一種可對通用存儲介質進行安全管理的裝置的製作方法

2023-04-30 21:23:51 2

專利名稱：一種可對通用存儲介質進行安全管理的裝置的製作方法
技術領域：
本發明涉及一種可對通用存儲介質進行安全管理的裝置，屬於信息安全領域的存
儲安全方向。
背景技術：
各種存儲介質的使用，給個人及組織內的日常生活和工作帶來了極大的方便，但 是其安全性問題也日益突出，一些不規範的使用行為常常會造成個人隱私的洩露或組織內 信息資產的洩密。因此需要一種措施來保護個人及組織內敏感存儲介質的安全，防止敏感 信息洩露導致的損失。 目前已經存在一種採用硬體方式的解決方法，即在傳統的存儲設備上附加安全裝 置的解決方法，如加密U盤、指紋移動硬碟。這種方法的優點是安全性好且使用方便，其缺 點在於l.只能作為專用的存儲設備使用，無法保證通用存儲介質的安全；2.對於一個組 織來講，無法通過實施統一的存儲安全管理策略來實現集中式安全管理。
目前還存在一種採用軟體方式的解決方法，即在作業系統內核層安裝一種特定的 驅動程序，實現"整盤加密"或者對特定文件進行加密。這種方法的優點是可適用於通用的 存儲介質，其缺點在於容易與其他同樣運行在作業系統內核層的安全應用程式(如防病毒 軟體、個人防火牆軟體)發生衝突從而產生兼容性和穩定性方面的諸多問題，因此這種解 決方法不適合在組織內實施大規模的應用。

發明內容
為了滿足個人及組織對通用存儲介質進行有效安全管理的要求，本發明提出一種 可對通用存儲介質進行安全管理的裝置。本裝置兼容通用的存儲介質，安全可靠、簡便易用 並且支持對存儲介質進行集中式安全管理。
為達到以上目的，本發明所採用的技術方案為設計一種硬體形式的存儲介質讀
寫轉換裝置，這種裝置橋接在主機與存儲介質驅動器之間，對主機端和存儲介質驅動器端
完全透明，個人或組織設定的存儲安全管理策略都由這個裝置來具體執行。 本發明的有益效果是，本裝置實現了對通用存儲介質的安全管理，工作時不依賴
於主機的軟體環境，支持在組織內實施統一的存儲安全管理策略以實現對存儲介質進行集
中式的安全管理。


