CN100385434C - 数据安全管理系统 - Google Patents
数据安全管理系统 Download PDFInfo
- Publication number
- CN100385434C CN100385434C CNB001369679A CN00136967A CN100385434C CN 100385434 C CN100385434 C CN 100385434C CN B001369679 A CNB001369679 A CN B001369679A CN 00136967 A CN00136967 A CN 00136967A CN 100385434 C CN100385434 C CN 100385434C
- Authority
- CN
- China
- Prior art keywords
- portable terminal
- storage medium
- card
- software
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
- G06Q20/108—Remote banking, e.g. home banking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2153—Using hardware token as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
含有重要信息的数据被存储在一些与终端相分开的DB卡中。这些终端和介质被设置成相对应的关系。为防止未授权的访问从而防止DB卡上的信息被泄漏,当一个终端访问一个DB卡时,该终端将把其自己的硬件识别号码与DB卡的硬件识别信息相比较,以判断该终端是否被授权访问该DB卡。当该终端是已被授权的时,该终端将进一步把其自己的软件识别号码与DB卡的软件识别号码相比较,以判断该终端是否还被授权访问该DB卡中的一个可移动DB。
Description
技术领域
本发明涉及通过设计一种针对用非法便携式终端去访问一个便携式数据记录介质的对抗措施的安全管理方案。
背景技术
近年来,诸如小型存储盘和存储卡等便携式记录介质的容量不断增大,尺寸不断降低,使得大容量的数据库也可被存储在其内以便携带。
许多销售商携带着他们各自的便携式终端去进行他们的日常销售活动。每个便携式终端都只带有一个小容量的内设存储器,所以交易活动中所使用的部分或全部数据库被存储在一个便携式存储介质中。销售商把存储介质设置到他们的终端中,并把终端带到他们的客户/代理人处,在那里通过访问存储在存储介质中的数据来进行显示、输出和/或数据更新。为了确保由一个合法的终端去访问存储介质,采用了输入口令的方式来检验一个终端用户是否合法。
一个公司的职员、退职雇员、兼职人员和打工的学生都有愈来愈多的机会去使用他们专用的便携式终端。由于他们需要把便携式终端带到他们的客户/代理人处使用,便携式存储介质和终端可能会丢失或被盗。所以如果便携式存储介质或终端的内设存储器中含有高度机密的重要个人信息或企业信息,则当终端被人检到或偷盗和/或被第三方故意窃取时,这些信息便十分可能被暴露给他人。过去,由于便携式终端主要在别人的办公室或公司使用,所以认为终端的操作简单性和快捷性等操作环境比会带来复杂输入操作的严格安全管理更为重要。对付因便携式存储介质和终端的丢失或被盗以及退职雇员和兼职人员的故意盗窃所造成的信息泄漏的对抗措施是不能令人满意的。如果他们知道用户口令或偶然敲入了口令,他们中任何一个人都能够容易地用他(她)自己的个人计算机去访问用户的便携式终端或记录介质中的数据,从而可能含在终端或记录介质中的重要信息将十分可能被泄漏给这个人。
如果便携式终端自身具有可由用户设定安全措施的机制,则一个第三者便能容易地改变这一设定,从而这种机制本身就可能会损害安全性。
发明内容
因此,本发明的一个目的是能可靠地防止存储在一个数据存储介质中的重要信息因丢失、被盗和/或被故意盗窃而泄漏给他人,并且能实现不会损害操作性和不需要用户安全管理操作的完善安全管理。本发明的另一个目的是可靠地防止除了合法终端和操作者之外的第三方用他们的终端非法地访问便携式存储介质,从而实现关于在代理商和客户的办公室或公司使用存储介质和终端的可靠安全管理。
为了达到上述目的,按照本发明一个方面,提供一种数据安全管理系统,包括:
便携式数据存储介质;以及
与所述便携式数据存储介质连接的便携式终端;
其中,该便携式数据存储介质分别存储有多个运行于所述便携式终端上的软件应用、由每个软件应用所生成的数据文件、用于标识所述数据存储介质的硬件识别号码、用于所述多个软件应用的多个软件识别号码,以及用于指定可使用所述数据存储介质的多个用户的多个用户密码,
其中该便携式终端包括一个非可重写存储区,其中存储有用于指定便携式终端的硬件识别号码以及用于标识可用软件应用的多个软件识别号码;以及一个可重写存储区;以及
其中该便携式终端进一步包括:
装置,响应所述便携式存储介质连接到所述便携式终端上时的电源接通,用于读取存储在所述数据存储介质上的硬件识别号码并且随后确定所读取的硬件识别号码是否与存储在该便携式终端的非可重写存储区内硬件识别号码匹配,
装置,作为确定所读取的识别号码匹配的响应,用于确定由操作该便携式终端的用户输入的密码是否与存储在数据存储介质内的、用于指定所述多个用户的所述多个密码中的任何一个匹配,
装置,作为确定所输入的密码匹配的响应,用于允许该用户从存储在数据存储介质上的多个软件应用中选择任一个期望的应用,
装置,作为用户选择所期望的应用软件的响应,用于从数据存储介质中读取对应于所选择的软件应用的一个软件识别号码,以及用于确定匹配所读取的软件识别号码的该软件应用识别号码是否存储在该便携式终端的非可重写存储区内,以及
装置,作为对确定该匹配软件识别号码存储了的响应,用于启动存储在数据存储介质上的选定的软件应用,以及在所述数据存储介质上存储由该软件应用运行所生成的数据文件,作为对应于该应用软件的数据文件。
优选地,其中该便携式存储介质进一步存储用于驱动该便携式终端的基本软件;以及该便携式终端响应于所述电源的接通以便由该基本软件来操作,从所述数据存储介质中读取硬件标识信息,以及确定所读取的硬件标识信息是否与存储在该便携式终端上的硬件标识信息匹配。
按照本发明的另一个方面,提供一种数据安全管理系统,包括:
便携式数据存储介质;以及
与所述便携式数据存储介质连接的便携式终端;
将各种代码和软件写到所述数据存储介质和便携式终端的服务器,
其中该服务器包括:
装置,用于产生硬件识别号码以便以对应关系设定所述便携式终端和便携式数据存储介质,并且将该硬件识别号码不可变更地存储在便携式终端和便携式数据存储介质上;
装置,用于产生对应于要在便携式终端上运行的软件应用的软件识别号码并且将其不可变更地存储在便携式终端上;以及
装置,用于在便携式存储介质上写入运行在便携式终端上的多个软件应用、由所述多个软件应用生成的多个数据文件、用于所述多个软件应用的多个软件识别号码以及用于指定可使用该便携式存储介质的多个用户的多个用户密码。
根据本发明的再一个方面,提供了一种预先存储了用以限制使用特定便携式数据存储介质的第一和第二识别信息的便携式终端,其中上述存储介质中预先存储了第三和第四识别信息,该便携式终端包括:
第一判断装置,用于将存储在数据存储介质中的第三识别信息与存储在终端中的第一识别信息相比较,并根据比较的结果判断是否允许访问该数据存储介质;以及
第二判断装置,用于当第一判断装置判定允许访问该数据存储介质时,读出预先存储在数据存储介质中的第四识别信息,将该读出的信息与预先存储在终端中的第二识别信息相比较,并根据这后一比较的结果判断是否允许访问数据存储介质中的数据。
根据本发明,采取了所有可能的多重安全措施,其中含有重要信息的数据存储在一个与便携式终端分开的便携式数据存储介质中,并且其中各个终端和各个存储介质被设置成具有对应的关系,以防止因丢失、被窃和/或被故意盗窃而造成的对数据和其存储介质的非法访问,从而可靠地防止了数据存储介质中的重要信息被泄漏给第三方,同时又不需要合法用户去执行任何特殊的操作,也不会损害操作性能。
