KR20070015671A - 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비장치를 통제하는 방법 - Google Patents

유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비장치를 통제하는 방법 Download PDF

Info

Publication number
KR20070015671A
KR20070015671A KR1020050070159A KR20050070159A KR20070015671A KR 20070015671 A KR20070015671 A KR 20070015671A KR 1020050070159 A KR1020050070159 A KR 1020050070159A KR 20050070159 A KR20050070159 A KR 20050070159A KR 20070015671 A KR20070015671 A KR 20070015671A
Authority
KR
South Korea
Prior art keywords
usb
security
descriptor
host
controller
Prior art date
Application number
KR1020050070159A
Other languages
English (en)
Other versions
KR100705381B1 (ko
Inventor
황건순
묵현상
김종모
Original Assignee
(주)이월리서치
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이월리서치 filed Critical (주)이월리서치
Priority to KR1020050070159A priority Critical patent/KR100705381B1/ko
Publication of KR20070015671A publication Critical patent/KR20070015671A/ko
Application granted granted Critical
Publication of KR100705381B1 publication Critical patent/KR100705381B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/382Information transfer, e.g. on bus using universal interface adapter
    • G06F13/385Information transfer, e.g. on bus using universal interface adapter for adaptation of a particular data processing system to different peripheral devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2139Recurrent verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2147Locking files

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Information Transfer Systems (AREA)

Abstract

본 발명은 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비 장치를 통제하는 방법에 관한 것으로서, 널리 사용되는 USB 포트를 이용하여 불법으로 정보를 절취하는 것을 방지하기 위하여 USB 포트에 보안 콘트롤러를 장착하여 정상적인 USB 장치의 사용에는 불편함이 없으면서도 보안에 위협이 되는 요인들을 제거하여 정보 보안의 문제가 없는 USB를 구현하고, 기업의 경우, 보안 관리자가 회사에 전반적으로 적용할 수 있는 보안통제 정책을 수립하여 상기 내용을 USB 콘트롤러의 내부에 위치한 보안 통제 정책 테이블에 저장함으로써, 일관성 있는 기업의 보안통제 정책이 적용될 수 있도록 하며, 정보 보안의 관점에서 무방비 상태로 있던 USB 포트에 보안통제 정책을 적용할 수 있도록 하여 기업의 경우 실효성 있는 정보 보안을 실현할 수 있으면서도 동시에 정상적인 USB 장치의 사용에 불편함이 없도록 한다.
USB, 디바이스 드라이버, 보안 콘트롤러, USB 시스템 소프트웨어, USB 호스트 콘트롤러, USB 장치 하드웨어, CPU, Flash 메모리, RAM, USB 통제, 보안기능.

