KR20180107775A - Data security system using encryption - Google Patents

Data security system using encryption Download PDF

Info

Publication number
KR20180107775A
KR20180107775A KR1020187022506A KR20187022506A KR20180107775A KR 20180107775 A KR20180107775 A KR 20180107775A KR 1020187022506 A KR1020187022506 A KR 1020187022506A KR 20187022506 A KR20187022506 A KR 20187022506A KR 20180107775 A KR20180107775 A KR 20180107775A
Authority
KR
South Korea
Prior art keywords
data security
security system
mobile device
server
password
Prior art date
Application number
KR1020187022506A
Other languages
Korean (ko)
Other versions
KR102054711B1 (en
Inventor
레브 엠. 볼로틴
알렉스 레멜레브
마크 싱어
Original Assignee
클레브엑스 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/987,749 external-priority patent/US10181055B2/en
Application filed by 클레브엑스 엘엘씨 filed Critical 클레브엑스 엘엘씨
Publication of KR20180107775A publication Critical patent/KR20180107775A/en
Application granted granted Critical
Publication of KR102054711B1 publication Critical patent/KR102054711B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

데이터 보안 시스템 및 그 동작 방법은 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함한다.A data security system and method of operation thereof includes a data security transceiver or receiver; An authentication subsystem operatively coupled to the data security transceiver or receiver; And a storage subsystem coupled to the authentication subsystem.

Figure P1020187022506
Figure P1020187022506

Description

암호화를 이용한 데이터 보안 시스템Data security system using encryption

관련 출원(들)에 대한 상호 참조Cross-reference to related application (s)

본 출원은 그 주제가 본 출원에 참조되어 포함된 2007년 9월 27일자로 출원된 미국 특허 가출원 제60/975,814호의 이익을 주장하는, 2008년 9월 26일자로 출원된 국제 출원 제PCT/US2008/077766호의 국내 단계인, 2010년 3월 29일자로 출원된 동시 계류중인 미국 특허 출원 제12/680,742호의 일부 계속 출원인, 2016년 1월 4일자로 출원된 미국 특허 출원 제14/987,749호의 우선권을 주장한다.This application claims the benefit of U.S. Provisional Patent Application No. 60 / 975,814, filed on September 27, 2007, the subject of which is incorporated herein by reference. This application is a continuation-in-part of PCT / US2008 / Priority is claimed on co-pending U.S. Provisional Patent Application No. 12 / 680,742, filed March 29, 2010, the continuation-in-part of U.S. Patent Application No. 07 / 077,780, filed on January 4, 2016, do.

본 출원은 Lev M. Bolotin 및 Simon B. Johnson에 의해 "DATA SECURITY SYSTEM WITH ENCRYPTION(암호화를 이용한 데이터 보안 시스템)"이라는 명칭으로 동시에 출원된 미국 특허 출원과 관련된 주제를 포함한다. 관련 출원은 ClevX, LLC에 양도되고 대리인 문서 관리 번호 502-018P-PCT-US.C1로 식별된다. 관련 출원의 주제는 본 출원에 참조되어 포함된다.This application is a continuation of US patent application entitled " DATA SECURITY SYSTEM WITH ENCRYPTION "by Lev M. Bolotin and Simon B. Johnson. The related application is assigned to ClevX, LLC and is identified by attorney docket number 502-018P-PCT-US.C1. The subject matter of which is incorporated herein by reference.

기술 분야Technical field

본 발명은 일반적으로 전자 디바이스들에 관한 것으로, 보다 상세하게는 메모리 디바이스들에 관한 것이다.The present invention relates generally to electronic devices, and more particularly to memory devices.

보안은 컴퓨터 사용의 거의 모든 측면에서 중요한 문제이다. 컴퓨터들에 연결된 하드 디스크 드라이브들과 같은 저장 매체에는 데이터 도난에 취약한 귀중한 정보가 들어있다. 개인, 기업 및 정부 보안 정보를 보호하는데 많은 돈과 노력이 적용되고 있다.Security is an important issue in almost every aspect of computer use. Storage media such as hard disk drives connected to computers contain valuable information that is vulnerable to data theft. A lot of money and effort is being put into protecting personal, corporate and government security information.

휴대용 메모리 저장 디바이스들은 더 작아지고, 더 쉽게 손실되고, 더 많이 유비쿼터스화되고, 더 저렴해지고, 메모리 용량이 더 커짐에 따라, 이들은 특이한 보안 문제들을 제기하게 되었다. 현재 범용 직렬 버스 플래시 및 마이크로 드라이브들, 셀폰들, 캠코더들, 디지털 카메라들, iPOD들, MP3/4 플레이어들, 스마트 폰들, 팜 및 랩톱 컴퓨터들, 게임 장비, 인증자들, (메모리를 포함하는) 토큰들 등 - 대개 대용량 저장 디바이스(mass storage device)(MSD)임 - 과 같은 휴대용 메모리 저장 디바이스들에 방대한 양의 정보를 부정하게 다운로드하는 것이 가능하다.As portable memory storage devices have become smaller, easier to lose, more ubiquitous, cheaper, and larger in memory capacity, they have introduced unique security problems. It is currently being used in a wide range of applications including general purpose serial bus flash and micro drives, cell phones, camcorders, digital cameras, iPODs, MP3 / 4 players, smart phones, palm and laptop computers, ) Tokens, and the like - usually a mass storage device (MSD).

보다 구체적으로, 정보를 컴퓨터로부터 쉽게 다운로드하여 가져가 버릴 수 있는 백업, 전송, 중간 저장 및 일차 저장을 위해 수백만 개의 MSD가 사용되고 있다. 모든 MSD의 주 목적은 특정 컴퓨터가 아닌 특정 소유자에게 결부된 데이터 및 정보인 "휴대용 콘텐츠(portable content)"를 저장하고 검색하는 것이다.More specifically, millions of MSDs are being used for backup, transmission, intermediate storage, and primary storage, where information can be easily downloaded from a computer and taken away. The main purpose of all MSDs is to store and retrieve "portable content" data and information associated with a specific owner, not a specific computer.

저장소 보안을 제공하는 가장 일반적인 수단은 컴퓨터에 입력되는 패스워드로 사용자를 인증하는 것이다. 패스워드는 MSD 저장 값에 대해 유효성이 입증된다. 일치함이 발생하면 드라이브는 열릴 것이다. 또는 패스워드 자체가 암호화 키로서 사용되어 MSD에 저장된 데이터를 암호화/암호해독 한다.The most common means of providing repository security is to authenticate the user with a password that is entered into the computer. The password is validated against the MSD stored value. If a match occurs, the drive will open. Or the password itself is used as the encryption key to encrypt / decrypt the data stored in the MSD.

실시간 암호화(on-the-fly encryption)를 지원하는 드라이브들의 경우, 암호화 키는 종종 암호화된 형태로 미디어 상에 저장된다. 암호화 키는 미디어 상에 저장되기 때문에, 표준 인터페이스를 우회하여 미디어를 직접 읽고자 하는 사람들에게 쉽게 이용 가능해진다. 따라서, 패스워드는 암호화 키를 암호화하는 키로 사용된다.For drives that support on-the-fly encryption, encryption keys are often stored on the media in encrypted form. Because the encryption key is stored on the media, it is readily available to those who want to bypass the standard interface and read the media directly. Therefore, the password is used as a key for encrypting the encryption key.

자체 인증 드라이브들의 경우, 이들의 인증 서브시스템은 보안을 유지할 책임을 진다. 이것이 연결되는 호스트 컴퓨터에 대한 종속성은 없다. 따라서, 패스워드는 MSD를 잠금해제(unlock)하기 위해 호스트로부터 전송될 수 없다(또는 전송할 필요가 없다). 사실, 암호화 키는 더 이상 미디어 상에 저장될 필요가 없다. 인증 서브시스템은 암호화 키를 관리하는 수단이 된다.For self-certified drives, their authentication subsystem is responsible for maintaining security. There is no dependency on the host computer to which it is connected. Thus, the password can not (or need to be) transmitted from the host to unlock the MSD. In fact, the encryption key no longer needs to be stored on the media. The authentication subsystem serves as means for managing the encryption key.

따라서, 보안을 개선할 필요성이 여전히 남아있다. 시장에서 의미 있는 제품 차별화에 대한 소비자 기대들이 커지고 기회들이 줄어드는 것과 함께 끊임없이 증가하는 상업적 경쟁 압력에 비추어 볼 때, 이러한 문제에 대한 해답을 찾는 것이 중요하다. 또한 비용을 줄이고, 효율성 및 성능을 개선하고, 경쟁 압력에 대처할 필요는 이러한 문제들에 대한 해답을 찾기 위한 절실한 필요성에 시급함을 훨씬 더 크게 가중시킨다.Therefore, there is still a need to improve security. It is important to find answers to these questions in light of the ever-increasing commercial competitive pressures as well as consumer expectations for meaningful product differentiation in the marketplace, reduced opportunities. The need to reduce costs, improve efficiency and performance, and respond to competitive pressures adds to the urgent need to address these challenges.

이러한 문제들에 대한 해결책은 오랫동안 추구되어 왔지만, 종래의 개발들은 어떠한 해결책들도 교시하거나 제안되지 않았으며, 그래서 이러한 문제들에 대한 해결책들은 관련 기술분야에서 통상의 기술자에게 오랫동안 이룰 수가 없었다.Solutions to these problems have long been sought, but prior art developments have not taught or suggested any solutions, and solutions to these problems have not been available to the artisan in the art for a long time.

본 발명은: 데이터 보안 시스템과의 연결성을 위해 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계; 데이터 보안 시스템 애플리케이션을 시작하는 단계; 및 모바일 디바이스와 데이터 보안 시스템의 연결성을 유지하는 단계를 포함하는 데이터 보안 시스템의 동작 방법을 제공한다.The invention provides a method comprising: providing a data security system application to a mobile device for connectivity with the data security system; Initiating a data security system application; And maintaining connectivity between the mobile device and the data security system.

본 발명은: 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함하는 데이터 보안 시스템을 제공한다.The invention provides a data security system comprising: a data security transceiver or receiver; An authentication subsystem operatively coupled to the data security transceiver or receiver; And a storage subsystem coupled to the authentication subsystem.

본 발명의 특정 실시예들은 상기 언급된 양태들 이외에 또는 상기 언급된 양태들 대신 다른 양태들을 갖는다. 양태들은 첨부 도면들을 참조할 때 다음의 상세한 설명을 읽음으로써 관련 기술분야에서 통상의 기술자에게 명백해질 것이다.Certain embodiments of the present invention have other aspects than the above-mentioned aspects or alternatives to the above-mentioned aspects. The aspects will become apparent to those skilled in the art by reading the following detailed description when taken in conjunction with the accompanying drawings.

도 1은 본 발명의 실시예에 따른 데이터 보안 시스템의 개략도이다.
도 2는 데이터 보안 시스템과 함께 사용되는 인증 키 전달 방법을 도시한다.
도 3은 사용자가 데이터 보안 시스템과 상호 작용하는 상이한 시스템들을 도시한다.
도 4는 사용자가 호스트 컴퓨터 시스템을 사용하여 데이터 보안 시스템과 어떻게 상호 작용하는지를 도시한다.
도 5는 사용자 검증을 데이터 보안 시스템에 이용하는 데이터 보안 방법이다.
도 6은 예시적인 데이터 보안 통신 시스템이다.
도 7은 모바일 디바이스와 데이터 보안 시스템 사이의 동작들의 시퀀스를 도시하는 관리자 시퀀싱 다이어그램이다.
도 8은 모바일 디바이스가 인증 인자인 잠금해제 시퀀스 다이어그램이다.
도 9는 모바일 디바이스로부터 PIN 엔트리를 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 10은 서버/콘솔을 통한 PIN 엔트리 및 사용자 ID/위치/시간 검증을 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 11은 서버/콘솔을 사용하여 데이터 보안 시스템을 리셋하는 것을 도시하는 리셋 시퀀싱 다이어그램이다.
도 12는 서버/콘솔을 사용하여 데이터 보안 시스템을 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 13은 서버/콘솔을 사용하는 사용자의 패스워드 변경 시퀀싱 다이어그램이다.1 is a schematic diagram of a data security system in accordance with an embodiment of the present invention.
Figure 2 shows an authentication key delivery method used with a data security system.
Figure 3 shows different systems in which a user interacts with a data security system.
Figure 4 illustrates how a user interacts with a data security system using a host computer system.
5 is a data security method that utilizes user verification in a data security system.
6 is an exemplary data security communication system.
7 is an administrator sequencing diagram illustrating a sequence of operations between a mobile device and a data security system.
Figure 8 is an unlock sequence diagram in which the mobile device is an authentication factor.
9 is an unlock sequence diagram illustrating unlocking using a PIN entry from a mobile device.
Figure 10 is an unlock sequence diagram illustrating unlocking using PIN entry and user ID / location / time verification via the server / console.
11 is a reset sequencing diagram illustrating resetting a data security system using a server / console.
12 is an unlock sequence diagram illustrating unlocking a data security system using a server / console.
Figure 13 is a password change sequence diagram of a user using a server / console.

다음의 실시예들은 관련 기술분야에서 통상의 기술자가 본 발명을 제작하고 사용할 수 있도록 충분히 상세하게 설명된다. 다른 실시예들은 본 개시내용에 기초하여 명백할 것이며, 시스템, 프로세스 또는 기계적 변경들은 본 발명의 범위를 벗어나지 않고 이루어질 수 있다는 것을 이해하여야 한다.The following embodiments are described in sufficient detail to enable those skilled in the art to make and use the invention. It should be understood that other embodiments will be apparent based on the present disclosure, and that system, process, or mechanical changes may be made without departing from the scope of the present invention.

다음의 설명에서, 본 발명의 완전한 이해를 제공하기 위해 다수의 특정 세부 사항들이 제공된다. 그러나, 본 발명은 이러한 특정 세부 사항들 없이도 실시될 수 있음이 명백할 것이다. 본 발명을 모호하게 하는 것을 피하기 위해, 일부의 공지된 회로들, 시스템 구성들 및 처리 단계들은 상세하게 개시되지 않는다.In the following description, numerous specific details are set forth in order to provide a thorough understanding of the present invention. It will be apparent, however, that the present invention may be practiced without these specific details. In order to avoid obscuring the present invention, some known circuits, system configurations, and processing steps are not disclosed in detail.

마찬가지로, 시스템의 실시예들을 도시하는 도면들은 반 다이어그램적(semi-diagrammatic)이고 축척되지 않으며, 특히 치수들 중 일부는 제시의 명료성을 위한 것이고 도면에서 과장되게 도시된다. 일부 특징들을 공통으로 갖는 다수의 실시예가 그의 예시, 설명 및 이해의 명료성 및 용이함을 위해 개시되고 설명되는 경우, 서로 유사하고 동일한 특징들은 통상적으로 유사하거나 동일한 참조 부호들로 설명될 것이다. 유사하게, 설명의 용이함을 위해 도면들은 일반적으로 유사한 방향들을 보여주기는 하지만, 도면들에서의 이러한 묘사는 대부분 임의적이다. 일반적으로, 본 발명은 모든 방향으로도 동작될 수 있다.Likewise, the drawings illustrating embodiments of the system are semi-diagrammatic and not scale, and in particular some of the dimensions are for clarity of presentation and are exaggerated in the drawings. Where multiple embodiments having some features in common are disclosed and described for clarity and ease of illustration, description, and understanding thereof, similar and identical features will generally be described with similar or identical reference numerals. Similarly, although the drawings generally show similar orientations for ease of explanation, these depictions in the drawings are mostly arbitrary. In general, the present invention can be operated in all directions.

