專利名稱:具有只讀區域和讀/寫區域,可移動媒體的組成部分,系統管理接口,網絡接口功能的計算 ...的制作方法
技術領域:
本發明的領域是為了計算機和計算機通信網連接的網絡存儲設備。
背景技術:
典型的計算機有個人用,辦公室用,專用,和以及其他用處的巨型和中型的計算 機,由許多組件而構成的。一般組件包括處理器,內存,存儲器,輸入/輸出設備和網絡 接口等。微軟視窗(MicrosoftWindows 注冊商標)蘋果操作系統(MacOS注冊商標), UNIX (UNIX), Linux (Linux)等操作系統,組件和它們的功能以及相互作用是可以控制的。特 別是,操作系統是可以處理從應用程序和操作系統本身提出的要求。接到文件要求時,操作 系統從本地存儲設備或者計算機鏈接到網絡,網絡服務器將試圖提供操作系統文件。由于存儲器和網絡接口有很多選擇,操作系統具有典型性連接在計算機的幾乎所 有的存儲設備和網絡接口的特性。舉例說,大部分的操作系統是根據存儲器的類型(磁介 質存儲器,光存儲設備等),接口的類型(IDE,ATA, SCSI, SATA,PATA,SAS等)以及物理參 數(Cylinders, Sectors, Heads, Tracks等),來使用編程。當計算機連接網絡的時候,操 作系統又根據各種網絡接口的類型(Ethernet,Token, Ring, ATM等),網絡協議(TCP/IP, IPX/SPX,Apple, Talk, SNA等)以及網絡資源(服務器,打印機,掃描儀,存儲器等),為了 通信用必要的特定方法來編制。再加上,操作系統能夠管理存儲設備和網絡文件服務器上的文件。在本地存儲設 備中,操作系統為了完全管理文件,使用所謂的文件分配表或索引使用參考表。在使用網絡 上,操作系統與文件服務器通信編制成接受文件。為使操作系統接收文件過程簡單化,將文 件服務器上接收的文件和資料用與文件分配表相類似的格式翻譯往往是有益的。操作系統管理組件及性能的方式會給計算機增加復雜性(complexity)。這樣的復 雜性在計算機安裝過程中顯而易見的。典型的,計算極為了日常的一般性使用需經過如下 準備過程。(a)從開始選擇引導設備的操作系統啟動安裝,(b)創建一個本地存儲設備和格 式化分區(partitioning and formatting), c)操作系統的完整安裝,(d)類似顯示卡和網 絡接口等的硬件組件的配置,(e)包含應用程序或其它軟件的安裝以及組件。這種復雜性在使用計算機的時候也是顯而易見的。應用程序和操作系統為了操作 系統刪除(uninstalling)組件的現有的版本,包括定期的修補程序的需要可更新。再加上,文件根據程序的錯誤,使用者的錯失,以及計算機病毒而受到破壞。如果發生這種情況, 損壞的文件要被替換或者要修復,應用程序使用已損壞的文件來重新安裝,甚至是包括重 新安裝操作系統本身的可能性。與使用計算機相關的復雜性通常會導致高維護和支持成本。在工作環境上,支援 費用很容易達到個人檔或者計算設備裝備檔數千美元(US Dollar) 0再加上如果發生遇到 有關電腦生產率大幅問題,往往是零,因為保持下降的計算增加了成本。除了跟內存相關的問題,其它硬件功能不良的問題往往是在短時間內可以解決。 舉例說,如顯卡和網絡接口卡等的組件的破壞是可以很快用相同部分來替換。但是,如果問 題在內存或跟內存有聯系的文件的話,計算機維修需要很長的時間。在計算機里的硬件 驅動器引起了功能不良或破壞文件等問題的時候,維修及修復過程是要重新安裝硬件驅動 器,重新安裝操作系統,還有/或是包含重新安裝應用系統。減少計算機的復雜度,當問題發生時縮短恢復過程,恢復過程存在的所有必要性 全部最小化,等現在有很多辦法。用一般方法復制內存,通過網絡啟動計算機,使用專門的 計算機軟件和管理,還有/或是使用文件安全級別(file level security) 0通過內存復制,會縮短安裝過程。計算機首先會完整安裝全套的應用程序。然后, 內存以“圖像”文件被復制或復制。這個圖像文件把計算機恢復成初始狀態,或是用在相同 設備的計算機安裝。許多消費者為導向的計算機存儲設備的出廠默認(factory default) 狀態可以用它來回復出廠默認圖像存儲后的恢復光盤。這個方法的缺點是在內存的操作 系統,應用程序,或每當對文件內存上有任何變更的時候,都會創新一個新的內存圖像。作 為一個現有安裝的軟件補丁和更新圖像恢復記憶,如果使用這個方法,會產生復雜性。舉 例說,即使圖像一直保持在最新的狀態,最后配置使用用戶的時候,可能需要幾個小時的時 間。網絡啟動方式是從網絡文件服務器下載連接到一臺計算機上的文件。像這樣的計 算機操作系統會按順序下載操作系統上的剩下的部分和任意的應用程序,使用限制的網絡 服務器BOOTP TFTP或者PXE,下載并運行。這個方法的短處是,在計算機系統中如果沒有本 地存儲設備的話,電源或重新啟動每次都要相同的過程。如果計算機系統中有本地存儲設 備的話,對于下載文件的局部存儲有很大的好處。但是通過網絡下載的操作系統也有對硬 件組件和本地存儲器已存儲的文件進行管理的責任。計算機管理軟件的方法使用在軟件組件的代理(agents),守護進程(daemons)或 者增加服務器加強操作系統。最典型的使用方式是把已存的文件由于受到計算機病毒或是 惡意軟件(malware)的感染繼續掃描,使用發病毒軟件。這個方法也體現在你的重要軟件 在本地存儲設備的存儲方式繼續檢測和自我修復損壞或損壞的文件,嘗試添加一個軟件元 素。額外的體現在于作為計算機管理工具的一部分,處理從服務器發出的文件更新的過程 中添加軟件因素。這個方法的缺點在于代理,后臺程序或者是服務器作用的軟件因素在操 作系統在大大的依存。舉例說,在微軟視窗所使用的軟件因素在Linux系統里是不能起作 用的。因此,操作系統為了這樣的軟件因素起作用,提供管理本地存儲設備或者網絡接口等 的功能。很多操作系統對于可以損壞文件的計算機病毒,惡意軟件,未經授權的,用戶錯誤 或者是應用程序的錯誤等提供特殊的保護,使用文件級或目錄級別(directory level)。這個方法的缺點是也依存于操作系統,最高使用者(super user),管理員(administrator), 或已授權訪問運用的處理器變更,刪除或是損壞了本地存儲設備上的重要的文件。更何況, 跟獲得完全訪問特權的病毒一樣的很多惡意軟件會產生有害的影響。上述的方法,它本身或者跟當其它方法一起時,對減少計算機所擁有的復雜度,提 供了一定的幫助。