Показать метаданные Скрыть метаданные

(19)

(11)

2 822 994

(13)

(51)

МПК

G06F21/44(2013-01-01)

(21) (22)

Заявка

2020139962, 2019-01-16

(24)

Дата начала отсчета патента

2019-01-16

(22)

дата подачи заявки

2019-01-16

(45)

опубликовано

2024-07-17

(72)

авторы

Ду, ХуаАй, ВэйЦай, ЧжэньхэЧжан, Хао

(73)

патентообладатели

Бейджин Бейондинфо Текнолоджи Ко., Лтд.

(56)

Документы, цитированные в отчете о поиске

CN 106022094 A, 12.10.2016CN 103532980 A, 22.01.2014CN 103020546 A, 03.04.2013EP 1940405 A4, 29.06.2011

СПОСОБ УПРАВЛЕНИЯ ПЕРЕМЕЩЕНИЕМ ДАННЫХ НА ОСНОВЕ ЛОГИЧЕСКОГО УЗЛА АППАРАТНОГО УПРАВЛЕНИЯ И СИСТЕМА ДЛЯ ОСУЩЕСТВЛЕНИЯ СПОСОБА Российский патент 2024 года по МПК G06F21/44

Описание патента на изобретение RU2822994C2

Область техники

Настоящая группа изобретений относится к области компьютерной безопасности, в частности к способу управления перемещением данных на основе логического узла аппаратного управления и системе управления перемещением соответствующих данных.

Уровень техники

В последние годы компьютерные и информационные технологии стремительно развиваются, что значительно способствует популяризации сетей. В то время как люди пользуются преимуществами, которые обеспечиваются компьютером и информационными технологиями, технические средства также приносят новые угрозы безопасности данных компьютеров, применяемых людьми в производстве/жизни, такие как следующие общеизвестные угрозы: несанкционированный доступ, подмена зарегистрированного пользователя другим, разрушение целостности структуры данных, вмешательство в нормальную работу системы, использование сети для распространения вирусов, перехват сообщений взломщиком, подключившимся к каналу связи между контрагентами, и тому подобное.

Технические средства для решения проблем защиты данных интернет- компьютерной сети разнообразны, например, установка и использование продукта сетевой безопасности на хосте, такого как черный/белый список, программное обеспечение управления потоками, сетевое устройство защиты, антивирус и система обнаружения вторжений и тому подобное. Однако даже если эти меры будут приняты, различные случаи по нарушению безопасности работы в компьютерных сетях все равно будут происходить часто. Согласно статистике, 70% компьютерных преступлений происходит из-за того, что штатный сотрудник незаконно использует ключевой ресурс, такой как хост- компьютер и тому подобное, а угрозы, действительно исходящие извне, составляют только 30%. Штатный сотрудник не имеет знаний и не обладает пониманием мер безопасности при использовании хоста. Поведение штатного сотрудника на оконечном участке системы ограниченного доступа, такое как непредусмотренный доступ к различным внешним устройствам, утечка данных, заражение вирусом, сбой системы и отсутствие сетевого доступа из-за заражения вирусом или троянским конем, некорректная работа системы или преднамеренное повреждение, приведет к непоправимому воздействию или нанесет большой урон компаниям, предприятиям и учреждениям.

Кроме того, для некоторых специальных устройств, таких как базовый компьютер, оснащенный специальным программным управлением, и устройство на инженерной станции/обслуживаемой станции в некоторых промышленных областях, как правило, не имеют программного обеспечения для защиты безопасности, адаптированного к системе хост-компьютера/устройства, поскольку такое программное обеспечение не реализуется на рынке в связи с тем, что система является специальной, или в связи с тем, что установка программного продукта для обеспечения безопасности приведет к нарушению работы другого оригинального программного обеспечения хост-компьютера и влияет на его производительность. Кроме того, базовый компьютер инженерной станции/ обслуживаемой станции в основном не обновляет операционную систему после того, как он подключается к линии. Даже после установки программного продукта для обеспечения безопасности базовый компьютер, как правило, не обновляет версию программного обеспечения для защиты от вредоносного кода или вредоносной библиотеки вовремя и, таким образом, не может обеспечить функцию защиты общей безопасности.

РАСКРЫТИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ

На основе существующего состояния настоящее изобретение обеспечивает способ управления передачей данных с использованием логического узла аппаратного управления и системы для решения вышеуказанной задачи. В настоящем изобретении используются различные интерфейсы защищенного базового компьютера, и использование USB-порта или устройства интерфейса последовательной передачи данных защищенного базового компьютера должно быть реализовано с помощью защитного устройства внешнего терминала, так что управление данными и защита безопасности могут быть выполнены на USB-порте или интерфейсе последовательной передачи данных защищенного базового компьютера без установки программного обеспечения для защиты безопасности на защищенном базовом компьютере.

Одним изобретением группы является способ управления перемещением данных на основе логического узла аппаратного управления. Способ включает в себя: подключение устройства защиты внешнего терминала к защищенному базовому компьютеру и обеспечение доступа ко всем интерфейсам передачи данных защищенного базового компьютера; и управление логическим узлом аппаратного управления в устройстве защиты терминала с осуществлением подключения и/или отключения основной линии связи для соответствующей передачи данных, когда внешнее устройство взаимодействует с защищенным базовым компьютером посредством защитного устройства терминала, чтобы управлять обменом данных между внешним устройством и защищенным базовым компьютером.

В частном случае осуществления изобретения обеспечение доступа ко всем интерфейсам данных защищенного базового компьютера дополнительно включает в себя: соответствующее индивидуальное подключение всех интерфейсов данных защищенного базового компьютера к множеству внутренних интерфейсов на устройстве защиты терминала в соответствии с типами интерфейсов.

В частном случае осуществления изобретения логический узел аппаратного управления подключает основную линию связи между внешним интерфейсом в устройстве защиты терминала и модулем управления системой, выполняет проверку безопасного доступа на внешнем устройстве с помощью модуля управления системой и определяет, обладает ли внешнее устройство правом доступа.

В частном случае осуществления изобретения после того как модуль управления системой выполнит проверку права безопасного доступа на внешнем устройстве и определит, что внешнее устройство не обладает правом доступа, логический узел аппаратного управления отключает основную линию связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и другими интерфейсами, чтобы фильтровать и запрещать передачу данных после получения доступа к внешнему устройству; и/или после того, как модуль управления системой выполнит проверку права безопасного доступа на внешнем устройстве и определит, что внешнее устройство является устройством с правом доступа, логический узел аппаратного управления подключает основную линию связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и внутренним интерфейсом, имеющим доступ к защищенному базовому компьютеру, чтобы обеспечить передачу данных между внешним устройством и защищенным базовым компьютером.

В частном случае изобретения защитное устройство терминала дополнительно содержит модуль управления интерфейсом; логический узел аппаратного управления, внутренний интерфейс, внешний интерфейс и интерфейс передачи расположены на модуле управления интерфейсом; а интерфейс передачи соединен с модулем управления системой. В частном случае выполнения изобретения, когда внешнему устройству необходимо загрузить данные извне на защищенный базовый компьютер, логический узел аппаратного управления подключает основную линию связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и интерфейсом передачи, поддерживает основную линию связи между интерфейсом передачи и другими интерфейсами в отключенном состоянии, передает загруженные данные в модуль управления системой только с помощью интерфейса передачи и поддерживает защищенный базовый компьютер в состоянии изоляции от данных.