即使当预先存储了含有重要信息的数据的便携式数据存储介质被丢失或盗窃,也因采取了所有可能的安全措施,其中包括以多重方式检验要进行访问的终端或用户是否是已被授权访问该数据存储介质的合法终端或用户,从而可靠地防止了不合法的第三方非法地访问存储介质-实现了在代理商和客户的办公室或公司使用存储介质情况下的可靠安全管理。
一个服务器除了能在便携式数据存储介质上写入数据文件之外,还能把每个数据存储介质与被授权可以访问该数据存储介质的便携式终端按对应关系联系起来,以及把每个数据存储介质与被授权可以使用该数据存储介质的用户按对应关系联系起来。为了保证数据存储介质的安全管理,各个便携式终端并不含有安全管理的机制。用户不需要为安全管理执行任何特殊的操作,并且得到了不会损害用户终端操作性能的可靠安全管理。
当服务器在便携式数据存储介质上写入数据文件时,它将以多重方式有效地加密文件的数据。这样,在最坏的情况下,即使一个不合法的终端有机会访问一个偶然拾到的或偷得的存储介质,整个文件也不会有被解密的危险,从而可靠地防止了文件中可能存储的重要信息被泄漏。
通过事先分别对存储介质数据文件的各个记录进行加密,被授权终端便能按其加密方式来访问存储介质。这样,即使一个非法终端有机会访问拾到的、偷得的和/或被故意盗窃的存储介质,安全性出问题的也只有被解密的记录,而整个文件却没有被解密的危险,从而可靠地防止了存储在介质中的重要信息被泄漏。
除了在数据存储介质上写入数据文件之外,为了保证便携式数据存储介质的安全管理,服务器还把每个数据存储介质与被授权访问该介质的便携式终端按对应关系联系起来。服务器从一个主数据库的记录中分割出一部分并生成一个可移动的数据文件,并把该可移动数据文件写入到便携式数据存储介质上,但不在其上写入原始的主数据库,从而防止为即使是该存储介质的合法终端提供过多的信息,并且可靠地防止存储在数据存储介质中的重要信息因介质丢失、被盗和/或故意盗窃而泄漏给第三方。
附图说明
图1是根据本发明的一种安全管理系统的方框图;
图2说明每个业务组中DB卡、便携式终端、与用户之间的关系;
图3示意性地说明一个多重安全方案;
图4说明服务器中的一个设定表,主DB文件、和对应于主DB文件的基本应用的组成;
图5说明写入在一个DB卡中的数据的内容;
图6说明每个便携式终端的一个内设存储器的组成;
图7是一个服务器和一个便携式终端的方框图;
图8A和B共同说明服务器对设定表执行的表设定处理;
图9A和B是共同说明下述处理的流程图,在该处理中服务器在DB卡上分别写入主DB和专用应用并将它们分配给各相应的终端;
图10A、B、C分别说明主DB、根据记录提取条件从主DB提取出的记录、以及根据“要提取的场”分别改变了所提取记录后的记录。
图11是当一个终端刚接通电源后开始进行的第一安全层次DB卡安全操作的流程图;
图12是当提取图面开始时所执行的图11步骤C7的详细操作流程图;
图13A、B共同说明当一个对应于一个DB的专用应用开始时所执行的步骤D16;以及
图14是服务器对根据日常业务改变了的DB卡的可移动DB的收集以及服务器中主DB更新的流程图。
具体实施方式
下面将参考附图1-14说明作为本发明的一个优选实施例的安全管理系统。参见图1,该安全管理系统包括:一个例如安装在一个公司中的服务器1;多组可移动或便携式代理人终端2,它们分别由相应的销售商携带,并通过串行电缆5以可卸方式连接在服务器1上;以及分别设置在相应便携式终端2中供使用的多组便携式存储介质3。
服务器1通过一组相应的存储介质3向每组终端2提供存储在服务器1中并由其管理的应用软件/数据库。当服务器1在每一组中的各个存储介质3上写入数据库或其他数据并把这些存储介质分配给该组中的各个终端时,服务器1将通过设定信息来把该组中的各终端与各存储介质按对应关系联系起来,和/或采取各种安全措施,由此来防止第三方非法地复制一个存储介质3中的应用软件/数据库,以及防止信息泄漏。
各个销售商在他们的代理人和客户的公司或办公室中访问他们的存储介质3中的应用软件/数据库,在结束了他们的销售活动后返回他们的公司或办公室,从终端取出存储介质并将其置入服务器1的一个卡读出/写入器4。作为响应,服务器1将通过卡读出/写入器4收集存储介质3中的业务记录。
每个存储介质3都预先存储了各种业务活动应用程序和一个数据库,并包含一个紧凑型快速刷新卡(flash card),以下将后者称作可移动数据库卡(DB卡)。符号“#A”、“#B”、“#C”、……代表各个DB卡3所属的组,并对应于便携式终端2所属的组A、B、C、……。卡读出/写入器4含有多个卡设置插口,用来接纳相应的多个DB卡3。
服务器1通过相应的DB卡3给终端2分配一个应用程序/数据库(DB)文件。较详细地说,服务器1调用准备写入到DB卡上了的数据或一个应用程序/DB文件,将它们传送给卡读出/写入器4,并把该应用程序/DB文件写入到设置在卡读出/写入器4中的一个或几个DB卡3中。
图2示出一些业务组“销售部1”、“销售部2”、……。例如,图2中的销售部1有可由用户UA1、UA2和UA3中任一人使用的DB卡#A1、#A2和#A3,以及相应的便携式终端A1、A2和A3。对销售部2也类似。这里,可为这组用户中任一人使用的共同口令是设定在每个DB卡上的。
图3示意性地说明,当任一个特定便携式终端2访问任一个特定DB卡时所执行的多重安全管理方案。该安全管理方案包括:DB卡安全功能、口令认证功能、软件安全功能、和数据库多重加密功能,这些功能分别由第一、第二、第三和第四安全层执行。第一安全层中执行的DB卡安全功能在终端刚接通电源时被存储在DB卡中的一个基本软件程序起动,将存储在终端2中的第一识别数据(硬件识别号码)与DB卡中的进行比较,以判断是否允许该终端2访问该DB卡。
当服务器1事先设定准备写入终端2和DB卡3的表数据时,根据从同一组成或同一部的任一个特定终端2上读出的特有终端识别数据(制造商流水号)来产生“硬件识别号码”。服务器1把同样的硬件识别号码写入到同一组或同一部的所有终端2和DB卡3上,把它用作共同的访问限制数据。
当DB卡安全功能的检验操作结果表明允许该特定终端访问该特定DB卡时,第二安全层执行的口令认证操作将包括一个检验操作,即根据输入的用户认证数据(口令)判断该终端或用户是否合法。这里使用了加密的口令,该口令通过以预定的方式对从终端输入的口令进行加密得到,并作为该用户所独有的认证数据被写入在各个相应的DB卡3上。如果有多个用户被授权使用该终端,则在DB卡上将写入所有用户各自的加密口令。在第二安全层所执行的口令认证处理中,当判断出已连续地重复输入了一个预定数目N次的错误用户口令(以下称数N为图面解除输入计数),则将不再显示用来提示用户输入他或她的口令的提取图面(一个初始图形),从而不再接受后继的口令输入,这样便保证了安全保护。
由第三安全层执行的软件安全操作包括:比较分别存储在访问终端和目标卡中的第二或软件认证数据,并根据比较的结果判断该终端是否被授权访问存储在卡中的数据库(可移动DB)。当服务器1事先设定准备写入便携式终端2和DB卡3的表数据时,根据对同一组或同一部中每个终端所独有的终端识别数据(制造商流水号)和从该终端读出的组名以及提供给该组的主DB名,来产生“软件标识号码”。服务器1把该软件标识号码写入到同一组内的各个终端2和相应的DB卡3上。
由第四安全层所执行的数据库多重加密操作包括:即使当某个拾到了或偷到了DB卡的第三方已冲破第一至第三安全层从而成功地访问到了该DB卡时,防止该第三方解密DB卡中的数据库。
当服务器1分别在各个DB卡3上写入数据库并把这些卡分配给各相应的终端时,服务器1并不在各个卡上都写入为该销售部所产生的主数据库,而是根据各销售部的工作内容从主数据库中分割出一些必要的数据,并为该组或部生成一个分割出的数据的可移动数据库(DB)。在该情形中,服务器1将加扰所生成的可移动DB或一个指明了各文件的存储位置的FAT(文件配置表)的文件管理信息。FAT的加扰可以用任何加密或加扰密钥以任何方式进行。当服务器1在一个DB卡3上写入一个可移动DB时,它将用所产生的任何记录密钥每次一个地加密可移动DB中的各个记录。这样,可移动DB便被多重加密并写入到DB卡上。