但是,這其中沒有一個方法可以根本性的改變操作系統是怎么管理計算 機組件部分。緊接著,對于管理計算機和處理網絡上的文件以及分配的方法,需要既簡單又 新的一個安全訪問。再加上,在今天的計算環境中越來越多的關心當中之一是跟保存資料有關系的。 計算設備往往會被盜,丟失,在計算設備里的存儲設備含有的敏感數據直接被丟失了。通過 物理訪問計算設備或是存儲設備,可以很容易的訪問到存在存儲設備當中的資料。舉例說, 用大致的操作系統來啟動計算機也是可以訪問資料的。通過使用一個密碼恢復工具來破解 管理員或用戶賬戶名和密碼。或是從公司的計算設備中抽取存儲設備,如用戶賬戶和密碼, 在該行業做產業間諜轉讓到另一個競爭公司。當文件服務器沒有資料備份(back up),或是 沒有與文件服務器同步的時候,所有的數據將都會丟失。存儲在存儲設備的文件和資料,通過未經授權等方法來阻止。普遍的方法可以分 為2種類型(a)限制對操作系統的訪問(b)限制對外部硬件的依賴。基于操作系統的訪問限制,操作系統為了加密存儲在存儲設備中的資料,可以使 用EFS(encrypted file system)。但是這種方法也依存在操作系統。當操作系統被損壞 (EFS型密碼被泄漏)用戶名和密碼被盜或是被別人發現了的話,這種基于操作系統的訪問 限制是保護不了資料的。限制訪問對依存在外部硬件時,,可使用智能卡(smart card)或USB鑰匙(USB KEY)等外圍設備限制訪問資料。舉例說,智能卡可以在操作系統完全啟動之前使用。如果檢 測到一個有效的智能卡,在引導過程中可以訪問到的EFS資料可以繼續向操作系統操作。 這僅僅是操作系統訪問控制的基礎上更安全而已,也還是會依存在外部硬件上。因此,硬件 被損壞的話,甚至是授權用戶也無法訪問資料。如果需要一個恢復過程,未經授權用戶為了 訪問資料也是可以使用修復過程的。此外,外部硬件(如只能卡或是USB KEY備份)和存 儲設備一起有可能會落到產業間諜的未經授權用戶手中。為了防止未見授權的訪問,操作 系統除了在外部硬件之外,還可以使用“連接政策”(connectedness policy)。舉例說,在引 導過程中確認智能卡之后,操作系統在允許訪問資料前,可以先檢查網絡服務器和連接性。 但是,這個方法也同樣依存在操作系統上。換句話說,用戶或應用程序,選擇一個特定的操 作系統時不提供這種訪問限制的話,是不能獲得任何好處的。因此,最好是在計算機設備中 可以獨立保障存儲設備中的數據,需要一種新的訪問方法。更何況,特定程度的資產管理(包括硬件和軟件資產)和最終使用用戶的計算設 備的支持管理,在一定程度管理上在企業計算環境中是非常可取的。硬件和軟件資產管理 在對最終用戶的計算設備中,建立“資產管理代理”(asset management agent)并形成。根 據實施,代理的意見,可以把硬件組件給召回并向管理局報告。代理可以檢測硬件部分的任 何的變化和禁止計算設備的開向以及活動。代理也可以召回在本地存儲設備中存儲的文 件,最終使用用戶需要什么樣的硬件可以跟管理局報告。根據代理的報告為基準,硬件或者 軟件資產報告書在管理局形成。
這種資產管理代理在操作系統中也有相當的依存性。換句話說,許多代理商操作 系統(如Windows XP, Windows Vista, Linux, Unix, MacOS等)為了對所有類型和版本的 開發,需要編寫。代理商處于什么樣的水準上的細致性(不僅檢查軟件文件的名稱,MD5校 驗軟件指定特色的檢查),如果沒有開發這些的話,代理商被視為不正確報告軟件資產。舉 例說,如果最終用戶想要使用公司沒有允許的或者是不支持的應用程序的時候,用戶為了 使應用程序不被管理局報告,對于運行的文件,以NOTEPAD. EXE等一般性文件重命名。同樣 方式,惡意軟件可偽裝成授權本身的應用軟件。該系統用戶和惡意軟件在操作系統上的運行,為了看起來保留在本地內存存儲設 備中存在的所特定應用程序,可以完全忽略代理商。在現今高安全性的計算機環境趨勢下, 尤其是防火墻或網關/代理(gateway/proxy)嘗試檢查設備的特定應用程序在最終用戶的 計算設備中是否運行,(例如,反病毒軟件是否運行)。為了檢測像這樣的防火墻或網關/ 代理設備要求的應用程序的存在,可以使用代理。代理不能檢測應用程序的所有口味和版 本的話,該用戶可以通過改變應用程序的名稱來迂回代理的召回。舉例說,用戶把NOTEPAD. EXE的文件拷貝創建成NTRSCAN. EXE,檢測運用NTRTSCAN. EXE盡量減少Trend Micro的 Office scan的應用程序的可行度,代理的這種試圖是具有欺騙性的。這種資產管理代理商在計算機關閉的狀態下是不能評估硬件的組件。代理為了可 以收集資料和報告給管理局,必須在計算設備上運行。這意味著要充分發揮計算機設備的 功能。操作系統必須妥善運作依存在服務/守護進程(網絡接口驅動程序和網絡協議)。 如果不是這樣的話,代理不能把何硬件或是任何軟件的資產信息提供給管理局。當前對計算設備進行遠程控制(如開/關閉電源)等有很多辦法。舉例說, Wake-On-LAN是管理員打開計算設備遠程控制以便于資產管理代理可以給管理局提供資產 信息,這是可實行方法之一。然而,打開計算設備的遠程電源,如果計算機設備不可以啟動 (操作系統的不正確運行以及硬件有缺陷的組件),這時候是得不到任何好處的。在這種情 況下代理不可能運行也不能向管理局提供任何資產信息。因此,為了確實管理和維修不運 行的計算機設備,普遍開發了被成為“帶外管理”(out-of-band-management)的其它訪問方 法。帶外管理在當今計算機環境中被廣泛使用。這是為了維修,可以提供計算機遠程 控制設備。帶外管理體現在與電源限制和系統要素的狀態檢測(本地設備好不好,內存存 不存在誤差,計算設備內部的運行溫度高還是不高等)提供附加技能和信息。這種管理是 一般使用附加管理基準或者計算機系統設備中存儲的管理部分而形成。在企業環境中所使 用的很多服務器,可以進行服務器遠程設備管理等的很多選項。附加管理基準或內存的管 理組件(從專用電源供應裝置或一直開的系統基準),總是能收到一定的電源供應。就算電 源裝置是關閉著的,操作系統和資產管理代理可以獨立提供有關硬件的信息。這種附加管理基準以及存儲的管理組件具有至少一個以上的局限性。通過召回本 地存儲設備,不能形成軟件資產的清單。此局限性來自目前兩個以上的操作系統不能限制 本地存儲設備的裝置的根本構造。對于本地存儲設備與管理責任的操作系統會編程對操作 系統有力的文件系統。