В частном случае выполнения изобретения, когда защищенный базовый компьютер находится в состоянии изоляции от данных, модуль управления системой обеспечивает безопасность переданных извне данных; и после того, как переданные извне данные проходят проверку безопасности, встроенная память в модуле управления интерфейсом изолирует и сохраняет переданные извне данные.

В соответствии с частными случаями выполнениями изобретения перед этапом изоляции и хранения загруженных данных встроенной памятью в интерфейсном модуле управления, способ дополнительно включает: подключение с помощью логического узла аппаратного управления основной линии между интерфейсом передачи и встроенной памятью интерфейсного модуля управления, отключение основной линии связи между внешним интерфейсом и интерфейсом передачи, а также между встроенной памятью и внутренним интерфейсом, копирование загруженных данных во встроенную память интерфейсного модуля управления с помощью интерфейса передачи.

В соответствии с частными случаями выполнения логический узел аппаратного управления отключает основную линию связи между внешним интерфейсом и встроенной памятью, подключает основную линию связи между внутренней памятью и внутренним интерфейсом и помещает переданные извне данные во встроенную память защищенного базового компьютера с помощью внутреннего интерфейса, при этом процессе логический узел аппаратного управления поддерживает основную линию связи между внешним интерфейсом и интерфейсом передачи, а основную линию связи между интерфейсом передачи и встроенной памятью он поддерживает в отключенном состоянии; а защищенный базовый компьютер получает переданные извне данные с помощью внутреннего интерфейса.

В соответствии с частным случаем выполнения изобретения, когда защищенному базовому компьютеру необходимо передать данные на внешнее устройство, встроенная память в интерфейсном модуле управления изолирует и сохраняет переданные с базового компьютера данные. В соответствии с частным случаем выполнения изобретения логический узел аппаратного управления подключает основную линию связи между встроенной памятью и внутренним интерфейсом, переносит переданные с базового компьютера данные во встроенную память с помощью внутреннего интерфейса и поддерживает основную линию связи между встроенной памятью и другими интерфейсами в отключенном состоянии.

В соответствии с частным случаем выполнением изобретения после этапа передачи перенесенных с защищенного базового компьютера данных во встроенную память с помощью внутреннего интерфейса, способ дополнительно включает: отключение с помощью логического узла аппаратного управления основной линии связи между встроенной памятью и внутренним интерфейсом и подключение основной линии связи между встроенной памятью и интерфейсом передачи; перемещение переданных с базового компьютера данных во встроенную памяти в модуль управления системой с помощью интерфейса передачи; и выполнение проверки соответствия переданных с базового компьютера данных модулем управления системой, определение соответствия переданных с базового компьютера данных заданной политике соответствия и поддержания с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом и интерфейсом передачи, а также между внутренним интерфейсом и встроенной памятью в отключенном состоянии.

После того как переданные с базового компьютера данные проходят проверку соответствия, логический узел аппаратного управления подключает основную линию связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и интерфейсом передачи, и копирует переданные с базового компьютера данные на внешнее устройство, имеющее доступ к внешнему интерфейсу; кроме того, логический узел аппаратного управления поддерживает основную линию связи между интерфейсом передачи и встроенной памятью, а также между внутренним интерфейсом и встроенной памятью в отключенном состоянии.

Другим изобретением группы является система управления передачей данных, включающая:

один или более внешних устройств,

защищенный базовый компьютер, и

защитное устройство терминала, содержащее внутри логический узел аппаратного управления, извне подключенное к защищенному базовому компьютеру, и имеющее доступ ко всем данным интерфейсов защищенного базового компьютера, при этом логический узел аппаратного управления используется для управления подключением и/ или отключением основной линии для передачи данных, чтобы управлять обменом данных между внешним устройством и защищаемым базовым компьютером.

Технические решения обеспечивают достижение по меньшей мере одного или нескольких следующих технических эффектов: настоящее изобретение может иметь доступ к различным интерфейсам данных защищенного базового компьютера для взаимодействия, при котором обмен данных с помощью соединений интерфейсов защищенного базового компьютера обеспечиваются с помощью внешнее устройство; настоящее изобретение реализует функции контроля и защиты безопасности различных типов данных защищаемого базового компьютера без установки дополнительного программного обеспечения для контроля потока и защиты безопасности на защищаемом базовом компьютере, отсоединяет основную линию связи с помощью логического узла аппаратного управления, при этом обеспечивается эффект аппаратного отключения при передаче и хранении данных, что является более безопасным и эффективным, чем использование только управления средствами ПО; кроме того, настоящая группа изобретений дополнительно включает объект для защиты безопасности, который значительно снижает вероятность повреждения системы и устраняет потенциальные угрозы безопасности, такие как проникновение троянского вируса и вредоносного кода, которые могут быть связаны с использованием интерфейсов.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Фиг. 1 - принцип применения системы для управления передачей данных в соответствии с настоящим изобретением;

Фиг. 2 - блок-схема, характеризующая способ управления передачей данных в соответствии с настоящим изобретением;

Фиг. 3 - схематическое изображение внутреннего конструктивного выполнения защитного устройства терминала согласно настоящему изобретению;

Фиг. 4 - вариант управления передачей данных с помощью USB в соответствии с настоящим изобретением;

Фиг. 5 - интерфейс последовательной передачи данных для управления передачей данных в соответствии вариантом осуществления настоящего изобретения; и

Фиг. 6 - вариант развертывания сети системы управления передачей данных согласно настоящему изобретению.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

Варианты осуществления настоящего изобретения будут подробно описаны ниже со ссылкой на иллюстрации. Хотя варианты осуществления настоящего изобретения поясняются иллюстрациями, следует учесть, что настоящее изобретение может быть реализовано в различных формах и не ограничиваться представленными в описании вариантами осуществления. Варианты осуществления изобретения охарактеризованы таким образом, что настоящее изобретение может быть более очевидно и сущность настоящего изобретения может быть полностью раскрыта специалисту в данной области.

Союзы “и/или” применяют только для характеристики наличия и расположения объектов и может обозначать три ситуации, например, “А и/или В” может обозначать только А, как А, так и В одновременно, и только В. Кроме того, символ “/” здесь обозначает, что предусматривается альтернативный выбор между первым и вторыми объектами с использованием союза "или".

Способ управления передачей данных на основе логического узла аппаратного управления, предусмотренный настоящим изобретением, включает: подключение извне устройства защиты терминала к защищенному хосту и получения доступа ко всем интерфейсам данных защищенного хоста; и управление с помощью логического узла аппаратного управления в устройстве защиты терминала подключением и/или отключением основной линии связи, обеспечивающей соответствующую передачу данных, когда внешнее устройство обменивается данными с защищенным хостом с помощью устройства защиты терминала, чтобы управлять обменом данных между внешним устройством и защищенным хостом. Таким образом, настоящее изобретение обеспечивает логическое аппаратное управления при осуществлении способа управления при передаче данных, реализует функции контроля и защиты безопасности различных типов данных без установки программного обеспечения для мониторинга потока и защиты безопасности на защищаемом базовом компьютере и разъединяет основную линию связи с помощью логического узла аппаратного управления, при этом всесторонне устраняются потенциальные угрозы безопасности, такие как проникновение троянского вируса и вредоносного кода, которые могут быть связаны с использованием интерфейсов.

