관리 제어기(1122)는 운영체제의 종료-재시동(shut-down-restart) 커맨드를 컴퓨터 시스템(1102)에 제공한다. 따라서, 컴퓨터 시스템은 운영체제뿐만 아니라 모든 애플리케이션을 종료하고 이후에 재시동시킨다. 이후, 관리 제어기(1122)는 단계 1170으로 진행한다.
단계 1170에서, 관리 제어기(1122)는 컴퓨터 시스템(1102)을 리셋시킨다. 본 발명의 한 특징에 따르면, 상기 리셋은 컴퓨터 시스템(1102)에 다른 소프트웨어 부트 커맨드를 제공함으로써 수행될 수 있다. 본 발명의 다른 특징에 따르면, 리셋은 컴퓨터 시스템(1102)에 하드웨어 부트 커맨드를 제공함으로써 수행될 수 있다. 리셋시킨 경우, X86 기반 PC 컴퓨터 시스템들은 원하지 않는 소프트웨어를 포함할 수 있는 메모리의 제1 Mbyte 이외의 대부분의 RAM을 리셋시키는 점에 유의하여야 한다. 본 발명의 다른 특징에 따르면, 관리 제어기(1122)는 컴퓨터 시스템(1102)에 reset-all-RAM 커맨드를 제공한다. 단계 1170을 실행한 후, 관리 제어기(1122)는 단계 1172로 진행한다.
단계 1172에서, 관리 제어기(1122)는 보안 플래그 및 공용 플래그의 현재 설정을 검색한다. 보안 플래그가 턴온되고 공용 플래그가 턴오프된 경우, 이후 관리 제어기는 단계 1156으로 진행하여, 보안 모드로부터 공용 모드로 절환시킨다. 이와는 달리, 보안 플래그가 턴오프되고 공용 플래그가 턴온된 경우, 이후 관리 제어기(1122)는 단계 1162로 진행하여, 공용 모드로부터 보안 모드로 절환시킨다. 시스템이 다중-레벨, 다중-사용자, 다중-클라이언트 상황으로 정해지는 복수의 모드와 같이 두 모드 이상을 판정하는 경우, 사용자는 모드 선택을 제공할 필요가 있다는 것에 유의하여야 한다.
따라서, 보안 장치(1100)는 복수의 다중레벨 보안 모드, 그들 사이의 절환 및 여러 장치, 링크 및 데이터 위치로의 각각의 액세스 인에이블 또는 디스에이블을 지원하는데 적용될 수 있다.
단계 1156과 1162에서, 컴퓨터 시스템(1102)이 선택된 영역으로부터 운영체제의 로딩을 개시한 후, 관리 제어기(1122)는 입출력 스위칭 유닛(1139)에 디스켓 드라이브 입출력 인터페이스 1137과 1138 사이를 연결하는 커맨드를 제공함으로써, 디스켓 드라이브(1135)로의 액세스를 위해 컴퓨터 시스템(1102)을 인에이블시킨다.
본 발명의 다른 특징에 따르면, 보안 저장 영역은 마스터 부트 레코드(MBR)를 포함하며 필요할 때 이용가능하지 않은 이동가능한 복구 디스켓 대신에 통상적으로 클린 매체로 수행한다.
이하 참조되는 도 16은 본 발명의 또 다른 바람직한 실시예에 따라 구성되고 동작되는, 각각 MBR을 포함하는 보안 저장 영역 및 공용 저장 영역을 제어하기 위한 본 발명의 장치를 동작시키는 방법을 개략적으로 예시하는 도면이다. 본 예에 따르면, 상기 방법은 도 14의 장치(1100)를 동작시키도록 구현된다.
본 예에서, 공용 영역(1128) 및 보안 영역(1130) 모두 운영체제 부트 파일을 포함한다.
단계 1200에서, 상기 장치는 저장 영역의 제1 부분을 주 저장 유닛으로 설정하고 저장 영역의 제2 부분을 액세스할 수 없는 저장 유닛으로 설정한다. 본 예에서, 관리 제어기(1122)는 공용 저장 영역(1128)을 주 저장 유닛으로 설정하고 보안 저장 영역(1130)으로의 어떠한 액세스도 거부한다. 종래의 PC 시스템에서, 공용 영역(1128)은 드라이브 c:로 나타날 수 있다.
종래의 PC 시스템은 흔히 드라이브 c:가 시스템을 부트-업(즉, 운영체제의 로드)시키는 드라이브가 되도록 정해지는 점에 유의하여야 한다. 또한 액세스할 수 없는 저장 유닛을 설정하는 것은 임의의 데이터 변경이 해당 저장 유닛에 대해 거부되는 한, 저장 유닛으로의 모든 액세스 거부, 저장 장치를 판독 전용 등으로 제작함으로써 수행될 수 있다.
단계 1202에서, 상기 장치(1100)는 주 저장 유닛으로부터 부트된다. 본 예에 따르면, 관리 제어기(1122)는 드라이브 c:로서 입출력 인터페이스 1118과 1120을 통하여 컴퓨터 시스템(1102)에 공용 저장 영역(1128)을 도출하고 컴퓨터 시스템(1102)은 공용 저장 영역(1128)으로부터 운영체제를 로드한다.
단계 1204에서, 컴퓨터 시스템(1102)은 미인증 코드의 존재를 검출한다. 미인증 코드는 액세스 시도 검출, 데이터 마스크 비교 등과 같은 여러 방식으로 검출될 수 있다. 상기한 미인증 코드의 검출은 앤티-바이러스 소프트웨어 등을 사용하여 수행될 수 있는 점에 유의하여야 한다. 본 예에서, 컴퓨터 시스템은 상기 미인증 코드를 검출하도록 동작되는 경우 상기 정보가 사용자 또는 장치 자체에 의해 제공될 수 있지만, 상기 장치(1100)에 이러한 정보를 제공한다.
단계 1206에서, 컴퓨터 시스템은 리셋된다. 상기한 리셋 커맨드가 컴퓨터 시스템(1102)을 동작시키는 사용자로부터 뿐만 아니라 미인증 코드 검출 소프트웨어에 의해서도 제공될 수 있다는 점에 유의하여야 한다.
단계 1210에서, 저장 장치의 제2 부분은 주 저장 유닛으로 설정되고 저장 장치의 제1 부분은 부 저장 유닛으로 설정된다. 본 예에서 관리 제어기(1122)는 보안 저장 영역(1130)을 주 저장 유닛으로 설정하고 부 저장 유닛으로서 공용 저장 영역(1128)을 결정한다. 따라서, 상기 장치(1100)는 컴퓨터 시스템(1102)에 보안 저장 영역(1130)을 드라이브 c:로 제공한다.
상기 장치(1100)는 또한 컴퓨터 시스템(1102)에 공용 저장 영역(1128)을 드라이브 d:로 제공한다.
단계 1212에서, 컴퓨터 시스템(1102)은 이제 보안 저장 유닛인 주 저장 유닛으로부터 부트된다. 본 예에서, 컴퓨터 시스템(1102)은 보안 저장 영역(1130)을 드라이브 c:로 간주하고 그로부터 부트된다.
단계 1214에서는, 단계 1204에서 검출된 미인증 코드가 디스에이블된다. 본 예에서 컴퓨터 시스템(1102)은 원래 보안 저장 영역(1130)에 저장되어 있는 바이러스 제거 소프트웨어를 실행하여, 공용 저장 영역(1128)으로부터 미인증 코드 요소(즉, 바이러스 소프트웨어)를 제거한다.
단계 1216에서, 컴퓨터 시스템(1102)은 다시 리셋되어 원래의 설정대로 되돌아가고, 여기서 공용 저장 영역(1128)이 주 저장 유닛으로 설정되고 보안 저장 영역이 액세스할 수 없는 저장 유닛으로 기설정된다.
본 발명의 다른 특징에 따르면, 보안 모드의 MBR은 관리 제어기(1122) 내에 포함된다. 관리 제어기(1122)는 내부 저장 영역 또는 EEPROM 등과 같은 외부 저장 영역을 포함할 수 있다.
본 발명의 또 다른 특징에 따르면, 도 16에 도시된 바와 같이, 제거 부트 모드의 활성화는 기설정된 간격에서 시간 기반으로 수행될 수 있다.
본 발명은 컴퓨터 시스템으로의 액세스 및 컴퓨터 시스템으로부터의 액세스를 보안하는 신규한 장치를 제공할 수 있다.
본 발명은 컴퓨터화된 저장 유닛 내에 포함된 정보를 보안하는 신규한 방법을 제공할 수 있다.
본 발명이 지금까지 도시되고 설명된 특정 실시예에 국한되지 않는 것은 당업자에 의해 명백히 이해될 수 있다. 오히려 본 발명의 범위는 다음의 청구범위에 의해서만 정해진다.