본 명세서에서 사용되는 것으로 "시스템"이라는 용어는 이 용어가 사용되는 맥락에 따라 본 발명의 방법 및 본 발명의 디바이스라고 지칭되고 정의된다. 본 명세서에서 사용되는 것으로 "방법"이라는 용어는 장치들의 동작 단계들이라고 지칭되고 정의된다.The term "system" as used herein is referred to and defined as a method of the present invention and a device of the present invention in accordance with the context in which the term is used. As used herein, the term "method" is referred to and defined as operating steps of the devices.

편의상 그리고 제한하지 않기 위해, "데이터"라는 용어는 컴퓨터에 의해 생성되거나 컴퓨터에 저장될 수 있는 정보라고 정의된다. "데이터 보안 시스템"이라는 용어는 저장 매체를 포함하는 임의의 휴대용 메모리 디바이스를 의미하는 것으로 정의된다. 본 명세서에서 사용되는 것으로 "저장 매체"라는 용어는 임의의 고체 상태, NAND 플래시 및/또는 자기 데이터 기록 시스템이라고 지칭되고 정의된다. "잠금(locked)"이라는 용어는 저장 매체가 액세스 가능하지 않을 때의 데이터 보안 시스템을 지칭하며 "잠금해제(unlocked)"라는 용어는 저장 매체가 액세스 가능할 때의 데이터 보안 시스템을 지칭한다.For convenience and not limitation, the term "data" is defined as information that can be generated by a computer or stored on a computer. The term "data security system" is defined to mean any portable memory device including a storage medium. The term "storage medium" as used herein is referred to and defined as any solid state, NAND flash and / or magnetic data recording system. The term "locked" refers to the data security system when the storage medium is not accessible and the term "unlocked " refers to the data security system when the storage medium is accessible.

저장 디바이스 변경 방지를 행하는 일반적으로 두 가지 방법이 있다:There are generally two ways of preventing storage device changes:

1. 구성요소들에 에폭시를 도포한다 - 인쇄 회로 기판에 도포된 에폭시 수지는 저장 매체를 파괴하지 않고 저장 디바이스를 해체하는 것을 어렵게 할 수 있다.1. Apply the epoxy to the components - the epoxy resin applied to the printed circuit board can make it difficult to disassemble the storage device without destroying the storage medium.

2. 메모리 데이터를 암호화한다 - 데이터는 저장 매체에 기입될 때 암호화되고 암호화 키는 데이터를 해독하는데 필요하다.2. Encrypt memory data - the data is encrypted when it is written to the storage medium and the encryption key is needed to decrypt the data.

이제 도 1을 참조하면, 본 발명의 실시예에 따른 데이터 보안 시스템(100)의 개략도가 도시된다. 데이터 보안 시스템(100)은 외부 통신 채널(102), 인증 서브시스템(104) 및 저장 서브시스템(106)으로 구성된다.Referring now to Figure 1, a schematic diagram of a data security system 100 in accordance with an embodiment of the present invention is shown. The data security system 100 is comprised of an external communication channel 102, an authentication subsystem 104 and a storage subsystem 106.

저장 서브시스템(106)은 인터페이스 컨트롤러(108), 암호화 엔진(110) 및 저장 매체(112)를 포함하는 전자 회로이다. 저장 매체(112)는 내부 또는 외부 하드 디스크 드라이브, USB 플래시 드라이브, 고체 상태 드라이브, 하이브리드 드라이브, 메모리 카드, 테이프 카트리지 및 광학 디스크(예를 들어, 블루레이(Blu-ray) 디스크, 디지털 다기능 디스크(digital versatile disk) 또는 DVD, 및 콤팩트 디스크(compact disk) 또는 CD)를 비롯한 광학 매체일 수 있다. 저장 매체(112)는 데이터 보호 가전 기기, 아카이벌 저장 시스템(archival storage system) 및 클라우드 기반 데이터 저장 시스템을 포함할 수 있다. 클라우드 저장 시스템은 호스트 컴퓨터 또는 RF 또는 광학, 또는 월드 와이드 웹과 같은 유선 또는 무선 네트워크를 통해 호스트 컴퓨터에 연결된 다른 시스템상의 브라우저 애플리케이션에 설치된 플러그-인(또는 "플러그인") 애플리케이션 또는 확장 소프트웨어를 이용하여 액세스될 수 있다.The storage subsystem 106 is an electronic circuit that includes an interface controller 108, an encryption engine 110, and a storage medium 112. The storage medium 112 may be an internal or external hard disk drive, a USB flash drive, a solid state drive, a hybrid drive, a memory card, a tape cartridge and an optical disk (e.g., a Blu-ray disk, a digital versatile disk a digital versatile disk or DVD, and a compact disk or CD). The storage medium 112 may include a data protection appliances, an archival storage system, and a cloud-based data storage system. The cloud storage system may be implemented using a plug-in (or "plug-in") application or extension software installed in a host computer or a browser application on a RF or optical or other system connected to the host computer via a wired or wireless network, such as the World Wide Web Lt; / RTI >

인터페이스 컨트롤러(108)는 소프트웨어 또는 하드웨어의 암호화 엔진(110)을 갖는 마이크로컨트롤러와 같은 전자 구성요소를 포함하지만, 암호화 엔진(110)은 저장 서브시스템(106)의 별개의 컨트롤러 내에 있을 수 있다.The interface controller 108 includes electronic components such as a microcontroller with an encryption engine 110 of software or hardware while the encryption engine 110 may be within a separate controller of the storage subsystem 106. [

인증 서브시스템(104)은 전기적으로 소거 가능한 프로그래머블 판독 전용 메모리(electrically erasable programmable read-only memory)(EEPROM)와 같은 자체의 비 휘발성 메모리를 가질 수 있는 마이크로컨트롤러와 같은 인증 컨트롤러(114)를 포함하는 전자 회로이다.The authentication subsystem 104 includes an authentication controller 114, such as a microcontroller, which may have its own non-volatile memory, such as electrically erasable programmable read-only memory (EEPROM) It is an electronic circuit.

외부 통신 채널(102)은 호스트 컴퓨터 시스템(120)과 데이터를 교환하는 수단을 제공한다. 범용 직렬 버스(Universal Serial Bus)(USB)는 데이터 보안 시스템(100)을 호스트 컴퓨터 시스템(120)에 연결하는 가장 일반적인 수단들 중 하나이다. 외부 통신 채널(102)의 다른 예들은 파이어와이어(Firewire), 무선 USB, 직렬 ATA(Serial ATA)(SATA), 고화질 멀티미디어 인터페이스(High Definition Multimedia Interface)(HDMI), 권장 표준(Recommended Standard) 232(RS-232) 및 무선 주파수 무선 네트워크들을 포함한다.The external communication channel 102 provides a means for exchanging data with the host computer system 120. A Universal Serial Bus (USB) is one of the most common means of connecting the data security system 100 to the host computer system 120. Other examples of external communication channels 102 include Firewire, Wireless USB, Serial ATA (SATA), High Definition Multimedia Interface (HDMI), Recommended Standard 232 RS-232) and radio frequency wireless networks.

인터페이스 컨트롤러(108)는 USB 패킷 데이터를 USB 플래시 드라이브의 저장 매체(112)에 기입될 수 있는 데이터로 변환할 수 있다.The interface controller 108 may convert the USB packet data into data that can be written to the storage medium 112 of the USB flash drive.

암호화 엔진(110)은 인터페이스 컨트롤러(108)의 일부로서 구현되고 호스트 컴퓨터 시스템(120)으로부터 클리어 텍스트(clear text) 및/또는 데이터(정보)를 받고 이를 MSD 또는 저장 매체(112)에 기입되는 암호화된 형태로 변환한다. 암호화 엔진(110)은 또한 저장 매체(112)로부터의 암호화된 정보를 변환하고 이를 해독하여 호스트 컴퓨터 시스템(120)에 대한 정보를 클리어한다. 암호화 엔진(110)은 또한 통신 프로토콜, 메모리 및 다른 동작 조건들을 관리하는 것과 함께 즉석에서 데이터를 암호화/해독하는 암호화 역량을 갖는 암호화 컨트롤러 및 통신, 암호화 키 관리 및 암호화 컨트롤러와의 통신을 처리하기 위한 통신/보안 컨트롤러를 구비하는 두 개의 컨트롤러 서브시스템일 수 있다.The encryption engine 110 is implemented as part of the interface controller 108 and receives clear text and / or data (information) from the host computer system 120 and provides it to the MSD or storage medium 112 . The encryption engine 110 also translates the encrypted information from the storage medium 112 and decrypts it to clear information about the host computer system 120. The cryptographic engine 110 may also include a cryptographic controller and communication with cryptographic capabilities to encrypt / decrypt data on the fly, as well as to manage communication protocols, memory, and other operating conditions; And may be two controller subsystems with communication / security controllers.

암호화 키(116)는 암호화 엔진(110)에 의해 정보를 암호화/해독하는데 요구된다. 암호화 키(116)는 암호화 알고리즘에 의해 데이터를 각각 암호화/해독하여 데이터를 판독 불가능하거나 판독 가능하게 하는 알고리즘(예를 들어, 256 비트 고급 암호 표준(Advanced Encryption Standard)(AES) 암호화)에 사용된다. 암호화 키(116)는 인증 컨트롤러(114)에 내부적으로 또는 외부적으로 저장될 수 있다.The encryption key 116 is required to encrypt / decrypt the information by the encryption engine 110. The encryption key 116 is used in an algorithm (e.g., 256-bit Advanced Encryption Standard (AES) encryption) that encrypts / decrypts data by an encryption algorithm to make the data unreadable or readable . The encryption key 116 may be stored internally or externally in the authentication controller 114.

암호화 키(116)는 식별 번호 또는 키를 갖는 사용자(122)가 인증 키(118)에 대해 검증되면 인증 서브시스템(104)에 의해 암호화 엔진(110)에 전송된다.The encryption key 116 is transmitted to the encryption engine 110 by the authentication subsystem 104 when the user 122 having the identification number or key is verified against the authentication key 118.

인증 키(118) 및 암호화 키(116)의 사용에 의해, 본 발명의 다양한 실시예들의 휴대용 메모리 저장 디바이스들은 이전에 그러한 디바이스들에서 이용 가능하지 않았던 매우 높은 수준의 보안을 제공할 수 있다는 것이 밝혀졌다.The use of authentication key 118 and encryption key 116 reveals that portable memory storage devices of various embodiments of the present invention can provide a very high level of security that was not previously available in such devices lost.

데이터 보안 시스템(100)이 잠기면, 인증 키(118)는 인증 서브시스템(104) 내부에 남아 있고 외부로부터 판독될 수 없다. 인증 키(118)를 숨기는 하나의 방법은 인증 서브시스템(104)의 인증 컨트롤러(114)에 이를 저장하는 것이다. 인증 컨트롤러(114)의 보안 퓨즈를 설정하는 것은 일단 사용자(122)가 검증되면 인증 컨트롤러(114)가 검색을 허용하지 않으면 인증 키(118)에 액세스하는 것을 불가능하게 만든다. 많은 마이크로컨트롤러에는 끊어질 때 임의의 내부 메모리에 액세스하지 못하도록 하는 보안 퓨즈가 장착되어 있다. 이것은 공지되고 광범위하게 사용되는 보안 특징이다. 이러한 마이크로컨트롤러는 인증 컨트롤러(114)에 사용될 수 있다. 인증 컨트롤러(114)는 마이크로컨트롤러 또는 마이크로프로세서 일 수 있다.When the data security system 100 is locked, the authentication key 118 remains inside the authentication subsystem 104 and can not be read from the outside. One way to hide the authentication key 118 is to store it in the authentication controller 114 of the authentication subsystem 104. Establishing the secure fuse of the authentication controller 114 makes it impossible for the authentication controller 114 to access the authentication key 118 once the user 122 is verified if it does not permit the search. Many microcontrollers are equipped with security fuses that prevent access to arbitrary internal memory when disconnected. This is a known and widely used security feature. Such a microcontroller may be used in the authentication controller 114. Authentication controller 114 may be a microcontroller or a microprocessor.

인증 키(118)는 다음의 몇 가지 역량에서와 같이 사용될 수 있다:The authentication key 118 may be used as in some of the following capabilities:

1. 정보를 직접 암호화/해독하기 위한 암호화 키(116)로서 사용될 수 있다.1. It can be used as an encryption key 116 for directly encrypting / decrypting information.

2. 인터페이스 컨트롤러(108)에 의해 액세스될 수 있는 데이터 보안 시스템(100)에 저장된 암호화 키(116)를 복구하는 키로서 사용될 수 있다.2. It can be used as a key to recover the encryption key 116 stored in the data security system 100 that can be accessed by the interface controller 108.

3. 외부 통신 채널(102)을 활성화하기 위해 인터페이스 컨트롤러(108)에 의한 직접 비교에 사용될 수 있다.3. Can be used for direct comparison by the interface controller 108 to activate the external communication channel 102.

이제 도 2를 참조하면, 데이터 보안 시스템(100)과 함께 사용되는 인증 키 전달 방법의 도면이 도시된다. 이 도면에서, 인증 키(118)와 암호화 키(116)는 하나이고 동일하다. 암호화 엔진(110)은 인증 키(118)를 암호화 키(116)로 사용한다.Referring now to FIG. 2, a diagram of an authentication key delivery method for use with data security system 100 is shown. In this figure, the authentication key 118 and the encryption key 116 are one and the same. The encryption engine 110 uses the authentication key 118 as the encryption key 116.

사용자(122)는 사용자 식별(202), 번호 또는 키를 인증 서브시스템(104)에 제공함으로써 인증 서브시스템(104)과 상호 작용하여야 한다. 인증 서브시스템(104)은 사용자(122)를 인증 키(118)에 대해 인증한다. 인증 서브시스템(104)는 인증 키(118)를 암호화 키(116)로서 인터페이스 컨트롤러(108)에 전송한다.The user 122 must interact with the authentication subsystem 104 by providing the user identification 202, number or key to the authentication subsystem 104. [ The authentication subsystem 104 authenticates the user 122 to the authentication key 118. The authentication subsystem 104 sends the authentication key 118 to the interface controller 108 as an encryption key 116. [

인터페이스 컨트롤러(108) 내의 암호화 엔진(110)은 인증 키(118)를 사용하여 채널(206)을 따라 클리어 정보를 암호화된 정보로, 암호화된 정보를 클리어 정보로 변환한다. 암호화 키(116) 없이 저장 매체(112)로부터 암호화된 정보를 판독하려는 임의의 시도는 일반적으로 어떤 컴퓨터에 의해서도 사용할 수 없는 정보를 만들어 내는 결과를 가져온다.The encryption engine 110 in the interface controller 108 uses the authentication key 118 to convert the clear information along the channel 206 into the encrypted information and the encrypted information into the clear information. Any attempt to read the encrypted information from the storage medium 112 without the encryption key 116 results in the generation of information that is generally not usable by any computer.

이제 도 3을 참조하면, 사용자(122)가 데이터 보안 시스템(300)과 상호 작용하는 상이한 시스템들의 도면이 도시된다. 상호 작용은 셀 폰, 스마트폰, 스마트 시계, 착용 가능한 가전 기기 또는 기타 무선 디바이스로부터의 물리적 접촉, 유선 연결 또는 무선 연결에 의한 것일 수 있는 통신 조합(301)에 의한 것일 수 있다.Referring now to FIG. 3, a diagram of different systems in which user 122 interacts with data security system 300 is shown. The interaction may be by a combination of communications 301, which may be by physical contact from a cell phone, a smart phone, a smart clock, a wearable household appliance or other wireless device, a wired connection or a wireless connection.

