耦接至網絡客戶端上的隨插即用裝置的防護系統及方法

2023-05-18 10:37:46

專利名稱：耦接至網絡客戶端上的隨插即用裝置的防護系統及方法
技術領域：
本發明涉及一種隨插即用裝置的防護系統及方法，且特別涉及一種可以在遠程通過網絡對於耦接至一網絡客戶端上的一隨插即用裝置，進行上鎖或開鎖的防護系統及方法。
背景技術：
隨著可移動式媒體的普及，計算機數據的存儲、備份與攜帶已經可以輕易實現。然而，對於一些需要受到保護的計算機數據相對地也容易遭到外洩。
目前較為普遍的可移動式媒體是以通用序列總線(Universal SerialBus，USB)為通訊接口的存儲裝置，且傳統上對於此種存儲裝置的防寫保護，是以硬體方式，如通過調整切換器(Switch)來完成防寫設定。然而，此種方式極易被使用者解除防寫，對於數據安全較無保障。
此外，美國專利6,463,540亦提出針對USB裝置進行安全防護的方法。圖1示出了根據美國專利6,463,540對於周邊裝置進行防護方法實施的結構圖。如圖所示，揭示於美國專利6,463,540的計算機系統結構中包括一計算機10與一裝置20。計算機10包括一總線11與一過濾驅動程序12。總線11用以與相關外圍裝置連接。過濾驅動程序12用以將計算機10中所記錄的擁有者ID(識別數據)傳送至裝置20。
裝置20具有連接裝置21、擁有者ID存儲器22、狀態存儲器23、內存24、與中央處理器25。連接裝置21用以與計算機10的總線11連接。擁有者ID存儲器22記錄裝置20的擁有者ID。狀態存儲器23中記錄裝置20目前的狀態，如上鎖、開鎖等等狀態。內存24存儲由計算機10所傳送的數據。中央處理器25可以是一比較器，用以將計算機10通過驅動程序12傳送的擁有者ID與擁有者ID存儲器22中記錄的擁有者ID進行比對，當比對符合且裝置20的狀態為未上鎖時，則計算機10可以對於裝置20進行讀寫。
然而，對於美國專利6,463,540的裝置防護方法而言，外圍裝置上必須存儲相應擁有者的相關信息與裝置的狀態信息，且外圍裝置必須增設額外的處理器進行相應的保護比較程序。另外，對於已知方法的目的而言，大多是避免外圍裝置受到不適當存取，而非避免計算機的信息遭到不正當竊取。已知技術對於計算機信息的保護仍無法有效實現。

發明內容
有鑑於此，本發明的目的是提供一種可以在遠程通過網絡對耦接至一客戶端上的一隨插即用裝置進行上鎖或開鎖的防護系統及方法。
根據本發明實施例的用於耦接至一網絡客戶端上的一隨插即用裝置的防護系統，包括一伺服器端、一網絡與一客戶端。伺服器端事先通過遠程控制代理器部署一監控程序在客戶端上，並且通過網絡傳送上鎖訊息或開鎖訊息至客戶端。客戶端則根據所接收的訊息以監控程序通過磁碟輸入/輸出應用程式接口將隨插即用裝置進行上鎖或開鎖。
根據本發明實施例的用於耦接至網絡客戶端的隨插即用裝置的防護方法包含以下步驟。一開始時，伺服器端傳送一上鎖訊息或開鎖訊息。接下來，在客戶端通過網絡接收來自伺服器端的上鎖訊息或開鎖訊息，並根據所接收的訊息以一監控程序通過磁碟輸入/輸出應用程式接口將隨插即用裝置進行上鎖或開鎖。
此外，當接收到上鎖訊息或開鎖訊息時，監控程序進一步更新一上鎖標記。而當客戶端新插入一隨插即用裝置時，則監控程序比較此隨插即用裝置是否符合一上鎖目標。若此隨插即用裝置符合上鎖目標，則監控程序檢查上鎖標記，並根據上鎖標記的狀態將新插入的隨插即用裝置進行上鎖。
而當隨插即用裝置自客戶端拔出時，監控程序檢查此隨插即用裝置是否為一已上鎖裝置。若此隨插即用裝置為已上鎖裝置，則通過磁碟輸出/輸入應用程式接口將相應此隨插即用裝置的連接埠開鎖。而當客戶端重新開機時，監控程序則檢查上鎖標記，並根據上鎖標記將隨插即用裝置進行上鎖或開鎖。


為使本發明的上述目的、特徵和優點能更明顯易懂，下文特舉實施例，並結合附圖詳細說明如下。
圖1示出了根據美國專利6,463,540所披露的隨插即用周邊裝置防護方法的計算機系統結構圖。
圖2示出了根據本發明實施例的用於耦接至網絡客戶端上的隨插即用裝置的防護系統的系統示意圖。
圖3示出了根據本發明實施例的將耦接至網絡客戶端上的隨插即用裝置上鎖的流程圖。
圖4示出了根據本發明實施例的將耦接至網絡客戶端上的隨插即用裝置開鎖的流程圖。