图4示出设置在服务器1中的一个设定表11、一些主DB文件12和对应于这些主DB的基本应用程序13。设定表11是一个服务器1事先在其中设定了准备写入到DB卡3和便携式终端2上的各种数据的表。在本实施例中,服务器1集中地在各DB卡3上写入了所需的数据,而不是让各终端2把数据写在DB卡上。
设定表11对每个组“销售部1”、“销售部2”和“销售部3”都有不同的设定区。设定在各设定区中的数据分别被写入到所述这个组的各个终端2和DB卡3上。
对于每一个组的设定包括:“组名称”、“硬件识别号码”、属于同一组的“终端数目”、“终端名1,2,3,……”、以及被授权使用各个终端的“总用户数目”。
对每一个组还设定了一个“图面解除输入计数N”,如前所述,该计数N代表允许连续重复输入错误口令的设定次数,其后将解除图面显示。
对被授权使用终端的各个用户分别设定了“用户名1”、“口令”;“用户名2”、“口令”;……,对每个组还设定了一个“加扰密钥SK”和一个“记录加密密钥RK”。
对于各个准备写入到DB卡上的可移动DB,分别设定了一个“可移动DB名1”、“主DB名”、“记录提取条件”、“准备提取的场”、“可移动DB名2”……。“主DB名”根据相应组执行的业务内容的需要,规定了存储在服务器1中并由其管理的多个主DB文件12中的一个文件。“记录提取条件”和“准备提取的场”代表通过根据相应组的业务内容来改变主DB以生成一个对应于相应组的可移动DB的条件。较具体地说,“记录提取条件”代表从主DB提取所希望记录的条件。“准备提取的场”代表要把提取的记录改变成所希望场的记录的场提取条件。通过对每个主DB设定“记录提取条件”和“准备提取的场”,就可生成一个能满足相应组的业务内容和各个终端的处理内容的独有的可移动DB。
“专用应用1”、“专用应用2”、……是分别对应于“可移动DB名1”、“可移动DB名2”、……设定的。“专用应用”是一个处理相应可移动DB的应用程序,其中包括一个对应于根据该可移动DB而改变了其主DB的基本应用13的改变了的显示形式。
对应于每个“专用应用”而设定的有:“软件识别号码”、“更新日期”和“对应的可移动DB名”。这里,“软件识别号码”是对同一组内所有的“专用应用”共同设定的。“更新日期”代表更改基本应用的日期。
或者,在相应的“专用应用”的设定区中也可以只设定一个专用应用名。这时,可以把“专用应用”自身存储在一个独立的文件中,使得可以根据设定在设定表11中的相应专用应用名来调用应用软件本身。
“基本软件”设定在独立于设定表11的各个组的设定区的一个区中,作为准备写入的共用于各个组的数据。“基本软件”包括“提取图面”、“FAT加扰/解搅算法”、“加密/解密算法”、和“操作控制/管理文件”。“基本软件”用来控制每个便携式终端的基本操作。“提取图面”用来根据基本软件应用的操作显示出一个初始图形或登录图形。
“操作控制/管理文件”预先存储了用于控制专用应用的操作的基本控制信息,通常被写入在DB卡上。在本实施例中,当错误的口令被连续重复地输入了预定次数时,“操作管制/管理文件”将被删除,从而解除了其后的提取图面。在DB卡上含有该文件的前提下,当起动提取图面时每个便携式终端都会显示出一个登录图形。
图5示出服务器在每个DB卡3上写入的数据内容,即:“硬件识别号码”、“FAT(加扰的)”、“基本软件”、“提取图面”、“FAT加扰/解搅算法”、“加密/解密算法”、“操作控制/管理文件”、和“图面解除输入计数”。“FAT(加扰的)”是关于管理相应DB卡中的每个可移动DB的信息,并以经过加扰后的形式写入。
分别写入了已被授权使用相应DB卡的各个用户的“用户名1”、“加密口令+随时间变化的密钥”;“用户名2”、“加密口令+随时间变化的密钥”;以及一个“记录密钥RK”。对于可移动DB写入了:“可移动DB名1”、作为其实际数据的“DB(加密的)”;“可移动DB名2”、作为其实际数据的“DB(加密的)”;“专用应用1”、“软件识别号码(共用的)”、“更新日期”、“相应的可移动DB名”;以及“专用应用(2)”、“软件识别号码(共用的)”、“更新日期”和“相应的可移动DB名”。
图6示出写入在每个便携式终端2的内设存储器中的数据。内设存储器含有快速刷新ROM和RAM,它们至少具有安全措施所需的存储容量。在本实施例中,为了使因便携式终端本身的丢失/被窃听所造成的重要信息泄漏的危险性最小化,应用程序、数据库和基本应用程序都是写在DB卡3上的,而不是分别存储在终端2和DB卡3上的。
“硬件识别号码”、“软件识别号码”和“加扰密钥SK”是由服务器1不可改变地存储在每个终端的快速刷新ROM中的。RAM中包括了“密钥/数据输入区”、“FAT读出区”、“记录区”和“其他工作区”。“记录区”的大小只能暂时存储最少需要量的数据或一个当前正在处理的记录,使终端中不留下数据。虽然没有示出,但每个终端2的内存中都不可改变地存储着其独有的制造商流水号。
图7是服务器1和终端2的方框图。基本上服务器1和终端2的相同单元用相同的代号表示,并用相同的文字说明。为了区分服务器1与终端2中的对应单元,在服务器1相应单元的代号前面加上了一个字母“A”。这样,下面将仅说明每个终端2的组成单元,略去对服务器1的说明。CPU21根据存储装置22中的一个记录介质23所存储的操作系统/各种应用软件或程序来控制终端2的全部操作。介质23包括也是预先存储了数据库和文字格式的磁性、光学或半导体存储器。存储装置22还含有一个用于驱动存储介质的驱动系统。记录介质23包括例如硬盘这样的固定介质或者例如CD-ROM、软盘、RAM卡、或磁卡这样的以可卸方式设置的便携式介质。
记录介质23中的每个程序和数据都可在CPU21的请求之下被安装到一个RAM(例如静态RAM)24上,或者相反(从RAM下载给介质)。记录介质可以在一个外部装置(如服务器1)中提供。CPU21可以通过一个传输媒体直接地访问记录介质中的程序或数据。
CPU21还能够借助于一个传输控制单元25通过例如通信线路/电缆等电缆传输媒体或者例如无线电波、微波或红外线等无线传输媒体从另一个装置(它是一个计算机通信系统的一个组成部分)接收程序和数据,并给记录介质23输入程序和数据。
程序/数据可以是存储在一个外部装置(如服务器1)中并由其管理的程序/数据,CPU21可以通过传输媒体直接访问和使用的外部装置的程序/数据。
CPU21通过一条总线连接在作为其输入/输出周边装置的传输控制单元25、输入装置26和显示器27上,并根据输入/输出程序来控制它们的操作。输入装置26包括一个键盘、一个触摸面板或鼠标和触笔等指点装置,用来输入文字串数据/各种命令。
下面将参考流程图来说明本实施例安全管理系统的操作。流程图中实现上述各种功能的程序以可读程序码的形式存储在记录介质23(23A)中。CPU21(21A)根据存储在记录介质中的或通过传输媒体从外部接收到的程序码依次地执行其操作。
图8A和B是共同说明服务器1对设定表11执行各种设定操作的流程图。首先,服务器1设定基本的组信息(步骤A1-A10)。在可输入状态下,操作员输入此次要设定的“一个组的名称”(步骤A1),以及该组内的“终端和用户各自的数目”(步骤A2)。然后,操作员为服务器1设定一些终端2和相应的一些DB卡3(步骤A3),接着输入这些设定终端的相应“名称”(步骤A4)。
作为响应,服务器1将从为其设定的同一组的各个终端中选出任一个特定终端并读出其“制造商流水号”(步骤A5),并根据该流水号产生一个“硬件识别号码”(步骤A6),然后把该“硬件识别号码”分别写入到各个终端2和DB卡3上(步骤A7)。在表设定中,仅当分别产生了“硬件识别号码”、“软件识别号码”(后面将说明)和“加扰密钥SK”时,才执行终端和DB卡上的“硬件识别号码”写入。
在步骤A8中,输入的“组名”、“设定的终端数目”、“终端名”、“用户数目”、和“硬件识别号码”被输入给设定表11。当操作员输入了任何关于不符合口令的“图面解除输入计数”的特定值时(步骤A9),该输入的“图面解除输入计数”将进入设定表11(步骤A10)。
当用上述方法结束了组基本信息的输入之后,控制将进入关于该组用户口令输入的处理(步骤A11-A15)。首先,当操作员输入一个用户名(步骤A11)和相应的口令(步骤A12)后,输入的用户名和口令将输入给设定表11(步骤A13)。然后将判断是否已输入了该组的全部用户名和口令(步骤A14),如果答案是否定的,则重复步骤A11-A14,直到输入了全部有关的用户名和口令。