舉例說,微軟視窗可以使用NTFS,這個文件系統在Linux和OS是不能 被識別的。進一步說,微軟視窗也不能識別由Lnux和Unix操作系統下創建的文件系統。因 此附加管理基準和存儲的管理組件要進行掃描本地存儲設備的話,可以讀取它們所使用系統的資料。換句話說,在附加管理基準和存儲的管理組件上所使用的內部微碼(firmware), 與計算設備當中的操作系統所互換。這個電腦設備的操作系統有很多的多樣性,因此形成 了嚴重的限制性。即使管理基準和存儲的管理組件上所使用的內部微碼與計算設備當中 的操作系統完全互換,共有操作系統和微碼之間的文件系統(可能是到目錄和文件級安全 性)的維修要更加關注和介紹文件系統容易損壞的復雜性。緊接著,管理員為了具備硬件和軟件的資產管理功能,硬件基準訪問方法(附加 管理基準或內存的管理組件)以及軟件基準訪問方法(資產管理代理),的組合是最為理想 的。但是,硬件基準訪問方法會增加系統的復雜度,軟件基準訪問方法會大大的依存在操作 系統里,因此需要既單純而全新的一個訪問方法。基本上,當今計算環境中存在問題的根本原因是限制計算設備的所有組件的操作 系統的核心狀態(Kernel mode)或者高價存取權限,(管理員或根部(root)權限)的用戶 的能力(以及必要性)中依靠在操作系統中漏洞。舉例說,幾乎每個計算機設備是限制外 圍設備(硬件驅動器)來啟動操作系統,操作系統以操作系統本身或用戶配置的操作系統 有必要構成外圍設備的時候,會形成訪問模式。為了惡意用戶或是程序正在被試圖訪問,為 了導致計算設備功能不良,剝削了高價存取的訪問模式。操作系統和應用系統為了防止這 些剝削漸漸變為復雜化,但是有效的治療到現在為止還沒有被廣泛所知。近期開發中一項是為了減少惡性剝削,試圖提高管理層的計算環境形成了虛擬 化。虛擬器為了提供虛擬存儲設備,虛擬網絡連接等功能的虛擬及啟動以計算裝置為主的 操作系統(一般“變硬的”(hardened)操作系統)構成。然后,虛擬器啟動為用戶所使用 的客戶機操作系統。舉例說,蘋果(Apple Mac:注冊商標)在OS MAC啟動,單擊虛擬網絡 (Virtual PC:注冊商標)為了虛擬及其而做成,虛擬器又為了讓用戶使用視窗應用程序而 啟動。或是服務器啟動了服務器2003(WindOWSSerVer 2003 注冊商標)虛擬機網卡驅動 (VMWare 注冊商標),虛擬器為了各種操作系統而啟動。虛擬器的快照是為了保存虛擬機 器的狀態而創建,如果虛擬器發生問題也可以很快修復。一個服務器為了支援多數虛擬器, 這是使用用戶鍵盤,鼠標及視頻信號通過網絡傳輸并能遠程訪問虛擬器,這屬于中央服務 器精簡式用戶端(thin-client)。硬件服務器或軟件的限制直接進入用戶或用戶終端設備,只所以能夠使用低消費 是因為它是可以編寫于服務器的計算或精簡式客戶端的。但是服務器和精簡式客戶端要所 有用戶充分使用,有必要強調,更限制性的,所有用戶為了使用應用程序必須要經常連接服 務器等必要的方面等,也存在很多不利的地方。更何況,客戶機操作系統運行的虛擬器里也有惡意用戶或根據編程形成固有的剝 削性。舉例說,虛擬機器一般跟普通計算設備一起,依然需要反病毒軟件和文件許可的遏制 方式。還有即使主操作系統以最大化被強化(被保護),主操作系統對訪問還是存在高價存 取模式。舉例說,從主操作系統取得管理權限的惡意用戶或者項目可以損傷或構成虛擬器 中提供虛擬記憶設備的軟件,因此可以導致對所有虛擬器無法訪問的結果。因此,根據操作 系統和應用程序所使用的文件數據,一便減少被惡意用戶或程序使用時的曝光,這是非常 可取的。
發明內容
本發明是關于計算機和計算機系統的記憶存儲設備的。記憶存儲設備包含通過 計算機接口和系統接口,通信連接到處理器上。注在這里說明的處理器不是計算機上的 CPU,而是指存在記憶存儲設備的設備處理器(device processor)處理器又通過網絡接口 通信連接到網絡系統。計算機接口獨占連接處理器與計算機之間的通信,系統接口管理處 理器和計算機一個以上的硬件組件。網絡接口,以排除某些文件服務器為特征,與文件服務 器的通信變為可能。記憶手段通信連接到該處理器,分為第一和第二指定內存區域。該處 理器對兩個內存區域有讀/寫權限,計算機分為第一內存區域為只讀區域權限,第二內存 區域為讀/寫權限。可移動媒體設備又通信連接到該處理器上。記憶存儲設備為了改良記憶存儲設備或組成計算機的功能,形成附加選項。這些 選項可以體現為獨立或聯合。作為一個選項,該處理器為了使用一個以上的加密/解密功 能,要有合適的加密模塊。這種功能包含指定文件服務器的加密通信,加密記憶手段的文件 存儲,使用可移動媒體設備加密文件后存儲。加密模塊使用的加密鑰引可以從指定文件服 務器上獲得。作為另外一個選項,該處理器收到從計算機的文件要求時,會有一連的順序程序。 第一,處理器先判別文件是否存儲在第一指定內存區域,如果有文件,以只讀權限提供給計 算機。然后,如果文件沒有存儲的話,該處理器給一個以上的指定服務器發出要求。如果文 件在一個以上指定文件服務器上的話,接收文件并存儲在第一指定內存區域,用只讀權限 提供給計算機。最后,如果用其它方式接收不到文件的話,提供給計算機文件接收不到的信 息。用按順序方式,該處理器如果文件不在一個以上的指定文件服務器上的話,可編成判斷 文件是否存儲在可移動媒體設備。跟上面一樣,如果有文件就存儲之后以只讀權限提供給 計算機。作為另一個選項,該處理器對第二指定內存區域記錄的文件進行檢測,遏制還有/ 或者處理程序。而且,計算機通過網絡接口通信連接到網絡,該處理器對于通過網路接口的 從/到計算機網絡協議進行檢測,遏制,還有/或者處理程序。又作為另一個選項,記憶存儲設備由第二指定內存區域存儲的用戶文件復制或存 儲目的,可編程復制到可移動媒體存儲設備。不同的是,要不然以附加形式,記憶存儲設備 可編程第二指定內存區域存儲的用戶文件,復制到一個以上的指定文件服務器。又作為另一個選項,該處理器如果從一個以上指定文件服務器,收到刪除文件的 命令的時候,從記憶手段中刪除存儲的文件。不同的是,存儲的文件要包含文件有效期間 表,該處理器根據文件有效期間表,按標準,要適應刪除存儲的文件。這種表作為刪除文件 時的表,含有絕對時間和日期表,相對時間和日期表或是與時間沒有關系的其它標準。因此,計算設備和計算系統的書面知識(知的)存儲設備被公開。改善的這點,將 體現在具體說明書和圖式上。