圖5示出了根據本發明實施例的當隨插即用裝置自客戶端插入或拔出時相應的上鎖與開鎖流程圖。
標號說明10-計算機；11-總線；12-過濾驅動程序；20-裝置；21-連接裝置；22-擁有者ID存儲器；23-狀態存儲器；24-內存；25-中央處理器；310-伺服器端；311-遠程控制代理器；312-程序資料庫；313-監控程序；320-網絡；330-客戶端；331-遠程控制代理器；332-監控程序；333-上鎖標記；334-磁碟輸入/輸出應用程式接口(Disk I/O API)；335-隨插即用應用程式接口(PnP API)；336-作業系統；337-裝置驅動程序；340-隨插即用裝置；S41、S42、…、S46-操作步驟；S51、S52、…、S56-操作步驟；S61、S62、…、S74-操作步驟。
具體實施例方式
圖2示出了根據本發明實施例的用於耦接至網絡客戶端上的隨插即用裝置的防護系統的系統示意圖。根據本發明實施例的用於耦接至網絡客戶端上的隨插即用裝置的防護系統包括一伺服器端310、一網絡320、一客戶端330與一隨插即用裝置340。應注意的是，伺服器端可以通過網絡對於多個客戶端進行控制與管理。為簡要說明起見，在本發明實施例中，伺服器端為針對單一客戶端進行控制與管理。
伺服器端310中包括一程序資料庫312，用以存儲一監控程序313。伺服器端310設有一遠程控制代理器(remote control agent)311，如Intel公司的LDCM(LanDesk Client Manager)程序，用以利用此遠程控制代理器311將程序資料庫312中的監控程序313通過網絡320部署在客戶端330上。應注意的是，伺服器端310可以事先將監控程序313部署於客戶端330的上，並成為常駐程序，以方便日後耦接至客戶端330上的隨插即用裝置340保護控制之用。監控程序313的詳細操作將於後面說明。
網絡320可以是網際網路(Internet)、企業網絡(Intranet)、纜線網絡(Cable Network)、或是無線網絡(Wireless Network)。
相同地，客戶端330上亦架設相應於伺服器端310上的遠程控制代理器311的一遠程控制代理器331，用以接收來自伺服器端310的指令。客戶端330中包括由伺服器端310所部署的監控程序332、一上鎖標記333、一磁碟輸入/輸出應用程式接口(Disk I/O API)334、一隨插即用應用程式接口(PnP API)335、一作業系統336、與一裝置驅動程序337。
監控程序332中具有一上鎖目標表(圖中未顯示)，用以記錄需要進行保護(上鎖)的隨插即用裝置的種類，與一已上鎖裝置表(亦未顯示)，用以記錄耦接至客戶端330中已經上鎖的隨插即用裝置。上鎖標記333可以是一登錄(registry)，用以記錄耦接至客戶端330中所有隨插即用裝置或個別隨插即用裝置的上鎖狀態，如上鎖(Lock)或開鎖(Unlock)。
磁碟輸入/輸出應用程式接口334可以通過作業系統336得知所有隨插即用裝置的種類與所分派的磁碟驅動器代號以及其它相關信息，並提供客戶端330在磁碟輸入/輸出(Disk I/O)等級(Level)以將隨插即用裝置340上鎖或開鎖。隨插即用應用程式接口335可以由作業系統336得知是否有隨插即用裝置插入或拔出相應的連接埠。裝置驅動程序337用以提供客戶端330控制隨插即用裝置340。隨插即用裝置340可以是一軟盤機、一通用序列總線手持磁碟(USB Handy Drive)、一通用序列總線硬碟(USB HD)、一IEEE 1394硬碟、一通訊埠(COM Port)硬碟或一燒錄機等。
圖3示出了根據本發明實施例將網絡客戶端的隨插即用裝置上鎖的流程圖。
首先，如步驟S41所示，伺服器端310傳送出一上鎖訊息，其中上鎖訊息可以包括一客戶端ID，用以指定哪一客戶端ID上的隨插即用裝置需進行保護上鎖，與指定欲上鎖的隨插即用裝置。需注意的是，若需要將客戶端330上所有符合上鎖目標表上的裝置上鎖，則上鎖訊息中不需指定欲上鎖的隨插即用裝置。