Следует отметить, что термин “модуль” в настоящем изобретении представляет собой аппаратный модуль, состоящий из материальных электронных элементов, таких как схема, устройство обработки данных, память, буфер и тому подобное. В настоящем изобретении модуль управления интерфейсом и управляющий модуль системы могут быть конструктивной или функционально независимой комбинацией элементов, а также могут быть конструктивной или функционально интегрированной комбинацией выполненных за одно целое элементов. Например, в качестве варианта осуществления изобретения модуль управления интерфейсом состоит из платы управления интерфейсом, а управляющий модуль системы состоит из платы управления системой; плата управления интерфейсом и плата управления системой являются печатными платами, интегрированными с электронными элементами, и соединены через шину. В других вариантах осуществления изобретения модуль управления интерфейсом и управляющий модуль системы также могут быть интегрированы на одной печатной плате. Поэтому важным принципом настоящего изобретения является соотношение управления между модулем управления интерфейсом и управляющим модулем управления системы, но не ограничивается пространственным или конструктивным соединением типов комбинаций электронных элементов, образующих модули.

Пример осуществления

На фиг. 1 отображен принцип применения системы по управлению передачей данных в соответствии с настоящим изобретением.

Как показано на фиг. 1, для управления передачей данных защищенного базового компьютера необходимо получить доступ ко всем интерфейсам защищенного базового компьютера. Поэтому в способе, предусмотренном настоящим изобретением, защитное устройство терминала снабжено внутренними интерфейсами, которые соответствуют интерфейсам защищаемого базового компьютера, и дополнительно снабжено соответствующими типами внешних интерфейсов, причем внутренний интерфейс используется для подключения защищаемого базового компьютера, а внешний интерфейс используется для подключения внешнего устройства, которое должно обмениваться данными с защищаемым базовым компьютером. Устройство защиты внешнего терминала извне подключено к защищаемому базовому компьютеру; интерфейсы (такие как USB- интерфейсы UC1, UC2, COM-интерфейс CC0, сетевой интерфейс EC0) на защищаемом базовом компьютере подключаются к соответствующим типам внутренних интерфейсов внешнего устройства защиты терминала с помощью различных типов соединительных проводов, например, интерфейсы UC1 и UC2 защищаемого базового компьютера соответственно подключаются к внутренним USB-интерфейсам UA4 и UA3 внешнего устройства защиты терминала, интерфейс последовательной передачи данных CC0 подключается к внутреннему интерфейсу последовательной передачи данных CA2, а сетевой интерфейс EC0 соединен с внутренним сетевым интерфейсом EA2. Все различные внешние устройства (U-диск, драйвер оптического диска, устройство подключения интерфейса последовательной передачи данных и т.п.) получают доступ к внешним интерфейсам защитного устройства терминала и могут осуществлять обмен данными с защищенным базовым компьютером только через устройство защиты терминала, чтобы управлять передачей данных между внешним устройством и защищенным базовым компьютером, например, внешнее U-дисковое устройство получает доступ к внешнему интерфейсу UA1 устройства защиты терминала, драйвер оптического диска USB получает доступ к внешнему интерфейсу UA2 устройства защиты терминала, а устройство подключения интерфейса последовательной передачи данных получает доступ к внешнему интерфейсу CA1. Внешние устройства, такие как U-диск, драйвер оптического диска USB и устройство подключения интерфейса последовательной передачи данных, которые должны обмениваться данными с защищенным базовым компьютером, не могут иметь непосредственного доступа к базовому компьютеру, но должны иметь доступ к соответствующим внешним интерфейсам устройства защиты внешнего терминала для выполнения передачи связи.

Таким образом, данные, передаваемые внешним устройством, сначала должны пройти через защитное устройство внешнего терминала, а затем устройство защиты внешнего терминала обеспечивает управление передачей данных и может дополнительно управлять передачей данных с помощью протокола фильтрации, зеркалирования, аудита потока, установления безопасности и тому подобного.

На фиг. 2 представлена блок-схема, характеризующая способ управления передачей данных в соответствии с настоящим изобретением. Этот метод включает в себя следующие этапы:

S1, внешнее подключение защитного устройства терминала к защищенному базовому компьютеру и получение доступа ко всем интерфейсам передачи данных защищенного базового компьютера; и

S2, управление с помощью логического узла аппаратного управления в устройстве защиты терминала подключением и/или отключением основной линии соединения для соответствующей передачи данных, когда внешнее устройство обменивается данными с защищенным базовым компьютером с помощью устройства защиты терминала, чтобы управлять обменом данных между внешним устройством и защищенным базовым компьютером.

Устройство защиты терминала дополнительно включает в себя модуль управления интерфейсом и модуль управления системой, причем модуль управления интерфейсом содержит внутри логический узел аппаратного управления, внутренний интерфейс, внешний интерфейс и интерфейс передачи; внешний интерфейс имеет доступ к различным типам внешних устройств; а интерфейс передачи соединен с модулем управления системой.

На этапе S1 для того, чтобы обеспечить соответствующее индивидуальное соединение всех интерфейсов данных защищенного базового компьютера с множеством внутренних интерфейсов на устройстве защиты терминала и обеспечить устройству защиты терминала доступ ко всем интерфейсам данных защищенного базового компьютера, все внешние устройства, которые могут быть непосредственно подключены к защищенному базовому компьютеру, экранируются, причем интерфейсы данных включают следующие, но не ограничиваются ими: USB-порт, интерфейс последовательной передачи данных, параллельный интерфейсом и/или сетевой интерфейс.

На этапе S2 на основе функционирования логического узла аппаратного управления контролируется подключение и отключение основной линии связи в устройстве защиты терминала, чтобы обеспечить управление передачей данных и аппаратное разъединение.

Принимая то, что внешнее устройство не является устройством для сохранения данных, а относится к устройствам непосредственного подключения (таких как драйвер оптического диска USB, замок шифрования, U-фильтр хранилища данных, клавиатура, мышь, дисплеи и т. п.), в качестве примера могут быть указаны оборудование, логические переключатели аппаратного управления на основной линии связи между внешним интерфейсом для непосредственного подключения устройства и модулем управления системой, таким образом, модуль управления системой выполняет проверку безопасного права доступа на основе непосредственного подключения устройства, и определяет, обладает ли устройство непосредственного подключения правом доступа. Если устройство непосредственного подключения определено как устройство, не обладающее правом доступа, то модуль управления системой уведомляет логический узел аппаратного управления об отключении внешнего интерфейса, имеющего доступ к устройству непосредственного подключения, и отключении основных линий связи внешнего интерфейса и каждого интерфейса, чтобы фильтровать и исключить передачу данных после получения доступа к устройству непосредственного подключения; и если при непосредственном подключении устройства, устройство определено как устройство с правом доступа, то логический узел аппаратного управления подключает основную линию связи между внешним интерфейсом, имеющим доступ к устройству непосредственного соединения, и внутренним интерфейсом, имеющим доступ к защищенному базовому компьютеру, чтобы обеспечить передачу данных между устройством непосредственного соединения (эквивалентным внешнему устройству) и защищенным базовым компьютером.

