专利名称::储存器防火墙控制装置与方法
技术领域:
:本发明是有关于一种保护数据记录的控制装置,用以保护储存于储存装置中的数据记录,使得该数据记录不致遭到不当的修改、删除或毁坏。
背景技术:
:目前几乎所有的电脑和电子机器都是利用电子记忆装置来记录数据,一般常见的数据记录包含作业系统软件、应用软件和各种信息等,在本发明说明中,将以数据一词中涵盖这些不同种类的数据记录。此种储存装置最常见的问题在于数据记录遭到不当修改。这些数据记录的更动,有时候是使用者有意的作为,例如更改软件程序的设定或是存入新的数据内容等。在这种情况下,使用者即使不是出于恶意,也常造成意料之外的不良后果,而必须要恢复在数据记录更动前的原始设定状态。以电子方式来记忆的这些数据,更可能遭人恶意破坏,数据记录可能因为电脑病毒或是未经授权使用者加以篡改或删除,而造成严重的损失。电脑系统若经未授权的更改,可能造成个人或企业用户在生产力、营收以及利润上的损失。企业内多人共用的电脑系统中,各电脑机器有相同的设定较利于维护和使用。若是各电脑使用者任意地更改各使用端的设定,将会导致系统内的各使用端之间不相容、不同使用端人机界面的不一致以及电脑运作的不稳定等问题,不但加重系统维护人员的工作负担,更可能损及企业或个人生产力。在某些情况下,必须允许合法使用者更新数据,且提供该储存装置正确设定值的备份。如此,使用者可以籍由新增、删除或更改该储存装置中的数据内容来改变电脑的组态设定,当使用者对数据的更动导致电脑运作发生问题时,能够利用先前电脑组态的备份,将电脑恢复成被更动前的正确记录状态。目前,市面上已有许多用以防止硬盘上的数据记录被不当更动的工具,这些数据记录保护的工具中,有些是以软件为手段,有些则结合了软硬件。使用软件手段来保护数据记录的系统,大多数是籍由阻止使用者读取或写入硬盘中的数据,来达到保护数据记录的目的。当使用者下达写入数据指令时,数据被载入到一特定的记忆空间中,而不会被写入硬盘内,因此不会更动硬盘中的数据记录内容。当使用者欲读取该笔写入数据时,是由该特定记忆空间中读取,而不由硬盘中读取。当使用者关机或重开机时,储存于前述特定数据空间而没有载入硬盘的数据记录,都会消失。上述方法有一明显缺点。这些软件所提供的数据保护手段很容易被破解,所以并不能防范电脑病毒之类的恶意入侵程序。由于这类软件无法将前述特定记忆空间隐藏,使得恶意入侵程序可能只要利用低阶的输入输出指令,就可以读写该记忆空间中的数据,并且进一步修改硬盘里的数据。此外,保护数据记录的软件,通常是设计在特定平台上运作,所以易产生与作业系统和处理器的相容性问题。结合软硬件的数据保护手段,通常包含一软件程序和一卡式元件,利用周边零件连接界面(PCI)或其他延伸插槽将该卡式元件和电脑连结。该软件部分是用以设定卡式元件,拦截数据存取指令,并将之传送到卡式元件中的处理器作处理。这种数据保护手段,亦无法隐藏其在硬盘中使用的记忆区块,因此如同上述的软件手段,易被恶意程序探知并加以破解。因此本发明人有鉴于此,经过不断研究测试后始有本发明的产生,以提供一防火墙控制器,使得能够不受作业系统或处理器的相容性限制,同时不容易被恶意入侵的人员或软件破解。
发明内容本发明的一个目的是提供一用以保护数据记录的控制装置,其是连结于一电脑系统的一运算系统与一储存装置之间,该控制装置的应用不限于特定作业系统或驱动程序。本发明的另一目的是提供一用以保护数据的保护电路。为达成本发明上述目的,本发明提供一种储存器防火墙控制装置,其适用于一具备储存装置与处理器的电脑系统,其可以将一该储存装置分割为至少两个虚拟磁盘,该控制器可以对该储存装置提供数据防护的功能,其包括第一连结单元、第二连结单元及一信号处理单元。该储存器防火墙控制装置是可以执行一种保护储存装置上数据记录的方法,包括执行一组态设定程序,其是用以设定该储存装置的虚拟磁盘分割;执行一系统载入程序,其是用以将数据载入该储存装置中;执行一数据保护程序,其是利用分割后的各虚拟磁盘及各虚拟磁盘的不同设定,使得欲加以防护的数据的存取动作,能够受到该储存器防火墙控制装置的控管。为使熟悉该技术的人士了解本发明的目的、特征及功效,籍由下述具体实施例,并配合附图,对本发明详加说明。图1显示依据本发明一实施例具有储存器防火墙控制装置的一电脑系统方块图。图2显示依据本发明实施例的组态设定程序流程图。图3显示依据本发明实施例的系统载入程序流程图。