接著，如步驟S42所示，客戶端330通過網絡320接收傳送自伺服器端310的上鎖訊息。之後，如步驟S43所示，客戶端330以監控程序332將上鎖標記333更新為「上鎖」狀態。值得注意的是，如前所述，上鎖標記333可以記錄客戶端330中所有隨插即用裝置或個別隨插即用裝置的上鎖狀態，如上鎖或開鎖。之後，如步驟S44所示，客戶端330根據所接收的上鎖訊息以監控程序332通過磁碟輸入/輸出應用程式接口334將隨插即用裝置340上鎖，並如步驟S45所示，將監控程序332中的已上鎖裝置表進行更新，意即將隨插即用裝置340加入已上鎖裝置表中。最後，如步驟S46所示，客戶端330回傳一上鎖確認信息至伺服器端310。其中，上鎖確認信息記錄分派至哪一個磁碟驅動器代號的哪一個隨插即用裝置已經被上鎖。
圖4示出了根據本發明實施例將網絡客戶端的隨插即用裝置開鎖的流程圖。
首先，如步驟S51所示，伺服器端310傳送出一開鎖訊息，類似地，開鎖訊息中可以包括一客戶端ID，用以指定哪一客戶端ID的隨插即用裝置需進行開鎖，與指定欲上鎖的隨插即用裝置。應注意的是，若需要將客戶端330上所有的裝置開鎖，則開鎖訊息中不需指定欲開鎖的隨插即用裝置。
接著，如步驟S52所示，客戶端330通過網絡320接收傳送自伺服器端310的開鎖訊息。之後，如步驟S53所示，客戶端330以監控程序332將上鎖標記333更新為「開鎖」狀態。之後，如步驟S54所示，客戶端330根據所接收的開鎖訊息以監控程序332通過磁碟輸入/輸出應用程式接口334將隨插即用裝置340開鎖，並如步驟S55所示，將監控程序332中的已上鎖裝置表進行更新，意即將隨插即用裝置340由已上鎖裝置表中刪除。最後，如步驟S56，客戶端330回傳一開鎖確認信息至伺服器端310。其中，開鎖確認信息記錄分派至哪一個磁碟驅動器代號的哪一個隨插即用裝置已經被開鎖。
當伺服器端310傳送上鎖或開鎖訊息至客戶端330之後，若有其它的隨插即用裝置插入或拔出客戶端330時，則這些隨插即用裝置亦必須遵守伺服器端310之前所下的命令。圖5示出了根據本發明實施例的當隨插即用裝置自客戶端插入或拔出時，客戶端對於隨插即用裝置的相應上鎖與開鎖的流程圖。
首先，如步驟S61所示，判斷是否有隨插即用裝置340插入或拔出客戶端330。值得注意的是，是否有隨插即用裝置340插入或拔出客戶端330的情況發生可以通過隨插即用應用程式接口335得知。若隨插即用裝置340插入客戶端330時，則如步驟S62所示，通過磁碟輸入/輸出應用程式接口334由作業系統336取得相應隨插即用裝置340的相關信息，如種類等。
接著，如步驟S63所示，將隨插即用裝置340與監控程序332中的上鎖目標表進行比對，判斷插入的隨插即用裝置340是否需要進行上鎖保護。若隨插即用裝置340不符合上鎖目標表中所記錄的裝置(步驟S64的「否」)，代表所插入的隨插即用裝置340不需要進行上鎖保護，則結束操作。然而若隨插即用裝置340符合上鎖目標表中所記錄的裝置(步驟S64的「是」)，則如步驟S65所示，以監控程序332檢查上鎖標記333。
若上鎖標記333為開鎖(步驟S66的「否」)，代表客戶端330上的隨插即用裝置不需要進行上鎖保護，則結束操作。而若上鎖標記333為上鎖(步驟S66的「是」)，則如步驟S67所示，客戶端330以監控程序332通過磁碟輸入/輸出應用程式接口334將插入的隨插即用裝置340上鎖，並如步驟S68，將監控程序332中的已上鎖裝置表進行更新，意即將隨插即用裝置340加入已上鎖裝置表中。最後，如步驟S69所示，客戶端330回傳一上鎖確認信息至伺服器端310。
另一方面，若隨插即用裝置340自客戶端330拔出時，則如步驟S70，將拔出的隨插即用裝置340與監控程序332中的已上鎖裝置表比對，以判斷此隨插即用裝置340是否為已上鎖裝置。若拔出的隨插即用裝置340不是已上鎖裝置(步驟S71的「否」)，則結束整個操作。而若拔出的隨插即用裝置340是已上鎖裝置(步驟S71的「是」)，則如步驟S72，以監控程序332通過磁碟輸入/輸出應用程式接口將相應此拔出的隨插即用裝置340的連接埠進行開鎖，並如步驟S73所示，將監控程序332中的已上鎖裝置表進行更新，意即將隨插即用裝置340由已上鎖裝置表中刪除。最後，如步驟S74，客戶端330回傳一開鎖確認信息至伺服器端310。
另外，當客戶端330重新開機時，客戶端330以監控程序332檢查上鎖標記333，並根據上鎖標記333以監控程序332通過磁碟輸入/輸出應用程式接口，將客戶端330上相應的隨插即用裝置重新進行上鎖或開鎖。