Description

유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비 장치를 통제하는 방법 {Method of managing USB devices using Security Controller added into USB host controller}
도 1은 종래의 USB 연결을 위한 블록도.
도 2는 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제시스템에서 보안기능이 추가된 USB 연결을 위한 블록도.
도 3은 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 디바이스 클래스를 설명하기 위해 나타낸 도면.
도 4는 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 디바이스 디스크립터를 설명하기 위해 나타낸 도면.
도 5는 본 발명의 일실시예 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 디바이스 디스크립터를 설명하기 위해 나타낸 도면.
도 6은 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 컨피규레이션 디스크립터와 인터페이스 디스크립터의 관계를 설명하기 위해 나타낸 도면.
도 7은 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 인터페이스 클래스를 설명하기 위해 나타낸 도면.
도 8은 종래의 USB 장치가 커넥터에 연결되어 통신을 개시할 때까지의 과정을 나타낸 흐름도.
도 9는 본 발명의 일실시예에 따른 보안콘트롤러의 구조를 나타낸 블록도.
도 10은 본 발명의 일실시예에 따른 호스트 측에 보안 콘트롤러 기능이 부가된, USB 장치가 커넥터에 연결되어 통신을 개시할 때까지의 과정을 나타낸 흐름도.
도 11은 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 보안통제정책 디스크립터의 구성요소를 설명하기 위해 나타낸 도면.
<도면의 주요 부분에 대한 부호의 설명>
100 : 호스트 200 : 장치
101, 201 : 디바이스 드라이버 102, 203 : USB 시스템 소프트웨어
103, 204 : USB 호스트 콘트롤러 104, 205 : USB 장치 하드웨어
202 : 보안 콘트롤러 202-1 : CPU
202-2 : 플래시 메모리 202-3 : RAM
본 발명은 유에스비 호스트에 보안 콘트롤러가 부가하여 유에스비 장치를 통제하는 방법에 관한 것으로서, 특히 더욱 상세하게는 널리 사용되는 USB 포트를 이용하여 불법으로 정보를 절취하는 것을 방지하기 위하여 USB 호스트 측에 보안 콘트롤러를 장착하여 정상적인 USB 장치의 사용에는 불편함이 없으면서도 보안에 위협이 되는 요인들을 제거하여 정보 보안의 문제가 없는 USB를 구현하고, 기업의 경우, 보안 관리자가 회사에 전반적으로 적용할 수 있는 보안통제 정책을 수립하여 상기 내용을 USB 콘트롤러의 내부에 위치한 보안 통제 정책 테이블에 저장함으로써, 일관성과 유연성이 있는 기업의 보안통제 정책이 적용될 수 있도록 하며, 정보 보안의 관점에서 무방비 상태로 있던 USB 포트에 보안통제 정책을 적용할 수 있도록 하여 기업의 경우 실효성 있는 정보 보안을 실현할 수 있으면서도 동시에 정상적인 USB 장치의 사용에 불편함이 없도록 하는 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비 장치를 통제하는 방법에 관한 것이다.
USB(Universal Serial Bus)는 CTI(computer telephone interface)라고 알려져 있는 컴퓨터와 전화기를 통합하기 위한 간단한 방식을 제공하기 위한 것으로서, 컴팩, DEC, IBM, 인텔, 마이크로소프트,NEC, Nortel의 7개 회사에 의해 개발된 보편적 버스 규격이라고 할 수 있다. 이 규약이 발전하여, PC에서 최대 127개의 주변 장치들을 쉽게 통합시키기 위한 개념으로 확장되어 USB1.0 규격으로 발표된 것이다. 이 규격에서 USB 기술에 대한 다음과 같은 주요한 목표를 갖게 된다.
우선 PC주변장치를 확장하여 사용하기 쉽게 한 것과, 저가격으로 12Mbps의 속도로 전송을 지원할 수 있는 것을 제시하고자 했으며, 음성과 압축된 비디오에 대한 실시간 데이터에 대한 완벽한 지원과, 혼합된 모드의 동기 데이터 전송과 비동기 메시지에 대한 규약상의 유연성 및 유용한 장치기술로의 통합성 그리고 다양한 PC구성과 형태요소의 이해 및 제품으로의 빠른 확산을 가능하게 하는 표준환경을 제공하고 PC성능을 증가시키는 새로운 장치의 개발 등이 그것이었다.
이러한 목표로 인하여 결국 USB는 master/slave 개념과 호스트와 각 주변장치 간의 직접적인 연결이나 허브를 통한 연결 하에서 작용하게 되었으며, 이는 기본적으로 시리얼버스 즉, 직렬버스 형태로 구성된다. 하지만 이는 우리가 PC에서 사용하는 기본적인 RS-232 시리얼 환경과 혼동되는 것이 아니며, PCI 버스를 대체하는 것도 아니라는 점에 유의해야 한다. 첫 목표였던 PC 주변장치로의 확장을 위한 쉬운 사용은 USB의 중요한 특색 중의 하나로 컴퓨터의 케이스를 여는 수고를 덜어주는 진정한 플러그 앤 플레이 개념을 사용하는 호스트 PC에 주변장치를 쉽게 연결하거나 구성할 수 있게 된 것이다.
이로 인하여. 모든 연결되는 주변장치들은 호스트 상의 직접적인 USB포트나 USB허브장치를 통해서 외부적으로 연결될 수 있으며, 이러한 주변장치들을 사용할 수 있도록 12Mbps의 Full speed와 1.5Mbps의 low speed를 가지게 되었다. 이러한 USB 규격과 관련하여, 1994년 7개의 USB Core 회사들이 뭉쳐, 1995년 WinHEC(Windows Hardware Engineering Conference)와 USB-IF(USB implementers Forum)를 결성하였다. 그 첫 성과로 1996년 1월15일 USB 1.0 규약이 발표되었으며, USB 첫 제품들이 컴덱스에 소개되기에 이르렀다. 그러던 것이 1.0 규약의 문제점들 을 해결하고 실제 사용할 수 있는 주변장치들을 위해 1998년 9월 23일 USB 1.1 규약이 다시 발표되었다. 이러한 USB 1.1 규약의 발표로 인하여 비로소 USB포트를 지원하는 칩셋들이 인텔이나 VIA, SiS, ALi 등과 같은 회사에서 출시되었고, 마더보드에 기본적으로 장착되기 시작했다. 하지만, 이러한 하드웨어 상의 진전을 MS사의 윈도우가 지원하지 못하여 여러 가지 문제점을 낳았고, 윈도우 95의 OSR 2.1에서 비로소 제대로 지원이 되기 시작했다. 그러나 좀 더 현실적으로 보면 윈도우 98에서부터 지원되었다고 보아야 하며, 윈도우 98도 SE 버전에서 USB 주변장치들의 드라이버를 포함하는 주요한 버전업이 이루어져서 현재에 이르고 있다.
