一种实现隔离保护存储载体数据的装置制造方法及图纸

本发明专利技术涉及一种设于主机存储系统与存储载体之间以实现隔离保护存储载体数据的装置，其特征在于，包括：策略选择模块，用于输入保护策略的选择信息；具有外部总线的中央处理模块，其设有至少两种不同的保护策略，按照与所述选择信息相应的一种保护策略处理主机存储系统与存储载体之间的交互，并将主机存储系统与存储载体之间要送达的信息进行协议转换以使该要送达的信息能被主机存储系统与存储载体识别和解析；RAM存储器，为中央处理模块运行提供高速缓冲区和临时数据存放区；存储适配模块，其与中央处理模块的外部总线连接；及通信适配模块，其与中央处理模块的外部总线连接。本发明专利技术其可较公知技术更具安全可靠性和应用灵活性。

【技术实现步骤摘要】
一种实现隔离保护存储载体数据的装置
本专利技术涉及信息
，尤其涉及一种实现隔离保护存储载体数据的装置。
技术介绍
信息时代的核心是信息技术，而信息技术的核心则在于数据信息的处理与存储。目前数据存储载体主要有以磁性材料为介质的机械硬盘和以闪存为介质的电子硬盘及存储卡。存储载体接口是存储载体与主机系统间的连接部件，不同的存储载体接口决定着存储载体与主机之间的连接速度，直接影响着程序运行快慢和系统性能好坏。存储载体接口有基于并行传输技术和基于串行传输技术两种。误操作、病毒破坏、黑客入侵、不良操作习惯或者各种软、硬件故障常常会导致存 储载体发生故障，从而造成数据丢失。数据恢复技术是数据安全的重要部分，利用数据恢复技术可以从逻辑或者物理错误的存储载体中恢复全部或者部分关键数据，是挽救丢失数据的主要方法和途径。以电子形式存在、能够证明案件真实情况的电磁信息即电子数据证据，已成为刑事、民事乃至行政案件中重要的诉讼依据。电子取证均需要提取相应的计算机信息，主要的工作是从存储载体中读取相关文件并恢复被删除、加密、篡改的文件和电子邮件等数据，然后提取证据，作为法庭上的诉讼凭证。数据恢复、电子取证的关键环节是保障存储载体数据免受二次破坏和篡改，同时要高效快速地从存储载体读取数据，以保证被恢复数据的时效性和法律效力。避免存储载体数据被二次破坏和篡改的有效手段是对存储载体数据进行隔离保护。在数据恢复、电子取证的过程中，为了实现隔离保护存储载体数据，目前采用以下两种公知技术来实现。第一种公知实现技术是在同一的主机存储系统的操作系统的底层存储接口驱动和上层软件之间添加一层过滤型驱动并提供用户操作界面，组成隔离保护软件。对经过存储接口的读、写硬盘操作进行识别和过滤。如果读、写操作的目标是被隔离保护的硬盘，则由过滤型驱动来处理。过滤型驱动根据隔离保护的策略选择性转发符合策略的读、写操作到被保护的硬盘。对不符合保护策略的读、写操作则直接响应上层软件的操作请求，不再转发到被保护的硬盘，保证被保护硬盘的数据不被非法篡改或者读取。上层软件包括数据恢复、电子取证软件和操作系统中其他软件、未知的病毒和木马等。第二种公知实现技术是在硬盘并行接口和主机存储系统并行接口之间加入一组隔离保护电路。隔离保护电路由逻辑电路实现，对主机存储系统传输到硬盘的指令逻辑信号进行译码。如果是写指令逻辑信号，则直接对主机存储系统指示错误状态逻辑信号，写指令逻辑信号没有到达被保护硬盘的接口，保证被保护硬盘的数据不被非法篡改。上述第一种公知实现技术中，由于隔离保护软件和数据恢复、电子取证软件等上层软件共用同一操作系统环境，存在保护机制被非法绕开的可能性，导致隔离保护失效。例如，恶意病毒可以利用操作系统漏洞、操控底层存储接口驱动等方法绕开相应的保护机制。上述第二种公知实现技术中，解决了第一种公知实现技术的主要缺陷，但也存在以下缺点1、基于逻辑信号的实现，特定于一种存储接口，同一装置可支持存储载体的类型有限；2、对不同的存储载体或者主机存储系统，需重新定义和实现。上述两种实现技术共同的特征是隔离保护的两端应用相同的协议规范，形成同构系统。隔离保护的策略是不符合保护策略的指令，拦截；符合保护策略的指令，直接通过。应用同构系统解决多种类型存储载体和多种主机存储系统的交互要求，需要实现多种组合的隔离保护实例，缺乏灵活性。
