CN102473225A - 用于保护电子存储设备的方法、系统和设备 - Google Patents
用于保护电子存储设备的方法、系统和设备 Download PDFInfo
- Publication number
- CN102473225A CN102473225A CN2009801604260A CN200980160426A CN102473225A CN 102473225 A CN102473225 A CN 102473225A CN 2009801604260 A CN2009801604260 A CN 2009801604260A CN 200980160426 A CN200980160426 A CN 200980160426A CN 102473225 A CN102473225 A CN 102473225A
- Authority
- CN
- China
- Prior art keywords
- memory device
- encryption
- data
- condition
- register
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2147—Locking files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Abstract
一种保护数字存储设备的方法,其中,将主机连接到存储设备,主机以数字方式锁定存储设备,使得对存储设备的未授权数据访问被拒绝,主机在其中存储设备上的数据的加密被启用的条件和其中存储设备上的数据的加密被禁用的条件的一个中设置存储设备的加密条件。
Description
技术领域
本发明涉及用于保护(secure)数字存储设备的方法、系统和设备。更具体地,但非排他性地,本发明涉及将数字存储设备锁定使得对该存储设备的未授权数据访问被拒绝的方法、能够拒绝对数字存储设备的未授权数据访问的数据系统以及数字存储设备,其包括用于提供对主机处理单元的数据访问的高级技术附件(ATA)接口。
背景技术
数据存储设备装配有用于到主机计算机的连接的硬件接口。提供对主机计算机内的存储设备的访问的接口是高级技术附件(ATA)。在主机计算机内部的已知存储设备(例如硬盘驱动器(HDD)和固态驱动器(SSD))常常装配有ATA接口。
在主机存储设备通信中通常接受的标准是标准ATA/ATAPI(高级技术附件分组接口)命令集。该安全特征集,命令集的特征中的一个。安全特征集包括用于限制对存储在数字存储设备上的用户数据访问的安全集密码命令。用安全集密码命令,可以使用用户密码来将存储设备锁定或解锁。
当启用安全集密码时,存储设备被锁定,即对设备上的用户数据的访问被拒绝。通过使用安全密码来启用安全集密码。只有在上电复位之后,才启用安全集密码。只有直至在没有错误的情况下完成安全解锁命令,才能再次访问存储设备。安全解锁命令要求正确的用户密码。例如在INCITS(信息技术标准国际委员会)452-2008(D1699):AT附件8-ATA/ATAPI命令集标准文件(其是可公共获得的)中可以找到关于此标准的更多信息。
安全特征集允许用户或系统以数字方式锁定存储设备,使得未授权人员和/或未授权系统不能访问存储设备。当存储设备从其原始主机计算机断开连接且随后连接到另一主机计算机时,用户或所述另一计算机不能提供安全密码。存储设备不能被新的主机计算机解锁,并且不能被访问。
可以由计算机提供商或由最终用户来设置安全特征集。例如可以通过BIOS来访问安全特征集。当用户密码已丢失且存储设备已被锁定时,存储设备提供商可以使用主密码将存储设备解锁,该主密码一般是最终用户不可获得的。
允许保护存储设备中的数据的另一特征是加密。可以将加密定义为使用算法(可以将其称为密码)来变换数据以使得其对于除拥有通常称为密钥的特殊知识的那些系统或用户之外的系统或用户而言不可读的过程。
在某些地理区域中,某些加密数据是不被允许的。在某些区域中,例如只有在其根据例如本地标准的特定标准被加密和/或在存储设备进入该区域之前获得特定许可或证明情况下,才可能允许加密的数据或数据加密。在某些区域中,可能根本不允许将计算机上的数据加密。具有加密数据或数据加密能力的外国存储设备可能不遵守地方法规,并因此不被允许进入该区域,或者至少在没有遵守要求的标准且首先获得相关许可或证明的情况下不被允许。
然而,施加加密限制的地理区域常常的确允许在计算机和存储设备中应用ATA安全特征集。因此,可能发生的是对于某个区域而言,允许用于存储设备的ATA安全功能,而存储设备上的某些加密数据或加密功能不被允许。