值得注意的是，根不同的遠程控制代理器331，本發明亦有不同的實施型態，舉例來說，另一本發明實施例的伺服器端亦可傳送一分別相應上鎖操作與開鎖操作的上鎖程序與開鎖程序至客戶端，並在客戶端上執行。上鎖程序在客戶端上執行時，上鎖程序可以更新上鎖標記並通知常駐的監控程序，以通過磁碟輸入/輸出應用程式接口以進行隨插即用裝置的上鎖程序。類似地，開鎖程序在客戶端上執行時，開鎖程序可以更新上鎖標記並通知常駐的監控程序以通過磁碟輸入/輸出應用程式接口以進行隨插即用裝置的開鎖程序。
因此，藉由本發明所提供的用於耦接至網絡客戶端上的隨插即用裝置的防護系統及方法，可以在遠程通過網絡對於耦接至客戶端上的隨插即用裝置進行上鎖或開鎖，從而使得相關網絡管理人員可以藉由網絡安裝程序，並且通過網絡對個別計算機的安全性考慮分別進行上鎖或開鎖操作。
雖然本發明已以較佳實施例披露如上，然其並非用以限定本發明，任何本領域的技術人員，在不脫離本發明的精神和範圍的前提下，可做若干更動與潤飾，因此本發明的保護範圍視後附的權利要求範圍為準。
權利要求
1.一種用於耦接至網絡客戶端上的隨插即用裝置的防護系統，包括一伺服器端，其傳送一上鎖訊息；一網絡；以及一客戶端，具有一監控程序，其通過該網絡與該伺服器端耦接來接收該上鎖訊息，並根據該上鎖訊息以該監控程序將耦接至該客戶端上的一隨插即用裝置進行上鎖。
2.如權利要求1所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中該客戶端上的該監控程序是通過該伺服器端的一遠程控制代理器進行部署。
3.如權利要求1所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中當該客戶端接收該上鎖訊息時，該監控程序進一步更新一上鎖標記。
4.如權利要求3所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中當該客戶端重新開機時，該監控程序還檢查該上鎖標記，並根據該上鎖標記將該隨插即用裝置進行上鎖。
5.如權利要求1所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中當一另一隨插即用裝置插入該客戶端時，該監控程序還比對該另一隨插即用裝置是否為一上鎖目標，若該另一隨插即用裝置被認定為一上鎖目標，則對該另一隨插即用裝置進行上鎖。
6.如權利要求5所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中當該另一隨插即用裝置插入該客戶端時，該監控程序檢查該上鎖標記，並根據該上鎖標記將該另一隨插即用裝置進行上鎖。
7.如權利要求1所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中該監控程序是通過一磁碟輸入/輸出應用程式接口將該隨插即用裝置上鎖。
8.如權利要求1所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中該客戶端還將一上鎖確認信息通過該網絡回傳至該伺服器端。
9.如權利要求1所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中當耦接至一網絡客戶端的一隨插即用裝置欲開鎖時，該伺服器端還通過該網絡傳送一開鎖訊息至該客戶端，且該客戶端根據該開鎖訊息以該監控程序將該隨插即用裝置進行開鎖。
10.如權利要求9所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中該監控程序是通過一磁碟輸入/輸出應用程式接口將該隨插即用裝置開鎖。
11.如權利要求10所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中該客戶端還將一開鎖確認信息通過該網絡回傳至該伺服器端。
12.如權利要求1所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中當一隨插即用裝置自該客戶端拔出時，該監控程序檢查該隨插即用裝置是否為一已上鎖裝置，若該隨插即用裝置為已上鎖裝置，則通過一磁碟輸入/輸出應用程式接口將相應該隨插即用裝置的一連接埠開鎖。