하나의 인증 시스템에서, 모바일 송수신기(302)는 사용자 식별(304)을 인증 서브시스템(310)의 데이터 보안 송수신기(306)에 전송하는데 이용된다. 예시적인 목적을 위해, 송수신기들은 양방향 통신 유연성을 위해 이용되지만 단방향 통신을 위한 전송기-수신기 조합도 또한 사용될 수 있다. 인증 서브시스템(310)은 저장 서브시스템(106)의 인터페이스 컨트롤러(108)에 연결된 인증 컨트롤러(114)를 포함한다. 사용자 식별(304)은 데이터 보안 시스템(300)의 저장 서브시스템(106) 외부로부터 모바일 송수신기(302)에 의해 인증 서브시스템(310) 내의 데이터 보안 송수신기(306)에 공급된다. 무선 통신은 무선 충실도(Wireless Fidelity)(WiFi), 블루투스(Bluetooth)(BT), 블루투스 스마트(Bluetooth Smart), 근접장 통신(Near Field Communication)(NFC), 위성 위치확인 시스템(Global Positioning System)(GPS), 광학, 셀룰러 통신(예를 들어, 롱텀 에볼루션(Long-Term Evolution)(LTE), 롱텀 에볼루션 어드밴스드(Long-Term Evolution Advanced)(LTE-A)), 코드 분할 다중 연결(Code Division Multiple Access)(CDMA), 광대역 코드 분할 다중 연결(Wideband Code Division Multiple Access)(WCDMA), 범용 이동 통신 시스템(Universal Mobile Telecommunications System)(UMTS), 무선 광대역(Wireless Broadband)(WiBro), 또는 세계 이동 통신 시스템(Global System for Mobile Communications)(GSM) 등)을 포함할 수 있다.In one authentication system, the mobile transceiver 302 is used to transmit the user identification 304 to the data secure transceiver 306 of the authentication subsystem 310. For illustrative purposes, transceivers are used for bidirectional communication flexibility, but a transmitter-receiver combination for unidirectional communication may also be used. The authentication subsystem 310 includes an authentication controller 114 that is coupled to an interface controller 108 of the storage subsystem 106. The user identification 304 is provided to the data secure transceiver 306 in the authentication subsystem 310 by the mobile transceiver 302 from outside the storage subsystem 106 of the data security system 300. The wireless communication may be a wireless fidelity (WiFi), a Bluetooth (BT), a Bluetooth smart, a Near Field Communication (NFC), a Global Positioning System (GPS) ), Optical, cellular communication (e.g., Long-Term Evolution (LTE), Long-Term Evolution Advanced (LTE-A)), Code Division Multiple Access (CDMA), Wideband Code Division Multiple Access (WCDMA), Universal Mobile Telecommunications System (UMTS), Wireless Broadband (WiBro) Global System for Mobile Communications (GSM), etc.).

인증 서브시스템(310)은 모바일 송수신기(302)로부터 전송된 코드가 인증 키(118)에 대해 인증됨으로써 사용자(122)를 인증 키(118)에 대해 인증한다. 그런 다음 인증 서브시스템(310)은 통신 조합(301)을 통해 인터페이스 컨트롤러(108)에 암호화 키(116)를 전송한다.The authentication subsystem 310 authenticates the user 122 to the authentication key 118 by authenticating the code transmitted from the mobile transceiver 302 to the authentication key 118. The authentication subsystem 310 then sends the encryption key 116 to the interface controller 108 via the communication combination 301.

그 다음, 암호화 엔진(110)은 암호화 키(116)를 사용하여 채널(206)을 따라 클리어 정보를 암호화된 정보로 변환하고 암호화된 정보를 클리어 정보로 변환한다. 암호화 키(116) 없이 저장 매체(112)로부터 암호화된 정보를 판독하려는 임의의 시도는 일반적으로 호스트 컴퓨터 시스템(120)에 의해 사용 가능하지 않은 정보를 만들어 내는 결과를 가져온다.The encryption engine 110 then uses the encryption key 116 to convert the clear information to encrypted information along the channel 206 and to convert the encrypted information to clear information. Any attempt to read the encrypted information from the storage medium 112 without the encryption key 116 results in the generation of information that is not generally available by the host computer system 120. [

선택적인 제2 인증 메커니즘에서, 인증 서브시스템(310)은 사용자(122)가 생체 인식 입력(322)을 제공하는 생체 인식 센서(320)를 사용하여 인가된 사용자로서 자신의 신원을 검증하게 함으로써 인증 키(118)에 대해 사용자(122)를 입증한다. 생체 인식 식별의 유형은 지문, 홍채 스캔, 성문(voice imprint) 등을 포함한다.In an optional second authentication mechanism, the authentication subsystem 310 allows the user 122 to authenticate himself or herself as an authorized user using the biometric sensor 320, which provides the biometric input 322, Prove user 122 for key 118. Types of biometric identification include fingerprints, iris scans, voice imprints, and the like.

선택적인 제3 인증 메커니즘에서, 인증 서브시스템(310)은 사용자(122)가 고유 코드(332)를 제공하는 전기 기계적 입력 메커니즘(330)을 사용하여 인가된 사용자로서 자신의 신원을 검증하게 함으로써 인증 키(118)에 대해 사용자(122)를 입증한다. 고유 코드(332)는 PIN과 같은 숫자, 영숫자 또는 알파벳 코드를 포함할 수 있다. 전기 기계적 입력 메커니즘(330)은 인증 서브시스템(310) 내에 있다. 전기 기계적 입력 메커니즘(330)은 데이터 보안 시스템(300)의 외부로부터 사용자(122)로부터 고유 코드(332)를 수신한다. 고유 코드(332)는 데이터 보안 시스템(300)의 저장 서브시스템(106) 외부로부터 인증 서브시스템(310) 내의 전기 기계적 입력 메커니즘(330)으로 제공된다.In an optional third authentication mechanism, the authentication subsystem 310 allows the user 122 to authenticate himself or herself as an authorized user using the electromechanical input mechanism 330, which provides the unique code 332, Prove user 122 for key 118. The unique code 332 may include a numeric, alphanumeric, or alphabetic code, such as a PIN. The electromechanical input mechanism 330 is within the authentication subsystem 310. The electromechanical input mechanism 330 receives the unique code 332 from the user 122 from outside the data security system 300. The unique code 332 is provided from the outside of the storage subsystem 106 of the data security system 300 to the electromechanical input mechanism 330 in the authentication subsystem 310.

어느 방법이 사용자(122)를 입증하는데 사용되든 인증 키(118) 및 암호화 키(116)는 사용자(122)가 인증될 때까지 숨겨진 채로 남아있다.Whichever method is used to verify the user 122, the authentication key 118 and encryption key 116 remain hidden until the user 122 is authenticated.

이제 도 4를 참조하면, 사용자(122)가 호스트 컴퓨터 시스템(120)을 이용하여 데이터 보안 시스템(400)과 어떻게 상호 작용할 수 있는지의 도면을 도시한다.4, there is shown a diagram of how a user 122 may interact with a data security system 400 using a host computer system 120. In one embodiment,

호스트 컴퓨터 시스템(120)에는 호스트 애플리케이션(402)이 제공된다. 호스트 애플리케이션(402)은 데이터 보안 시스템(400)의 외부 통신 채널(102)을 통해 통신하는 소프트웨어 또는 펌웨어이다.The host computer system 120 is provided with a host application 402. The host application 402 is software or firmware that communicates via the external communication channel 102 of the data security system 400.

호스트 애플리케이션(402)은 그의 환경과 연관된 내부 구성요소 일련 번호들(예를 들어, 하드 드라이브), 네트워크 카드의 미디어 접근 제어(Media Access Control)(MAC) 어드레스, 사용자의 로그인 이름, 네트워크 인터넷 프로토콜(network Internet Protocol)(IP) 어드레스, 데이터 보안 시스템에 의해 생성되고 호스트에 저장된 ID, 데이터 보안 시스템에 의해 생성되고 네트워크에 저장된 ID 등과 같은 호스트 식별자(406)를 전달한다. 호스트 식별자(406)는 데이터 보안 시스템(400)의 인증 서브시스템(408)에 의해 사용된다.The host application 402 may include internal component serial numbers (e.g., hard drives) associated with its environment, a media access control (MAC) address of the network card, a user's login name, such as a network Internet Protocol (IP) address, an ID generated by the data security system and stored in the host, an ID generated by the data security system, and stored in the network. The host identifier 406 is used by the authentication subsystem 408 of the data security system 400.

인증 서브시스템(408)이 호스트 식별자(406)를 검증함으로써 인증 키(118)에 대해 사용자(122)를 입증할 때, 데이터 보안 시스템(400)은 잠금해제될 것이다.When the authentication subsystem 408 validates the user 122 against the authentication key 118 by verifying the host identifier 406, the data security system 400 will be unlocked.

예를 들어, 사용자(122)는 호스트 컴퓨터 시스템(120)에 잠겨 있는 데이터 보안 시스템(400)에 연결한다. 호스트 애플리케이션(402)은 그 네트워크 카드의 MAC 어드레스를 데이터 보안 시스템(400)에 전송한다. 데이터 보안 시스템(400)은 이 MAC 어드레스를 합법적인 것으로 인식하고 도 1의 사용자(122)가 사용자 식별을 입력하게 하지 않고도 잠금해제한다. 이것은 사용자(122)와 어떠한 상호 작용도 필요로 하지 않는 구현 예이다. 이 경우, 입증되는 것은 호스트 컴퓨터 시스템(120) 및 그 관련 환경이다.For example, the user 122 connects to the data security system 400 that is locked in the host computer system 120. The host application 402 sends the MAC address of the network card to the data security system 400. The data security system 400 recognizes this MAC address as legitimate and unlocks it without having the user 122 of FIG. 1 enter the user identification. This is an implementation that does not require any interaction with the user 122. In this case, proven is the host computer system 120 and its associated environment.

데이터 보안 시스템(400)은: 인증 서브시스템(104)에 저장되는 인증 키(118)를 제공하는 것; 인증 서브시스템(104)에 의한 호스트 컴퓨터 시스템(120)의 검증을 제공하는 것; 인증 서브시스템(104)에 의해 저장 서브시스템(106)에 암호화 키(116)를 제공하는 것; 및 저장 매체 콘텐츠를 해독함으로써 저장 서브시스템(106)에 의한 저장 매체(112)로의 액세스를 제공하는 것을 포함한다.The data security system 400 includes: providing an authentication key 118 stored in an authentication subsystem 104; Providing verification of the host computer system 120 by the authentication subsystem 104; Providing an encryption key (116) to the storage subsystem (106) by an authentication subsystem (104); And providing access to the storage medium 112 by the storage subsystem 106 by decrypting the storage medium content.

데이터 보안 시스템은 생체 인식 입력의 해석 및 사용자(122)의 검증을 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an authentication subsystem 104 for the interpretation of the biometric input and the verification of the user 122.

데이터 보안 시스템은 인증 키(118)를 암호화 키(116)로서 직접 사용하는 것을 더 포함한다.The data security system further includes directly using the authentication key 118 as the encryption key 116. [

데이터 보안 시스템은 인증 키(118)를 사용하여 내부 콘텐츠를 해독하는데 사용되는 암호화 키(116)를 해독하고 검색하는 것을 더 포함한다.The data security system further includes decrypting and retrieving the encryption key (116) used to decrypt the internal content using the authentication key (118).

데이터 보안 시스템은 신호 입력의 해석 및 전송 유닛의 검증을 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an authentication subsystem 104 for the interpretation of the signal input and the verification of the transmission unit.

데이터 보안 시스템은 수동으로 입력된 입력의 해석 및 사용자(122)의 검증을 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an authentication subsystem 104 for the interpretation of the manually entered input and the verification of the user 122.

데이터 보안 시스템은 호스트 컴퓨터 시스템(120)의 검증을 위해 호스트 상주 소프트웨어 애플리케이션에 의해 전송된 입력을 해석하기 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an authentication subsystem 104 for interpreting the inputs transmitted by the host resident software application for verification of the host computer system 120. [

데이터 보안 시스템은 인터페이스 컨트롤러(108) 외부에 있지만 데이터 보안 시스템(100)을 잠금해제하기 위해 클리어 데이터를 암호화된 데이터로 변환하려는 목적을 위해 외부 통신 채널(102)에 연결된 암호화 엔진(110)을 더 포함한다.The data security system is external to the interface controller 108 but further comprises an encryption engine 110 connected to the external communication channel 102 for the purpose of converting the clear data into encrypted data to unlock the data security system 100 .

이제 도 5를 참조하면, 데이터 보안 시스템(100)에 사용자 검증을 이용하는 데이터 보안 방법(500)이 도시된다. 데이터 보안 방법(500)은 블록(502)에서 사용자를 인증 키에 대해 검증하는 단계; 블록(504)에서 인증 키를 이용하여 암호화 키를 검색하기 위한 단계; 및 블록(506)에서 인증 키를 이용하여 호스트 컴퓨터 시스템과 저장 매체 사이에서 저장 서브시스템을 통해 암호화되지 않은 통신을 가능하게 하는 단계를 포함한다.Referring now to FIG. 5, a data security method 500 is shown that utilizes user verification in a data security system 100. The data security method 500 includes the steps of verifying a user for an authentication key at block 502; Retrieving an encryption key using the authentication key at block 504; And enabling unencrypted communication between the host computer system and the storage medium via the storage subsystem using the authentication key at block 506. [

이제 도 6을 참조하면, 예시적인 데이터 보안 통신 시스템(600)이 도시된다. 예시적인 데이터 보안 통신 시스템(600)은 모바일 디바이스(610), 데이터 보안 시스템(620), 호스트 컴퓨터(630) 및 서버/콘솔(640)을 포함한다. 모바일 디바이스(610) 및 서버/콘솔(640)은 인터넷 클라우드일 수 있는 클라우드(650)를 통해 유선 또는 무선 연결에 의해 연결된다. 모바일 디바이스(610)와 데이터 보안 시스템(620)은 통신 조합(301)에 의해 연결된다.Referring now to FIG. 6, an exemplary data secure communication system 600 is shown. Exemplary data secure communication system 600 includes a mobile device 610, a data security system 620, a host computer 630 and a server / console 640. Mobile device 610 and server / console 640 are connected by a wired or wireless connection through a cloud 650, which may be an Internet cloud. The mobile device 610 and the data security system 620 are connected by a communication combination 301.

예시적인 데이터 보안 통신 시스템(600)의 통신 조합(301)은 데이터 보안 시스템(620)에서 데이터 보안 송수신기(624)의 안테나(622)와 무선 통신하는 안테나(614)를 갖는 모바일 디바이스(610)의 모바일 송수신기(612)를 포함한다. The communication combination 301 of the exemplary data security communication system 600 includes a data security system 620 that is coupled to the data security system 620 by a mobile device 610 having an antenna 614 in wireless communication with the antenna 622 of the data security transceiver 624 Mobile transceiver 612.

일 실시예에서 모바일 디바이스(610)는 스마트폰일 수 있다. 모바일 디바이스(610)에서, 모바일 송수신기(612)는 통상의 모바일 디바이스 구성요소들 및 데이터 보안 시스템 애플리케이션(618)에 연결될 수 있고, 데이터 보안 시스템 애플리케이션은 데이터 보안 시스템(620)과 함께 사용될 정보를 제공한다.In one embodiment, the mobile device 610 may be a smart phone. In mobile device 610, mobile transceiver 612 may be coupled to conventional mobile device components and data security system application 618, and the data security system application may provide information to be used with data security system 620 do.