图4显示依据本发明实施例的数据保护程序流程图。图中主要元件编号100电脑系统(computingsystem)200主机板(mainboard)210处理器(processor)220处理器储存器数据界面(processor-storageinterface)230控制器处理器数据总线(controller-processordatabus)300控制装置(controller)310控制器处理器界面(controller-processorinterface)320信号处理单元(signalprocessor)330控制器储存装置界面(processor-storageinterface)340微处理器(micro-processor)350随机存取存储器(randomaccessmemory,RAM)360可擦可编程只读存储器(EPROM)370控制器储存装置数据总线(Controller-storagedevicedatabus)400数据储存装置(storagedevice)410储存装置界面(storagedeviceinterface)420只读区(readonlyzone)430草稿区(sketchzone)440管理区(adminzone)450无防护区(unprotectzone)460数据储存区域(datastoragespace)470数据储存区块(datablock)480防护数据储存区块(protecteddatablock)481草稿数据储存区块(sketchdatablock)482管理数据储存区块(admindatablock)483无防护数据储存区块(unprotectdatablock)490位置表(locationtable)495组态表(configurationtable)主要方法步骤编号100组态设定程序110进入组态设定模式120将数据储存区分割成不同区域130将储存区分割结果传送给处理器200系统载入程序210进入系统载入模式220系统管理者将数据载入只读区420及无防护区内300数据保护程序302进入数据保护模式303将草稿数据储存区域初始化304初始化位置表306接收数据读取或数据写入指令308判断接收指令的种类310判断数据读取指令中指定数据的防护类型312判断指定读取的数据是否储存于草稿数据储存区域314将欲读取的数据传送至处理器320从草稿数据储存区块中将欲读取数据载入处理器330读取指定的无防护数据并传送至处理器340判断写入数据指令涉及数据的防护种类342将指定写入数据载入草稿数据储存区块350将指定写入数据载入无防护数据储存区块具体实施方式为充分公开本发明,配合附图详细说明如下。图1显示一电脑系统100,其结合一依据本发明第一实施例的储存器防火墙控制装置300。其中该电脑系统100包含一处理器210及一数据储存装置400。电脑系统100是可以为任何需要将软件或数据储存于一储存装置的装置。例如电脑系统100为一般个人电脑,而处理器210为控制该电脑的微处理器,数据储存装置400可以为一硬盘机或其他储存装置。或者电脑系统100可以为一游戏控制操作台,而处理器210为运作该控制操作台的微处理器,数据储存装置400可以为类似如记忆卡(memorystick)的记忆装置。储存器防火墙控制装置300包括第一连结单元,其是为一控制器处理器界面310,并籍由一控制器处理器数据总线230连结储存器防火墙控制装置300与处理器210;第二连结单元,其是为一控制储存器界面330,并籍由一控制器储存器数据总线370连结储存器防火墙控制装置300与储存装置400;信号处理单元320,其是介于该控制器处理器界面310与该控制器储器存界面330之间,并与一微处理器340连结,微处理器340则与一随机存取存储器350及一用以储存程序码的可擦可编程只读存储器360连结。处理器210是经由一控制器处理器数据总线230与储存器防火墙控制装置300上的控制器处理器界面310连结。处理器210发出的数据读取指令及数据写入指令能够经由控制器处理器数据总线230传送到储存器防火墙控制装置300。数据储存装置400包含一储存装置界面410,其经由一控制器储存装置数据总线370与储存器防火墙控制装置300上的控制器储存装置界面330连结。