專利名稱:通用串行總線的硬件防火墻轉(zhuǎn)接器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種存儲(chǔ)裝置���,更具體而言,涉及一個(gè)防火墻用在所述存儲(chǔ)裝置��。
背景技術(shù):
存儲(chǔ)裝置在各式各樣的環(huán)境下被使用����。一般而言,存儲(chǔ)裝置通常用在主機(jī)系統(tǒng)中 以儲(chǔ)存數(shù)據(jù)����。圖ι顯示一種具有加密引擎12的通用串行總線(USB)存儲(chǔ)裝置10。加密引擎 12可通過軟件或硬件的方式 實(shí)現(xiàn)�����。存儲(chǔ)裝置10包含USB主機(jī)接口邏輯14以連接在一主機(jī) 裝置���。為控制整體裝置,一個(gè)小型、低效能的板載處理器(onboard processor) 16被采用��。存 儲(chǔ)裝置10還包含用在裝置控制器固件操作(device controller firmware operation)的 板載隨機(jī)存取存儲(chǔ)器(Random Access Memory, RAM) 18與只讀存儲(chǔ)器(Read Only Memory, ROM) 20��、用在儲(chǔ)存數(shù)據(jù)的閃存22以及用在閃存接口邏輯24�����。當(dāng)前技術(shù)需要在主機(jī)系統(tǒng)上執(zhí)行一部分的SAMM軟件��。然而����,當(dāng)所述軟件運(yùn)行在不 受控制且不具有防護(hù)的環(huán)境下時(shí),所述軟件很可能會(huì)失去防護(hù)作用�。圖2顯示USB存儲(chǔ)裝置100,其包含部分類似在圖1的裝置����。然而,USB存儲(chǔ)裝置 100還具有應(yīng)用程序RAM 102和高效能處理器104�����。高效能處理器104和應(yīng)用程序RAM 102 提供具有充足的效能的安全區(qū)域����,使多個(gè)SAMM應(yīng)用程序得以執(zhí)行在USB存儲(chǔ)裝置內(nèi)���。圖1所描繪的USB存儲(chǔ)裝置10因提供加密,故當(dāng)USB存儲(chǔ)裝置10丟失或被盜時(shí)�����, 得以保護(hù)USB存儲(chǔ)裝置10內(nèi)的數(shù)據(jù)�。此種結(jié)構(gòu)假設(shè)使用者與其所連接的主機(jī)系統(tǒng)皆屬完 全被信任的。然而�,由在企業(yè)外部的文件活動(dòng)無法被USB存儲(chǔ)裝置10所控制或監(jiān)視,以至 在SAMM軟件必須運(yùn)行在主機(jī)系統(tǒng)上��,因而使得SAMM軟件易失去防護(hù)作用��。當(dāng)SAMM軟件運(yùn) 行在不受控制的主機(jī)系統(tǒng)上時(shí)�����,SAMM軟件可能因失效用或失去防護(hù)作用���,而導(dǎo)致USB存儲(chǔ) 裝置10易受病毒�、間諜軟件和惡意軟件的攻擊��。圖2所描繪的USB存儲(chǔ)裝置100通過利用一些可靠的應(yīng)用程序(例如多個(gè)SAMM 應(yīng)用程序)提供了安全區(qū)域以解決上述問題�。但是,結(jié)合高效能處理器104與附加的應(yīng)用 程序RAM 102以提供足夠效能運(yùn)行所述多個(gè)SAMM應(yīng)用程序所產(chǎn)生的額外成本可能會(huì)相當(dāng) 高��。當(dāng)一機(jī)構(gòu)對(duì)在儲(chǔ)存在所購買的USB存儲(chǔ)裝置100中的數(shù)據(jù)需要此種等級(jí)的防護(hù)及控制 時(shí)�����,此成本增加情形則反應(yīng)在各USB存儲(chǔ)裝置100上����。