其后控制将进入关于输入“加扰密钥SK”和“记录加密密钥RK”的处理(步骤A15-A17)。首先,CPU21产生“加扰密钥SK”(步骤A15)和“记录加密密钥RK”(步骤A16)。如前所述,“加扰密钥SK”在对可移动DB的FAT加扰时使用。“记录加密密钥RK”在每次一个记录地加密数据库时使用。在此情形下,可以按要求以任何方式随机地产生这两种密钥。然后所产生的“加扰密钥SK”和“记录加密密钥RK”被输入给设定表11(步骤A17)。接着,所产生的“加扰密钥SK”被分别写入到各便携式终端2上(步骤A18)。
其后控制将进入关于设定一个数据库和一个相应的应用软件的处理(步骤A20-A34)。首先,操作员输入一个准备写入到DB卡上的“可移动DB名”,这时将产生一个作为该“可移动DB名”的来源的“主DB名”(步骤A20,A21)。作为响应,“可移动DB名”和“主DB名”将以相对应的关系输入给设定表11(步骤A22)。然后,将显示出主DB中一个文件的各个记录,以提供导引(步骤A23)。这时,如果主DB中每个记录由8个场的数据组成,例如图10A中的场为A(姓名)、B(地址)、C(电话号码)、D(通信地址)、E(工作)、F(公司名)、G(年令)、H(更新日期),则一个记录的这些场将以上述次序显示。操作员确认记录的显示,然后规定“记录提取条件”(步骤A24)。较详细地说,操作员规定所显示记录场中的一些希望的场,作为准备要对它们设定条件的场,然后再对这些规定的场输入“记录提取条件”。例如,操作员规定“更新日期”项目的一些场作为要设定条件的场,然后规定1999年12月20日以后更新的那些记录作为“记录提取条件”。
然后操作员规定所显示记录场中的一些场作的要提取的场(步骤A25)。作为响应,CPU21A将输入规定的“记录提取条件”,并在设定表11中对应于相应的可移动DB名设定要提取场的“名称”(步骤A26)。
然后检验是否已规定了相应组中所使用的全部可移动DB(步骤A27)。如果不是这样,则CPU21A将重复上述步骤A20-A27,直到规定了全部可移动DB从而输入了全部的可移动DB。
然后,根据读出的“制造商流水号”、原先在组中规定的“可移动DB名”、和输入的“组名”,产生“软件识别号码”(步骤A28),接着在设定的终端2上写入该“软件识别号码”(步骤A29)。
然后,控制进入下述处理,即对应于此次输入的可移动DB名来输入专用应用。较详细地说,当操作员指定了各个已输入可移动DB名中的任一个特定DB名(步骤A30)之后,将读出一个对应于该指定可移动DB名的“主DB名”,并访问在对应于该主DB的基本应用13,再通过把该基本应用13改变成可使用该可移动DB的形式来生成一个希望的专用应用(步骤A31)。例如,可以这样来生成一个希望的专用应用:根据可移动DB的记录组成情况在显示屏上指定一个位置,在该位置处指明了任一规定的特定场;或者,通过把显示的场大小规定为任一个希望尺寸来改变基本应用。
在所生成的专用应用中写入了“软件识别号码”、代表当前系统日期的“更新日期”、以及相应的“可移动DB名”(步骤A32)之后,把该专用应用输入给设定表11(步骤A33)。上述步骤A30-A33将重复执行,直到生成并输入了所有的专用应用(步骤A34)。
然后判断是否已对全部各组设定和输入了图4的所有要数据(步骤A35)。如果答案是否定的,则对每个组重复进行步骤A1-A35,直到对每个组都设定了并在设定表11中输入了图4的所有数据。在这过程中,每当结束了对一个组的数据设定和输入时,将指定要设定的下一个组,并且为服务器1设定这一被指定组的各个终端2和DB卡3。通过这样的表11的设定,在各个终端2上将分别写入了“硬件识别号码”、“软件识别号码”、和“加扰密钥SK”;而在各个DB卡上将分别写入了“硬件识别号码”和“软件识别号码”。
图9A和B是共同说明服务器1的操作的流程图,其中包括在DB卡3上写入可移动DB和相应的专用应用,以及把这些DB和专用应用分配给组内的各个终端。首先,操作员在服务器1上设置要分配的一个或几个DB卡3(步骤B1)。作为响应,将从设置的DB卡中选出一个,并从该卡读出“硬件识别号码”(步骤B2)。根据“硬件识别号码”并借助设定表11,指定相应的组(步骤B3)。从设定表11读出所有组共用的“基本软件”,并将它写入到所有组的DB卡上(步骤B4)。这里,基本软件中预先存储了“提取图面”、“FAT加扰/解扰算法”、“加密/解密算法”、和“操作控制/管理文件”。
然后,从设定表11读出对应于指定组的“图面解除输入计数N”,并将它写入到DB卡上(步骤B5)。
然后获取当前系统日期并将它规定为一个时间变量(步骤B6)。从指定组的各用户中的排在最前面的那个用户(领头用户)中读出对应于该用户的“口令”(步骤B7),并以时间变量作为密钥对口令加密(步骤B8)。在DB卡上写入得到的加密口令、时间变量密钥、以及相应的用户名(步骤B9)。
然后判断是否已对指定组的所有用户都作了规定(步骤B10)。如果答案是否定的,则对乘下的每个用户重复步骤B7-B10。这样,当对所有用户都执行了上述处理之后,从设定表11读出该指定组的“记录加密密钥RK”,并将它写入到DB卡上(步骤B11)。
下面将说明生成可移动DB和将它写入到DB卡上的处理。首先,从设定表11读出已输入的对应于指定组的各可移动DB名中排在最前面的一个可移动DB名的主DB名的主DB文件(步骤B12)。然后获取对应于该主DB名的“记录提取条件”和“要提取的场”,再根据“记录提取条件”在该主DB文件12中搜索相应的记录(步骤B13)。图10B示出一个具体例子,其中对应于“记录提取条件”的一些记录被从主DB(图10A)中分割(或提取)出来,使得只能提取为相应组的业务和其中终端的处理所必需的记录。
然后,根据“要提取的场”来改变所提取记录的组成成份(步骤B14)。图10C示出一个具体例子,其中只有对应于“要提取的场”的那些场才被从提取的记录中分割出来,形成一个新的可移动DB。
然后控制进入图9B中的步骤B15,其中用“记录加密密钥RK”分别对已改变了组份的记录中的各个记录场进行加密。这里,每当完成了对一个记录场的加密时,就要更新一次记录加密密钥RK的值,使得各个记录场分别被不同的加密密钥加密。然后产生这些加密记录的一个可移动DB文件,并将它写入到DB卡上(步骤B16)。
然后判断对应于该指定组是否输入了另一个可移动DB名(步骤B17)。如果答案是肯定的,则控制将返回步骤B12,重复上述步骤B1-B12。这样就为指定组中的每个可移动DB名都生成了可移动DB文件,并且这些文件都已写入到了DB卡上。生成表明文件存储位置的FAT标记并将它写入到DB卡上。
然后控制进入下述处理:在DB卡上写入对应于可移动DB的专用应用。首先根据主DB名从设定表11读出对应于该主DB名的一个专用应用(步骤B18)。然后判断DB卡中是否已写入了该专用应用(步骤B19)。由于起初DB卡中没有专用应用,所以控制将转至步骤B24,在那里将读出设定表11中的当前专用应用并将它写入到DB卡上。这样便对应于可移动DB在DB卡上新写入了最新的专用应用(包括其软件识别号码和更新日期)。
当在步骤B19中判定DB卡中已有了专用应用之后,将判断DB卡中的更新日期是否与当前专用应用中的更新日期相符(步骤B20)。如果判定两个更新日期不一致,或者当前专用应用被更新了,则控制将转至步骤B24,在DB卡上写入当前专用应用,以提供最新的专用应用。如果两个更新日期一致,则DB卡中的专用应用就是最新的。于是不再进行更新。
然后判断在该组中是否设定了另一个专用应用(步骤B21)。如果答案肯定,则控制返回步骤B18,读出下一个专用应用,并重复步骤B18-B21。
当写入了专用应用后,用加扰密钥SK对表明DB卡中各可移动DB的各个文件的存储位置的FAT标记进行加扰(步骤B22)。然后判断是否还存在其他未经写入的DB卡(步骤B23)。如果有这样的DB卡,则控制返回图9A中的步骤B2,指定一个未经写入的DB卡,并对该卡重复上述处理。这样就在设置于服务器1中的各个DB卡上分别写入了图6的数据。把已写入了基本软件、用户信息、可移动DB、以及相应的专用应用的各个DB卡分别分配给所述组的各个用户。