데이터 보안 송수신기(624)는 식별, 패스워드들, 프로파일들, 또는 데이터 보안 시스템(620)에 액세스할 수 있는 상이한 모바일 디바이스들의 정보를 포함하는 정보를 포함할 수 있는 보안 컨트롤러(626)에 연결된다. 보안 컨트롤러(626)는 인증 서브시스템(310), (일부 실시예에서는 데이터를 암호화하는 암호화를 가질 수 있는) 저장 서브시스템(106) 및 외부 통신 채널(102)과 유사한 서브시스템들에 연결된다.The data security transceiver 624 is coupled to a security controller 626 that may include identification, passwords, profiles, or information that includes information on different mobile devices that can access the data security system 620. The security controller 626 is coupled to an authentication subsystem 310, a storage subsystem 106 (which may have encryption to encrypt data in some embodiments), and subsystems similar to the external communication channel 102.

외부 통신 채널(102)은 특정 상황들 하에서 저장 서브시스템(106) 내의 데이터에 액세스할 수 있게 하는 호스트 컴퓨터(630)에 연결 가능하다.The external communication channel 102 is connectable to a host computer 630 that allows access to data in the storage subsystem 106 under certain circumstances.

데이터 보안 시스템(620)의 하나의 구현예는 스마트폰과 같은 모바일 디바이스(610)로의 무선 링크만을 갖는 도 3의 생체 인식 센서(320) 및 전기 기계적 입력 메커니즘(330)을 없앨 수 있다. 이러한 구현예는 데이터 보안 시스템(620)을 보다 안전하고 유용하게 만들어 준다는 것을 알게 되었다.One implementation of the data security system 620 may eliminate the biometric sensor 320 and the electromechanical input mechanism 330 of FIG. 3 with only a wireless link to the mobile device 610, such as a smart phone. It has been found that this implementation makes the data security system 620 safer and more useful.

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 모바일 디바이스(610) 부근의 모든 데이터 보안 시스템을 발견하고 그들의 상태(잠금/잠금해제/공백, 짝을 이룬/짝을 이루지 않은 상태 등)를 보여줄 수 있게 한다.The data security system application 618 may allow the mobile device 610 to discover all data security systems in the vicinity of the mobile device 610 and determine their status (lock / unlock / blank, paired / I will show them.

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 데이터 보안 시스템(620)상의 모든 데이터를 연결하고/짝을 이루고, 잠그고, 잠금해제하고, 이름 및 패스워드를 변경하고, 리셋할 수 있게 한다.The data security system application 618 allows the mobile device 610 to connect / pair, lock, unlock, change names and passwords, and reset all data on the data security system 620.

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 비활동 자동 잠금(inactivity auto-lock)을 설정하여 데이터 보안 시스템(620)이 미리 결정된 비활성 기간 이후 자동으로 잠기게 할 것이거나, 근접 정도 자동 잠금(proximity auto-lock)을 설정하여 모바일 디바이스(610)가 (신뢰도를 개선하고 신호 디바운싱(de-bouncing)을 방지하기 위해) 미리 결정된 기간 동안 미리 결정된 근접 정도 내에 있지 않을 때 데이터 보안 시스템(620)이 잠기게 할 것이다.The data security system application 618 may allow the mobile device 610 to set an inactivity auto-lock to automatically lock the data security system 620 after a predetermined period of inactivity, A proximity auto-lock may be set to allow the mobile device 610 to initiate a data security < RTI ID = 0.0 > system (e. G., When the mobile device 610 is not within a predetermined proximity for a predetermined period (to improve reliability and prevent signal de- bouncing) 620) will be locked.

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 패스워드를 기억하고, 터치 ID(TouchID) 및 애플 워치(Apple Watch) (터치 ID 및 애플 워치 둘 모두가 단지 예시로서 본 명세서에서 언급되지만, 유사한 모드에서 사용될 수 있는 생체 인식 센서들 및 웨어러블들을 갖는 많은 다른 모바일 디바이스가 존재할 수 있음)를 사용할 수 있게 하며, 그래서 데이터 보안 시스템(620)은 모바일 디바이스 상에 패스워드를 재 입력하지 않고 잠금해제될 수 있다The data security system application 618 may be configured so that the mobile device 610 stores the password and the touch ID and the Apple Watch (both Touch ID and Apple Watch are both referred to herein as examples, Mode), so that the data security system 620 can be unlocked without re-entering the password on the mobile device < RTI ID = 0.0 > have

데이터 보안 시스템 애플리케이션(618)은 설정되는 모바일 디바이스(610)가 모바일 디바이스(610)와 같은 특정 모바일 디바이스와 단지 함께로만 동작할 수 있게 하며, 그래서 데이터 보안 시스템(620)은 다른 모바일 디바이스들(1Phone)로 잠금해제될 수 없다.The data security system application 618 allows the configured mobile device 610 to operate only with a specific mobile device such as the mobile device 610 so that the data security system 620 can be used to communicate with other mobile devices Lt; / RTI >

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 데이터 보안 시스템(620)을 읽기 전용으로 설정할 수 있게 한다The data security system application 618 allows the mobile device 610 to set the data security system 620 to be read-only

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 사용자 모드 또는 관리자 모드(관리자 모드는 사용자의 설정들 보다 우선함)에서 동작할 수 있고 서버/콘솔(640)을 사용할 수 있게 한다. 서버/콘솔(640)은 컴퓨터에 정보를 입력하기 위한 콘솔과 컴퓨터의 조합이다.The data security system application 618 enables the mobile device 610 to operate in a user mode or an administrator mode (the administrator mode overrides user settings) and to use the server / console 640. The server / console 640 is a combination of a console and a computer for inputting information to the computer.

서버/콘솔(640)은 모바일 디바이스(610)에 부가적인 기능성을 제공하기 위해 클라우드(650)를 통해 모바일 디바이스(610)에 전송될 수 있는 부가적인 정보를 포함하는 사용자 관리 데이터베이스(642)를 포함한다.The server / console 640 includes a user management database 642 that includes additional information that can be transmitted to the mobile device 610 via the cloud 650 to provide additional functionality to the mobile device 610 do.

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 사용자 ID(사용자 이름 및 패스워드)를 사용하는 사용자들을 생성 및 식별할 수 있게 하고, 데이터 보안 시스템(620)을 차단/잠금해제할 수 있게 하며 원격 도움을 제공할 수 있게 한다.The user management database 642 allows the server / console 640 to create and identify users using a user ID (user name and password), to block / unlock the data security system 620 Provide remote assistance.

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 데이터 보안 시스템(620)을 원격으로 리셋하거나 잠금해제할 수 있게 한다.The user management database 642 allows the server / console 640 to remotely reset or unlock the data security system 620.

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 데이터 보안 시스템 사용자의 PIN을 원격으로 변경할 수 있게 한다.The user management database 642 allows the server / console 640 to remotely change the PIN of the data security system user.

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 (가상 울타리(geo-fencing)를 사용하여) 특정 위치들로부터 데이터 보안 시스템(620)을 제한/잠금해제할 수 있게 한다.The user management database 642 allows the server / console 640 to restrict / unlock the data security system 620 from specific locations (using virtual fencing).

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 지정된 기간 및 상이한 시간대들에서 데이터 보안 시스템(620)을 제한/잠금해제할 수 있게 한다.The user management database 642 allows the server / console 640 to limit / unlock the data security system 620 at specified time periods and at different time periods.

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 지정된 팀/조직/네트워크 등의 외부에서 데이터 보안 시스템(620)을 잠금해제하는 것을 제한할 수 있게 한다.The user management database 642 enables the server / console 640 to restrict unlocking of the data security system 620 from outside such as a designated team / organization / network.

이제 도 7을 참조하면, 모바일 디바이스(610)와 데이터 보안 시스템(620) 사이의 동작들의 시퀀스를 도시하는 관리자 시퀀싱 다이어그램이 도시된다.Referring now to FIG. 7, an administrator sequencing diagram is shown illustrating a sequence of operations between a mobile device 610 and a data security system 620.

데이터 보안 시스템(620)과 모바일 디바이스(610) 사이의 연결성(700)은 다른 디바이스 또는 시스템의 상호 발견, 디바이스와 시스템의 짝짓기(pairing), 및 디바이스와 시스템의 연결로 먼저 확립된다. 연결성(700)은 공유된 비밀을 사용하여 보안되며, 그런 다음 공유된 비밀은 모든 향후의 통신 세션들에 대해 데이터 보안 시스템(620)과 모바일 디바이스(610) 사이의 통신들을 보안(암호화)하는데 사용된다. 표준 암호화 알고리즘은 데이터 보안 시스템(620) 상에서 실행되고 전세계 보안 표준들에 의해 승인되는데 둘 모두가 효율적이 되도록 선택된다.The connectivity 700 between the data security system 620 and the mobile device 610 is established first by mutual discovery of other devices or systems, pairing of devices and systems, and connection of devices and systems. Connectivity 700 is secured using a shared secret and then the shared secret is used to secure (encrypt) communications between data security system 620 and mobile device 610 for all future communication sessions do. The standard encryption algorithm is run on the data security system 620 and is approved by global security standards, both of which are selected to be efficient.

연결성(700)은 데이터 보안 시스템 애플리케이션(618) 또는 보안 컨트롤러(628)에 의해, 또는 데이터 보안 시스템(620) 및 모바일 디바이스(610)가 서로 미리 결정된 거리 내에 있는 한 함께 동작하는 둘 모두에 의해 유지된다. 또한, 미리 결정된 거리가 초과되면, 연결성(700)은 데이터 보안 시스템(620)이 잠긴 다음 미리 결정된 기간 동안 유지된다.Connectivity 700 may be maintained either by data security system application 618 or security controller 628 or by both as long as data security system 620 and mobile device 610 are within a predetermined distance of each other do. Also, if the predetermined distance is exceeded, the connectivity 700 is maintained for a predetermined period of time after the data security system 620 is locked.

모바일 디바이스(610)와 데이터 보안 시스템(620)의 연결 후, 모바일 디바이스(610)에서 데이터 보안 시스템 관리자 애플리케이션 시작(data security system administrator application start) 동작(702)이 발생한다. 그 다음에 관리자는 관리자 패스워드(administrator password) 동작(704)에서 패스워드를 설정한다. 또한, 모바일 디바이스(610)와 데이터 보안 시스템(620)의 연결 후, 데이터 보안 시스템 연결, 전력 공급 및 발견 가능(data security system connected, powered and discoverable) 동작(706)에서, 데이터 보안 시스템(620)은 도 6의 호스트 컴퓨터(630)에 연결되어 호스트 컴퓨터(630)에 의해 전력을 공급 받아 발견 가능하게 된다.After the connection of the mobile device 610 and the data security system 620, a data security system administrator application start operation 702 occurs at the mobile device 610. The administrator then sets a password in an administrator password operation 704. In addition, after the connection of the mobile device 610 and the data security system 620, the data security system 620, in a data security system connected, powered and discoverable operation 706, Is connected to the host computer 630 of FIG. 6, and is received by the host computer 630 to be discovered.

관리자 패스워드 동작(704) 이후, 모바일 디바이스(610)는 관리자 패스워드 및 잠금해제 설정(set administrator password and unlock) 신호(708)를 데이터 보안 시스템(620)에 전송한다. 관리자 패스워드 및 잠금해제 설정 신호(708)는 관리자 패스워드 설정 및 데이터 보안 시스템 잠금해제(administrator password set and data security system unlocked) 동작(716)이 데이터 보안 시스템(620)에서 발생하게 한다.After the administrator password operation 704, the mobile device 610 sends a set administrator password and unlock signal 708 to the data security system 620. The administrator password and unlock setting signal 708 causes an administrator password set and an administrator password set and data security system unlocked operation 716 to occur in the data security system 620.

관리자 패스워드 설정 및 데이터 보안 시스템 잠금해제 동작(716)이 완료될 때, 확인: 데이터 보안 시스템 잠금해제(confirmation: data security system unlocked) 신호(712)가 모바일 디바이스(610)로 전송되며, 모바일 디바이스에서 확인: 관리자로서 데이터 보안 시스템 잠금해제(confirmation: data security system unlocked as administrator operation) 동작(714)이 동작한다. 확인: 관리자로서 데이터 보안 시스템 잠금해제 동작(714)은 다른 제한들 설정(set other restrictions) 동작(716)이 모바일 디바이스(610)를 사용하여 수행되게 한다. 다른 제한들 설정 동작(716)은 관리자 제한들 설정(set administrator restrictions) 신호(718)가 데이터 보안 시스템(620)에 전송되게 하고, 데이터 보안 시스템에서 확인: 제한들 설정(confirmation: restrictions set) 신호(720)가 모바일 디바이스(610)로 반송된다. 이 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전하게 가동 준비된 상태에 있다.When the administrator password setting and data security system unlock operation 716 is complete, a confirmation: data security system unlocked signal 712 is sent to the mobile device 610, Confirmation: operation 714 of the data security system unlocked as administrator operation is executed as an administrator. Confirmation: As an administrator, the data security system unlock operation 714 causes other set restrictions action 716 to be performed using the mobile device 610. Other constraints setting operations 716 may cause a set administrator restrictions signal 718 to be sent to the data security system 620 and a confirmation: (720) is returned to the mobile device (610). Thereafter, the mobile device 610 and the data security system 620 are in a state in which communication is completely ready for operation.

데이터 보안 시스템(620)과 물리적인 접촉 없이 데이터 보안 시스템(620)과 통신하는 것이 가능하기 때문에, 데이터 보안 시스템(620)과의 중요한 상호 작용은 데이터 보안 시스템(620) 자체에 인쇄된 또는 데이터 보안 시스템(620) 패키징과 함께 제공되고 데이터 보안 시스템(620) 소유자가 용이하게 이용할 수 있는 데이터 보안 시스템 고유 식별자를 동반하는 것이 요구된다.Significant interactions with the data security system 620 are important because it is possible to communicate with the data security system 620 without physical contact with the data security system 620, It is required to accompany a data security system unique identifier that is provided with the system 620 packaging and is readily available to the owner of the data security system 620.

데이터 보안 시스템(620)을 잠금해제하는 것 또는 리셋하는 것과 같은 사용자 데이터에 영향을 줄 수 있는 요청을 할 때, 이러한 고유 식별자(고유 ID)가 요구된다. 정확한 식별자 없이 이러한 동작들을 수행하려는 시도들은 무시되며 해가 되지 않게 만들어진다. 고유 식별자는 사용자에게 데이터 보안 시스템(620)에 대한 물리적인 제어 권한을 가질 것을 요구하고 그리고 연결성(700)이 모바일 디바이스(610) 및 데이터 보안 시스템(620)과 같이 이전에 짝을 이룬 인가된 디바이스 및 시스템 사이에 확립된 것을 검증할 것을 요구하는 방식으로 데이터 보안 시스템(620)을 모바일 디바이스(610)에 식별시키는데 사용된다. 일단 디바이스가 짝지어지면, 공유된 비밀은 통신 기밀을 만드는데 사용된다.This unique identifier (unique ID) is required when making a request that may affect user data, such as unlocking or resetting the data security system 620. [ Attempts to perform these operations without an exact identifier are ignored and made non-destructive. The unique identifier may require the user to have physical control rights to the data security system 620 and that the connectivity 700 may be used by a previously matched device such as the mobile device 610 and the data security system 620 And to identify the data security system 620 to the mobile device 610 in a manner that requires verification of what has been established between the systems. Once the device is paired, the shared secret is used to create the communication secret.