Принимая во внимание то, что внешнее устройство относится к типу запоминающих устройств, когда запоминающему устройству необходимо передать данные на защищенный базовый компьютер, логический узел аппаратного управления подключает основную линию связи между внешним интерфейсом, имеющим доступ к запоминающему устройству, и интерфейсом передачи, поддерживает основную линию связи между интерфейсом передачи и другими интерфейсами в отключенном состоянии, перемещает переданные данные в модуль управления системой только через интерфейс передачи и поддерживает защищенный базовый компьютер в состоянии отключения от данных. Когда защищенный базовый компьютер находится в состоянии отключения от данных, модуль управления системой устанавливает безопасность переданных данных; и после того, как переданные данные проходят проверку их безопасности, встроенная память в модуле управления интерфейсом изолирует и хранит переданные данные. Для выполнения изоляции и передачи логический узел аппаратного управления подключает основную линию связи между интерфейсом передачи и встроенной памятью модуля управления интерфейсом, отключает основную линию связи между внешним интерфейсом и интерфейсом передачи, а также между встроенной памятью и внутренним интерфейсом и копирует переданные данные во встроенную память модуля управления интерфейсом с помощью интерфейса передачи. После этого логический узел аппаратного управления отключает основную линию связи между внешним интерфейсом и встроенной памятью, включает основную линию связи между встроенной памятью и внутренним интерфейсом и передает переданные данные во встроенную память защищенному базовому компьютеру с помощью внутреннего интерфейса, при этом процессе осуществления логический узел аппаратного управления поддерживает основную линию связи между внешним интерфейсом и интерфейсом передачи, и основную линию связи между интерфейсом передачи и встроенной памятью в отключенном состоянии; и, наконец, защищенный базовый компьютер получает переданные данные с помощью внутреннего интерфейса.

Принимая во внимание то, что в качестве примера внешнее устройство является типом запоминающего устройства, когда защищенный базовый компьютер должен передать данные в запоминающее устройство, встроенная память в модуле управления интерфейсом необходима для изоляции и хранения переданных с базового компьютера данных; во-первых, логический узел аппаратного управления подключает основную линию связи между встроенной памятью и внутренним интерфейсом, перемещает переданные с базового компьютера данные во встроенную память с помощью внутреннего интерфейса и поддерживает основную линию связи между встроенной памятью и другими интерфейсами в отключенном состоянии; после этого логический узел аппаратного управления отключает основную линию связи между встроенной памятью и внутренним интерфейсом, включает основную линию связи между встроенной памятью и интерфейсом передачи и переносит переданные с базового компьютера данные во встроенную память модулю управления системой с помощью интерфейса передачи; модуль управления системой выполняет проверку соответствия переданных с базового компьютера данных, определяет, соответствуют ли переданные с базового компьютера данные заданной политике соответствия; а логический узел аппаратного управления поддерживает основную линию связи между внешним интерфейсом и интерфейсом передачи, а также между внутренним интерфейсом и встроенной памятью в отключенном состоянии. После того как переданные с базового компьютера данные проходят проверку соответствия, логический узел аппаратного управления подключает основную линию связи между внешним интерфейсом, имеющим доступ к запоминающему устройству, и интерфейсом передачи, и, наконец, копирует переданные с базового компьютера данные на запоминающее устройство, имеющее доступ к внешнему интерфейсу, при этом процессе осуществления логический узел аппаратного управления поддерживает основную линию связи между интерфейсом передачи и встроенной памятью, а также между внутренним интерфейсом и встроенной памятью в отключенном состоянии.

Поэтому на основе способа управления передачей данных в настоящем изобретении независимо от того, является ли внешнее устройство устройством непосредственного подключения или запоминающим устройством, которое должно передавать/получать данные, подключение и отключение внутренней основной линии связи должно обеспечиваться с помощью логического узла аппаратного управления, чтобы реализовать передачу, хранение, изоляцию и проверку безопасности данных, передаваемых на базовый компьютер и получаемых с защищенного базового компьютера, обеспечивая тем самым безопасность передаваемых данных.

На фиг. 3 изображен вариант внутреннего конструктивного выполнения защитного устройства терминала согласно настоящему изобретению.

В варианте осуществления изобретения защитное устройство терминала в основном состоит из платы управления интерфейсом А и платы управления системой В, причем платы управления интерфейсом А снабжена логическим узлом аппаратного управления; логический узел аппаратного управления поддерживает передачу данных по общей линии связи с помощью интерфейса USB, интерфейса последовательной передачи данных и сетевого интерфейса. Плата управления интерфейсом соединяется с платой управления системой В с помощью соединительной линии управления Е (например, шины); а плата управления системой B используется для управления различными режимами работы интерфейсов на плате управления интерфейсом A таких, как интерфейс USB, интерфейс последовательной передачи данных и сетевой интерфейс, чтобы реализовать функцию контроля безопасности при доступе различных внешних устройств. Плата управления системой А может управлять режимом работы каждого интерфейса; режим работы включает в себя: установление доступа, отказ в доступе, сетевой протокол фильтрации, зеркалирование потока, аудит потока и тому подобное. Однако настоящее изобретение не ограничивается конкретными типами управления режимов работы. Плата управления системой B может быть подключена к плате управления интерфейсом A с помощью интерфейса I2C или SPI. Однако настоящее изобретение не ограничивается такими специфическими управлением соединением с помощью интерфейсов. Плата управления интерфейсом передает с помощью различных типов интерфейсов передачи (интерфейса последовательной передачи данных, сетевого интерфейса и USB в соединении F передачи данных), поток данных, передаваемых во внешний интерфейс и внутренний интерфейс в плату управления системой.

Плата управления интерфейсом в устройстве защиты терминала должна иметь доступ к встроенной памяти, такой как аппаратная память D на фиг. 2; встроенная память используется для изоляции и хранения данных, которыми обмениваются плата управления интерфейсом и интерфейсы.

Когда внешнее устройство получает доступ к внешнему интерфейсу платы управления интерфейсом, плата управления системой выполняет проверку безопасности доступа на интерфейсе платы управления интерфейсом в соответствии с заданной политикой безопасности, чтобы определить, обладает ли внешнее устройство правом доступа.

В данном варианте осуществления изобретения функции безопасности, реализуемые устройством защиты терминала, включают, но не ограничиваются следующим: администратор предварительно устанавливает допуск и политику безопасности для внешнего устройства защиты терминала; политика безопасности включает в себя, но не ограничивается политикой разрешения получения данных (например, интерфейс USB), политикой разрешения передачи с базового компьютера данных (например, интерфейс USB), политикой ограничения доступа к устройствам USB (например, ИД поставщика USB-устройства, а именно идентификационный код поставщика, и/или ИД продукта, а именно идентификационный код продукта), антивирусной политикой получения данных, политикой управления черными и белыми списками передаваемых с базового компьютера данных, политикой управления форматом передачи с базового компьютера данных, политикой разрешения доступа к интерфейсу последовательной передачи данных, политикой защиты подключаемых модулей интерфейса USB, политикой обеспечения аудита сетевой связи, политикой обеспечения функции устройства сетевой защиты, политикой команд черно-белых списков для интерфейсов последовательной передачи данных и тому подобное.

