专利名称:信息保密方法和装置的制作方法
技术领域:
本发明涉及在通信期间使信息保密的方法和系统。
使信息保密的方法在本领域中是已知的。常规的方法基于加密,其中根据预定的加密方法或密钥处理保密的数据以提供加密文件。将加密的文件解码回原始信息需要根据该加密或密钥逆向处理该加密文件。
连接到WAN或LAN通信网的计算机易受到试图访问保密文件,下载这些文件和“破解”其加密的越权人或数据病毒的恶意入侵。
对于易于与其中包含的信息一同被偷走的便携计算机,这一问题尤其突出。
另一个主要问题涉及在通过网络进行通信时对数据和设备的保密访问。越权的网络用户可能试图渗透保密系统或尝试发送破坏软件,例如软件病毒。诸如防火墙之类的现有技术的软件系统未提供对这些越权企图的全面保护解决方案。
另一个主要问题涉及保护组织机构的网络和计算机不受病毒程序侵害。近来的许多产品提供了对输入通信的在线扫描,以识别如病毒之类的破坏软件(例如,以色列Netania的Finjan软件公司的网络屏障(WebShield),加拿大的Santa Clara的McCafee公司的PC防火墙和网络扫描(PCFireWall和WebScan))。可以理解,在通信期间扫描所有输入数据和数据变化要消耗大量资源,并且通常不能实时地以完整的规模进行。
授予David C.Reardon的美国专利No.5,434,562描述了保护诸如硬盘之类的设备免受从网络越权访问的手动用户可操作开关。
在计算机系统中,通常是实施审查记录来记录与系统中的活动有关的安全性。这种情况下,需要保护所记录的记录本身以后不被改变,它欺骗审查员信任伪造的记录。
可以理解,有效的安全性记录需要写在不能被改变的媒体上。一种常用的方法是将记录打印到硬拷贝上。虽然硬拷贝很难改变,但它也难以在计算机化的系统中复制、处理和传送。
另一种方法是将记录写在一次写入多次读取媒体上(例如PinnacleMicro公司的Pinnacle RCD-1000)。可以理解,实际的一次写入多次读取数据存储解决方案在性能和可靠性两方面比常用的读写技术(例如磁硬盘)差。此外,仅用于记录一个记录目的的一次写入设备的安装所需费用很大。
专门的应用软件可检测越权人或数据病毒对计算机资源的恶意入侵。这种情况下,由于怀疑计算机的硬盘驱动器被损害,必须用常被称为挽救软盘的"干净媒体"重新启动(引导操作)计算机。这种干净媒体通常包括可移动的媒体,例如软盘或CD-ROM。
在远端将站连接到设备的方法在本技术领域中是已知的。可以理解,为了连接到特定的设备,通常要求用户提供包括一个或多个预定序号的访问信息,例如识别号码、密码等。因此,除访问信息外,接收设备不需要任何其它信息。
一个站与所选择的设备的连接或断开基本上是由机电或电子的继电器在远端的交换设备进行的。
因此,根据本发明提供一种包括连接到该处的每个计算机站并进一步连接到至少两个通信设备的开关元件,连接到该开关元件的滤波器和连接在计算机站与滤波器之间的通信接口的系统。
当根据该连接请求构成所选择的计算机站时,通信接口接收来自计算机站的连接请求,连接到所选择的通信设备中被请求的一个通信设备并向滤波器提供连接命令。
滤波器向把被请求的通信设备连接到所选择的计算机站的开关元件提供连接命令。
此外,滤波器和通信接口在被请求的通信设备和计算机站之间提供数据通信。
根据本发明的一个方面,在连接到被请求的通信设备之前,开关元件将该计算机站与任何通信设备断开。
根据本发明的另一方面,提供一种将至少一个计算机站保密地连接到多个通信设备的系统。该系统包括连接到该处的计算机站中每个所选择的计算机站的一个开关元件。该开关元件还连接到通信设备中至少两个所选择的通信设备,以及连接到该开关元件和所选择的计算机站的控制器。
控制器从计算机站接收连接请求,以便连接至所选择的通信设备中被被请求的一个通信设备。当根据该连接请求构成所选择的计算机站时,控制器向开关元件提供连接命令。据此,开关元件将被请求的通信设备连接到所选择的计算机站。
根据本发明的另一方面,提供一种将预定数量的计算机站通过预定数量的通信线路保密地连接到预定数量的通信设备的系统。通信线路的数量比计算机站的预定数量和通信设备的预定数量中的任何一种少。
该系统包括连接到通信设备的远程交换设备,和连接到计算机站的本地交换设备。远程交换设备和本地交换设备之间经通信线路连接。
本地交换设备从一个计算机站接收连接请求,并将一个计算机站经一条可供使用的通信线路连接到远程交换设备。
远程交换设备进一步将可供使用的通信线路之一连接到被请求的通信设备。
本地交换设备仅当根据连接请求构成计算机站时进一步将该计算机站经可供使用的通信线路之一连接到远程交换设备。
通信设备一般是外围设备和连线诸如打印机、网络接口、扫描器、调制解调器、开关、集线器、路由器、计算机外围设备、服务器等之类。
开关元件基本上是可在诸如继电器、分组开关、基于频率的开关、代码开关、光开关、模拟开关、生物开关、数字开关、固态开关等之类的设备之间替换连接的任何元件。
实质上,每种外围设备的外形定义了请求连接至此的计算机站的配置。在连接到被请求的通信设备之前,必须根据该配置构成请求的计算机站。
根据本发明的再一个方面,提供一种将至少一个计算机站有选择地连接到多个通信设备的方法。该方法包括步骤从所选择的计算机站接收连接请求,以便连接到多个通信设备中被请求的通信设备,检测是否根据被请求的通信设备构成所选择的计算机站,当根据请求的通信设备构成所选择的计算机站时,将所选择的计算机站连接到被请求的通信设备。
在连接步骤前,该方法可进一步包括将所选择的计算机站与所有通信设备断开的步骤。
因此,根据本发明的优选实施例提供一种计算机系统,包括计算机,多个存储区,连接到该计算机和该多个存储区中的每一个的开关单元,以及挂起和恢复系统。开关单元向计算机提供多种模式,在每种模式中,开关单元将计算机连接到多个存储区中的一个。计算机针对每种模式具有至少一种单独的操作状态。当切换出第一模式时,挂起和恢复系统挂起与第一模式相关联的操作状态,及当切换入第二模式时,恢复与第二模式关联的挂起的操作状态。
此外,根据本发明的优选实施例,挂起和恢复系统包括用于挂起与一种模式相关联的操作状态和恢复与该模式相关联的另一种操作状态的装置。
此外,根据本发明的优选实施例,挂起和恢复系统包括针对每个存储区用于冻结一种操作状态并将该操作状态保存到计算机的存储器的休眠器,和用于从存储器恢复保存的操作状态的恢复器。操作状态与将计算机连接到存储区的模式相关联。
因此,根据本发明的优选实施例,挂起和恢复系统包括针对每个存储区用于冻结一种操作状态并将该操作状态保存到存储区的休眠器,和用于从存储区恢复保存的操作状态的恢复器。操作状态与将计算机连接到存储区的模式相关联。
根据本发明的另一个优选实施例还提供一种计算机系统,包括计算机,连接到公用网络的第一通信接口,连接到保密网络的第二通信接口,公用存储区,和保密存储区。该计算机系统还包括连接到计算机、通信接口、和存储区的开关单元,和挂起和恢复系统。开关单元向计算机提供多种模式。在第一种模式中,开关单元允许数据在计算机与公用存储区之间流动,禁止数据在计算机与保密存储区之间流动,允许经第一通信接口与公用网络通信,禁止经第二通信接口与保密网络通信。在第二模式中,开关单元允许数据在计算机和保密存储区之间流动,禁止数据在计算机与公用存储区之间流动,允许经第二通信接口与保密网络通信,禁止经第一通信接口与公用网络通信。该计算机针对每种模式具有至少一种单独的操作状态。当切换出第一模式时,挂起和恢复系统挂起与第一模式相关联的操作状态,当切换入第二模式时,恢复与第二模式相关联的挂起的操作状态。
此外,根据本发明的优选实施例,挂起和恢复系统包括用于冻结与第一模式相关联的操作状态并将冻结的操作状态保存到公用存储区的第一休眠器,用于从公用存储区恢复保存的操作状态的第一恢复器,用于冻结与第二模式相关联的操作状态并将冻结的操作状态保存到保密存储区的第二休眠器,用于从保密存储区恢复保存的操作状态的第二恢复器。
根据本发明的再一个优选实施例,还提供一种操作通信控制器的方法。该控制器连接在至少一个存储单元和计算机之间。可操作控制器提供第一预定操作模式和至少一种附加的不同操作模式。该方法包括步骤检测从计算机接收的引导信号,从用户接收指令以便根据所选择的操作模式工作,根据所选择的操作模式允许计算机访问至少一个存储单元的所选区,根据所选择的操作模式禁止计算机访问至少一个存储单元的非选择区,从用户接收指令以便根据另一种所选的操作模式工作,冻结当前的操作状态,将该操作状态保存到所选区之一,向计算机提供重新启动命令,允许计算机根据另一种所选择的操作模式访问至少一个存储单元的所选区,根据另一种所选择的操作模式禁止计算机站访问至少一个存储单元的非选择区,从所选择区之一恢复以前保存的操作状态。
根据本发明的再一个优选实施例,还提供一种保护计算机系统中保密区的设备。该设备包括连接到网络的通信接口,连接到保密区的保密设备接口,连接到通信接口和保密设备接口与计算机系统之间的管理控制器,和挂起和恢复系统。当计算机系统与网络之间的通信处在进程中时,管理控制器进行检测。当通信未在进程中时,管理控制器将计算机系统与保密设备接口连接。当通信处在进程中时,管理控制器将计算机系统与保密设备接口断开。挂起和恢复系统将计算机系统从处在通信进程中的状态转换到未处在通信进程中的状态,反之亦然。
从下面结合附图的详细说明将更全面地理解和体会本发明,其中
图1是根据本发明优选实施例构成和工作的提供保密信息通信的网络的示意图;图2是图1的服务器和根据本发明的通信控制器的详细示意图;图3是图1所示的节点和根据本发明的通信控制器的详细示意图;图4是图1所示的另一个节点的详细示意图;图5是根据本发明另一个优选实施例工作的,用于操作通信控制器以便提供对计算机的有限通信访问的方法的示意图;图6是根据本发明再一个优选实施例构成并工作的,在通信期间使计算机系统保密的计算机系统和设备的示意图;图7是根据本发明再一个优选实施例构成并工作的,在通信期间使计算机系统和其环境保密的计算机系统和设备的示意图;图8是用于操作图1、6和7所示的通信控制器,根据本发明再一个优选实施例工作的方法的示意图;图9是图1所示的再一个节点的详细示意图;图10是根据本发明优选实施例构成和工作的计算机站和通信设备的示意图;图11是根据本发明再一个优选实施例构成和工作的,用于在通信期间使计算机系统保密的计算机系统、存储单元、通信设备和便携单元的示意图;图12是根据本发明再一个优选实施例构成和工作的记录单元的示意图;图13是根据本发明再一个优选实施例工作,用于操作图12的记录单元的方法的示意图;图14是根据本发明再一个优选实施例构成和工作的计算机和设备的示意图;图15是根据本发明再一个优选实施例工作的,用于操作I/O和通信控制设备以便提供对计算机的有限数据和通信访问的方法的示意图;图16是根据本发明另一个优选实施例工作的,操作本发明的设备,控制各包含主引导记录的保密存储区和公用存储区的方法的示意图。
图17是根据本发明另一个实施例构成和工作的保密系统的示意图;图18A是图17的通信接口的详细示意图;图18B是图17的另一个通信接口的详细示意图;图19是根据本发明再一个优选实施例构成和工作的保密交换系统的示意图;图20是根据本发明再一个优选实施例构成和工作的组合服务器和交换系统的示意图;图21是根据本发明再一个优选实施例构成和工作的保密交换系统,和三个连接至此的网络设备的示意图;图22是根据本发明再一个优选实施例工作的,用于操作图17、18、19、20和21所示的系统的方法的示意图;图23A、23B和23C是根据本发明再一个优选实施例构成和工作的,用于使多个用户保密访问多个设备的系统的示意图;图24是根据本发明一个优选实施例构成和工作的计算机系统的示意图;图25是根据本发明再一个优选实施例用于操作I/O和通信控制器以及挂起和恢复系统的方法的流程图;图26A、26B、26C和26D是图24的计算机系统的四种状态的示意图;图27是根据本发明一个优选实施例的休眠过程的示意流程图;图28是根据本发明一个优选实施例的恢复过程的示意流程图;和图29是计算机的示意图。