图11是说明当便携式终端接通电源时的起动操作的流程图。首先,当在终端中设置了一个DB卡的情况下接通电源时,其基本操作将根据该DB卡中的基本软件起动(步骤C1)。作为响应,由第一安全层执行DB卡安全处理。这时,从DB卡读出硬件识别号码(步骤C2),并将它与终端的硬件识别号码相比较(步骤C3)。结果,如果两者相符(步骤C4),则该终端与卡有合法的对应关系。于是把DB卡中的加扰FAT读出给终端,设定在图6中RAM的“FAT读出区”中(步骤C5)。然后利用终端中的加扰密钥SK对加扰的FAT解搅(步骤C6)。然后起动提取图面(步骤C7)。如果终端与卡没有合法的对应关系,则将判定它们的硬件识别号码不一致。于是将显示一个“硬件出错”(步骤C8),强迫切断电源(步骤C9),处理结束。
图12是详细说明图11步骤C7中的起动提取图面的处理流程图。首先,由第二安全层执行关于口令认证处理的安全处理。其中,当起动提取图面时终端将访问DB卡,并检验该卡中是否存在操作控制/管理文件(步骤D1)。如果连续重复地输入了预定次数的错误口令,则为了解除其后的提取图面将删除掉操作控制/管理文件。所以如果终端判定不存在操作控制/管理文件,则将显示一个终端解除消息(步骤D10),并相应地强迫切断电源(步骤D11),处理结束。
如果存在操作控制/管理文件,则将显示一个登录图形,提示用户输入用户名和他或她的口令(步骤D2)。当用户输入了用户名和口令(步骤D3)后,将读出DB卡中对应于该用户名的加密口令(步骤D4),并用时间变量作为密钥对口令解密(步骤D5)。然后将输入的口令与解密的口令进行比较(步骤D6)。如果判断结果是两个口令不相符(步骤D7),则将不相符的次数加1,并比较该增加后的不相符次数和对相应组设定的图面解除输入次数N,以检验是否已连续N次输入了错误的口令(步骤D8)。如果尚未达到N次,则控制返回登录图形(步骤D2),以硬再次接收用户输入的用户名和口令。
如果判定已连续重复N次输入了错误的口令(步骤D8),则将从DB卡中删除操作控制/管理文件(步骤D9),并显示操作解除消息(步骤D10),强迫切断电源(步骤D11),处理结束。如果在连续重复N次口令之前判定了两个口令相符,从而判定该用户是一个合法用户(步骤D7),则将由第三安全层执行软件安全处理。较具体地说,显示出被写入在DB卡中的各个专用应用的菜单图形。这样,当用户选择了菜单图形中的一个希望专用应用(步骤D12)后,将从DB卡读出含在所选专用应用中的软件识别号码(步骤D13),并将它与用户终端的软件识别号码相比较(步骤D14)。如果判断结果发现两个软件识别号码不一致(步骤D15),则将显示一个操作解除消息(步骤D10),强迫切断电源(步骤D11),处理结束。如果判断结果是两个软件识别号码相符,则显示屏上将显示出所选的专用应用,并起动相应的应用处理(步骤D16)。
图13A和B是共同详细说明专用应用起动时所执行的图12步骤D16的流程图。首先,显示一个处理菜单(步骤E1)。该菜单图形所显示的项目有:“密钥提取”、“添加”、以及“结束”。当选择了一一个希望的菜单项目(步骤E2)后,将检验该所选项目(步骤E3、E13),并起动相应的处理。当选择了菜单项目“密钥提取”并输入了提取密钥(例如一个商品名或一个客户名)(步骤E4)之后,将从DB卡读出“记录加密密钥RK”,并用该记录加密密钥RK对提取密钥加密(步骤E5)。然后在DB卡中的一个可移动DB中搜索一个与加密的提取密钥相匹配的密钥(步骤E6)。如果找不到相匹配的密钥(步骤E7),则将再次显示菜单图形(步骤E1),再次允许输入提取密钥。如果搜索时找到了匹配密钥(步骤E7),则控制进入步骤E8,其中将从相应的可移动DB读出对应于提取密钥的记录,并把它写入到图6RAM的“记录区”中。然后用记录加密密钥RK对该记录解密(步骤E9),显示出该记录的内容(步骤E10),并显示处理菜单(步骤E11)。这里的菜单图形所显示的项目有“修改”、“删除”、和“结束”。这样,当从图形中选择了一个希望的项目(步骤E12)后,将引起对所选项目的检验(图16中的步骤E20、E26),并起动相应的处理。
当选择了项目“修改”(步骤E20)并输入了修改数据后,将相应地修改记录(步骤E21)。然后在修改的记录中将设置一个“修改旗标”,以指明该记录已经修改(步骤E22),其后用记录加密密钥RK对修改的记录加密(步骤E23),并用加密的记录去冲写相应DB中的原始记录(步骤E24)。然后,从终端中删去该记录(步骤E25),或者清除图6RAM中的记录区。
当选择了项目“删除”(步骤E26)之后,将删除记录中的数据,在记录中设置一个“删除旗标”,并用带有删除旗标的无数据记录去冲写可移动DB的原始记录(步骤E27)。然后从终端中删除该记录(步骤E25)。
如果在图13A的步骤E1中选择了处理菜单图形中的项目“添加”(步骤E13),则控制将进入步骤E14,其中将输入和生成一个新的记录。为了指明这是一个添加的记录,在新记录中将设置一个“添加旗标”(步骤E15),然后用记录加密密钥RK对该新记录加密(步骤E16),并把加密的记录添加到可移动DB上(步骤E17)。其后从终端中删去该记录(步骤E25)。
当在步骤E1的处理菜单图形中选择了“结束”时,将删去终端中的“FAT”(步骤E18),或清除图6RAM中“FAT读出区“的内容,然后删去终端中的该记录(步骤E25)。这样便在进行日常业务中用终端更新了存储在DB卡中的可移动DB文件的内容。
图14是说明由服务器执行的下述操作的流程图,该操作是收集一个DB卡中的可移动DB因执行日常操作而进行的改变,以及更新服务器中的主DB。当操作员把一个DB卡设置在服务器1中以收集可移动DB的改变(步骤F1)时,将从该DB卡读出“硬件识别号码”(步骤F2),并根据该硬件识别号码参照设定表11来规定相关的组(步骤F3)。然后从DB卡读出加扰密钥SK,并用该加扰密钥SK对DB卡的FAT解搅(步骤F4)。
从DB卡读出一个可移动DB(步骤F5),然后用记录加密密钥RK对DB文件的每个记录旗标解密(步骤F6)。其中,每次解密了一个记录场之后,都要更新记录加密密钥RK的值,并用该更新的密钥去解密下一个记录文件。
然后根据是否存在“修改旗标”、“删除旗标”和“添加旗标”来判断解密的DB文件中是否有任何记录已发生了改变(步骤F7)。如果判定有这样的记录,也即存在附加有上述任一种旗标的记录,则将指定服务器中对应于该可移动DB的一个主DB(步骤F8),并根据有改变记录中所附加的“旗标”类型,利用从可移动DB读出的经改变的记录,去更新主DB中的相应记录(步骤F9、F10)。也就是说,将执行三个步骤:修改相应记录的内容、删除记录的数据,以及添加一个新记录。更新主DB记录的步骤要对可移动DB中所有经改变的记录执行(步骤F9-F11)。如果DB卡中还有另外一个可移动DB(步骤F12),则对该可移动DB执行步骤F5-F12。
如前所述,在本实施例中当一个终端访问一个DB卡时,它将比较该DB卡和终端的“硬件识别号码”,并根据比较结果判断该终端是否被授权可访问该DB卡。当判断结果表明该终端已被授权访问该DB卡时,该终端将比较存储在DB卡中的和自己的“软件识别号码”,以判断该终端是否已被授权访问该卡中的可移动DB。所以,当通过判断终端和介质是否具有合法的对应关系而确定该终端不是一个被授权或合法的终端时,就可以采取能解除访问可移动DB和DB卡的一切可能的多重安全措施。
这样,可以安全地防止DB卡中可移动DB的数据因DB卡的被拾、被偷和/或被故意盗窃而泄漏给第三方。实现了不需要专门操作并且不会影响终端的操作性能的安全管理。也就是说,只要把DB卡设置在便携式终端中,便会自动地进行安全管理。因此,当用户使用DB卡时,不需要用户分心去采取安全措施,又能在不影响终端和DB卡的轻便性的情况下可靠地实现安全管理。
在该情形中,含有重要信息的可移动DB仅保存在可与终端分离的DB卡中。从而即使用户只丢失了终端或只有终端被盗,也不会造成安全问题,即使DB卡被第三方拾到或偷到,这种卡也只能被一个合法的终端访问。所以未经授权人的不能够访问DB卡和其中的可移动DB,这样便提供了十分高的安全性。