Claims (34)

  1. 컴퓨터 시스템에서 보안 영역을 보호하는 장치에 있어서,
    네트워크와 연결되는 통신 인터페이스;
    보안 영역에 연결되는 보안 장치 인터페이스; 및
    상기 통신 인터페이스 및 상기 보안 장치 인터페이스와 컴퓨터 시스템 사이에 연결되는 관리 제어기―여기서 관리 제어기가 상기 컴퓨터 시스템과 네트워크 사이에서 통신이 진행 중인 경우를 검출하고, 상기 통신이 진행 중이 아닌 경우 상기 보안 장치 인터페이스에 상기 컴퓨터 시스템을 연결하며, 상기 통신이 진행 중인 경우 상기 보안 장치 인터페이스로부터 상기 컴퓨터 시스템을 연결 해제함―
    를 포함하는
    보안 영역 보호 장치.
  2. 제1항에 있어서,
    상기 보안 장치 인터페이스가 통신 인터페이스, 입출력 데이터 인터페이스, 인간 인터페이스, 및 전자기계적(electromechanical) 장치 인터페이스를 포함하는 그룹으로부터 선택되는 보안 영역 보호 장치.
  3. 제1항에 있어서,
    상기 보안 장치 인터페이스가 모뎀을 포함하는 보안 영역 보호 장치.
  4. 제1항에 있어서,
    상기 보안 장치 인터페이스가 입출력 데이터 인터페이스
    를 포함하며,
    상기 보안 영역 보호 장치가 상기 입출력 데이터 인터페이스에 연결되는 저장 유닛―여기서 저장 유닛이 보안 정보를 저장함―
    을 추가로 포함하는
    보안 영역 보호 장치.
  5. 제4항에 있어서,
    상기 저장 유닛이 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), 하드 디스크 드라이브, 이피롬(EPROM), 이이피롬(EEPROM), 플래시 메모리 유닛, 광학 저장 유닛, 및 전기-광 저장 유닛을 포함하는 그룹으로부터 선택되는 보안 영역 보호 장치.
  6. 제1항에 있어서,
    상기 관리 제어기에 연결되는 제1 무선 트랜시버(wireless transceiver); 및
    원격제어 유닛(remote unit)
    을 추가로 포함하며,
    상기 원격제어 유닛이 제2 트랜시버 및 제2 트랜시버에 연결되어 제2 트랜시버를 제어하는 프로세서를 포함하며,
    상기 제1 트랜시버가 기설정된 전송을 검출할 경우 상기 관리 제어기가 상기 보안 장치 인터페이스에 상기 컴퓨터 시스템을 연결하도록 하며,
    상기 원격제어 유닛이 상기 제2 트랜시버를 통해 상기 기설정된 신호를 전송하는
    보안 영역 보호 장치.
  7. 네트워크에 연결되는 컴퓨터 시스템에서 보안 영역을 포함하는 컴퓨터 시스템의 보안 영역을 보호하는 방법에 있어서,
    A) 상기 컴퓨터 시스템과 네트워크 사이의 통신 상태를 검출하고, 상기 통신 상태가 온-라인이면 단계 B)로 진행하며, 그렇지 않으면 상기 보안 영역으로의 액세스를 인에이블시키는 단계;
    B) 모든 입력 데이터의 액세스 요구를 감시하고, 상기 보안 영역으로의 액세스가 요구되는지 검출하며, 상기 보안 영역으로의 액세스가 요구되면 단계 C)로 진행하고, 그렇지 않으면 단계 D)로 진행하는 단계;
    C) 경고 절차를 실행하는 단계;
    D) 상기 컴퓨터 시스템 및 네트워크 사이의 통신 상태를 검출하고, 통신 상태가 온-라인이면 단계 B)로 되돌아가며, 그렇지 않으면 단계 E)로 진행하는 단계; 및
    E) 상기 단계 A)로 되돌아가는 단계
    를 포함하는
    보안 영역 보호 방법.
  8. 제7항에 있어서,
    상기 경고 절차가 상기 보안 영역으로의 액세스 거부, 상기 컴퓨터 시스템을 운영하는 사용자에게 경고 신호 제공, 및 대체 영역으로의 액세스 제공을 포함하는 그룹으로부터 선택되는 보안 영역 보호 방법.
  9. 네트워크에 연결되는 컴퓨터 시스템에서 보안 저장 영역 및 공용 저장 영역을 포함하는 컴퓨터 시스템의 보안 영역을 보호하는 방법에 있어서,
    A) 상기 컴퓨터 시스템과 네트워크 사이의 통신 상태를 검출하여, 상기 통신 상태가 온-라인이면 단계 B)로 진행하고, 그렇지 않으면 상기 보안 영역으로의 액세스를 인에이블시키는 단계;
    B) 모든 입력 데이터의 액세스 요구를 감시하고, 상기 보안 영역으로의 액세스가 요구되는지 검출하여, 상기 보안 영역으로의 액세스가 요구되면 단계 C)로 진행하고, 그렇지 않으면 단계 D)로 진행하는 단계;
    C) 경고 절차를 실행하는 단계;
    D) 상기 컴퓨터 시스템 및 네트워크 사이의 통신 상태를 검출하고, 통신 상태가 온-라인이면 단계 B)로 되돌아가고, 그렇지 않으면 단계 E)로 진행하는 단계:
    E) 상기 저장 영역에 보유된 데이터를 분석하여 그 내부의 손상을 주는 소프트웨어를 검출하며, 손상을 주는 소프트웨어가 검출되면 단계 F)로 진행하고, 그렇지 않으면 상기 보안 영역으로의 액세스를 인에이블시키는 단계 A)로 진행하는 단계; 및
    F) 경고 소프트웨어를 실행하는 단계
    를 포함하는
    보안 영역 보호 방법.
  10. 제9항에 있어서,
    상기 단계 B)가
    단계 D)로 진행하기 전에 상기 액세스 요구를 표시하는 적어도 하나의 로그 엔트리(log entry)를 발생하는 단계
    를 추가로 포함하며,
    여기서 단계 E)의 상기 분석이 적어도 하나의 로그 엔트리에 따라 수행되는
    보안 영역 보호 방법.
  11. 제9항에 있어서,
    상기 경고 절차가 상기 컴퓨터 시스템의 선택 활동의 중단, 상기 보안 영역으로의 액세스 거부, 상기 컴퓨터 시스템을 운영하는 사용자에게 경고 신호 제공, 및 대체 영역으로의 액세스 제공을 포함하는 그룹으로부터 선택되는 보안 영역 보호 방법.
  12. 적어도 하나의 공용 네트워크, 적어도 하나의 보안 네트워크 및 저장 유닛―여기서 저장 유닛이 공용 저장 영역과 보안 저장 영역을 구비함―에 연결되는 서버를 제어하는 방법에 있어서,
    A) 전송을 수신하는 단계;
    B) 상기 전송―여기서 전송이 기록 액세스 요구를 포함하면 단계 C)로 진행하고 상기 전송이 판독 액세스 요구이면 이후 단계 H)로 진행함―에 포함된 요구 형식을 결정하는 단계;
    C) 적어도 상기 전송의 일부가 보안 네트워크를 통해 수신되는지 판단하여, 그렇다면 단계 D)로 진행하고 그렇지 않으면 단계 E)로 진행하는 단계;
    D) 상기 전송을 저장하는 저장 모드를 결정하는 단계;
    E) 상기 전송의 요구 목적지가 보안 영역인지 결정하고, 요구 목적지가 보안영역이면 단계 G)로 진행하고, 그렇지 않으면 단계 F)로 진행하는 단계;
    F) 공용 저장 영역에 상기 전송을 저장하는 단계;
    G) 경고 절차를 실행하는 단계;
    H) 적어도 상기 전송의 일부가 보안 네트워크를 통해 수신되는지 판단하고, 보안 네트워크를 통해 수신되면 단계 I)로 진행하고 그렇지 않으면 단계 J)로 진행하는 단계;
    I) 상기 액세스 요구에 따른 데이터를 검색하는 단계;
    J) 상기 전송의 요구 목적지가 보안 영역인지 결정하고, 요구 목적지가 보안 영역이면 단계 E)로 진행하고, 그렇지 않으면 단계 K)로 진행하는 단계; 및
    K) 상기 액세스 요구에 따른 데이터를 공용 저장 영역으로부터 검색하는 단계
    를 포함하는
    서버 제어 방법.
  13. 제12항에 있어서,
    상기 저장 모드가
    상기 전송을 적어도 2개의 세그먼트로 분할하고 상기 저장 영역에 상기 세그먼트를 저장하여, 이에 의해 적어도 상기 세그먼트의 하나가 상기 보안 저장 영역에 저장되고 적어도 상기 세그먼트의 나머지가 상기 공용 저장 영역에 저장되는 모드, 상기 전송이 상기 보안 저장 영역에 단독 파일로 저장되는 모드, 및 상기 전송을 적어도 2개의 세그먼트로 분할하고 상기 보안 저장 영역 내의 여러 위치에 상기 세그먼트를 저장하는 모드
    를 포함하는 그룹으로부터 선택되는
    서버 제어 방법.
  14. 제12항에 있어서,
    상기 경고 절차가 상기 컴퓨터 시스템의 선택 활동의 중단, 상기 보안 영역으로의 액세스 거부, 상기 컴퓨터 시스템을 운영하는 사용자에게 경고 신호 제공, 및 대체 영역으로의 액세스 제공을 포함하는 그룹으로부터 선택되는 서버 제어 방법.
  15. 로그 파일을 관리하는 방법에 있어서,
    A) 커맨드를 수신하는 단계;
    B) 상기 커맨드가 기록-커맨드면, 단계 C)로 진행하고, 그렇지 않으면 상기 커맨드가 판독-커맨드면 상기 커맨드에 따른 로그 엔트리를 검색하고 단계 A)로 진행하는 단계;
    C) 상기 커맨드로부터 로그 정보를 검색하고 단계 D)로 진행하는 단계;
    D) 상기 로그 정보에 로그 주소를 제공하여, 시쿼스에서 상기 로그 주소 이전에 기록된 로그 주소로 되고, 단계 E)로 진행하는 단계; 및
    E) 상기 로그 주소에 로그 정보를 기록하고 단계 A)로 진행하는 단게
    를 포함하는
    로그 파일 관리 방법.
  16. 적어도 하나의 공용 네트워크 및 적어도 하나의 보안 네트워크를 포함하는 통신 네트워크 시스템용 서버에 있어서,
    보안 저장 영역을 구비하는 적어도 하나의 저장 유닛;
    상기 네트워크와 연결되는 적어도 하나의 통신 인터페이스;
    상기 적어도 하나의 저장 유닛에 연결되는 적어도 하나의 입출력 인터페이스;
    중앙처리 장치(CPU); 및
    적어도 액세스 요구의 일부가 상기 적어도 하나의 보안 네트워크로부터 수신되는 경우 상기 보안 저장 영역으로의 액세스를 제공하도록, 적어도 하나의 입출력 인터페이스를 통하여 상기 적어도 하나의 저장 유닛에 연결되고, 상기 적어도 하나의 통신 인터페이스를 통하여 상기 네트워크에 연결되며, 상기 중앙처리 장치에 연결되는 통신 제어기