本发明包括在多个计算机系统中定义用于发送和存储数据的新原理的几个方面。
根据本发明的一个方面,保密区和公用区是在物理上划分的。因此,根据本发明的网络包括至少两个通信网络,其中将这些网络中的至少一个定义为保密网络,通常借此经保密区发送机密信息。公用网络和保密网络之间不直接连接。
根据本发明的另一个方面,将机密传输物理地分成至少两个单元,其中需要将它们中至少预定的一个用于将原始传输重新构成。经保密网络发送该预定单元并存储在保密存储区中,二者都可与主通信信道物理上断开。
根据本发明的第一实施方案,第一单元包括一部分保密数据,第二单元包括保密数据的互补单元。
根据本发明的第二实施方案,第一单元包括呈加密形式的保密数据,第二单元包括加密解密软件。
根据本发明的第三实施方案,第一单元包括呈加密形式的保密数据,第二单元包括加密解密密钥。
现在参考图1,该图是根据本发明优选实施例构成和工作的,提供保密信息通信的通常标号为1的网络示意图,。
网络1包括参考标号为20,30,40,50和60的多个节点,服务器4,公用网络6和保密网络8。所有节点20,30,40,50,60和70通过公用网络6互连。
根据该实例,节点20,30,40和60还通过保密网络8互连。公用网络6也连接到外部网络,在本实例中它是因特网80。
服务器4包括中央处理单元10(CPU),存储单元14和控制器12。控制器12适合于从网络6和8接收传输并将它们写入存储单元14的各个位置中。将存储单元划分成至少两个区域,公用区16和保密区18。公用区16包含非机密信息,而保密区18包含保密信息。
节点20是能够经网络6和8发送和接收机密信息的保密节点。节点20包括计算机站21,存储单元22和通信控制器28。通信控制器28连接到计算机站21,存储单元22,公用网络6和保密网络8。存储单元22分成两个存储区,公用存储区26和保密存储区24。
通信控制器28控制到和来自节点20的所有通信。通信控制器28向两个网络6和8提供对公用存储区26的访问。通信控制器28仅向保密网络8提供对保密存储区24的访问。
在节点20,与公用网络6的所有通信经过通信控制器28。因此,通信控制器28监测和控制计算机21和公用网络6之间的所有通信。
节点30是能够经网络发送和接收机密信息的保密节点。节点30包括计算机站31、存储单元32和通信控制器38。通信控制器38连接到计算机站31、存储单元32、公用网络6和保密网络8。计算机31还连接到公用网络6。存储单元32分成两个存储区,公用存储区36和保密存储区34。
通信控制器38监测从公用网络接收的所有通信传输,以便检测对保密存储区34的访问尝试。当检测到一个尝试时,通信控制器拒绝访问保密区34并执行警告程序以警告节点30的用户。
节点40是能够经网络6和8发送和接收机密信息的保密节点。节点40包括计算机站41、公用存储单元46、保密存储单元44和通信控制器48。通信控制器48连接到计算机站41、保密存储单元44、和保密网络8。计算机41还连接到公用网络6和公用存储单元46。
通信控制器48提供对保密存储单元44的访问。公用网络6通过计算机41访问公用存储区46。
节点50是具有存储单元54和连接至此并连接到公用网络6的计算机52的非保密节点。节点60是具有存储单元64和计算机62的非保密节点。存储单元64和计算机62两者互连并连接到公用网络6。
应指出,节点50和60仅连接到公用网络6,并因此未被授权访问在任何保密存储区34、44、24和18上存储的任何机密信息。
节点70是具有计算机71、存储单元72、和通信控制器78的本地保密节点。存储单元72分成两个存储区,公用存储区76和保密存储区74。
通信控制器78连接到存储单元72、公用网络6并连到计算机71。计算机71连接到公用网络6。当通信控制器78检测到计算机71正在与网络6通信时,它拒绝对保密存储区74的任何访问。
根据本发明,通信控制器18,28,38,48和78中的每一个监测从公用网络6接收的所有通信传输,以便检测对连接至此的相应保密存储区的访问尝试。当检测到这一尝试时,相应的通信控制器拒绝访问相关的保密区并执行警告程序以警告使用该节点或服务器的任何用户。
根据本发明,用于确定第一和第二分段的所有上面三种实施方案可供本实例使用,其中第一分段存储在接收节点的公用存储区中,第二分段存储在接收节点的保密存储区中。应指出,在这方面,可认为服务器是一个节点。
根据本发明,可经公用网络6从任何节点向任何节点发送非机密数据并存储在接收节点的公用存储区中。可经公用网络6发送机密信息,划分成第一和第二分段并由此存储,其中第一分段存储在接收节点的公用存储区中,第二分段存储在接收节点的保密存储区中。
例如,通过发送分成两个分段的检索请求而执行从服务器4检索机密信息,其中经主网络6向目的地节点发送第一分段,经保密网络8向目的地节点发送第二分段。因此,仅有连接到保密网络8的节点接收重新构成该保密信息所需的两个分段。
因此,如果经保密网络8至少部分地接收,仅执行保密区18中存储的改变数据的请求。
可按照多种方式将文件分成分段,例如,从原始文件中的所有奇数比特产生第一分段和从原始文件中的所有偶数比特产生第二分段,将文件对半分割,将文件分成预定的大量分段等。
根据本发明的一个方面,在相同的通信媒体上以不同方式实施两个公用网络6和保密网络8。例如,由第一预定频率中的调制传输表示公用网络6,由第二预定频率中的调制传输表示保密网络8。此外,通信网络6和8中的任何一个包括电缆通信、无线通信、光通信等等。
根据本发明,可仅在经保密网络8连接的节点之间执行两个节点之间的机密信息的通信。例如,当节点40需要向节点20传送机密信息时,将机密信息分成两个单元,从节点40向节点20传送两个单元,其中经公用网络6发送第一单元,经保密网络8发送第二单元。
现在参考图2,该图是图1的服务器4和根据本发明的通信控制器12的详细示意图。
通信控制器12包括连到公用网络6的网络接口92,连接到保密网络8的网络接口90,连接到存储单元14的输入/输出(I/O)接口96,连接到CPU 10和管理控制器98的I/O接口94。管理控制器98还连接到网络接口92、网络接口90、I/O接口96和I/O接口94。
管理控制器98仅对经保密网络8提供的访问请求提供对保密存储区18的访问。
根据本发明,访问请求可包括几个数据分段,其中这些分段中的一些是从公用网络6接收的,其余的从保密网络8接收。
管理控制器98合并这些数据分段以回来形成原始访问请求并执行该请求。
因此,在或是如果至少部分从保密网络8接收,或是如果最初由连接到保密网络8的计算机20、30和40之一确定为机密信息的两种情况下,可将信息存储在保密存储区18中。可以理解,当经保密网络8发送所有保密信息时其安全性提高。
根据本发明,机密信息文件分成至少分两个分段到达服务器4。该机密信息文件可根据几种存储和检索模式或存储在保密存储区18,或存储在两个保密存储区18和公用存储区16中。
管理控制器98根据一种存储模式接收分成几个分段的机密信息文件。然而,管理控制器98将这些分段中的一些存储在保密存储区18中,剩余的分段存储在公用存储区16中。
管理控制器98根据另一种存储模式组合所有分段以形成单个文件,并将其存储在保密信息存储区18中。
管理控制器98根据又一种存储模式以分段形式将机密信息文件存储在保密存储区中。根据该模式,当请求从存储单元14检索该信息时,管理控制器98访问形成机密信息文件的分段并将它们发送而不经过处理、重组等。
根据本发明的另一方面,服务器4从保密信息的分段重组机密信息的原始文件,并将其作为一个文件存储在保密信息存储区18中。
现在参考图3,该图是图1的节点20和根据本发明的通信控制器28的详细示意图。
通信控制器包括连接到公用网络6的通信接口150,连接到保密网络8的通信接口154和将数据引向节点40内部的开关单元152。必须经通信控制器28执行节点20到两个网络6和8中任何一个的通信。
现在参考图4,该图是图1的节点30的详细示意图。
计算机31包括工作站33和连接至此的通信接口35。通信控制器38包括通信检测器162,管理控制器160,计算机接口166,I/O接口164和通信接口168。
通信检测器162连接到管理控制器160和公用网络6,用于检测由计算机31接收的通信。计算机接口166连接到管理控制器160和计算机31。I/O接口连接到管理控制器160和存储单元32。
通信接口168连接到管理控制器160和保密网络6。
通信接口168是常规的WAN或LAN接口,例如调制解调器或以太网接口。根据本实例,计算机31可直接通过通信接口35在公用网络6上通信。
计算机31经通信接口35从公用网络6接收访问请求。计算机31通过计算机接口166将这些请求提供给管理控制器160。管理控制器160从公用存储单元36检索该信息并将其提供给计算机31,计算机31再通过通信接口35将其发送到公用网络6。
管理控制器160还检测直接来自公用网络6的访问请求并对它们进行处理。如果管理控制器160检测到与保密存储区34中存储的信息有关的信息请求,将拒绝对由计算机31提供的该信息的相应请求。
应指出,经通信接口35直接提供公用网络6与诸如计算机31和公用存储区36之类的节点30的非保密区之间的非限定性通信,并且不被通信控制器38中断。
通信控制器38还提供全分离保密模式。根据该模式,当通信检测器162检测到计算机31正在与公用网络6通信时,物理地禁止I/O接口164和通信接口168,因而排除了任何对保密存储区34和对保密网络8的访问。
回来参考图1,提供了本发明的另一方面,其中节点40被定义为保密监视站。因此,当如节点20之类的保密节点想从保密存储区24向非保密节点,例如节点50发送数据时,节点20将该数据发送到节点40。节点40接收该数据,将其存储在保密存储单元44中,并将其提供给管理员。当管理员提供其授权时,节点40将数据转发到公用存储单元46并将其进一步发送到节点50。根据本发明的附加方面,节点40起到"存储和转发"缓冲器的作用,因此,在任何时刻,它可以与公用网络6或保密网络8通信,但不能同时与两个网络通信。这意味着仅当计算机41与公用网络6断开时,通信控制器48提供与保密网络8的通信。根据本发明的这一方面,在公用网络6与保密网络8之间没有经节点40的在线通信。
现在参考图5,该图是根据本发明另一个优选实施例工作的,用于操作通信控制器以便提供对计算机的有限通信访问的方法的示意图。
在步骤200,通信控制器接收传输。
在步骤202,通信控制器确定接收的传输中包含的请求类型。如果接收的传输包含写访问请求,例如改变数据、格式化、删除、移动、复制等,然后,控制器进行到步骤204。如果接收的传输包含读取访问请求,控制器进行到步骤220。
在步骤204,通信控制器判断是否经保密网络接收该传输的至少一部分。如果是这样,通信控制器则进行到步骤206。否则,通信控制器进行到步骤214。
在步骤206,通信控制器如上所述确定存储模式,据此存储该传输并进行到相应的步骤208、210和212。
