WO2011009370A1 - 存储设备及访问控制系统、sd卡及其数据访问控制方法 - Google Patents

Description

存储设备及访问控制系统、 SD卡及其数据访问控制方法 技术领域

本发明属于智能卡技术领域， 尤其涉及一种存储设备及其访问控制系统、 SD卡及其数据访问控制方法。 背景技术

SD卡（ Secure Digital Memory Card ) 中文翻译为安全数码卡， 是一种基于 半导体快闪记忆器的新一代记忆设备， 它被广泛地应用于便携式装置， 例如数 码相机、 个人数码助理 (PDA)和多媒体播放器等。 SD卡由曰本松下、 东芝及美 国 SanDisk公司共同开发研制， 拥有高记忆容量、 快速数据传输率、 极大的移 动灵活性以及很好的安全性。

SD卡的结构能保证数字文件传送的安全性，也很容易重新格式化， 所以有 着广泛的应用领域， 音乐、 电影、 新闻等多媒体文件都可以方便地保存到 SD 卡中。

现有的存储设备， 例如 SD卡通常包括： 接口模块、 控制模块和存储模块， 现有的 SD卡中数据的访问方法为，当所述的 SD卡通过接口模块与外部设备建 立连接后， 外部设备即可直接访问 SD卡中存储的数据。 所以任何人只要具有 兼容 SD卡的设备， 即可直接访问 SD卡中存储的数据，不能根据用户的需要扩 展执行一些应用程序， 使得 SD卡中的存储的数据毫无机密性可言。 发明内容

本发明的目的在于提供一种 SD卡，旨在解决现有的 SD卡不能以具有安全 防护性的方式来运行所安装的应用程序的问题。 本发明是这样实现的， 一种 SD卡， 包括： 接口模块， 所述 SD卡还包括： 存储模块以及分别与所述存储模块和接口模块连接的控制模块， 所述存储 模块包括：

公共区域存储单元， 用于存储不需要保密的数据；

私有区域存储单元， 用于存储需要保密的数据；

所述控制模块包括：

SD卡直接访问单元，用于控制外部设备对所述公共区域存储单元中存储的 数据的访问；

存储隔离机制固件单元， 用于阻止外部设备对所述私有区域存储单元的非 法访问；

虚拟机操作系统单元， 用于根据用户的需要安装一些应用程序， 并结合所 述存储隔离机制固件以安全防护的方式运行所述的应用程序。

本发明的另一目的在于提供一种如上所述的 SD卡的数据访问控制方法， 所述方法包括下述步骤： 当控制模块接收到外部设备通过安装的应用程序访问 存储模块私有区域存储单元中的数据的指令后， 虚拟机操作系统单元结合存储 隔离机制固件单元对所述指令进行鉴权， 鉴权通过后， 允许外部设备访问所述 存储模块的私有区域存储单元， 否则， 拒绝外部设备访问所述存储模块的私有 区域存储单元。

此外， 本发明还提供了一种存储设备， 旨在解决现有的存储设备不能以具 所述存储设备， 包括接口模块， 所述存储设备还包括：

存储模块以及分别与所述存储模块和接口模块连接的控制模块， 所述存储 模块包括：

公共区域存储单元， 用于存储不需要保密的数据；

私有区域存储单元， 用于存储需要保密的数据；

所述控制模块包括：

直接访问单元， 用于控制外部设备对所述公用区域存储单元中存储的数据 的访问；

存储隔离机制固件单元， 用于阻止外部设备对所述私有区域存储单元的非 法访问；

虚拟机操作系统单元， 用于根据用户的需要安装一些应用程序， 并结合所 述存储隔离机制固件单元以安全防护的方式执行所述应用程序。

此外， 本发明还提供了一种存储设备的访问控制系统， 旨在解决现有的存 所述存储设备的访问控制系统包括存储设备、 主机， 所述存储设备包括接 口模块， 还包括：

存储模块以及分别与所述存储模块和接口模块连接的控制模块， 所述存储 模块包括：

公共区域存储单元， 用于存储不需要保密的数据；

私有区域存储单元， 用于存储需要保密的数据；

所述控制模块包括：

直接访问单元， 用于控制外部设备对所述公共区域存储单元中存储的数据 的访问；

存储隔离机制固件单元， 用于组织外部设备对所述私有区域存储单元的非 法访问；

虚拟机操作系统单元， 用于根据用户的需要安装一些应用程序， 并结合所 述存储隔离机制固件单元以安全防护的方式执行所述应用程序；

所述主机与接口模块相连， 用于显示访问存储设备的两个工作界面： 用于 访问公共区域存储单元中的数据的直接访问界面和用于访问私有区域存储单元 中的数据的虚拟机操作系统界面；

所述主机还用于通过虚拟机操作系统界面向存储设备发送访问所述私有区 域存储单元中的数据的指令， 虚拟机操作系统单元和存储隔离机制固件单元用 于对所述指令进行鉴权， 鉴权通过后， 允许主机访问所述存储模块的私有区域 存储单元， 否则， 拒绝主机访问所述存储模块的私有区域存储单元。 在本发明中， 将存储模块划分为公共区域存储单元和私有区域存储单元， 存储隔离机制固件单元阻止外部设备对私有区域存储单元的非法访问， 通过鉴 权之后才可以访问， 保证了 SD传统大容量数据存储访问应用的便捷性， 又能 够根据用户的需要安装一些应用程序，以安全防护的方式运行所述的应用程序， 存储和访问数据。 附图说明

图 1是本发明实施例提供的存储设备的结构示意图；

图 2是本发明另一实施例提供的存储设备的结构示意图；

图 3是本发明提供的 SD卡的数据访问控制方法的流程框图；

图 4是本发明实施例提供的存储设备的访问控制系统的结构示意图。 具体实施方式

为了使本发明的目的、 技术方案及优点更加清楚明白， 以下结合附图及实 施例， 对本发明进行进一步详细说明。 应当理解， 此处所描述的具体实施例仅 用以解释本发明， 并不用于限定本发明。

在本发明实施例中， 将存储模块划分为公共区域存储单元和私有区域存储 单元， 存储隔离机制固件单元阻止外部设备对私有区域存储单元的非法访问， 通过鉴权之后才可以访问，保证了 SD传统大容量数据存储访问应用的便捷性， 又能够根据用户的需要安装一些应用程序， 以安全防护的方式运行所述的应用 程序， 存储和访问数据。

图 1为本发明实施例提供的存储设备的结构， 为了便于说明， 仅示出了本 发明实施例相关的部分。 该存储设备包括： 控制模块 12、 分别与控制模块 12 电气连接的接口模块 11、 存储模块 13。 其中， 存储模块 13为 Nand Flash, 用 于提供数据存储空间， 包括： 公共区域存储单元 131和私有区域存储单元 132, 公共区域存储单元 131存储的数据为不需要保密的数据， 任何兼容存储设备的 外部设备均可自由访问公共区域存储单元 131中存储的数据； 私有区域存储单 元 132存储的数据为需要保密的数据， 外部设备只有鉴权通过之后才可以访问 私有区域存储单元 132中存储的数据。

控制模块 12控制外部设备对存储模块 13的访问，控制模块 12包括直接访 问单元 121、虚拟机操作系统单元 122和存储隔离机制固件单元 123。直接访问 单元 121对应外部设备上显示的直接访问界面， 当外部设备访问公共区域存储 单元 131中存储的数据时， 能够通过外部设备上显示的直接访问界面触发直接 访问单元 121使得用户可以自由访问公共区域存储单元 131中存储的数据， 虚 拟机操作系统单元 122对应外部设备上显示的虚拟机操作系统界面， 存储隔离 机制固件单元 123阻止外部设备对私有区域存储单元 132的非法访问， 虚拟机 操作系统单元 122可以结合存储隔离机制固件单元 123以安全防护的方式， 在 通过鉴权后， 用户才可访问存储设备中存储模块 13 的私有区域存储单元 132 中存储的数据。 其中， 接口模块 11提供外部设备与 SD卡的连接。

作为本发明的一个优选实施例， 如图 2所示， 存储设备还可以包括与所述 控制模块 12电气连接的 RF通讯模块 14, 所述 RF通讯模块 14包括与所述控 制模块 12电气连接的 RF芯片 141和与所述 RF芯片 141电气连接的 RF天线 142, 所述的 RF通讯模块 14在所述控制模块 12的控制下， 用于处理射频协议 以及建立和外部非接触设备的无线连接。 所述 RF通讯模块 14是 2.4G RF通讯 模块或者是 13.56M RF通讯模块。

作为本发明的一个优选实施例， 存储设备 10是 SD卡。 图 3是本发明实施例提供的 SD卡的数据访问控制方法， 详述如下： 在步骤 201中， 当控制模块接收到外部设备通过安装的应用程序访问存储 模块私有区域存储单元中的数据的指令后， 虚拟机操作系统单元结合存储隔离 机制固件单元对所述指令进行鉴权， 鉴权通过后， 允许外部设备访问所述存储 模块的私有区域存储单元， 否则， 拒绝外部设备访问所述存储模块的私有区域 存储单元。

作为本发明的一个实施例， 当 SD卡通过接口模块连接至外部设备时， 会 在外部设备上显示访问 SD卡的两个工作界面： SD直接访问界面和虚拟机操作 系统界面。 外部设备可以通过 SD直接访问界面自由访问存储模块中公共区域 存储单元中存储的数据， 在虚拟机操作系统单元， 用户能够根据自己的需要安 装一些应用程序， 所述应用程序对应的操作区域为 SD卡中存储模块的私有区 域存储单元， 当外部设备通过安装在虚拟机操作系统单元的应用程序访问存储 模块中的私有区域存储单元时， 先要经过存储隔离机制固件单元的鉴权操作， 鉴权通过才能够访问私有区域存储单元，鉴权不通过， 则拒绝外部设备的访问。

具体的过程是： SD卡的控制模块判断用户通过外部设备输入的访问指令， 若用户通过 SD访问界面访问 SD卡，则控制模块的 SD卡直接访问单元控制外 部设备可以直接访问存储模块的公共区域存储单元中存储的不需要保密的数 据， 若用户通过外部设备上显示的虚拟机操作系统界面上安装的应用程序访问 SD卡，则为访问存储模块的私有区域存储单元中存储的需要保密的数据，这时， 控制模块的虚拟机操作系统单元可以结合存储隔离机制固件单元以安全防护的 方式运行所述应用程序， 在通过鉴权后， 用户才可访问 SD卡中存储模块的私 有区域存储单元中存储的数据。

其中，在外部设备访问 SD卡之前，首先将 SD卡的存储模块划分成公共区 域存储单元和私有区域存储单元， 其中， 公共区域存储单元存储的数据为不需 要保密的数据， 任何兼容 SD卡的外部设备均可自由访问公共区域存储单元中 存储的数据； 私有区域存储单元存储的数据为需要保密的数据， 通过隔离机制 固件单元外部设备阻止外部设备对私有区域存储单元的非法访问， 只有鉴权通 在本实施例中， SD卡的虚拟机操作系统单元安装的应用程序在一个具有隔 离性的环境下执行， 所以应用程序对 SD卡中私有区域存储单元中的数据的写 入、 读取、 修改受到权限机制的控制保护， 不论使用何种读卡设备、 操作系统、 应用程序都不能跨越权限去存取不属于自己的卡片内的数据， 所以所述 SD卡 存储模块的私有区域存储单元等于具有应用程序的防火墙。 因此所述的 SD卡 能够支持加密解密应用， 具有相当于 USBkey的作用。

在步骤 202中， 当接收到外部非接触设备的连接指令时， 通过 RF通讯模 块与外部非接触设备建立无线通信。

作为本发明的一个实施例， 当接收到外部非接触设备的连接指令时， SD卡 可以通过其 RF通讯模块与外部非接触设备进行无线通信，实现非接触式应用。 具体情况如上所述， 在此不再赘述。 图 4是本发明实施例提供的存储设备的访问控制系统， 该系统包括存储设 备 10和主机 20, 其中， 存储设备 10包括控制模块 12、 分别与控制模块 12电 气连接的接口模块 11、 存储模块 13。 主机 20可以是外部设备， 包括计算机、 个人数字助理、 移动通信终端、 数码相机等。 控制模块 12、 接口模块 11及存 储模块 13的工作过程都如上所述， 在此则不再赘述。

在一个实施例中， 如图 2所示， 存储设备 10还包括上述 RF通讯模块 14, 用于处理射频协议以及建立和外部非接触设备的无线连接。 RF通讯模块 14的 工作过程也如上所述， 在此也不再赘述。

在本发明实施例中， 将存储模块划分为公共区域存储单元和私有区域存储 单元， 存储隔离机制固件单元阻止外部设备对私有区域存储单元的非法访问， 通过鉴权之后才可以访问，保证了 SD传统大容量数据存储访问应用的便捷性， 又能够根据用户的需要安装一些应用程序， 以安全防护的方式运行所述的应用 程序， 存储和访问数据； 在 SD卡的虚拟机操作系统单元可以根据用户需要安 装一些应用程序， 方便了用户的使用； 在 SD卡中添加 RF通讯模块， 使 SD卡 以无线的方式与外部非接触设备建立连接， 扩大了 SD卡的适用范围。

以上所述仅为本发明的较佳实施例而已， 并不用以限制本发明， 凡在本发 明的精神和原则之内所作的任何修改、 等同替换和改进等， 均应包含在本发明 的保护范围之内。

Claims

权利要求书

1、 一种 SD卡， 包括： 接口模块， 其特征在于， 所述 SD卡还包括： 存储模块以及分别与所述存储模块和接口模块连接的控制模块， 所述存储 模块包括：

公共区域存储单元， 用于存储不需要保密的数据；

私有区域存储单元， 用于存储需要保密的数据；

所述控制模块包括：

SD卡直接访问单元，用于控制外部设备对所述公共区域存储单元中存储的 数据的访问；

存储隔离机制固件单元， 用于阻止外部设备对所述私有区域存储单元的非 法访问；

虚拟机操作系统单元， 用于根据用户的需要安装一些应用程序， 并结合所 述存储隔离机制固件单元以安全防护的方式执行所述应用程序。

2、如权利要求 1所述的 SD卡， 其特征在于， 所述存储模块是 Nand Flash。

3、 如权利要求 1所述的 SD卡， 其特征在于， 所述 SD卡还包括： 与所述控制模块连接的 RF通讯模块， 用于在所述控制模块的控制下处理 射频协议以及与外部非接触设备建立无线通信。

4、如权利要求 3所述的 SD卡，其特征在于， 所述 RF通讯模块是 2.4G RF 通讯模块或者是 13.56M RF通讯模块。

5、 如权利要求 4所述的 SD卡， 其特征在于， 所述 RF 通讯模块包括： 与所述控制模块连接的 RF芯片， 用于处理射频协议；

与所述 RF芯片连接的 RF天线， 用于与外部非接触设备建立无线通信。

6、 一种如权利要求 1至 5任一项所述的 SD卡的数据访问控制方法， 其特 征在于， 所述方法包括下述步骤：

当控制模块接收到外部设备通过安装的应用程序访问存储模块的私有区域 存储单元中的数据的指令后， 虚拟机操作系统单元结合存储隔离机制固件单元 对所述指令进行鉴权， 鉴权通过后， 允许外部设备访问所述存储模块的私有区 域存储单元， 否则， 拒绝外部设备访问所述存储模块的私有区域存储单元。

7、 如权利要求 6所述的方法， 其特征在于， 所述方法还包括下述步骤： 预先将 SD卡的存储模块划分为公共区域存储单元和私有区域存储单元； 通过隔离机制固件单元阻止外部设备对私有区域存储单元的非法访问。

8、 如权利要求 6所述的方法， 其特征在于， 所述方法还包括下述步骤： 根据用户需要， 预先在虚拟机操作系统单元安装所述应用程序， 所述应用 程序对应的操作区域为所述存储模块的私有区域存储单元。

9、 如权利要求 6所述的方法， 其特征在于， 所述方法还包括下述步骤： 当接收到外部设备请求访问公共区域存储单元的指令时， 控制模块的 SD 卡直接访问单元控制外部设备直接访问存储模块的公共区域存储单元中存储的 不需要保密的数据。

10、 如权利要求 6所述的方法， 其特征在于， 所述方法还包括下述步骤： 当接收到外部非接触设备的连接指令时， 通过 RF 通讯模块与外部非接触 设备建立无线通信。

11、 一种存储设备， 包括接口模块， 其特征在于， 所述存储设备还包括： 存储模块以及分别与所述存储模块和接口模块连接的控制模块， 所述存储 模块包括：

公共区域存储单元， 用于存储不需要保密的数据；

私有区域存储单元， 用于存储需要保密的数据；

所述控制模块包括：

直接访问单元， 用于控制外部设备对所述公用区域存储单元中存储的数据 的访问；

存储隔离机制固件单元， 用于阻止外部设备对所述私有区域存储单元的非 法访问；

虚拟机操作系统单元， 用于根据用户的需要安装一些应用程序， 并结合所 述存储隔离机制固件单元以安全防护的方式执行所述应用程序。

12、 如权利要求 11所述的存储设备， 其特征在于， 所述存储设备还包括： 与所述控制模块连接的 RF通讯模块， 用于在所述控制模块的控制下处理 射频协议以及与外部非接触设备建立无线通信。

13、如权利要求 12所述的存储设备，其特征在于，所述 RF通讯模块是 2.4G RF通讯模块或者是 13.56M RF通讯模块。

14、如权利要求 13所述的存储设备，其特征在于，所述 RF通讯模块包括： 与所述控制模块连接的 RF芯片， 用于处理射频协议；

与所述 RF芯片连接的 RF天线， 用于与外部非接触设备建立无线通信。

15、 一种存储设备的访问控制系统， 包括存储设备、 主机， 所述存储设备 包括接口模块， 其特征在于， 所述存储设备还包括：

存储模块以及分别与所述存储模块和接口模块连接的控制模块， 所述存储 模块包括：

公共区域存储单元， 用于存储不需要保密的数据；

私有区域存储单元， 用于存储需要保密的数据；

所述控制模块包括：

直接访问单元， 用于控制外部设备对所述公共区域存储单元中存储的数据 的访问；

存储隔离机制固件单元， 用于组织外部设备对所述私有区域存储单元的非 法访问；

虚拟机操作系统单元， 用于根据用户的需要安装一些应用程序， 并结合所 述存储隔离机制固件单元以安全防护的方式执行所述应用程序；

所述主机与接口模块相连， 用于显示访问存储设备的两个工作界面： 用于 访问公共区域存储单元中的数据的直接访问界面和用于访问私有区域存储单元 中的数据的虚拟机操作系统界面；

所述主机还用于通过虚拟机操作系统界面向存储设备发送访问所述私有区 域存储单元中的数据的指令， 虚拟机操作系统单元和存储隔离机制固件单元用 于对所述指令进行鉴权， 鉴权通过后， 允许主机访问所述存储模块的私有区域 存储单元， 否则， 拒绝主机访问所述存储模块的私有区域存储单元。

16、 如权利要求 15所述的存储设备的访问控制系统， 其特征在于， 所述存 储设备还包括：

与所述控制模块连接的 RF通讯模块， 用于在所述控制模块的控制下处理 射频协议以及与外部非接触设备建立无线通信。

17、 如权利要求 16 所述的存储设备的访问控制系统， 其特征在于， 所述 RF通讯模块是 2.4G RF通讯模块或者是 13.56M RF通讯模块。

18、 如权利要求 17 所述的存储设备的访问控制系统， 其特征在于， 所述 RF通讯模块包括：

与所述控制模块连接的 RF芯片， 用于处理射频协议；

与所述 RF芯片连接的 RF天线， 用于与外部非接触设备建立无线通信。