    를 포함하는
    통신 네트워크 시스템용 서버.
  17. 공용 네트워크;
    보안 네트워크;
    상기 공용 네트워크에 연결되는 복수의 공용 노드; 및
    상기 보안 네트워크 및 공용 네트워크에 연결되는 복수의 보안 노드
    를 포함하며,
    상기 노드들이 상기 네트워크들을 따라 그 사이에 통신 수단을 포함하며,
    각각의 상기 보안 노드가 비밀 메시지를 적어도 2개의 세그먼트로 분할하고, 상기 네트워크들을 통하여 상기 세그먼트를 전송―여기서 적어도 상기 세그먼트의 선택된 일부가 적어도 상기 보안 네트워크의 하나를 통하여 전송됨―하는 수단
    을 포함하는
    통신 장치.
  18. 제1 저장 영역과 제2 저장 영역을 구비하는 저장 유닛을 포함하는 컴퓨터 시스템에서 보안 영역을 보호하는 장치에 있어서,
    제1 네트워크에 연결되는 제1 통신 인터페이스;
    상기 컴퓨터 시스템에 연결되는 제2 통신 인터페이스;
    상기 저장 유닛에 연결되는 제1 입출력 인터페이스;
    상기 컴퓨터 시스템에 연결되는 제2 입출력 인터페이스; 및
    상기 제1 및 제2 통신 인터페이스를 통하여 상기 제1 네트워크와 상기 컴퓨터 시스템 사이에 연결되며, 또한 상기 제1 및 제2 입출력 인터페이스를 통하여 상기 저장 유닛과 상기 컴퓨터 시스템 사이에 연결되는 관리 제어기
    를 포함하며,
    상기 관리 제어기는 상기 컴퓨터 시스템에 적어도 2개의 선택 모드를 제공하며,
    제1 드에서, 상기 관리 제어기는 상기 컴퓨터 시스템을 상기 제1 저장 영역과 상기 제1 네트워크에 연결하고, 제2 모드에서, 상기 관리 제어기는 상기 컴퓨터 시스템을 상기 제2 저장 영역에 연결하며,
    상기 관리 제어기는 선택된 모드에 따라 동작시키는 커맨드 다음에 뒤따르는 임의의 리셋 신호를 검출하는
    보안 영역 보호 장치.
  19. 제18항에 있어서,
    상기 제2 네트워크에 연결되는 제3 통신 인터페이스; 및
    상기 컴퓨터 시스템에 연결되는 제4 통신 인터페이스
    를 추가로 포함하며,
    상기 보안 영역 보호 장치가 상기 제3 및 제4 통신 인터페이스를 통하여 상기 제2 네트워크와 컴퓨터 시스템 사이에 연결되고,
    상기 제2 모드에 따라 상기 관리 제어기가 컴퓨터 시스템을 상기 제2 네트워크에 추가로 연결하는
    보안 영역 보호 장치.
  20. 제18항에 있어서,
    상기 관리 제어기에 연결되어 현재 모드에서 시각 표시를 제공하는 디스플레이 장치를 추가로 포함하는 보안 영역 보호 장치.
  21. 제18항에 있어서,
    상기 관리 제어기에 연결되어, 운영체제 소스 유닛에 연결하는 제1 리셋 입출력 인터페이스; 및
    상기 관리 제어기에 연결되어, 상기 컴퓨터 시스템에 연결하는 제2 리셋 입출력 인터페이스를 추가로 포함하며,
    상기 관리 제어기가 상기 운영체제 소스 유닛으로의 상기 컴퓨터 시스템의 액세스를 제어하는
    보안 영역 보호 장치.
  22. 제21항에 있어서,
    상기 운영체제 소스 유닛이 자기 매체 드라이브(magnetic media drive), 광(optical) 매체 드라이브, 전기-광(elctro-optical) 매체 드라이브, 통신 링크, 및 비휘발성 메모리(non-volatile memory)를 포함하는 그룹으로부터 선택되는
    보안 영역 보호 장치.
  23. 제18항에 있어서,
    선택 모드에 따라 동작시키는 상기 커맨드가 사용자로부터 상기 컴퓨터 시스템에 제공되는 보안 영역 보호 장치.
  24. 제18항에 있어서,
    선택 모드에 따라 동작시키는 상기 커맨드가 소프트웨어 애플리케이션으로부터 상기 컴퓨터 시스템에 제공되는 보안 영역 보호 장치.
  25. 적어도 하나의 저장 유닛, 적어도 하나의 주변 장치 및 컴퓨터 시스템 사이에 연결되는 통신 제어 장치―여기서 상기 통신 제어 장치가 제1 기설정 동작 모드 및 적어도 하나의 추가되는 상이한 동작 모드를 제공하도록 동작시킬 수 있음―를 동작시키는 방법에 있어서,
    상기 컴퓨터 시스템으로부터 수신되는 부트 신호를 검출하는 단계;
    메뉴 절차를 실행하는 단계;
    선택된 동작 모드에 따라 동작시키기 위해 사용자로부터 인스트럭션을 수신하는 단계;
    상기 선택된 동작 모드에 따라 상기 적어도 하나의 저장 유닛의 선택된 영역에 상기 컴퓨터 시스템의 액세스를 인에이블시키는 단계;
    상기 선택된 동작 모드에 따라 상기 적어도 하나의 저장 유닛의 비선택된 영역에 상기 컴퓨터 시스템의 액세스를 디스에이블시키는 단계;
    상기 선택된 동작 모드에 따라 상기 적어도 하나의 주변 장치의 선택된 영역에 상기 컴퓨터 시스템의 액세스를 인에이블시키는 단계; 및
    상기 선택된 동작 모드에 따라 상기 적어도 하나의 주변 장치의 비선택된 영역에 상기 컴퓨터 시스템의 액세스를 디스에이블시키는 단계
    를 포함하는
    통신 제어 장치를 동작시키는 방법.
  26. 제25항에 있어서,
    선택된 다른 동작 모드에 따라 동작시키기 위해 사용자로부터 인스트럭션을 수신하는 단계;
    상기 컴퓨터 시스템에 재시동 커맨드를 제공하는 단계;
    상기 컴퓨터 시스템으로부터 수신되는 부트 신호를 검출하는 단계;
    상기 선택된 다른 동작 모드에 따라 상기 적어도 하나의 저장 유닛의 선택된 영역에 상기 컴퓨터 시스템의 액세스를 인에이블시키는 단계;
    상기 선택된 다른 동작 모드에 따라 상기 적어도 하나의 저장 유닛의 비선택된 영역에 상기 컴퓨터 시스템의 액세스를 디스에이블시키는 단계;
    상기 선택된 다른 동작 모드에 따라 상기 적어도 하나의 주변 장치의 선택된 영역에 상기 컴퓨터 시스템의 액세스를 인에이블시키는 단계; 및
    상기 선택된 다른 동작 모드에 따라 상기 적어도 하나의 주변 장치의 비선택된 영역으로 상기 컴퓨터 시스템의 액세스를 디스에이블시키는 단계
    를 추가로 포함하는
    통신 제어 장치를 동작시키는 방법.
  27. 제25항에 있어서,
    선택된 다른 동작 모드에 따라 동작시키기 위해 사용자로부터 인스트럭션을 수신하는 단계;
    상기 컴퓨터 시스템으로부터 수신되는 부트 신호를 검출하는 단계;
    상기 컴퓨터 시스템에 부트 커맨드를 제공하는 단계;
    상기 선택된 다른 동작 모드에 따라 상기 적어도 하나의 저장 유닛의 선택된 영역에 상기 컴퓨터 시스템의 액세스를 인에이블시키는 단계;
    상기 선택된 다른 동작 모드에 따라 상기 적어도 하나의 저장 유닛의 비선택된 영역에 상기 컴퓨터 시스템의 액세스를 디스에이블시키는 단계;
    상기 선택된 다른 동작 모드에 따라 상기 적어도 하나의 주변 장치의 선택된 영역에 상기 컴퓨터 시스템의 액세스를 인에이블시키는 단계; 및
    상기 선택된 다른 동작 모드에 따라 상기 적어도 하나의 주변 장치의 비선택된 영역에 상기 컴퓨터 시스템의 액세스를 디스에이블시키는 단계
    를 추가로 포함하는
    통신 제어 장치를 동작시키는 방법.
  28. 제27항에 있어서,
    상기 부트 커맨드가 하드웨어 또는 소프트웨어 부트 커맨드인 통신 제어 장치를 동작시키는 방법.
  29. 제27항에 있어서,
    상기 부트 커맨드가 상기 컴퓨터 시스템의 메모리를 리셋시킨 후에 수행되는 통신 제어 장치를 동작시키는 방법.
  30. 제1 저장 영역과 제2 저장 영역을 구비하는 저장 유닛을 포함하는 컴퓨터 시스템에서, 상기 제1 및 제2 저장 영역이 각각 마스터 부트 레코드(MBR)를 포함하고, 상기 저장 유닛에 연결되는 제1 입출력 인터페이스, 상기 컴퓨터 시스템에 연결되는 제2 입출력 인터페이스, 상기 제1 및 제2 입출력 인터페이스를 통하여 상기 저장 유닛과 상기 컴퓨터 시스템 사이에 연결되는 관리 제어기를 포함하는 장치―여기서 상기 장치는 또한 주 저장 유닛으로서 제1 저장 영역을 상기 컴퓨터 시스템에 연결하며 제2 저장 영역으로의 액세스를 거부함―에서 보안 영역을 보호하는 방법에 있어서,
    상기 컴퓨터 시스템을 디스에이블시키는 단계;
    상기 주 저장 유닛으로서 상기 제2 저장 영역을 상기 컴퓨터에 연결하고 부 저장 유닛으로서 상기 제1 저장 영역을 상기 컴퓨터에 연결하는 단계; 및
    상기 컴퓨터 시스템을 상기 주 저장 유닛으로부터 시동시키는 단계
    를 포함하는 보안 영역 보호 방법.
  31. 제30항에 있어서,
    상기 디스에이블 단계 전에 미인증 코드의 존재를 검출하는 단계를 추가로 포함하며,
    상기 디스에이블 단계가 상기 검출 단계의 결과로서 수행되는
    보안 영역 보호 방법.
  32. 제31항에 있어서,
    상기 미인증 코드와 연관된 기설정된 소프트웨어를 실행하는 단계를 추가로 포함하는 보안 영역 보호 방법.
  33. 제31항에 있어서,
    상기 미인증 코드의 존재를 검출하는 단계가 미인증 데이터 액세스를 검출하는 단계를 포함하는 보안 영역 보호 방법.
  34. 제30항에 있어서,
    상기 컴퓨터 시스템을 상기 주 저장 유닛으로부터 시동시키도록 설정하는 단계를 추가로 포함하는 보안 영역 보호 방법.
KR1019997004567A 1996-11-22 1997-11-20 정보 보안 방법 및 장치 KR20000069102A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US8/754,871 1996-11-22
US08/754,871 US5969632A (en) 1996-11-22 1996-11-22 Information security method and apparatus