В предпочтительном варианте осуществления изобретения политика безопасности включает в себя следующее: после того, как администратор устанавливает политику безопасности, соответствующие политики безопасности будут выполняться устройством защиты терминала последовательно.

В предпочтительном варианте осуществления изобретения политика безопасности включает в себя следующее: администратор дополнительно контролирует, осуществляет ли устройство защиты терминала режим мониторинга защиты, в каком режиме будет контролироваться соединение с защищенным базовым компьютером и будет отправлен сигнал тревоги в случае работы, отклоняющейся от нормы.

В предпочтительном варианте осуществления изобретения политика безопасности включает в себя следующее: когда сигнал тревоги или случаи доступа к интерфейсу должны быть записаны для последующего запроса администратором, встроенная память дополнительно используется для записи информации о тревоге или информации журнала доступа к интерфейсу.

Логический узел аппаратного управления реализует подключение и отключение основной линии связи между интерфейсами в плате управления интерфейсом. В предпочтительном варианте осуществления изобретения после того, как плата управления системой выполняет проверку безопасного доступа на внешнем устройстве с помощью политики безопасности и определяет, что внешнее устройство не является устройством с правом доступа, плата управления системой уведомляет через шину логический узел аппаратного управления платы управления интерфейсом о поддержании основной линии связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и интерфейсом передачи в отключенном состоянии, чтобы фильтровать и исключить передачу данных после получения доступа к внешнему устройству. После того как плата управления системой выполняет проверку безопасного доступа на внешнем устройстве и определяет, что внешнее устройство обладает правом доступа, плата управления системой уведомляет через шину плату управления интерфейсом о разрешении передачи данных внешнего устройства; и логический узел аппаратного управления платы управления интерфейсом подключает основную линию связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и интерфейсом передачи.

На фиг. 4 изображен вариант управления передачей данных USB в соответствии с настоящим изобретением.

Плата управления интерфейсом включает в себя логический узел аппаратного управления, реализующий подключение и отключение основной линии связи между интерфейсами в плате управления интерфейсом; встроенный USB - интерфейс UA3 платы управления интерфейсом подключен к USB-интерфейсу защищаемого базового компьютера; интерфейсы передачи UB1 и UB2 соответственно подключены к USB- интерфейсам UD3 и UD4 платы управления системой; внешнее устройство U-диск для доступа или мобильный носитель данных подключен к внешнему USB-интерфейсу UA1; встроенная USB-память для хранения данных подключена к UB3; интерфейс CTRL в виде интерфейса шины, подключен к интерфейсу платы управления системой.

Когда данные с внешнего устройства должны быть переданы на защищенный хост, плата управления системой выдает команду управления на плату управления интерфейсом через шину, чтобы осуществить управление логическим узлом аппаратного управления для включения основной линии связи между UA1 и UB1 и копирование данных Data1 на U-диске в буферную память платы управления системой; в то же время логический узел аппаратного управления поддерживает основную линию связи между интерфейсом передачи UB1 (подключенным к плате управления системой) и UB3 (подключенным к встроенной USB-памяти) в отключенном состоянии, а также поддерживает основную линию связи между встроенным USB-интерфейсом UA3 (подключенным к защищенному хосту) и UB3 в отключенном состоянии.

После этого логический узел аппаратного управления отключает основную линию связи между UA1 и UB1, включает основную линию связи между UB1 и UB3 и получает доступ к данным встроенной USB-памяти UB3 к интерфейсу UB1; плата управления системой обеспечивает установление безопасности данных Data1 в буферной памяти; поэтому плата управления системой может осуществлять обеспечение безопасности, например уничтожение вирусов, в USB-памяти, подключенной к UA1 в ситуации, когда защищенный хост изолирован. После того, как в отношении Data1 будет установлена безопасность, данные Data1 копируются во встроенную USB-память интерфейса UB3 платы управления интерфейсом. В то же время логический узел аппаратного управления поддерживает управление аппаратной связью между UA1 и UB1, а также между UA3 и UB3 в отключенном состоянии. После этого логический узел аппаратного управления отключает аппаратную связь между UB1 и UB3, включает линию связи между UA3 и UB3 и передает данные Data1 во встроенную USB-память на интерфейсе UB3 к защищенному базовому компьютеру через внутренний интерфейс UA3. В то же время логический узел аппаратного управления отключает связь между UA1 и UB1, а также между UB1 и UB3.

Соответственно, когда данные с защищенного базового компьютера должны быть переданы на внешнее устройство, U-диск, плата управления системой выдает команду управления на плату управления интерфейсом через шину, чтобы осуществить управление логическим узлом аппаратного управления для включения основной линии связи между UA3 и UB3; встроенная USB-память на интерфейсе UB3 имеет цифровое соединение к защищенному базовому компьютеру; пользователь управляет защищенным хостом B и передает данные Data2 во встроенную USB-память. В то же время логический узел аппаратного управления поддерживает аппаратную линию связи между внешним интерфейсом UA1 и интерфейсом передачи UB1, а также между UB1 и UB3 в отключенном состоянии. После этого логический узел аппаратного подключения отключает линию связи между UA3 и UB3, включает линию связи между UB1 и UB3 и передает данные Data2 во встроенную USB-память на интерфейсе UB3 в буферную память платы управления системой через интерфейс передачи UB1; плата управления системой выполняет проверку соответствия данных Data2 в буферной памяти и определяет, соответствуют ли переданные с базового компьютера данные заданной политике соответствия. В то же время логический узел аппаратного управления поддерживает аппаратное соединение между внешним интерфейсом UA1 и интерфейсом передачи UB1, а также между внутренним интерфейсом UA3 и UB3 в отключенном состоянии. После того, как переданные с базового компьютера данные Data2 пройдут проверку их соответствия, логический узел аппаратного управления включит основную линию связи между внешним интерфейсом UA1 и интерфейсом передачи UB1 и копирует данные Data2 на внешнее устройство, U-диск, интерфейса UA1. В то же время логический узел аппаратного управления поддерживает аппаратное соединение между интерфейсами передачи UB1 и UB3, а также между внутренним интерфейсом UA3 и UB3 в отключенном состоянии. Вплоть до этого момента процесс передачи с базового компьютера данных является завершенным.

Очевидно, что при управлении логическим узлом аппаратного управления в процессах передачи данных на хост и передачи данных с хоста защитным устройством терминала в варианте осуществления в любой момент времени включается только одно соединение, а остальные линии связи находятся в отключенном состоянии, при этом обеспечивается фильтрация потока данных и запрет, связанный с однонаправленной/ двунаправленной передачей всех данных между имеющим доступ внешним устройством и защищаемым хостом.

В еще одном варианте осуществления изобретения, как показано на фиг. 4, дополнительно предусмотрен способ управления передачей данных для устройства USB непосредственного подключения, не являющееся устройством для сохранения данных; этот способ предусмотрен главным образом для некоторых устройств типа USB, не являющихся устройствами для сохранения данных, к которым можно получить прямой доступ, таких как драйвер оптического диска USB. Логический уел аппаратного управления реализует управление передачей данных с драйвера оптического диска USB; случай аппаратного подключения выглядит следующим образом: встроенный USB - интерфейс UA4 платы управления интерфейсом в устройстве защиты терминала подключен к USB - интерфейсу защищаемого базового компьютера; интерфейс передачи UB2 имеет доступ к интерфейсу USB платы управления системой; драйвер оптического диска USB, который должен быть непосредственно подключен к защищенному хосту B, подключается к внешнему интерфейсу USB UA2; а интерфейс CTRL платы управления интерфейсом подключен к интерфейсу управления платы управления системой через шину.