한편, USB를 지원하는 주변기기는 USB의 장점과 세계적인 표준으로 인하여 최근에는 다양한 종류가 생산되고 있다.
첫째는 USB 방식의 통신장치로서 모뎀이 대표적이다. 본래 모뎀은 ISA, PCI 방식을 사용하는데, 이러한 모뎀은 내장형이며, 외장형 방식의 모뎀으로는 시리얼 방식과 PCMCIA 방식이 있다. 최근에는 여기에 덧붙여 USB 방식이 대두 되었다. USB 모뎀은 휴대가 간편하고 별도의 전원 어댑터가 필요 없다는 장점이 있고, 연결방법도 쉬우며, 그 외의 통신장치로는 USB 허브와 USB 케이블이 있다. 여기서 허브는 USB 포트를 여러 개로 확장시켜 주는 것이며, 케이블은 두 대의 PC를 연결해주는 장치이다. USB 케이블을 이용하면 별도의 랜카드 없이도 두 PC를 서로 연결하여 네트워킹을 할 수 있지만, 최근에는 USB 랜카드도 선을 보이고 있다.
둘째는 USB 입력장치인 키보드, 마우스, 조이스틱 등의 장치는 USB를 사용하는 장치로서 가장 이상적이다. 이들 장치는 별도로 드라이버를 설치하지 않아도 바 로 연결만 하면 사용이 가능하다. 또한 키보드, 마우스의 경우에는 PS/2 포트에 연결된 키보드, 마우스와 함께 사용이 가능하다. 또 조이스틱의 경우에는 여러 개의 조이스틱을 연결해서도 사용할 수 있다. 본래 조이스틱은 사운드 카드에서 제공되는 조이스틱 포트에 연결하며 물론 포트가 한 개 이기 때문에 한 대의 조이스틱만 연결할 수 있다. 그러나 USB 조이스틱을 사용하면 여러 개를 동시에 연결해 사용할 수 있다.
셋째는 USB 저장장치로서, 빠른 USB의 전송 속도로 인하여 USB 방식의 저장장치도 늘어가고 있다. CD-R, 하드디스크, ZIP 드라이브, 슈퍼디스크, 스마트 미디어 등이 USB 방식으로 제공되고 있다. CD-R은 USB의 전송속도 한계로 인하여 4배속이 최대 한계이나, 상당히 안정적으로 평가를 받고 있다. CD-R을 휴대하며 여러 컴퓨터에 장착하면서 사용하는 것이 타당하며, ZIP 등의 저장매체는 USB로서는 훌륭한 선택이지만 가격이 다른 인터페이스에 비해 비싸다는 단점을 가진다.
넷째는 USB를 지원하는 멀티미디어 기기로서 TV 수신장치, 스피커, 동영상 캡쳐 카드 등이 있다. 사운드 카드도 USB 인터페이스로 출시되고 있다. 이러한 장치들의 장점은 음질이나 화질의 손실이 없다는 점이다. PCI 사운드카드의 경우에는 PC 내부의 여러 장치들로 인하여 노이즈가 생겨 음질이 떨어진다. 반면 USB 사운드카드는 외부에서 케이블로 연결되므로 노이즈와 음질 저하가 없으며, USB 방식의 라디오나 TV 수신카드도 역시 화질이나 음질 저하가 없다. 이러한 장치들은 주로 노트북용으로 적합하며 휴대하면서 사용하기에도 적당하다.
다양한 주변기기들과 쉽고 편리하게 통신할 수 있는 USB 규격이 널리 사용됨 에 따라 기업의 입장에서는 정보 보안의 문제가 심각하게 대두되었다. 대용량 플래시 메모리 가격의 급격한 하락으로 인하여 일회용 라이터의 크기이면서도 용량은 수백 메가 바이트에 이르는 외장 USB 드라이브와 USB 포트에 연결될 수 있으면서 플래시 메모리를 내장한 디지털 카메라 및 휴대용 전화기가 널리 보급됨으로 인하여 거의 모든 PC에 장착된 USB 포트를 통한 기업 내부 정보의 불법 절취가 큰 문제로 대두 되고 있는 것이다.
따라서 널리 사용되는 USB 포트를 이용하여 불법으로 정보를 절취하는 것을 방지하기 위하여 USB 포트에 보안 콘트롤러를 장착하여 정상적인 USB 장치의 사용에는 불편함이 없으면서도 보안에 위협이 되는 요인들을 제거하여 정보 보안의 문제가 없는 USB를 구현하고, 기업의 경우, 보안 관리자가 회사에 전반적으로 적용할 수 있는 보안통제 정책을 수립하여 상기 내용을 USB 콘트롤러의 내부에 위치한 보안 통제 정책 테이블에 저장함으로써, 일관성과 유연성이 있는 기업의 보안통제 정책이 적용될 수 있도록 하는 통제방법의 적용이 현재 절실히 요구되고 있는 실정이다.
따라서, 본 발명의 목적은 상기와 같은 문제점을 해결하기 위해 안출 된 것으로서, 널리 사용되는 USB 포트를 이용하여 불법으로 정보를 절취하는 것을 방지하기 위하여 USB 포트에 보안 콘트롤러를 장착하여 정상적인 USB 장치의 사용에는 불편함이 없으면서도 보안에 위협이 되는 요인들을 제거하여 정보 보안의 문제가 없는 USB를 구현할 수 있도록 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스 비 장치를 통제하는 방법을 제공하는데 있다.
다른 본 발명의 목적은 기업의 경우, 보안 관리자가 회사에 전반적으로 적용할 수 있는 보안통제 정책을 수립하여 상기 내용을 USB 콘트롤러의 내부에 위치한 보안 통제 정책 테이블에 저장함으로써, 일관성과 유연성이 있는 기업의 보안통제 정책이 적용될 수 있도록 하는 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비 장치를 통제하는 방법을 제공하는데 있다.
또 다른 본 발명의 목적은 정보 보안의 관점에서 무방비 상태로 있던 USB 포트에 보안통제 정책을 적용할 수 있도록 하여 기업의 경우 실효성 있는 정보 보안을 실현할 수 있으면서도 동시에 정상적인 USB 장치의 사용에 불편함이 없도록 하는 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비 장치를 통제하는 방법을 제공하는데 있다.
상기한 본 발명의 목적을 달성하기 위해서 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비 장치를 통제하는 방법은 호스트인 PC측에서 USB 커넥터에 USB 장치가 접속되는 단계(a)와; 상기 호스트 측이 커넥터에 USB 장치가 접속된 것을 검지하면 RESET 상태를 출력하는 단계(b)와; 상기 RESET을 출력한 뒤, 호스트 측에서 배치를 시작하는 단계(c)와; USB 장치에 Get_Descriptor 명령을 발령하여 장치에 디바이스 디스크립터 정보의 전송을 요구하고, 디바이스 디스크립터 정보를 수신한 호스트에서 Set_Address 명령을 전송하는 단계(d)와; 상기 호스트에서 현재 시점의 가용한 어드레스를 접속된 장치에 할당하는 단계(e)와; 상기 호스트에서 다 시 장치로 Get_Desriptor 명령을 발령하여 디바이스 디스크립터 정보를 요구하고, 장치에서 상기 명령에 따라 디바이스 디스크립터를 호스트로 전송하는 단계(f)와; 상기 호스트에서 배치를 위해 장치에 Get_descriptor 명령을 발령하여 컨피규레이션 디스크립터 전송을 요구하고, 컨피규레이션 디스크립터에 연결되어 장치에서 호스트로 전송하는 단계(g)와; 보안 콘트롤러에 의해 상기 배치단계에서 Get_Descriptor(device)와 Get_Descriptor(configuration) 명령에 의해 장치로부터 전송 받은 디바이스 디스크립터와 컨피규레이션 디스크립터에 