在步骤214,通信控制器判断该传输的请求目的地是否是保密区。如果是这样,则通信控制器进行到步骤218。否则,通信控制器进行到步骤216。
在步骤216,通信控制器将该传输存储在公用存储区中。
在步骤218,通信控制器执行警告程序。该警告程序可拒绝访问保密区,向操作连接到通信控制器的计算机的用户产生警告消息或信号,暂停包括通信控制器的节点中选择的活动等。
为了读取,通信控制器判断(步骤220)是否经保密网络接收了该传输的至少一部分。如果是这样,则通信控制器进行到步骤222。否则,通信控制器进行到步骤224。
在步骤222,通信控制器根据该传输中包含的访问请求检索数据。
在步骤224,通信控制器判断该传输的请求目的地是否是保密区。如果是这样,则通信控制器进行到步骤218。否则,通信控制器进行到步骤226。
在步骤226,通信控制器根据该传输中包含的访问请求从公用存储区检索数据。
现在参考图6,该图是根据本发明再一个优选实施例构成并工作的,用于在通信期间使计算机系统保密的标号为390的计算机系统,和标号为300的设备的示意图。
计算机系统390包括中央处理单元(CPU)310、存储器单元314、存储单元316、连接通信网络324和通信总线322的通信接口312。根据本发明的设备300包括处理器302和连接至此的开关单元304。
存储单元316分成两个区域,公用区318和保密区320。设备300控制存储单元316以便经通信总线322提供对公用区318的全访问,对诸如CPU 310和通信接口312之类的计算机系统390的所有部件的全访问。
处理器302控制开关304以便允许或拒绝访问保密区320。根据本发明的一个方面,设备300在通信期间和刚好在通信之后提供分析管理。可以以几种方式实施拒绝对保密区320的访问,包括拒绝全访问,提供只读访问等。
根据本发明,在与网络324在线通信期间,设备300将保密区320与计算机系统断开并拒绝对它的所有访问。另外,处理器302监测通信总线322上传送的所有数据,检测存储单元316的公用区318中的数据变化,并从其产生记录文件。
当计算机系统390与网络324断开时,处理器302从保密区检索分析应用软件,产生保密密钥并将该保密密钥提供给分析软件。在本实例中,分析应用软件是反病毒扫描软件。此后,处理器302向CPU 310提供分析应用软件。CPU 310根据该记录文件对公用区318中的所有数据变化执行该分析应用软件。
如果分析应用软件未检测到任何恶意软件或有关的任何可疑的数据变化,则它向处理器302返回该保密密钥。处理器302操作开关单元304以允许访问保密区320。
设备300根据几种方法和参数而工作以拒绝对保密区320的访问。根据本发明的一个方面,根据地址来物理地定义保密区320。从而拒绝对所选地址的访问并提供给所有剩余地址的访问。用于这种实施方案的处理器可由几个自动拒绝对保密区地址访问的逻辑"与非"门组成。
根据本发明的另一个方面,根据诸如文件名、目录名、逻辑属性等之类的逻辑地址来定义保密区320,拒绝对这些地址的访问。
能够以几种方法检测在线通信状况。根据一种方法,通过到通信线路的直接连接经结合如图3的通信控制器28描述的专用通信接口提供检测,由此监测其中的所有活动。另一方面,设备300间接连接到通信线路,例如,通过感测如标号328表示的通信电缆附近产生的电磁场,由此监测其中的所有活动。另外,计算机系统390或通信接口把与通信状态有关的信息提供给设备300。此外,指定的应用软件,例如通信软件把与通信状态有关的信息提供给设备300。
现在参考图7,该图是根据本发明再一个优选实施例构成并工作的,用于在通信期间使计算机系统和其环境保密的标号为490的计算机系统和标号为400的设备的示意图。
计算机系统490包括中央处理单元(CPU)406、存储器单元410、存储单元416、连接到WAN通信网络428的WAN通信接口408、连接到LAN通信网络426和通信总线422的LAN通信接口424。该设备400包括处理器402和连接至此的开关单元404。可以理解,这是一个非限定性的例子,每个通信网络428和424可以是任何类型的网络,例如WAN、LAN、无线通信网络、基于光的网络等。
存储单元416分成两个区域,公用存储区418和保密存储区420。存储器单元410分成两个区域,公用存储器区412和保密存储器区414。根据本发明的一个方面,两个存储区418和420可以是分成两部分的单个存储单元,并由设备400完全控制。
根据本发明的另一方面,两个存储区418和420是两个不互连的分开的存储单元,由此,设备400完全控制对保密存储区418的访问,并适合于对公用存储区420执行分析程序。
根据本发明的再一方面,每个存储区418和420包括几个存储单元。
公用存储区418、公用存储器区412、CPU 406、WAN通信接口408和设备400通过通信总线422互连。
保密存储区420、保密存储器区414和LAN通信接口424连接到开关单元404。
处理器402控制开关单元404,以允许或拒绝对保密存储区420、保密存储器区414和LAN通信接424的访问。当计算机系统490通过WAN通信接口408与WAN网络通信时,拒绝访问。
设备400一般与设备300类似地工作。因此,设备400根据相对于下面图9描述的方法工作,由此,只要根据该方法确定的保密标记为接通,则拒绝对保密存储区420、保密存储器区414和LAN通信接口424的访问。
根据本发明的再一个方面,处理器402在保密存储器区414中执行分析应用软件,在断开WAN通信后扫描公用存储器区412和公用存储区418。因此,分析应用软件不能供越权单元,例如恶意程序或外部用户访问。
根据本发明,设备400在通信期间可拒绝对连接至此的任何设备的访问,以便防止越权访问。
现在参考图8,该图是根据本发明再一个优选实施例工作的,用于操作设备28,38,48(图1),300(图6)和400(图7)的方法的示意图。本实例中,参考图6的设备300和计算机系统390进行描述。该方法包括下列步骤在步骤500,该设备将保密标记设定为关。
在步骤502,设备300检测计算机390是否进行在线通信。如果是这样,设备进行到步骤504。否则,设备进行到步骤507。当通信接口(例如,调制解调器)与网络断开时,或当计算机与通信接口临时或永久断开时,而通信接口保持连接并与网络通信时定义离线通信。
在步骤504,设备300将保密区318与计算机系统390的其余部分断开。
在步骤506,设备300接通保密标记并产生由输入数据等造成的在通信期间出现在计算机系统390和其公用存储区中的数据改变的记录文件。与此同时,设备回到步骤502,用于确认通信为在线。
在步骤507,如果保密标记为接通,则设备进行到步骤508。否则设备回到步骤502。
在步骤508,设备300产生保密密钥并进行到步骤510。
在步骤510,设备300从保密区检索分析应用软件,把保密密钥提供给分析应用软件,并将它们二者提供给CPU 310。
在步骤512,CPU根据记录文件对在线通信期间出现的所有数据变化执行分析应用软件。分析应用软件检测是否有对其中包含的信息进行破坏的任何恶意尝试。如果是这样,计算机系统390进行到步骤516。否则,系统390进行到步骤514。
在步骤514,分析应用软件将保密密钥返回至处理器302,处理器302再允许访问保密区320并回到步骤500。
在步骤516,计算机系统390向用户提供警告并停止。
最好是根据保密区320中的瞬间数据状况产生保密密钥。也可例如根据内部随机发生器等产生保密密钥作为与保密区320无关的一个一次性密钥。其主要原因是减少并最好消除越权的和可能尝试将该密钥提供给处理器302的单元对该保密密钥的所有可能的访问。
现在参考图9,该图是图1的节点70的详细示意图。
根据本发明的通信控制器78包括处理器602、开关单元604、通信接口606、输入-输出(I/O)接口608、计算机接口610。通信控制器78经通信接口606连接到网络6,经I/O接口608连接到存储单元72,经计算机接口610连接到计算机系统71。存储单元72分成两个主要部分,公用部分76和保密部分74。根据本实例,I/O接口是IDE-ATA或SCSI盘控制器。
根据网络6的类型选择通信接口606,并从拨号调制解调器、WAN调制解调器、LAN调制解调器、光调制解调器、ISDN调制解调器、电缆电视调制解调器等组成的组中选择。通信接口606也可以是用于连接任何种调制解调器的I/O接口。处理器602控制计算机站、存储单元72和网络6之间的在线物理连接。
通信控制器78根据几种工作模式工作。根据一种工作模式,当从计算机系统71接收通信请求命令时,通信控制器78操作通信接口606,以便提供与网络6的通信。与此同时,通信控制器78监测所有对存储单元72的访问请求,允许访问公用区76和拒绝访问保密区。
根据第二操作工式,当计算机系统71向通信控制器提供访问保密区74的请求时,通信控制器78操作开关单元604以使计算机与通信接口606断开,同时维持通信接口606与网络6之间的通信。
此刻,处理器602扫描公用区76以及计算机系统71中的任何其它存储单元,以检测可能对保密区造成损害的有害程序。如果未检测到该程序,通信控制器向计算机系统71提供对保密区74的访问。当计算机系统向通信控制器78提供重新连到网络的命令时,通信控制器78将计算机系统78重新与通信接口606连接,同时拒绝所有对保密区74的访问。
根据第三种操作模式,通信控制器78终止与网络6的通信,处理器602扫描公用区76以及计算机系统71中的任何其它存储单元,以便检测可对保密区造成损害的有害程序。如果未检测到该程序,通信控制器向计算机系统提供对保密区74的访问。
可以理解,处理器602可或扫描或执行为此目的设计的扫描和分析软件。根据本发明,可在通信设备78中实施图8所描述的方法。
应指出,通过控制开关元件604和通信接口606,处理器602可通过向通信接口606提供命令来终止与网络6的通信或操作开关元件604将计算机71与网络断开,以便将通信接口606与计算机71断开,同时维持通信接口606与网络6的连接。
根据本发明,处理器602还从计算机71接收命令,以使通信接口606与网络6之间或通信接口606与开关元件604之间的通信断开。
现在参考图10,该图是根据本发明一个优选实施例构成和工作的计算机站和通常标号为650的通信设备。
设备650包括通信接口656、存储单元654和开关单元662。通信接口656连接到开关单元662和通信线路658,通信线路658进一步连接到通信网络660。设备650连接到还包括处理器666和存储单元670的计算机652的数据总线。
通信接口656可以是常规的调制解调器、调制解调器仿真程序、网络通信卡等。存储单元654可以是任何类型的数据存储设备,例如ROM、RAM、闪烁存储器、盘、磁带等。由于保密存储单元中存储的数据是动态的,本发明的一些实施方案,例如第一实施方案需要动态的读/写存储单元,例如RAM、闪烁存储器、盘等。如第二和第三实施方案之类的其它实施方案可使用较少动态存储单元,例如ROM、EPROM、EEPROM等,这些存储单元很可能简化整个结构并减少用于制造设备650的费用。
设备650根据几种模式工作,这几种方式增强了抵抗来自网络110的越权访问尝试的机密信息的保密性。下面公开了许多非限定性的、示范性的模式。
按照第一模式,将需要保密的任何机密数据文件分成两个分段。第一分段存储在计算机652的存储单元670中,第二分段存储在设备650的存储单元654中。进行这种划分使单独使用第一分段重新构成原始文件很可能极困难,实际上被认为是不可能。