Publications (1)

Publication Number Publication Date
KR20000069102A true KR20000069102A (ko) 2000-11-25

Family

ID=25036737

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019997004567A KR20000069102A (ko) 1996-11-22 1997-11-20 정보 보안 방법 및 장치

Country Status (8)

Country Link
US (2) US5969632A (ko)
EP (1) EP0948771A2 (ko)
JP (1) JP2001506783A (ko)
KR (1) KR20000069102A (ko)
AU (1) AU5065998A (ko)
CA (1) CA2272894A1 (ko)
IL (1) IL130047A0 (ko)
WO (1) WO1998025372A2 (ko)

Families Citing this family (189)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0825506B1 (en) 1996-08-20 2013-03-06 Invensys Systems, Inc. Methods and apparatus for remote process control
US6108695A (en) * 1997-06-24 2000-08-22 Sun Microsystems, Inc. Method and apparatus for providing analog output and managing channels on a multiple channel digital media server
US5941972A (en) 1997-12-31 1999-08-24 Crossroads Systems, Inc. Storage router and method for providing virtual local storage
USRE42761E1 (en) 1997-12-31 2011-09-27 Crossroads Systems, Inc. Storage router and method for providing virtual local storage
DE19820765C1 (de) * 1998-05-08 1999-10-28 Weis Gmbh Dr Verfahren und Vorrichtung zum Erhöhen der Datensicherheit in Datennetzen und Computern
US6286030B1 (en) 1998-07-10 2001-09-04 Sap Aktiengesellschaft Systems and methods for recording and visually recreating sessions in a client-server environment
US6286098B1 (en) * 1998-08-28 2001-09-04 Sap Aktiengesellschaft System and method for encrypting audit information in network applications
US6377690B1 (en) * 1998-09-14 2002-04-23 Lucent Technologies Inc. Safe transmission of broadband data messages
US6378074B1 (en) * 1998-10-05 2002-04-23 Sentry Technologies Pte Ltd Method for security partitioning of a computer system
US6263050B1 (en) * 1998-12-18 2001-07-17 Lucent Technologies Inc. Method and system for responding to security system breaches via a wireless network
EP1161715B1 (en) * 1999-02-15 2010-08-18 Hewlett-Packard Company (a Delaware Corporation) Communications between modules of a computing apparatus
JP4812168B2 (ja) 1999-02-15 2011-11-09 ヒューレット・パッカード・カンパニー 信用コンピューティング・プラットフォーム
WO2000048061A1 (en) 1999-02-15 2000-08-17 Hewlett-Packard Company Protection of the configuration of modules in computing apparatus
EP1076280A1 (en) * 1999-08-13 2001-02-14 Hewlett-Packard Company Communications between modules of a computing apparatus
US6356941B1 (en) * 1999-02-22 2002-03-12 Cyber-Ark Software Ltd. Network vaults
WO2000070531A2 (en) 1999-05-17 2000-11-23 The Foxboro Company Methods and apparatus for control configuration
US7089530B1 (en) 1999-05-17 2006-08-08 Invensys Systems, Inc. Process control configuration system with connection validation and configuration
US7272815B1 (en) * 1999-05-17 2007-09-18 Invensys Systems, Inc. Methods and apparatus for control configuration with versioning, security, composite blocks, edit selection, object swapping, formulaic values and other aspects
US6788980B1 (en) 1999-06-11 2004-09-07 Invensys Systems, Inc. Methods and apparatus for control using control devices that provide a virtual machine environment and that communicate via an IP network
US6938022B1 (en) * 1999-06-12 2005-08-30 Tara C. Singhal Method and apparatus for facilitating an anonymous information system and anonymous service transactions
WO2001002936A1 (en) * 1999-07-06 2001-01-11 Compugard Inc. Computer security system with dedicated hard drives
US7216235B1 (en) * 1999-10-19 2007-05-08 Tivo Inc. Drive/host locking system
JP4434465B2 (ja) * 1999-11-16 2010-03-17 キヤノン株式会社 通信装置及び方法並びに記憶媒体
WO2001048664A1 (en) * 1999-12-27 2001-07-05 Pitchware, Inc. Method and apparatus for a cryptographically assisted commercial network system designed to facilitate purchase and licensing
US20060004663A1 (en) * 2000-05-12 2006-01-05 Singhal Tara C Method and apparatus for a private information system and service transactions that minimize theft of identity data
US20060277433A1 (en) * 2000-05-19 2006-12-07 Self Repairing Computers, Inc. Computer having special purpose subsystems and cyber-terror and virus immunity and protection features
US7111201B2 (en) * 2000-05-19 2006-09-19 Self Repairing Computers, Inc. Self repairing computer detecting need for repair and having switched protected storage
US7096381B2 (en) * 2001-05-21 2006-08-22 Self Repairing Computer, Inc. On-the-fly repair of a computer
US6831568B1 (en) 2000-06-30 2004-12-14 Palmone, Inc. Method and apparatus for visual silent alarm indicator
EP1193586A2 (en) 2000-09-27 2002-04-03 John H. Reed, Jr. Security system for data processing applications
US8160864B1 (en) 2000-10-26 2012-04-17 Cypress Semiconductor Corporation In-circuit emulator and pod synchronized boot
US7765095B1 (en) 2000-10-26 2010-07-27 Cypress Semiconductor Corporation Conditional branching in an in-circuit emulation system
US6724220B1 (en) 2000-10-26 2004-04-20 Cyress Semiconductor Corporation Programmable microcontroller architecture (mixed analog/digital)
US7185162B1 (en) * 2000-10-26 2007-02-27 Cypress Semiconductor Corporation Method and apparatus for programming a flash memory
US8103496B1 (en) 2000-10-26 2012-01-24 Cypress Semicondutor Corporation Breakpoint control in an in-circuit emulation system
US8176296B2 (en) 2000-10-26 2012-05-08 Cypress Semiconductor Corporation Programmable microcontroller architecture
US8149048B1 (en) 2000-10-26 2012-04-03 Cypress Semiconductor Corporation Apparatus and method for programmable power management in a programmable analog circuit block
US7213265B2 (en) * 2000-11-15 2007-05-01 Lockheed Martin Corporation Real time active network compartmentalization
US7225467B2 (en) * 2000-11-15 2007-05-29 Lockheed Martin Corporation Active intrusion resistant environment of layered object and compartment keys (airelock)
CA2326036A1 (en) * 2000-11-16 2002-05-16 Gemplus S.A. Method for securing electronic device data processing
AU2002220540A1 (en) * 2000-12-11 2002-06-24 Apomon Aps Changing of operating modes in a computer
US7095741B1 (en) * 2000-12-20 2006-08-22 Cisco Technology, Inc. Port isolation for restricting traffic flow on layer 2 switches
US20020095607A1 (en) * 2001-01-18 2002-07-18 Catherine Lin-Hendel Security protection for computers and computer-networks
US20020099944A1 (en) * 2001-01-19 2002-07-25 Bowlin Bradley Allen Method and apparatus which enable a computer user to prevent unauthorized access to files stored on a computer
US7392541B2 (en) * 2001-05-17 2008-06-24 Vir2Us, Inc. Computer system architecture and method providing operating-system independent virus-, hacker-, and cyber-terror-immune processing environments
FR2824927A1 (fr) * 2001-05-18 2002-11-22 Scaling Software Systeme de chargement inalterable
US7849360B2 (en) * 2001-05-21 2010-12-07 Vir2Us, Inc. Computer system and method of controlling communication port to prevent computer contamination by virus or malicious code
US7200755B2 (en) * 2001-05-24 2007-04-03 Larry Hamid Method and system for providing gated access for a third party to a secure entity or service
US6621697B2 (en) 2001-05-24 2003-09-16 Palm, Inc. Stylus visual indicator system
US20060174352A1 (en) * 2001-07-25 2006-08-03 Seagate Technology Llc Method and apparatus for providing versatile services on storage devices
US7036020B2 (en) * 2001-07-25 2006-04-25 Antique Books, Inc Methods and systems for promoting security in a computer system employing attached storage devices
US7925894B2 (en) * 2001-07-25 2011-04-12 Seagate Technology Llc System and method for delivering versatile security, digital rights management, and privacy services
US7406674B1 (en) 2001-10-24 2008-07-29 Cypress Semiconductor Corporation Method and apparatus for generating microcontroller configuration information
US8078970B1 (en) 2001-11-09 2011-12-13 Cypress Semiconductor Corporation Graphical user interface with user-selectable list-box
US8042093B1 (en) 2001-11-15 2011-10-18 Cypress Semiconductor Corporation System providing automatic source code generation for personalization and parameterization of user modules
US8069405B1 (en) 2001-11-19 2011-11-29 Cypress Semiconductor Corporation User interface for efficiently browsing an electronic document using data-driven tabs
US7774190B1 (en) 2001-11-19 2010-08-10 Cypress Semiconductor Corporation Sleep and stall in an in-circuit emulation system