在圖式上,同樣的參考符號顯示類似的構成要素圖1是根據現有技術,形成的資產管理界面的計算機網絡的概要圖;圖2是使用第一網絡計劃的計算機網絡智的記憶存儲設備的統計概要圖3是使用第二聯網計劃的計算機網絡智的記憶存儲設備的統計概要圖;圖4是第一智的存儲設備的概要圖;圖5是第二智的存儲設備的概要圖;以及圖6是智的存儲設備回應計算機文件要求,所使用的說明順序圖。
具體實施例方式為了本文說明,“非用戶文件”這個詞意味著計算機操作系統的要素,應用程序的 要素,或是指定為用戶只讀權限的文件。根據本文使用,“用戶文件”這個詞意味著沒有被 定義為非用戶文件的文件,普通用戶的計算設備的使用,形成直接的結果。這樣的用戶文件 為了用戶,包含根據操作系統或是應用程序而形成的臨時文件。在這樣的定義下,非用戶文 件和用戶文件之間的描述是根據任何指定計算機以及計算機網絡或是網絡管理員的級別 而決定。因此,對于技術熟練的人是可以識別其它管理員把一樣的文件分成其它種類的文 件,舉例說,第一個網絡管理員把任何指定文件變成非用戶文件,第二網絡管理員把一樣的 文件改成用戶文件。更何況,“服務器”這個詞,包含在網絡上使獨立運作的計算設備,使服務器和軟件 能獨立運作的網絡虛擬化,許多虛擬服務器把網絡上根據計算設備提供變為可能的“虛擬 服務器”,包含這2個含義。許多虛擬服務器如果對于服務器需要的功能運行,進行虛擬化的 話,其它虛擬服務器為了復制想要的服務器功能,把計算設備的所有硬件組件進行虛擬化。從圖1細節上的處理,圖1是用現有技術表示的典型的計算機網絡(101)的代表。 計算機網絡(101)可以是,是巨型還是中型,個人用還是辦公室用等的網絡服務器,掌上電 腦(PDA),電話,或是任意的網絡程序的裝置或設備一樣的特殊裝置。計算機(101)是中央處 理器(104)允許,連接各種組件之間的通信的內部接口(105),操作系統(103)和應用程序 (102)所需的文件通常存儲在硬盤驅動器,如非易失型RAM內存一樣的二級存儲設備(107), 用有線或無線連接的計算機(101)為了把文件以及打印機共享的服務器(101)還有/或者 網絡應用程序服務器(102) —樣的網絡信息的網絡系統(109)的連接,使用的網絡接口總線 (108)還有為了“帶外管理”所使用的選擇性的網絡管理接口(106) —樣的一般的組件可以 看出。這樣的組件在聯網的計算機上是很普通,所以對技術熟練的人提供很多功能。操作系統(103)為了形成功能計算機,有責任管理組件之間的相互作用。尤其是, 操作系統(103)是應用程序(102)或者從操作系統(103)本身提出的文件要求。這個文件 要求在訪問應用程序(102)或者操作系統(103)的輔助記憶存儲設備(107),文件以及打 印機共享的服務器(111),或者網絡應用程序服務器(112)的時候形成的。為了接收文件 要求,操作系統(103)為了對有關計算機使用的多種記憶存儲設備和網絡協議等這些負責 任,編程輔助記憶設備(107)或網絡接口(107)為特性。操作系統(103)又編制成觀測存 在輔助記憶設備(107)存儲的文件,多個網絡服務器(111,112)上的許多資源如何與計算 機運行統計的信息。因此,在正常運行情況下,計算機(101)的操作系統(103)要應付很多 復雜的作業。管理接口(106)在任何計算設備都可以使用,但是目前是在聯網的服務器上廣泛 使用。管理接口(106)允許管理員遠程管理服務器,收集硬件組件或者運行狀態的信息。 通過使用管理接口(106),管理員可以開或關閉計算機(101),發布(啟動引擎本身的測試-運行前的程序),可以看到信息的順序,或者鍵盤,錄像,還有鼠標(KVM)的延長可以遠 程控制。管理接口(106)被編制成以規定的間距,輔助記憶設備或者內存變壞等緊急事件 的時候,要向管理用服務器(110)報告運行狀態。管理接口可以存儲在附加基準或計算設 備的主盤,提供許多功能給那些技術熟練的人。圖2是包含內部統計的智的記憶設備(ISD) (202)聯網的計算機的說明。ISD(202) 是,本文說明中的不會丟失任何功能,可以組裝在計算機系統(201)上。跟以前技術一 樣,計算機系統(201)包括CPU(104)和接口總線(105)。雖然包含輔助記憶設備(107) 和網絡接口(108),由于ISD(202)可以提供必要的功能,所以有的時候是具有選擇性的。 ISD(202)和其它組件使用各組件合適的計算機接口鏈接到接口總線(105)。ISD(202)是通 過ISD(202)管理計算機(201)上的許多硬件組件的接口,附加鏈接到接口總線。根據設計 不同,接口總線對于技術熟練的人很清楚,對于各自特定的功能,具有限定的通道。圖2的計算機(201),即使在其它設計中其它服務器可以跟其它的網絡可以聯上, 一個網絡可以連接三個不同種類的服務器。第一個服務器是主要網絡上與IDS的通信的智 的記憶設備用的服務器(SISD) (203)。在網絡上的ISD,與(SISD) (203)通信連接的唯一的 設備類型的這點是可取的,但是不需要。也就是說,(SISD) (203)與除了 ISD之外的任何設 備不通信,ISD也除了(SISD) (203)之外的其它服務器不通信。但是,ISD (202)如果局限于 與(SISD) (203)的通信,ISD(202)提供給計算機(201)的任何連接結果(pass-thru)通信 不會受到(SISD) (203)限制。在事實上,通過連接結果,計算機(201)可以與網絡上的第二 和第三服務器聯絡。許多技術熟練的人認為多個服務器和網絡構成是可能的。舉例說,兩個以上的服 務器根據一個計算設備,可以提供虛擬服務器。不同的是,更多的服務器在網絡環境中為了 介紹其重復性或是附加功能,被添加。網絡可以被任何可取的方法而形成。舉例說,使用銅 導線,光纖,無線,或是使用任何類型都可以形成網絡。圖3是說明ISD(202)和計算機(201)之間不同組件可享用的可移動媒體設備 (301)和ISD(202),包含這些的網絡計算機(201)。舉例說,可移動媒體設備(301)是,應用 程序(102),操作系統(103),還有ISD(202)可以直接訪問的DVD驅動器。不同的是,僅僅 通過應用程序(102)和操作系統(103),強求DVD驅動器訪問(可移動媒體設備(301)和接 口總線(105)之間沒有直接的接口),ISD(202)允許也可以不允許可移動媒體設備(301) 的使用。可移動媒體設備(301)是在CD和DVD驅動器上,RAM驅動器,USB線等的任何類型 的可移動媒體。圖4是說明ISD(202)和它的6個基本組件。