포함되어 있는 인터페이스 디스크립터를 통해 인지된 USB 장치의 정보 보안을 실행하는 단계(h)와; 디바이스 드라이버의 구동이 끝나면 호스트에서 Set_configuration 명령을 발령하여 USB 장치와의 셋업을 종료하고 통신을 개시하여 데이터를 송수신하는 단계(i)를 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 (h) 단계에서, 디바이스 디스크립터에서 제조업체ID와 제품ID를 취하고, 인터페이스 디스크립터에서 인터페이스 클래스를 추출하는 단계와; 플래시 메모리에 저장되어 있는 보안통제정책 디스크립터와 비교하여 사용 가능한 장치, 동작의 통제가 필요한 장치, 사용이 금지된 장치 중에서 사용 허가 여부를 결정하는 단계와; 상기 사용 가능한 장치의 경우이면 보안 콘트롤러에서 USB 시스템 소프트웨어로 통제를 넘겨 장치가 컨피규레이션이 되어 정상적인 통신이 가능하게 하고, 상기 동작의 통제가 필요한 장치의 경우이면 동작 제한 여부를 확인한 후 디바이스 드라이버가 OUT 토큰을 발령하면 보안 콘트롤러에서 상기 토큰을 USB 시스템 소프트웨어에 통보하여 정상적인 동작이 가능하게 하며, 상기 사용이 금지된 장치의 경우이면 보안 콘트롤러에서 RESET을 송출한 다음 장치와의 통신을 중지하는 단계를 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 동작의 통제가 필요한 장치에서 동작 제한 여부에 따른 동작은 보안통제정책 디스크립터의 sOpMode 값에 따라 결정되는 단계를 포함함을 특징으로 한다.
상기 본 발명에 있어서, 상기 sOpMode 값은 0x00이면 장치에 대한 모든 작동이 금지되고, 0x01이면 호스트로의 입력은 금지되고 출력은 허용되며, 0x02이면 호스트로의 입력은 허용되고 출력은 금지되며, 0x03이면 입력은 허용되고 출력은 1K 바이트로 제한하며, 0x04이면 입력은 허용하나 2K바이트의 출력만을 허용하고, 0x05이면 입력은 허용하나 3K 바이트의 출력만을 허용하며, 0x06이면 입력은 허용하나 4K 바이트까지의 출력만을 허용하고, 0xFF이면 장치에 대한 모든 작동이 허용되는 것을 특징으로 한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해서 상세하게 설명한다.
도 1은 종래의 USB 연결을 위한 블록도이고, 도 2는 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제시스템에서 보안기능이 추가된 USB 연결을 위한 블록도이며, 도 3은 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 디바이스 클래스를 설명하기 위해 나타낸 도면이고, 도 4는 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이 용되는 디바이스 디스크립터를 설명하기 위해 나타낸 도면이다. 또한 도 5는 본 발명의 일실시예 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 디바이스 디스크립터를 설명하기 위해 나타낸 도면이고, 도 6은 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 컨피규레이션 디스크립터와 인터페이스 디스크립터의 관계를 설명하기 위해 나타낸 도면이며, 도 7은 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 인터페이스 클래스를 설명하기 위해 나타낸 도면이다.
도 1 내지 도 7에 도시한 바와 같이, 도 1에는 전형적인 USB를 통한 호스트와 장치 간의 연결의 예를 도시하였다. 상기 모든 USB 장치는 USB 규약에 정해진 바에 따라 호스트와 일정한 절차를 따라 통신하도록 되어 있다. USB 규약이 다른 장치와 다른 점은 기존의 장치를 구동하는 디바이스 드라이버들은 장치를 직접 통제하지만 USB 규약에 따르는 디바이스 드라이버(101)는 장치를 직접 통제하지 못하고 항상 USB 시스템 소프트웨어(102)와 USB 호스트 콘트롤러(103)를 통해서만 USB장치(104)와 교신하고 원하는 작동을 명령할 수 있다. 그렇기 때문에 본 발명에서는 USB 시스템 소프트웨어의 상위 레이어에 도 2에 도시한 바와 같이, 보안 콘트롤러(202)를 두어 USB 장치의 접속과 작동을 통제할 수 있게 하였다.
도 3에 도시한 바와 같이, USB규약은 유사한 기능을 가지는 여러 종류의 USB장치들을 클래스로 구분하고 있는데, USB 규약을 작성한 USB implementers forum( 이하 USB IF)에서는 여러 종류의 장치들을 7개의 클래스로 나누었으며, 상기 내용을 도 3에 표시하였다. USB 규약에 따르면 사전에 USB IF에 의해 지정된 클래스를 따르지 않는 장치는 호스트 측에서 인식을 할 수 없어서 호환성이 없기 때문에 USB장치를 제조하는 제조업체에서는 필히 USB 규약에 맞는 클래스를 정해서 자사가 제조하는 USB장치 내에 기록해 두었다가 호스트가 USB장치의 디바이스 정보를 요구할 때, 클래스 정보를 제공할 수 있어야만 한다.
또한 USB 장치는 내부 메모리에 디바이스 디스크립터와 컨피규레이션 디스크립터를 가지도록 되어 있으며 이 구조는 도 4과 도 5에 도시하였다. 도 4에 도시한 바와 같이, 디바이스 디스크립터의 4번째 구성요소가 USB 클래스이다. 상기에 USB장치가 속하는 클래스를 기록해놓고 있다. 또한 8번째 구성요소가 제조업자의 고유번호인 벤더ID이고, 9번째 구성요소가 제품의 식별번호인 제품ID이다. 여러 종류의 장치를 도 3에 도시한 바와 같이, 7종류의 클래스로 분류한 것만 가지고는 이 장치가 구체적으로 어떤 기능을 하며, 구조가 어떻게 되어있는지 알 수 없기 때문에 도 5에 도시한 것과 같은, 컨피규레이션 디스크립터 역시 USB장치의 내부 메모리에 수록되도록 USB 규약이 작성되어 있다.
또한 컨피규레이션 디스크립터는 인터페이스 디스크립터와 엔드포인트 디스트립터를 모두 가지며 이들 간의 관계는 도 6에 도시하였다. 인터페이스 디스크립터에는 상기 장치가 어떤 일을 하는 종류인지 인터페이스 클래스에 기록되어 있어서 상기 장치가 어떤 종류인지는 도 7인 인터페이스 클래스 도면을 보면 알 수 있다. 예를 들어 인터페이스 클래스 1은 오디오 장치이고, 7은 프린터 장치임을 알 수 있는 것이다.
본 발명의 한 가지 실시예로서 다음의 사례를 제시하였지만, 이것 만으로 본 발명의 실시예를 국한하는 것은 아니다.
도 8은 종래의 USB 장치가 커넥터에 연결되어 통신을 개시할 때까지의 과정을 나타낸 흐름도이고, 도 9는 본 발명의 일실시예에 따른 보안콘트롤러의 구조를 나타낸 블록도이며, 도 10은 본 발명의 일실시예에 따른 호스트 측에 보안 콘트롤러 기능이 부가된, USB 장치가 커넥터에 연결되어 통신을 개시할 때까지의 과정을 나타낸 흐름도이고, 도 11은 본 발명의 일실시예에 따른 보안 콘트롤러가 부가된 유에스비 통제 시스템에서 유에스비 디바이스를 통제하는데 이용되는 보안통제정책 디스크립터의 구성요소를 설명하기 위해 나타낸 도면이다.