附图说明
出于说明的目的,现在将参考示意性附图来描述本发明的某些实施例,在附图中:
图1示出数据系统;
图2示出锁定数字存储设备并启用或禁用该存储设备上的加密的方法的流程图。
具体实施方式
在以下详细说明中,对附图进行参考。应将说明和附图中的实施例视为说明性的且不应视为局限于所述元件的特定实施例。通过某些元件的修改、组合或变更,可以从以下说明导出多个实施例。此外,可以理解的是从本说明和附图还可以导出可能未具体地公开的实施例或元件。
在图1中,示出了可以包括主机2和数字存储设备3的数据系统1。后者还可以称为存储设备3。主机2可以包括用于处理系统1中的数据的中央处理单元(CPU),也称为主机处理单元。主机2可以包括主机连接接口4,用于数据传递到连接在主机2中和/或连接到主机2的其它设备以及来自该其它设备的数据传递。主机连接接口4可以包括被布置为用于到存储设备3的连接的接口。主机2还可以包括基本输入/输出系统(BIOS)、至少一个驱动器、至少一个软件应用、随机存取存储器、只读存储器和任何附加数目的电路、连接器和软件应用以及更多中的一个或多个。
存储设备3可以例如包括硬盘驱动器、固态驱动器或用于存储数字数据的任何其它设备。存储设备3可以包括被布置为在存储设备3与连接的硬件部件之间传递到存储设备3以及来自存储设备3的数据的存储设备连接接口5。存储设备连接接口5可以包括被布置为连接到主机2以向主机2传递数据和从主机2接收数据的接口。存储设备3还可以包括数据存储部6。在说明性示例中,可以将数据存储部6布置为存储至少一个、几十个、几百个或几千个千兆字节的数字数据。存储设备3可以包括被预编程为处理和分配输入数据的固件部7。
在某些实施例中,数据系统1可以包括计算机、个人计算机、数字媒体播放器等。在实施例中,可以将存储设备3布置在数据系统1的外壳内部。在另一实施例中,存储设备3可以包括独立(stand alone)设备且可以将其布置为手动地连接主机2和/或从主机2断开连接。
主机连接4和存储设备连接接口5可以包括对应于某个标准的互连接口。在实施例中,可以根据高级技术附件(ATA)、有时也称为集成(或智能)驱动电子装置(IDE)、接口标准来布置接口4、5。ATA接口可以包括串行ATA、并行ATA、光纤信道ATA或其它类似技术。接口4、5可以例如还包括串行附接小型计算机系统接口(SAS)或任何其它适当的存储设备接口技术。
可以将主机2配置为锁定存储设备3。主机2可以包括用于锁定存储设备3的安全软件应用8。可以将安全软件应用8配置为限制或拒绝对存储在存储设备3上的用户数据的访问。安全软件应用8可以包括根据ATA/ATAPI命令集(ATA8-ACS)的安全特征集功能。尤其在INCITS(信息技术标准国际委员会)452-2008(D1699):AT附件8-ATA/ATAPI命令集标准文件(其是可公共获得的)中可以找到关于此命令集的更多信息。该命令集可以包括用于存储设备固件的指令,以便配置某些存储设备设置。可以将关于锁定和/或解锁存储设备3的指令包括在安全特征集中。
可以将安全软件应用8配置为向存储设备3发布安全密码以便锁定存储设备3,其也称为依照ATA/ATAPI命令集标准的安全集密码命令。可以将存储设备3锁定,从而拒绝对存储设备3上的数据的访问,除非使用正确的密码来将存储设备3解锁。
可以将安全软件应用8布置为命令存储设备固件部7例如使用ATA/ATAPI命令集的安全密码将存储设备3锁定。安全软件应用8可以是系统基本输入/输出系统(BIOS)的一部分。可以将安全软件应用8包括在主机固件中。安全软件应用可以包括被配置为命令存储设备固件7的驱动程序或软件应用。并且,安全软件应用8的其它配置可能适合于用安全密码将存储设备3锁定。
可以将存储设备固件部7配置为从而根据ATA/ATAPI命令集来处理安全指令。例如,可以将存储设备固件部7配置为存储所述存储设备3的‘安全密码锁定’条件,使得存储部6上的数据不能被访问。
在其它实施例中,可以应用除ATA/ATAPI命令集之外的其它接口标准。因此,可以应用除安全集密码命令之外的其它安全密码指令用于将存储设备3锁定,并且还可以相应地配置软件安全应用8和存储设备固件部7。
可以将安全软件应用8配置为设置存储设备3的加密条件。可以将安全软件应用配置为设置存储设备3的加密管理条件。在实施例中,可以启用存储设备3上的加密,或者可以禁用存储设备3上的加密。可以将加密启用和加密禁用视为不同的加密条件。可以将安全软件应用8配置为启用或禁用存储设备3上、特别是其存储部6上的数据的加密。在本说明中,可以理解的是当加密被启用时,促进了存储设备3上的数据加密,并且当加密被禁用时,不促进存储设备3上的数据加密。加密启用功能可以包括加密密钥管理工具。例如,当启用了存储设备上的加密时,可以将存储设备上的数据预先加密。