任何公司、企業(yè)或機(jī)構(gòu)��,其所擁有的電腦和/或主機(jī)系統(tǒng)通過授予有限的存取權(quán) 限給使用者來確保安全性�。此種環(huán)境即無需使用圖2中所描繪的USB存儲(chǔ)裝置100,因?yàn)?所述多個(gè)SAMM應(yīng)用程序可大幅減少所述多個(gè)主機(jī)系統(tǒng)的失去防護(hù)的風(fēng)險(xiǎn)并使其安全地運(yùn) 作��。因此�����,僅當(dāng)USB存儲(chǔ)裝置連接到機(jī)構(gòu)所能控制的范圍以外的主機(jī)系統(tǒng)時(shí)�����,才會(huì)需要上述 額外的處理能力以及圖2的USB存儲(chǔ)裝置100的專用的應(yīng)用程序RAM 102。一般而言����,只有 少數(shù)使用者需要使用非企業(yè)信任的存儲(chǔ)裝置。因此�,若要求所有USB存儲(chǔ)裝置都具有此防 護(hù)功能將會(huì)使其成本變得高昂。因此��,一種系統(tǒng)和一種解決上述問題的方法是需要的�,而本發(fā)明解決了此需求。
發(fā)明內(nèi)容
本發(fā)明提供一系統(tǒng)���,包含存儲(chǔ)裝置��、非安全主機(jī)以及硬件防火墻轉(zhuǎn)接器�,所述硬件 防火墻轉(zhuǎn)接器連接在所述存儲(chǔ)裝置及所述非安全主機(jī)間�。當(dāng)所述存儲(chǔ)裝置不在受控環(huán)境下 使用時(shí),所述硬件防火墻轉(zhuǎn)接器使多個(gè)應(yīng)用程序運(yùn)作在安全環(huán)境�。本發(fā)明的系統(tǒng)及其方法,當(dāng)存儲(chǔ)裝置在一具有防護(hù)的環(huán)境下連接至不受控制與監(jiān) 視的主機(jī)系統(tǒng)時(shí)��,提供防護(hù)區(qū)域使軟件執(zhí)行在分離的硬件防火墻轉(zhuǎn)接器上�����。當(dāng)存儲(chǔ)裝置在 不受控制且不具有防護(hù)的環(huán)境下連接至個(gè)人電腦時(shí),所述軟件包含多個(gè)SAMM應(yīng)用程序��。
圖1為公知加密USB存儲(chǔ)裝置的方塊圖���;圖2 —公知USB存儲(chǔ)裝置,其具有高效能處理器和應(yīng)用程序RAM �;圖3描繪本發(fā)明的USB-HF轉(zhuǎn)接器,其具有高效能處理器與應(yīng)用程序隨機(jī)存取存儲(chǔ) 器�;圖4為USB快閃存儲(chǔ)裝置通過USB-HF轉(zhuǎn)接器安全地連接到非安全主機(jī)系統(tǒng)的方 塊圖;圖5A描繪一實(shí)施例中USB存儲(chǔ)裝置連接至安全主機(jī)的第一系統(tǒng)運(yùn)作模式��;圖5B描繪USB存儲(chǔ)裝置連接至非安全主機(jī)的第二系統(tǒng)運(yùn)作模式����;以及圖5C描繪使用USB-HF轉(zhuǎn)接器將USB存儲(chǔ)裝置連接至非安全主機(jī)的第三系統(tǒng)運(yùn)作 模式。