도 8 내지 도11에 도시한 바와 같이, 도8은 USB장치가 커넥터에 연결되어 통신을 개시할 때까지의 과정을 도시한 것으로, 상기 과정은 다음과 같다.
USB커넥터의 접속과정
먼저 호스트인 PC측에서 볼 때, USB 커넥터에 USB장치가 접속되는 것(S1, S11)이 계기가 된다. 장치가 접속되었는지를 알아내는 검출 방법은 데이터 선로 D+와 D- 중에서 어느 한 쪽에 3.3V가 인가되어 있는 가로 판단한다.
(2) RESET 과정
호스트 측이 커넥터에 USB장치가 접속된 것을 검지하면 최소 10msec 이상 지속되는 RESET 상태를 출력한다(S2, S12). 즉 D+, D- 양쪽 모두를 LOW로 한다. 이것으로 device측은 RESET을 인지하고 내부 리셋을 실행한 다음 디폴트 상태로 돌아온 다. 이 디폴트 상태에서는 논리적 데이터 전송 라인인 엔드포인트 0을 사용한 컨트롤 전송이 가능하게 된다.
(3) 배치 (enumeration)
RESET을 출력한 뒤, 호스트 측에서 배치(enumeration)를 시작한다(S3, S13).
<1> 먼저, Get_Descriptor(device) 명령을 발령하여 장치 측에 디바이스 디스크립터 정보의 전송을 요구한다. 디바이스 디스크립터 정보를 수신한 호스트 측은 Set_Address 명령을 전송하여(S4, S14) 호스트 측 입장에서 현재 시점에서 가용한 어드레스를 방금 접속된 장치에 할당한다(S5, S15). 이 장치가 유일한 USB 장치라면 1번 어드레스가 지정될 것이고, 미리 2개의 장치가 접속되어 있었다면 3번 어드레스가 지정될 것이다. 이것으로 USB장치는 특정한 어드레스를 가지게 된 것이다. 이후로는 이 어드레스로 통신을 하게 된다.
<2> 그 다음으로 호스트는 다시 한 번 Get_Desriptor(device)명령을 발령하여 디바이스 디스크립터 정보를 요구하고, 장치는 이 명령에 따라 디바이스 디스크립터를 전송한다(S6, S16). 이때 전송되는 디바이스 디스크립터의 내용은 도4에 도시한 것처럼 장치가 지원하는 USB 스펙 버전 넘버 (예: USB 1.0, 1.1 또는 2.0), 클래스 코드, 최초 정보 전송 파이프에 할당된 패킷의 최대 크기, 제조업체 ID, 제품 ID 등이 포함되어 있다.
<3> 다음 호스트 측은 Get_descriptor(configuration) 명령을 발령하여 컨피규레이션 디스크립터 전송을 요구한다. 컨피규레이션 디스크립터에 연결되어 호스트 측으로 전송되는(S7, S17) 인터페이스 디스크립터 내에는 도 7에 나열된 바와 같은, 인터페이스 클래스가 수록되어 있다. 예를 들어 인터페이스 클래스가 1번이면 오디오 장치이고 2번이면 커뮤니케이션 디바이스라는 뜻이다.
<4> 다음으로 호스트 측은 인터페이스 클래스의 번호와 제조업체 ID, 제품 ID에 따라 적합한 디바이스 드라이버를 찾아서 구동한다.
(4) 통신
디바이스 드라이버의 구동이 끝나면 호스트 측은 Set_configuration 명령을 발령하여(S8, S19) USB장치와의 셋업을 종료하고 본격적인 통신 단계에 진입하게 된다(S9, S20).
이상은 USB 규약에서 정한 바와 동일한 것이다. 본 발명에서는 배치(enumeration)단계 <4>를 통제하는 보안 콘트롤러를 창안하여 USB 규약이 가지는 보안상의 문제점을 해결하려고 한다.
도 9에 도시한 바와 같이, 본 발명의 보안 콘트롤러(202)는 USB 시스템 소프트웨어(203) 상단에 존재하면서 호스트 측의 디바이스 드라이버(201)와 교신하는 객체이다. 상기 보안 콘트롤러는 소프트웨어로 구현될 수도 있고, 하드웨어로 구현될 수도 있다. 도 9에는 보안 콘트롤러의 구조가 도시되어 있는데, 상기 보안 콘트롤러는 자체 CPU와 RAM 그리고 플래시 메모리로 구성되어 있다. CPU는 디스크립터 정보를 취득하고 이에 따라 USB 장치의 통제를 실행하는 역할을 수행하며 플래시 메모리에는 보안 통제 정책이 테이블의 형태로 수록되어 있다. 이러한 보안 통제 정책은 관리자에 의해 변경되어 재저장될 수 있다.
본 발명의 핵심인 보안 콘트롤러의 역할과 기능에 대해 설명하고자 한다.
배치단계에서 Get_Descriptor(device)와 Get_Descriptor (configuration) 명령에 의해 장치로부터 전송 받은 디바이스 디스크립터와 컨피규레이션 디스크립터에 포함되어 있는 인터페이스 디스크립터를 통해 인지된 USB 장치의 속성에 근거하여 정보 보안을 실행한다(S18). 예를 들어 현재 접속된 USB 장치가 인터페이스 디스크립터의 인터페이스 클래스 값이 8번이라면 이 USB 장치는 mass storage로서 정보 보안의 관점에서 대단히 위험한 장치이므로 USB 장치, 즉 USB 드라이브로부터의 호스트 측으로의 입력은 허가하되, 호스트 측으로부터 USB 장치 측으로의 데이터 전송은 제한하는 방식으로 정보 보안을 실행한다.
도 10에 도시한 바와 같이, 보안 콘트롤러는 다음과 같은 순서로 접속된 장치에 대한 보안 통제를 실시한다.
디바이스 디스크립터에서 제조업체ID와 제품ID를 취하고, 인터페이스 디스크립터에서 인터페이스 클래스를 추출한다(S18-1). 그 다음 플래시 메모리에 저장되어 있는 보안통제정책 디스크립터와 비교한다(S18-2). 상기 보안통제정책 디스크립터는 도 11에 표시하였다.
보안통제정책 디스크립터에 나열되어 있는 sOpVendorNumber의 값이 0이면 허용되는 벤더가 없다는 뜻이므로 이 인터페이스 클래스로 분류되는 장치는 USB에 접속을 불허한다. 예를 들어 강력한 보안 통제를 원하는 경우 인터페이스 클래스 8번, 즉 mass storage 장치의 경우 sClass 8 항목에 포함된 sOpVendorNumber를 0로 하면 어떤 mass storage 장치도 USB에 연결되어 사용될 수 없다. USB 포트 자체를 사용 불능으로 만들고 싶은 경우에는 보안통제정책 디스크립터의 모든 sOpVendorNumber를 0로 하면 USB 포트는 사용 불가능한 상태로 된다. 예를 들어, 보안 관리자가 사용을 허용하는 모니터 장치가 2 종류가 있다면 sOpVendorNumber는 2가 되고, 2개의 벤더ID를 sOpVendor에 각각 기록하면 그 벤더의 모니터 장치는 USB에 정상적으로 접속할 수 있다.
같은 제조업체의 물품이라고 해도 서로 다른 제품일 수 있기 때문에 sOpProduct 항목을 이용하여 상기와 동일한 통제를 행한다. 예를 들어 같은 SONY에서 제조, 판매하는 mass storage라고 해도 하나는 USB 드라이브이고 다른 하나는 읽기만 가능한 CD-ROM이라고 가정한다면 보안 정책의 관점에서 읽기만 가능한 CD-ROM은 사용을 허가하고 읽고, 쓰기 모두가 가능한 USB 드라이브는 사용을 불허할 수 있다.