US7770113B1 (en) 2001-11-19 2010-08-03 Cypress Semiconductor Corporation System and method for dynamically generating a configuration datasheet
US7844437B1 (en) 2001-11-19 2010-11-30 Cypress Semiconductor Corporation System and method for performing next placements and pruning of disallowed placements for programming an integrated circuit
US6971004B1 (en) 2001-11-19 2005-11-29 Cypress Semiconductor Corp. System and method of dynamically reconfiguring a programmable integrated circuit
US7536598B2 (en) * 2001-11-19 2009-05-19 Vir2Us, Inc. Computer system capable of supporting a plurality of independent computing environments
US7444506B1 (en) 2001-12-28 2008-10-28 Ragula Systems Selective encryption with parallel networks
US7788699B2 (en) * 2002-03-06 2010-08-31 Vir2Us, Inc. Computer and method for safe usage of documents, email attachments and other content that may contain virus, spy-ware, or malicious code
JP2003281071A (ja) * 2002-03-20 2003-10-03 Seiko Epson Corp データ転送制御装置、電子機器及びデータ転送制御方法
US8103497B1 (en) 2002-03-28 2012-01-24 Cypress Semiconductor Corporation External interface for event architecture
US20030217053A1 (en) 2002-04-15 2003-11-20 Bachman George E. Context control mechanism for data executed in workflows of process, factory-floor, environmental, computer aided manufacturing-based or other control system
US20030204754A1 (en) * 2002-04-26 2003-10-30 International Business Machines Corporation Controlling access to data stored on a storage device of a computer system
US7308608B1 (en) 2002-05-01 2007-12-11 Cypress Semiconductor Corporation Reconfigurable testing system and method
US7536548B1 (en) * 2002-06-04 2009-05-19 Rockwell Automation Technologies, Inc. System and methodology providing multi-tier-security for network data exchange with industrial control components
US20030226024A1 (en) * 2002-06-04 2003-12-04 Qwest Communications International Inc. Secure internet documents
US7509683B2 (en) * 2002-08-26 2009-03-24 Hewlett-Packard Development Company, L.P. System and method for authenticating digital content
US7761845B1 (en) 2002-09-09 2010-07-20 Cypress Semiconductor Corporation Method for parameterizing a user module
US7146499B2 (en) * 2002-09-30 2006-12-05 International Business Machines Corporation Security system for replicated storage devices on computer networks
US7080094B2 (en) * 2002-10-29 2006-07-18 Lockheed Martin Corporation Hardware accelerated validating parser
US7146643B2 (en) * 2002-10-29 2006-12-05 Lockheed Martin Corporation Intrusion detection accelerator
US20040093514A1 (en) * 2002-11-08 2004-05-13 International Business Machines Corporation Method for automatically isolating worm and hacker attacks within a local area network
US8745409B2 (en) * 2002-12-18 2014-06-03 Sandisk Il Ltd. System and method for securing portable data
US7305564B2 (en) * 2002-12-19 2007-12-04 International Business Machines Corporation System and method to proactively detect software tampering
US7019658B1 (en) * 2003-03-04 2006-03-28 Mobi Technologies, Inc. Cable traffic indicator
TW586723U (en) * 2003-04-08 2004-05-01 Channel Inc W Data encryption and security device isolated in physical manner
US7822962B2 (en) * 2003-05-05 2010-10-26 Peter Ar-Fu Lam Application software configured to work with two operating systems
US7386887B2 (en) * 2003-07-01 2008-06-10 International Business Machines Corporation System and method for denying unauthorized access to a private data processing network
EP3798874A1 (en) * 2003-08-26 2021-03-31 Panasonic Intellectual Property Corporation of America Program execution device
US7496958B2 (en) * 2003-10-29 2009-02-24 Qualcomm Incorporated System for selectively enabling operating modes of a device
US20100005531A1 (en) * 2004-12-23 2010-01-07 Kenneth Largman Isolated multiplexed multi-dimensional processing in a virtual processing space having virus, spyware, and hacker protection features
WO2005074512A2 (en) * 2004-02-03 2005-08-18 Tanner Richard Carl Jr Intelligent media storage system
US7761923B2 (en) 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
US10127802B2 (en) 2010-09-28 2018-11-13 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
WO2005091218A2 (en) 2004-03-16 2005-09-29 Icontrol Networks, Inc Premises management system
US11916870B2 (en) 2004-03-16 2024-02-27 Icontrol Networks, Inc. Gateway registry methods and systems
US11244545B2 (en) 2004-03-16 2022-02-08 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US10721087B2 (en) 2005-03-16 2020-07-21 Icontrol Networks, Inc. Method for networked touchscreen with integrated interfaces
US11368429B2 (en) 2004-03-16 2022-06-21 Icontrol Networks, Inc. Premises management configuration and control
US11811845B2 (en) 2004-03-16 2023-11-07 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US11343380B2 (en) 2004-03-16 2022-05-24 Icontrol Networks, Inc. Premises system automation
US10237237B2 (en) 2007-06-12 2019-03-19 Icontrol Networks, Inc. Communication protocols in integrated systems
US20170118037A1 (en) 2008-08-11 2017-04-27 Icontrol Networks, Inc. Integrated cloud system for premises automation
US7295049B1 (en) 2004-03-25 2007-11-13 Cypress Semiconductor Corporation Method and circuit for rapid alignment of signals
US7581252B2 (en) * 2004-07-20 2009-08-25 Lenovo (Singapore) Pte. Ltd. Storage conversion for anti-virus speed-up
US7581253B2 (en) * 2004-07-20 2009-08-25 Lenovo (Singapore) Pte. Ltd. Secure storage tracking for anti-virus speed-up
US8069436B2 (en) 2004-08-13 2011-11-29 Cypress Semiconductor Corporation Providing hardware independence to automate code generation of processing device firmware
US8286125B2 (en) 2004-08-13 2012-10-09 Cypress Semiconductor Corporation Model for a hardware device-independent method of defining embedded firmware for programmable systems
US7332976B1 (en) 2005-02-04 2008-02-19 Cypress Semiconductor Corporation Poly-phase frequency synthesis oscillator
US7581250B2 (en) * 2005-02-17 2009-08-25 Lenovo (Singapore) Pte Ltd System, computer program product and method of selecting sectors of a hard disk on which to perform a virus scan
JP2006251989A (ja) * 2005-03-09 2006-09-21 Kwok-Yan Leung オペレーションシステムでネットワークに対応するデータ保護装置
US11615697B2 (en) 2005-03-16 2023-03-28 Icontrol Networks, Inc. Premise management systems and methods
US20110128378A1 (en) * 2005-03-16 2011-06-02 Reza Raji Modular Electronic Display Platform
US11496568B2 (en) 2005-03-16 2022-11-08 Icontrol Networks, Inc. Security system with networked touchscreen
US10999254B2 (en) 2005-03-16 2021-05-04 Icontrol Networks, Inc. System for data routing in networks
US11700142B2 (en) 2005-03-16 2023-07-11 Icontrol Networks, Inc. Security network integrating security system and network devices
US20120324566A1 (en) 2005-03-16 2012-12-20 Marc Baum Takeover Processes In Security Network Integrated With Premise Security System
EP1866825A1 (en) 2005-03-22 2007-12-19 Hewlett-Packard Development Company, L.P. Methods, devices and data structures for trusted data
US7400183B1 (en) 2005-05-05 2008-07-15 Cypress Semiconductor Corporation Voltage controlled oscillator delay cell and method
US8089461B2 (en) 2005-06-23 2012-01-03 Cypress Semiconductor Corporation Touch wake for electronic devices
US7363564B2 (en) * 2005-07-15 2008-04-22 Seagate Technology Llc Method and apparatus for securing communications ports in an electronic device
EP1748359A1 (de) * 2005-07-28 2007-01-31 ads-tec AUTOMATION DATEN- UND SYSTEMTECHNIK GmbH Datenverarbeitungsanlage
US20070106993A1 (en) * 2005-10-21 2007-05-10 Kenneth Largman Computer security method having operating system virtualization allowing multiple operating system instances to securely share single machine resources
KR100785769B1 (ko) * 2005-12-08 2007-12-18 한국전자통신연구원 보안 여부나 전송 거리에 따른 주파수를 사용하는 통신 장치
US8085067B1 (en) 2005-12-21 2011-12-27 Cypress Semiconductor Corporation Differential-to-single ended signal converter circuit and method
US20070180210A1 (en) * 2006-01-31 2007-08-02 Seagate Technology Llc Storage device for providing flexible protected access for security applications
US8067948B2 (en) 2006-03-27 2011-11-29 Cypress Semiconductor Corporation Input/output multiplexer bus
WO2007123753A2 (en) 2006-03-30 2007-11-01 Invensys Systems, Inc. Digital data processing apparatus and methods for improving plant performance
US7539890B2 (en) * 2006-04-25 2009-05-26 Seagate Technology Llc Hybrid computer security clock