储存器防火墙控制装置300能依据处理器210发出的数据读取写入指令,经由控制器储存装置数据总线370,将指定存取数据自数据储存装置400中存取。在一较理想的情况下,控制器处理器界面310和储存装置界面410相同。如此,储存器防火墙控制装置300可以安装于处理器210和数据储存装置400之间。数据储存装置400包含一数据储存区域460,其是分割为复数个数据储存区块470。其中该复数个数据储存区块470可以进一步被设定为防护数据储存区块480、草稿数据储存区块481、管理数据储存区块482或无防护数据储存区块483。数据储存区域460是被区分为四个数据储存区域一只读区420,其是由防护数据储存区块480所构成;一草稿区430,其是由草稿数据储存区块481所构成;一管理区440,其是由管理数据储存区块482所构成;一无防护区450,其是由无防护数据储存区块483所构成。在一较理想状况下,只读区420中的防护数据储存区块480和草稿区430中草稿数据储存区块481的区块数目相同,且每一个防护数据储存区块480能与一个草稿数据储存区块481相对应。管理区440包含一位置表490及一组态表495。位置表490包含每一草稿数据储存区块481的位置,其是用以标示存有有效数据的草稿储存区块481。每一草稿数据储存区块481中数据记录的有效性,在位置表490中是以一位元记录表示。当位元记录为1时,表示该草稿数据储存区块中的数据记录为有效,当位元记录为0时,表示该草稿储存区块不含有有效数据。若某一草稿数据储存区块的该位元记录为1,则该控制器将从草稿区430中读取数据记录。若某一草稿数据储存区块的该位元记录为0,则控制器将从只读区420中读取数据记录。组态表495用以记录只读取420、草稿区430、管理区440、无防护区450各储存区域的组态、参数及大小等。以下叙述电脑系统100的一实施例。该实施例包含一可用于一般办公室环境的电脑系统,其是使用MicrosoftWindowsTM的作业系统。该电脑系统的处理器210为一微处理器,其是用以执行软件及控制周边装置。该电脑系统的数据储存装置400为一个IDE型的硬盘机,其是由一连结于该硬盘机与该处理器之间的IDE控制器所控制。在此实施例中,储存器防火墙控制装置300是连结于该IDE控制器和该硬盘机之间,且该储存器防火墙控制装置对该IDE控制器为透通的(transparent)。该IDE控制器和硬盘机之间的数据流通状况,如同两者直接连结,而无该储存器防火墙控制装置存在一样。实际上,该储存器防火墙控制装置300会将至少一部分的该硬盘机对该IDE控制器隐藏,并且将该单一硬盘机模拟成两个独立实体硬盘机,呈现给该IDE控制器。将储存器防火墙控制装置300的运作说明如下。该控制器将该单一IDE硬盘机分割为四个不同的逻辑区域只读区420、草稿区430、管理区440、无防护区450。储存区块470中属于防护数据储存区块480者,构成只读区420。储存区470中属于草稿数据储存区块481者,构成草稿区430。储存区块470中属于管理数据储存区块482者,构成管理区440。储存区块470属于无防护数据储存区块483者,构成无防护区450。前述四个数据储存区域是位于硬盘机中的数据储存区域内,在空间配置上可能互相交错。如上所述,防护数据储存区块480和草稿数据储存区块481的数目最好相同,亦即该两种数据区块间最好具有一对一的对应关系。只读区420中记录有系统管理者欲加以保护的防护数据,使其不被更改或删除。通常防护数据是由一系统管理者载入只读区420内,提供该电脑系统的使用者应用,将防护数据载入只读区420的方法容后再叙,如图中100和200所示。在电脑系统100新开始每一个运作段落时,储存器防火墙控制装置300均将草稿区430视为未使用,此时位置表490将每一草稿数据区块481的有效值设定为0,表示该草稿数据区块不含有有效数据。当处理器210传达一数据写入命令以增删或修改只读区420中的数据记录时,该指定写入数据不会记录在只读区430内,而会载入草稿区430中与防护数据储存区块480相对应的草稿数据区块481中,并更新管理区440中位置表490的记录,将该草稿数据区块481的数据记录为有效。即,当处理器210下达对某一防护档案的读取命令时,储存器防火墙装置300从一个或复数个数据储存区块480中读取该防护数据,并传送给处理器210。