一种可对通用存储介质进行安全管理的装置。它桥接在主机与存储介质驱动器之间并且对两端完全透明,用于执行个人或组织设定的存储安全管理策略。它工作时不依赖于主机的软件环境,支持在组织内对存储介质进行集中式的安全管理。它作为主模式与存储介质驱动器间进行数据交换,同时作为从模式与主机间进行数据交换,其目的是在数据交换过程中实施存储安全管理策略。它的硬件部分包括主模式接口、从模式接口以及存储安全管理处理。它的软件部分包括主模式和从模式的数据交换处理和存储安全管理。如果在一个组织内部署一台统一安全策略管理服务器来配合本装置的使用,则可以在组织内对存储介质进行集中式的安全管理。
【技术实现步骤摘要】
本专利技术涉及一种可对通用存储介质进行安全管理的装置,属于信息安全领域的存储安全方向。
技术介绍
各种存储介质的使用,给个人及组织内的日常生活和工作带来了极大的方便,但 是其安全性问题也日益突出,一些不规范的使用行为常常会造成个人隐私的泄露或组织内 信息资产的泄密。因此需要一种措施来保护个人及组织内敏感存储介质的安全,防止敏感 信息泄露导致的损失。 目前已经存在一种采用硬件方式的解决方法,即在传统的存储设备上附加安全装 置的解决方法,如加密U盘、指纹移动硬盘。这种方法的优点是安全性好且使用方便,其缺 点在于l.只能作为专用的存储设备使用,无法保证通用存储介质的安全;2.对于一个组 织来讲,无法通过实施统一的存储安全管理策略来实现集中式安全管理。 目前还存在一种采用软件方式的解决方法,即在操作系统内核层安装一种特定的 驱动程序,实现"整盘加密"或者对特定文件进行加密。这种方法的优点是可适用于通用的 存储介质,其缺点在于容易与其他同样运行在操作系统内核层的安全应用程序(如防病毒 软件、个人防火墙软件)发生冲突从而产生兼容性和稳定性方面的诸多问题,因此这种解 决方法不适合在组织内实施大规模的应用。
技术实现思路
为了满足个人及组织对通用存储介质进行有效安全管理的要求,本专利技术提出一种 可对通用存储介质进行安全管理的装置。本装置兼容通用的存储介质,安全可靠、简便易用 并且支持对存储介质进行集中式安全管理。为达到以上目的,本专利技术所采用的技术方案为设计一种硬件形式的存储介质读写转换装置,这种装置桥接在主机与存储介质驱动器之间,对主机端和存储介质驱动器端完全透明,个人或组织设定的存储安全管理策略都由这个装置来具体执行。 本专利技术的有益效果是,本装置实现了对通用存储介质的安全管理,工作时不依赖于主机的软件环境,支持在组织内实施统一的存储安全管理策略以实现对存储介质进行集中式的安全管理。附图说明 图1为本专利技术所描述的装置的系统工作原理图。 图2为本专利技术所描述的装置的硬件系统原理图。 图3为本专利技术所描述的装置的软件系统原理图。具体实施例方式在图1中,本专利技术所描述的装置有2种工作模式作为主模式与存储介质驱动器 间进行数据交换,同时作为从模式与主机间进行数据交换,从而在主机与存储介质驱动器 之间搭建了一个透明的代理桥。主机端将本装置识别为标准的存储设备(如硬盘驱动器、 U盘驱动器、DAS、NAS),而存储介质驱动器则将本装置识别为标准的存储介质读写设备(如 主机)。主机与存储介质之间的数据交换必须经过本装置才能完成,在数据交换过程中由本 装置来实施存储安全管理策略,如身份认证策略、读写权限控制策略、数据过滤策略、加密 策略。 在图2中,本专利技术的硬件设计分三部分主模式接口、从模式接口以及存储安全管 理处理。主模式接口包括SATA物理接口 、 SATA主模式控制器和RAID控制器、USB物理接 口 、 USB主模式控制器。从模式接口包括eSATA从模式控制器、eSATA物理接口 、 USB从模 式控制器、USB物理接口、以太网控制器、以太网卡物理接口。存储安全管理处理包括ARM 子系统、网络处理器、生物认证处理器、生物特征采集器、加密处理器、Flash存储器。 在图3中,本专利技术的软件设计分三部分主模式数据交换处理、从模式数据交换处 理以及存储安全管理。其中存储安全管理部分实施主机与存储介质之间的安全管理策略, 包括四个模块身份认证模块、数据过滤模块、读写控制模块和加密模块。安全管理策略库 中包括用户和组列表、介质注册列表、数据过滤列表、访问控制列表和密钥表。