짝 짓는 것은 모바일 디바이스와 데이터 보안 시스템이 과거의 어떤 시점에서 확립되어 지속되는 고유하고 정해진 관계를 갖는다는 것을 내포한다.Matching implies that mobile devices and data security systems have a unique and defined relationship that is established and maintained at some point in the past.

고유 식별자는 사용자가 데이터 보안 시스템의 물리적 제어 권한을 가질 때 사용자에게 데이터 보안 시스템에 대한 일부 제어 권한을 부여하게 한다.The unique identifier allows the user to grant some control over the data security system when the user has physical control of the data security system.

모바일 디바이스(610)가 스마트폰인 경우 데이터 보안 시스템(620)과의 통신의 보안을 증가시키기 위해, 사용자는 본 명세서에서 1Phone이라고 불리는 특징과 같은 특징을 활성화하도록 선택할 수 있다. 이러한 특징은 데이터 보안 시스템(620)과의 중요한 사용자 상호 작용을 오직 유일한 하나의 모바일 디바이스(610)로 제한한다. 이것은 데이터 보안 시스템(620)과 모바일 디바이스(610) 사이에서 안전하게 공유되는 랜덤 식별자로 전술한 데이터 보안 시스템 고유 식별자를 대체함으로써 이루어진다. 따라서, 예를 들어 사용자가 데이터 보안 시스템(620)을 잠금해제할 때, 데이터 보안 시스템 고유 식별자를 제시하는 대신, 1Phone 식별자가 대신 주어져야 한다. 실제로, 이것은 PIN 또는 패스워드 이외에, 사용자의 모바일 디바이스(610)를 데이터 보안 시스템(620)을 사용하기 위한 제2 인증 인자로 만들어 준다. 예로서, "1Phone"으로서 선택된 짝지어진 사용자 전화기는 PIN없이, 그리고 사용자 인증 단일 인자로서 및/또는 임의의 다른 사용자 인증 인자들과 조합하여 사용될 수 있다. 이러한 특징(1Phone)이 선택되면, 데이터 보안 시스템(620)은 관리자의 잠금해제가 이전에 활성화되었던 경우를 제외하고, 임의의 다른 전화기들을 가지고는 열릴 수 없다.To increase the security of communication with the data security system 620 when the mobile device 610 is a smart phone, a user may choose to activate features such as a feature referred to herein as 1Phone. This feature limits important user interaction with the data security system 620 to only one mobile device 610. This is accomplished by replacing the data security system unique identifier described above with a random identifier that is securely shared between the data security system 620 and the mobile device 610. Thus, for example, when a user unlocks the data security system 620, instead of presenting a data security system unique identifier, a 1Phone identifier MUST be given instead. In fact, this makes the user's mobile device 610 a second authentication factor for using the data security system 620, in addition to the PIN or password. By way of example, a mated user telephone selected as "1 Phone" can be used without a PIN and as a user authentication single factor and / or in combination with any other user authentication factors. If this feature (1 Phone) is selected, the data security system 620 can not be opened with any other telephones, except when the unlocking of the manager has been previously activated.

1Phone 특징을 사용하기 위해 데이터 보안 시스템(620)에 관리자의 패스워드를 요구하는 다른 실시예들이 만들어 질 수 있음을 이해할 것이다. 다른 실시예는 모바일 디바이스(610) 상에서 1Phone 데이터가 손실되는 경우에 서버/콘솔(640)이 데이터 보안 시스템(620)을 복구할 수 있는 것을 요구할 수 있다.It will be appreciated that other embodiments may be made that require the administrator's password in the data security system 620 to use the 1Phone feature. Other embodiments may require that the server / console 640 be able to recover the data security system 620 in the event that 1Phone data is lost on the mobile device 610.

사용자는 데이터 보안 시스템(620)에 대한 근접 정도 자동 잠금 특징을 활성화하게 할 수 있다. 통신 세션 동안, 도 6의 데이터 보안 송수신기(624)는 데이터 보안 시스템(620)에 모바일 디바이스(610)의 신호 강도 측정치를 보고한다. 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 데이터 보안 시스템(620)에 발신 신호 전력 레벨 및 근접 정도의 문턱치 둘 모두를 전송한다.The user may activate the proximity auto lock feature for the data security system 620. [ During the communication session, the data secure transceiver 624 of FIG. 6 reports the signal strength measurements of the mobile device 610 to the data security system 620. The data security system application 618 on the mobile device 610 sends both a source signal power level and a proximity threshold to the data security system 620. [

신호 강도는 송수신기들 주위의 환경 조건들로 인해 변하기 때문에, 데이터 보안 시스템(620)은 신호 강도 측정치를 수학적으로 평활화하여 긍정 오류(false positive)의 가능성을 줄인다. 데이터 보안 시스템(620)이 수신된 신호 전력이 미리 결정된 기간 동안 정의된 문턱치 아래로 떨어졌음을 검출할 때, 즉시 데이터 보안 시스템(620)을 잠그고 도 6의 저장 서브시스템(106)으로의 액세스를 방지할 것이다.Because the signal strength varies due to environmental conditions around the transceivers, the data security system 620 mathematically smoothens the signal strength measurements to reduce the likelihood of false positives. When the data security system 620 detects that the received signal power has fallen below a defined threshold for a predetermined period, it immediately locks the data security system 620 and prevents access to the storage subsystem 106 of FIG. 6 something to do.

데이터 보안 시스템(620)은 세 가지 상이한 모드: 데이터 보안 시스템(620)의 기능성이 사용자에 의해 결정되는 사용자 모드; 관리자가 관리자 패스워드를 설정하고 데이터 보안 시스템(620)에 대해 몇 가지 제한들(예를 들어, 미리 결정된 비활성 기간 이후 자동 잠금, 읽기 전용, 1Phone)을 강제할 수 있고 제한들이 사용자에 의해 제거될 수 없는 관리자 모드; 및 서버/콘솔(640)이 데이터 보안 시스템(620)을 원격으로 리셋하거나, 사용자 패스워드를 변경하거나 또는 데이터 보안 시스템(620)을 정확히 잠금해제할 수 있는 경우에 관리자 역할이 설정되는 서버 모드에서 사용될 수 있다. The data security system 620 includes three different modes: a user mode in which the functionality of the data security system 620 is determined by the user; An administrator may set an administrator password and force some restrictions on the data security system 620 (e.g., automatic locking after a predetermined period of inactivity, read-only, 1Phone) and the restrictions may be removed by the user No administrator mode; And in the server mode where the administrator role is set when the server / console 640 can remotely reset the data security system 620, change the user password, or correctly unlock the data security system 620 .

이제 도 8을 참조하면, 모바일 디바이스(610)가 인증 인자인 경우의 잠금해제 시퀀스 다이어그램이 도시된다. 이 다이어그램은 특정 모바일 디바이스인 모바일 디바이스(610)로부터 데이터 보안 시스템 애플리케이션(618)에 의해 개시된 데이터 보안 시스템(620)의 자동 잠금해제 프로세스를 도시한다. 사용자는 초기에 데이터 보안 시스템(620)과 짝을 이룬 유일한 하나의 모바일 디바이스만을 사용할 수 있다. 짝을 이룬 모바일 디바이스(610)가 분실되면, (도 7에 도시된 바와 같이 관리자 패스워드가 이전에 설정되어 있지 않는 한) 데이터 보안 시스템(620)은 잠금해제될 수 없다.Referring now to FIG. 8, there is shown an unlock sequence diagram where the mobile device 610 is an authentication factor. This diagram illustrates the automatic unlocking process of the data security system 620 initiated by the data security system application 618 from the mobile device 610, which is a particular mobile device. The user may initially use only one mobile device that is paired with the data security system 620. [ If the paired mobile device 610 is lost, the data security system 620 can not be unlocked (unless the administrator password has been previously set, as shown in FIG. 7).

도 7과 유사하지만, 데이터 보안 시스템 애플리케이션 시작(data security system application started) 동작(800)은 연결성(700)이 확립된 이후에 발생한다. 모바일 디바이스 ID로 잠금해제 요청(unlock required with mobile device ID) 신호(802)가 데이터 보안 시스템 연결, 전원 공급 및 발견 가능 동작(706) 이후 모바일 디바이스(610)로부터 데이터 보안 시스템(620)으로 전송된다. 데이터 보안 시스템 잠금해제(data security system unlocked) 동작(804)이 발생하고 확인: 데이터 보안 시스템 잠금해제 신호(712)는 데이터 보안 시스템(620)으로부터 전송된다. 확인: 데이터 보안 시스템 잠금해제 (confirmation: data security system unlocked) 동작(806) 이후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전하게 가동 준비된 상태에 있다.Similar to FIG. 7, however, a data security system application started operation 800 occurs after connectivity 700 is established. The mobile device 610 sends an unlock required with the mobile device ID signal 802 to the data security system 620 after the data security system connection, . A data security system unlocked operation 804 occurs and acknowledgment: the data security system unlock signal 712 is transmitted from the data security system 620. Confirmation: After the data security system unlocked operation 806, the mobile device 610 and the data security system 620 are in a state in which the communication is completely ready for operation.

PIN(Personal Identification Number)(개인 식별 번호)이 설정되지 않았으면, 짝을 이룬 모바일 디바이스는 1-인증 인자로서 사용된다.If a PIN (Personal Identification Number) is not set, the paired mobile device is used as a 1-authentication factor.

이제 도 9를 참조하면, 모바일 디바이스(610)로부터의 PIN 입력을 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 모바일 디바이스(610)의 데이터 보안 시스템 애플리케이션(618)에 PIN을 입력함으로써 데이터 보안 시스템(620)을 잠금해제하는 프로세스를 도시한다. 데이터 보안 시스템(620)은 정확한 PIN을 입력하지 않고는 잠금해제될 수 없다.Referring now to FIG. 9, there is shown an unlock sequence diagram illustrating unlocking using a PIN entry from a mobile device 610. FIG. This diagram illustrates the process of unlocking the data security system 620 by entering a PIN in the data security system application 618 of the mobile device 610. [ The data security system 620 can not be unlocked without entering the correct PIN.

도 7 및 도 8과 유사하지만, 데이터 보안 시스템 애플리케이션 시작 동작(800) 이후, 사용자 이름/패스워드 입력(enter username/password) 동작(900)이 발생한다. 사용자 이름/패스워드 입력 동작(900) 이후, 모바일 디바이스(610)는 사용자 ID 검증(verify user ID) 신호(902)를 서버/콘솔(640)에 전송한다. 그런 다음 서버/콘솔(640)은 사용자 이름/패스워드 유효(username/password valid) 결정(904)을 내린다.Similar to FIGS. 7 and 8, but after a data security system application start operation 800, an enter username / password operation 900 occurs. After the username / password entry operation 900, the mobile device 610 sends a verify user ID signal 902 to the server / console 640. The server / console 640 then issues a username / password valid decision 904.

사용자 이름/패스워드 유효 결정(904)이 사용자를 검증할 때, 유효 사용자(valid user) 신호(906)가 모바일 디바이스(610)에 전송되어 사용자가 모바일 디바이스(610)의 PIN 입력(enter PIN) 동작(908)에서 정확한 PIN을 입력하도록 한다. 그 다음 모바일 디바이스(610)는 잠금해제 검증(verify unlock) 신호(910)를 전송하여 정확한 PIN이 서버/콘솔(640)에 입력되었는지를 결정한다.When the user name / password validity determination 904 verifies the user, a valid user signal 906 is sent to the mobile device 610 to allow the user to enter the PIN of the mobile device 610 (908) to enter the correct PIN. The mobile device 610 then sends a verify unlock signal 910 to determine if the correct PIN has been entered in the server / console 640.

서버/콘솔(640)은 사용자 인가됨(user authorized) 결정(912)을 내리고, 사용자가 PIN이 인가된 데이터 보안 시스템(620)과 같은 특정 데이터 보안 시스템을 사용하도록 인가되었는지를 결정한다. 인가되었다면, 잠금해제 허용(unlock allowed) 신호(914)가 모바일 디바이스(610)로 전송되며, 모바일 디바이스는 잠금해제 요청(unlock request) 신호(916)를 데이터 보안 시스템(620)에 전달한다.The server / console 640 issues a user authorized decision 912 and determines whether the user is authorized to use a particular data security system, such as the authorized data security system 620. If so, an unlock allowed signal 914 is sent to the mobile device 610 and the mobile device sends an unlock request signal 916 to the data security system 620.

데이터 보안 시스템 잠금해제 동작(804)이 수행되고, 확인: 데이터 보안 시스템 잠금해제 신호(712)가 모바일 디바이스(610)로 전송되고, 모바일 디바이스에서 확인: 데이터 보안 시스템 잠금해제 동작(806)이 수행된다.The data security system unlock operation 804 is performed and the verification data security system unlock signal 712 is transmitted to the mobile device 610 and the verification at the mobile device: the data security system unlock operation 806 is performed do.

이제 도 10을 참조하면, 서버/콘솔(640)을 통해 PIN 입력 및 사용자 ID/위치/시간 검증을 사용하는 잠금해제를 도시하는 잠금해제 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 모바일 디바이스(610)로부터 데이터 보안 시스템 애플리케이션(618)에 PIN을 입력하고, 사용자 ID(사용자 이름/패스워드)를 사용하는 서버/콘솔(640) 서버에 인증을 입력함으로써, 그리고 특정 위치 및 특정 시간 범위에서 데이터 보안 시스템(620)을 잠금해제하기 위해 가상 울타리 허용들을 검증함으로써 데이터 보안 시스템(620)을 잠금해제하는 가장 안전한 프로세스를 도시한다. 데이터 보안 시스템(620)은 PIN, 사용자 이름 및 패스워드를 입력하지 않고, 그리고 모바일 디바이스(610)가 특정 (미리 정의된) 위치 및 특정 (미리 정의된) 시간에 존재하지 않고는 잠금해제될 수 없다.Referring now to FIG. 10, there is shown an unlock sequence diagram illustrating unlocking using PIN input and user ID / location / time verification via server / console 640. FIG. This diagram illustrates the process of entering a PIN to the data security system application 618 from the mobile device 610 and entering the authentication to the server / console 640 server using the user ID (username / password) Illustrates the most secure process of unlocking the data security system 620 by verifying the virtual fence permissions to unlock the data security system 620 in a particular time span. The data security system 620 can not be unlocked without entering a PIN, user name and password, and without the mobile device 610 being present at a specific (predefined) location and at a specific (predefined) time .

도 7 내지 도 9와 유사하지만, 서버/콘솔(640)에서, 잠금해제 지정된 데이터 보안 시스템(unlock specified data security system) 동작(1000)이 수행되어 데이터 보안 시스템(620)과 같은 특정 데이터 보안 시스템이 동작할 원하는 조건들을 설정할 수 있게 한다. 예를 들어, 조건들은 특정 지리적 영역 및/또는 특정 시간 프레임 이내일 수 있다.Similar to FIGS. 7-9, an unlocked data security system operation 1000 is performed at the server / console 640 so that a particular data security system, such as data security system 620, Allows you to set the desired conditions to operate. For example, the conditions may be within a certain geographic area and / or within a certain time frame.

모바일 디바이스(610)에서, 위치 및/또는 현재 시간 획득(acquire location and/or current time) 동작(1002)에서와 같이 현재 조건 결정이 이루어진다. 이 동작은 모바일 디바이스(610)가 어디에 있는지 그리고 또는 모바일 디바이스(610)가 있는 곳의 현재 시간이 몇 시인지를 결정하기 위해 수행된다. 모바일 디바이스(610) 주변의 다른 현재의 조건들이 또한 결정되고, 잠금해제 검증(verify unlock) 신호(1004)에 의해 서버/콘솔(640)에 전송되며, 서버/콘솔에서 조건 충족(conditions met determination) 결정(1006)이 이루어진다.At mobile device 610, a current condition determination is made, such as in location and / or current time acquisition 1002. This operation is performed to determine where the mobile device 610 is and / or the current time at which the mobile device 610 is located. Other current conditions around the mobile device 610 are also determined and sent to the server / console 640 by a verify unlock signal 1004, and conditions met determination at the server / A decision 1006 is made.