如前所述,当一个终端访问任一个DB卡时,它将比较自己的和DB卡上的“硬件识别号码”,并根据比较的结果来检验该终端是否被授权合法地访问该卡。如果该终端是合法的,它将接收用户输入的口令,并将该口令与卡上的口令相比较。然后该终端将根据比较结果来检验该用户是否合法。如果用户合法,则终端又将比较DB卡和它自己的“软件识别号码”,以检验该终端是否被授权合法地访问卡中的可移动DB。这样,这里采取了所有可能的安全措施,其中包括以多重方式检验DB卡是否是由第三方拾到或偷到并使用的,以及分别检验进行访问的终端及其用户是否已被授权合法地访问该DB卡。较具体地说,即使采用“硬件识别号码”的第一安全层被攻破,第二安全层仍会采用口令比较来提供安全性。进一步,即使第二安全层被攻破,还有采用“软件识别号码”的第三安全层来保护安全性。这样,在考虑到合法用户可以在代理人/客房的办公室/公司处或远离其所属公司的地点合法地使用DB卡的同时,又可靠地防止了除合法终端或用户之外的第三方不合法地访问DB卡,从而实现了可靠的安全管理。
在该情形中,当连续重复地输入了预定次数的错误口令时,DB卡上的“操作控制/管理文件”将被删除。其后提取图面将被解除,于是与采用“硬件识别号码”的第一安全层一样,在物理上便不再可能去访问这个DB卡,从而可靠地防止了第三方入侵到第三安全层中。
当服务器1把可移动DB写入到DB卡上时,它将相继地把该DB卡和被授权访问该DB卡的便携式终端设置成对应的关系,以及把该DB卡和被授权使用该DB卡的用户设置成对应关系。这样便有效地执行了安全处理,保证了DB卡的安全管理。于是,便携式终端自身并不具有采取这些措施的机制,也不需要用户进行专门的安全管理操作,从而实现了不影响终端操作性能的可靠安全管理。
服务器在把便携式终端要使用的可移动DB写入到一个相应DB卡上时,对一个DB文件中要写入的各个记录进行了加密,以可解搅的方式对加密DB文件的FAT进行了加扰,并把加扰后的可移动DB写入到DB卡上。因此,可移动DB经过了多重的有效加密。于是,即使在最坏的情形下一个不合法的终端实现了对可移动DB的访问,那么即使只有远少于全部可移动DB的小部分可移动DB没有被解密,也可以可靠地防止存储在可移动DB中的重要信息发生泄漏。
可以用任何信息来产生硬件和软件识别号码。例如,硬件识别号码可以是:制造商公司代码+便携式终端的制造商流水号。当在同一个DB卡中存储了多个可移动DB时,各个可移动DB的软件识别号码可以不同。
也有可能把每一个终端设定为属于多个组,而不是把各个终端唯一地分配给多个组中的一个组。
虽然这里的实施例在生成可移动DB文件时让记录加密密钥RK的值更新,并用更新的密钥值去加密一个记录文件,但也可以预先准备好多个记录加密密钥RK,并分别用它们去加密多个相应的记录。或者,也可以在各个便携式终端中存储多个记录加密密钥RK,并分别由这些终端来管理这些密钥。
虽然这里的实施例把FAT在可移动DB文件中加扰,但也可以对可移动DB文件本身进行加扰。当然,口令不一定需用要时间变量作为密钥进行加密。
虽然这里的实施例用紧凑型可快速刷新卡作为含有便携式存储介质的DB卡的例子,但DB卡也可以是PC卡、灵巧介质、OD(光盘)。MO(磁光盘)、或FD(软盘)。虽然这里认为DB卡具有卡片形式,但它也可以具有任何形式,例如盒式或棒式。便携式终端可以是电子笔记本、笔记本大小的个人计算机,PDA(个人数字助理机)、或移动电话。
Claims (3)
1.一种数据安全管理系统,包括:
便携式数据存储介质;以及
与所述便携式数据存储介质连接的便携式终端;
其中,该便携式数据存储介质分别存储有多个运行于所述便携式终端上的软件应用、由每个软件应用所生成的数据文件、用于标识所述数据存储介质的硬件识别号码、用于所述多个软件应用的多个软件识别号码,以及用于指定可使用所述数据存储介质的多个用户的多个用户密码,
其中该便携式终端包括一个非可重写存储区,其中存储有用于指定便携式终端的硬件识别号码以及用于标识可用软件应用的多个软件识别号码;以及一个可重写存储区;以及
其中该便携式终端进一步包括:
装置,响应所述便携式存储介质连接到所述便携式终端上时的电源接通,用于读取存储在所述数据存储介质上的硬件识别号码并且随后确定所读取的硬件识别号码是否与存储在该便携式终端的非可重写存储区内硬件识别号码匹配,
装置,作为确定所读取的识别号码匹配的响应,用于确定由操作该便携式终端的用户输入的密码是否与存储在数据存储介质内的、用于指定所述多个用户的所述多个密码中的任何一个匹配,
装置,作为确定所输入的密码匹配的响应,用于允许该用户从存储在数据存储介质上的多个软件应用中选择任一个期望的应用,
装置,作为用户选择所期望的应用软件的响应,用于从数据存储介质中读取对应于所选择的软件应用的一个软件识别号码,以及用于确定匹配所读取的软件识别号码的该软件应用识别号码是否存储在该便携式终端的非可重写存储区内,以及
装置,作为对确定该匹配软件识别号码存储了的响应,用于启动存储在数据存储介质上的选定的软件应用,以及在所述数据存储介质上存储由该软件应用运行所生成的数据文件,作为对应于该应用软件的数据文件。
2.如权利要求1的数据安全管理系统,其中
该便携式存储介质进一步存储用于驱动该便携式终端的基本软件;以及
该便携式终端响应于所述电源的接通以便由该基本软件来操作,从所述数据存储介质中读取硬件标识信息,以及确定所读取的硬件标识信息是否与存储在该便携式终端上的硬件标识信息匹配。
3.一种数据安全管理系统,包括:
便携式数据存储介质;以及
与所述便携式数据存储介质连接的便携式终端;
将各种代码和软件写到所述数据存储介质和便携式终端的服务器,
其中该服务器包括:
装置,用于产生硬件识别号码以便以对应关系设定所述便携式终端和便携式数据存储介质,并且将该硬件识别号码不可变更地存储在便携式终端和便携式数据存储介质上;
装置,用于产生对应于要在便携式终端上运行的软件应用的软件识别号码并且将其不可变更地存储在便携式终端上;以及
装置,用于在便携式存储介质上写入运行在便携式终端上的多个软件应用、由所述多个软件应用生成的多个数据文件、用于所述多个软件应用的多个软件识别号码以及用于指定可使用该便携式存储介质的多个用户的多个用户密码。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP4273/2000 | 2000-01-13 | ||
| JP2000004272A JP4110698B2 (ja) | 2000-01-13 | 2000-01-13 | セキュリティ管理システムおよびそのプログラム記録媒体 |
| JP2000004273A JP4486199B2 (ja) | 2000-01-13 | 2000-01-13 | 携帯端末装置、サーバ装置及び記録媒体 |
| JP2000004271A JP2001195309A (ja) | 2000-01-13 | 2000-01-13 | セキュリティ管理システムおよびそのプログラム記録媒体 |
| JP4271/2000 | 2000-01-13 | ||
| JP4272/2000 | 2000-01-13 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1304105A CN1304105A (zh) | 2001-07-18 |
| CN100385434C true CN100385434C (zh) | 2008-04-30 |
Family
ID=27342026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB001369679A Expired - Fee Related CN100385434C (zh) | 2000-01-13 | 2000-12-29 | 数据安全管理系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US6901511B1 (zh) |
| EP (1) | EP1130489B1 (zh) |
| KR (1) | KR100380807B1 (zh) |
| CN (1) | CN100385434C (zh) |