根据另一种模式,使用专用加密密钥对存储单元670中包含的机密数据加密,其中当加密完成时,密钥存储在存储单元654中。
根据再一种模式,所有机密数据存储在存储单元654中。
计算机652能够通过由虚线668表示的通信接口656与该网络通信。当计算机652不与网络660通信时,开关单元662将总线664与通信接口656断开,并将存储单元654连接到由直线672表示的总线664。
当计算机通过通信接口656建立通信连接时,开关单元662将存储单元654与总线664断开,并将通信接口656连接到总线664。因此,与计算机652通信的任何一方已限制为限制到计算机存储单元670中存储的数据的数据访问,而不能访问存储单元654中包含的数据。
可以理解,当开关单元662将存储单元654从总线664断开时,使该存储单元和其中包含的所有数据不能被使用。
根据诸如AISA、VLB、PCI、PCMCIA等之类的常规标准将通信设备650实施为添加的内部卡。还可通过串行端口、并行端口等将该设备实施为用于连接的外部设备。因此,例如,可将设备650实施为用于便携计算机的PCMCIA调制解调器卡。用户可从计算机654消除通信设备并用其作为密钥。可以理解,只要通信设备650未连接到计算机652,不存在对存储单元654内包含的任何数据的访问。
根据本发明,可在通信设备650中实施图8描述的方法。
现在参考图11,该图是根据本发明再一个优选实施例构成和工作的,用于在通信期间使计算机系统保密的标号为890的计算机系统、标号为810的存储单元、标号为800的设备和便携单元850的示意图。
计算机系统890连接到通信网络892和本发明的设备800。设备800还连接到存储单元810。设备800包括处理器802、开关单元804、和无线收发信机803。
便携单元850包括无线收发信机852和连接至此的处理器854。
存储单元810分成五个区域管理记录文件的记录区812;在接收时,但在将数据传送到保密区820之前用于中间存储数据的缓冲区814;可随时访问的公用区816;存储操作单元的文件、分析应用软件等的只读区818;和存储机密信息的保密区820。
设备800管理存储单元810如下。当计算机系统890与通信网络892在线通信时,设备800允许完全访问公用区816和缓冲区814,以便读取和写入。设备800还允许有限的只读访问只读区818。同时,设备800用与存储单元810中的数据变化有关的信息和从计算机系统890接收的数据请求来更新记录区。设备800拒绝访问保密区820。计算机系统890与通信网络892断开后,设备800从只读单元检索分析应用软件,并根据记录区812中包含的信息对公用区816和缓冲区814中包含的数据执行该软件。把以保密区820为目的地的任何数据从公用区816传送到缓冲区814,对其扫描,如果归类为无害,将其传送到保密区820。
根据本发明,仅当携带便携单元850的授权用户在设备800附近时,该设备800才工作以便提供对存储单元810中保密区的访问。
根据本发明的无线模式,无线收发信机852向无线收发信机803发送信号。无线收发信机803检测该信号并将其提供给认为它是启动信号的处理器802,以便提供对存储单元810中保密区的访问。根据该模式,如果用户离开住所并且无线收发信机803未检测到无线收发信机852发送的信息,设备800拒绝访问到存储单元810的保密区。
根据另一种无线模式,处理器854向无线收发信机852提供命令,以便经常发送不同信号。处理器802则适合于识别各种信号或它们之间的变化。
根据又一种无线模式,无线收发信机803和无线收发信机852使用双向通信进行通信。于是,处理器802和854工作以交换解码信号,以便进一步增强保密等级。
现在参考图12,该图是根据本发明再一个优选实施例构成和工作的标号为1000的记录单元的示意图。
记录单元1000包括存储区1002和连接至此的控制器1004。控制器1004工作以便提供在存储单元中连续写入的记录条目以及其中包含的随机存取读取的记录条目。
根据本发明,当控制器1004接收写命令以登记到新的记录条目时,它忽略可编入写命令的地址并分配与前一个写命令的地址连续的地址。因此,不执行用包括特定地址的写命令改变预选记录条目的尝试。根据本发明的一个方面,当该尝试出现时,控制器1004向连接至此的计算机(未示出)产生警告命令时。
该记录单元的主要优点之一是其不允许对记录区的自由写存取,从而防止预选的记录条目的任何故意的变化。
当记录文件位于有限规模的存储区时,它有时超出了存储空间的限制。该状况中的常用解决方案是将记录文件定义为循环文件,即在记录文件的结尾写入最后的可能条目后则在该记录文件的始端开始写入。因此,如果人们希望改变该记录文件,他可写入填充和重写整个记录文件所需的许多记录条目。
根据本发明的方法,通过在两个连续的记录条目写命令之间提供最小的时间间隔克服了这一问题。因此,限制了在整个记录文件上写入,以便不能在短时间间隔中执行。
现在参考图13,该图是根据本发明再一个优选实施例工作的,用于操作图12的记录单元1000的方法的示意图。
在步骤1050,记录单元1000接收记录命令。
在步骤1052,如果接收的记录命令是写命令,则记录单元1000进行到步骤1056。否则,如果接收的记录命令是读命令,则记录单元1000进行到步骤1054。
在步骤1054,记录单元1000检索请求的记录条目。
在步骤1056,如果时间周期Δ大于或等于预定的时间间隔T,则控制器1004进行到步骤1060。否则,控制器1004进行到步骤1058。
在步骤1-058,控制器1004拒绝访问存储区1002。
在步骤1060,控制器1004从记录命令检索该记录信息并进行到步骤1062。
在步骤1062,控制器1004提供与前一个写命令的地址连续的记录地址。
在步骤1064,控制器1004在该记录地址写入包含该记录信息的记录条目。
根据本发明的再一个方面,步骤1058也可包括产生告警信号以提醒管理员等。
现在参考图14,该图是根据本发明一个优选实施例构成和工作的计算机1102和通常标号为1100的设备的示意图。
设备1100包括管理控制器1122、两个盘驱动器输入-输出(I/O)接口1118和1120、一个I/O开关单元1139、两个软盘驱动器输入-输出(I/O)接口1137和1138、把计算机1102连接到公用网络1136的第一对通信接口1110和1112、和把计算机1102连接到保密网络1134的一对通信接口1114和1116、两个通信开关1140和1142,以及连接到管理控制器1122的显示器1144。
盘驱动器输入-输出(I/O)接口1118和1120连接到管理控制器1122。I/O开关单元1139连接到两个软盘驱动器输入-输出(I/O)接口1137和1138以及管理控制器1122。
通信接口1110连接到通信开关1142和计算机1102。通信接口1112连接到通信开关1142和公用网络1136。通信开关1142连接到管理控制器1122。
通信接口1114连接到通信开关1140和计算机1102。通信接口1116连接到通信开关1140和保密网络1134。
设备1100通过I/O接口1120连接到存储单元1124。存储单元1124分成多个区域菜单区1126、保密区1130、公用区1128、记录区1132和密码区1133。
公用区1128包含非机密的数据和软件。保密区1130包含机密的数据和软件。记录区1132包含根据常规方法或根据如上所述的本发明的记录文件体系结构。密码区1133包含管理控制器1122可在各种过程例如模式等之间切换期间使用的密码。
菜单区1126包括在引导(即启动或重新启动)计算机1102时管理计算机1102的预操作系统菜单。该菜单加载到计算机1102中,可请求用户在工作模式、公用模式和保密模式之间选择。
如果用户选择以保密模式工作,则计算机将该选择提供给管理控制器1122,管理控制器1122再执行如下的动作把保密区1130连接到计算机1102;拒绝访问公用区1128;向通信开关1140提供命令以允许通信接口1114和1116之间连接,由此连接计算机1102和保密网络1134;和向通信开关1142提供命令以拒绝通信接口1110和通信接口1112之间的任何连接,由此将计算机1102与公用网络1136断开。
如果用户选择以公用模式工作,则计算机将该选择提供给管理控制器1122,管理控制器再执行下列动作
把公用区1128连接到计算机1102;拒绝访问保密区1130;向通信开关1142提供命令以允许通信接口1110与1112之间连接,由此连接计算机1102和公用网络1136;和向通信开关1142提供命令以拒绝通信接口1114和通信接口1116之间的任何连接,由此将计算机1102与保密网络1134断开。
根据本发明,设备用这两种模式,即公用模式和保密模式中的一种操作。公用区1128和保密区1130各包括整个操作系统。有可能仅通过根据所选择的模式复位计算机1102和从所选择的区域加载操作系统来改变模式。
常规软件,例如为IBM-PC结构设计的程序不利用以除0,0,1外的0,0,#开始的任何盘地址,0,0,1包含主分区表。
根据本发明的非限定性实例,以0,0,1开始的地址包括保密区1130的分区表,以0,0,2开始的地址包括菜单程序,以0,0,3开始的地址包括公用区1128的分区表,以0,0,4开始的地址包括到记录区1132的指针,以0,0,5开始的地址包括密码区1133。
根据本实例,管理控制器1122拒绝对以0,0,2开始的包括菜单程序的地址的所有写访问。应指出,物理上该设备控制对所有地址的所有访问并能够向计算机1102提供各种访问类型,例如所选择的地址的读、写等。
当存储单元1124直接连接到没有管理控制器的另一个计算机时,该装置向存储单元的区域提供相当的保护,该区域与0,0,2和更高的地址相关联。可以理解,该装置最适合便携硬盘驱动器。
根据本实例,设备1100检测何时计算机1102复位,并在此刻提供对菜单区1126的访问。当设备1100从计算机接收到模式选择时,它物理地复位计算机,并根据选择的模式将其连接到公用区1128或保密区1130。
在常规计算机系统中,可以从几种不同的源,例如本地硬盘驱动器、软盘驱动器、CD-ROM驱动器、连接到该计算机的网络等加载操作系统。根据本发明,将这些源中的一些预定为越权提供操作系统并由此对其禁止。
在本实例中,设备1100可适合于保护计算机1102免于从越权源接收的偶然加载的操作系统。
在本实例中,设备1100控制对软盘驱动器1135的访问,软盘驱动器1135不然将直接连接到计算机1102。当计算机需要加载操作系统时,管理控制器1122检测该请求并据此向I/O开关单元1139提供命令,以断开软盘驱动器输入-输出(I/O)接口1137和1138之间的连接,从而拒绝访问软盘驱动器1135。
在计算机1102开始从存储单元1125加载操作系统后,管理控制器1122向I/O开关单元1139提供命令,以便在软盘驱动器输入-输出(I/O)接口1137和1138之间连接,从而允许计算机1102访问软盘驱动器1135。
根据本发明的再一个方面(未示出),其中软盘驱动器1135直接连接到计算机1102,管理控制器1122测量计算机引导和操作系统加载之间的时间间隔Tmeasured。
由硬盘驱动器提供的访问和数据传送率明显快于由软盘驱动器提供的访问和数据传送率。此外,与硬盘驱动器相比,在加载操作系统前,对软盘驱动器的初始访问明显要慢得多。因此,访问软盘驱动器时的Tmeasured明显比访问硬盘驱动器时的Tmeasured大得多。