ISD(202)包含在該處理器(403)上 的(緩存引擎),主要CPU接口(401),系統接口(402),網絡接口(407),緩存(406)(記憶 手段),還有可移動媒體設備(407)。如圖2,3所示ISD(202)是為了簡單和減少根據操作 系統運行的指定作業,與計算機關聯使用。緩存引擎(403)是與ISD(202)通信連接來管理其它組件。為了協助這項功能,緩 存引擎(403)包含在計算機ISD(202),通過網絡連接訪問和加密引擎。緩存引擎(403)的 特殊功能具體如下(1)計算機(201)的主要CPU接口(401)和系統接口(402),(2)計算 機(301)為了訪問網絡服務器(111,112)所使用的連接過程(404),(3),緩存(406)里存 儲的文件,⑷可移動媒體設備(407)的運行和(5)管理網絡和網絡接口(405)。緩存引擎(403)處理從應用程序和操作系統上的文件要求和從SISD中收到的命令。包含ISD(202) 的各組件和根據ISD(202)所提供的所有目標是從計算設備中發現的許多組件的管理和聯 合的,功能的基本管理,文件存儲和管理,病毒和其它惡性軟件一樣的文件和系統資料方案 之類的義務,是為了幫助操作系統。主要CPU接口(401)和系統接口(402)是在ISD (202)連接計算機的時候,使緩 存引擎和計算機通信連接。類似的有,網路接口(405)在ISD(202)與網絡連接的時候,使 緩存引擎(403)與其它聯網設備的通信連接。主要CPU接口(401)和網絡接口(405)又通 過連接到互相通信,緩存引擎(403)可以透徹性的提供從計算機上的網絡連接。使用緩存 引擎(403)通過連接(404),選擇性的檢測,遏制,還有/或者處理,從/到計算機上的網絡 通信。舉例說,緩存引擎(403)使用限制訪問權限或者可以掃描惡性網絡通信。緩存引擎 (403)在計算機上運用的操作系統和提供獨立的防火墻功能,可以刪除有病毒或間諜軟件 (spyware)所感染的網絡通信。另一個例子,緩存引擎(403)是使用包含的加密引擎,可以 加密/解密網絡通信上的發送要求。這種加密和解密的功能是使用任何類型的加密用法都 可以運行。緩存引擎(403)在上面說明一樣,為了控制ISD(202)的功能,可以是任何類型合 適的中央處理器。使用的中央處理器的特定類型是設計的選擇。允許的中央處理器中有英 特爾(intel) ,AMD(AMD),IBM (IBM), ARM (ARM), MIPS (MIPS)等一樣的,供應商是從集成電路 索取的。技術熟練的人可以意識到這是為了管理緩存引擎(403)的許多不同設計組件和 ISD(202)的想要的功能而形成的。舉例說,很多的中央處理器已經保存了加密模塊。在這種處理器,對于緩存(406) 或可移動媒體設備(407)上存儲的文件和資料進行加密,從/到引擎(403),從/到計算設 備,為了保護網絡通信所使用。加密模塊在不存儲的處理器上可以使用處理器外部加密模 塊。緩存引擎(403)是與操作系統(103)獨立對緩存(406)存儲的文件進行加密,從未經授 權訪問中受到保護。加密/解密鑰引可以存儲在緩存引擎(403)本身,用這種目的特別提 供的分離內存(有缺陷的內存或智能卡之類的外部原件)的存儲,為了訪問緩存引擎(403) 可以存在緩存(406)。為了提高安全,緩存引擎(403)要求編程與SSID的“連接性”,加密 /解密鑰引根據SIS(202)所管理,提供。在這種表現下,ISD(202)與網絡連接,如果不能和 SSID(203)通信,ISD(202)存儲的文件會阻止訪問。緩存引擎(403)為了解密鑰引,如果不 能訪問網絡上的SISD(203),緩存引擎(403)不能解密緩存(406)的文件。緊接著,雖然計 算機的操作系統被損壞,由于緩存引擎(403)和操作系統(103)是獨立加密/解密管理, 存儲在緩存(406)的文件,因此會完全被加密保護留著。根據安全和保護的水準,緩存引擎 (403)會持續“連接性”,提前規定的間隔(每15分鐘,每2個小時,每天等)或是每當加密 /解密功能開始的時候,編程檢查。主要CPU接口(401)和網絡接口(405)是緩存引擎(403)與計算機(201)和網絡 (109)各個通信連接的合適的任何類型的接口。把計算機(201)和網絡(109)與ISD(202) 相互連接特定方法是設計的選擇。許多中,IDE,SCSI,ATA,SATA,PATA,USB以及IEEE 1394 等使用一般所知的題材是,塊模式或文件模式(自然或模仿)是被接受成為主CPU接口。很 多中,英特爾,ATM,無線網絡以及蜂窩式網絡(cellular network)等的一般所知的網絡接 口和,其中的,TCP/IP和ATM等的網絡協議允許網絡接口(405)。這種組件作為可以獨立構成組件或作為一個綜合型的多臺計算機的中央處理單元,被硬件供應商得到廣泛的認識。 當計算機(201)是有著ISD(202)的外圍設備和移動設備的時候,可以采取網絡接口(405) 直接連接接口的形式。舉例說,PDA雖然擁有無線網絡接口一樣的網絡接口,直接聯系到用 SISD(203)運行的個人用計算機上。系統接口(402)可以是開和關閉計算機(201)的簡單控制器,計算機(201)系統 基板或系統的多個組成部分是直接聯系在一起,以提供額外管理功能的集成電路。使用 系統接口(402),緩存引擎(403)從提前計劃的事件或被所知的管理服務器的技能統計的 SISD(203)的要求,對計算機(201)的多個組件發出管理要求。例如,緩存引擎(403)為了 刪除內存漏洞,每天晚上開始之前分類被應用程序所不能關閉的備份,或是為了達到其它 的目的,每天晚上都可以開和關閉計算機(201)。不同的是,或是以附加的方式,緩存引擎 (403)為了查看任何組件的故障,每幾分鐘召回計算機的組件。如果檢查到問題,緩存引擎 (403)可以向管理服務器發出警告。緩存引擎(403)根據需要,把KVM發送給管理局,為了 反映這個,系統可以使用系統接口(402)。根本性的是,緩存引擎(403)實行于現代技術,根 據管理接口(106)(附加管理基板或是存儲的組件的管理)為了提供管理功能,可以使用系 統接口(402)。緊接著,ISD(202)消除其它管理接口的的必要性。ISD(202)是可以管理附加管理基板或者存儲的管理組件不能提供的軟件的資產 管理。緩存引擎(403)不僅提供對計算機組件管理功能,也管理從操作系統(103)和應用 程序(102)的文件要求,ISD(202)可以提供硬件和軟件兩大資產管理。