| DE (1) | DE60037639T2 (zh) |
| HK (1) | HK1041938B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3970040B2 (ja) * | 2001-01-31 | 2007-09-05 | 株式会社ソニー・コンピュータエンタテインメント | コンピュータシステム及びその使用方法 |
| JP3849465B2 (ja) * | 2001-06-27 | 2006-11-22 | 富士通株式会社 | 情報管理方法 |
| JP3485911B2 (ja) * | 2001-12-17 | 2004-01-13 | シャープ株式会社 | データ使用制限設定方法、データ使用制限設定装置、データ使用制限設定プログラムおよびそのプログラムを記録した記録媒体 |
| JP2004139442A (ja) * | 2002-10-18 | 2004-05-13 | Toyota Motor Corp | 情報端末装置、情報端末装置の動作制御方法、特定情報記憶プログラム、特定情報記憶プログラムを格納する記憶媒体、所定情報変更プログラム、端末動作プログラム、端末動作プログラムを格納する記憶媒体、及びセンタ |
| GB2404305B (en) * | 2003-07-22 | 2005-07-06 | Research In Motion Ltd | Security for mobile communications device |
| JP4091908B2 (ja) * | 2003-12-18 | 2008-05-28 | 株式会社エヌ・ティ・ティ・ドコモ | 通信システム、通信端末装置および情報記憶モジュール |
| GB0417296D0 (en) * | 2004-08-03 | 2004-09-08 | Nokia Corp | User registration in a communication system |
| US7593919B2 (en) * | 2005-02-04 | 2009-09-22 | At&T Intellectual Property I, L.P. | Internet Web shield |
| JP4856444B2 (ja) * | 2005-03-07 | 2012-01-18 | 株式会社リコー | 情報処理装置及び情報処理方法 |
| US20070011100A1 (en) * | 2005-06-21 | 2007-01-11 | Phil Libin | Preventing identity theft |
| US8756390B2 (en) * | 2005-12-05 | 2014-06-17 | International Business Machines Corporation | Methods and apparatuses for protecting data on mass storage devices |
| US20070192840A1 (en) * | 2006-02-10 | 2007-08-16 | Lauri Pesonen | Mobile communication terminal |
| KR101052128B1 (ko) * | 2006-10-04 | 2011-07-26 | 트렉 2000 인터네셔널 엘티디. | 외부 저장 기기의 인증 방법, 장치 및 시스템 |
| KR20090058660A (ko) * | 2007-12-05 | 2009-06-10 | 삼성전자주식회사 | 휴대용 단말기에서 메타데이터 관리 방법 및 장치 |
| US20090262926A1 (en) * | 2008-04-16 | 2009-10-22 | Infineon Technologies Ag | Method and apparatus for generating a cryptographic key |
| US8086688B1 (en) | 2008-05-16 | 2011-12-27 | Quick Vault, Inc. | Method and system for mobile data security |
| WO2010030157A1 (en) * | 2008-09-11 | 2010-03-18 | Kong Pheng Lee | A method of authentication of computer id for portable data storage devices |
| JP5740644B2 (ja) * | 2010-10-08 | 2015-06-24 | 日本電産サンキョー株式会社 | 電子機器装置、そのペアリング処理方法及びペアリング監視方法 |
| CN103279695B (zh) * | 2013-05-03 | 2016-04-20 | 成都交大光芒科技股份有限公司 | 轨道交通综合监控系统通信程序授权方法 |
| WO2016040942A1 (en) | 2014-09-12 | 2016-03-17 | Quickvault, Inc. | Method and system for forensic data tracking |
| CN105592004B (zh) * | 2014-10-21 | 2019-08-09 | 阿里巴巴集团控股有限公司 | 账户安全检查方法、装置、客户端、服务器及系统 |
| JP2017156938A (ja) * | 2016-03-01 | 2017-09-07 | ヤンマー株式会社 | 端末装置およびソフトウェア書き換えプログラム |
| CN110795745B (zh) * | 2019-10-14 | 2022-06-21 | 山东药品食品职业学院 | 一种基于服务器的信息存储和传送系统及其方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4375579A (en) * | 1980-01-30 | 1983-03-01 | Wisconsin Alumni Research Foundation | Database encryption and decryption circuit and method using subkeys |
| US4688169A (en) * | 1985-05-30 | 1987-08-18 | Joshi Bhagirath S | Computer software security system |
| CN1024601C (zh) * | 1989-01-10 | 1994-05-18 | 任天堂株式会社 | 防止使用未许可外部存储器的装置 |
| CN1208212A (zh) * | 1997-04-04 | 1999-02-17 | 索尼株式会社 | 提供信息的装置和方法和保存信息的计算机可读存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4430728A (en) * | 1981-12-29 | 1984-02-07 | Marathon Oil Company | Computer terminal security system |
| AU3777593A (en) * | 1992-02-26 | 1993-09-13 | Paul C. Clark | System for protecting computers via intelligent tokens or smart cards |
| US6154879A (en) * | 1994-11-28 | 2000-11-28 | Smarttouch, Inc. | Tokenless biometric ATM access system |