Tboot是表示从硬盘驱动器加载操作系统所需的预定的最大时间间隔的预定值。硬盘驱动器的Tboot比软盘驱动器的Tboot短。因此,如果Tmeasured≥Tboot,则管理控制器1122检测到操作系统越权加载正在进行中并因此可采用几种防范措施,例如拒绝对存储单元1124的所有访问。
当管理控制器1122检测到软盘驱动器引导尝试时,它可操作以便停止所有操作,并使用计算机1102的多媒体能力或外部报警设备等提供警告。
此外,管理器1122可向计算机1102提供全部或部分禁止其中操作的命令。例如,管理控制器1122可向计算机1102提供恒定的引导命令。
显示器1144指示该设备当前的模式。显示器1144适合于连到计算机1102以让用户看到。根据本发明的一个方面,显示器1144是以各种模式或不同地闪烁或改变颜色的发光二极管(LED)或LED阵列。根据本发明,显示器1144也可以是显示字母数字消息等的液晶显示器(LCD)阵列。
应指出,根据本发明的另一个方面,管理控制器1122检测从软盘驱动器1135接收的所有数据,从而能够在如维修之类的预定情况下,将操作系统加载访问至此。仅当将预定的密码提供至此同时执行菜单程序时才可向计算机1102提供加载访问软盘驱动器1135的操作系统。
现在参考图15,该图是根据本发明另一个优选实施例工作的,用于操作设备1100以便向计算机提供有限数据和通信访问的方法的示意图。
在步骤1150,管理控制器1122检测计算机1102提供的引导信号。当用户手动启动计算机时或当接通计算机电源时提供该信号。根据本实例,管理控制器1122将通过盘驱动器I/O接口1118访问地址0,0,1的第一次尝试看作是引导信号。
在步骤1152,管理控制器1122向计算机1102提供对菜单区1126的访问。计算机1102从其检索菜单软件,执行该菜单软件并进行到步骤1154。
在步骤1154,管理控制器1122等待通过计算机1102从用户接收在各种模式(即,公用、保密等)的选项之间进行选择的指令。与此同时,管理控制器1122复位时间计数器t。要求用户在预定时间间隔T内提供其选择。如果t>T,(即用户在预定时间周期T内未提供其选择)或用户选择保密模式,则管理控制器1122进行到步骤1162。否则,管理控制器1122进行到步骤1156。
在步骤1156,管理控制器1122执行确定该公用模式的一系列操作,例如,允许访问公用设备和拒绝访问非公用设备,例如保密设备。据此,管理控制器1122连接在公用区1128和计算机1102之间,因此允许计算机1102从公用区1128加载操作系统。管理控制器还向通信开关1142提供用于连接通信接口1110和1112的命令,从而连接在公用网络1136和计算机1102之间。
在步骤1158,管理控制器1122接通公用数据标记并关闭保密标记。在本实例中,两个标记是管理控制器1122内的存储器器件。公用数据标记表示当前的模式是公用模式。保密数据标记表示当前的模式是保密模式。
在步骤1160,管理控制器检测用户是否已向计算机1102提供了切换到另一种模式的命令。如果是这样,管理控制器进行到步骤1168。
在步骤1162,管理控制器1122执行确定保密模式的一系列操作,例如允许访问保密设备和拒绝访问非保密设备,例如公用设备。据此,管理控制器1122连接在保密区1130和计算机1102之间,从而使计算机1102能够从保密区1130加载操作系统。管理控制器还向通信开关1140提供用于连接通信接口1114和1116的命令,由此连接在保密网络1134和计算机1102之间。
在步骤1164,管理控制器1122接通其中的保密数据标记并关闭公用标记。
在步骤1166,管理控制器检测用户是否已向计算机1102提供切换到另一种模式的命令。如果是这样,则管理控制器进行到步骤1168。
在步骤1168,管理控制器1122向计算机1102提供操作系统关机重新启动命令。据此,计算机关掉所有应用程序以及操作系统并在此后重新启动。然后,管理控制器1122进行到步骤1170。
在步骤1170,管理控制器1122复位计算机1102。根据本发明的一个方面,可通过向计算机1102提供进一步的软件引导命令而执行该复位。根据本发明的另一个方面,可通过向计算机1102提供硬件引导命令执行该复位。应指出,在复位时,基于X86的PC计算机复位除可能包括不希望软件的存储器第一兆字节外的大部分RAM。根据本发明的再一个方面,管理控制器1122向计算机1102提供复位所有RAM的命令。执行步骤1170后,管理控制器1122进行到步骤1172。
在步骤1172,管理控制器检索保密标记和公用标记的当前设定。如果接通保密标记并关闭公用标记,则管理控制器进行到步骤1156,以便从保密模式切换到公用模式。否则,如果关闭保密模式并接通公用模式,则管理控制器进行到步骤1162,以便从公用模式切换到保密模式。应指出,当系统确定多于两种模式时,例如定义多等级、多用户、多客户状况的多种模式时,需要用户提供其模式选择。
因此,设备1100可适合于支持多个多等级的保密模式,在它们之间切换,并分别允许或禁止访问多种设备、链路和数据单元。
应指出,在步骤1156和1162中,计算机1102开始从选择的区域加载操作系统之后,管理控制器1122向I/O切换单元1139提供连接在软盘驱动器输入-输出(I/O)接口1137和1138之间的命令,从而允许计算机1102访问软盘驱动器1135。
根据本发明的另一个方面,保密存储区包含主引导记录(MBR)并作为干净的媒体执行,代替可装卸的挽救软盘,根据通常的实践,可装卸的挽救软盘在需要时可能并不能使用。
现在参考图16,该图是根据本发明再一个优选实施例工作的,用于操作本发明的设备以控制各包含MBR的保密存储区和公用存储区的方法的示意图。在本实例中,操作图14的设备1100实现该方法。
在本实例中,公用区1128和保密区1130二者包含操作系统引导文件。
在步骤1200,该设备确定存储区的第一部分作为主存储单元,存储区的第二部分是设备不能访问的存储单元。在本实例中,控制器1122将公用存储区1128确定为主存储单元并拒绝对保密存储区1130的任何访问。在常规PC系统中,公用区1128作为驱动器C出现。
应指出,通常定义常规PC系统以使驱动器C是启动(即加载操作系统)该系统的驱动器。此外,只要拒绝对该存储单元的任何数据修改操作,通过拒绝对该存储单元的所有访问可执行确定存储单元为不可访问,使其成为只读等。
在步骤1202,从主存储单元引导设备1100。在本实例中,控制器1122将公用存储区1128通过I/O接口1118和1120引到计算机1102作为驱动器C,计算机1102从公用存储区1128加载操作系统。
在步骤1204,计算机1102检测越权码的出现。可以用许多方式检测越权码,例如检测访问尝试、比较数据掩码等。应指出,可使用防病毒软件等对该越权码进行检测。在本实例中,当操作检测越权码时,虽然由用户或由设备本身提供该信息,计算机设备1100仍提供该信息。
在步骤1206,计算机复位。应指出,该复位命令可由越权码检测软件以及从操作计算机1102的用户提供。
在步骤1210,确定存储设备的第二部分为主存储单元,确定存储设备的第一部分为辅助存储单元。在本实例中,控制器1122确定保密存储区1130为主存储单元,公用存储区1128为辅助存储单元。据此,设备1100将保密存储区1103作为驱动器C提供给计算机1102设备1100还将公用存储区1128作为驱动器D提供给计算机1102。
在步骤1212,从现在作为保密存储区的主存储单元引导计算机。在本实例中,计算机1102将保密存储区1103看作驱动器C并从此引导。
在步骤1214,禁止在步骤1204检测的越权码单元。在本实例中,计算机1102执行存储区1103中原来存储的病毒清除软件,以便从公用存储区1128去除越权码单元(即病毒软件)。
在步骤1216,再次复位计算机1216以返回原始设定,其中确定公用存储区1128为主存储单元,预定保密存储区为非可访问存储单元。
根据本发明另一个方面,保密模式的MBR包含在管理控制器1122中。应指出,管理控制器1122可包括内部存储区或外部存储区,例如EEPROM等。
根据本发明的再一个方面,如图16所描述的,清洁引导模式的启动可在定时的基础上以预定间隔进行。
本发明提供几种在网络间进行切换的替换方法和系统。这些方法之一提供在网络交换集线器进行的切换。根据本发明的这一方面,用户通过单个通信连线连接到开关元件并且不必包括用于连接到各种网络的多个网络通信接口。
现在参考图17,该图是根据本发明另一个优选实施例构成和工作的,通常标号为1300的系统的示意图。
系统1300包括WAN通信接口1316、LAN通信接口1314、包括多个开关元件1304、1306、1308和1310的开关阵列1318、和控制器1318。
多个用户站1320、1330、1340和1350各在所选择的开关元件1310、1308、1306和1304处连接到系统1300。
用户站1320包括通信接口1322,都连接到通信接口1322的CPU1326和存储单元1324。存储单元1324还包括表示为S的保密存储区,表示为P的公用存储区。
用户站1330包括通信接口1332,具有保密存储区和公用存储区的存储单元1338,具有保密存储器区和公用存储器区的随机存取存储器单元1334,和连接到通信接口1332、存储单元1338和存储器单元1334的CPU 1336。
用户站1340包括通信接口1342,具有保密存储区和公用存储区的存储单元1348,具有保密存储器区和公用存储器区的随机存取存储器单元1344,和与它们之间全部连接的CPU 1346。
用户站1350包括通信接口1352,具有保密存储区和公用存储区的存储单元1358,具有保密存储器区和公用存储器区的随机存取存储器单元1354,和全部连接到通信接口1352的CPU 1356。
开关元件1304、1306、1308和1310中的每一个工作如下,以便向连接至此的用户站提供几种连接模式。
根据第一模式,开关元件1304将用户站1350连接到WAN接口1316,从而提供WAN通信服务。根据第二种模式,开关元件1304将用户站1350连接到LAN接口1314,从而提供LAN通信服务。根据第三种模式,开关元件1304将用户站1350与任何一种通信接口断开,这样确定用户站为独立单元。
根据本实施例,每个用户站根据上述模式之一向系统1300提供连接请求。应指出,在本实例中,请求经WAN接口1316连接的用户站必须排除访问其中的保密存储和存储器区,而请求经LAN接口1314连接的用户站必须排除访问其中的公用存储和存储器区。
在用户站1350和1340的情况下,控制器1302检测是否根据请求的模式构成请求的用户站。如果是这样,则控制器向开关阵列1318提供操作相应的开关元件1304或1306的命令,以便根据请求的模式切换。
否则,控制器1302向开关阵列提供命令,以便维持相应开关元件当前的设定或根据第三模式操作,请求的用户站从两个通信接口1304和1316断开。
在用户站1320的情况下,通信接口中包括主动控制开关阵列1318的开关元件1310,以便根据预定模式操作。
应指出,作为实例提供术语WAN和LAN。实质上,系统1300在任何给定类型的多个通信网络以及网络设备之间提供切换。
以同样方式,将每个用户站中的存储部件分成许多子区,例如,各处在不同的保密等级,用于连接到预定网络或网络设备的多个保密存储区、挽救存储区、记录存储区等。由交换系统提供的每个网络连接定义可访问性配置。在将请求的站连接到与其相关联的被请求网络连接之前,必须根据该规定配置来配置它。