在加密被启用之前,将存储设备上的数据预先加密,但是其仍是可自由访问的。可以提供加密密钥以激活该加密。当应用这些密钥时,数据可能不再是可自由访问的。
当安全密码被启用时,可以防止用户访问存储设备3和存储在其上面的加密密钥。当加密被禁用时,用户可以访问存储设备3以及存储在其上面的数据。此外,当加密被禁用时,可能不促进数据的加密或加密密钥管理。
在另一实施例中,当安全密码被禁用且加密被启用时,用户可以访问存储设备3,但是可能不访问数据,因为其被加密。用户可以通过应用加密密钥来访问数据。
在又另一实施例中,当安全密码被禁用且加密被启用时,用户可以访问存储设备3且可以访问数据。可以将数据预先加密,但其仍是可自由访问的。此外,可以提供加密密钥,使得用户可以应用加密锁。
可以经由存储设备3的固件部7来启用或禁用存储设备3上的数据的加密。可以将固件部7配置为处理并存储由安全软件应用8指示的加密条件。可以设置固件部7,使得加密被启用,或者可以设置固件部7,使得加密被禁用。
可以将安全软件应用8布置为通过发送包括安全集密码命令的数据束来启用或禁用存储设备3上的加密。可以将存储设备3锁定,并且可以通过发送包括ATA/ATAPI标准安全密码和指令启用加密的数据束来启用加密。数据束可以包括命令结构和数据包,其一部分可以用于特定的ATA/ATAPI标准命令。可以将加密条件指令包括在未被ATA/ATAPI命令获取的命令结构和/或数据包的某个部中。
例如,为了指示加密条件,可以在发布安全密码命令时使存储设备寄存器复位。可以使用命名为Feature(特征)、Sector count(扇区计数)、LBA Low(LBA低)、LBA Mid(LBA中)、LBA high(LBA高)的寄存器来指示存储设备3正在启用或禁用加密。这些寄存器可能保持未受到安全密码命令的影响,使得其可用于设置加密允许条件。并且,命名为Device(设备)的寄存器的较低位3:0可以可用于设置加密条件。可以通过将这些寄存器部的任何一个中的至少一位设置为一来启用加密。可以通过将这些寄存器部的任何一个中的至少一位设置为零来禁用加密。
相应地,可以将存储设备固件7配置为处理包括安全密码和加密条件指令两者的数据束。可以将固件7配置为通过将寄存器部Feature(特征)、Sector count(扇区计数)、LBA low(LBA低)、LBA mid(LBA中)、LBA high(LBA高)、Device(设备)较低位3:0的一个中的位设置为一或零来存储加密条件,分别用于启用或禁用加密。
可以将安全软件应用8配置为发布包括安全密码和加密条件的数据束。数据束可以包括命令结构和数据包。如从ATA/ATAPI标准已知的,数据包可以包括连同安全密码被一起传送到存储设备的512字节。数据包还可以具有不同的尺寸,例如一千字节。命令结构可以包括包含安全密码的28位命令,虽然位尺寸可以不同且经受变换,如可以由ATA/ATAPI标准确定的。由于可以连同安全密码命令一起发送数据包,所以数据包的一部分可以可用于设置加密条件。在实施例中,数据包可以包括被配置为设置存储设备的加密条件的至少一个字节。相应地,可以将存储设备固件7配置为基于该至少一个字节来存储加密条件。还可以使用多个字节来设置加密条件。
在图2中示出了保护存储设备3的方法。在启动之后,可以在步骤100中经由BIOS或诸如驱动程序的另一软件应用来启用安全密码。通过启用安全密码,主机2可以将存储设备3锁定,其中,可以通过输入安全密码在下一次启动时访问存储设备3。
在步骤110处可以启用或禁用加密。安全软件应用8可以让用户设置加密条件,或者用户或系统可能必须主动地指示加密条件。如果在后一种情况下,用户或系统未选择加密条件,则系统本身可以切换至默认,其可以是加密启用或禁用条件。可以经由BIOS或另一软件应用来指示加密条件。
在实施例中,可以在启用了安全密码时设置加密条件。例如,将驱动器锁定并启用数据加密,或将驱动器锁定并禁用数据加密,或者将驱动器解锁。当用户或系统选择在步骤100中将存储设备3锁定时,可以启用(120)或禁用(130)加密。
用户或系统可以以一个方式或各方式的组合启用加密。在步骤140中,可以通过将命名为Feature(特征)、Sector Count(扇区计数)、LBA Low(LBA低)、LBA Mid(LBA中)、LBA High(LBA高)的存储设备3的寄存器的一个中或Device(设备)的位3:0中的至少一个位设置为一来启用加密。这可以向存储设备3指示加密被启用。可以将加密启用指令包括在包括安全密码命令的数据束中。可以设置一个或多个寄存器中的一个或多个位以启用加密。