В варианте осуществления изобретения устройство защиты терминала использует следующий способ управления прямым подключением USB-устройства: когда драйвер оптического диска USB, который должен быть непосредственно подключен к защищенному хосту B, подключен к внешнему интерфейсу USB UA2 устройства защиты терминала, плата управления интерфейсом уведомляет плату управления системой через шину, а плата управления системой управляет логическим узлом аппаратного управления платы управления интерфейсом для включения линии соединения между интерфейсом UA2 и интерфейсом передачи UB2, таким образом, драйвер оптического диска USB, подключенный к интерфейсу UA2, подключается к интерфейсу USB платы управления системой. В то же время логический узел аппаратного управления поддерживает основную линию связи между интерфейсом UA2 и внутренним интерфейсом UA4 защищенного хоста в отключенном состоянии.

Плата управления системой выполняет проверку безопасного доступа на драйвере оптического диска USB на интерфейсе UA2 и определяет, обладает ли внешнее устройство правом доступа; после того, как драйвер оптического диска USB будет определен как устройство с правом доступа, логический узел аппаратного управления включает аппаратное соединение между внешним интерфейсом UA2 и внутренним интерфейсом UA4, чтобы подключить драйвер оптического диска USB, подключенный к интерфейсу UA2, к защищенному хосту.

Когда плата управления системой отслеживает изменение состояния соединения одного или нескольких интерфейсов, логический узел аппаратного управления автоматически отключает линию соединения между интерфейсами и другими интерфейсами. Например, когда внешнее устройство, подключенное к интерфейсу UA2, имеет доступ к интерфейсу UA4, плата управления системой отслеживает в режиме реального времени состояние подключения внешнего устройства, подключенного к интерфейсу UA2 платы управления интерфейсом, и автоматически отключает соединение, как только внешнее устройство устанавливается как отключенное от интерфейса.

На фиг. 5 отображен вариант управления передачей данных интерфейса последовательной передачи данных в соответствии с настоящим изобретением. В соответствии с фиг. 5, передаваемые данные интерфейса последовательной передачи данных могут быть отфильтрованы, и несанкционированная команда может быть запрещена к вводу. Логический узел аппаратного управления платы управления интерфейсом управляет отключением и подключением линий связи между внешним интерфейсом последовательной передачи данных CA1 и интерфейсом передачи CB1, а также между внутренним интерфейсом последовательной передачи данных CA2 и интерфейсом передачи CB2. Внешнее устройство, получившее доступ к внешнему интерфейсу последовательной передачи данных CA1, сначала должно пройти проверку безопасного доступа с помощью платы управления системой, а затем интерфейсы последовательной передачи данных CD1 и CD2 обмениваются данными; логический узел аппаратного управления платы управления интерфейсом подключает основные линии связи между интерфейсом последовательной передачи данных CA1 и CB1, а также между CA2 и CB2, чтобы реализовать передачу данных от внешнего последовательного устройства на внешнем интерфейсе последовательной передачи данных CA1 на внутренний интерфейс последовательной передачи данных CA2, а затем на защищенный хост.

Кроме того, плата управления системой отключает аппаратное соединение между CA1 и CB1, а также между CA2 и CB2 с помощью логический узел аппаратного управления, чтобы отключить последовательную линию связи между CA1 и CA2. Поскольку связь между CA1 и CA2 передает данные с помощью CB1 и CB2, плата управления системой может фильтровать переданные данные интерфейса последовательной передачи данных и запрещать несанкционированные команды.

В другом варианте осуществления изобретения, как показано на фиг. 5, защитное устройство терминала имеет функцию предотвращения отсоединения сетевого кабеля; плата управления системой собирает данные о состоянии подключения внешнего сетевого интерфейса Е1 и внутреннего сетевого интерфейса Е2 путем считывания состояния регистра сетевого интерфейса в коммутационном чипе, причем состояние подключения описывается следующим образом: соединение линии отказ/успешно. Плата управления системой получает информацию о состоянии сети, контролируя состояние подключения сетевого интерфейса E1/E2, и посылает уведомляющий сигнал для ситуаций подключения и отключения сетевого кабеля.

На фиг. 6 отображен вариант развертывания сети системы управления передачей данных в соответствии с настоящим изобретением. Система управления передачей данных включает в себя одно или несколько внешних устройств, защищенный базовый компьютер и устройство защиты терминала, снабженное внутри логическим узлом аппаратного управления, при этом устройство защиты терминала извне подключено к защищенному хосту и имеет доступ ко всем интерфейсам данных защищенного хоста; логический узел аппаратного управления используется для управления подключением и/или отключением основной линии связи для передачи данных, чтобы управлять обменом данных между внешним устройством и защищенным хостом. Метод управления передачей данных, охарактеризованный выше, не будет дублироваться далее при характеристике работы системы.

Кроме того, система управления передачей данных дополнительно включает в себя центр управления для удаленного управления устройством защиты терминала, причем центр управления состоит из сервера, управляющей станции и других узлов и соединен с сетевым интерфейсом EA1 устройства защиты терминала с помощью узла коммутации сети.

В настоящем описании охарактеризовано большое количество конкретных частных случаев. Однако очевидно, что варианты осуществления настоящего изобретения могут быть реализованы и без конкретных частных случаев. В некоторых вариантах осуществления изобретения общеизвестные способы, структуры и технологии не раскрываются подробно, чтобы не исказить понимание сущности изобретения.

Аналогичным образом, следует понимать, что для упрощения понимания сущности настоящего изобретения специалистами в данной области техники по одному или нескольким частным случаям выполнения в приведенных выше вариантах осуществления настоящего изобретения признаки настоящего технического решения иногда вместе группируются в один вариант осуществления, иллюстрацию или их описание. Однако описанный способ не следует толковать следующим образом: заявленное изобретение содержит больше признаков, чем признаки, приведенные в каждом пункте формулы изобретения. Таким образом, пункты формулы изобретения характеризуют техническое решение определенной совокупностью признаков, причем каждый пункт формулы изобретения характеризует отдельное техническое решение с помощью совокупности признаков, содержащейся в нем.

Специалисты в данной области должны понимать, что модули в устройстве в варианте осуществления изобретения могут быть адаптивно изменены и установлены в одном или нескольких устройствах, отличных от настоящего варианта осуществления. Модули, или блоки, или компоненты в вариантах осуществления изобретения могут быть объединены в один модуль, или блок, или установку, кроме того, они могут быть разделены на множество подмодулей или отдельных блоков или элементов установки. За исключением того случая, когда по крайней мере некоторые из таких признаков и/или процессов или блоков являются несовместимыми, все признаки, раскрытые в настоящем описании (включая прилагаемую формулу изобретения, реферат и чертежи), а также все процессы, или части любого способа, или устройства, раскрытые таким образом, могут быть объединены в любую комбинацию. Если не указано иное, признаки, раскрытые в документах заявки (включая прилагаемую формулу изобретения, реферат и чертежи), могут быть заменены альтернативными признаками, обеспечивающими получение тех же или эквивалентных объектов техники.