具體實(shí)施例方式本發(fā)明是關(guān)于一存儲(chǔ)裝置�����,特別是關(guān)于用在存儲(chǔ)裝置的一防火墻。鑒於專利申請(qǐng) 及其要求����,以下說明可使所屬技術(shù)領(lǐng)域具有通常知識(shí)者能完成和使用本發(fā)明�����。對(duì)在所屬技 術(shù)領(lǐng)域具有通常知識(shí)者,根據(jù)優(yōu)選實(shí)施例�、一般原則及描述在此的技術(shù)特征,可清楚了解本 發(fā)明的各種調(diào)整和變化���。例如�,雖然本發(fā)明所述的系統(tǒng)和方法在USB存儲(chǔ)裝置的技術(shù)領(lǐng)域 中���,然而此系統(tǒng)和方法也可被使用在其他存儲(chǔ)裝置領(lǐng)域中���。因此,所屬技術(shù)領(lǐng)域具有通常知 識(shí)者應(yīng)了解本發(fā)明并非僅限在USB存儲(chǔ)裝置����。據(jù)此,本發(fā)明的范圍并非限制在下述實(shí)施例��, 而應(yīng)符合其所述的原則與技術(shù)特征的最廣范圍�����。在使用一防火墻轉(zhuǎn)接器時(shí),將高效能的硬件自圖2的USB快閃存儲(chǔ)裝置100中分 離并置於所述防火墻轉(zhuǎn)接器中�。這樣一來,當(dāng)SAMM應(yīng)用程序運(yùn)行在一受控環(huán)境以外的范圍 時(shí)��,仍提供一安全環(huán)境�,同時(shí)大幅減少USB存儲(chǔ)裝置的成本。當(dāng)應(yīng)用程序通過執(zhí)行存取策略以提供安全性��,所述多個(gè)存取策略包含限制文件操 作����,例如根據(jù)文件的位置及屬性以復(fù)制����、貼上、移動(dòng)或重新命名文件�。所述多個(gè)限制套用在 文件和/或目錄上,以防止它們被開啟��、瀏覽或修改���。除此之外��,防止病毒��、惡意軟件的軟件 可掃描及防止已感染的文件被復(fù)制至USB存儲(chǔ)裝置�。所述軟件還可防止因加密或鎖定而無 法掃描的文件復(fù)制至所述USB存儲(chǔ)裝置。防護(hù)軟件也可以建立一個(gè)需驗(yàn)證的安全通訊連結(jié) 在USB存儲(chǔ)裝置和硬件防火墻轉(zhuǎn)接器間����,以免在“中間人(Man-in-the-middle ;MITM) ”類 型的攻擊��。管理軟件可提供一遠(yuǎn)端系統(tǒng)管理功能至一已連接的USB存儲(chǔ)裝置�。這些管理功能包含所述存儲(chǔ)裝置的鎖定、解鎖���、格式化/抹除及密碼重置��。監(jiān)視軟件可監(jiān)視文件的所有活動(dòng)�����,并記錄到日志文件中�����,日志文件可本地儲(chǔ)存在 所述存儲(chǔ)裝置或所述防火墻轉(zhuǎn)接器���。若存取可被允許����,日志文件也可通過網(wǎng)際網(wǎng)路傳送至 一安全服務(wù)器上���。所述多個(gè)文件活動(dòng)包括刪除��、復(fù)制�、重新命名��、貼上�����、移動(dòng)�、儲(chǔ)存�、另存新 文件及開啟。在使用所述系統(tǒng)時(shí)��,一機(jī)構(gòu)需要購買和部署一定數(shù)量的防火墻轉(zhuǎn)接器����。所述多個(gè) 防火墻轉(zhuǎn)接器僅為了解決當(dāng)一安全USB接口連接至所述機(jī)構(gòu)所能控制的范圍以外的一非 安全主機(jī)系統(tǒng)時(shí)的特殊需求。因此����,通過購買一定數(shù)量的USB防火墻轉(zhuǎn)接器以提供在圖2 中當(dāng)USB存儲(chǔ)裝置欲連接至一非安全主機(jī)系統(tǒng)時(shí)的裝置的功能��,則成本類似在圖1的所述 多個(gè)USB存儲(chǔ)裝置10可被購買和部署���。圖3是本發(fā)明的一通用串行總線的硬件防火墻(Universal Serial Bus-Hardware Firewall, USB-HF)轉(zhuǎn)接器200的一實(shí)施例的方塊圖。