同时,储存器防火墙控制装置300将该指定读取数据载入草稿区430中的草稿数据区块481中,并更新位置表490的记录,将草稿数据区块481的数据记录为有效。被更改过的数据记录将会传送给储存器防火墙控制装置300,并储存于数据储存装置400中,其中该更改过的数据记录被当作草稿数据,记载于草稿区430中。由于电脑系统100在每一个运作段落开始时,会将草稿区430视为空置未用,因此在该运作段落开始前所有的数据更改内容,都不会被保留。在只读区420内的原始数据记录,则被视为是最新的数据记录内容。对于针对无防护区450的数据存取指令,储存器防火墙控制装置300仅将该存取指令连同位址转换指令传送到数据储存器装置400。此是假设数据储存装置400是能够自行完成数据存取指令。在本实施例中,电脑系统的IDE硬盘机即具备此种功能。若数据储存装置400不能独立完成数据存取指令,则储存器防火墙控制装置300亦可以经过适当设定,使得能够直接控制该数据储存装置的存取动作进行。上述储存器控制装置300的运作方式,如附图中方法300所示。图2显示依据本发明一设定数据储存装置400组态的方法100,使得能够在数据储存区域460中存取数据。方法100是由一系统管理者所实施,使得电脑系统100经适当配置后,提供使用者使用。图2所示方法100中,步骤110是为储存器防火墙控制装置300依系统管理者的命令进入组态设定模式。该系统管理者通常是利用储存器防火墙控制装置300所提供的一组态设定软件,命令储存器防火墙控制装置300进入组态设定模式。而且,方法100中的所有步骤最好都是在该组态设定软件的控制下进行。该组态设定软件最好提供一密码机制,使得储存器防火墙控制装置300仅有在使用者输入正确密码的情况下,会让储存器防火墙控制装置300进入组态设定模式。储存器防火墙控制装置300最好仅有在电脑系统100开机状态下启动该组态设定软件时,才能够进入组态设定模式。接着进入方法100的步骤120。步骤120是将数据储存装置400的数据储存区域460分割为四个区域只读区420、草稿区430、管理区440、无防护区450。储存器防火墙控制装置300会显示一对话方块,让该系统管理者设定只读区420的储存空间大小。储存器防火墙控制器300进一步依据设定值,在数据储存区域460中指定一储存区域作为只读区420,并自动指定另一个相同大小的储存区域为草稿区430。数据储存装置400中尚未指定的储存空间则被储存器防火墙控制装置300区分为无防护区450和管理区440。储存器防火墙控制装置300将上述四个逻辑区域视为个别的储存装置。方法100中的步骤130是为储存器防火墙控制装置300将电脑系统1009的单一数据储存装置400模拟为两个独立的数据储存装置,呈现给处理器210,该两个数据储存装置分别称为只读储存装置和无防护储存装置。其中,一个数据储存装置的储存空间和只读区420相等,另一数据储存装置的储存空间则和无防护区450相等。依据电脑系统100所采用的数据输入输出协定,储存器防火墙控制装置300必须将上述两个数据储存装置的某些特定数据传送给处理器210。例如该两个数据储存装置各自包含的磁轨数、磁区数及磁区大小。储存器防火墙控制装置300能够依据该两个虚拟数据储存装置的储存空间(亦即防护数据储存区域和无防护数据储存区域),计算出该两个虚拟数据储存装置的相关信息,传送给处理器210。所有这些信息均不包含关于草稿区430和管理区440的部分。依据电脑系统100所使用的数据输入输出协定,处理器210可以不同的参数值来设定不同的虚拟数据储存装置。在本实施例中的电脑系统100中,该两个虚拟数据储存装置是以不同的磁盘序号和字母来表示。储存器防火墙控制装置300接收针对不同磁盘序号储存装置的数据存取命令,并将指定存取标的转换IDE硬盘中相对应的磁盘分割。由于处理器210视草稿区430为不存在,所以数据储存装置400中的有效可用储存空间量必须扣除草稿区430的大小。例如若数据储存区域460具有10MB空间,且只读区420为4MB,则只读区420和草稿区430各含4MB的空间,而剩余的2MB属于无防护区450和管理区440。对处理器210而言,其中,草稿区430和管理区440并不存在,只读区420为一4MB的磁盘机(0),而无防护区450为一小于2MB的磁盘机(1),其实际大小视管理区440占用的记忆空间而异。方法100至此结束。