Кроме того, специалисты в данной области должны понимать, что, хотя некоторые варианты осуществления изобретения, описанные в описании, включают определенные признаки, включенные в другие варианты осуществления, сочетания признаков различных вариантов осуществления изобретения используются в пределах области техники настоящего изобретения и образуют различные варианты. Например, в формуле изобретения любой из заявленных случаев выполнения технического решения может быть использован в виде любой комбинации.

Осуществление настоящего изобретения с применением отдельных элементов может быть реализовано в виде аппаратного или программного модуля, работающего на одном или нескольких процессорах, или их комбинации. Специалист в данной области должен понимать, что на практике микропроцессор или процессор для цифровой обработки сигналов (DSP) могут быть использованы для реализации некоторых или всех функций отдельных или всех компонентов аппаратуры для фотографирования и записи, вычислительного устройства и машиночитаемого носителя информации в соответствии с вариантами осуществления настоящего изобретения. Настоящее изобретение также может быть реализовано в виде устройства или аппаратной программы (например, компьютерной программы и программного продукта для ЭВМ) для выполнения части или всего способа, описанного в настоящем описании. Такая программа, реализующая настоящее изобретение, может храниться на машиночитаемом носителе или может быть в форме, имеющей один или несколько сигналов. Такие сигналы могут быть загружены с веб-сайта в Интернете, или предоставлены несущим сигналом, или обеспечены в любой другой форме.

Иллюстрации к изобретению RU 2 822 994 C2

Реферат патента 2024 года СПОСОБ УПРАВЛЕНИЯ ПЕРЕМЕЩЕНИЕМ ДАННЫХ НА ОСНОВЕ ЛОГИЧЕСКОГО УЗЛА АППАРАТНОГО УПРАВЛЕНИЯ И СИСТЕМА ДЛЯ ОСУЩЕСТВЛЕНИЯ СПОСОБА

Изобретение относится к способу и системе управления перемещением данных. Технический результат заключается в повышении безопасности доступа к компьютеру. Способ включает подключение извне устройства защиты внешнего терминала к защищенному базовому компьютеру, где защитное устройство терминала дополнительно содержит модуль управления интерфейсом; логический узел аппаратного управления, внутренний интерфейс, внешний интерфейс и интерфейс передачи расположены на модуле управления интерфейсом; и интерфейс передачи соединен с модулем управления системой; подключение, с помощью логического узла аппаратного управления, основной линии связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и интерфейсом передачи, и поддержание основной линии связи между интерфейсом передачи и другими интерфейсами в отключенном состоянии, когда внешнему устройству необходимо передать данные на защищенный базовый компьютер; перемещение переданных данных в модуль управления системой с помощью интерфейса передачи и поддержание защищенного базового компьютера в состоянии отключения от данных; подключение с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом в устройстве защиты терминала и модулем управления системой; выполнение проверки безопасного доступа на внешнем устройстве с помощью модуля управления системой и определение, обладает ли внешнее устройство правом доступа; отключение с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и другими интерфейсами после того, как модуль управления системой выполнит проверку права безопасного доступа на внешнем устройстве и определит, что внешнее устройство не обладает правом доступа, чтобы фильтровать и запрещать передачу данных после получения доступа к внешнему устройству; и/или подключение с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и внешним интерфейсом, имеющим доступ к защищенному базовому компьютеру после того, как модуль управления системой выполнит проверку права безопасного доступа на внешнем устройстве и определит, что внешнее устройство является устройством с правом доступа, чтобы обеспечить обмен данными между внешним устройством и защищенным базовым компьютером. 2 н. и 7 з.п. ф-лы, 6 ил.

Формула изобретения RU 2 822 994 C2

1. Способ управления перемещением данных на основе логического узла аппаратного управления, включающий:

подключение извне устройства защиты внешнего терминала к защищенному базовому компьютеру, где защитное устройство терминала дополнительно содержит модуль управления интерфейсом; логический узел аппаратного управления, внутренний интерфейс, внешний интерфейс и интерфейс передачи расположены на модуле управления интерфейсом; и интерфейс передачи соединен с модулем управления системой;

перемещение переданных данных в модуль управления системой с помощью интерфейса передачи и поддержание защищенного базового компьютера в состоянии отключения от данных;

подключение с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом в устройстве защиты терминала и модулем управления системой;

выполнение проверки безопасного доступа на внешнем устройстве с помощью модуля управления системой и определение, обладает ли внешнее устройство правом доступа;

отключение с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и другими интерфейсами, после того, как модуль управления системой выполнит проверку права безопасного доступа на внешнем устройстве и определит, что внешнее устройство не обладает правом доступа, чтобы фильтровать и запрещать передачу данных после получения доступа к внешнему устройству; и/или

подключение с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и внешним интерфейсом, имеющим доступ к защищенному базовому компьютеру после того, как модуль управления системой выполнит проверку права безопасного доступа на внешнем устройстве и определит, что внешнее устройство является устройством с правом доступа, чтобы обеспечить обмен данными между внешним устройством и защищенным базовым компьютером.

2. Способ управления перемещением данных по п. 1, характеризующийся тем, что дополнительно включает:

установление безопасности переданных данных с помощью модуля управления системой, когда защищенный базовый компьютер находится в состоянии отключения от данных; и

изоляцию и хранение переданных данных посредством встроенной памяти в модуле управления интерфейсом после того, как будет установлена безопасность переданных данных.

3. Способ управления перемещением данных по п. 2, характеризующийся тем, что перед этапом изоляции и хранения переданных данных с помощью встроенной памяти в модуле управления интерфейсом способ дополнительно включает:

подключение с помощью логического узла аппаратного управления основной линии связи между интерфейсом передачи и встроенной памятью модуля управления интерфейсом, отключение основной линии связи между внешним интерфейсом и интерфейсом передачи, а также между встроенной памятью и внутренним интерфейсом, и копирование переданных данных во встроенную память модуля управления интерфейсом с помощью интерфейса передачи.

4. Способ управления перемещением данных по п. 2, характеризующийся тем, что также включает:

отключение с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом и встроенной памятью и подключение основной линии связи между внутренней памятью и внутренним интерфейсом;

перемещение переданных данных во встроенную память защищенного базового компьютера с помощью внутреннего интерфейса, при этом процессе логический узел аппаратного управления поддерживает основную линию связи между внешним интерфейсом и интерфейсом передачи, а основную линию связи между интерфейсом передачи и встроенной памятью он поддерживает в отключенном состоянии; и получение защищенным базовым компьютером переданных данных с помощью внутреннего интерфейса.

5. Способ управления перемещением данных по п. 1, характеризующийся тем, что дополнительно содержит:

изолирование и хранение переданных с базового компьютера данных с помощью встроенной памяти, когда защищенному базовому компьютеру необходимо передать данные на внешнее устройство.

6. Способ управления перемещением данных по п. 5, характеризующийся тем, что перед этапом изоляции и хранения переданных с базового компьютера данных с помощью встроенной памяти в модуле управления интерфейсом способ дополнительно включает:

подключение логического узла аппаратного управления основной линии связи между встроенной памятью и внутренним интерфейсом, перемещение переданных с базового компьютера данных во встроенную память посредством внутреннего интерфейса и поддержание основной линии связи между встроенной памятью и другими интерфейсами в отключенном состоянии.