更何況,使用所知的帶外管理技術,緩存引擎(403)又從計算機(201)上運用的操 作系統和應用程序(102)是獨立的,為了控制計算機(201)外圍設備,可以使用系統接口。 舉例說,緩存引擎(403)為了控制USB端口(啟用或禁用),擁有管理權限的用戶或甚至是 操作系統本身,都不可以訪問像USB快閃記憶體(USB flash memory)的USB設備。這種類 型的外圍設備的控制對ISD (202)所需要的命令或從發送信息的SISD (203)中央管理,用這 種方式管理硬件組件或軟件資產,操作系統可以是任意的,不需要依存在操作系統代的代 理。緩存(406)所使用的是特定類型的記憶設備或是設計選擇。緩存(406)可以是被 技術熟練的人所知的硬式磁盤驅動器,動態隨機存儲器,靜態隨機存儲器,閃存等的任何類 型的隨機存取媒體。選擇一般依存在聯合計算設備的預定用途上。舉例說,硬式磁盤驅動器 為了臺式(desktop)和筆記本(laptop)電腦而使用,動態隨機存儲器是即使電源被關閉, 開機,完全有必要重新啟動而使用,靜態隨機存儲器或者閃存以高性存儲設備的低散熱為 需要而使用,或是可移動隨機存取媒體使用在用戶維持存戶的內容,轉移到其它電腦上的 環境。緊接著,根據緩存引擎(403)而使用的程序與選擇的隨機存取媒介特有的類型和作 用相適應。然后,緩存(406)使用任何可取的計劃可分離成兩個部分。其中一部分是向計 算機指定為允許只讀權限的訪問非用戶文件,另外一部分是計算機指定為允許讀/寫權限 的訪問的的用戶文件。舉例說,緩存(406)是為各個指定的部分形成連續的地址空間。另 外一個不同的是,兩個部分形成不連續地址空間,新的文件記錄在緩存(406)的時候,新的 文件使用的地址空間根據文件是用戶還是非用戶,形成一個指定的部分而指定。可移動媒體記憶設備(407)的特定類型也是設計。可移動媒體設備(407)是像只 讀存儲器,可重寫光碟,多類型的DVD媒體格式,或是USB驅動(USB jump drive)等類型的任何類型的隨機存取的媒體記憶設備,也可以是像磁帶盒按順序讀取等的記憶設備。可 移動媒體設備(407)的主要使用是當緩存引擎(403)與SISD(203)不能通信的時候,使為 了緩存引擎(403)收到從可移動媒體發送的文件。從SISD(203) —般可以得到的非用戶文 件是可以存儲在可移動媒體設備里,當緩存引擎與SISD(203)不能通信的時候,可以訪問 文件。更深一步的是,可移動媒體設備(407)沒必要為了幾個大的應用程序從網絡上下載, 緩存(406)的只讀區域可以預先填充非用戶文件。可移動設備從圖3可以看出,操作系統(103)或者應用程序(102)是直接使用可 移動媒體設備(301)的計算機的共享組件。跟緩存(406) —樣,可移動媒體設備如果是共 享組件的話,使用任何可取的計劃,進行部分的移動。不同的是,操作系統(103)和應用程 序(102)不可以進行直接訪問可移動媒體設備,而是要通過ISD(202)進行訪問,緩存(403) 操作系統(103)應用程序(102)的可移動媒體設備的通信,對于這些進行選擇型的檢測,遏 制,還有/或者處理。緊接著,緩存引擎(403)可以允許或不允許可移動媒體設備的使用。 舉例說,雖然緩存引擎(403)對音頻CD和百科全書DVD允許訪問,但是不允許可移動媒體 存儲的MP3或未經授權的應用。ISD (202)可以具有它本身存儲的任何的外圍設備或是接口,不同的是,操作系統 (103)和應用程序(102)是只有通過這些外圍設備和接口,才可以訪問并可構成。用這種方 式,對外圍設備的訪問,根據緩存引擎(403)可以對管理員中央管理的訪問規則或政策,允 許或不允許訪問,要與操作系統(102)獨立遏制。與操作系統獨立遏制外圍設備的連接是 在提高安全的環境中可取的。舉例說,如果ISD(202)不允許可移動媒體記憶設備的訪問, 用戶不可以把敏感文件存到可移動媒體。如果ISD(202)不允許對任何引導媒介的訪問,用 戶和操作系統不可以安裝。省略的說,ISD(202)管理存在緩存(406)中的文件,根據需要 與計算機以及網絡相互作用,可編程遏制計算機的其它組件。圖5是說明計算設備中由重要的組件構成的ISD(202)。緩存引擎(403)是直接與 其它外圍設備(503)聯系而構成。ISD(502)是計算設備只有通過緩存引擎(403)才可以訪 問外圍設備而構成。ISD(502)具有可編程包含計算設備的基本組件構成的用戶計算機區 域(501)。被選擇的操作系統和應用程序的快速運行能夠傳達的效率性CPU,根據CPU所使 用的典型主要隨機存取有內存,鍵盤,錄像,還有鼠標用用戶輸入/輸出接口,對其它組件 的訪問是根據緩存引擎(403)而管理,用戶計算機區域(501)中運用的操作系統和應用程 序不可以直接訪問緩存(406)中存儲的文件和外圍設備(503)。再加上,ISD(502)不包括 緩存引擎(403)的用戶輸入/輸出接口,不妨礙緩存引擎(403)的功能和用戶以及用戶計 算機區域中運用的操作系統和應用程序。因此,存在第一指定內存區域的非用戶文件受到 保護,除了在用戶計算機區域(501)中的允許之外,將會按照上面說明遏制任何附屬的外 圍設備的訪問。ISD (502)的典型體現中,作為緩存引擎(403)使用的處理器是其義務在于管理文 件和限制和遏制訪問,因此沒有必要要高效率性和高處理器。例如,處理器沒必要使用大 的電子數據表(spreadsheet),和渲染(graphics rendering)等功能,之所以提高效率性 的要求是因為只有在用戶計算機區域中才能預料。但是,作為緩存引擎(403)虛擬化區域 的直接訪問是根據本文的概念而受到限定,用戶計算機區域(501)可以丟失概念成為虛擬 化。更何況,用戶計算機區域(501)無論是物質性與CPU和內存構成或被虛擬化,用戶輸入/輸出可能是附屬在本地連接鍵盤,鼠標,視頻和網絡遠程鍵盤,鼠標,錄像。ISD的程序是C++,也可以是類似與應用程序開發語言(Java)的語言,編譯的程 序存儲在緩存引擎(403)中,用這種目的特別提供存儲在分離內存(固件更新)中。不同 的是,程序根據對緩存引擎(403)的訪問,可存儲在緩存(406)。主要的是,程序把存在緩 存(406)的非用戶文件為只讀區域權限,用戶文件為讀/寫區域權限提供給計算設備,允 許與緩存引擎(403)聯合的計算設備通信。根據主要CPU接口(401)的類型,程序對于緩 存(406)存儲文件提供模仿程序塊級存取(blocked-level access)或者文件程序存取 (file-level access).