如汇合处150所指示的,可以通过选择或组合不同的方法来启用加密。除如步骤140所指示地设置寄存器的位之外或作为其替代,可以使用被传送到设备的数据包内的字节来向存储设备固件7指示加密被启用,如步骤160所指示的。如上文所解释的,可以将数据包包括在包括安全密码命令的数据束中。
在步骤170处,启用加密,并启用安全密码。在下一次启动时,由于启用了安全密码,所以必须输入安全密码以访问存储设备3。由于启用了加密,所以可以将存储设备3上的数据预先加密和/或可以提供加密密钥。
用户或系统可以在步骤130处选择禁用加密。用户或系统可以一个方式或各方式的组合来禁用加密。在步骤180中,可以通过将命名为Features(特征)、Sector Count(扇区计数)、LBA Low(LBA低)、LBA Mid(LBA中)、LBA High(LBA高)的存储设备3的寄存器的一个中或Device的位3:0中的至少一个位设置为零来禁用加密。这可以向存储设备3指示加密被禁用。可以将加密禁用指令包括在包括安全密码命令的数据束中。可以设置一个或多个寄存器中的一个或多个位以禁用加密。
如汇合处190所指示的,可以通过选择或组合不同的方法来禁用加密。除如步骤180所指示地设置寄存器的位之外或作为其替代,可以使用被传送到设备的数据包内的字节来向存储设备固件7指示加密被禁用,如步骤200所指示的。可以将数据包包括在包括安全密码命令的数据束中。
在步骤210处,可以禁用加密,并且可以设置安全密码。然后,可以重新启动系统1,其中,存储设备3被锁定。如果通过安全软件应用8输入了正确的安全密码,则可以访问存储设备3。由于加密被禁用,所以不能将存储设备3上的数据加密。
[0041] 根据一方面,可以提供一种保护数字存储设备3的方法。该方法可以包括将主机2连接到存储设备3。该方法还可以包括主机2以数字方式将存储设备3锁定,使得可以拒绝对存储设备3的未授权数据访问。该方法还可以包括主机2可以在其中存储设备3上的数据的加密被启用的条件中和/或在其中存储设备上的数据的加密被禁用的条件中设置存储设备3的加密条件,如图2中的示例性实施例所示,分别例如步骤170和210。
根据第二方面,可以提供一种能够拒绝对存储设备3的未授权访问的数据系统1。系统1可以包括主机2和数字存储设备3。可以为主机2提供CPU、安全软件应用8和主机连接接口4。可以为存储设备3提供固件部7、数据存储部6和/或存储设备连接接口5。可以将接口4、5布置为相互连接以允许在存储设备3与主机2之间的数据传递。可以将安全软件应用8配置为向存储设备3发布安全密码以将存储设备3锁定和/或设置数据存储部6的加密条件。可以将存储设备3配置为存储所述存储设备3的加密条件,使得存储设备3的加密被启用或禁用。
根据第三方面,可以提供数字存储设备3。数字存储设备3可以包括数据存储部6、固件部7和/或高级技术附件(ATA)接口5,其用于与主机处理单元通信。可以将存储部6(例如其固件部7)配置为(i)处理包括设定安全密码和加密条件指令的数据束,(ii)通过设定安全密码指令以数字方式锁定存储设备3,和/或(iii)基于所述加密条件指令,在(i)其中存储设备上的数据的加密被启用的条件(例如参见步骤170)和/或(ii)其中存储设备上的数据的加密被禁用的条件(例如参见步骤210)的一个中存储所述存储设备3的加密条件。
如上文所解释的组合的锁定和加密特征可以是有利的用于选择性地启用和禁用存储设备3上的数据加密,取决于其通过使用ATA命令集标准被出口到的特定地理区域,该ATA命令集标准已可以被应用为计算机内部的大多数存储设备中的标准。例如,可以在使加密被启用的同时将意图被运送到不具有加密限制的地理区域的一批存储设备锁定。这可以允许将具有加密或可容易地加密的数据的锁定存储设备3进口到那些区域中的选项。另一方面,意图被运送到不允许加密的地理区域的一批存储设备3可以使加密被禁用。这可以允许相对容易地进口那些存储设备3到那些限制性区域中。同时,可以将存储设备3锁定,从而提供另一形式的安全。
因此,可以将存储设备3运送到基本上所有地理区域,同时对其进行保护。用存储设备3的相对低的工作量和/或成本,可以使用包括ATA/ATAPI安全特征集的数据束来设置加密条件。
上述说明并不意图是排他性的或使本发明局限于所公开的实施例。通过附图、本公开和所附权利要求的研究,本领域的技术人员在实施要求保护的发明时能够理解并实现对公开实施例的其它变化。在权利要求中,词语“包括”不排除其它元件或步骤,并且不定冠词“一个”或“一种”不排除复数,而对一定数目的元件的引用不排除具有多于该元件数目的可能性。单个处理器或其它单元可以完成本公开中叙述的多个项目的功能,并且反之亦然,多个项目可以完成一个项目的功能。