USB-HF轉(zhuǎn)接器200包含一連接在應(yīng) 用程序RAM 212的高效能處理器202���。應(yīng)用程序RAM 212的提供為了多個(gè)SAMM應(yīng)用程序的 執(zhí)行����。防火墻轉(zhuǎn)接器200還包含一連接至處理器202的USB主機(jī)接口邏輯216以及一連接 至主機(jī)的USB接口 214��。防火墻轉(zhuǎn)接器200還包含一連接至處理器202的一 USB存儲(chǔ)裝置 接口邏輯218以及連接至一 USB存儲(chǔ)裝置的一 USB接口 210�。防火墻轉(zhuǎn)接器200又還包含 一連接至高效能處理器202、隨機(jī)存取存儲(chǔ)器204以及只讀存儲(chǔ)器206的一加密引擎208�����。 USB裝置接口邏輯218用以使一 USB存儲(chǔ)裝置(圖未繪示)連接至USB-HF轉(zhuǎn)接器200����。USB 主機(jī)接口邏輯216用以連接至一非安全主機(jī)系統(tǒng)302 (請(qǐng)參閱圖4)。當(dāng)一相容的USB存儲(chǔ) 裝置304連接至所述USB-HF轉(zhuǎn)接器200的儲(chǔ)存接口����,以連接至如圖4所示的一不受控制的 主機(jī)系統(tǒng)302時(shí)�,聯(lián)合裝置300可安全地運(yùn)作�����。圖5A-圖5C顯示三個(gè)不同的操作模式��。在圖5A中����,所有主機(jī)402A至402η可在 所述安全環(huán)境下連接至任一 USB存儲(chǔ)裝置404。由在所述這些系統(tǒng)受到控制����,且使用者在存 取及控制主機(jī)系統(tǒng)上具有限制,因此所述多個(gè)SAMM應(yīng)用程序可安全地在此環(huán)境中運(yùn)作�����。在圖5Β中����,一 USB存儲(chǔ)裝置404����,連接至一非安全主機(jī)406���。如圖1所示的快閃 存儲(chǔ)裝置10可在此環(huán)境中運(yùn)作。然而�,所述多個(gè)SAMM應(yīng)用程序無法安全地運(yùn)行,因?yàn)樵诖?非安全的主機(jī)上SAMM應(yīng)用程序易失去防護(hù)作用��。欲與USB-HF轉(zhuǎn)接器一同使用的一存儲(chǔ)裝 置則不會(huì)在此環(huán)境下運(yùn)作�����。據(jù)此�����,在此情境中��,無法監(jiān)視或無法受限制的活動(dòng)不能在一與 USB-HF轉(zhuǎn)接器相容的存儲(chǔ)裝置上執(zhí)行����。在圖5C中,與USB-HF轉(zhuǎn)接器相容的一存儲(chǔ)裝置404通過USB-HF轉(zhuǎn)接器200”連 接至非安全主機(jī)406’���。在此情境中�����,由在所述多個(gè)SAMM應(yīng)用程序可在USB-HF轉(zhuǎn)接器上的 安全區(qū)域中運(yùn)行��,因此所有的SAMM功能皆被維持��。當(dāng)前技術(shù)需要一部分的SAMM軟件在主機(jī)系統(tǒng)上執(zhí)行����。然而,當(dāng)SAMM軟件在運(yùn)行 在一不受控制且不具防護(hù)的環(huán)境中時(shí)����,SAMM軟件可能易失去防護(hù)作用。 USB-HF硬件結(jié)構(gòu)給軟件設(shè)計(jì)師一個(gè)具有充分處理能力以執(zhí)行應(yīng)用程序的安全防 護(hù)區(qū)域���。將處理器置於USB-HF轉(zhuǎn)接器而非USB存儲(chǔ)裝置上�,可使存儲(chǔ)裝置的成本維持最 低�。此處理能力可置於一公知USB存儲(chǔ)裝置上,其中SAMM軟件可執(zhí)行在一受控且具防護(hù)的 環(huán)境�����。然而�,運(yùn)行這些應(yīng)用程序需要具有足夠效能的高效能處理的硬件,因而大量增加每個(gè)USB存儲(chǔ)裝置的成本��。此外��,在一電腦運(yùn)行在一受控制且受信任的環(huán)境中時(shí)��,軟件可在主機(jī) 系統(tǒng)上安全地執(zhí)行�����,則不需要上述的硬件�。