7. Способ управления перемещением данных по п. 6, характеризующийся тем, что

после этапа перемещения переданных с защищенного базового компьютера данных во встроенную память с помощью внутреннего интерфейса способ дополнительно включает:

отключение с помощью логического узла аппаратного управления основной линии связи между встроенной памятью и внутренним интерфейсом и подключение основной линии связи между встроенной памятью и интерфейсом передачи;

перемещение переданных с защищенного базового компьютера данных, сохраненных во встроенной памяти, в модуль управления системой с помощью интерфейса передачи; и

выполнение проверки соответствия переданных с защищенного базового компьютера данных с помощью модуля управления системой, определение соответствия переданных с защищенного базового компьютера данных заданной политике соответствия и поддержание с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом и интерфейсом передачи, а также между внутренним интерфейсом и встроенной памятью в отключенном состоянии.

8. Способ управления перемещением данных по п. 7, характеризующийся тем, что дополнительно содержит:

подключение с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и интерфейсом передачи после проверки соответствия переданных с защищенного базового компьютера данных; копирование переданных с защищенного базового компьютера данных во внешнем устройстве, имеющем доступ к внешнему интерфейсу; и поддержание с помощью логического узла аппаратного управления основной линии связи между интерфейсом передачи и встроенной памятью, а также между внутренним интерфейсом и встроенной памятью в отключенном состоянии.

9. Система управления передачей данных, включающая:

одно или более внешних устройств,

защищенный базовый компьютер, и

защитное устройство терминала, содержащее внутри логический узел аппаратного управления, извне подключенное к защищенному базовому компьютеру и имеющее доступ ко всем данным интерфейсов защищенного базового компьютера, где защитное устройство терминала дополнительно содержит модуль управления интерфейсом; логический узел аппаратного управления, внутренний интерфейс, внешний интерфейс и интерфейс передачи расположены на модуле управления интерфейсом; и интерфейс передачи соединен с модулем управления системой;

система выполнена обеспечивающей:

подключение, с помощью логического узла аппаратного управления, основной линии связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и интерфейсом передачи и поддержание основной линии связи между интерфейсом передачи и другими интерфейсами в отключенном состоянии, когда внешнему устройству необходимо передать данные на защищенный базовый компьютер; перемещение переданных данных в модуль управления системой с помощью интерфейса передачи и поддержание защищенного базового компьютера в состоянии отключения от данных;

подключение, с помощью логического узла аппаратного управления, основной линии связи между внешним интерфейсом в устройстве защиты терминала и модулем управления системой;

подключение с помощью логического узла аппаратного управления основной линии связи между внешним интерфейсом, имеющим доступ к внешнему устройству, и внешним интерфейсом, имеющим доступ к защищенному базовому компьютеру, после того, как модуль управления системой выполнит проверку права безопасного доступа на внешнем устройстве и определит, что внешнее устройство является устройством с правом доступа, чтобы обеспечить обмен данными между внешним устройством и защищенным базовым компьютером.

Документы, цитированные в отчете о поиске Патент 2024 года RU2822994C2

CN 106022094 A, 12.10.2016
CN 103532980 A, 22.01.2014
CN 103020546 A, 03.04.2013
Способ получения цианистых соединений	1924	Климов Б.К.	SU2018A1
Устройство для закрепления лыж на раме мотоциклов и велосипедов взамен переднего колеса	1924	Шапошников Н.П.	SU2015A1
Пресс для выдавливания из деревянных дисков заготовок для ниточных катушек	1923	Григорьев П.Н.	SU2007A1
Способ получения цианистых соединений	1924	Климов Б.К.	SU2018A1
EP 1940405 A4, 29.06.2011
Автомобиль-сани, движущиеся на полозьях посредством устанавливающихся по высоте колес с шинами	1924	Ф.А. Клейн	SU2017A1

RU 2 822 994 C2

Авторы

Ду, Хуа

Ай, Вэй

Цай, Чжэньхэ

Чжан, Хао

Даты

2024-07-17—Публикация

2019-01-16—Подача

название	год	авторы	номер документа
ЗАЩИТНОЕ УСТРОЙСТВО ВНЕШНЕГО ТЕРМИНАЛА И СИСТЕМА ЗАЩИТЫ	2019	Ду, Хуа Ай, Вэй Цай, Чжэньхэ Чжан, Хао	RU2764292C1
Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды и способ реализации удаленного управления	2016	Дударев Дмитрий Александрович Панасенко Сергей Петрович Пузырев Дмитрий Вячеславович Романец Юрий Васильевич Сырчин Владимир Кимович	RU2633098C1
УСТРОЙСТВО СОЗДАНИЯ ДОВЕРЕННОЙ СРЕДЫ ДЛЯ КОМПЬЮТЕРОВ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ	2014	Дударев Дмитрий Александрович Кравцов Алексей Юрьевич Полетаев Владимир Михайлович Полтавцев Александр Васильевич Романец Юрий Васильевич Сырчин Владимир Кимович	RU2569577C1
Способ и устройство доверенной загрузки компьютера с контролем периферийных интерфейсов	2020	Дударев Дмитрий Александрович Лыгач Виктор Викторович Мазуркин Никита Сергеевич Панасенко Сергей Петрович Полтавцев Александр Васильевич Романец Юрий Васильевич Сырчин Владимир Кимович	RU2748575C1
УСТРОЙСТВО СОЗДАНИЯ ДОВЕРЕННОЙ СРЕДЫ ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ	2013	Дударев Дмитрий Александрович Полетаев Владимир Михайлович Полтавцев Александр Васильевич Романец Юрий Васильевич Сырчин Владимир Кимович	RU2538329C1
Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды	2017	Бычков Игнат Николаевич Дударев Дмитрий Александрович Молчанов Игорь Анатольевич Орлов Михаил Викторович Панасенко Сергей Петрович Пузырев Дмитрий Вячеславович Романец Юрий Васильевич Сырчин Владимир Кимович	RU2690782C2
УСТРОЙСТВО ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ	2006	Алференков Николай Николаевич Полетаев Владимир Михайлович Романец Юрий Васильевич Снетков Павел Валентинович Сырчин Владимир Кимович Тимофеев Петр Александрович Чентуков Александр Викторович	RU2321055C2
СПОСОБ И СИСТЕМА ДИСТАНЦИОННОГО УПРАВЛЕНИЯ УДАЛЕННЫМИ ЭЛЕКТРОННЫМИ УСТРОЙСТВАМИ	2021	Груздев Сергей Львович Демченко Константин Олегович Крячков Антон Викторович Лебедев Анатолий Николаевич	RU2766542C1
ЗАЩИЩЕННЫЙ КОМПЬЮТЕР, СОХРАНЯЮЩИЙ РАБОТОСПОСОБНОСТЬ ПРИ ПОВРЕЖДЕНИИ	2015	Ткаченко Юрий Анатольевич	RU2591180C1
УСТРОЙСТВО ЗАЩИТЫ ОТ АТАК ДЛЯ СЕТЕВЫХ СИСТЕМ	2013	Пузанов Николай Анатольевич Шубин Дмитрий Леонидович	RU2552135C2