원하는 조건들이 충족될 때, 잠금해제 허용(unlock allowed) 신호(1008)가 PIN 입력 동작(908)이 수행되는 모바일 디바이스(610)에 전송된다. PIN이 입력된 후, 잠금해제 검증(verify unlock) 신호(1010)는 PIN 및 모바일 디바이스(610)에 동작 상 가장 가까운 데이터 보안 시스템(620)의 식별자와 함께 전송된다. 잠금해제 검증 신호(1010)는 서버/콘솔(640)에 의해 수신되고, 데이터 보안 시스템 허용 data security system allowed) 결정(1012)은 인가된 사용자가 지정된 데이터 보안 시스템을 잠금해제하는 것이 허용된다고 결정을 내린다. 서버/콘솔(640)은 이러한 "특정" 사용자가 지정된 데이터 보안 시스템을 사용하도록 인가된 것을 검증한다.When the desired conditions are met, an unlock allowed signal 1008 is sent to the mobile device 610 where the PIN input operation 908 is performed. After the PIN is entered, a verify unlock signal 1010 is transmitted along with the PIN and the identifier of the data security system 620 closest in operation to the mobile device 610. The unlock verification signal 1010 is received by the server / console 640 and the data security system allowed decision 1012 determines that the authorized user is allowed to unlock the specified data security system Down. Server / console 640 verifies that this "particular" user is authorized to use the specified data security system.

정확한 정보가 제공되었음을 결정한 후, 서버/콘솔(640)은 모바일 디바이스(610)에게 잠금해제 허용(unlock allowed) 신호(914)를 제공할 것이고, 모바일 디바이스는 잠금해제 요청(unlock request) 신호(916)를 제공할 것이다. 잠금해제 요청 신호(916)는 데이터 보안 시스템(620)을 동작하게 한다.After determining that the correct information has been provided, the server / console 640 will provide an unlock allowed signal 914 to the mobile device 610 and the mobile device will send an unlock request signal 916 ). The unlock request signal 916 causes the data security system 620 to operate.

이제 도 11을 참조하면, 서버/콘솔(640)을 사용하여 데이터 보안 시스템(620)을 리셋하는 것을 도시하는 리셋 시퀀싱 다이어그램을 도시한다. 이 다이어그램은 서버/콘솔(640)을 통해 데이터 보안 시스템(620)을 원격으로 리셋하는 능력을 도시한다. 데이터 보안 시스템(620)은 단지 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있다. 그러나, (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "리셋" 플래그를 설정함으로써, 모바일 디바이스(610) 상에서 실행되는 데이터 보안 시스템 애플리케이션(618)은 서버/콘솔(640)에게 사용자 관리 데이터베이스(642) 내 임의의 플래그들/미결 요청들에 대해 질의할 것이다. 사용자가 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "리셋" 커맨드를 실행할 것이다. 성공적인 리셋 이후(모든 사용자 데이터 및 자격 인증서들이 없어짐), 서버/콘솔(640)은 리셋 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 특정 데이터 보안 시스템에 연결될 때는 이것이 실행되지 않을 것이다.Referring now to FIG. 11, there is shown a reset sequencing diagram illustrating the use of the server / console 640 to reset the data security system 620. FIG. This diagram illustrates the ability to remotely reset the data security system 620 via the server / console 640. The data security system 620 can only receive commands over the wireless connection from the mobile device 610 only. However, by setting a "reset" flag on the server / console 640 for a particular data security system (using S / N), the data security system application 618 running on the mobile device & And will query console 640 for any flags / pending requests in user management database 642. When the user connects to the data security system 620, the data security system application 618 on the mobile device 610 will execute a pending "reset" After a successful reset (all user data and credentials are lost), the server / console 640 will remove the reset flag so that it will not be executed the next time the mobile device 610 is connected to a particular data security system .

도 7 내지 도 10과 유사하지만, 모바일 디바이스(610)는 유효 사용자 신호(906)에 응답하여 임의의 커맨드 대기(any command waiting) 신호(1100)를 서버/콘솔(640)에 전송하여 커맨드 리셋(reset command) 결정(1102)을 내린다. 커맨드 리셋이 존재할 때, 리셋 수행(perform reset) 신호(1104)가 모바일 디바이스(610)에 전송될 수 있다.Similar to Figures 7 to 10, the mobile device 610 sends an any command waiting signal 1100 to the server / console 640 in response to an effective user signal 906 to initiate a command reset reset command < / RTI > A perform reset signal 1104 may be sent to the mobile device 610 when a command reset is present.

모바일 디바이스(610)는 보안 시스템 리셋(reset security system) 신호(1106)를 데이터 보안 시스템(620)에 전송하여 데이터 보안 시스템 리셋(data security system reset) 동작(1108)을 시작시킬 것이다. 데이터 보안 시스템 리셋 동작(1108)이 완료되면, 데이터 보안 시스템(620)은 확인: 데이터 보안 시스템 리셋(confirmation: data security system reset) 신호(1110)를 모바일 디바이스(610)에 전송하여 확인: 데이터 보안 시스템 리셋(confirmation: data security system reset) 동작(1112)을 동작 상태로 설정할 것이다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 리셋된 데이터 보안 시스템(620)과 통신이 완전히 구동 준비된 상태에 있다.The mobile device 610 will send a reset security system signal 1106 to the data security system 620 to initiate a data security system reset operation 1108. [ Upon completion of the data security system reset operation 1108, the data security system 620 sends a confirmation: data security system reset signal 1110 to the mobile device 610 to confirm: (Data security system reset) operation 1112 to the operating state. Mobile device 610 and data security system 620 are then in a state in which communication with the resetted data security system 620 is fully operational.

이제 도 12를 참조하면, 서버/콘솔(640)을 사용하여 데이터 보안 시스템(620)을 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램을 도시한다. 이 다이어그램은 서버/콘솔(640)을 통해 데이터 보안 시스템(620)을 원격으로 잠금해제할 수 있는 능력을 도시한다. 데이터 보안 시스템(620)은 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있다. 그러나 (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "관리자 잠금해제" 플래그를 설정함으로써, 모바일 디바이스(610) 상에서 실행되는 데이터 보안 시스템 애플리케이션(618)은 임의의 플래그들/미결 요청들에 대해 서버/콘솔(640)에 질의할 것이다. 사용자가 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "관리자 잠금해제" 커맨드를 실행할 것이다. 관리자가 성공적으로 잠금 해제한 후, 사용자의 데이터는 훼손되지 않지만 사용자의 패스워드가 제거된다(데이터 보안 시스템(620)은 사용자에 의해 잠금해제될 수 없다). 서버/콘솔(640)은 데이터 보안 시스템(620)에 대한 리셋 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 데이터 보안 시스템(620)에 연결될 때는 이것이 실행되지 않을 것이다.Referring now to FIG. 12, there is shown an unlocking sequencing diagram that illustrates unlocking the data security system 620 using the server / console 640. This diagram illustrates the ability to remotely unlock the data security system 620 via the server / console 640. The data security system 620 can receive commands from the mobile device 610 over the wireless connection only. However, by setting the "manager unlock" flag on the server / console 640 for a particular data security system (using S / N), the data security system application 618 running on the mobile device 610 can send an arbitrary Server / console 640 for the flags / open requests of the server / console 640. When the user connects to the data security system 620, the data security system application 618 on the mobile device 610 will execute the pending "manager unlock" command. After the administrator successfully unlocks, the user's data is not compromised, but the user's password is removed (the data security system 620 can not be unlocked by the user). The server / console 640 will remove the reset flag for the data security system 620 so it will not be executed the next time the mobile device 610 is connected to the data security system 620. [

도 7 내지 11과 유사하지만, 임의의 커맨드 대기 신호(1100)를 수신한 후, 서버/콘솔(640)은 관리자의 패스워드로 잠금해제하라는 커맨드가 있을 때 잠금해제(1200)를 수행한다. 관리자의 패스워드로 잠금해제(unlock with an administrator's password) 신호(1202)는 모바일 디바이스(610)로 전송되고, 모바일 디바이스는 관리자의 패스워드로 잠금해제(unlock with administrator's password) 신호(1204)를 데이터 보안 시스템(620)에 제공하여 데이터 보안 시스템 잠금해제 동작(804)을 시작시킨다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전히 구동 준비된 상태에 있다.Similar to Figs. 7-11, after receiving any command wait signal 1100, the server / console 640 performs unlock 1200 when there is a command to unlock with the administrator's password. An unlock with administrator's password signal 1202 is sent to the mobile device 610 and the mobile device sends an unlock with administrator's password signal 1204 to the data security system & (620) to initiate a data security system unlock operation (804). Thereafter, the mobile device 610 and the data security system 620 are in a state in which communication is fully ready for operation.

이제 도 13을 참조하면, 서버/콘솔(640)을 사용하는 사용자의 패스워드 변경 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 데이터 보안 시스템(620)에 대해 사용자의 패스워드를 서버/콘솔(640)을 통해 원격으로 변경하는 능력을 도시한다. (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "사용자의 패스워드 변경" 플래그를 설정함으로써, 데이터 보안 시스템(620)이 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있을지라도, 모바일 디바이스(610) 상에서 실행하는 데이터 보안 시스템 애플리케이션(618)은 임의의 플래그들/미결제 요청들에 대해 서버/콘솔(640)에 질의할 것이다. 사용자가 자신의 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "사용자의 패스워드 변경" 커맨드를 실행할 것이다. 성공적인 잠금해제 및 패스워드 변경 이후, 사용자의 데이터는 훼손되지 않으며, 데이터 보안 시스템(620)은 사용자의 새로운 패스워드로 잠금해제될 수 있다. 서버/콘솔(640)은 이 데이터 보안 시스템(620)에 대한 "사용자의 패스워드 변경" 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 특정 데이터 보안 시스템에 연결될 때는 이것이 실행되지 않을 것이다.Referring now to FIG. 13, a password change sequencing diagram of a user using the server / console 640 is shown. This diagram illustrates the ability to remotely change the user's password for the data security system 620 through the server / console 640. [ By setting the "change user's password" flag on the server / console 640 for a particular data security system (using S / N), the data security system 620 can only establish a wireless connection from the mobile device 610 The data security system application 618 running on the mobile device 610 will query the server / console 640 for any flags / outstanding requests. When the user connects to his or her data security system 620, the data security system application 618 on the mobile device 610 will execute the pending "change password of user" command. After a successful unlock and password change, the user's data is not compromised and the data security system 620 can be unlocked with the user's new password. The server / console 640 will remove the "change password for user" flag for this data security system 620 so it will not be executed the next time the mobile device 610 is connected to a particular data security system .

도 7 내지 도 12와 유사하지만, 서버/콘솔(640)은 패스워드 변경(change password) 결정(1300)을 내림으로써 임의의 커맨드 대기 신호(1100)에 응답한다. 서버/콘솔(640)에서 패스워드 변경이 있었을 때, 사용자 패스워드 변경(change user password) 신호(1302)는 모바일 디바이스(610)에 전송되고, 모바일 디바이스는 사용자 패스워드 변경(change user password) 신호(1304)를 데이터 보안 시스템(620)에 전송한다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 새로운 패스워드로 통신이 완전히 구동 준비되는 상태에 있다.Similar to FIGS. 7-12, the server / console 640 responds to an optional command wait signal 1100 by issuing a change password decision 1300. When there has been a password change at the server / console 640, a change user password signal 1302 is sent to the mobile device 610 and the mobile device sends a change user password signal 1304, To the data security system (620). Thereafter, the mobile device 610 and the data security system 620 are in a state in which communication is fully ready to operate with a new password.

데이터 보안 시스템의 동작 방법은: 데이터 보안 시스템과의 연결성을 위해 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계; 데이터 보안 시스템 애플리케이션을 시작하는 단계; 및 모바일 디바이스와 데이터 보안 시스템의 연결성을 유지하는 단계를 포함한다.A method of operating a data security system includes: providing a data security system application to a mobile device for connectivity with the data security system; Initiating a data security system application; And maintaining connectivity between the mobile device and the data security system.

전술한 바와 같은 방법에서 연결성을 유지하는 단계는 데이터 보안 시스템이 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지한다.The maintaining connectivity in the method as described above maintains connectivity when the data security system is within a predetermined proximity to the mobile device.

전술한 바와 같은 방법에서 연결성을 유지하는 단계는 데이터 보안 시스템이 미리 결정된 기간 동안 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지한다.Maintaining connectivity in the manner described above maintains connectivity when the data security system is within a predetermined proximity to the mobile device for a predetermined period of time.

전술한 바와 같은 방법에서 연결성을 확립하는 단계는 데이터 보안 시스템과 모바일 디바이스 사이의 양방향 통신을 이용하는 단계를 포함한다.Establishing connectivity in the manner described above includes utilizing bi-directional communication between the data security system and the mobile device.

전술한 바와 같은 방법에서 연결성을 확립하는 단계는 데이터 보안 시스템과 모바일 디바이스 사이의 단방향 통신을 이용하는 단계를 포함한다.Establishing connectivity in the manner described above includes utilizing unidirectional communication between the data security system and the mobile device.

전술한 바와 같은 방법은 데이터 보안 시스템 애플리케이션을 구비한 모바일 디바이스와 사용자 관리 데이터베이스를 포함하는 서버 사이의 통신을 더 포함한다.The method as described above further comprises communication between a mobile device having a data security system application and a server including a user management database.

전술한 바와 같은 방법은 데이터 보안 시스템의 보안 컨트롤러에 보안 정보를 제공하는 단계를 더 포함한다. The method as described above further comprises providing security information to the security controller of the data security system.

전술한 바와 같은 방법은: 지정된 데이터 보안 시스템의 식별을 서버에 제공하는 단계; 특정 식별을 데이터 보안 시스템에 제공하는 단계; 및 지정된 데이터 보안 시스템의 식별이 데이터 보안 시스템의 특정 식별과 동일할 때, 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above includes: providing an identification of a designated data security system to a server; Providing a specific identification to the data security system; And unlocking the data security system when the identification of the designated data security system is the same as the specific identification of the data security system.

전술한 바와 같은 방법에서 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계는 데이터 보안 시스템 관리자의 애플리케이션을 제공하고, 방법은: 모바일 디바이스에 관리자의 패스워드를 설정하는 단계; 관리자의 패스워드를 모바일 디바이스로부터 데이터 보안 시스템으로 전송하는 단계; 및 관리자의 패스워드를 데이터 보안 시스템에 설정하고 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.In a method as described above, providing a data security system application to a mobile device provides an application of a data security system administrator, the method comprising: setting a password for an administrator on the mobile device; Transmitting an administrator's password from the mobile device to the data security system; And setting the administrator's password in the data security system and unlocking the data security system.

전술한 바와 같은 방법은: 모바일 디바이스로부터 데이터 보안 시스템으로 잠금해제 요청을 모바일 디바이스 식별과 함께 제공하는 단계; 및 데이터 보안 시스템에서 잠금해제 요청을 수신하고 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above includes: providing an unlock request from a mobile device to a data security system with a mobile device identification; And receiving an unlock request from the data security system and unlocking the data security system.