此外,可由系统1300连接和切换的通信网络的数量取决于开关阵列的基本开关元件的结构。
现在参考图18A,该图是图17的通信接口1322和开关元件1310的详细示意图。
通信接口1322包括控制器1370、内部通信接口1372、两个电压调节单元1378和1374、以及继电器1376。控制器1370连接到内部通信接口1372和继电器1376的公共连线,其中继电器1376通过滤波器1380进一步连接到继电器1382的控制单元1377。内部通信接口1372进一步连接到电压调节单元1378和1374。电压调节单元1378再连接到继电器1376的第一可切换端。继电器1376的第二可切换端确定一个断开操作模式。电压调节单元1374进一步连接到继电器1376的第三可切换端。
开关元件1310包括继电器1382和连接至此的滤波单元1380。继电器1382的第一可切换端通过WAN通信接口1316连接到WAN。继电器1382的第二可切换端不连接任何网络。继电器1380的第三可切换端通过LAN通信接口1314连接到LAN。
滤波单元1380将数据从继电器1382传送到继电器1376。滤波单元1380还过滤从通信接口1322接收的信号,以便将其直流(DC)部分提供给继电器控制单元1384,及将包括于接收信号中的数据部分提供给继电器1382的公共端。
内部通信接口1394还连接到用户站1320(未示出)的各个部件,向其提供通信和从其接收命令。
当用户站1320向通信接口1322提供请求以便根据第一模式工作时,它将连接到WAN,此后,控制器1370验证据此配置用户站1320,然后将参考电压VREF提供给继电器1376。继电器1376则将公共端与对应于参考电压VREF值的可切换端连接。
应指出,进一步把相同的参考电压与开关元件1310和通信接口1322之间目前传送的任何数据组合。
滤波器1380分离在开关元件1310接收的信号的DC部分(参考电压VREF)并将其提供给继电器控制单元1384,继电器控制单元1384再将其公共端与其可切换端之一连接,该可切换端对应于参考电压VREF的值。
据此,当VREF=V1时,两个继电器将其公共端与其第一可切换端连接,从而提供对通信接口1322的WAN访问。应指出,在通信接口1322接收的任何信号包括数据部分以及具有V1值的DC部分。
为向用户站提供纯数据信号,调节单元1378从自继电器1376接收的信号中减去具有V1值的DC部分,从而获得纯数据信号,然后将该纯数据信号提供给内部通信接口1372,以便进一步传送到用户站1320。
这同样应用到第二模式,其中控制器1370提供具有V3值的DC电压,操作继电器1376和1382将其相应的第三可切换端连接到其相应的公共端。通信接口1322和开关元件1310以同样方式具有相应的V3电压值。
这种情况下,主要区别在于调节单元1374从自继电器1376接收的信号中减去具有V3值的DC部分,从而获得纯数据信号,然后将该纯数据信号提供给内部通信接口1372,以便进一步传送到用户站1320。
最后,当控制器1370提供具有V2值的DC电压时,两个继电器1382和1376将其公共端连接到其相应的第二可切换端,从而断开通信接口1322与通信接口1316和1314中任何一个之间的数据传送。
据此,作为所选择的通信模式的指令与该系统1300与任何用户站之间传送的任何数据在物理上分开。
应指出,本发明不限于任何类型的继电器元件,机电,固态等。
现在参考图18B,该图是图17的通信接口1332和开关元件1308的详细示意图。
通信接口1332包括控制器1392、内部通信接口1394和滤波器1396。控制器1392连接到内部通信接口1394和滤波器1396,滤波器1396再通过滤波器1390连接到继电器控制单元1308。内部通信接口1372进一步连接到滤波器1396。
开关元件1308包括一个继电器1386和连接至此的一个滤波单元1390。继电器1386的第一可切换端通过WAN通信接口1316连接到WAN。继电器1386的第二可切换端不连接任何网络,继电器1386的第三可切换端通过LAN通信接口1314连接到LAN。
滤波单元1390从继电器1386向滤波器1396传送数据。滤波单元1390进一步将从通信接口1332接收的信号滤波,以便将其直流(DC)部分提供给继电器控制单元1388,将包括于接收信号内的数据部分提供给继电器1386的公共端。
内部通信接口1394进一步连接到用户站1330(未示出)的各种部件,向其提供通信和从其接收命令。
当用户站1330向通信接口1332提供请求以便根据第一模式工作时,它将连接到WAN,此后,控制器1392验证据此配置用户站1330,然后将参考电压VREF提供给连接两个滤波器1390和1396的线路。
参考电压与开关元件1308和通信接口1332之间目前传送的任何数据组合。
滤波器1390分离在开关元件1308接收的信号的DC部分(参考电压VREF)并将其提供给继电器控制单元1388,继电器控制单元1388再将其公共端与其可切换端中对应于参考电压VREF的值之一连接。
据此,当VREF=V1时,继电器1386将其公共端与其第一可切换端连接,从而提供对通信接口1332的WAN访问。应指出,在通信接口1332处接收的任何信号包括数据部分以及具有V1值的DC部分。
为向用户站提供纯数据信号,滤波器1396从接收信号滤出具有V1值的DC部分,从而获得纯数据信号,然后将该纯数据信号提供给内部通信接口1394,以便进一步传送到用户站1330。
同样应用到第二模式,其中控制器1392提供具有V3值的DC电压,操作继电器1386将其相应的第三可切换端连接到其相应的公共端。
此外,滤波器1396滤除输入的信号,从而向内部通信接口1394提供纯数据信号,以便进一步传送到用户站1330。
最后,当控制器1392提供具有V2值的DC电压时,继电器1386将其公共端连接到其第二可切换端,从而断开通信接口1332与任何一个通信接口1316和1314之间的任何数据传送。
可用如半导体器件,变换线圈等之类的各种元件实现滤波单元1390和1396以及滤波单元1380(图18A)。
此外,图18A和18B中提供的组合接口提供与模拟、数字等类型的通信网络无关的通信切换。
现在参考图19,该图是根据本发明再一个优选实施例构成和工作的通常标号为1400的保密切换系统的示意图。
系统1400包括控制器1412、连接到控制器1412的分组开关1414、连接到用户站的多个节点通信接口1402、1404、1406和1408,这些节点全部连接到分组开关1414,以及将远程服务器1470连接到控制器1412和分组开关1414的通信接口1410。
远程服务器1470包括WAN接口1480、LAN接口1478、存储单元1474、本地通信接口1472、和连接到WAN接口1480、LAN接口1478、存储单元1474和本地通信接口1472的CPU 1476。
系统1400还连接到通常分别与图17的用户站1320、1330、1340和1350相似的多个用户站1420、1430、1440和1450。
在本实例中,由远程服务器1470提供到外部网络的物理连接。CPU1476使用存储单元1474的保密区存储连带LAN的信息,并使用存储单元1474的公用存储区存储连带WAN的信息。可使用基于分组的通信协议将两种类型的信息通过系统1400传送到每个用户站。
每个用户站能够向系统1400发送请求,系统1400针对根据保密模式的通信将其连接到WAN通信接口1480,针对根据公用模式的通信将其连接到LAN通信接口1478,或根据第三种模式将其与通信网络断开。
当系统1400接收该请求时,控制器1412检测正确地配置了请求的站。
当请求根据第一通信模式连接时,控制器1412验证请求的站能够访问其中的公用存储和存储器区,而禁止访问相应的保密区。
此后,控制器1412向分组开关1414提供命令,以便在远程服务器1470和请求的用户站之间允许"公用"数据分组的通信。该公用数据与存储单元1474的公用存储区和WAN接口1480相关联。
当请求根据第二通信模式连接时,控制器1412验证请求的站能够访问其中的保密存储和存储器区,而禁止访问相应的公用区。
此后,控制器1412向分组开关1414提供命令,以便在远程服务器1470和请求的用户站之间允许"保密"数据分组的通信。该保密数据与存储单元1474的保密存储区和LAN接口1480相关联。
当请求根据第三种通信模式连接时,控制器向分组开关1414提供命令,以便禁止去和来自相应用户站的任何数据连接。
应指出,系统1400和远程服务器1470可以位于分开的位置或装配在同一个外壳中。在各种情况下,必须适当地配置相应的通信接口1410和1472。
还应指出,本发明不限于继电器切换(图17)或分组切换,作为用于在多个通信信号之间分离的方法,各与不同的外围设备或网络相结合。也可应用其它方法,例如多路复用、频分、码分(如CDMA)等。
现在参考图20,该图是根据本发明再一个优选实施例构成和工作的,通常标号为1492的组合服务器和切换系统的示意图。
如从图20看到的,该系统是远程服务器1470的所有部件与图19的系统1400相应的组合,但没有通信接口1474和1410,在本实例中用内部接口1490代替。
应指出,内部接口1490可以是靠近的,换句话说是集成的单元之间任何常规连接形式,例如总线,直接连续连接线。
根据本发明的再一个方面,提供一种用于在任何数量的外围设备之间切换的系统。
现在参考图21,该图是根据本发明再一个优选实施例构成和工作的,通常标号为1500的保密切换系统和连接至此的三个网络设备的示意图。
系统1500包括控制器1510和连接至此的开关阵列1510。开关阵列1510包括多个开关元件1502、1504、1506和1508,每个开关元件能执行三种切换模式。
第一网络设备1520提供到保密网络的连接,并包括用于连接到用户站的多个输出端口1522、1524、1526和1528。
第二网络设备1530提供到公用网络的连接,并包括用于连接到用户站的多个输出端口1532、1534和1536。
第三网络设备1538提供到外围数据设备的连接。应指出,三种网络设备中的任何一种可适合于连接到任何类型的网络或设备。
根据本发明,端口1538连接到开关元件1508的第一切换端,而端口1528连接到开关元件1508的第三切换端。这样,开关元件1508能连接到连接至此的用户站,连接到第三网络设备1538或第二网络设备1530。
同样,端口1532连接到开关元件1502的第一切换端,而端口1522连接到开关元件1502的第三切换端。端口1534连接到开关元件1504的第一切换端,而端口1524连接到开关元件1504的第三切换端。端口1536连接到开关元件1506的第一切换端,而端口1526连接到开关元件1506的第三切换端。
据此,本发明提供使用现有设备的简单结构,不干扰任何发送的数据。
现在参考图22,该图是用于操作图17、18、19、20和21所示系统的方法的示意图。本实例给出系统1300。应指出,上述方法可应用于上述系统1300、1400和1500中的任何一个。
在步骤1600,用户站发送网络连接请求,可连接到所选择的网络或与所有通信连接断开。
在步骤1602,将请求的用户站与所有外部通信连接断开。该步骤可由切换系统内或请求站的通信接口,例如通信接口1322内的开关元件执行。
在步骤1604,扫描请求站以判断是否按照网络请求配置该站。如果是这样,则请求站连接到被请求网络(步骤1606)。否则,请求站被拒绝所请求网络连接。