13.如權利要求1所述的用於耦接至網絡客戶端上的隨插即用裝置的防護系統，其中該隨插即用裝置為一軟盤機、一通用序列總線手持磁碟(USBHandy Drive)、一通用序列總線硬碟(USB HD)、一IEEE 1394硬碟、通訊埠(COM Port)硬碟以及一燒錄機其中一種。
14.一種用於耦接至網絡客戶端上的隨插即用裝置的防護方法，包括下列步驟以一伺服器端傳送一上鎖訊息；在一客戶端通過一網絡接收傳送自該伺服器端的該上鎖訊息；以及根據該上鎖訊息以一監控程序將耦接至該客戶端上的一隨插即用裝置進行上鎖。
15.如權利要求14所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，其中該客戶端上的該監控程序是通過該伺服器端的一遠程控制代理器進行部署。
16.如權利要求14所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，其中該監控程序是通過一磁碟輸入/輸出應用程式接口(Disk I/OAPI)將該隨插即用裝置上鎖。
17.如權利要求14所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，還包括以該監控程序更新一上鎖標記。
18.如權利要求14所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，還包括當一另一隨插即用裝置插入該客戶端新時，以該監控程序比對該另一隨插即用裝置是否符合一上鎖標的，若該另一隨插即用裝置符合該上鎖標的則將該第二隨插即用裝置進行上鎖。
19.如權利要求18所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，還包括以該監控程序檢查該上鎖標記，並根據該上鎖標記將該另一隨插即用裝置進行上鎖。
20.如權利要求14所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，還包括以該客戶端將一上鎖確認信息通過該網絡回傳至該伺服器端。
21.如權利要求14所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，還包括當耦接至一網絡客戶端上的一隨插即用裝置欲開鎖時，以該伺服器端通過該網絡傳送一開鎖訊息至該客戶端，且該客戶端根據該開鎖訊息以該監控程序將該隨插即用裝置進行開鎖。
22.如權利要求21所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，其中該監控程序是通過一磁碟輸入/輸出應用程式接口(Disk I/OAPI)將該隨插即用裝置開鎖。
23.如權利要求21所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，還包括以該客戶端將一開鎖確認信息通過該網絡回傳至該伺服器端。
24.如權利要求14所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，還包括當該客戶端重新開機時，以該監控程序檢查該上鎖標記，並根據該上鎖標記將該隨插即用裝置進行上鎖。
25.如權利要求14所述的用於耦接至網絡客戶端上的隨插即用裝置的防護方法，還包括當一隨插即用裝置自該客戶端拔出時，以該監控程序檢查該隨插即用裝置是否為一已上鎖裝置，若該隨插即用裝置為已上鎖裝置，則通過一磁碟輸入/輸出應用程式接口(Disk I/O API)將相應該隨插即用裝置的一連接埠開鎖。
全文摘要
一種用於耦接至網絡客戶端上的一隨插即用裝置的防護系統，包括一伺服器端、一網絡與一客戶端。伺服器端事先通過遠程控制代理器部署一監控程序在客戶端上，並且通過網絡傳送上鎖訊息或開鎖訊息至客戶端。客戶端則根據所接收的訊息以監控程序通過磁碟輸入/輸出應用程式接口將隨插即用裝置進行上鎖或開鎖。
文檔編號G06F12/14GK1521627SQ03103388
公開日2004年8月18日 申請日期2003年1月27日 優先權日2003年1月27日
發明者謝宏基 申請人:宏碁股份有限公司, 宏 股份有限公司