方法100完成后,处理器210将视电脑系统100为具有两个独立的实体数据储存装置的电子机器来运作。在本实施例中,电脑系统100具有单一IDE硬盘机,该磁盘机被分割为四个逻辑分割。其中,只读区420被处理器210视为第一实体磁盘机,其磁盘代号可以为字母或数字(例如,磁盘字母C或磁盘号码0)。无防护区450被处理器210视为第二实体磁盘机,其磁盘代号可以为字母或数字(例如,磁盘字母D或磁盘号码1)。草稿区430及管理区440则被设定为对处理器210隐藏,因此处理器210不能籍由指定磁盘代号来对该隐藏磁盘逻辑分割直接运作。方法100可以重复实施以更改只读区420、草稿区430、管理区440及无防护区450的储存空间大小。当方法100首次在一已载有数据的硬盘上实施时,若储存空间许可。则可以设定将该数据载入只读区420或无防护区450,若储存空间不足则可以将之载入其他储存媒体上。当方法100在该硬盘上再次实施,而只读区420和无防护区450的储存空间就减少,使得该硬盘中已存有的数据无法完整存在于只读区420或是无防护区450内,而有部分流失,或者被复制到不同的储存位置。图3显示依据本发明一方法200,使得能够在数据储存装置400的只读区420中载入数据,其通常是由一系统管理者实施。图3的步骤210是为储存器防火墙控制装置300依系统管理者的命令进入系统载入模式。在本实施例的电脑系统中,是将一存有设定软件的磁盘片插入卡槽,来启动储存器防火墙控制装置300进入系统载入模式。该系统载入软件最好提供一密码机制,使得储存器防火墙控制装置300仅有在使用者进入正确密码的情况下,会让储存器防火墙控制装置300进入系统载入模式。储存器防火墙控制装置300最好仅有在电脑系统100开机状况下启动该系统载入软件时,才能够进入系统载入模式。接着进入方法200的步骤220,其是用以使系统管理者能将数据载入只读区420内。例如,系统管理者可以载入一控制处理器或系统其他部分的作业系统软件、如文字编辑之类的应用软件、游戏软件、通讯软件或数据档案。实际载入只读区420的数据内容,则依据电脑系统100的性质和用途而定。在系统载入模式下,系统管理者可以更改硬盘逻辑分割、格式化硬盘、新增、删除或修改只读区420内的数据。步骤220中,系统管理者并未将任何数据载入草稿区430中。在本实施例的电脑系统中,步骤220可能涉及作业系统软件如MicrosoftWindows、应用软件MicrosoftWord、其他软件或是数据在ID硬盘上的安装或记录。处理器210通常将该磁盘分割命名为C磁盘。当系统管理者完成数据载入只读区420的动作时,方法200即告结束。此时,只读区420内记录的数据,即称之为防护数据。电脑系统100在将防护数据载入只读区420后。即可进行一般的操作。通常,电脑系统100在此时会提供一般使用者使用。系统管理者可以重复施行方法200,用以更改只读区420中的数据内容。系统管理者不会将任何需要永久保护的数据载入草稿区430内。图四显示方法300,其是为储存器防火墙控制装置300一般正常运作的方式。由处理器210所发出的指令中,欲将先前存入数据储存装置400的数据记录加以读取者,称之为读取指令,而该读取标的数据称之为指定读取数据,欲将数据载入者,称之为写入指令,而该写入标的称之为指定写入数据。方法步骤300的步骤302是为储存器防火墙控制装置300进入数据保护模式。当电脑系统100开始一新的运作段落时,除非储存器防火墙控制装置300被命令进入系统配置模式(方法100)或系统载入模式(方法200),否则储存器防火墙控制装置300会自动进入数据保护模式。电脑系统的新运作段落,通常是以电脑开机或重开机为开始。方法300接着进入步骤303,其是为储存器防火墙控制装置300将草稿区430初始化。储存器防火墙控制装置300将管理区440的位置表490的每一位元记录为0,表示所有草稿数据储存区块481都不含有有效数据。步骤303是用以将电脑系统100在前一运作段落所载入草稿区430中的草稿数据,都加以去除。为避免起始过程耗费太多时间,实际上,储存器防火墙控制装置300并未逐笔删除每一草稿数据储存区块481内的数据记录。而且这种逐笔删除的动作也是不必要的。由于在位置表490中每一草稿区块的记录均不为有效,储存器防火墙控制装置300会对该运作段落开始前已储存于草稿数据储存区块481内的数据记录视而不见。