sOpVendorNumber가 0인 경우에는 같은 클래스에 있는 모든 sOpProductNumber는 자동적으로 0으로 세팅된다. 왜냐하면 모든 벤더를 허용하지 않기 때문에 하위의 제품은 자동적으로 허용되지 않기 때문이다.
보안 콘트롤러는 디바이스 디스크립터와 컨피규레이션 디스트립터에서 읽어들인 정보에서 인터페이스 클래스, 벤더ID, 제품ID를 취한 다음 보안통제정책 디스크립터의 인터페이스 클래스에 해당하는 sOpVendor 2 바이트와 sOpProdcut 2 바이트를 합해서 비교하여 장치의 사용 허가 여부를 결정한다(S18-2).
보안통제정책 디스크립터에 의해 사용이 금지된 장치가 식별되면(S18-2c) 보안 콘트롤러는 RESET을 송출한 다음(S18-2c1) 장치와의 통신을 중지하고 디바이스 드라이버에 STATUS = 'STALL'을 전송한다(S18-2c2).
보안통제정책 디스크립터에 의해 사용에 제한이 없는 장치가 식별되면(S18-2a) 보안 콘트롤러는 USB 시스템 소프트웨어로 통제를 넘겨 장치가 컨피규레이션이 되어 정상적인 통신이 가능하도록 한다(S19).
사용이 허가된 장치라 하더라도 동작 제한 여부를 확인한다(S18-2b).
동작 제한에 관한 정보는 보안통제정책 디스크립터의 sOpMode에 기록되어 있는데, 상기 값에 따라 작동이 결정되며, 상기 내용은 도 11에 나타나있다. 만일 sOpMode의 값이 0x00이면 이 장치는 사용이 금지된다. 만일 이 값이 0xFF라면 이 장치에 대해서는 모든 작동이 허용된다. sOpMode값이 0x01이면 호스트로의 입력은 금지되고 출력은 허용된다. 0x02라면 호스트로의 입력은 허용되고, 출력은 금지된다. 0x03이면 입력은 허용되고, 출력은 1K 바이트로 제한 한다. 이 용량을 넘는 데이터의 출력 명령은 무시하고 호스트의 디바이스 드라이버로 STATUS를 'STALL'로 표시하여 전달한다. 이런 경우 호스트 디바이스 드라이버는 재전송을 시도한 뒤, 출력 명령을 취소한다.
0x04의 경우 입력은 허용하나 2 K바이트의 출력만을 허용한다. 0x05의 경우, 입력은 허용하나 3 K 바이트의 출력 만을 허용한다. 0x06의 경우 입력은 허용하나 4 K 바이트까지의 출력만을 허용한다.
0x03 0x06까지의 모드 값이 존재하는 이유는 보안상의 위협이 없는 적은 용량의 데이터를 USB 장치에 기입(write)하는 동작이 꼭 필요한 응용이 있기 때문이다. 구체적으로는 USB mass storage를 이용하는 공인인증서를 예로 들 수 있다. 온라인 뱅킹의 발전에 따라 공인인증서의 활용이 일반화되고 있고, 대한민국 전자정 부의 넓은 활용에 따라 각종 민원들을 공인인증서를 통해 접수, 통보 받을 수 있게 되었기 때문에 공인인증서는 인터넷 시대에 필수 불가결한 것인데, 현재의 추세가 편리함 때문에 공인인증서를 USB 드라이브에 저장해서 이동형 공인인증서처럼 사용하고 있다. 따라서 정보 보안의 측면에서는 USB mass storage를 사용 금지하는 것이 타당하지만 USB 드라이브에 저장된 공인인증서를 활용하기 위해서는 호스트로부터의 적은 용량의 출력이 필요하게 된다. 예를 들어 공인인증서가 기록된 USB 드라이브를 읽기 위해서는 USB드라이브 패스워드가 필요한데, 이 패스워드는 USB 드라이브의 관리 모듈에 기록되어 있기 때문에 최초 패스워드를 기록할 때 호스트의 출력 기능이 없으면 USB 드라이브의 보안 기능을 활용할 수 없게 된다. 또, 최초로 USB 드라이브에 공인인증서를 기록할 때에도 호스트로부터의 출력 기능이 있어야만 한다. 그러나 공인인증서의 크기는 3K 바이트 크기이므로 최대 4K 바이트의 출력을 허용함으로써 공인인증서의 사용에 불편함이 없도록 할 수 있는 동시에 정보 유출의 위험성을 차단할 수 있다.
보안통제정책 디스크립터의 sOpMode값이 0x01이라서 입력이 차단된 장치가 식별되면, 보안 콘트롤러는 내부 메모리에 이 장치의 어드레스를 기록한 다음, 디바이스 드라이버로부터 입력을 요구하는 IN 토큰이 접수되면 이 내용을 장치에 알리지 않은 상태에서 디바이스 드라이버에게 STATUS = 'STALL' 전송함으로써 장치가 준비되지 않았다는 사실을 알린다. 허용된 동작인 출력을 행하기 위하여 디바이스 드라이버가 OUT 토큰을 발령하면 보안 콘트롤러는 이 토큰을 USB 시스템 소프트웨어에 통보함으로써 정상적인 동작이 가능토록 한다(S18-2b1).
보안통제정책 디스크립터의 sOpMode값이 0x02라서 출력이 차단된 장치가 식별되면, 보안 콘트롤러는 내부 메모리에 이 장치의 어드레스를 기록한 다음, 디바이스 드라이버로부터 출력을 명령하는 OUT 토큰이 접수되면 이 내용을 장치에 알리지 않은 상태에서 디바이스 드라이버에게 STATUS = 'STALL'을 전송함으로써 장치가 준비되지 않았다는 사실을 알린다. 허용된 동작인 입력을 행하기 위하여 디바이스 드라이버가 IN 토큰을 발령하면 보안 콘트롤러는 이 토큰을 USB 시스템 소프트웨어에 통보함으로써 정상적인 동작이 가능토록 한다.
보안통제정책 디스크립터의 sOpMode값이 0x03 0x06까지의 범위에 있는, 입력은 허용되나 출력되는 데이터 용량이 제한되는 장치가 식별되면 보안 콘트롤러는 디바이스 드라이버로부터 전송 받은 실 데이터(payload data)의 크기를 누적하여 1024 바이트의 용량까지, 2048바이트의 용량까지, 3072바이트의 용량까지 그리고 4096바이트의 용량까지만 패킷에 실어 USB 시스템 소프트웨어로 전송하고 이 용량이 넘는 데이터의 출력 요구 OUT 토큰에 대해서는 출력을 중지하고 디바이스 드라이버에게 STATUS = 'STALL'을 전송함으로써 출력을 중지시킨다.
본 발명은 상기한 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술분야에서 통상의 지식을 가진 자라면 누구나 이해할 수 있을 것이다.
이상에서 설명한 바와 같이, 본 발명인 보안 콘트롤러가 내장된 유에스비 장치의 통제방법은 다음과 같은 효과를 가진다.
첫째, 본 발명은 널리 사용되는 USB 포트를 이용하여 불법으로 정보를 절취하는 것을 방지하기 위하여 USB 포트에 보안 콘트롤러를 장착하여 정상적인 USB 장치의 사용에는 불편함이 없으면서도 보안에 위협이 되는 요인들을 제거하여 정보 보안의 문제가 없는 USB를 구현할 수 있다.
둘째, 본 발명은 기업의 경우, 보안 관리자가 회사에 전반적으로 적용할 수 있는 보안통제 정책을 수립하여 상기 내용을 USB 콘트롤러의 내부에 위치한 보안 통제 정책 테이블에 저장함으로써, 일관성 있는 기업의 보안통제 정책이 적용될 수 있다.
셋째, 본 발명은 정보 보안의 관점에서 무방비 상태로 있던 USB 포트에 보안통제 정책을 적용할 수 있도록 하여 기업의 경우 실효성 있는 정보 보안을 실현할 수 있으면서도 동시에 정상적인 USB 장치의 사용에 불편함이 없다.