US8429724B2 (en) 2006-04-25 2013-04-23 Seagate Technology Llc Versatile access control system
US8028166B2 (en) * 2006-04-25 2011-09-27 Seagate Technology Llc Versatile secure and non-secure messaging
US8949406B2 (en) 2008-08-14 2015-02-03 International Business Machines Corporation Method and system for communication between a client system and a server system
US8127000B2 (en) 2006-06-30 2012-02-28 Tealeaf Technology, Inc. Method and apparatus for monitoring and synchronizing user interface events with network data
US8868533B2 (en) 2006-06-30 2014-10-21 International Business Machines Corporation Method and apparatus for intelligent capture of document object model events
US8583772B2 (en) 2008-08-14 2013-11-12 International Business Machines Corporation Dynamically configurable session agent
US7971241B2 (en) * 2006-12-22 2011-06-28 Hitachi Global Storage Technologies Netherlands, B.V. Techniques for providing verifiable security in storage devices
US11706279B2 (en) 2007-01-24 2023-07-18 Icontrol Networks, Inc. Methods and systems for data communication
US20080195750A1 (en) * 2007-02-09 2008-08-14 Microsoft Corporation Secure cross platform auditing
US7633385B2 (en) 2007-02-28 2009-12-15 Ucontrol, Inc. Method and system for communicating with and controlling an alarm system from a remote server
US8040266B2 (en) 2007-04-17 2011-10-18 Cypress Semiconductor Corporation Programmable sigma-delta analog-to-digital converter
US8026739B2 (en) 2007-04-17 2011-09-27 Cypress Semiconductor Corporation System level interconnect with programmable switching
US7737724B2 (en) 2007-04-17 2010-06-15 Cypress Semiconductor Corporation Universal digital block interconnection and channel routing
US8130025B2 (en) 2007-04-17 2012-03-06 Cypress Semiconductor Corporation Numerical band gap
US8092083B2 (en) 2007-04-17 2012-01-10 Cypress Semiconductor Corporation Temperature sensor with digital bandgap
US8516025B2 (en) 2007-04-17 2013-08-20 Cypress Semiconductor Corporation Clock driven dynamic datapath chaining
US9564902B2 (en) 2007-04-17 2017-02-07 Cypress Semiconductor Corporation Dynamically configurable and re-configurable data path
US8451986B2 (en) 2007-04-23 2013-05-28 Icontrol Networks, Inc. Method and system for automatically providing alternate network access for telecommunications
US8266575B1 (en) 2007-04-25 2012-09-11 Cypress Semiconductor Corporation Systems and methods for dynamically reconfiguring a programmable system on a chip
US9720805B1 (en) 2007-04-25 2017-08-01 Cypress Semiconductor Corporation System and method for controlling a target device
US8065653B1 (en) 2007-04-25 2011-11-22 Cypress Semiconductor Corporation Configuration of programmable IC design elements
US11646907B2 (en) 2007-06-12 2023-05-09 Icontrol Networks, Inc. Communication protocols in integrated systems
US10523689B2 (en) 2007-06-12 2019-12-31 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US11218878B2 (en) 2007-06-12 2022-01-04 Icontrol Networks, Inc. Communication protocols in integrated systems
US12003387B2 (en) 2012-06-27 2024-06-04 Comcast Cable Communications, Llc Control system user interface
US11316753B2 (en) 2007-06-12 2022-04-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US11212192B2 (en) 2007-06-12 2021-12-28 Icontrol Networks, Inc. Communication protocols in integrated systems
US11237714B2 (en) 2007-06-12 2022-02-01 Control Networks, Inc. Control system user interface
US11831462B2 (en) 2007-08-24 2023-11-28 Icontrol Networks, Inc. Controlling data routing in premises management systems
US8042055B2 (en) 2007-08-31 2011-10-18 Tealeaf Technology, Inc. Replaying captured network interactions
US8049569B1 (en) 2007-09-05 2011-11-01 Cypress Semiconductor Corporation Circuit and method for improving the accuracy of a crystal-less oscillator having dual-frequency modes
US8612886B2 (en) * 2007-09-28 2013-12-17 Rockwell Automation Technologies, Inc. Sequential function chart (SFC) online editing without reset
US11916928B2 (en) 2008-01-24 2024-02-27 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
RU2495476C2 (ru) 2008-06-20 2013-10-10 Инвенсис Системз, Инк. Системы и способы для иммерсивного взаимодействия с действительными и/или имитируемыми техническими средствами для управления технологическим процессом, контроля состояния окружающей среды и производственного контроля
US20170185278A1 (en) 2008-08-11 2017-06-29 Icontrol Networks, Inc. Automation system user interface
US8732455B2 (en) 2008-07-25 2014-05-20 Infotect Security Pte Ltd Method and system for securing against leakage of source code
US10530839B2 (en) 2008-08-11 2020-01-07 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US11758026B2 (en) 2008-08-11 2023-09-12 Icontrol Networks, Inc. Virtual device systems and methods
US11792036B2 (en) 2008-08-11 2023-10-17 Icontrol Networks, Inc. Mobile premises automation platform
US11729255B2 (en) 2008-08-11 2023-08-15 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
WO2010037409A1 (en) * 2008-10-02 2010-04-08 Nec Europe Ltd. Storage system and method for securely accessing data
US9934320B2 (en) 2009-03-31 2018-04-03 International Business Machines Corporation Method and apparatus for using proxy objects on webpage overlays to provide alternative webpage actions
US8930818B2 (en) 2009-03-31 2015-01-06 International Business Machines Corporation Visualization of website analytics
US8638211B2 (en) 2009-04-30 2014-01-28 Icontrol Networks, Inc. Configurable controller and interface for home SMA, phone and multimedia
US9448964B2 (en) 2009-05-04 2016-09-20 Cypress Semiconductor Corporation Autonomous control in a programmable system
DE102009019981A1 (de) * 2009-05-05 2010-11-11 Giesecke & Devrient Gmbh Verfahren zum Schutz von auf einem tragbaren Datenträger gespeicherter Software und tragbarer Datenträger
US8463964B2 (en) 2009-05-29 2013-06-11 Invensys Systems, Inc. Methods and apparatus for control configuration with enhanced change-tracking
US8127060B2 (en) 2009-05-29 2012-02-28 Invensys Systems, Inc Methods and apparatus for control configuration with control objects that are fieldbus protocol-aware
US8429735B2 (en) * 2010-01-26 2013-04-23 Frampton E. Ellis Method of using one or more secure private networks to actively configure the hardware of a computer or microchip
NL2004219C2 (en) * 2010-02-10 2011-08-11 C B E Daal Holding B V Device for reproducing audiovisual data and circuit therefor.
US8836467B1 (en) 2010-09-28 2014-09-16 Icontrol Networks, Inc. Method, system and apparatus for automated reporting of account and sensor zone information to a central station
JP6066096B2 (ja) 2011-02-22 2017-01-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation コンテンツのオンページ操作およびリアルタイム置換のための方法、システム、およびコンピュータ・プログラム
US8886958B2 (en) * 2011-12-09 2014-11-11 Wave Systems Corporation Systems and methods for digital evidence preservation, privacy, and recovery
WO2013120069A1 (en) * 2012-02-09 2013-08-15 Connectify Secure remote computer network
US10148732B2 (en) 2012-02-09 2018-12-04 Connectify, Inc. Secure remote computer network
US9635094B2 (en) 2012-10-15 2017-04-25 International Business Machines Corporation Capturing and replaying application sessions using resource files
US9536108B2 (en) 2012-10-23 2017-01-03 International Business Machines Corporation Method and apparatus for generating privacy profiles
JP2014089644A (ja) * 2012-10-31 2014-05-15 Toshiba Corp プロセッサ、プロセッサ制御方法及び情報処理装置
US9535720B2 (en) 2012-11-13 2017-01-03 International Business Machines Corporation System for capturing and replaying screen gestures
US10474735B2 (en) 2012-11-19 2019-11-12 Acoustic, L.P. Dynamic zooming of content with overlays
US8725645B1 (en) * 2013-01-04 2014-05-13 Cetrus LLC Non-invasive metering system for software licenses
US9560012B1 (en) * 2013-06-27 2017-01-31 The Boeing Company Cross domain gateway having temporal separation
US11405463B2 (en) 2014-03-03 2022-08-02 Icontrol Networks, Inc. Media content management
US10571982B2 (en) 2017-11-21 2020-02-25 International Business Machines Corporation Resettable write once read many memory
JP7121810B2 (ja) * 2018-05-15 2022-08-18 ケルビン ゼロ インコーポレーテッド 安全なブロックチェーントランザクションおよびサブネットワークのためのシステム、方法、デバイス及び端末
US11212084B2 (en) * 2018-07-21 2021-12-28 Fundacja “Blockchain Development Foundation” System and a method for signing transactions using air-gapped private keys