上述的實(shí)施例僅用來例舉本發(fā)明的實(shí)施態(tài)樣。任何所屬技術(shù)領(lǐng)域具有通常知識(shí)者 可清楚了解所述多個(gè)實(shí)施例可具有多種變化�����,且這些變化皆屬本發(fā)明主張的精神及范圍�。 舉例而言,雖然本發(fā)明描述USB存儲(chǔ)裝置的情況�����,然而本發(fā)明可被套用在其他各種環(huán)境中���。 因此�,本發(fā)明的用途可涵蓋至保全數(shù)字(Secure Digital, SD)卡、縮微卡片(Microcard)�����、 小型卡(Minicard)�、袖珍閃存(Compact Flash,CF)卡以及其他具儲(chǔ)存功能的裝置,這些皆 屬在本發(fā)明主張的精神及范圍���。此外�,雖然本發(fā)明描述提供所述多個(gè)SAMM應(yīng)用程序在一安 全環(huán)境的情況����,然而其他各種應(yīng)用程序也可被提供在其中,且其用途皆屬本發(fā)明主張的精 神及范圍����。因此,任何熟悉此技術(shù)者可輕易完成的改變或均等性的安排均屬在本發(fā)明所主 張的精神及范圍���,本發(fā)明的權(quán)利范圍應(yīng)以申請(qǐng)專利范圍為準(zhǔn)����。
權(quán)利要求
1.一種系統(tǒng),其特征在于����,包含 存儲(chǔ)裝置�;非安全主機(jī);以及硬件防火墻轉(zhuǎn)接器�����,連接在所述存儲(chǔ)裝置及所述非安全主機(jī)間��; 其中����,當(dāng)所述存儲(chǔ)裝置不在受控環(huán)境下被使用時(shí),所述硬件防火墻轉(zhuǎn)接器使多個(gè)應(yīng)用 程式運(yùn)作在安全環(huán)境��。
2.如權(quán)利要求1所述的系統(tǒng)�����,其特征在于���,所述硬件防火墻轉(zhuǎn)接器包含 應(yīng)用程序隨機(jī)存取存儲(chǔ)器����,用以儲(chǔ)存所述多個(gè)應(yīng)用程序;以及高效能處理器���,用以執(zhí)行所述多個(gè)應(yīng)用程序�����。
3.如權(quán)利要求1所述的系統(tǒng)�,其特征在于��,所述多個(gè)應(yīng)用程序被所述硬件防火墻轉(zhuǎn)接 器所執(zhí)行�。
4.如權(quán)利要求3所述的系統(tǒng),其特征在于���,所述多個(gè)應(yīng)用程序執(zhí)行多個(gè)用以限制多個(gè) 文件操作的策略����,提供遠(yuǎn)端遙控管理功能�����,以及監(jiān)視多個(gè)文件活動(dòng)及記錄所述多個(gè)文件活 動(dòng)并儲(chǔ)存在所述存儲(chǔ)裝置�、所述硬件防火墻轉(zhuǎn)接器與安全遠(yuǎn)端服務(wù)器其中之一��。