전술한 바와 같은 방법은: 모바일 디바이스에 사용자 이름 또는 패스워드를 입력하는 단계; 모바일 디바이스로부터 사용자 이름 또는 패스워드를 수신한 후 서버에서 사용자 이름 또는 패스워드가 유효할 때를 결정하는 단계; 사용자 이름 또는 패스워드가 유효할 때 서버로부터 모바일 디바이스로 통신하는 단계; 및 사용자 이름 또는 패스워드가 데이터 보안 시스템을 잠금해제하는데 유효할 때 모바일 디바이스로부터 데이터 보안 시스템으로 통신하는 단계를 더 포함한다. The method as described above includes the steps of: inputting a user name or password to the mobile device; After receiving the user name or password from the mobile device, determining when the user name or password is valid at the server; Communicating from the server to the mobile device when the username or password is valid; And communicating from the mobile device to the data security system when the user name or password is valid for unlocking the data security system.

전술한 바와 같은 방법은: 모바일 디바이스에 사용자 이름 또는 패스워드를 입력하는 단계; 모바일 디바이스로부터 사용자 이름 또는 패스워드를 수신한 후 서버에서 사용자 이름 또는 패스워드가 유효할 때를 결정하는 단계; 사용자 이름 또는 패스워드가 유효할 때 서버로부터 모바일 디바이스로 통신하는 단계; 모바일 디바이스로부터 식별 번호를 수신한 후 서버에서 식별 번호가 유효할 때를 결정하는 단계; 및 서버가 식별 번호가 유효하다고 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다. The method as described above includes the steps of: inputting a user name or password to the mobile device; After receiving the user name or password from the mobile device, determining when the user name or password is valid at the server; Communicating from the server to the mobile device when the username or password is valid; Determining when the identification number is valid at the server after receiving the identification number from the mobile device; And unlocking the data security system via the mobile device when the server determines that the identification number is valid.

전술한 바와 같은 방법은: 모바일 디바이스의 유효한 위치를 서버에 제공하는 단계; 서버에서 모바일 디바이스가 유효한 위치에 있을 때를 결정하는 단계; 및 서버가 모바일 디바이스가 유효한 위치에 있다고 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다. The method as described above includes the steps of: providing a server with a valid location of the mobile device; Determining when the mobile device is in a valid location in the server; And unlocking the data security system via the mobile device when the server determines that the mobile device is in a valid location.

전술한 바와 같은 방법은: 모바일 디바이스에서 데이터 보안 시스템에 대한 동작의 현재 시간을 서버에 제공하는 단계; 서버에서 모바일 디바이스가 현재 시간 내에 있을 때를 결정하는 단계; 및 모바일 디바이스가 현재 시간을 갖는다고 서버가 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above includes the steps of: providing the server with the current time of operation for the data security system at the mobile device; Determining when the mobile device is in the current time at the server; And unlocking the data security system via the mobile device when the server determines that the mobile device has the current time.

전술한 바와 같은 방법은: 서버에서 커맨드를 제공하는 단계; 모바일 디바이스로부터의 커맨드 대기 신호에 응답하여 커맨드를 서버로부터 모바일 디바이스로 제공하는 단계; 및 커맨드가 서버로부터 제공될 때 커맨드를 모바일 디바이스를 통해 데이터 보안 시스템에서 수행하는 단계를 더 포함한다.The method as described above includes the steps of: providing a command at the server; Providing a command from a server to a mobile device in response to a command wait signal from the mobile device; And performing a command on the data security system via the mobile device when the command is provided from the server.

전술한 바와 같은 방법은: 서버에서 패스워드 변경 커맨드를 제공하는 단계; 모바일 디바이스로부터의 패스워드 변경 신호에 응답하여 패스워드 변경 커맨드를 서버로부터 모바일 디바이스로 제공하는 단계; 및 데이터 보안 시스템에서 변경된 패스워드로 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above may further comprise: providing a password change command at the server; Providing a password change command from a server to a mobile device in response to a password change signal from the mobile device; And unlocking the data security system with the changed password in the data security system.

전술한 바와 같은 방법은 데이터 보안 시스템을 전력 공급을 위해 호스트 컴퓨터에 연결하여 호스트 컴퓨터에 의해 발견 가능하게 되도록 하는 단계를 더 포함한다.The method as described above further comprises the step of connecting the data security system to the host computer for powering and making the data security system discoverable by the host computer.

데이터 보안 시스템은: 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함한다.The data security system is: a data security transceiver or receiver; An authentication subsystem operatively coupled to the data security transceiver or receiver; And a storage subsystem coupled to the authentication subsystem.

전술한 바와 같은 시스템은 데이터 보안 송수신기 또는 수신기에 및 인증 서브시스템에 연결된 보안 컨트롤러를 더 포함한다.The system as described above further comprises a security controller coupled to the data security transceiver or receiver and to the authentication subsystem.

전술한 바와 같은 시스템은 데이터 보안 시스템이 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지하기 위해 보안 컨트롤러와 함께 동작하는 데이터 보안 시스템 애플리케이션을 갖는 모바일 디바이스를 더 포함한다. The system as described above further comprises a mobile device having a data security system application operative with the security controller to maintain connectivity when the data security system is within a predetermined proximity to the mobile device.

전술한 바와 같은 시스템은 데이터 보안 시스템이 미리 결정된 기간 동안 모바일 디바이스에 미리 결정된 근접 내에 있을 때 연결성을 유지하기 위해 보안 컨트롤러와 함께 동작하는 데이터 보안 시스템 애플리케이션을 갖는 모바일 디바이스를 더 포함한다.The system as described above further comprises a mobile device having a data security system application operative with the security controller to maintain connectivity when the data security system is within a predetermined proximity to the mobile device for a predetermined period of time.

전술한 바와 같은 시스템은 연결성을 유지하기 위해 모바일 송수신기 또는 수신기를 갖는 모바일 디바이스가 데이터 보안 시스템과 모바일 디바이스 사이에서 양방향 통신을 이용하는 것을 포함하는 것을 더 포함한다.The system as described above further includes the mobile device having a mobile transceiver or receiver to utilize bi-directional communication between the data security system and the mobile device to maintain connectivity.

전술한 바와 같은 시스템은 연결성을 유지하기 위해 모바일 송수신기 또는 수신기를 갖는 모바일 디바이스가 데이터 보안 시스템과 모바일 디바이스 사이에서 단방향 통신을 사용하는 것을 포함하는 것을 더 포함한다. The system as described above further includes the mobile device having a mobile transceiver or receiver to use unidirectional communication between the data security system and the mobile device to maintain connectivity.

전술한 바와 같은 시스템은 데이터 보안 시스템 애플리케이션을 구비한 모바일 디바이스와 사용자 관리 데이터베이스를 포함하는 서버 사이의 유선 또는 무선 연결 통신을 더 포함한다.The system as described above further comprises a wired or wireless connection between the mobile device with the data security system application and the server including the user management database.

전술한 바와 같은 시스템에서 데이터 보안 시스템은 호스트 컴퓨터에 연결하기 위한 외부 통신 채널을 포함한다.In the system as described above, the data security system includes an external communication channel for connection to the host computer.

본 발명이 특정한 최상의 모드와 관련하여 설명되었지만, 전술한 설명에 비추어 관련 기술분야에서 통상의 기술자에게는 많은 대안, 수정 및 변형이 명백할 것이라는 것을 이해하여야 한다. 따라서, 첨부된 청구범위 내에 속하는 이러한 모든 대안, 수정 및 변형을 포괄하고자 한다. 본 명세서에 설명되거나 첨부 도면들에 도시된 모든 사항은 예시적이고 비 제한적인 의미로 해석되어야 한다.While the present invention has been described in connection with certain preferred modes, it should be understood that many alternatives, modifications, and variations will be apparent to those of ordinary skill in the art in light of the foregoing description. Accordingly, it is intended to embrace all such alternatives, modifications and variations that fall within the scope of the appended claims. All matters described herein or shown in the accompanying drawings are to be interpreted in an illustrative and non-limiting sense.

Claims (25)

데이터 보안 시스템의 동작 방법으로서,
상기 데이터 보안 시스템과의 연결성을 위해 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계;
상기 데이터 보안 시스템 애플리케이션을 시작하는 단계; 및
상기 모바일 디바이스와 상기 데이터 보안 시스템의 연결성을 유지하는 단계
를 포함하는, 데이터 보안 시스템의 동작 방법.A method of operating a data security system,
Providing a data security system application to a mobile device for connectivity with the data security system;
Initiating the data security system application; And
Maintaining connectivity of the mobile device and the data security system;
The method comprising the steps of: 제1항에 있어서, 상기 연결성을 유지하는 단계는 상기 데이터 보안 시스템이 상기 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 상기 연결성을 유지하는, 데이터 보안 시스템의 동작 방법.2. The method of claim 1, wherein maintaining connectivity includes maintaining the connectivity when the data security system is within a predetermined proximity to the mobile device. 제1항에 있어서, 상기 연결성을 유지하는 단계는 상기 데이터 보안 시스템이 미리 결정된 기간 동안 상기 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 상기 연결성을 유지하는, 데이터 보안 시스템의 동작 방법.2. The method of claim 1, wherein maintaining connectivity includes maintaining the connectivity when the data security system is within a predetermined proximity to the mobile device for a predetermined period of time. 제1항에 있어서, 상기 연결성을 확립하는 단계는 상기 데이터 보안 시스템과 상기 모바일 디바이스 사이의 양방향 통신을 이용하는 단계를 포함하는, 데이터 보안 시스템의 동작 방법.2. The method of claim 1, wherein establishing connectivity comprises utilizing bi-directional communication between the data security system and the mobile device. 제1항에 있어서, 상기 연결성을 확립하는 단계는 상기 데이터 보안 시스템과 상기 모바일 디바이스 사이의 단방향 통신을 이용하는 단계를 포함하는, 데이터 보안 시스템의 동작 방법.2. The method of claim 1, wherein establishing connectivity comprises using unidirectional communication between the data security system and the mobile device. 제1항에 있어서, 상기 데이터 보안 시스템 애플리케이션을 구비한 상기 모바일 디바이스와 사용자 관리 데이터베이스를 포함하는 서버 사이의 통신을 더 포함하는, 데이터 보안 시스템의 동작 방법.The method of claim 1, further comprising communicating between the mobile device having the data security system application and a server including a user management database. 제1항에 있어서, 상기 데이터 보안 시스템의 보안 컨트롤러에 보안 정보를 제공하는 단계를 더 포함하는, 데이터 보안 시스템의 동작 방법.The method of claim 1, further comprising providing security information to a security controller of the data security system. 제1항에 있어서,
지정된 데이터 보안 시스템의 식별을 서버에 제공하는 단계;
특정 식별을 상기 데이터 보안 시스템에 제공하는 단계; 및
상기 지정된 데이터 보안 시스템의 상기 식별이 상기 데이터 보안 시스템의 상기 특정 식별과 동일할 때, 상기 데이터 보안 시스템을 잠금해제하는 단계
를 더 포함하는, 데이터 보안 시스템의 동작 방법.The method according to claim 1,
Providing an identification of a designated data security system to a server;
Providing a specific identification to the data security system; And
When said identification of said designated data security system is identical to said specific identification of said data security system, unlocking said data security system
Further comprising the steps of: 제1항에 있어서, 상기 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계는 데이터 보안 시스템 관리자의 애플리케이션을 제공하고,
상기 모바일 디바이스에 관리자의 패스워드를 설정하는 단계;
상기 관리자의 패스워드를 상기 모바일 디바이스로부터 상기 데이터 보안 시스템으로 전송하는 단계; 및
상기 관리자의 패스워드를 상기 데이터 보안 시스템에 설정하고 상기 데이터 보안 시스템을 잠금해제하는 단계
를 더 포함하는, 데이터 보안 시스템의 동작 방법.The method of claim 1, wherein providing the data security system application to a mobile device comprises providing an application of a data security system administrator,
Setting a password of an administrator in the mobile device;
Transmitting the password of the manager from the mobile device to the data security system; And
Setting the password of the administrator in the data security system and unlocking the data security system
Further comprising the steps of: 제1항에 있어서,
상기 모바일 디바이스로부터 상기 데이터 보안 시스템으로 잠금해제 요청을 모바일 디바이스 식별과 함께 제공하는 단계; 및
상기 데이터 보안 시스템에서 상기 잠금해제 요청을 수신하고 상기 데이터 보안 시스템을 잠금해제하는 단계
를 더 포함하는, 데이터 보안 시스템의 동작 방법.The method according to claim 1,
Providing an unlock request from the mobile device to the data security system with a mobile device identification; And
Receiving the unlock request in the data security system and unlocking the data security system
Further comprising the steps of: 제1항에 있어서,
상기 모바일 디바이스에 사용자 이름 또는 패스워드를 입력하는 단계;
상기 모바일 디바이스로부터 상기 사용자 이름 또는 패스워드를 수신한 후 상기 서버에서 상기 사용자 이름 또는 패스워드가 유효할 때를 결정하는 단계;
상기 사용자 이름 또는 패스워드가 유효할 때 상기 서버로부터 상기 모바일 디바이스로 통신하는 단계; 및
상기 사용자 이름 또는 패스워드가 상기 데이터 보안 시스템을 잠금해제하는데 유효할 때 상기 모바일 디바이스로부터 상기 데이터 보안 시스템으로 통신하는 단계
를 더 포함하는, 데이터 보안 시스템의 동작 방법.The method according to claim 1,
Inputting a user name or a password to the mobile device;
After receiving the user name or password from the mobile device, determining when the user name or password is valid at the server;
Communicating from the server to the mobile device when the username or password is valid; And
Communicating from the mobile device to the data security system when the user name or password is valid for unlocking the data security system
Further comprising the steps of: 제1항에 있어서,
상기 모바일 디바이스에 사용자 이름 또는 패스워드를 입력하는 단계;
상기 모바일 디바이스로부터 상기 사용자 이름 또는 패스워드를 수신한 후 상기 서버에서 상기 사용자 이름 또는 패스워드가 유효할 때를 결정하는 단계;
상기 사용자 이름 또는 패스워드가 유효할 때 상기 서버로부터 상기 모바일 디바이스로 통신하는 단계;
상기 모바일 디바이스로부터 식별 번호를 수신한 후 상기 서버에서 상기 식별 번호가 유효할 때를 결정하는 단계; 및
상기 서버가 상기 식별 번호가 유효하다고 결정할 때 상기 모바일 디바이스를 통해 상기 데이터 보안 시스템을 잠금해제하는 단계
를 더 포함하는, 데이터 보안 시스템의 동작 방법.The method according to claim 1,
Inputting a user name or a password to the mobile device;
After receiving the user name or password from the mobile device, determining when the user name or password is valid at the server;
Communicating from the server to the mobile device when the username or password is valid;
Determining from the server when the identification number is valid after receiving the identification number from the mobile device; And
Unlocking the data security system via the mobile device when the server determines that the identification number is valid
Further comprising the steps of: 제1항에 있어서,
상기 모바일 디바이스의 유효한 위치를 서버에 제공하는 단계;
상기 서버에서 상기 모바일 디바이스가 상기 유효한 위치에 있을 때를 결정하는 단계; 및
상기 서버가 상기 모바일 디바이스가 상기 유효한 위치에 있다고 결정할 때 상기 모바일 디바이스를 통해 상기 데이터 보안 시스템을 잠금해제하는 단계
를 더 포함하는, 데이터 보안 시스템의 동작 방법.The method according to claim 1,
Providing a valid location of the mobile device to a server;
Determining when the mobile device is in the valid location at the server; And
Unlocking the data security system via the mobile device when the server determines that the mobile device is in the valid location
Further comprising the steps of: 제1항에 있어서,
상기 모바일 디바이스에서 상기 데이터 보안 시스템에 대한 동작의 현재 시간을 서버에 제공하는 단계;
상기 서버에서 상기 모바일 디바이스가 상기 현재 시간 내에 있을 때를 결정하는 단계; 및
상기 모바일 디바이스가 상기 현재 시간을 갖는다고 상기 서버가 결정할 때 상기 모바일 디바이스를 통해 상기 데이터 보안 시스템을 잠금해제하는 단계
를 더 포함하는, 데이터 보안 시스템의 동작 방법.The method according to claim 1,
Providing the server with a current time of operation for the data security system at the mobile device;
Determining when the mobile device is in the current time at the server; And
Unlocking the data security system via the mobile device when the server determines that the mobile device has the current time
Further comprising the steps of: 제1항에 있어서,
서버에서 커맨드를 제공하는 단계,
상기 모바일 디바이스로부터의 커맨드 대기 신호에 응답하여 상기 커맨드를 상기 서버로부터 상기 모바일 디바이스로 제공하는 단계; 및
상기 커맨드가 상기 서버로부터 제공될 때 상기 커맨드를 상기 모바일 디바이스를 통해 상기 데이터 보안 시스템에서 수행하는 단계
를 더 포함하는, 데이터 보안 시스템의 동작 방법.The method according to claim 1,
Providing a command at the server,
Providing the command from the server to the mobile device in response to a command wait signal from the mobile device; And
Performing the command on the data security system via the mobile device when the command is provided from the server
Further comprising the steps of: 제1항에 있어서,
서버에서 패스워드 변경 커맨드를 제공하는 단계;
상기 모바일 디바이스로부터의 패스워드 변경 신호에 응답하여 상기 패스워드 변경 커맨드를 상기 서버로부터 상기 모바일 디바이스로 제공하는 단계; 및
상기 데이터 보안 시스템에서 상기 변경된 패스워드로 상기 데이터 보안 시스템을 잠금해제하는 단계
를 더 포함하는 데이터 보안 시스템의 동작 방법.The method according to claim 1,
Providing a password change command at the server;
Providing the password change command from the server to the mobile device in response to a password change signal from the mobile device; And
Unlocking the data security system with the changed password in the data security system
Further comprising the steps of: 제1항에 있어서, 상기 데이터 보안 시스템을 전력 공급을 위해 호스트 컴퓨터에 연결하여 상기 호스트 컴퓨터에 의해 발견 가능하게 되도록 하는 단계를 더 포함하는, 데이터 보안 시스템의 동작 방법.2. The method of claim 1, further comprising the step of connecting the data security system to a host computer for power supply to be discoverable by the host computer. 데이터 보안 시스템으로서,
데이터 보안 송수신기 또는 수신기;
상기 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및
상기 인증 서브시스템에 연결된 저장 서브시스템
을 포함하는, 데이터 보안 시스템.As a data security system,
Data security transceiver or receiver;
An authentication subsystem operatively coupled to the data secure transceiver or receiver; And
The storage subsystem connected to the authentication subsystem
The data security system. 제18항에 있어서, 상기 데이터 보안 송수신기 또는 상기 수신기에 및 상기 인증 서브시스템에 연결된 보안 컨트롤러를 더 포함하는, 데이터 보안 시스템.19. The data security system of claim 18, further comprising a security controller coupled to the data security transceiver or receiver and to the authentication subsystem. 제18항에 있어서, 상기 데이터 보안 시스템이 상기 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지하기 위해 상기 보안 컨트롤러와 함께 동작하는 데이터 보안 시스템 애플리케이션을 갖는 모바일 디바이스를 더 포함하는, 데이터 보안 시스템.19. The system of claim 18, further comprising a mobile device having a data security system application operable with the security controller to maintain connectivity when the data security system is within a predetermined proximity to the mobile device. system. 제18항에 있어서, 상기 데이터 보안 시스템이 미리 결정된 기간 동안 상기 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지하기 위해 상기 보안 컨트롤러와 함께 동작하는 데이터 보안 시스템 애플리케이션을 갖는 모바일 디바이스를 더 포함하는, 데이터 보안 시스템.19. The system of claim 18, further comprising a mobile device having a data security system application operable with the security controller to maintain connectivity when the data security system is within a predetermined proximity to the mobile device for a predetermined period of time Data security system. 제18항에 있어서, 연결성을 유지하기 위해 모바일 송수신기 또는 수신기를 갖는 모바일 디바이스가 상기 데이터 보안 시스템과 상기 모바일 디바이스 사이에서 양방향 통신을 이용하는 것을 포함하는 것을 더 포함하는, 데이터 보안 시스템.19. The system of claim 18, further comprising using a bi-directional communication between the data security system and the mobile device, the mobile device having a mobile transceiver or receiver to maintain connectivity. 제18항에 있어서, 연결성을 유지하기 위해 모바일 송수신기 또는 수신기를 갖는 모바일 디바이스가 상기 데이터 보안 시스템과 상기 모바일 디바이스 사이에서 단방향 통신을 이용하는 것을 포함하는 것을 더 포함하는, 데이터 보안 시스템.19. The data security system of claim 18, further comprising using a one-way communication between the data security system and the mobile device, the mobile device having a mobile transceiver or receiver to maintain connectivity. 제18항에 있어서, 데이터 보안 시스템 애플리케이션을 구비한 모바일 디바이스와 사용자 관리 데이터베이스를 포함하는 서버 사이의 유선 또는 무선 연결 통신을 더 포함하는, 데이터 보안 시스템.19. The system of claim 18, further comprising wired or wireless connection communication between a mobile device having a data security system application and a server including a user management database. 제18항에 있어서, 상기 데이터 보안 시스템은 호스트 컴퓨터에 연결하기 위한 외부 통신 채널을 포함하는, 데이터 보안 시스템.19. The system of claim 18, wherein the data security system comprises an external communication channel for connection to a host computer.
KR1020187022506A 2016-01-04 2017-01-03 Data security system using encryption KR102054711B1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/987,749 US10181055B2 (en) 2007-09-27 2016-01-04 Data security system with encryption
US14/987,749 2016-01-04
PCT/US2017/012060 WO2017123433A1 (en) 2016-01-04 2017-01-03 Data security system with encryption