Claims (4)

  1. 유에스비 장치의 통제방법에 있어서,
    호스트인 PC측에서 USB 커넥터에 USB 장치가 접속되는 단계(a)와;
    상기 호스트 측이 커넥터에 USB 장치가 접속된 것을 검지하면 RESET 상태를 출력하는 단계(b)와;
    상기 RESET을 출력한 뒤, 호스트 측에서 배치를 시작하는 단계(c)와;
    USB 장치에 Get_Descriptor 명령을 발령하여 장치에 디바이스 디스크립터 정보의 전송을 요구하고, 디바이스 디스크립터 정보를 수신한 호스트에서 Set_Address 명령을 전송하는 단계(d)와;
    상기 호스트에서 현재 시점의 가용한 어드레스를 접속된 장치에 할당하는 단계(e)와;
    상기 호스트에서 다시 장치로 Get_Descriptor 명령을 발령하여 디바이스 디스크립터 정보를 요구하고, 장치에서 상기 명령에 따라 디바이스 디스크립터를 호스트로 전송하는 단계(f)와;
    상기 호스트에서 배치를 위해 장치에 Get_descriptor 명령을 발령하여 컨피규레이션 디스크립터 전송을 요구하고, 컨피규레이션 디스크립터에 연결되어 장치에서 호스트로 전송하는 단계(g)와;
    보안 콘트롤러에 의해 상기 배치단계에서 Get_Descriptor(device)와 Get_Descriptor(configuration) 명령에 의해 장치로부터 전송 받은 디바이스 디스 크립터와 컨피규레이션 디스크립터에 포함되어 있는 인터페이스 디스크립터를 통해 인지된 USB 장치의 정보 보안을 실행하는 단계(h)와;
    디바이스 드라이버의 구동이 끝나면 호스트에서 Set_configuration 명령을 발령하여 USB 장치와의 셋업을 종료하고 통신을 개시하여 데이터를 송수신하는 단계(i)를 포함함을 특징으로 하는 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비 장치를 통제하는 방법.
  2. 제 1항에 있어서,
    상기 (h) 단계에서, 디바이스 디스크립터에서 제조업체ID와 제품ID를 취하고, 인터페이스 디스크립터에서 인터페이스 클래스를 추출하는 단계와; 플래시 메모리에 저장되어 있는 보안통제정책 디스크립터와 비교하여 사용 가능한 장치, 동작의 통제가 필요한 장치, 사용이 금지된 장치 중에서 사용 허가 여부를 결정하는 단계와; 상기 사용 가능한 장치의 경우이면 보안 콘트롤러에서 USB 시스템 소프트웨어로 통제를 넘겨 장치가 컨피규레이션이 되어 정상적인 통신이 가능하게 하고, 상기 동작의 통제가 필요한 장치의 경우이면 동작 제한 여부를 확인한 후 디바이스 드라이버가 OUT 토큰을 발령하면 보안 콘트롤러에서 상기 토큰을 USB 시스템 소프트웨어에 통보하여 정상적인 동작이 가능하게 하며, 상기 사용이 금지된 장치의 경우이면 보안 콘트롤러에서 RESET을 송출한 다음 장치와의 통신을 중지하는 단계를 포함함을 특징으로 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비 장치를 통제하는 방법.
  3. 제 2항에 있어서,
    상기 동작의 통제가 필요한 장치에서 동작 제한 여부에 따른 동작은 보안통제정책 디스크립터의 sOpMode 값에 따라 결정되는 단계를 포함함을 특징으로 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비 장치를 통제하는 방법.
  4. 제 3항에 있어서,
    상기 sOpMode 값은 0x00이면 장치에 대한 모든 작동이 금지되고, 0x01이면 호스트로의 입력은 금지되고 출력은 허용되며, 0x02이면 호스트로의 입력은 허용되고 출력은 금지되며, 0x03이면 입력은 허용되고 출력은 1K 바이트로 제한하며, 0x04이면 입력은 허용하나 2K바이트의 출력만을 허용하고, 0x05이면 입력은 허용하나 3K 바이트의 출력 만을 허용하며, 0x06이면 입력은 허용하나 4K 바이트까지의 출력만을 허용하고, 0xFF이면 장치에 대한 모든 작동이 허용되는 것을 특징으로 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비 장치를 통제하는 방법.
KR1020050070159A 2005-08-01 2005-08-01 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비장치를 통제하는 방법 KR100705381B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050070159A KR100705381B1 (ko) 2005-08-01 2005-08-01 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비장치를 통제하는 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050070159A KR100705381B1 (ko) 2005-08-01 2005-08-01 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비장치를 통제하는 방법