用户和组列 表中存放有注册用户的生物特征信息(如指纹),身份认证模块将采集到的生物特征信息 与之做比对。 如果在一个组织内部署一台统一存储安全策略管理服务器,将存储安全管理策略 推送至组织内的每个本专利技术所描述的装置并强制执行存储安全管理策略,则可以在组织内 对存储介质进行集中式的安全管理。权利要求一种可对通用存储介质进行安全管理的装置,本装置工作时不依赖于主机的软件环境,支持在组织内实施统一的存储安全管理策略以实现对存储介质进行集中式的安全管理,其特征是设计一种硬件形式的存储介质读写转换装置,这种装置桥接在主机与存储介质驱动器之间,工作时不依赖于主机的软件环境,对主机端和存储介质端完全透明,个人或组织设定的存储安全管理策略都由这个装置来具体执行。2. 根据权利要求1所述的可对通用存储介质进行安全管理的装置,其特征是有2种 工作模式,作为主模式与存储介质驱动器间进行数据交换,同时作为从模式与主机间进行数据交换,从而在主机与存储介质驱动器之间搭建了一个透明的代理桥,主机与存储介质 之间的数据交换必须经过本装置才能完成,在数据交换过程中由本装置来实施存储安全管 理策略,如身份认证策略、读写权限控制策略、数据过滤策略、加密策略。3. 根据权利要求1所述的可对通用存储介质进行安全管理的装置,其特征是硬件设 计分三部分主模式接口、从模式接口以及存储安全管理处理,主模式接口包括SATA物理接口 、 SATA主模式控制器和RAID控制器、USB物理接口 、 USB主模式控制器,从模式接口包 括eSATA从模式控制器、eSATA物理接口 、USB从模式控制器、USB物理接口 、以太网控制器、 以太网卡物理接口,存储安全管理处理包括ARM子系统、网络处理器、生物认证处理器、生 物特征采集器、加密处理器、Flash存储器。4. 根据权利要求1所述的可对通用存储介质进行安全管理的装置,其特征是软件设计分三部分主模式数据交换处理、从模式数据交换处理以及存储安全管理,其中存储安全 管理部分实施主机与存储介质之间的安全管理策略,包括四个模块身份认证模块、数据过 滤模块、读写控制模块和加密模块,安全管理策略库中包括用户和组列表、介质注册列表、 数据过滤列表、访问控制列表和密钥表,用户和组列表中存放有注册用户的生物特征信息 (如指纹),身份认证模块将采集到的生物特征信息与之做比对。5. 根据权利要求1所述的可对通用存储介质进行安全管理的装置,其特征是如果在 一个组织内部署一台统一安全策略管理服务器,将存储安全管理策略推送至组织内的每个 本专利技术所描述的装置并强制执行存储安全管理策略,则可以在组织内对存储介质进行集中 式的安全管理。全文摘要一种可对通用存储介质进行安全管理的装置。它桥接在主机与存储介质驱动器之间并且对两端完全透明,用于执行个人或组织设定的存储安全管理策略。它工作时不依赖于主机的软件环境,支持在组织内对存储介质进行集中式的安全管理。它作为主模式与存储介质驱动器间进行数据交换,同时作为从模式与主机间进行数据交换,其目的是在数据交换过程中实施存储安全管理策略。它的硬件部分包括主模式接口、从模式接口以及存储安全管理处理。它的软件部分包括主模式和从模式的数据交换处理和存储安全管理。如果在一个组织内部署一台统一安全策略管理服务器来配合本装置的使用,则可以在组织内对存储介质进行集中式的安全管理。文档编号G06F21/00GK101794364SQ20101013077公开日2010年8月4日 申请日期2010年3月24日 优先权日2010年3月24日专利技术者张豪, 李奇富, 高登山 申请人:无锡天本文档来自技高网...
【技术保护点】
一种可对通用存储介质进行安全管理的装置,本装置工作时不依赖于主机的软件环境,支持在组织内实施统一的存储安全管理策略以实现对存储介质进行集中式的安全管理,其特征是:设计一种硬件形式的存储介质读写转换装置,这种装置桥接在主机与存储介质驱动器之间,工作时不依赖于主机的软件环境,对主机端和存储介质端完全透明,个人或组织设定的存储安全管理策略都由这个装置来具体执行。
【技术特征摘要】
【专利技术属性】
技术研发人员:李奇富,张豪,高登山,
申请(专利权)人:无锡天鸿信息技术有限公司,
类型:发明
国别省市:32[中国|江苏]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。