应指出,可由切换系统端上的控制器或由请求站端上的通信设备,例如通信接口1322的控制器执行扫描步骤1604。
可以理解,如图17-22中公开的本发明通过在每个用户站和连接至此的切换系统之间需要单条电缆而明显减少了网络电缆的数量。此外,本发明通过从所有站连接至此的切换系统得到信息而加强了对每个站的中央控制。
现在参考图23A、23B和23C,该图是根据本发明再一个优选实施例构成和工作的,用于多个用户对多个设备的保密访问的,通常标号为1700的系统的示意图。
系统1700包括远程开关元件1710,连接到远程开关元件1710的本地开关元件1720,和连接到本地开关元件1720的两个用户站通信接口1730和1732。
远程开关元件1710包括继电器1716和连接在其间的滤波器1714。滤波器开关1714的DC输出连接到中继控制单元1712。滤波器1714的数据输入/输出端连接到继电器1716的公用端。
本地开关元件1720包括继电器1726和两个滤波器1728和1724。滤波器1728连接到继电器1726的第一可切换端,滤波器1724连接到继电器1726的第三可切换端。两个滤波器1728和1724的DC输出连接到继电器控制单元1722。
滤波器1728还连接到第一用户站通信接口1732。滤波器1724还连接到第二用户站通信接口1730。
滤波器1714还通过单条通信线路1740连接到开关元件1720的继电器1726的公用端。
远程开关元件1710还通过继电器1716的第一可切换端连接到第一通信接口1706,通过继电器1716的第三可切换端连接到第二通信接口1704。通信接口1706和1704中的任何一个还可连接到任何类型的外围设备,例如打印机、扫描器、服务器、任何种类的网络等。
系统1700经单条通信线路提供单个设备与单个用户站的连接。据此,当两个继电器1716和1726将其公用端连接到其各自的第一可切换端(图23A)时,系统1700在第一通信接口1706与第一用户站通信接口1732之间提供连接。
当两个继电器1716和1726将其公用端连接到其各自的第三可切换端(图23C)时,系统1700在第二通信接口1704与第二用户站通信接口1730之间提供连接。
最后,当两个继电器1716和1726将其公用端连接到其各自的第二可切换端(图23B)时,系统1700断开用户站接口1730和1732的所有连接。
该系统特别使用于比通常所需的少的通信线路来连接用户站和分开的设备,并且仍在这些站与其相应的设备之间维持物理分离。
现在参考图24,该图是根据本发明一个优选实施例构成和工作的计算机系统1800的示意图。
计算机系统1800包括计算机1802、I/O和通信控制器1804、公用存储区1806和保密存储区1808。通信控制器1804包括连接到公用网络1812的通信接口1810,和连接到保密网络1816的通信接口1814。I/O和通信控制器1804还包括连接到计算机1802、公用存储区1806和保密存储区1808的开关元件1818。
公用区1806包含非机密的数据和软件。公用区1806包括休眠器1820和恢复器1822,后面根据图26-29对其详细描述。保密区1808包含机密的数据和软件。保密区包括休眠器1824和恢复器1826,后面根据图26-29对其详细描述。公用区1806和保密区1808还分别包括公用图象1828和保密图象1830。后面根据图26-29对其详细描述。
计算机的用户能以两个模式中的至少一种工作。这两种模式是公用模式和保密模式。在保密模式中,开关元件1818执行下列动作把保密区1808连接到计算机1802;拒绝访问公用区1806;允许经通信接口1814通信,从而连接计算机1802和保密网络1816;和拒绝经通信接口1810通信,从而将计算机1802与公用网络1812断开。
在公用模式中,开关元件1818执行下列动作把公用区1806连接到计算机1802;
拒绝访问保密区1808;允许经通信接口1810通信,从而连接计算机1802和公用网络1812;和拒绝经通信接口1814通信,从而将计算机1802与保密网络1816断开。
根据本发明的一个优选实施例,I/O和通信控制器1804以至少两种模式中的一种工作公用模式和保密模式。公用区1806和保密区1808各包括完整的操作系统。通过根据所选择的模式对计算机1802复位并从所选择的区域加载操作系统,从而可改变模式。
在本发明的优选实施例中,把包括休眠器1820、恢复器1822、体眠器1824和恢复器1826的挂起和恢复系统加到计算机系统1800。挂起和恢复系统将至少一个或多个操作状态存储在计算机中,以使至多一种操作状态有效,而其它操作状态挂起。可以用软件或作为硬件加入来实现该系统。
挂起和恢复系统的操作在图25和26A、26B、26C和26D中示出,现在参考这些图。图25是根据优选实施例用于操作I/O和通信控制器以及挂起和恢复系统的方法的示意流程图。图26A、26B、26C和26D是图24的计算机系统的四种状态的示意图,其中相同参考标号表示相同特性。
计算机系统检测(步骤1900)引导。然后,根据用户的选择或超时选择公用或保密工作模式(步骤1902)。如果该模式为公用,并且它是第一次(步骤1904),则加载公用模式的操作系统(步骤1906)并更新公用标记(步骤1908)。当公用模式中的操作状态有效时,计算机系统的状态在图26A中示出。作为实例,打开网络浏览器1836并显示经公用网络1816发送的网页。
当用户想切换到保密模式时,计算机系统检测该切换(步骤1910),休眠器1820将该操作状态休眠成图象1828(步骤1912)。休眠器1820将诸如CPU 1844、直接存储器存取(DMA)控制器、芯片组、中断控制器、通用串行总线(USB)和网络接口卡之类的各种内部部件1838的内部状态以及RAM的内容存储到图象1828。
然后,计算机系统引导(步骤1914),由于标记表示(步骤1916)最后的模式是公用,计算机系统转换到保密模式。如果是第一次(步骤1918),加载保密模式的操作系统(步骤1920)并更新保密标记(步骤1922)。当保密模式中的操作状态有效时,计算机系统的状态在图26B中示出。作为实例,用户现在打开一个编辑的应用软件1840,并输入文本1842,但不保存文本1842。
当用户想转换到公用模式时,计算机系统检测(步骤1924)该切换。休眠器1824将该操作状态休眠成图象1830(步骤1926)。休眠器1824将各种内部部件1838的内部状态以及RAM的内容存储到图象1830中。
然后,计算机系统引导(步骤1914),由于标记表示(步骤1916)最后的模式是保密,计算机系统转换到公用模式。如果不是第一次(步骤1904),恢复器1822恢复公用操作状态的图象1828(步骤1928),并更新公用标记(步骤1908)。图26C示出计算机系统的状态,其中已恢复图象1828并且现在有效。打开网络浏览器1836并显示经公用网络1812发送的网页。
当用户想转换到保密模式时,计算机系统检测(步骤1910)该切换,休眠器1820将该操作状态休眠成图象1828(步骤1912)。
然后,计算机系统引导(步骤1914),由于标记表示(步骤1916)最后的模式是公用,计算机系统转换到保密模式。如果不是第一次(步骤1918),恢复器1826恢复保密操作状态的图象1830(步骤1930),更新保密标记(步骤1922)。计算机系统的状态在图26D中示出,其中已恢复图象1830并且现在是有效的。打开编辑的应用1840并且仍出现未保存的文本1842。
操作状态的休眠图象和休眠标题存储在公用存储区1806和保密存储区1808中预先分配的空间内。休眠标题包括特征标记和一组用于存储休眠参数的空白位置。根据本发明的一个优选实施例,休眠图象和休眠标题作为文件存储在计算机的硬盘上。根据本发明另一个优选实施例,休眠图象和休眠标题作为文件存储在计算机硬盘的专用分段。根据本发明再一个优选实施例,将硬盘分段的规模减小与物理存储器(RAM)的规模相等的量。然后,将休眠图象和休眠标题直接写入得到的空的未分配盘空间,该写入操作将文件系统旁路。根据本发明再一个优选实施例,存储媒体不是硬盘,而是随机存取存储器、只读存储器、便携盘驱动器、磁带、电可擦除可编程只读存储器(EEPROM)、光存储媒体、电光存储媒体、或磁光存储媒体。
回来参考图26A,当在休眠进程中时,CPU 1844不能被任何硬件设备,例如鼠标1846、键盘1848、定时器或网络接口卡中断。当休眠公用操作状态时,休眠器1820向设备驱动器1850表示禁止中断,以便冻结该计算机的整个状态。如虚线1852所示,设备驱动器1850阻止从鼠标1846和键盘1848,假设到达CPU 1844的中断。同样,如可在图26B中看到的,休眠器1824向设备驱动器1854表示禁止来自鼠标1846和键盘1848的中断。
现在参考图27,该图是表明根据本发明优选实施例的休眠处理的示意流程图。在检测到该转换时,开始休眠过程(步骤2000)。此后,设备驱动器接收(步骤2002)控制。在全程变量中获得(步骤2004)和保存物理存储器的规模。设备驱动器等待(步骤2005)存储媒体变为空闲。这在防止该操作从/向该盘保存或加载期间开始休眠是必要的。此后,设备驱动器定位和读取(步骤2006)预先构成的休眠标题。验证位于休眠标题中的特征标记。设定位于休眠标题中的休眠标记以表示该系统应从休眠恢复。此后,继续执行。在误差的情况下,该过程放弃,用户接收误差消息。
接下来,设备驱动器请求操作系统将整个物理存储器(地址空间)映射(步骤2008)到线性地址,以便设备驱动器可存取整个物理存储器,即使是从当前映射的线性地址空间存取物理存储器的那些部分。在RAM中分配(步骤2010)存储器单元和其物理地址。指向该存储器单元的指针存储在休眠标题中。用于处理系统从休眠状态恢复的设备驱动器的代码的线性地址存储在休眠标题中。
CPU寄存器保存到(步骤2012)存储器变量。某些存储在RAM中,而其它更明显的放置在休眠标题中。然后,将包含所有上述信息的休眠标题写入存储(步骤2014)单元。接下来,将标准PC外围部件的内部硬件状态保存(步骤2016)到RAM中的存储器变量。其包括中断控制器芯片、DMA控制器和芯片组寄存器的状态。
如上所述,休眠期间,硬件设备不许中断该系统,因为它可能妨碍休眠过程。因此,设备驱动器执行(步骤2018)指示CPU禁止硬件中断操作的组合命令。
修改页面表以确保存储器单元的线性地址等于预先分配的存储器单元的物理地址。最后,将整个物理存储器(RAM)保存到(步骤2020)到存储单元,设备驱动器复位(步骤2022)该计算机。
现在参考图28,该图是表示根据本发明优选实施例的恢复过程的流程图。计算机引导(步骤2100)。首先,BIOS初始化(步骤2102)计算机的所有外围部件。然后,BIOS向操作系统装入程序传送(步骤2104)控制。接下来,从autoexec.bat文件或从命令提示执行(步骤2106)恢复程序,以便其中断操作系统的加载。
恢复程序定位和从存储单元读取休眠标题(步骤2108)。恢复程序验证休眠标题中存储的特征标记的完整性。在有误差的情况下,放弃该恢复程序。
从休眠标题向处理器恢复(步骤2110)关键的CPU寄存器。接下来,为了不将休眠期间存储器中出现的数据改写,恢复程序把负责从存储单元恢复物理存储器图象的代码部分复制(步骤2114)到预先分配的存储器单元。然后,恢复程序将CPU控制传递给存储器单元中存储的代码。
该代码从存储单元向系统RAM读取整个物理存储器图象(步骤2118),同时跳越代码在存储器中占据的空间。