程序又通過使用與緩存引擎(403)相合適的網絡協議,允許與網路 的通信。圖6是緩存引擎為了應答操作系統的要求,實行的邏輯流程圖。操作系統通過應 用程序接口,為了處理應用程序的讀寫區域,同樣的邏輯也使用與應用程序的要求。從操作 系統中接收要求(602),緩存引擎先判別(603)是只讀文件還是記錄文件。如果要求是記錄 文件,緩存引擎先查是只讀權限指定區域還是讀寫權限指定區域。如果文件要求是只讀權 限指定區域的話,緩存引擎用“無效要求”通告回信給應用程序并拒絕要求。如果文件是讀 寫權限區域的指定區域的要求的話,緩存引擎先記錄讀/寫指定區域,然后處理病毒掃描, 加密,備份。順序根據其特性。例如,緩存引擎在文件存儲在讀/寫指定區域緩存之前,對 于病毒進行文件掃描。一旦發現病毒,可以采取把文件處于檢疫操作或者否認歷史記錄等 的措施。更深一步,緩存引擎把文件記錄在讀/寫指定區域后,從文件服務器拷貝文件,或 是存在可移動媒體設備。一旦文件以讀/寫指定區域權限成功記錄在緩存后,上述缺陷都 恢復后,緩存引擎以“文件記錄完成”,回應操作系統(610)。緩存引擎要判別(603)文件的要求,緩存引擎先判別是否是為了只讀權限指定區 域當中的文件(非用戶文件),或是判別是否為了讀/寫權限記錄在指定區域權限的文件 (用戶文件)。如果文件要求是非用戶文件,那緩存引擎先判別非用戶文件是否是從只讀權 限指定的緩存獲得(612)。要求的非用戶文件可以從指定緩存中獲得只讀權限,緩存引擎向 操作系統發送非用戶文件(613)。如果要求的非用戶文件以只讀權限無法從指定緩存中獲 得的話,緩存引擎向SISD發送非用戶文件要求。要求可以是在網絡上的所有SISD的播放 形式,也可以是網絡上指定的SISD。從SISD的要求,緩存判別非用戶文件要求是否從網絡 上的SISD可獲得。如果可以獲得非用戶文件,緩存引擎從SISD接受非用戶文件,以只讀權 限復制到指定區域。還有緩存引擎向操作系統發送非用戶文件,如果從SISD中無法獲得非 用戶文件的要求,緩存引擎會以“無法接收”通報發送給操作系統且通知操作系統。要求的文件如果是讀/寫指定區域權限的用戶文件的話,緩存引擎先判別文件能 否從讀/寫指定區域中獲得。如果無法獲得文件,緩存引擎先判別是否允許從文件服務器 接收文件。文件有可能以以前的備份或按照存儲步驟從文件服務器上獲得。如果是那樣的 話,緩存引擎從文件服務器上接受用戶文件,復制到讀/寫指定區域(623)。從緩存直接 或者從文件服務器上復制所接收文件的時候,緩存引擎先判別是否啟動這功能,然后處理 啟動事項。如果處理或者沒有啟動處理的話,文件會發送到操作系統。再一次,順序按照特 性。例如,啟動自動備份的話,緩存引擎把先讀/寫指定區域權限存儲的用戶文件與文件服 務器備份存儲的用戶文件相比較,向計算機提供最新用戶文件。如果文件從緩存或文件服 務器無法接收文件的話,緩存引擎以“無法接受”通報發送給操作系統且通知操作系統。
緩存回應從操作系統請求引擎之后,實際理論根據指定表現的必要,可以采取其 它形式。對于技術熟練的人來說,只讀區域和讀/寫區域仍然要孤立,根據內容的說明,對 非用戶的文件的訪問,提供安全的訪問權限,可以意識到應該還有別的理論的管理文件的 方法。本文說明的ISD與操作系統是獨立存在的,不會收縮任何特定的協議和文件的構 造。與ISD起相互作用的操作系統對于ISD所存儲的文件發出要求,編程必要的協議,如果 ISD是唯一的記憶外圍設備或是連接記憶外圍設備的唯一的根源的話,操作系統可以分配 文件的存儲且保留作業。有利的是,操作系統和ISD之間的通信可以用幾步驟來運行。只 有這個步驟才是唯一一個依存在操作系統和系統構造,使任何硬件的平臺都可以成為標準 化。因此,分離的只讀區域和讀/寫區域,可移動媒體記憶設備,系統管理接口,以及 擁有網絡接口的指定計算機的記憶設備已公開。本發明的實施操作也看過也說明,沒有脫 離本發明的概念,需要更多的修改,這個對于技術熟練的人來說是更為鮮知的。因此,本發 明除了以下的請求范圍之外,不會限制。
權利要求
一種存儲設備,包括處理器;通訊連接到上述處理器,使計算機和上述處理器之間獨占性通訊可能得到連接的計算機接口;通訊連接到上述處理器,使能夠管理計算機的一個或多個處理器的硬件系統接口;通訊連接在上述處理器,使在上述處理器當中能進行通信網絡,使上述處理器與特定的文件服務器之間進行專用通信的網絡接口;通訊連接在上述處理器,分為第一和第二個指定的內存區,如上所述處理器當中第一和第二指定的內存區域是可以進行讀/寫,計算機的第一個內存區域有可讀功能,第二個內存區域可進行讀/寫的存儲手段;以及通訊連接到上述處理器的可移動媒體存儲器。
2.根據權利要求1所述的存儲設備,進一步包括加密模塊,因上述存儲設備增加了加 密模塊,使上述處理器作為記憶存儲設備具備如下特征1) 一個指定文件服務器和加密的 通信,2)上述存儲手段中所加密的文件的儲存,還有3)上述可移動媒體上面的加密文件的 存儲中,最少有一個事項是可以的。
3.根據權利要求2所述的存儲設備,其中,上述記憶存儲設備是使用上述處理器在上 述加密模塊和使用指定文件服務器上接收的一個或多個以上的加密鑰引,對存儲的文件進 行加密或解密功能為特征的記憶儲存設備。
4.根據權利要求1所述的存儲設備,其中,上述處理器若接受非計算機用戶發送的文 件,上述計算機網絡,應確定如下事項1)判別文件是否按順序存儲在第一指定內存區中。 若文件存儲在第一內存區,將文件按只讀權限提供給計算機,2)若文件沒有存儲在第一指 定內存區,應從一個或一個以上的指定文件服務器中找出文件。若文件是按一個或一個以 上的文件服務器上接收,把接收的文件存在第一指定的內存區,把接收的文件以只讀權限 提供給計算機,還有3)若文件沒有存在第一指定內存區也無法接收的話,計算機將回應通 告無法接受文件。
5.根據權利要求4所述的存儲設備,其中,上述記憶存儲設備有如下特征上述2)項 之后和3)項之前,先判別可否從可移動媒介中接收文件,如果可以收到的話,上述分離媒 介存儲設備中先接受文件,存儲在第一指定內存區域,把接受的文件按只讀權限提供給計 算機。
6.根據權利要求1所述的存儲設備,其中,若上述處理器從計算機接收用戶文件的要 求時,上述記憶存儲設備具有使上述處理器把第二指定內存區域的讀/寫權限提供給計算 機的特征。
7.根據權利要求1所述的存儲設備,其中,上述記憶存儲設備具有對上述處理器對于 記錄或讀寫在第二指定內存區域中的用戶的全部文件,實行檢測、遏制或者處理其中之一 項。