某些电脑系统的处理器210可以籍由指引数据储存装置400存取数据储存区域460中的特定位置,来传达一低阶数据输入输出指令。例如,一处理器210可以指定一IDE硬盘读取一特定数据储存区块470中的某些磁轨或磁区的记录内容。一IDE硬盘中处理器210所能指定存取的磁轨和磁区位置,会受到步骤130所指定的只读区420和无防护区450的限制。方法300接着进入步骤304。在此步骤中,储存器防火墙控制装置300将管理区440的位置表490初始化。方法300接着回到步骤306,储存器防火墙控制装置300接收处理器210下达的数据存取指令。方法300接着进行步骤308,若在步骤306中接收数据读取指令,则进行步骤310,否则进行步骤340。步骤310是为审视所接收的该数据读取指令,若其指定读取标的位于无防护区450中,进行步骤330,否则进行步骤312。步骤312是为储存器防火墙控制装置300查阅管理区440的位置表490,以确定处理器210指定读取的数据是否位于草稿区430中,若是则进行步骤320,否则进行步骤314。方法300接着进行步骤314,其是从只读区420中读取该指定数据并传送到处理器210。方法300接着回到步骤306,等候处理器210下达一个指令。步骤320是为储存器防火墙控制装置300处理一读取指令,共指定读取标的是为一已存于草稿区430中的数据记录。该指定读取的草稿数据是可以于下述步骤342中,依据处理器210所传达的数据写入指令,将指定写入数据写入草稿区430中。储存器防火墙控制器装置300确定指定读取数据所在的草稿数据储存去块481。将之读取并传送到处理器210。方法300接着回到步骤306。等候处理器下达下一个读取指令,步骤330是为储存器防火墙控制装置300处理一读取指令,其是指定读取标的是为一已存于无防护区450中的数据记录。储存器防火墙控制装置300将接收到的该读取指令直接转送给处理器210。方法300接着回到步骤306,等候处理器下达下一个指令。步骤340是为储存器防火墙控制装置300处理一写入指令,若该写入指令的写入标的为一存于无防护区450的无防护数据,则进入步骤350。否则该指定写入数据将载入草稿区430中,并进入步骤342。步骤342是为储存器防火墙控制装置300确定指定读取数据应载入的草稿数据储存区块481。储存器防火墙控制装置300亦更新管理区440中位置表490的内容,将该写入数据的草稿储存区块481标示为有效的数据区块。方法300接着回到步骤306,等候处理器下达下一个指令。步骤350是为储存器防火墙控制装置300处理一写入指令,其指定写入标的是为一欲储存于无防护区450的无防护数据记录。储存器防火墙控制装置300将该指定写入数据直接载入无防护区450的无防护区450的无防护数据区块中。方法300接着回到步骤306,等候处理器210下达下一个指令。在数据保护模式下,储存器防火墙控制装置300不会将任何数据写入只读区420中。因此,只读区420在方法200结束或最后一次更新其内容后,会一直保有同样的数据内容。在电脑系统100的一运作段落中,使用者欲对防护数据进行的任何存取或修改,都会在步骤342中,以草稿数据的形式载入草稿区430中。就处理器210而言,其是可以传达一般的数据存取指令,且该指令亦可以以一般方式完成。不过,当电脑系统100新开始一运作段落时,籍由步骤303的进行,在数据保护模式下所做的所有数据更动将不存在。上述实施状态是针对一IDE硬盘机。本发明亦可以与其他储存装置配合使用,例如ISA、ATA、EIDE、SCSI及其他种类硬盘机。此外,本发明亦适用于其他数据储存装置,包括固态记忆装置如磁性记忆装置、快闪记忆卡、PC卡等。虽然本发明已以数个较佳实施例公开如上,然其并非用以限定本发明,任何熟悉此技术者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰,凡所做的各种更动与润饰皆在本发明后附的权利要求范围内。权利要求1.一种储存器防火墙控制装置,其连结于一电脑系统的储存装置与处理器之间,使得可以控制该储存装置中数据记录的存取,包括一第一连结单元,其是为一控制器处理界面,并籍由一控制器处理器数据总线连结该储存器防火墙控制装置与该处理器,使得数据能在该储存器防火墙控制装置与该处理器之间传送;一第二连结单元,其是为一控制器储存器界面,并籍由一控制器储存器数据总线连结该储存器防火墙控制装置与该储存装置,使得数据能在该储存器防火墙控制装置与该储存装置之间传送;一信号处理单元,其是设于该控制器处理器界面与该控制器储存器界面之间,用以控制该储存器装置的虚拟磁盘分割及数据存取。