恢复程序现在使用休眠标题中保存的返回地址向设备驱动器返回控制(步骤2122)。设备驱动器将非临界CPU寄存器初始化(步骤2124)回到其初始值。为了将页面表恢复到其原始状态,该代码重新贴补页面表中的相关条目(步骤2126)。
从存储器变量(RAM)恢复(步骤2128)标准PC外围部件的状态。最后,将控制传送(步骤2130)回操作系统。
保存和恢复屏幕图象在现在参考的图29中示出。图29是利用三个屏幕2200A、2200B和2200C表示的个人计算机的示意说明。屏幕2200A示出一个图象。当打开一个控制台窗口,然后将其设定为全屏时,由基于WindowsTM的操作系统将屏幕2200A的图象保存在交换文件2202和RAM2204中,如流线2206所示,交换文件是由基于WindowsTM的操作系统在PC的硬盘上生成的文件,以便利用虚拟存储器扩展RAM。加载基于WindowsTM的操作系统时,擦除该交换文件。在屏幕2200B中示出该全屏控制台窗口。关闭控制台窗口时,基于WindowsTM的操作系统初始视频适配器硬件,然后从交换文件2202和RAM2204向屏幕2200C恢复保存的图象,如流线2208所示。
本发明利用该操作系统在切入和切出全屏控制台模式时保存和恢复屏幕图象的能力的优点。挂起和恢复处理在全屏控制台模式内发生,并在处理接近结束时退出该控制台窗口,从而恢复前一个屏幕图象。由于其仍存储在交换文件和RAM中,前一个屏幕图象仍可在恢复处理接近结束时使用。在休眠处理期间保存RAM,并且由于在该时刻前停止引导处理,在重新引导期间基于WindowsTM的操作系统不擦除该交换文件。
可以理解,保存和恢复屏幕图象的方法与PC平台无关,由于它取决于对许多PC是公用的基于WindowsTM的操作系统的运行情况。
根据本发明的另一个实施例,图24的计算机系统1800不包括通信接口1810和1814,并且不连接到公用网络1812和保密网络1816。这两个模式以开关单元允许数据流入和流出的存储区为特征。可以理解,可将该实施例扩展到多个存储区和多个模式。
可以理解,与一种模式相关联的操作状态的图象不必存储在该模式所连接的计算机的存储区中,而是可使用不同的存储单元。这样一种外部存储单元是一种适当的存储媒体,例如随机存取存储器、只读存储器,硬盘驱动器,便携盘驱动器,磁带,电可擦除可编程只读存储器(EEPROM),光存储媒体,电光存储媒体,和磁光存储媒体。
还应理解,可使用计算机的存储器(RAM)代替存储单元的使用。这种情况下,所需的RAM至少是以前的两倍大。例如,可使用与内部RAM具有相同RAM量的附加存储卡。另一方面,内部RAM可以至少是所需规模的两倍,可欺骗计算机或操作系统仅使用内部RAM的一半。该切换把系统状态保存到RAM中,然后切换到其它RAM。
本领域技术人员应该理解,本发明不限于上面已具体给出并描述的内容。而本发明的范围仅由后面的权利要求书定义。
权利要求
1.将至少一个计算机站保密地连接到多个通信设备的系统,包括开关元件,所述至少一个计算机站中的每个所选择的计算机站连接到该开关元件,该开关元件进一步连接到所述通信设备中的至少两个所选择的通信设备;连接到所述开关元件的滤波器;和连接在所述所选择的计算机站与所述滤波器之间的通信接口;其中所述通信接口从所述计算机站接收连接请求,以便当根据所述连接请求构成所述所选择的计算机站时,连接到所述所选择的通信设备中被请求的通信设备,并向所述滤波器提供连接命令,其中所述滤波器将所述连接命令提供给用于将所述被请求的通信设备连接到所述所选择的计算机站的所述开关元件,和其中所述滤波器和所述通信接口在所述被请求的通信设备和所述计算机站之间提供数据通信。
2.根据权利要求1所述的系统,其中在所述连接到所述被请求的通信设备前,所述开关元件将所述所选择的计算机站与任何通信设备断开。
3.将至少一个计算机站保密地连接到多个通信设备的系统,包括开关元件,所述至少一个计算机站中的每个所选择的计算机站连接到该开关元件,该开关元件进一步连接到所述通信设备中的至少两个所选择的通信设备;和连接到所述开关元件和所述所选择的计算机站的控制器;其中所述控制器从所述计算机站接收连接请求,以便连接到所述所选择的通信设备中被请求的通信设备,其中所述控制器向所述开关元件提供连接命令,当根据所述连接请求构成所述所选择的计算机站时,所述开关元件将所述被请求的通信设备连接到所述所选择的计算机站。
4.将预定数量的计算机站通过预定数量的通信线路保密地连接到预定数量的通信设备的系统,该通信线路的预定数量比计算机站的预定数量和通信设备的预定数量中的任何一种少,该系统包括连接到所述通信设备的远程开关设备;和连接到所述计算机站的本地开关设备,其中所述远程开关设备和所述本地开关设备之间通过所述通信线路连接,其中所述本地开关设备从所述计算机站中的一个接收连接请求,并将所述的一个计算机站中的所述一个通过一条可供使用的所述通信线路连接到所述远程开关设备,其中所述远程开关单元还将所述可供使用的一条所述通信线路连接到所述被请求的通信设备。
5.根据权利要求4所述的系统,其中仅当根据所述连接请求构成所述的一个所述计算机站时,所述本地开关设备才将所述的一个所述计算机站通过可供使用的一条所述通信线路连接到所述远程开关设备。
6.根据权利要求1、3和4中任一项的系统,其中从包括下列一组通信设备中选择所述至少每两个通信设备中打印机;网络接口;扫描器;调制解调器;开关;集线器;路由器;计算机外围设备;和服务器。
7.根据权利要求1和3中任一项的系统,其中从包括下列一组开关元件中选择所述开关元件继电器;分组开关;基于频率的开关;代码开关;光开关;模拟开关;生物开关;数字开关;和固态开关。
8.根据权利要求1、3和5中任何一项的系统,其中在连接到所述希望的被请求的通信设备之前,所述被请求的通信设备确定将在所述计算机站中照此检测的所述计算机站进行配置。
9.将至少一个计算机站有选择地连接到多个通信设备的方法,该方法包括步骤从所述至少一个计算机站中所选择的一个计算机站接收连接请求,以便连接到所述多个通信设备中被请求的一个通信设备;检测是否根据所述被请求的通信设备来构成所述所选择的计算机站;和当根据所述被请求的通信设备来构成所述所选择的计算机站时,将所述所选择的计算机站连接到所述被请求的通信设备。
10.根据权利要求9的方法,进一步包括在所述连接步骤之前将所述所选择的计算机站与所有所述通信设备断开的步骤。
11.一种计算机系统,包括计算机;多个存储区;连接到所述计算机和所述多个存储区中的每一个的开关单元,其中所述开关单元向所述计算机提供多种模式,在每种所述模式中,所述开关单元将所述计算机连接到所述多个存储区中的一个,其中所述计算机针对每种模式具有至少一种单独的操作状态;和挂起和恢复系统,用于在切换出所述第一模式时挂起与第一模式相关联的操作状态,而当切换入所述第二模式时恢复与第二模式相关联的挂起的操作状态。
12.根据权利要求11的计算机系统,其中所述挂起和恢复系统包括用于挂起与一种模式相关联的操作状态而恢复与所述模式相关联的另一种操作状态的装置。
13.根据权利要求11所述的计算机系统,其中所述挂起和恢复系统包括每个所述存储区用于冻结一种操作状态并将所述操作状态保存到所述计算机的存储器的休眠器;和用于从所述存储器恢复所述保存的操作状态的恢复器,其中所述操作状态与将所述计算机连接到所述存储区的模式相关联。
14.根据权利要求11的计算机系统,其中所述挂起和恢复系统包括每个所述存储区用于冻结一种操作状态并将所述操作状态保存到所述存储区的休眠器;和用于从所述存储区恢复所述保存的操作状态的恢复器,其中所述操作状态与将所述计算机连接到所述存储区的模式相关联。
15.一种计算机系统,包括计算机;连接到公用网络的第一通信接口;连接到保密网络的第二通信接口;公用存储区;保密存储区;连接到所述计算机、所述通信接口、和所述存储区的开关单元,其中所述开关单元向所述计算机提供多种模式,其中,在所述第一模式中,所述开关单元允许数据在所述计算机和所述公用存储区之间流动,禁止数据在所述计算机和所述保密存储区之间流动,允许通过所述第一通信接口与所述公用网络通信,并拒绝通过所述第二通信接口与所述保密网络通信,其中,在所述第二模式中,所述开关单元允许数据在所述计算机和所述保密存储区之间流动,禁止数据在所述计算机和所述公用存储区之间流动,允许通过所述第二通信接口与所述保密网络通信,并拒绝通过所述第一通信接口与所述公用网络通信,和其中所述计算机针对每种模式具有至少一个单独的操作状态;和挂起和恢复系统,用于在切换出所述第一模式时挂起与第一模式相关联的操作状态,而当切换入所述第二模式时恢复与所述第二模式相关联的挂起的操作状态。
16.根据权利要求15的计算机系统,其中所述挂起和恢复系统包括用于冻结与所述第一模式相关联的操作状态并将所述冻结的操作状态保存到所述公用存储区的第一休眠器;用于从所述公用存储区恢复所述保存的操作状态的第一恢复器;用于冻结与所述第二模式相关联的操作状态并将所述冻结的操作状态保存到所述保密存储区的第二休眠器;和用于从所述保密存储区恢复所述保存的操作状态的第二恢复器。
17.一种操作通信控制器的方法,该控制器连接在至少一个存储单元与一个计算机之间,可操作该控制器以提供第一预定操作模式和至少一个附加的不同的操作模式,该方法包括步骤检测从所述计算机接收的引导信号;从用户接收指令,以便根据所选择的操作模式工作;允许所述计算机根据所述所选择的操作模式访问所述至少一个存储单元的所选择的区域;禁止所述计算机根据所述所选择的操作模式访问所述至少一个存储单元的未选择的区域;从用户接收指令,以便根据另一种所选择的操作模式工作;冻结当前的操作状态;将所述操作状态保存到所述所选择的区域之一;向所述计算机提供重新启动命令;检测从所述计算机接收的引导信号;允许所述计算机根据所述另一种所选择的操作模式访问所述至少一个存储单元的所选择的区域;禁止所述计算机根据所述另一种所选择的操作模式访问所述至少一个存储单元的未选择的区域;和从所述所选择的区域之一恢复以前保存的操作状态。
18.一种保护计算机系统中的保密区的设备,该设备包括连接到网络的通信接口;用于连接到保密区的保密设备接口;连接到所述通信接口并连接在所述保密设备接口和所述计算机系统之间的管理控制器;和挂起和恢复系统,其中所述管理控制器检测所述计算机系统和所述网络之间的所述通信何时处在进程中,其中当所述通信未在进程中时,所述管理控制器将所述计算机系统与所述保密设备接口连接,其中当所述通信正在进程中时,所述管理控制器将所述计算机系统与所述保密设备接口断开,和其中所述挂起和恢复系统将所述计算机系统从通信正在进程中的状态变换到通信不在进程中的状态,反之亦然。
全文摘要
在多个通信设备中有选择地连接计算机站(1326,1340,1356)的方法,包括步骤:从计算机站接收连接请求,以便连接到所述多个通信设备中被请求的一个通信设备,将所选择的计算机站与所有通信设备断开,检测是否根据被请求的通信设备来构成所选择的计算机站,当根据被请求的通信设备来构成所选择的计算机站时,将所选择的计算机站连接到被请求的通信设备。一种保护计算机系统中的保密区的设备,包括连接到网络的通信接口(1432),连接到保密区的保密设备接口,连接到通信接口并连接在保密设备接口和计算机系统之间的管理控制器(1302),和一个挂起和恢复系统。
文档编号G06F21/83GK1305675SQ99804096
公开日2001年7月25日 申请日期1999年2月17日 优先权日1998年2月18日
发明者埃雷兹·迪亚蒙特, 阿米尔·普莱舍尔, 尼尔·布拉切尔, 里奥尔·尼泽尔, 亚里夫·卡普兰 申请人:沃尔塔雷高级数据安全有限公司