专利名称:使用对于usb存储设备的防火墙保护的系统和方法
技术领域:
本发明涉及用于通过经由网络协议传输通信并应用防火墙来保护主机系统免于
大容量存储设备引起的信息安全风险的系统。
背景技术:
USB闪存驱动器(UFD)是用于提供便携式数据存储的公知设备。UFD典型地被配 置为可交换地连接到多个计算机。由于此特征,UFD引起对主计算机的固有信息安全风险。 这种风险使得安全措施的实施成为必要。 现有技术提供了用于保护主计算机免于与便携式数据存储设备有关的风险的各 种安全措施。这种安全措施的例子包括反病毒程序和mTrust方案(可从以色列的Kfar Saba的SanDisk以色列公司获得)。 现有技术解决方案承受着降低其价值的固有限制。该现有技术典型地被配置为仅 处理一种类型的安全风险。反病毒工具典型地限于仅处理病毒,而mTrust类型方案限于处 理主要与访问控制有关的风险。 期望具有一种信息安全系统,用于保护主机系统免于UFD安全引起的大批的信息 安全风险,同时符合主机系统用户的安息安全策略。
发明内容
本发明的目的是提供用于通过经由网络协议传输通信并通过应用防火墙来保护 主机系统免于大容量存储设备引起的信息安全风险的系统。 为了清楚,特别定义了以下一些术语在此使用。在此使用术语"网络协议"来指代 来自OSI(开放式系统互联)网络体系的网络层的通信协议,更具体地,在此是因特网协议 (IP)。在此使用术语"USB可移除驱动器"和"URD"来指代具有非易失性存储器和控制器的 可移除驱动器。UFD是特定类型的URD,其中利用了闪存。 在此使用术语"流量"来指代在给定时间段期间通信系统中的活动。在此使用术 语"非武装区(demilitarized area)"和"DMZ"来指代既不是内部网络的部分、也不直接是 因特网的部分的网络的一部分。在此使用术语"防火墙"来指代根据本地访问安全策略来 限制网络之间的访问的网关。 本发明教导如下系统和用于实现这种系统的方法,所述系统常驻于URD中,并仿 真用于主机系统的网络驱动器。通过改变常驻于URD控制器中的固件,并通过使得URD能 够作为Microsoft Windows 操作系统(OS)上的网络设备,来执行网络驱动器仿真。URD 被识别为网络设备,并且可以由各种文件访问协议(例如HTTP、 FTP和SMB)访问。网络设 备由驱动器名指定,或者被指定为文件服务器(计算机工程领域公知的,被集成在Windows OS中)。 网络驱动器是使用普通防火墙系统(例如,可从加利福尼亚S皿nyvale的McAfee 公司获得的McAfee个人防火墙)的用于保护的一般设备。 一旦装有防火墙的主机系统检测到作为网络存储设备的存储设备,主机系统就应用相关防火墙的所有相干规则,从而保 护主机系统免于诸如未授权访问之类的攻击。 因此,根据本发明,第一次提供了包括如下的URD:(a)具有程序代码的非易失性 存储器,其中所述程序代码被配置为使能用于与主机系统通信的网络协议;以及(b)控制 器,用于控制在所述存储器上执行的操作。
优选地,该存储器包括闪存。 根据本发明,第一次提供了包括如下的URD :(a)具有防火墙的主机系统;以及(b) 具有非易失性存储器的URD,其中,所述存储器包括程序代码,以及其中,所述程序代码被配 置为使能网络协议,所述URD可操作地连接到所述主机系统;其中,所述防火墙被配置为提 供与所述URD有关的安全措施。 优选地,防火墙是软件防火墙或硬件防火墙。 从以下详细描述和示例中,这些和进一步的实施例将变得明显。
在此参考附图,仅作为示例描述本发明,附图中 图1是根据本发明的优选实施例的具有针对大容量存储设备的防火墙保护的主 机系统的简化方框图; 图2A是根据现有技术的URD的简化方框图; 图2B是根据本发明的优选实施例的URD的简化方框图; 图3是根据本发明的优选实施例的具有针对大容量存储设备的防火墙保护的主 机系统的操作的简化流程图。
具体实施例方式
本发明涉及用于通过经由网络协议传输通信并通过应用防火墙来保护主机系统 免于大容量存储设备引起的信息安全风险的系统。参考随后的描述和附图,将更好地理解 根据本发明的用于保护主机系统免于大容量存储设备引起的信息安全风险的原理和操作。
现在参考附图,图1是根据本发明的优选实施例的具有针对大容量存储设备的防 火墙保护的主机系统的简化方框图。图1中示出具有三个USB连接器22的主机系统20。 示出USB鼠标24、USB键盘26和URD 28,每个可操作地连接到一个连接器22。网络32 (例 如局域网和因特网)可经由网络连接34来访问。 主机系统20装配了防火墙36。防火墙36可以是软件防火墙(例如MacAfee个 人防火墙)或硬件防火墙(例如可从加利福尼亚,圣何塞的Cisco获得的Cisco PIX防火 墙515E)。在防火墙36以外的区域、典型地称作匿Z38,用于连接主机系统20与外部世界。 流量从外围设备(即USB鼠标24、USB键盘26和URD 28)流入CPU 40。主机系统20与外 部世界的连接典型地经由网卡42进行,可操作地连接到网络连接34,并最终到网络32。防 火墙36在保护主机系统20免于未授权访问方面的功能性是本领域公知的,在此不再描述。