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020197035893A Division KR102201093B1 (en) 2016-01-04 2017-01-03 Data security system with encryption

Publications (2)

Publication Number Publication Date
KR20180107775A true KR20180107775A (en) 2018-10-02
KR102054711B1 KR102054711B1 (en) 2019-12-11

Family

ID=59311569

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020187022506A KR102054711B1 (en) 2016-01-04 2017-01-03 Data security system using encryption
KR1020197035893A KR102201093B1 (en) 2016-01-04 2017-01-03 Data security system with encryption

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020197035893A KR102201093B1 (en) 2016-01-04 2017-01-03 Data security system with encryption

Country Status (6)

Country Link
JP (3) JP6633228B2 (en)
KR (2) KR102054711B1 (en)
CN (2) CN112054892A (en)
GB (2) GB2562923B (en)
TW (2) TWI727717B (en)
WO (1) WO2017123433A1 (en)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10783232B2 (en) 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
US10778417B2 (en) 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
US11190936B2 (en) 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10181055B2 (en) 2007-09-27 2019-01-15 Clevx, Llc Data security system with encryption
TWI651626B (en) * 2017-11-30 2019-02-21 大陸商北京集創北方科技股份有限公司 Biometric data encryption method and information processing device using same
WO2019177563A1 (en) * 2018-03-12 2019-09-19 Hewlett-Packard Development Company, L.P. Hardware security
GB2574433B (en) * 2018-06-06 2022-11-02 Istorage Ltd Dongle for ciphering data
EP3788538A1 (en) * 2018-08-16 2021-03-10 Clevx, LLC Self-encrypting module with embedded wireless user authentication
CN110225515B (en) * 2019-06-24 2022-08-23 喀斯玛(北京)科技有限公司 Authentication management system, method and device
JP2022050899A (en) 2020-09-18 2022-03-31 キオクシア株式会社 Memory system
TWI788936B (en) * 2021-08-02 2023-01-01 民傑資科股份有限公司 Flash drive locked with wireless communication manner
KR102540669B1 (en) * 2021-12-17 2023-06-08 주식회사 그리다에너지 System for Job history authentication using encrypted and non-editable job data
CN114598461B (en) * 2022-02-24 2023-10-31 广东天波信息技术股份有限公司 Online unlocking method of terminal equipment, terminal equipment and readable storage medium

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030093693A1 (en) * 2001-11-12 2003-05-15 Palm, Inc. System and method for providing secured access to mobile devices
US20060271789A1 (en) * 2003-04-10 2006-11-30 Matsushita Electric Industrial Co., Ltd. Password change system

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10340231A (en) * 1997-06-05 1998-12-22 Kokusai Electric Co Ltd Ic card
US6529949B1 (en) * 2000-02-07 2003-03-04 Interactual Technologies, Inc. System, method and article of manufacture for remote unlocking of local content located on a client device
US6708272B1 (en) * 1999-05-20 2004-03-16 Storage Technology Corporation Information encryption system and method
WO2001020463A1 (en) * 1999-09-17 2001-03-22 Fingloq Ab Security arrangement
US8677505B2 (en) * 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
US7099663B2 (en) * 2001-05-31 2006-08-29 Qualcomm Inc. Safe application distribution and execution in a wireless environment
TW583568B (en) * 2001-08-27 2004-04-11 Dataplay Inc A secure access method and system
US20030109218A1 (en) * 2001-10-18 2003-06-12 Azalea Microelectronics Corporation Portable wireless storage unit
US7198571B2 (en) * 2002-03-15 2007-04-03 Igt Room key based in-room player tracking
JP2004326763A (en) * 2003-04-10 2004-11-18 Matsushita Electric Ind Co Ltd Password change system
JP2006025249A (en) * 2004-07-08 2006-01-26 Fujitsu Ltd Terminal device, data backup system thereof, data backup method thereof, and data backup program thereof
EP1805685A1 (en) * 2004-09-06 2007-07-11 Koninklijke Philips Electronics N.V. Portable storage device and method for exchanging data
US20060075230A1 (en) * 2004-10-05 2006-04-06 Baird Leemon C Iii Apparatus and method for authenticating access to a network resource using multiple shared devices
JP2006139757A (en) * 2004-10-15 2006-06-01 Citizen Watch Co Ltd Locking system and locking method
US20060129829A1 (en) * 2004-12-13 2006-06-15 Aaron Jeffrey A Methods, systems, and computer program products for accessing data with a plurality of devices based on a security policy
US20060176146A1 (en) 2005-02-09 2006-08-10 Baldev Krishan Wireless universal serial bus memory key with fingerprint authentication
JP4781692B2 (en) * 2005-03-08 2011-09-28 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, program, and system for restricting client I / O access
US8335920B2 (en) * 2005-07-14 2012-12-18 Imation Corp. Recovery of data access for a locked secure storage device
TWI288553B (en) * 2005-10-04 2007-10-11 Carry Computer Eng Co Ltd Portable storage device having main identification information and method of setting main identification information thereof
CN101375259B (en) * 2006-01-24 2011-10-19 克莱夫公司 Data security system
US20070248232A1 (en) * 2006-04-10 2007-10-25 Honeywell International Inc. Cryptographic key sharing method
EP2122900A4 (en) * 2007-01-22 2014-07-23 Spyrus Inc Portable data encryption device with configurable security functionality and method for file encryption
US20080303631A1 (en) * 2007-06-05 2008-12-11 Beekley John S Mass Storage Device With Locking Mechanism
TWI537732B (en) * 2007-09-27 2016-06-11 克萊夫公司 Data security system with encryption
CN100533459C (en) * 2007-10-24 2009-08-26 北京飞天诚信科技有限公司 Data safety reading method and safety storage apparatus thereof
US20100293374A1 (en) 2008-07-30 2010-11-18 Bushby Donald P Secure Portable Memory Storage Device
JP2010102617A (en) 2008-10-27 2010-05-06 Dainippon Printing Co Ltd System, device, method and program of access management of external storage, apparatus and recording medium
US20100174913A1 (en) * 2009-01-03 2010-07-08 Johnson Simon B Multi-factor authentication system for encryption key storage and method of operation therefor
US9286493B2 (en) * 2009-01-07 2016-03-15 Clevx, Llc Encryption bridge system and method of operation thereof
US8112066B2 (en) * 2009-06-22 2012-02-07 Mourad Ben Ayed System for NFC authentication based on BLUETOOTH proximity
US20110154023A1 (en) * 2009-12-21 2011-06-23 Smith Ned M Protected device management
US9270663B2 (en) * 2010-04-30 2016-02-23 T-Central, Inc. System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added
CN103797491B (en) * 2011-09-28 2017-06-23 惠普发展公司,有限责任合伙企业 Storage device is unlocked
JP6029592B2 (en) 2011-11-19 2016-11-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Storage device
US8972728B2 (en) 2012-10-15 2015-03-03 At&T Intellectual Property I, L.P. Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices
US20140149742A1 (en) * 2012-11-28 2014-05-29 Arnold Yau Method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors
GB201221433D0 (en) * 2012-11-28 2013-01-09 Hoverkey Ltd A method and system of providing authentication of user access to a computer resource on a mobile device
US9215250B2 (en) * 2013-08-20 2015-12-15 Janus Technologies, Inc. System and method for remotely managing security and configuration of compute devices
US20150161587A1 (en) * 2013-12-06 2015-06-11 Apple Inc. Provisioning and authenticating credentials on an electronic device
CN105450400B (en) * 2014-06-03 2019-12-13 阿里巴巴集团控股有限公司 Identity verification method, client, server and system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030093693A1 (en) * 2001-11-12 2003-05-15 Palm, Inc. System and method for providing secured access to mobile devices
US20060271789A1 (en) * 2003-04-10 2006-11-30 Matsushita Electric Industrial Co., Ltd. Password change system

Also Published As

Publication number Publication date
CN112054892A (en) 2020-12-08
TWI692704B (en) 2020-05-01
GB201919421D0 (en) 2020-02-12
TWI727717B (en) 2021-05-11
CN108604982B (en) 2020-09-04
GB2562923A (en) 2018-11-28
TW202029042A (en) 2020-08-01
GB2580549B (en) 2020-12-23
CN108604982A (en) 2018-09-28
GB2562923B (en) 2020-02-12
JP2019511791A (en) 2019-04-25
JP6938602B2 (en) 2021-09-22
GB2580549A (en) 2020-07-22
JP7248754B2 (en) 2023-03-29
JP2021192265A (en) 2021-12-16
TW201737151A (en) 2017-10-16
WO2017123433A1 (en) 2017-07-20
JP2020057412A (en) 2020-04-09
KR20190137960A (en) 2019-12-11
JP6633228B2 (en) 2020-01-22
KR102201093B1 (en) 2021-01-08
KR102054711B1 (en) 2019-12-11
GB201811137D0 (en) 2018-08-22

Similar Documents

Publication Publication Date Title
US11971967B2 (en) Secure access device with multiple authentication mechanisms
JP7248754B2 (en) Data security system with cryptography
US10985909B2 (en) Door lock control with wireless user authentication
US10783232B2 (en) Management system for self-encrypting managed devices with embedded wireless user authentication
US9813416B2 (en) Data security system with encryption
EP2798565B1 (en) Secure user authentication for bluetooth enabled computer storage devices
US20190297497A1 (en) Systems, methods and devices for secure data storage with wireless authentication
US11190936B2 (en) Wireless authentication system
EP4242902A2 (en) Self-encrypting module with embedded wireless user authentication

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
A107 Divisional application of patent
GRNT Written decision to grant