| US6131090A (en) * | 1997-03-04 | 2000-10-10 | Pitney Bowes Inc. | Method and system for providing controlled access to information stored on a portable recording medium |
| US6016476A (en) * | 1997-08-11 | 2000-01-18 | International Business Machines Corporation | Portable information and transaction processing system and method utilizing biometric authorization and digital certificate security |
| US6044349A (en) * | 1998-06-19 | 2000-03-28 | Intel Corporation | Secure and convenient information storage and retrieval method and apparatus |
-
2000
- 2000-08-31 US US09/652,499 patent/US6901511B1/en not_active Expired - Lifetime
- 2000-10-25 KR KR10-2000-0062787A patent/KR100380807B1/ko active IP Right Grant
- 2000-11-23 EP EP00125701A patent/EP1130489B1/en not_active Expired - Lifetime
- 2000-11-23 DE DE60037639T patent/DE60037639T2/de not_active Expired - Lifetime
- 2000-12-29 CN CNB001369679A patent/CN100385434C/zh not_active Expired - Fee Related
-
2002
- 2002-02-27 HK HK02101516.1A patent/HK1041938B/zh not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4375579A (en) * | 1980-01-30 | 1983-03-01 | Wisconsin Alumni Research Foundation | Database encryption and decryption circuit and method using subkeys |
| US4688169A (en) * | 1985-05-30 | 1987-08-18 | Joshi Bhagirath S | Computer software security system |
| CN1024601C (zh) * | 1989-01-10 | 1994-05-18 | 任天堂株式会社 | 防止使用未许可外部存储器的装置 |
| CN1208212A (zh) * | 1997-04-04 | 1999-02-17 | 索尼株式会社 | 提供信息的装置和方法和保存信息的计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1130489B1 (en) | 2008-01-02 |
| CN1304105A (zh) | 2001-07-18 |
| DE60037639D1 (de) | 2008-02-14 |
| US6901511B1 (en) | 2005-05-31 |
| KR20010076222A (ko) | 2001-08-11 |
| EP1130489A2 (en) | 2001-09-05 |
| HK1041938B (zh) | 2008-06-27 |
| EP1130489A3 (en) | 2004-10-06 |
| DE60037639T2 (de) | 2008-05-21 |
| KR100380807B1 (ko) | 2003-04-18 |
| HK1041938A1 (en) | 2002-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100385434C (zh) | 数据安全管理系统 | |
| US7111005B1 (en) | Method and apparatus for automatic database encryption | |
| US8918633B2 (en) | Information processing device, information processing system, and program | |
| US5065429A (en) | Method and apparatus for protecting material on storage media | |
| US6954753B1 (en) | Transparent electronic safety deposit box | |
| US20030208686A1 (en) | Method of data protection | |
| CN101953111A (zh) | 用于保密数据的系统和方法 | |
| AU2002213436A1 (en) | Method and apparatus for automatic database encryption | |
| US8824682B2 (en) | Method and system for backing up encryption key generated on computer device and accessing encrypted information stored on computer device | |
| WO1996025700A1 (en) | Personal access management system | |
| JP3867188B2 (ja) | セキュリティ管理システムおよびそのプログラム記録媒体 | |
| CN111324901A (zh) | 一种用于创建和解密企业安全加密文件的方法 | |
| CN100442301C (zh) | 用于监控内容的方法和系统 | |
| JP3528701B2 (ja) | セキュリティ管理システム | |
| JPH11272681A (ja) | 個人情報の記録方法およびその記録媒体 | |
| WO1990012464A1 (en) | Method and apparatus for protecting material on storage media | |
| CN108399341A (zh) | 一种基于移动端的Windows双重文件管控系统 | |
| JPH11250012A (ja) | 情報システムにおける不正利用防止方法 | |
| JP4486199B2 (ja) | 携帯端末装置、サーバ装置及び記録媒体 | |
| JP2005165738A (ja) | 電子コンテンツ管理システム、電子コンテンツ管理方法、及びそのプログラム | |
| JP3978964B2 (ja) | セキュリティ管理システム | |
| JP4569579B2 (ja) | セキュリティ管理装置および記録媒体 | |
| JP2001195309A (ja) | セキュリティ管理システムおよびそのプログラム記録媒体 | |
| JP2001195310A (ja) | セキュリティ管理システムおよびそのプログラム記録媒体 | |
| JPH0981461A (ja) | 情報公開方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080430 Termination date: 20191229 |