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4498716A (en) 1982-04-01 1985-02-12 Ward Marvin W Data monitoring connector for testing transmission links
US4799153A (en) 1984-12-14 1989-01-17 Telenet Communications Corporation Method and apparatus for enhancing security of communications in a packet-switched data communications system
GB8524455D0 (en) * 1985-10-03 1985-11-06 Isolation Systems Ltd Monitoring activity of peripheral devices
US4769833A (en) 1986-03-31 1988-09-06 American Telephone And Telegraph Company Wideband switching system
US4962449A (en) 1988-04-11 1990-10-09 Artie Schlesinger Computer security system having remote location recognition and remote location lock-out
GB2222899B (en) * 1988-08-31 1993-04-14 Anthony Morris Rose Securing a computer against undesired write operations or from a mass storage device
US4975950A (en) * 1988-11-03 1990-12-04 Lentz Stephen A System and method of protecting integrity of computer data and software
US5144659A (en) * 1989-04-19 1992-09-01 Richard P. Jones Computer file protection system
US5355489A (en) 1989-08-25 1994-10-11 International Business Machines Corp. Bios load for a personal computer system having a removable processor card
US5191583A (en) 1989-11-03 1993-03-02 Microcom Systems, Inc. Method and apparatus for effecting efficient transmission of data
EP0449242A3 (en) * 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
US5414844A (en) * 1990-05-24 1995-05-09 International Business Machines Corporation Method and system for controlling public access to a plurality of data objects within a data processing system
US5128995A (en) 1990-07-23 1992-07-07 International Business Machines Corp. Apparatus and method for loading a system reference diskette image from a system partition in a personal computer system
JP2741969B2 (ja) * 1991-06-12 1998-04-22 富士通株式会社 メッセージベースのデータ処理装置
US5434562A (en) * 1991-09-06 1995-07-18 Reardon; David C. Method for limiting computer access to peripheral devices
EP0704127B1 (fr) 1991-12-13 1997-03-05 Hydro-Quebec Appareil et methode de verification par lesquels des liens de communication peuvent etre choisis et verifies
US5384854A (en) 1992-02-14 1995-01-24 Ericsson Ge Mobile Communications Inc. Co-processor controlled switching apparatus and method for dispatching console
US5268960A (en) * 1992-07-22 1993-12-07 Value Technology, Inc. Write protection device for computer hard disk
US5343525A (en) * 1992-08-05 1994-08-30 Value Technology Inc. Hard disk data security device
US5361359A (en) * 1992-08-31 1994-11-01 Trusted Information Systems, Inc. System and method for controlling the use of a computer
US5499334A (en) * 1993-03-01 1996-03-12 Microsoft Corporation Method and system for displaying window configuration of inactive programs
US5559883A (en) * 1993-08-19 1996-09-24 Chipcom Corporation Method and apparatus for secure data packet bus communication
US5509120A (en) * 1993-11-30 1996-04-16 International Business Machines Corporation Method and system for detecting computer viruses during power on self test
US5570367A (en) 1994-07-29 1996-10-29 Lucent Technologies Inc. Asymmetric protocol for wireless communications
US5564002A (en) * 1994-08-01 1996-10-08 International Business Machines Corporation Method and apparatus for implementing a virtual desktop through window positioning
US5530455A (en) * 1994-08-10 1996-06-25 Mouse Systems Corporation Roller mouse for implementing scrolling in windows applications
US6137476A (en) 1994-08-25 2000-10-24 International Business Machines Corp. Data mouse
US5537540A (en) 1994-09-30 1996-07-16 Compaq Computer Corporation Transparent, secure computer virus detection method and apparatus
US5542044A (en) 1994-12-12 1996-07-30 Pope; Shawn P. Security device for a computer, and methods of constructing and utilizing same
US5778443A (en) 1994-12-14 1998-07-07 International Business Machines Corp. Method and apparatus for conserving power and system resources in a computer system employing a virtual memory
US5694472A (en) 1995-02-13 1997-12-02 Eta Technologies Corporation Personal access management system
US5913037A (en) 1996-07-03 1999-06-15 Compaq Computer Corporation Dynamic management information base manager
US5815571A (en) 1996-10-28 1998-09-29 Finley; Phillip Scott Computer system with secured data paths and method of protection
US5909586A (en) 1996-11-06 1999-06-01 The Foxboro Company Methods and systems for interfacing with an interface powered I/O device
US5896499A (en) 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
US6108785A (en) 1997-03-31 2000-08-22 Intel Corporation Method and apparatus for preventing unauthorized usage of a computer system