8.根據權利要求1所述的存儲設備,其中,上述記憶存儲設備的特征如下計算機通過 網絡接口的連接,通信連接到該網絡服務器,上述處理器對通過網絡接口從計算機或到計 算機網絡流量進行檢測、遏制或者處理其中之一項。
9.根據權利要求8所述的存儲設備,其中,上述記憶存儲設備具有對上述處理中網絡流量進行加密或解密的特征
10.根據權利要求8所述的存儲設備,其中,上述記憶存儲設備具有如下特征根據預 先規定的規則,上述遏制含有網絡流量的許可與不允許。
11.根據權利要求1所述的存儲設備,其中,上述記憶存儲設備是以上述記憶手段作 為隨機存儲媒介構成為特征的記憶存儲設備。
12.根據權利要求11所述的存儲設備,其中,上述記憶存儲設備是由上述隨機存取媒 介中的第一指定內存區域連續地址的空間構成為特征的記憶存儲設備。
13.根據權利要求1所述的存儲設備,其中,上述記憶存儲設備,使運用在計算機中的 軟件不可以直接訪問第二指定內存區域為特征的記憶存儲設備。
14.根據權利要求1所述的存儲設備,其中,上述記憶存儲設備具有如下特征上述處 理器從指定的文件服務器接收到了刪除儲存文件的命令,上述記憶手段將存儲的文件給刪 除。
15.根據權利要求1所述的存儲設備,其中,上述記憶存儲設備具有如下特征上述處 理器根據儲存文件有效期的分類,將存儲的文件從記憶手段中刪除。
16.根據權利要求15所述的存儲設備,其中,上述記憶存儲設備具有將上述期間定在 文件有效期的日期和時間的特征。
17.根據權利要求1所述的存儲設備,其中,上述內存存儲設備具有如下特征上述處 理器可將儲存在第二指定內存區域的文件作為一個以上指定文件服務器,進行復制。
18.根據權利要求1所述的存儲設備,其中,上述內存設備具有如下特征上述處理器 對第二指定內存區域里的文件,可按可移動媒體設備存儲。
19.一種計算機網絡,包括一個以上指定的文件服務器;網絡服務器;通信連接在上述網絡服務器,落后于一個以上的指定文件服務器和上述網絡服務器的 計算機;以及上述計算機和一個以上指定文件服務器通信連接,與計算機連接,由處理器、計算機 接口、系統接口、網絡接口、存儲手段以及分離型媒介存儲設備來構成1)上述計算機接口 使計算機和處理器之間能夠進行獨占型連接2)上述系統接口使處理器可以管理一個以上 的計算機硬件組件,3)上述處理器為了與排除其它文件服務器的特定的文件服務器通信, 使用上述的網絡接口 4)上述可移動媒體存儲設備與上述處理器通信連接,5)上述存儲手 段包含第一指定內存區和第二指定內存區,上述處理器可在第一和第二指定內存區域進行 讀、寫權限,上述計算機在第一內存區域設置只讀權限,在第二指定內存區域設置為為讀/ 寫權限的內存存儲設備。
20.根據權利要求19所述的計算機網絡,該存儲設備進一步包括加密模塊,上述計算 機網絡在上述記憶存儲設備增加并使用加密模塊,體現如下特征1)給指定文件服務器上 進行加密通信2)加密儲存文件的存儲方式,還有3)加密儲存到可移動媒體設備中時,至少 讓其中之一得到可操作。
21.根據權利要求20所述的計算機網絡,其中,上述計算機網絡是使用上述處理器從 加密模塊和指定文件服務器中接收的一個以上的鑰引,對儲存在上述記憶手段的文件加密或解密功能為特征的計算機網絡系統。
22.根據權利要求19所述的計算機網絡,其中,上述處理器若接受非計算機用戶發送 的文件,上述計算機網絡,應確定如下事項1)判別文件是否按順序存儲在第一指定內存 區中。若文件存儲在第一內存區,將文件按只讀權限提供給計算機,2)若文件沒有存儲在第 一指定內存區,應從一個多一個以上的特定文件服務器中找出文件。若文件是按一個或一 個以上的文件服務器上接受的話,把接收的文件存在第一指定的內存區,把接受的文件以 只讀權限提供給計算機,還有3)若文件沒有存在第一指定內存區也無法接收的話,計算機 將回應通告無法文件接受。
23.根據權利要求22所述的計算機網絡,其中,上述記憶存儲設備有如下特征上述2) 項之后和3)項之前,先判別可否從可移動媒介中接收文件,如果可以收到的話,上述分離 媒介存儲設備中先接受文件,存儲在第一指定內存區域,把接受的文件按只讀權限提供給 計算機。
24.根據權利要求19所述的計算機網絡,其中,上述記憶存儲設備的特征如下計算機 通過網絡接口的連接,通信連接到該網絡服務器,上述處理器對通過網絡接口從計算機或 到計算機網絡流量進行檢測、遏制或者處理其中之一項。
25.根據權利要求24所述的計算機網絡,其中,上述記憶存儲設備具有對上述處理中 網絡流量進行加密或解密的特征。
26.根據權利要求24所述的計算機網絡,其中,上述記憶存儲設備具有如下特征根據 預先規定的規則,上述遏制含有網絡流量的許可與不允許。
27.根據權利要求19所述的計算機網絡,其中,上述記憶存儲設備是以上述記憶手段 作為隨機存儲媒介構成為特征的記憶存儲設備。
28.根據權利要求27所述的計算機網絡,其中,上述計算機網絡設備是由上述隨機存 取媒介中的第一指定內存區域連續地址的空間構成為特征的計算機網絡系統。
29.根據權利要求19所述的計算機網絡,其中,上述計算機網絡設備具有如下特征上 述處理器從指定的文件服務器接收到了刪除儲存文件的命令,上述記憶手段將存儲的文件 給刪除。
30.根據權利要求19所述的計算機網絡,其中,上述計算機網絡設備具有如下特征上 述處理器根據儲存文件有效期的分類,將存儲的文件從記憶手段中刪除。
31.根據權利要求30所述的計算機網絡,其中,上述計算機網絡設備具有將上述期間 定在文件有效期的日期和時間的特征。
32.根據權利要求19所述的計算機網絡,其中,上述計算機網絡設備具有如下特征上 述處理器可將儲存在第二指定內存區域的文件作為一個以上指定文件服務器,進行復制。
全文摘要
計算機和存儲設備的使用已經公開。存儲器通過計算機接口和系統接口,包含通信連接到計算機的處理器。計算機接口使處理器和計算機之間的進行獨占的通信,系統接口使處理器可以管理計算機一個或一個以上的硬件構成組件。處理器含有使網絡處理器的其它服務器連接的特定文件服務器進行通信的連接的網絡接口。存儲手段通信連接到處理器,含有第一指定內存區域和第二指定內存區域。處理器對這兩個區域都設置為讀/寫區域訪問權限,而計算機對第一區域設置只讀訪問權限,對第二區域設置讀/寫訪問權限。可移動媒體存儲設備是通信鏈接到處理器上。
文檔編號G06F13/00GK101952809SQ200880121957
公開日2011年1月19日 申請日期2008年10月23日 優先權日2007年10月23日
發明者鄭基悅 申請人:鄭基悅