Publications (2)

Publication Number Publication Date
KR20070015671A true KR20070015671A (ko) 2007-02-06
KR100705381B1 KR100705381B1 (ko) 2007-04-10

Family

ID=41624740

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050070159A KR100705381B1 (ko) 2005-08-01 2005-08-01 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비장치를 통제하는 방법

Country Status (1)

Country Link
KR (1) KR100705381B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008124396A1 (en) * 2007-04-04 2008-10-16 Microsoft Corporation Prepaid computing access using portable storage devices
WO2011011179A3 (en) * 2009-07-21 2011-04-21 Microsoft Corporation Communication channel claim dependent security precautions
KR101043255B1 (ko) * 2008-10-31 2011-06-21 (주)엠티아이코리아 Usb 허브 보안 장치 및 이를 이용한 데이터 보안 방법
US8838981B2 (en) 2009-02-17 2014-09-16 Microsoft Corporation Communication channel access based on channel identifier and use policy
KR20150036369A (ko) * 2012-07-05 2015-04-07 오므론 매니지먼트 센터 오브 아메리카, 인코포레이티드 중계 전송을 통한 usb 시그널링 방법 및 장치

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6216183B1 (en) * 1998-11-20 2001-04-10 Compaq Computer Corporation Apparatus and method for securing information entered upon an input device coupled to a universal serial bus
GB2357611B (en) * 1999-12-21 2004-06-02 Ibm Electronic location tag
US6832273B2 (en) * 2000-12-21 2004-12-14 Microsoft Corporation System and method to specify extended configuration descriptor information in USB devices
JP2003186819A (ja) * 2001-12-17 2003-07-04 Ricoh Co Ltd セキュリティ機能付きusb機器を備えたコンピュータシステム
KR100984296B1 (ko) * 2003-02-25 2010-09-30 엘지전자 주식회사 이동통신 단말기의 인증 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008124396A1 (en) * 2007-04-04 2008-10-16 Microsoft Corporation Prepaid computing access using portable storage devices
KR101043255B1 (ko) * 2008-10-31 2011-06-21 (주)엠티아이코리아 Usb 허브 보안 장치 및 이를 이용한 데이터 보안 방법
US8838981B2 (en) 2009-02-17 2014-09-16 Microsoft Corporation Communication channel access based on channel identifier and use policy
WO2011011179A3 (en) * 2009-07-21 2011-04-21 Microsoft Corporation Communication channel claim dependent security precautions
US8914874B2 (en) 2009-07-21 2014-12-16 Microsoft Corporation Communication channel claim dependent security precautions
KR20150036369A (ko) * 2012-07-05 2015-04-07 오므론 매니지먼트 센터 오브 아메리카, 인코포레이티드 중계 전송을 통한 usb 시그널링 방법 및 장치

Also Published As

Publication number Publication date
KR100705381B1 (ko) 2007-04-10

Similar Documents

Publication Publication Date Title
US9934049B1 (en) Method for creation of device drivers and device objects for peripheral devices
US11829776B2 (en) Integrated circuit device that includes a protected memory component for transmitting protected data over a communication interface
EP2612252B1 (en) Virtual usb compound device enumeration
US20070254588A1 (en) Supporting use of connection via electrical interface
US10467388B2 (en) Managing heterogeneous product features using a unified license manager
US8135880B2 (en) USB mass storage locking
US8166220B2 (en) Device for connection with a storage device and a host
AU2011240960B2 (en) Dynamic configuration of connectors for system level communications
US8065440B2 (en) Enabling and disabling device images on a platform without disrupting BIOS or OS
WO2011003257A1 (zh) 通用串行总线数据卡自启动方法和系统
JPH1069338A (ja) 多機能化できるコンピュータドッキングステーション
GB2357611A (en) Electronic location tag
KR100705381B1 (ko) 유에스비 호스트에 보안 콘트롤러를 부가하여 유에스비장치를 통제하는 방법
US20100185785A1 (en) Automatic mapping and updating computer switching device
JP2007280261A (ja) ネットワーク上の機器を共有可能とする可搬型仮想記憶装置
US6334150B1 (en) Data processing system and method for remotely disabling a client computer system
JP2003092784A (ja) 電子機器及び無線通信システム
US20050251596A1 (en) Usb device
US9077756B1 (en) Limiting external device access to mobile computing devices according to device type and connection context
KR100758219B1 (ko) 유에스비 장치의 동작을 통제하는 방법
WO2016031456A1 (ja) リーダライタ装置、情報処理装置、およびデータ転送制御方法、並びにプログラム
KR200420506Y1 (ko) 이동형 저장장치에 대한 보안 기능을 갖는 네트워크 전환장치 및 상기 네트워크 전환 장치에 의한 보안 컴퓨터시스템
JP2001256168A (ja) Usbデバイス
CN113553632A (zh) 一种数据安全传输接口设备、系统及方法
KR20130078645A (ko) Usb 디바이스가 연결되는 서버 디바이스, 서버 디바이스에 연결되는 클라이언트 디바이스, 디바이스 구동방법 및 디바이스 공유방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130503

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140403

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160404

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170403

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee