阅读说明：本技术 控制对***存储设备的信息的访问的系统和方法 (The system and method for controlling the access to the information of peripheral storage device ) 是由 C.冯德利佩 于 2019-05-23 设计创作，主要内容包括：一种用于对自助服务机执行维护操作的外围数字存储设备,其具有允许到自助服务机的连接的接口,其包括：提供存储区域的存储设备,其中存储区域被划分成分区的集合,当连接到自助服务机时,所述分区的集合可被自助服务机解释为用于文件操作的独立存储区域；控制单元,其被配置成通过拒绝或授权自助服务机对分区的访问来控制对分区的访问,这取决于可从自助服务机接收的用于为可连接到接口的每个分配的自助服务机提供对单独分区的访问的身份信息。(A kind of Peripheral digital storage equipment for self-service machine execution attended operation, it has the interface for the connection for allowing self-service machine, it includes: providing the storage equipment of storage region, wherein storage region is divided into the set of subregion, when being connected to self-service machine, the set of the subregion can be construed to the separate storage region for file operation by self-service machine；Control unit, it is configured to control the access to subregion by refusing or authorizing self-service machine to the access of subregion, this is depended on can be received for providing the identity information of the access to independent subregion to may be connected to the self-service machine of each distribution of interface from self-service machine.)

控制对***存储设备的信息的访问的系统和方法

技术领域

在自助服务机（尤其是自动取款机（ATM））的领域中，必须执行由服务工程师/技术人员进行的定期维护以安装软件的升级或者修理和交换部件或者以提取和/或下载记录。ATM是电子无线电通信设备，其使金融机构的客户能够在任何时间并且在不需要与银行工作人员直接交互的情况下执行金融交易，诸如现金提款、存款、转移资金或获得账户信息。

在大多数现代ATM上，通过将塑料ATM卡（或一些其它可接受的支付卡）***ATM中来识别客户，其中认证是由客户输入必须与卡上的芯片（如果卡被如此配备）中或发行金融机构的数据库中存储的个人识别号（PIN）匹配的PIN。

在使用ATM的情况下，客户能够访问他们的银行存款或信用账户，以便进行多种金融交易，诸如现金提款、查询余额或信用移动电话。

非常经常，自助服务机基于具有连接***设备的接口的标准PC（个人计算机）。在自助服务机上运行的操作系统在自动连接时识别***设备，并且取决于设备的类型而开始不同的操作（例如，自动播放）。这些操作能够涉及设备驱动器的安装、将数据存储到***存储设备或从***存储设备加载数据、开始程序等。

非常经常，***设备通过如同USB（通用串行总线）、火线、RS232等串行连接来连接。本发明不限于以上列出的外部接口的类型。

现今的典型攻击场景是通过使用即插即用机制来损害自助服务机，例如，在***USB存储棒之后通过自动播放功能来执行代码。在自助服务环境中，对这种攻击的保护是越来越所需要的。然而问题是，完整的即插即用功能性不能够作为预防被阻挡，这是因为这也限制了现金分配机（ATM）的所需功能性。例如，如果未在白名单（例如，作为动态安全套件的部分维护的USB过滤器驱动器）上输入外部设备，则解决方案不允许在USB驱动器级别上的外部设备的识别和处理，申请人或US 2015/0206422 A1、US 2015/928400 A1的产品不是无条件地有效并且不表示完整的解决方案。

但是此方法还具有缺点，这是由于不被过滤器排除的USB驱动能够分发已经被服务工程师的任何其它ATM或服务膝上型计算机加载到存储棒上的恶意软件。

在此申请的上下文中的恶意软件是恶意的软件的缩写，其是用于指代多种形式的有害或侵入软件（包括计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件、恐吓性软件和其它恶意程序）的涵盖性术语（umbrella term）。其能够采取可执行代码、脚本、活动内容和其它软件的形式。恶意软件由其恶意意图定义，从而违背计算机用户的要求——并且因此不包括由于一些缺陷而引起无意伤害的软件。

USB驱动通常由服务工程师使用以对ATM上的软件进行认证或者将如同记录、列表等的数据传送到ATM以及从ATM传送。示例是为申请人的产品的Cryp-TA-Stick（加密技术人员认证），从而在执行（perfuming）维护时为每个服务工程师分配单独访问权限。

CrypTA（商标）的基础是与智能卡芯片（密码控制器）组合的强加密算法。此芯片存储必要的密钥，使得可能的攻击者能够被挡开，而不管攻击是直接地还是远程地尝试。

此设备控制对ATM的访问，并且还存储关于ATM的信息，如同事件、历史、文档等。此信息能够被存储在受保护的（加密的）或不受保护的区域中。

如果服务工程师授予访问权，则能够访问此存储区域。如果ATM被恶意软件感染，则恶意软件能够被分发到其它ATM。

由于USB存储设备的复杂功能性，因此简单地阻挡任何USB驱动对ATM的可服务性具有严重影响。

发明内容

本发明提供一种用于对自助服务机执行维护操作的***数字存储设备，其具有允许到自助服务机的连接的接口。接口可以是USB、火线或允许连接***存储设备的任何并行或串行接口，在该***存储设备上能够优选地将数据存储为文件。

存储设备包括提供存储区域的存储设备。存储区域是非易失性存储器，如同闪速存储器、磁性存储器或光学存储器。其它技术是可能的。

存储区域被划分成分区的集合，其在连接到自助服务机时可被自助服务机看作用于文件操作的独立存储区域。

此外，存储设备包括控制单元，该控制单元被配置成通过拒绝或授予自助服务机对分区的访问权来控制对分区的访问，这取决于可从自助服务机接收的用于为可连接到接口的每个分配的自助服务机提供对单独分区的访问的身份信息。

必须注意的是，控制单元优选地包括密码控制器，该密码控制器以安全的方式存储密码密钥并允许密码操作。

在此上下文中，能够在不同级别上实现分区。分区能够由控制单元在不同的逻辑和/或物理级别上定义，所述级别包括：存储单元级别、存储芯片级别、块级别、文件系统级别等。

分区能够基于物理存储单元，使得某一数量的单元定义分区。控制单元向操作系统提供若干独立盘。还可能的是，每个存储芯片或芯片的分组定义由控制单元控制的分区，并且芯片具有能够被逐芯片分区的一定量的存储单元。

而且，可能的是使用分区或盘切片。在存储区域、硬盘或其它次要存储器上对一个或多个区或分区的创建使得操作系统能够单独地管理每个区中的信息。该方法通常基于由硬盘分组逻辑或物理存储单元提供的块。盘将关于分区的位置和大小的信息存储在被称为分区表的区域中，操作系统在盘的任何其它部分之前读取所述分区表。然后，每个分区出现在操作系统中作为使用实际盘的部分的不同“逻辑”盘。当驱动的总存储区域被分成不同的片时对驱动分区。这些片被称为分区。一旦创建分区，则其能够被格式化，使得其能够在计算机上使用。

在另一种方法中，分区能够在文件系统级别上实现。控制单元以仅某些文件或目录被提供给相应的自助服务机的方式来控制和/或修改存储在存储器中的文件系统表。在此上下文中，文件或目录的分组形成（逻辑）分区。来自操作系统的对文件系统表的每次访问由控制单元拦截并在必要时被修改或拒绝。在使用本地表的情况下，在必要时控制单元能够将块重映射到其它存储区域。而且，控制单元能够更换或替换文件系统表和分配给自助服务机的可用存储区域。当***存储设备中时，仅授权对文件和目录的有限分组的访问。

利用文件表和文件系统的方法具有灵活分区的优点，从而避免了以下情况：在该情况中存储设备容易地用完空闲存储，这在某ATM需要大量数据被存储在拇指驱动上而其它ATM仅需要很少比特数据的情况下能够发生。

在替换方法中，存储设备的控制单元可将具有文件系统的分区呈现给具有固定大小的PC，但“在可见文件系统后面”使用附加逻辑以管理空闲存储池。在这种情况下，存储设备的控制单元固件在这些分区中具有关于所使用的文件系统的附加逻辑。

在此上下文中，控制单元能够使用公共存储池来提供不同的文件系统表，这意味着不同的块能够被分配给不同的自助服务机和不同的文件系统。可能的方法将是具有空闲块的共享空闲存储池，所述空闲块能够被分配给被分配给不同的自助服务机的不同的文件系统。这允许存储资源的最佳使用。

在这种情况下，仅分区的文件系统的所分配部分对存储棒上的总体分配有重要性。

使用此分区的系统的替换实施例将是简单地使用对自助服务机的操作系统未知的专有文件系统。在这种情况下，恶意软件不能在不知道和理解专有文件系统的情况下将自身转移到存储设备。

但是在这种方法中，想要利用存储设备上的空间的所有软件需要使用专有API来读取和写入数据。

另一个挑战是设计替换的文件系统，其对于存储设备的中间移除和其它种类的USB稳定性问题的情况是可靠的。对于Windows世界中常见的文件系统，Microsoft在过去几年中已经做出了大量的改进。

在优选实施例中，访问控制被配置成隐藏不被分配给自助服务机的分区的集合中的那些分区，并且示出分配给自助服务机的分区的集合中的那些分区。在优选实施例中，仅显示一个分区用于写入操作。还可能提供多于一个分区。控制单元识别自助服务机的身份，并且仅向自助服务机提供那些分区或分配给自助服务机的分区。

在可能的实施例中，取决于自助服务机的身份，也有可能存在不同的读写权限。读写授权由控制单元控制。

在可能的实施例中，存在分区的至少两个分组。一个分组定义包括读和/或写分区的分区的集合，从而允许由被分配给分区的自助服务机对分区的单独读和/或写文件操作，由此避免不同的自助服务机之间的数据交换；以及分区的第二分组包含至少一个只读分区。

在此附加分区上，证书和/或密码密钥被存储以用于确定***数字存储设备和/或自助服务机的身份。由自助服务机能够使用密钥来识别***数字存储设备。使用此方法，自助服务机还能够拒绝不存储正确密钥的数字存储设备。另一方面，密钥还能够用于由存储设备识别自助服务机。自助服务机能够读取密钥并基于能够由存储设备的控制器识别的密钥生成具有签名的数据。在签名被正确地生成的情况下，存储设备的控制器提供对分配给自助服务机的分区的访问。在替换实施例中，自助服务机从分区加载存储设备（例如，密码控制器）的公钥或者对其身份进行加密或密码签名，并尝试回写加密的身份。控制单元拦截写入操作并接收加密的身份，然后将加密的身份转移到密码控制器，该密码控制器解密或检查身份的签名并将身份与在其安全存储中存储的那些身份进行比较。如果比较成功，则控制单元检查内部表并且提供分配给自助服务机的分区。

第二分区仅用于只读目的而装配在自助服务机（ATM）处。此分区包含要被传送到自服务机的数据，如同用于认证的证书。每一个自服务机看到相同的分区图像。此分区应当仅在技术人员的笔记本处被写入。由于此分区是只读的，所以没有恶意软件能够从ATM被复制到此分区。

如果相关数据以其它方式被复制在单独分区中的可见分区中，则只读分区也能够被跳过。

而且，有可能对分区进行加密或解密。解密和/或加密过程能够由控制单元及其密码控制器执行。加密能够基于被分配给自助服务机和/或使用在由服务工程师输入PIN之后可访问的密码密钥的密码密钥。在对所分配的分区授予访问权的情况下，，分区被解密并示出给自助服务机。

在以上描述中，分区是只读的或者被隐藏为仅安全措施。

分区也可以以加密的方式存储。在市场上已经有许多加密驱动的示例，其主要使用AES 256。在CrypTA存储棒的情况下，能够从像PIN之类的认证数据中导出对数据进行解密的密钥。

本发明的另一部分是一种控制对上述***数字存储设备的访问的方法。

为了对自助服务机执行维护操作，执行以下步骤。

—将***数字存储设备***到自助服务机中；（由维护工程师完成）

—由控制单元确定自助服务机的身份；能够如上所述地确定身份。

—由控制单元向自助服务机仅提供匹配身份的那些分区；

—由自助服务机装配所提供的分区并对分区执行文件写入或读取操作。

在另一实施例中，本发明包括以下步骤

—从自助服务机移除***数字存储设备。此步骤在自助服务机已经在数字存储设备上读取和/或写入数据之后执行。服务工程师已经手动地移除***数字存储设备。在那之后，存储设备上的信息必须被转移

—将***数字存储设备***到个人计算机中；同样地此步骤由服务工程师执行。

—以非标准方式访问个人计算机中的***数字存储设备，从而避免恶意软件的自动安装或执行；

—通过网络将数据从个人计算机直接转移到被保护免受恶意软件的服务器。

上述技术防止将恶意软件从一个ATM散布到另一个ATM。

为了防止技术人员的笔记本用于散布恶意软件，本发明可以利用以下对策：

—笔记本配备有现有技术的防病毒和/或防入侵软件的状况。

—笔记本OS和附加软件被附加地加固。

—笔记本上的软件不将分区装配为操作系统已知文件系统分区，而是以专有的方式访问它们，使得自动启动任何恶意软件的标准机制不起作用。

—笔记本不对存储棒上的数据自身进行评估，而是简单地将分区的数据转移到服务器以及从服务器转移，该服务器被假定为对恶意软件免疫。这是一种E2E解决方案。

附图说明

图1示出了***数字存储设备，其具有接口、控制单元、密码控制器、具有存储芯片的存储区域以及跨越经过若干存储芯片的分区，

图2示出了***数字存储设备，其具有接口、控制单元、密码控制器、具有存储芯片的存储区域以及基于物理存储芯片的分区，

图3示出了具有分区表的存储区域、由分区中的分区表和文件系统表引用的分区，

图4示出了存储区域，其具有分区表、一个分区和分区内的若干文件系统表，

图5示出了证书从CrypTA数据库到ATM的方式的示例。

具体实施方式

图1示出了***数字存储设备1，其能够具有标准USB存储棒的尺寸。***数字存储设备包括接口2，该接口2延伸出壳体以连接到自助服务机。接口能够是能够***自助服务机的USB插座中的插头。其它接口也是可能的。接口连接到控制单元3。在USB接口的情况下，控制单元3提供USB标准通信。在优选实施例中，控制单元是具有附加功能性的USB控制器。密码处理器4被设置在控制单元3内，该密码处理器4加密数据并且将加密密钥和签名存储在其本地存储内。此密码控制器向控制单元提供附加功能性。密码控制器允许对由控制单元接收的数据进行加密，并且所述数据然后被存储在存储区域5中。而且，密码控制器允许检验签名并解密信息。控制单元3取决于通过接口接收的信息直接与存储器或与密码控制器通信。附加地，控制单元阻止对未被认证的自助服务机的存储区域的访问。通过经过接口向控制单元提供身份信息来执行认证。控制单元将身份信息转移到密码控制器，该密码控制器使用各种技术检验信息。

存储区域5包括若干存储芯片6，其可以是闪速存储芯片。能够使用不同的存储技术。存储区域能够被划分成若干个分区8a-8d。图1示出了逻辑分区，其中每个分区跨越经过若干个存储芯片。比较下的图2示出了基于存储芯片的物理分区7a-7c。一个分区能够包括一个或若干个芯片。在此情况下，存储设备1可能管理若干独立的物理盘或卷。在连接到自助服务机的情况下，若干个独立的盘是可识别的。

然而，图1中的配置向具有分区表的自助服务机提供仅一个单个物理盘，该分区表引用将存储区域划分成若干逻辑分区的若干逻辑分区。如上所述，取决于配置，如果机器自身的身份已经被批准，则控制单元向自助服务机提供仅那些分区（物理的或逻辑的）。

图3示出了被划分成若干逻辑分区的存储区域6。每个分区8a-8c由通常存储在存储区域6的开始处的分区表9引用。当从存储设备读取信息时，通常首先加载分区表。在本发明的情况下，在向自助服务机转移之前，由控制单元修改分区表以仅包含应当由自助服务机可访问的那些分区。此外，由控制单元阻挡对不被允许由自助服务机访问的存储区域的所有写操作。使用该方法，防止对整个存储区域授予不受控制的访问权。分区表9引用分区，并且尤其是通常也存储在分区的开始处的文件系统表10a-10c。文件系统表定义了存储在每个分区中的文件系统的结构。

图4示出了具有一个逻辑分区但是具有若干文件系统表11a-11d的又一方法。每个文件系统表管理代表文件和文件夹结构的文件系统的块。取决于自助服务机的身份，控制单元提供管理分配给自助服务机的一个文件系统的文件系统表之一。而且，在这种情况下，由控制单元仔细检查写入操作，并且仅授权尝试访问所分配的文件系统的那些操作。

必须注意的是，一个或多个分区能够是只读的，并且一个或多个分区能够由自助服务机可访问。

图5示出了证书从CrypTA数据库到ATM的方式的示例。在CrypTA数据库中，存储关于所有注册的服务技术人员的信息。CryptTA数据库的位置在安全DN计算中心中的服务器上。该数据库用于存储服务技术人员与笔记本、CryptTA USB电子狗（也称为***数字存储设备）和/或ATM的关系。在控制对ATM的访问时，这些信息的任何组合都是可能的。基于所存储的信息，证书被授权、释放、撤销或拒绝。CrypTA服务器基于数据库中的信息和通过代理、技术人员笔记本、CryptTA USB电子狗和ATM接收的信息来执行此操作。反向代理具有控制从因特网到DN计算中心中的CrypTA服务器的访问的功能。CrypTA服务器用于生成用于CrypTA电子狗的更新数据，尤其是用于获得对ATM的访问的证书。能够在通过互联网反向代理连接到技术人员笔记本之后更新CrypTA USB电子狗。也能够将存储在CryptTA电子狗上的数据转移到CrypTA服务器。在使用称为CryptTA客户端的软件更新CryptTA USB电子狗之后，其经由笔记本建立到CrypTA服务器的连接，在ATM中使用电子狗。在ATM中，电子狗被用于认证和数据传送，并且允许对ATM的访问。像密钥一样使用电子狗。取决于数据库和更新信息，电子狗授权访问ATM的不同级别和部件。