在相互不同的从属权利要求中叙述了某些措施的纯粹事实不指示不能有利地利用这些措施的组合。在不脱离本发明的范围的情况下,可以实现多个替换、等价物、变化和组合。在不脱离本发明的范围的情况下,可以实现多个替换、等价物、变化和组合。
Claims (18)
1.一种保护数字存储设备的方法,其中
将主机连接到存储设备,
主机以数字方式将存储设备锁定,使得对存储设备的未授权数据访问被拒绝,
主机在以下条件的一个中设置存储设备的加密条件:
其中存储设备上的数据的加密被启用的条件,以及
其中存储设备上的数据的加密被禁用的条件。
2.根据权利要求1所述的设置加密条件的方法,其中,只有在重新启动主机之后,将存储设备锁定并设置加密条件。
3.根据权利要求1所述的设置加密条件的方法,其中,所述主机发布设定安全密码命令以锁定存储设备。
4.根据权利要求1所述的设置加密条件的方法,其中,主机固件将存储设备锁定并通过高级技术附件(ATA)接口来设置存储设备的加密条件。
5.根据权利要求1所述的设置加密条件的方法,其中,所述主机通过发布设定安全密码命令来锁定存储设备,并通过将以下中的至少一个内的位设置为一来启用存储设备上的加密:
命名为Feature的寄存器,
命名为Sector Count的寄存器,
命名为LBA Low的寄存器,
命名为LBA Mid的寄存器,
命名为LBA high的寄存器,以及
命名为Device的寄存器的较低位3:0。
6.根据权利要求1所述的设置加密条件的方法,其中,所述主机通过发布设定安全密码命令来锁定存储设备,并通过将以下中的至少一个内的位设置为零来禁用存储设备上的加密:
命名为Feature的寄存器,
命名为Sector Count的寄存器,
命名为LBA Low的寄存器,
命名为LBA Mid的寄存器,
命名为LBA high的寄存器,以及
命名为Device的寄存器的较低位3:0。
7.根据权利要求1所述的设置加密条件的方法,其中,所述主机通过发布包括设定安全密码命令的数据束锁定存储设备,其中,由数据束的至少一个字节命令存储设备设置存储设备的加密条件。
8.根据权利要求7所述的设置加密条件的方法,其中,所述数据束为至少约512字节。
9.根据权利要求1所述的方法,其中,所述主机向存储设备发送数据束以设置安全密码和加密条件,以及
所述数据束包括命令结构和数据包。
10.根据权利要求1所述的方法,其中,所述存储设备被锁定,并且在被设置为用于运送到一个地理区域的至少一个存储设备上,加密被启用,以及
所述存储设备被锁定,并且在被设置为用于运送到另一地理区域的至少一个存储设备上,加密被禁用。
11.一种能够拒绝对存储设备的未授权访问的数据系统,包括
主机和数字存储设备,其中
所述主机被提供有CPU、安全软件应用和主机连接接口,
所述存储设备被提供有固件部、数据存储部和存储设备连接接口,
接口被布置为相互连接以允许在存储设备与主机之间的数据传递,
安全软件应用被配置为向存储设备发布安全密码以将存储设备锁定并设置数据存储部的加密条件,以及
存储设备被配置为存储所述存储设备的加密条件,使得存储设备的加密被启用或禁用。
12.根据权利要求11所述的数据系统,其中,使用高级技术附件(ATA)接口来连接所述主机和所述存储设备。
13.根据权利要求11所述的数据系统,其中,所述存储设备包括硬盘驱动器和/或固态驱动器。
14.根据权利要求11所述的数据系统,其中,所述主机包括包含所述安全软件应用的基本输入/输出系统(BIOS)。
15.根据权利要求11所述的数据系统,其中,所述存储设备固件部包括命名为Feature、Sector Count、LBA Low、LBA Mid、LBA high的寄存器部和由命名为Device的寄存器的较低位3:0组成的寄存器部,以及
该固件部被配置为通过寄存器部的至少一个中的至少一位来存储其加密允许条件。
16.根据权利要求15所述的数据系统,其中,所述固件部被配置为使得当所述至少一位被设置为一时,启用加密,以及
当所述至少一位被设置为零时,禁用加密。
17.根据权利要求11所述的数据系统,其中,所述安全软件应用被配置为向存储设备发布数据包,所述数据包包括被配置为设置存储设备的加密条件的至少一个字节,
并且,所述存储设备固件被配置为基于所述至少一个字节来存储加密条件。
18.一种数字存储设备,包括
数据存储部,
固件部,以及
高级技术附件(ATA)接口,其用于提供对主机处理单元的数据访问,其中
所述固件部被配置为
处理包括设定安全密码和加密条件指令的数据束,