圖1為本發明所描述的裝置的系統工作原理圖。
圖2為本發明所描述的裝置的硬體系統原理圖。
圖3為本發明所描述的裝置的軟體系統原理圖。
具體實施例方式
在圖1中，本發明所描述的裝置有2種工作模式作為主模式與存儲介質驅動器 間進行數據交換，同時作為從模式與主機間進行數據交換，從而在主機與存儲介質驅動器 之間搭建了一個透明的代理橋。主機端將本裝置識別為標準的存儲設備(如硬碟驅動器、 U盤驅動器、DAS、NAS)，而存儲介質驅動器則將本裝置識別為標準的存儲介質讀寫設備(如 主機)。主機與存儲介質之間的數據交換必須經過本裝置才能完成，在數據交換過程中由本 裝置來實施存儲安全管理策略，如身份認證策略、讀寫權限控制策略、數據過濾策略、加密 策略。 在圖2中，本發明的硬體設計分三部分主模式接口、從模式接口以及存儲安全管 理處理。主模式接口包括SATA物理接口 、 SATA主模式控制器和RAID控制器、USB物理接 口 、 USB主模式控制器。從模式接口包括eSATA從模式控制器、eSATA物理接口 、 USB從模 式控制器、USB物理接口、乙太網控制器、乙太網卡物理接口。存儲安全管理處理包括ARM 子系統、網絡處理器、生物認證處理器、生物特徵採集器、加密處理器、Flash存儲器。
在圖3中，本發明的軟體設計分三部分主模式數據交換處理、從模式數據交換處 理以及存儲安全管理。其中存儲安全管理部分實施主機與存儲介質之間的安全管理策略， 包括四個模塊身份認證模塊、數據過濾模塊、讀寫控制模塊和加密模塊。安全管理策略庫 中包括用戶和組列表、介質註冊列表、數據過濾列表、訪問控制列表和密鑰表。用戶和組列 表中存放有註冊用戶的生物特徵信息(如指紋)，身份認證模塊將採集到的生物特徵信息 與之做比對。 如果在一個組織內部署一臺統一存儲安全策略管理伺服器，將存儲安全管理策略 推送至組織內的每個本發明所描述的裝置並強制執行存儲安全管理策略，則可以在組織內 對存儲介質進行集中式的安全管理。
權利要求
一種可對通用存儲介質進行安全管理的裝置，本裝置工作時不依賴於主機的軟體環境，支持在組織內實施統一的存儲安全管理策略以實現對存儲介質進行集中式的安全管理，其特徵是設計一種硬體形式的存儲介質讀寫轉換裝置，這種裝置橋接在主機與存儲介質驅動器之間，工作時不依賴於主機的軟體環境，對主機端和存儲介質端完全透明，個人或組織設定的存儲安全管理策略都由這個裝置來具體執行。
2. 根據權利要求1所述的可對通用存儲介質進行安全管理的裝置，其特徵是有2種 工作模式，作為主模式與存儲介質驅動器間進行數據交換，同時作為從模式與主機間進行數據交換，從而在主機與存儲介質驅動器之間搭建了一個透明的代理橋，主機與存儲介質 之間的數據交換必須經過本裝置才能完成，在數據交換過程中由本裝置來實施存儲安全管 理策略，如身份認證策略、讀寫權限控制策略、數據過濾策略、加密策略。
3. 根據權利要求1所述的可對通用存儲介質進行安全管理的裝置，其特徵是硬體設 計分三部分主模式接口、從模式接口以及存儲安全管理處理，主模式接口包括SATA物理接口 、 SATA主模式控制器和RAID控制器、USB物理接口 、 USB主模式控制器，從模式接口包 括eSATA從模式控制器、eSATA物理接口 、USB從模式控制器、USB物理接口 、乙太網控制器、 乙太網卡物理接口，存儲安全管理處理包括ARM子系統、網絡處理器、生物認證處理器、生 物特徵採集器、加密處理器、Flash存儲器。
4. 根據權利要求1所述的可對通用存儲介質進行安全管理的裝置，其特徵是軟體設計分三部分主模式數據交換處理、從模式數據交換處理以及存儲安全管理，其中存儲安全 管理部分實施主機與存儲介質之間的安全管理策略，包括四個模塊身份認證模塊、數據過 濾模塊、讀寫控制模塊和加密模塊，安全管理策略庫中包括用戶和組列表、介質註冊列表、 數據過濾列表、訪問控制列表和密鑰表，用戶和組列表中存放有註冊用戶的生物特徵信息 (如指紋)，身份認證模塊將採集到的生物特徵信息與之做比對。
5. 根據權利要求1所述的可對通用存儲介質進行安全管理的裝置，其特徵是如果在 一個組織內部署一臺統一安全策略管理伺服器，將存儲安全管理策略推送至組織內的每個 本發明所描述的裝置並強制執行存儲安全管理策略，則可以在組織內對存儲介質進行集中 式的安全管理。
全文摘要
一種可對通用存儲介質進行安全管理的裝置。它橋接在主機與存儲介質驅動器之間並且對兩端完全透明，用於執行個人或組織設定的存儲安全管理策略。它工作時不依賴於主機的軟體環境，支持在組織內對存儲介質進行集中式的安全管理。它作為主模式與存儲介質驅動器間進行數據交換，同時作為從模式與主機間進行數據交換，其目的是在數據交換過程中實施存儲安全管理策略。它的硬體部分包括主模式接口、從模式接口以及存儲安全管理處理。它的軟體部分包括主模式和從模式的數據交換處理和存儲安全管理。如果在一個組織內部署一臺統一安全策略管理伺服器來配合本裝置的使用，則可以在組織內對存儲介質進行集中式的安全管理。
文檔編號G06F21/00GK101794364SQ20101013077
公開日2010年8月4日 申請日期2010年3月24日 優先權日2010年3月24日
發明者張豪, 李奇富, 高登山 申請人:無錫天鴻信息技術有限公司