5.一種通用串行總線的硬件防火墻轉(zhuǎn)接器�����,其特征在于,包含 第一接口�,用以連接至主機(jī);通用串行總線主機(jī)接口邏輯��,連接至所述第一接口 ��; 第二接口�����,用以連接至通用串行總線存儲(chǔ)裝置��; 通用串行總線裝置接口邏輯�,連接至所述第二接口 ; 應(yīng)用程序隨機(jī)存取存儲(chǔ)器���,用以儲(chǔ)存多個(gè)應(yīng)用程序�����;處理器�,連接至所述應(yīng)用程序隨機(jī)存取存儲(chǔ)器、所述通用串行總線主機(jī)接口邏輯以及 所述通用串行總線裝置接口邏輯����,其中所述處理器用以執(zhí)行所述多個(gè)應(yīng)用程序。
6.如權(quán)利要求5所述的系統(tǒng)���,其特征在于���,所述多個(gè)應(yīng)用程序被通用串行總線的硬件 防火墻所執(zhí)行。
7.如權(quán)利要求6所述的通用串行總線的硬件防火墻轉(zhuǎn)接器��,其特征在于�,所述多個(gè)應(yīng) 用程序執(zhí)行多個(gè)用以限制多個(gè)文件操作的策略,提供遠(yuǎn)端遙控管理功能���,以及監(jiān)視多個(gè)文 件活動(dòng)及記錄所述多個(gè)文件活動(dòng)并儲(chǔ)存在所述存儲(chǔ)裝置�����、所述通用串行總線的硬件防火墻 轉(zhuǎn)接器與安全服務(wù)器其中之一�����。
8.一種系統(tǒng)�,其特征在于,包含 通用串行總線存儲(chǔ)裝置����;非安全主機(jī);以及通用串行總線的硬件防火墻轉(zhuǎn)接器��,連接在所述通用串行總線存儲(chǔ)裝置及所述非安全 主機(jī)間����;其中�����,當(dāng)所述通用串行總線存儲(chǔ)裝置不在受控環(huán)境下被使用時(shí)�,所述通用串行總線的 硬件防火墻轉(zhuǎn)接器使多個(gè)應(yīng)用程序運(yùn)作在安全環(huán)境。
9.如權(quán)利要求8所述的系統(tǒng)��,其特征在于���,所述通用串行總線的硬件防火墻轉(zhuǎn)接器包含應(yīng)用程序隨機(jī)存取存儲(chǔ)器���,用以儲(chǔ)存所述多個(gè)應(yīng)用程序���;以及 高效能處理器,用以執(zhí)行所述多個(gè)應(yīng)用程序����。
10.如權(quán)利要求8所述的系統(tǒng),其特征在于����,所述多個(gè)應(yīng)用程序被所述通用串行總線的 硬件防火墻轉(zhuǎn)接器所執(zhí)行。
11.如權(quán)利要求10所述的系統(tǒng)�,其特征在于,所述多個(gè)應(yīng)用程序執(zhí)行多個(gè)用以限制多 個(gè)文件操作的策略����,提供遠(yuǎn)端遙控管理功能,以及監(jiān)視多個(gè)文件活動(dòng)及記錄所述多個(gè)文件 活動(dòng)并儲(chǔ)存在所述存儲(chǔ)裝置���、所述通用串行總線的硬件防火墻轉(zhuǎn)接器與安全服務(wù)器其中之
全文摘要
本發(fā)明揭露一種系統(tǒng)及方法提供一防護(hù)區(qū)域�����,當(dāng)存儲(chǔ)裝置連接不受控或無監(jiān)視的主機(jī)系統(tǒng)并操作在不具有防護(hù)的環(huán)境時(shí)�,使軟件運(yùn)行在硬件防火墻轉(zhuǎn)接器��。當(dāng)USB存儲(chǔ)裝置在不受控制且不具有防護(hù)的環(huán)境下連接至個(gè)人電腦時(shí),所述軟件通過多個(gè)保護(hù)措施����、存取管理并監(jiān)視應(yīng)用程式以提供安全性。
文檔編號(hào)G06F12/00GK102138131SQ201080001838
公開日2011年7月27日 申請(qǐng)日期2010年6月23日 優(yōu)先權(quán)日2009年8月3日
發(fā)明者C·T·鄧, J·特普寧, J·陳 申請(qǐng)人:金士頓科技股份有限公司