本发明的重要特征是本地外围设备30、典型地是URD或其他大容量存储设备与主 机系统20的匿Z 38的连接。这样的配置要求外围设备30被主机系统20识别为网络设备, 而不是识别为大容量存储设备(比如URD 28)。在这样的配置中,本发明的系统要求URD 30达到防火墙36的安全特征要求,该要求是强健的并被良好地维持。 总言之,在直接连接到主机系统20的URD(例如URD 28)与连接到匿Z 38的 URD(例如URD 30)之间存在两个差别 (1)通信协议-URD 28是大容量存储设备,而外围设备30是仿真的网络设备;以 及 (2)主机系统20免于与设备有关的风险的安全级别_主机系统20不具有防御URD 28的任何安全措施,但是具有防御外围设备30的全面防火墙保护。 图2A是根据现有技术的URD的简化方框图。图2A中示出URD 50具有非易失性 存储器52、闪存控制器54、大容量存储类协议56和USB连接器58。数据经由USB连接器 58写和读,并经由大容量存储类协议56编码。闪存控制器54编码和解码从大容量存储类 协议56提供的数据,并将该数据写到存储器52。 图2B是根据本发明的优选实施例的URD的简化方框图。在图2B中示出URD 60 具有非易失性存储器62、闪存控制器64、网络协议66和USB连接器68。数据经由USB连接 器68写和读,并经由网络协议66编码。闪存控制器64编码和解码从网络协议66提供的 数据,并将该数据写到存储器62。很清楚,根据本发明的系统使得能够将防火墙安全措施应 用于URD 60。 图3是根据本发明的优选实施例的具有针对大容量存储设备的防火墙保护的主 机系统的操作的简化流程图。URD可操作地连接到主机系统(步骤70)。 URD的网络协议指 定URD作为主机系统上的网络设备(步骤72)。常驻于主机系统上的防火墙检测URD网络 设备(步骤74)。由防火墙的安全措施中转在URD与主机系统之间的通信(步骤76)。注 意,防火墙还可以被配置为限制特定应用对URD的访问。 尽管已经关于有限数量的实施例描述了本发明,但是将认识到,可以进行本发明 的许多修改、组合和其他应用。
权利要求
一种URD,包括(a)具有程序代码的非易失性存储器,其中所述程序代码被配置为使能用于与主机系统通信的网络协议;以及(b)控制器,用于控制在所述存储器上执行的操作。
2. 根据权利要求l的URD,其中所述存储器包括闪存。
3. —种系统,包括(a) 具有防火墙的主机系统;以及(b) 具有非易失性存储器的URD,其中所述存储器包括程序代码,以及其中所述程序代码被配置为使能网络协议,所述URD可操作地连接到所述主机系统;其中所述防火墙被配置为提供与所述URD有关的安全措施。
4. 根据权利要求3的系统,其中所述防火墙是软件防火墙。
5. 根据权利要求3的系统,其中所述防火墙是硬件防火墙。
6. —种用于保护主机系统免于URD引起的信息安全风险的方法,该方法包括步骤(a) 将URD可操作地连接到主机系统;(b) 通过常驻于主机系统中的防火墙,经由网络协议,在URD和主机系统之间通信;以及(c) 配置所述防火墙以提供与URD有关的安全措施。
7. 根据权利要求6的方法,其中所述防火墙是软件防火墙。
8. 根据权利要求6的方法,其中所述防火墙是硬件防火墙。
9. 一种用于保护主机系统免于URD引起的信息安全风险的方法,该方法包括步骤(a) 将URD可操作地连接到主机系统;(b) 通过常驻于主机系统上的防火墙,经由网络协议在URD和主机系统之间通信;以及(c) 配置所述防火墙以限制至少一个应用对URD的访问。
10. 根据权利要求9的方法,其中所述防火墙是软件防火墙。
11. 根据权利要求9的方法,其中所述防火墙是硬件防火墙。
全文摘要
本发明公开了USB可移除驱动器(URD)和用于保护主机系统免于URD引起的信息安全风险的方法,该URD包括具有程序代码的非易失性存储器,其中所述程序代码被配置为使能用于与主机系统通信的网络协议;以及控制器,用于控制在所述存储器上执行的操作。优选地,存储器包括闪存。一种URD包括具有防火墙的主机系统;以及具有非易失性存储器的URD,其中所述存储器包括程序代码,以及其中所述程序代码被配置为使能网络协议,所述URD可操作地连接到所述主机系统;其中所述防火墙被配置为提供与所述URD有关的安全措施。优选地,防火墙是软件防火墙或硬件防火墙。
文档编号G06F21/00GK101720545SQ200880014890
公开日2010年6月2日 申请日期2008年4月6日 优先权日2007年4月9日
发明者亚历山大·佩利, 伊泰·戈尔德, 利奥尼德·什马尔维科 申请人:桑迪士克以色列有限公司