Also Published As

Publication number Publication date
US6268789B1 (en) 2001-07-31
IL130047A0 (en) 2000-02-29
CA2272894A1 (en) 1998-06-11
WO1998025372A2 (en) 1998-06-11
WO1998025372A3 (en) 1998-10-01
JP2001506783A (ja) 2001-05-22
EP0948771A2 (en) 1999-10-13
AU5065998A (en) 1998-06-29
US5969632A (en) 1999-10-19

Similar Documents

Publication Publication Date Title
KR20000069102A (ko) 정보 보안 방법 및 장치
US6202153B1 (en) Security switching device
US6272533B1 (en) Secure computer system and method of providing secure access to a computer system including a stand alone switch operable to inhibit data corruption on a storage device
KR101522445B1 (ko) 기밀 파일을 보호하기 위한 클라이언트 컴퓨터, 및 그 서버 컴퓨터, 및 그 방법 및 컴퓨터 프로그램
US9348984B2 (en) Method and system for protecting confidential information
US9135465B2 (en) System and method to provide server control for access to mobile client data
CN100587677C (zh) 数据处理设备和数据处理方法
EP3525127B1 (en) System for blocking phishing or ransomware attack
US9734094B2 (en) Computer security system and method
JP3453842B2 (ja) セキュアシステム
CN108595982B (zh) 一种基于多容器分离处理的安全计算架构方法及装置
US9378339B2 (en) System, method, and device for delivering communications and storing and delivering data
CA2892064C (en) Method and apparatus for protecting computer files from cpu resident malware
JP2006155554A (ja) データベース暗号化及びアクセス制御方法、セキュリティ管理装置
JP4599882B2 (ja) 不正閲覧監視システム
CA2320715A1 (en) Information security method and apparatus
KR102542213B1 (ko) 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법
KR20200013013A (ko) 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템
US20080104232A1 (en) System And Method For Preventing Unauthorized Bridging To A Computer Network
JP4801777B2 (ja) 認証処理システム、及び認証処理方法、並びにプログラム
KR101654249B1 (ko) 컴퓨터의 통신 인터페이스 보안 시스템
WO2023140826A1 (ru) Устройство и способы защиты компьютерных систем от несанкционированного доступа
CN117313134A (zh) 文件加密方法、装置、电子设备及存储介质
JP2002259221A (ja) 自動情報消去装置
KR20040031525A (ko) 비밀값 관리 시스템 및 방법

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid