JP2004078265A - 記憶装置の防火壁制御装置及び制御方法 - Google Patents

記憶装置の防火壁制御装置及び制御方法 Download PDF

Info

Publication number
JP2004078265A
JP2004078265A JP2002233376A JP2002233376A JP2004078265A JP 2004078265 A JP2004078265 A JP 2004078265A JP 2002233376 A JP2002233376 A JP 2002233376A JP 2002233376 A JP2002233376 A JP 2002233376A JP 2004078265 A JP2004078265 A JP 2004078265A
Authority
JP
Japan
Prior art keywords
data
storage device
zone
draft
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002233376A
Other languages
English (en)
Inventor
Jau-Jeng Guo
郭 昭 正
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
LOGSUN IND CO Ltd
LOGSUN INDUSTRIAL CO Ltd
Original Assignee
LOGSUN IND CO Ltd
LOGSUN INDUSTRIAL CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by LOGSUN IND CO Ltd, LOGSUN INDUSTRIAL CO Ltd filed Critical LOGSUN IND CO Ltd
Priority to JP2002233376A priority Critical patent/JP2004078265A/ja
Publication of JP2004078265A publication Critical patent/JP2004078265A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】データの不正な更新、削除及び破損を防ぎ、記憶装置に記録されたデータを保護するため、本発明は記憶装置の防火壁制御装置及び制御方法を提供する。
【解決手段】本発明により提供した制御装置は記憶装置と処理装置を有するコンピュータシステムに適用し、その内の記憶装置が少なくとも二つの仮想ディスクに分けられる。前記制御装置は、第一連結デバイス、第二連結デバイス及び信号処理デバイスから構成されており、記憶装置にデータ防護機能を提供することができる。前記制御装置は記憶装置にあるデータ記録の保護方法を実行することができる。具体的には、まず配置設定プログラムを実行させて記憶装置に仮想ディスクの分割を設定し、次に系統挿入プログラムを実行させてデータを記憶装置に挿入し、最後にデータ保護プログラムを実行させて分割された各仮想ディスク及び仮想ディスクの異なる用途設定を利用し、防護予定のあるデータへのアクセスは前記制御装置により制御する。
【選択図】   図1

Description

【0001】
【発明が属する技術分野】
本発明は、記憶装置の防火壁制御装置及び制御方法に関するものであり、この装置により記憶装置に記録されたデータを保護し、不正な更新、削除及び破損を防ぐことができる。
【0002】
【従来の技術】
現在のほとんどのパソコンや電子機器は、電子記憶装置を使ってデータを保存するものである。通常、データ記録は基本ソフト、応用ソフト及び各種のインフォメーションなどを含んでいるが、本発明の説明ではデータという一つの言葉の中にこれら各種のデータ記録を含んでいる。このタイプの記憶装置で最も多く発生する問題はデータ記録が無断で更新されてしまうことである。このようなデータ記録の書き換えは、ソフトプログラム設定の変更や新たなデータの入力など、使用者の意志によるものであるとしても、うっかりしたミスとしては予想できないような悪い結果を招いてしまい、データ記録を元の状態に戻さなければならないケースがある。電子方式で保存されたこれらのデータは、悪質な人に破壊されたり、ウイルスに感染したり、さらに不正侵入による改ざんや削除などにより重大な損失を与えられる可能性もある。
【0003】
コンピュータが不正侵入により書き換えられてしまった場合には、個人或いは企業側に生産力、営業及び利潤の面で損失をもたらす可能性がある。また、企業内で複数の人が共同で利用しているコンピュータ・ネットワークにおいては各パソコン機器が共通に設定されているため、使用及び管理・維持においては比較的便利であるが、もし使用者が勝手に使用端末の設定を変えてしまった場合は、ネットワーク全体の各使用端末の相互間のデータ交換ができなくなり、コンピュータが不安定になるなどの問題を引き起こす危険がある。従って、維持・管理者に重い負担をかけ、さらに企業或いは個人の生産力に損失を与える結果を招いてしまう。
【0004】
しかし、状況によっては使用者がデータを更新させることも必要であり、または記憶装置に正確な設定値のバックアップを提供する必要もある。つまり使用者は記憶装置内のデータ内容を新たに加えたり、削除したり或いは更新することによりコンピュータの配置設定を変更できる。使用者の更新作業によりコンピュータエラーを生じさせたときは、バックアップを利用して更新以前の正確な記録状態に戻すことができる。
【0005】
今日、市場においてはハードディスクに記録したデータを不正に書き換えることを防ぐグッズが多数ある。これらのグッズにはソフトによるものとソフトとハードを結合させたものの二種類がある。
【0006】
ソフトを用いるデータ記録保護システムの多くは、使用者がハードディスク上のデータを読み取ったり、書き込んだりすることを禁止することによりデータ記録を保護する目的を果たしている。使用者がデータの書き込みコマンドを命じた場合は、このデータがハードディスクではなく、一つの特定な記憶空間に移るため、ハードディスク上に記録したデータ内容は変更されない。使用者がこのデータを読み取りたい場合は、同じくハードディスク上からではなく、特定の記憶空間からデータを引き出すことになる。使用者がコンピュータを終了或いは再起動する場合はハードディスクではなく特定の記憶空間に記録した前述のデータがすべて消えてしまうことになる。この方法の欠点は、ソフトによって提出したデータ保護法が簡単に解析されてしまうため、ウイルスなどの悪質な侵入を防ぐことができないのである。このようなソフトは前述した特定な記憶空間を隠すことができないため、悪質な侵入プログラムが低レベルのコマンドを使っても記憶空間のデータを盗み読むことができ、さらにハードディスク上に保存したデータを改ざんすることもできる。その他、このようなソフトは特定の基板上に設けられて作動するため、作業システム及び処理装置の相容性(compossible)問題を引き起こしやすい。
【0007】
ソフトとハードを結合させたものを用いる方法は、通常ソフトプログラムとカード式エレメントを含んでおり、周辺部品を使いPCI或いはその他の延長差込口に差し入れるにより、カード式エレメントとコンピュータを接続させる。ソフトプログラムはカード式エレメントを設定し、データへのコマンドを差し止める。またいったん差し止められたコマンドをカード式エレメントにある処理装置に送り、処理を行う。この種の保護方法はハードディスク上の記憶空間を隠せないため、上述のソフトを用いる方法と同じ悪質なプログラムにより解析されてしまうおそれもある。
【0008】
本発明者は、研究を重ねた結果、本発明を完成し、作業システムと処理装置の相容性(compossible)に制限されなく、悪意的な侵入者或いはソフトで解析されない記憶装置の防火壁制御装置及び制御方法を発明した。
【0009】
【発明が解決しようとする課題】
本発明の第一目的は、記憶装置の防火壁制御装置及び制御方法を提供することである。該制御装置はコンピュータシステムの中央処理装置と記録装置の間に取り付けられており、使用上、特定の基本ソフト或いは起動プログラムに限られていない。
【0010】
【課題を解決するための手段】
以上の目的を達するために、本発明は記憶装置の防火壁制御装置を提供している。該制御装置は記憶装置と処理装置を有するコンピュータシステムに適用し、記憶装置は少なくとも二つの仮想ディスクに分けられる。前記防火壁制御装置は、第一連結デバイス、第二連結デバイス及び信号処理デバイスから構成されており、記憶装置にデータ防護機能を提供することができる。本発明の記憶装置の防火壁制御装置は一つの保護記憶装置にあるデータ記録の方法を実行することができる。具体的には、まず配置設定プログラムを実行させて記憶装置に仮想ディスクの分割を設定する;次に系統挿入プログラムを実行させてデータを記憶装置に挿入する;最後にデータ保護プログラムを実行させて分割された各仮想ディスク及び仮想ディスクの用途設定を利用し、防護データへのアクセスが前記記憶装置の防火壁制御装置により制御することである。
【0011】
この分野に熟知している技術者たちが本発明の目的、特徴及び効果をよく理解するため、以下、具体的な実施例と関連図面を用いながら、本発明を詳しく説明する。
【0012】
【発明の実施の形態】
図1は、本発明実施例である記憶装置の防火壁制御装置300と接続した一つのコンピュータシステム100を示している。前記コンピュータシステム100はプロセッサー210とストレージ・デバイス400を含んでいる。
【0013】
コンピュータシステム100はソフト或いはデータを記録装置に保存できるすべての装置のことである。例えば、コンピュータシステム100は個人のパソコンとし、プロセッサー210がコンピュータシステム100を制御するミクロ・プロセッサーとし、ストレージ・デバイス400がハードディスク或いはその他の記憶装置とすることができる。一方、コンピュータシステム100はゲームのコントロール装置とし、プロセッサー210がコントロール装置を作動するミクロ・プロセッサー340、ストレージ・デバイス400がメモリカード(Memory Stick)というような記憶装置とすることもできる。
【0014】
記憶装置の防火壁制御装置300の構造は、次の通りである。第一連結デバイスはコントローラ・プロセッサー・インターフェース310となり、コントローラ・プロセッサー・データバス230を介して記憶装置の防火壁制御装置300とプロセッサー210を接続させる。第二連結デバイスはコントローラ・ストレージ・インターフェース330となり、コントローラ・ストレージ・デバイス・データバス370を介して記憶装置の防火壁制御装置300とストレージ・デバイス400を接続させる。信号処理デバイス320はコントローラ・プロセッサー・インターフェース310とコントローラ・ストレージ・インターフェース330との間にあり、ミクロ・プロセッサー340と接続しているものである。ミクロ・プロセッサー340はRAM350とEPROM360とそれぞれに接続している。プロセッサー210はコントローラ・プロセッサー・データバス230により記憶装置の防火壁制御装置300のコントローラ・プロセッサー・インターフェース310と接続している。プロセッサー210から流れたデータのアクセスコマンドはコントローラ・プロセッサー・データバス230により記憶装置の防火壁制御装置300に転送できる。ストレージ・デバイス400はストレージ・デバイス・インターフェース410を含んでおり、ストレージ・デバイス・インターフェース410がコントローラ・ストレージ・デバイス・データバス370により記憶装置の防火壁制御装置300上のコントローラ・ストレージ・インターフェース330と接続している。記憶装置の防火壁制御装置300はプロセッサー210からのコマンドに従ってコントローラ・ストレージ・デバイス・データバス370を経由して対象となるデータをストレージ・デバイス400の中から読み出し・書き込みをすることができる。
【0015】
理想の状態では、コントローラ・プロセッサー・インターフェース310とストレージ・デバイス・インターフェース410が同じである。そのため、記憶装置の防火壁制御装置300はプロセッサー210とストレージ・デバイス400の間に取り付けることができる。
【0016】
ストレージ・デバイス400はデータ・ストレージ・スペース460を含んでいる。データ・ストレージ・スペース460は複数のデータ・ブロック470に分割されている。複数のデータ・ブロック470は更に防護データ・ブロック480、草稿データ・ブロック481、管理データ・ブロック482或いは無防護データ・ブロック483とそれぞれ設定されている。データ・ストレージ・スペース460は四つのデータ記憶領域に分けられている。それは防護データ・ブロック480により構成された読み取り専用ゾーン420、草稿データ・ブロック481により構成された草稿ゾーン430、管理データ・ブロック482により構成された管理ゾーン440、無防護データ・ブロック483により構成された無防護ゾーン450である。理想の状態では読み取り専用ゾーン420にある防護データ・ブロック480と草稿ゾーン430にある草稿データ・ブロック481のブロック数は同数で、さらにどの防護データ・ブロック480にもそれに対応する草稿データ・ブロック481がある。
【0017】
管理ゾーン440は位置表490と配置表495を含んでいる。位置表490は全ての草稿データ・ブロック481の位置を含んでおり、有効データを保存してある草稿データ・ブロック481を示すものである。各草稿データ・ブロック481にあるデータ記録の有効性は位置表490のなかでは1つのビットで表示されている。1と記録する場合は、前記草稿データ・ブロック481に保存してあるデータが有効である。しかし、0と記録する場合は、草稿データ・ブロック481には有効データが存在していない。ある草稿データ・ブロックのビット記録が1となる場合は、制御装置が草稿ゾーン430の中からデータを読み取り、0となる場合は、読み取り専用ゾーン420の中からデータを読み取ることになる。配置表495は読み取り専用ゾーン420、草稿ゾーン430、管理ゾーン440、無防護ゾーン450それぞれの記憶空間の配置、パラメーター及びサイズなどを記録したものである。
【0018】
以下コンピュータシステム100の実施例について説明する。本実施例はMicorosoft Windows(登録商標) TM基本ソフトを使う普通のオフィス用のコンピュータシステム100である。前記コンピュータシステム100のプロセッサー210はミクロ・プロセッサーとなっており、ソフトの実行と周辺機器の管理を行うものである。前記コンピュータシステム100のストレージ・デバイス400はIDE型のハードディスクであり、処理装置との間にあるIDE制御装置により制御されている。
【0019】
本実施例において、記憶装置の防火壁制御装置300はIDE制御装置とハードディスクとの間に取り付けられており、また該記憶装置の防火壁制御装置300はIDE制御装置に対し透過(transparent)的なものとなっている。IDE制御装置とハードディスク間のデータ流れの状態は、記憶装置の防火壁制御装置300の存在はなく、IDE制御装置とハードディスクが直接に繋がっているようなものである。事実上では、記憶装置の防火壁制御装置300は少なくとも一部のハードディスクをIDE制御装置に対して隠してしまい、さらに一つのハードディスクを二つの独立したハードディスクに区分し、IDE制御装置に顕わしている。
【0020】
記憶装置の防火壁制御装置300の実行に関する説明は以下の通りである。
【0021】
コントローラは一つのIDEハードディスクを読み取り専用ゾーン420、草稿ゾーン430、管理ゾーン440と無防護ゾーン450の四つの記録ゾーンに分割する。データ・ストレージ・ブロック470にある防護データ・ブロック480は読み取り専用ゾーン420を構成し、データ・ストレージ・ブロック470にある草稿データ・ブロック481は草稿ゾーン430を構成し、データ・ストレージ・ブロック470にある管理データ・ブロック482は管理ゾーン440を構成し、データ・ブロック470にある無防護データ・ブロック483は無防護ゾーン450を構成する。前述した四つのデータ記憶領域はハードディスクのデータ記憶保存空間に位置し、それらは相互に交錯の形で配置されている可能性がある。前述したように防護データ・ブロック480と草稿データ・ブロック481のブロック数は、一対一の対応関係を保つため、同数であることが望ましい。
【0022】
読み取り専用ゾーン420のなかには系統管理者の保護したい防護データが保存してあり、更新と削除を禁じている。通常、防護データは系統管理者により読み取り専用ゾーン420に入れられ、コンピュータシステム100の使用者に提供するものである。防護データが読み取り専用ゾーン420に挿入する方法に関しては、後で述べる。その方法は図2と図3に示してある。
【0023】
コンピュータシステム100が一つ一つの新たな作業を実行しようとするたびに記憶装置の防火壁制御装置300は草稿ゾーン430を未使用とみなす。そのとき位置表490も全て草稿データ・ブロック481にある有効値を0と設定し、これらの草稿データ・ブロックに有効データが存在していないことを示す。
【0024】
プロセッサー210が読み取り専用ゾーン420のデータ記録を書き換え或いは更新などのコマンドを命じるとき、指定されたデータは読み取り専用ゾーン420の中にではなく、草稿ゾーン430の中にある防護データ・ブロック480と対応する草稿データ・ブロック481に記録される。同時に管理ゾーン440にある位置表490のビット記録も変わって、前記草稿データ・ブロック481にあるデータ記録は有効なものとする。すなわち、プロセッサー210は保護データの読み取りコマンドを出したとき、記憶装置の防火壁制御装置300は一つ或いは複数の防護データ・ブロック480からその保護データを取り出してプロセッサー210に転送する。同時に記憶装置の防火壁制御装置300は指定された読み取りデータを草稿ゾーン430にある草稿データ・ブロック481にも挿入し、そして位置表490の記録を変更し、該草稿データ・ブロック481のデータ記録は有効なものとする。更新されたデータ記録は記憶装置の防火壁制御装置300に転送され、ストレージ・デバイス400の中に保存される。更新されたデータ記録は草稿データとして草稿データ・ブロック430の中に記録される。
【0025】
コンピュータシステム100は一つ一つの作業を始めようとするときに、草稿ゾーン430を空室とみなすため、以前のデータ更新内容は全て残されていない。従って、読み取り専用ゾーン420にある元のデータ内容は最新のものと見なす。
【0026】
無防護ゾーン450へのデータ−アクセスについて、記憶装置の防火壁制御装置300はただ無防護ゾーン450のデータのアクセスコマンドと位置転換指示をストレージ・デバイス400に転送する。この場合、ストレージ・デバイス400自身はデータアクセスコマンドを処理することができる。本実施例ではコンピュータシステム100のIDEハードディスクはこのような機能を備えている。もしストレージ・デバイス400自身がデータへのアクセスコマンドを処理できない場合は、記憶装置の防火壁制御装置300は適切な設定を行い、ストレージ・デバイス400にデータへのアクセスコマンドを実行できるようにする。上述した記憶装置の防火壁制御装置300の作動方式は図4のデータ保護プログラム3000に示す通りである。
【0027】
図2は本発明に基づいたストレージ・デバイス400の配置設定プログラム1000の設定を示している。この方法によりデータ・ストレージ・スペース460の中でデータにアクセスすることができる。配置設定プログラム1000は一人の系統管理者により実行される。従って、コンピュータシステム100は適切な配置を行われた後、使用者に提供することになる。
【0028】
図2に示している配置設定プログラム1000では、ステップ1100は記憶装置の防火壁制御装置300がシステム管理者の指示に従って配置設定状態に入ることである。システム管理者は通常記憶装置の防火壁制御装置300により提供された配置設定ソフトを利用し、記憶装置の防火壁制御装置300を配置設定状態に入れる。配置設定プログラム1000におけるすべてのステップの実行は前記配置設定ソフトの制御により行うことが望ましい。前記配置設定ソフトは暗号機能を内蔵し、記憶装置の防火壁制御装置300は使用者が正確なパスワードを入力する限り配置設定状態に入ることができる。記憶装置の防火壁制御装置300はコンピュータシステムの運行中しかも配置設定ソフトが起動している状況に限って配置設定状態に入ることができる。
【0029】
配置設定プログラム1000のステップ1200に進む。このステップでは、ストレージ・デバイス400のデータ・ストレージ・スペース460は読み取り専用ゾーン420、草稿ゾーン430、管理ゾーン440、無防護ゾーン450の四つの記憶領域に分割される。記憶装置の防火壁制御装置300は一つのメニューを提供して、システム管理者に読み取り専用ゾーン420の記憶空間のサイズを設定させる。記憶装置の防火壁制御装置300は前記設定値に基づいてデータ・ストレージ・スペース460の中に一つの記憶領域を読み取り専用ゾーン420とする。自動的に同じサイズの記憶領域は草稿ゾーン430と指定される。ストレージ・デバイス400に残されている未指定の記憶領域は記憶装置の防火壁制御装置300により無防護ゾーン450と管理ゾーン440に分割される。記憶装置の防火壁制御装置300は以上の四つの記憶領域を個別な記憶装置と見なす。
【0030】
配置設定プログラム1000のステップ1300では、記憶装置の防火壁制御装置300はコンピュータシステム100にある一つのストレージ・デバイス400を二つの独立するデータ記憶装置に分割し、プロセッサー210に顕わしている。この二つのデータ記憶装置はそれぞれ読み取り専用装置と無防護ストレージ装置と名付ける。その内の一つの記憶空間は読み取り専用ゾーン420と同じであり、もう一つの記憶空間は無防護ゾーン450と同じである。コンピュータシステム100に設定されている資料出入規定により記憶装置の防火壁制御装置300は上述した二つのデータ記憶装置にある一部の特定データをプロセッサー210に転送しなければならない。例えば二つのデータ記憶装置のトラック数及びセクタ数とサイズである。記憶装置の防火壁制御装置300はこの二つの仮想データ記憶装置の記憶空間(防護データ保存領域と無防護データ保存領域)から両装置の関連データを計ってプロセッサー210に送る。これらのデータは草稿ゾーン430と管理ゾーン440に関するものが含まれていない。コンピュータシステム100に設定されている資料出入規定によりプロセッサー210は異なるパラメーターを使って異なる仮想データ記憶装置を設定することができる。本実施例のコンピュータシステム100では二つの仮想データ記憶装置は違う番号とアルファベットを使って表示するものである。記憶装置の防火壁制御装置300は違う番号をつけている各記憶装置のデータアクセスコマンドを受け、指定データをIDEハードディスクの分割に対応できるものに転換する。
【0031】
プロセッサー210が草稿ゾーン430の存在を無視しているため、ストレージ・デバイス400の中の有効な記憶空間の容量は草稿ゾーン430の大きさを差し引かなければならない。例えば、データ・ストレージ・スペース460が10Mbの容量であり、読み取り専用ゾーン420が4Mbの容量である場合、読み取り専用ゾーン420と草稿ゾーン430の容量はそれぞれ4Mbとなり、残された2Mbが無防護ゾーン450と管理ゾーン440のものとなる。プロセッサー210にとっては草稿ゾーン430と管理ゾーン440が存在していないものとされ、読み取り専用ゾーン420が4Mbのディスク(0)で、無防護ゾーン450が管理ゾーン440の記憶空間容量の大きさに左右され、2Mbより小さいなディスク(1)となる。
【0032】
これで配置設定プログラム1000は終了する。
【0033】
配置設定プログラム1000終了後、プロセッサー210はコンピュータシステム100が二つの独立した本物のデータ記憶装置を有する電子機器として動く。本実施例では、コンピュータシステム100は一つのIDEハードディスクを有し、このディスクが四つの論理領域に分割されている。プロセッサー210は、その内の読み取り専用ゾーン420を第一実物のディスクと見なし、ディスクの番号はアルファベット或いは数字で表す(例えば、ディスクアルファベットC、ディスク記号0)。プロセッサー210は、無防護ゾーン450を第二実物のディスクと見なし、ディスクの番号もアルファベットと数字両方で表せる(例えば、ディスクアルファベットD、ディスク記号1)。草稿ゾーン430と管理ゾーン440がプロセッサー210に現れないように設定されたため、プロセッサー210はディスク番号指定により隠されているディスクの分割作業を直接行うことができない。
【0034】
配置設定プログラム1000は繰り返し実施することにより読み取り専用ゾーン420、草稿ゾーン430、管理ゾーン440及び無防護ゾーン450の記憶空間のサイズを更新することができる。配置設定プログラム1000は初めてデータ記録があるディスク上に実施するとき、記憶空間が空いている場合、このデータは読み取り専用ゾーン420或いは無防護ゾーン450に挿入できるが、記憶空間が空いていない場合、前記データはその他任意の記憶媒体に挿入することができる。一方、配置設定プログラム1000を再びディスク上に実施し、読み取り専用ゾーン420と無防護ゾーン450の記録空間が減少したため、ディスクに記録したデータを完全に読み取り専用ゾーン420或いは無防護ゾーン450に保存することができない場合、データ記録は一部が紛失し、或いはその他の記憶装置にコピーされてしまう可能性がある。
【0035】
図3は本発明の系統挿入プログラム2000を示している。このプログラムによりストレージ・デバイス400の読み取り専用ゾーン420の中にデータを挿入することができる。通常一人の系統管理者によってこれが実施されるのである。
【0036】
図3のステップ2100では、記憶装置の防火壁制御装置300が系統管理者の指示に従って系統挿入状態に進入する。本実施例のコンピュータシステムでは、一つの設定ソフトが入ったフロッピー(登録商標)ディスクをドライブに差し込んだことで、記憶装置の防火壁制御装置300を系統挿入状態にする。該系統挿入ソフトが一つの暗号機能を内蔵し、記憶装置の防火壁制御装置300は使用者が正確なパスワードを入力することに限って系統挿入状態に入ることができる。記憶装置の防火壁制御装置300はコンピュータシステムの運行中しかも配置設定ソフトが起動している状況に限って系統挿入状態に入ることができることが望ましい。
【0037】
系統挿入プログラム2000のステップ2200を実行する。このステップでは、系統管理者がデータを読み取り専用ゾーン420に挿入する。例えば、系統管理者は、制御処理装置及び文字編集用ソフト、ゲームソフト、通信用ソフト或いはデータなどのような基本ソフトを挿入する。実際読み取り専用ゾーン420に挿入されたデータ内容はコンピュータシステムの性質と用途により定められる。系統挿入状態において、系統管理者はハードディスクの分割を変更したり、初期化したり、読み取り専用ゾーン420内のデータを修正したりすることができる。ステップ2200では、系統管理者は草稿ゾーン430上にどんなデータも入れていない。
【0038】
本実施例のコンピュータシステムにおいて、ステップ2200はMicrosoft Windows(登録商標)のような基本ソフト、Microsoft Wordのような応用ソフト及びその他のソフト及びデータがIDEハードディスク上の装備或いは記録に関わる。プロセッサー210は通常IDEディスクをCディスクと名付ける。
【0039】
系統挿入プログラム2000は系統管理者がデータを読み取り専用ゾーン420に挿入が済んだ時点で終了する。読み取り専用ゾーン420に記録されたデータは防護データとする。
【0040】
コンピュータシステムは防護データを読み取り専用ゾーン420に挿入した後通常の作動状態に戻り、一般の使用者が利用できるようになる。系統管理者は読み取り専用ゾーン420のデータ内容を修正するために系統挿入プログラム2000を繰り返して操作できるが、永久保存すべきデータが草稿ゾーン430に挿入しない。
【0041】
図4はデータ保護プログラム3000を示している。このプログラムは記憶装置の防火壁制御装置300の通常作動方式となっている。プロセッサー210からのコマンドの中において、以前ストレージ・デバイス400に記憶していたデータを読み取ることを読み取りコマンドという。また読み取り対象となるデータを指定読み取りデータという。一方、データを書き込むことを書き込みコマンドと言う。また、書き込み対象となるデータを指定書き込みデータという。
【0042】
データ保護プログラム3000のステップ3020では、記憶装置の防火壁制御装置300がデータ保護状態に入る。コンピュータシステム100が新たな作業を始めようとするとき、記憶装置の防火壁制御装置300は系統配置状態(配置設定プログラム1000)或いは系統挿入状態(系統挿入プログラム2000)へ入るとの指令を受けない限り、自動的にデータ保護状態に入ることになる。通常コンピュータの新たな作業開始は、コンピュータの起動及び再起動のときに行うことである。
【0043】
データ保護プログラム3000はステップ3030に進む。このステップでは記憶装置の防火壁制御装置300が草稿ゾーン430を初期化する。記憶装置の防火壁制御装置300は管理ゾーン440にある位置表490の各ビットを0とし、全ての草稿データ・ブロック481に有効データが存在していないことを示す。ステップ3030は、コンピュータシステム100が一つ前の作業で草稿ゾーン430に保存していたデータを全て削除する。時間を短縮するために記憶装置の防火壁制御装置300は草稿データ・ブロック481にある全てのデータ一つ一つを削除しない。且つ全てのデータ一つ一つを削除する必要がない。事実上、位置表490の全てのビットに無効と示してあるため、記憶装置の防火壁制御装置300は以前草稿データ・ブロック481に記録されたデータを無視する。
【0044】
ある種のコンピュータシステムのプロセッサー210は、ストレージ・デバイス400を指示してデータ・ストレージ・スペース460の特定位置へアクセスさせることで、低レベルデータの出入り指示を転送できる。例えば、プロセッサー210はIDEハードディスクを指示してデータ・ストレージ・ブロック470の内部にあるトラック、セクタ等の記録内容にアクセスすることができる。IDEハードディスクにおいてはプロセッサー210の指示でアクセスできるトラック、セクタの位置は、ステップ1300により指定した読み取り専用ゾーン420と無防護ゾーン450に制限されている。
【0045】
データ保護プログラム3000はステップ3040に進む。このステップでは記憶装置の防火壁制御装置300が管理ゾーン440の位置表490を初期化する。
【0046】
データ保護プログラム3000はステップ3060に進む。このステップでは記憶装置の防火壁制御装置300がプロセッサー210からのデータアクセスコマンドを受ける。
【0047】
データ保護プログラム3000はステップ3080に進む。このステップではステップ3060から読み取りコマンドを受け取った場合はステップ3100に進み、読み取りコマンドを受け取ってない場合はステップ3400に進む。
【0048】
ステップ3100では受け取ったデータの読み取りコマンドをチェックし、指定対象となるデータが無防護ゾーン450にある場合はステップ3300に進み、無防護ゾーン450にない場合はステップ3120に進む。
【0049】
ステップ3120では記憶装置の防火壁制御装置300が管理ゾーン440の位置表490をチェックし、プロセッサー210に指定された読み取りデータが草稿ゾーン430にある場合はステップ3200に進み、草稿ゾーン430にない場合はステップ3140に進む。
【0050】
データ保護プログラム3000はステップ3140に進む。このステップは読み取り専用ゾーン420から指定されたデータを読み取り、プロセッサー210に転送する。
【0051】
データ保護プログラム3000はステップ3060に戻り、プロセッサー210からの次のコマンドを待ち受ける。
【0052】
ステップ3200では、記憶装置の防火壁制御装置300が読み取りコマンドを処理する。指定読み取りデータは既に草稿ゾーン430に保存されているものである。指定された読み取りの草稿データは下述するステップ3420において、プロセッサー210から伝えてきたデータ書き込みコマンドに従って、指定書き込みデータを草稿ゾーン430に書き込むことができる。
【0053】
記憶装置の防火壁制御装置300は指定読み取りデータが所在する草稿データ・ブロック481を決め、それを読み取ってプロセッサー210に送る。データ保護プログラム3000はステップ3060に戻り、プロセッサー210からの次のコマンドを待ち受ける。
【0054】
ステップ3300では、記憶装置の防火壁制御装置300が読み取りコマンドを実行する。指定読み取り対象は無防護ゾーン450に保存されているデータである。記憶装置の防火壁制御装置300は受け取った読み取りコマンドを直接にプロセッサー210に送る。
【0055】
データ保護プログラム3000はステップ3060に戻り、プロセッサー210からの次のコマンドを待ち受ける。
【0056】
ステップ3400では、記憶装置の防火壁制御装置300が書き込みコマンドを処理する。指定書き込み対象が無防護ゾーン450に保存されているデータの場合はステップ3500に進み、無防護ゾーン450に保存されているデータでない場合は指定書き込みデータを草稿ゾーン430に挿入してステップ3420に進む。
【0057】
ステップ3420では、記憶装置の防火壁制御装置300が指定書き込みデータの挿入すべき草稿データ・ブロック481を決める。さらに記憶装置の防火壁制御装置300は管理ゾーン440にある位置表490の内容を更新し、前記書き込みデータを保存する草稿データ・ブロック481を有効なものと示す。
【0058】
そしてデータ保護プログラム3000は3060ステップに戻り、プロセッサー210から次のコマンドを待ち受ける。
【0059】
ステップ3500では、記憶装置の防火壁制御装置300は書き込みコマンドを処理する。指定された書き込み対象データは無防護ゾーン450に保存する予定がある無防護データである。記憶装置の防火壁制御装置300は指定書き込みデータを直接に無防護ゾーン450にある無防護資料ゾーンに転送する。
【0060】
そしてデータ保護プログラム3000はステップ3060に戻り、プロセッサー210からの次のコマンドを待ち受ける。
【0061】
データ保護の状態では記憶装置の防火壁制御装置300はいかなるデータも読み取り専用ゾーン420に書き込むことはできない。従って読み取り専用ゾーン420は系統挿入プログラム2000終了或いは最終修正済みの後、同じデータ内容をずっと保存し続ける。コンピュータシステム100の作動中、使用者は防護データに対する全ての保存・読み取り或いは修正は、ステップ3420の実行によって草稿の形で草稿ゾーン430に記録される。プロセッサー210は通常のアクセスコマンドを転送し、且つそのコマンドが通常の方式で処理できる。しかし、コンピュータシステム100が新たな作動を始めようとするとき、ステップ3030の実行によってデータ保護状態で行われたデータの更新記録は全て消えてしまう。
【0062】
上述した実施状態はIDEハードディスクを対象とするものである。本発明はその他の記憶装置と連携して使用することができる。例えば、ISA、ATA、EIDE、SCSI及びその他のハードディスク等である。又本発明は固体磁気記憶装置、フラッシュメモリカード、PCカード等その他のデータ記憶装置にも適用する。
【0063】
以上、本発明のいくつかの良い実施例を取り上げたが、本発明はこれらの実施例に限定されるものではない。
【図面の簡単な説明】
【図1】本発明に基づいた記録装置の防火壁制御装置を備えているコンピュータシステムの概念図である。
【図2】本発明実施例の配置設定プログラムの流れ図を示している。
【図3】本発明実施例の系統挿入プログラムの流れ図を示している。
【図4】本発明実施例のデータ保護プログラムの流れ図を示している。
【符号の説明】
100 コンピュータシステム(computing system)
200 メインボード(main board)
210 プロセッサー(processor)
220 プロセッサー・ストレージ・インターフェース(processor−storage interface)
230 コントローラ・プロセッサー・データバス(controller−processor date bus)
300 制御装置(controller)
310 コントローラ・プロセッサー・インターフェース(controller processor interface)
320 信号処理デバイス(signal processor)
330 コントローラ・ストレージ・インターフェース(controller−storage interface)
340 ミクロ・プロセッサー(micro processor)
350 RAM(random access memory)
360 EPROM
370 コントローラ・ストレージ・デバイス・データバス(controller storage device date bus)
400 ストレージ・デバイス(storage device)
410 ストレージ・デバイス・インターフェース(storage device  interface)
420 読み取り専用ゾーン(read only zone)
430 草稿ゾーン(sketch zone)
440 管理ゾーン(admin zone)
450 無防護ゾーン(unprotect zone)
460 データ・ストレージ・スペース(data storage space)
470 データ・ストレージ・ブロック(data storage block)
480 防護データ・ブロック(protected data block)
481 草稿データ・ブロック(sketch data block)
482 管理データ・ブロック(admin data block)
483 無防護データ・ブロック(unprotect data block)
490 位置表(location table)
495 配置表(configuration table)
1000 配置設定プログラム
1100 配置設定状態に入る。
1200 データ記録装置の領域を分割する。
1300 領域の分割結果をプロセッサーに転送する。
2000 系統挿入プログラム
2100 系統挿入状態に入る。
2200 系統管理者はデータを読み取り専用ゾーン及び無防護ゾーンに挿入する。
3000 データ保護プログラム
3020 データ保護状態に入る。
3030 草稿ゾーン初期化
3040 位置表初期化
3060 データの読み取り或いは書き込みコマンドを受け取る。
3080 受け取ったコマンドの種類をチェックする。
3100 データ読み取りコマンドに指定されたデータの防護類型をチェックする。
3120 指定された読み取りデータが草稿データ・ブロックの中に存在するかをチェックする。
3140 読み取り予定のあるデータを処理装置に転送する。
3200 草稿ゾーンにあるデータを読み取り、プロセッサーに転送する。
3400 書き込みデータコマンドに関わるデータの防護種類をチェックする。
3420 指定された書き込みデータを草稿データ・ブロックに挿入する。
3500 指定された書き込みデータを無防護データ・ブロックに挿入する。

Claims (13)

  1. コントローラ・プロセッサー・インターフェースとなり、コントローラ・プロセッサー・データバスを介して記憶装置の防火壁制御装置とプロセッサーを接続させ、データを記憶装置の防火壁制御装置と当該プロセッサーの間に転送する第一連結デバイスと、
    コントローラ・ストレージ・インターフェースとなり、コントローラ・ストレージ・デバイス・データバスを介して記憶装置の防火壁制御装置とストレージ・デバイスを接続させ、データを記憶装置の防火壁制御装置と当該ストレージ・デバイスの間に転送する第二連結デバイスと、
    コントローラ・プロセッサー・インターフェースとコントローラ・ストレージ・インターフェースとの間に取り付けられ、当該ストレージ・デバイスの分割及びデータアクセスを制御する信号処理デバイスと、
    からなるコンピュータシステムのストレージ・デバイスとプロセッサーの間に取り付けられ、当該ストレージ・デバイスのデータアクセスを制御する記憶装置の防火壁制御装置。
  2. 前記信号処理デバイスはミクロ・プロセッサーと接続しており、該ミクロ・プロセッサーはRAMとEPROMとそれぞれに接続することを特徴とする請求項1に記載の記憶装置の防火壁制御装置。
  3. 前記信号処理デバイスは前記ストレージ・デバイスの一部を読み取り専用ゾーンに分け、この読み取り専用ゾーンは防護データ保存用の複数の防護データ・ブロックを含むことを特徴とする請求項1に記載の記憶装置の防火壁制御装置。
  4. 前記信号処理デバイスは前記ストレージ・デバイスの一部を草稿ゾーンに分け、この草稿ゾーンは草稿データ保存用の複数の草稿データ・ブロックを含むことを特徴とする請求項1に記載の記憶装置の防火壁制御装置。
  5. 前記信号処理デバイスは前記ストレージ・デバイスの一部を無防護ゾーンに分け、この無防護ゾーンは無防護データ保存用の複数の無防護データ・ブロックを含むことを特徴とする請求項1に記載の記憶装置の防火壁制御装置。
  6. 前記信号処理デバイスは前記ストレージ・デバイスの一部を管理ゾーンに分け、この管理ゾーンは管理データ保存用の複数の管理データ・ブロックを含むことを特徴とする請求項1に記載の記憶装置の防火壁制御装置。
  7. 前記管理ゾーンに保存してある管理データは一つの位置表を含んでおり、この位置表には有効データを示すため、すべでの草稿データ・ブロックの位置を含むことを特徴とする請求項6に記載の記憶装置の防火壁制御装置。
  8. 前記管理ゾーンに保存してある管理データは一つの配置表を含んでおり、この配置表は各ブロックの配置設定データを保管することを特徴とする請求項6に記載の記憶装置の防火壁制御装置。
  9. 下記のステップ:
    ストレージ・デバイスの領域を仮分割するための配置設定プログラムを実行するステップと、
    ストレージ・デバイスにデータを挿入するための系統挿入プログラムを実行するステップと、
    分割された各記憶空間及び記憶空間の設定が異なることにより防護データへのアクセスは記憶装置の防火壁制御装置の制御で行われるデータ保護プログラムを実行するステップと、
    からなるストレージ・デバイス、プロセッサー及び記憶装置の防火壁制御装置を含むコンピュータシステムに適応する保護ストレージ・デバイスのデータ記録方法。
  10. 前記配置設定プログラムは、ストレージ・デバイス記憶装置の防火壁制御装置を配置設定状態に進入させるステップと、ストレージ・デバイスを読取専用ゾーンと、草稿ゾーンと、管理ゾーンと、無防護ゾーンに分割するステップを含むことを特徴とする請求項9に記載の保護ストレージ・デバイスのデータ記録方法。
  11. 前記系統挿入プログラムは、記憶装置の防火壁制御装置を配置設定状態に進入させるステップと、防護予定があるデータを読みより専用ゾーンに挿入するステップを含むことを特徴とする請求9に記載の保護ストレージ・デバイスのデータ記録方法。
  12. 前記系統挿入プログラムを実行することにより、系統管理者は、ストレージ・デバイスの分割、初期化及び読み取り専用ゾーンデータの更新、削除ができることを特徴とする請求項11に記載の保護ストレージ・デバイスのデータ記録方法。
  13. 前記データ保護ステップは
    A.記憶装置の防火壁制御装置を資料保護状態に進入させるステップ;
    B.草稿ブロックを初期化するステップ;
    C.位置表を初期化するステップ;
    D.データ読み取り或いは書込みコマンドを受け取るステップ;
    E.コマンド種類をチェックし、読み取りコマンドであればFステップへ進み、読み取りコマンドでなければIステップへ進むステップ;
    F.データ読み取りコマンドに指定されたデータ防護類型をチェックし、防護データであればGに進み、防護データでなければLに進むステップ;
    G.データ読み取りコマンドに指定されたデータが草稿ゾーンにあるかをチェックし、草稿ゾーンであればMに進み、草稿ゾーンでなければHに進むステップ;
    H.読み取り予定がある防護データをプロセッサーに転送するステップ;
    I.書込みデータコマンドがどのデータ防護種類に該当するかをチェックし、
    無防護データであればJステップに進み、無防護データでなければKに進むステップ;
    J.書込みデータを無防護データブロックに挿入するステップ;
    K.書込みデータを草稿データブロックに挿入するステップ;
    L.指定された無防護データを読み取り、プロセッサーに転送するステップ;
    M.草稿データブロックの読み取り予定があるデータをプロセッサーに挿入するステップ
    を含むことを特徴とする請求項9に記載の保護ストレージ・デバイスのデータ記録方法。
JP2002233376A 2002-08-09 2002-08-09 記憶装置の防火壁制御装置及び制御方法 Pending JP2004078265A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002233376A JP2004078265A (ja) 2002-08-09 2002-08-09 記憶装置の防火壁制御装置及び制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002233376A JP2004078265A (ja) 2002-08-09 2002-08-09 記憶装置の防火壁制御装置及び制御方法

Publications (1)

Publication Number Publication Date
JP2004078265A true JP2004078265A (ja) 2004-03-11

Family

ID=32018516

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002233376A Pending JP2004078265A (ja) 2002-08-09 2002-08-09 記憶装置の防火壁制御装置及び制御方法

Country Status (1)

Country Link
JP (1) JP2004078265A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005352535A (ja) * 2004-06-08 2005-12-22 Ark Joho Systems:Kk データを保護する方法
CN1855277B (zh) * 2005-01-07 2010-05-12 Lg电子株式会社 采用局部存储器从记录介质重放数据的方法和装置
US7783172B2 (en) 2004-12-03 2010-08-24 Lg Electronics Inc. Method and apparatus for reproducing data from recording medium using local storage
CN101582274B (zh) * 2008-05-12 2012-02-29 索尼株式会社 内容再现设备、状态栏显示方法
JP2012238331A (ja) * 2008-11-28 2012-12-06 Hung-Chien Chou データ保護方法とコンピュータ装置

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005352535A (ja) * 2004-06-08 2005-12-22 Ark Joho Systems:Kk データを保護する方法
US7783172B2 (en) 2004-12-03 2010-08-24 Lg Electronics Inc. Method and apparatus for reproducing data from recording medium using local storage
CN1855277B (zh) * 2005-01-07 2010-05-12 Lg电子株式会社 采用局部存储器从记录介质重放数据的方法和装置
CN101582274B (zh) * 2008-05-12 2012-02-29 索尼株式会社 内容再现设备、状态栏显示方法
JP2012238331A (ja) * 2008-11-28 2012-12-06 Hung-Chien Chou データ保護方法とコンピュータ装置

Similar Documents

Publication Publication Date Title
US7146525B2 (en) Method for backing up and recovering data in the hard disk of a computer
CN1795439B (zh) 计算机操作系统的安全系统与方法
CN100389408C (zh) 硬盘数据加密备份及还原方法
JP2006236193A (ja) 起動プログラム実行方法、デバイス、記憶媒体及びプログラム
US20040148478A1 (en) Method and apparatus for protecting data in computer system in the event of unauthorized data modification
JP5639628B2 (ja) ポータブルメモリデバイスを使用して保護されたメディアを配信する方法
JPH06259248A (ja) メモリカード
US7370165B2 (en) Apparatus and method for protecting data recording on a storage medium
CN101430700B (zh) 文件系统管理装置和方法以及存储装置
EP1078311A1 (en) Protected storage device for computer system
US20080140946A1 (en) Apparatus, system, and method for protecting hard disk data in multiple operating system environments
US20050193195A1 (en) Method and system for protecting data of storage unit
US20080201536A1 (en) Near instantaneous backup and restore of disc partitions
CN100514305C (zh) 实现操作系统安全控制的系统及方法
JP2004078265A (ja) 記憶装置の防火壁制御装置及び制御方法
US20090055683A1 (en) Method of restoring previous computer configuration
US7882353B2 (en) Method for protecting data in a hard disk
EP1692592B1 (en) Method to control the access in a flash memory and system for the implementation of such a method
JPH03105419A (ja) 固定ディスク装置
JPH0934799A (ja) データプロテクト方法
CA2454107C (en) Apparatus and method for protecting data recorded on a storage medium
JPS61134836A (ja) ソフトウエア使用制限方式
JP2006344104A (ja) ファイル管理プログラム、及びファイル管理装置
TW200825743A (en) Method for protecting data in a hard disk
JPH0635622A (ja) 外部記憶装置