技术实现思路
本专利技术要解决的技术问题是提供一种实现隔离保护存储载体数据的装置，其可较公知技术更具安全可靠性和应用灵活性。 上述技术问题通过以下技术方案实现一种设于主机存储系统与存储载体之间以实现隔离保护存储载体数据的装置，其特征在于，包括策略选择模块，用于输入保护策略的选择信息；具有外部总线的中央处理模块，其设有至少两种不同的保护策略，按照与所述选择信息相应的一种保护策略处理主机存储系统与存储载体之间的交互，并将主机存储系统与存储载体之间要送达的信息(包括指令、数据块、状态报告)进行协议转换以使该要送达的信息能被主机存储系统与存储载体识别和解析；RAM存储器，为中央处理模块运行提供高速缓冲区和临时数据存放区；存储适配模块，其与中央处理模块的外部总线连接，其提供用于连接存储载体的一种或者多种不同的接入接口，并实现各接入接口逻辑信号与中央处理模块的外部总线逻辑信号的转换；及通信适配模块，其与中央处理模块的外部总线连接，其提供用于与主机存储系统通信的一种或者多种不同的设备接口，并实现各设备接口逻辑信号与中央处理模块的外部总线逻辑信号的转换。由上述技术方案可见，本专利技术具有以下优点I、存储载体和主机存储系统之间通过本装置进行桥接，由于本装置与主机存储系统不是共用同一操作系统环境，从而避免第一种公知实现技术中存在的缺陷；2、本装置通过中央处理模块将主机存储系统与存储载体之间要送达的信息进行协议转换，并结合存储适配模块、通信适配模块，可以使本装置灵活地应用于多种类型存储载体和多种主机存储系统。进一步的具体方案是所述中央处理模块包括相互连接的主机代理模块、协议转换模块、载体代理模块，及与载体代理模块连接的策略管理模块；主机代理模块与存储适配模块连接，载体代理模块与通信适配模块连接；策略管理模块根据策略输入模块的选择信息，实时地设定载体代理模块运行时所依据的保护策略；载体代理模块，通过通信适配模块接收并解析来自主机存储系统发出的信息(包括指令、数据块、状态报告)，再根据设定的保护策略的要求完成与协议转换模块、主机存储系统的交互；主机代理模块，接收来自协议转换模块送达的信息(包括指令、数据块)，完成与协议转换模块、存储载体的交互；协议转换模块，接收来自载体代理模块送达的信息(包括指令、数据块)并根据存储载体的协议要求进行转换，发送到主机代理模块；接收来自主机代理模块送达的信息(包括指令、数据块、状态报告)并根据主机存储系统的协议要求进行转换，发送到载体代理模块。所述中央处理模块设有只读、只写、不读不写和可读可写的四种保护策略。所述中央处理模块处理主机存储系统与存储载体之间的交互，具体如下 当主机存储系统发出的读取指令，如果保护策略允许读取数据，则读取指令经过载体代理模块、协议转换模块、主机代理模块传到存储载体，进入数据读取流程，主机代理模块通过存储适配模块从存储载体中获取第一数据块，并转发到协议转换模块，载体代理模块接收来经协议转换的第一数据块，经过通信适配模块应答主机存储系统；当主机存储系统发出的读取指令，如果保护策略禁制读取数据，则由载体代理模块根据读取指令要求，随机产生主机存储系统所需的第二数据块，所产生的数据块与主机存储系统的协议要求相符，经过通信适配模块将第二数据块传给主机存储系统；当主机存储系统发出的写入指令和要写入存储载体的第三数据块，如果保护策略允许写入数据，则写入指令经过载体代理模块、协议转换模块、主机代理模块传到存储载体，进入数据写入流程，主机存储系统输出的第三数据块由载体代理模块接收后转发到协议转换模块进行转换，主机代理模块再将经协议转换的第三数据块写入存储载体；当主机存储系统发出的写入指令，如果保护策略禁制写入数据，则由载体代理模块根据写入指令要求，独立完成数据写入流程，不需要接入存储载体参与，具体是，载体代理模块接收主机存储系统输出的第四数据块，并本文档来自技高网...

【技术保护点】

【技术特征摘要】

【专利技术属性】
技术研发人员：刘国忠，许瑞本，
申请(专利权)人：珠海市泉道电子有限公司，
类型：发明
国别省市：