2.如权利要求1所述的储存器防火墙控制装置,其中该信号处理单元连结一微处理器,该微处理器则与一随机存取存储器及一用以储存程序码的可擦可编程只读存储器连结。3.如权利要求1所述的储存器防火墙控制装置,其中该信号处理单元在该储存装置中分割出一只读区,其是包含复数个防护数据储存区块,用以储存欲加以防护的数据。4.如权利要求1所述的储存器防火墙控制装置,其中该信号处理单元在该储存装置中分割出一草稿区,其是包含复数个草稿数据储存区块,用以储存草稿数据。5.如权利要求1所述的储存器防火墙控制装置,其中该信号处理单元在该储存装置中分割出一无防护区,其是包含复数个无防护数据储存区块,用以储存无防护数据。6.如权利要求1所述的一种储存器防火墙控制装置,其中该信号处理单元在该储存装置中分割出一管理区,其是包含复数个管理数据储存区块,用以储存管理数据。7.如权利要求6所述的储存器防火墙控制装置,其中该管理区所储存的管理数据包含一位置表,其包含每一草稿数据储存区块的位置,用以标示存有有效数据的草稿数据储存区块。8.如权利要求6所述的储存器防火墙控制装置,其中该管理区所储存的管理数据包含一组态表,其用以记录各储存区域的组态设定信息。9.一种保护储存装置上数据记录的方法,适用于一电脑系统,其中该电脑系统至少包含一储存装置、一处理器及一储存器防火墙控制装置,该方法包括执行一组态设定程序,其是用以设定该储存装置的虚拟磁盘分割;执行一系统载入程序,其是用以将数据载入该储存装置中;执行一数据保护程序,其是利用分割后各虚拟磁盘及各虚拟磁盘的不同设定,使得欲加以防护的数据的存取动作,能够受到该储存器防火墙控制装置的控管。10.如权利要求9所述的保护储存装置上数据记录的方法,其中该执行一组态设定程序包含步骤使该储存器防火墙控制装置进入组态设定模式;将该储存装置分割成一只读区、一草稿区、一管理区及一无防护区。11.如权利要求9所述的保护储存装置上数据记录的方法,其中该执行一系统载入程序包含步骤使该储存器防火墙控制装置进入组态设定模式;将欲防护的数据载入只读区中。12.如权利要求11所述的保护储存装置上数据记录的方法,其中该系统载入程序使得一系统管理者可以进行下列动作更改该储存装置硬盘逻辑分割、格式化硬盘、新增、删除或修改只读区内的数据。13.如权利要求9所述的保护储存装置上数据记录的方法,其中该执行一数据保护程序包含步骤A.使该储存器防火墙控制装置进入数据保护模式;B.初始化草稿区;C.初始化位置表;D.接收数据读取或数据写入指令;E.判断接收指令种类,若该指令为数据读取指令,则进行步骤(F),否则进行步骤(I);F.判断数据读取指令中指定数据的防护类型,若为一防护数据,则进行步骤(G),否则进行步骤(L);G.判断数据读取指令中指定的数据是否储存于草稿区,若是则进行步骤(M),否则进行步骤(H);H.将欲读取的防护数据传送至该处理器;I.判断写入数据指令涉及数据的防护种类,若为无防护数据,则进行步骤(J),否则进行步骤(K);J.将指定写入数据载入无防护数据储存区块;K.将指定写入数据载入草稿数据储存区块;L.读取指定数据载入的无防护数据并传送至该处理器;M.从草稿数据储存区块中将欲读取数据载入该处理器。全文摘要本发明提供一种储存器防火墙控制装置,其适用于一具备储存装置与处理器的电脑系统,可以将一该储存装置分割为至少两个虚拟磁盘,该控制器可以对该储存装置提供数据防护的功能,包括第一连结单元、第二连结单元及一信号处理单元。该储存器防火墙控制装置可以执行一种保护储存装置上数据记录的方法,包括执行一组态设定程序,用以设定该储存装置的虚拟磁盘分割;执行一系统载入程序,用以将数据载入该储存装置中;执行一数据保护程序,利用分割后的各虚拟磁盘及各虚拟磁盘的不同设定,使得欲加以防护的数据的存取动作,能够受到该储存器防火墙控制装置的控管。文档编号G06F12/16GK1492334SQ02107178公开日2004年4月28日申请日期2002年3月13日优先权日2002年3月13日发明者郭昭正申请人:六舜实业股份有限公司