通过设定安全密码指令以数字方式锁定存储设备,以及
基于所述加密条件指令,在以下条件的至少一个中存储所述存储设备的加密条件:
其中存储设备上的数据的加密被启用的条件,以及
其中存储设备上的数据的加密被禁用的条件。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2009/050340 WO2011008192A1 (en) | 2009-07-12 | 2009-07-12 | Method, system and device for securing a digital storage device |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102473225A true CN102473225A (zh) | 2012-05-23 |
CN102473225B CN102473225B (zh) | 2016-01-20 |
Family
ID=43449612
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200980160426.0A Expired - Fee Related CN102473225B (zh) | 2009-07-12 | 2009-07-12 | 用于保护数字存储设备的方法、系统和设备 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8868920B2 (zh) |
CN (1) | CN102473225B (zh) |
DE (1) | DE112009004950T5 (zh) |
GB (1) | GB2484041B (zh) |
WO (1) | WO2011008192A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8560845B2 (en) * | 2011-01-14 | 2013-10-15 | Apple Inc. | System and method for tamper-resistant booting |
KR20150081022A (ko) * | 2014-01-03 | 2015-07-13 | 삼성전자주식회사 | 영상처리장치 및 그 제어방법 |
US10963592B2 (en) * | 2019-02-05 | 2021-03-30 | Western Digital Technologies, Inc. | Method to unlock a secure digital memory device locked in a secure digital operational mode |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060174352A1 (en) * | 2001-07-25 | 2006-08-03 | Seagate Technology Llc | Method and apparatus for providing versatile services on storage devices |
TW591630B (en) * | 2002-06-04 | 2004-06-11 | Key Technology Corp | Data security device of storage medium and data security method |
US8112637B2 (en) * | 2005-07-12 | 2012-02-07 | Hewlett-Packard Development Company, L.P. | System and method for programming a data storage device with a password |
US20070113279A1 (en) * | 2005-11-14 | 2007-05-17 | Phison Electronics Corp. | [portable storage device] |
JP2007272476A (ja) * | 2006-03-30 | 2007-10-18 | Fujitsu Ltd | 情報記憶装置 |
US8122258B2 (en) * | 2006-05-22 | 2012-02-21 | Hewlett-Packard Development Company, L.P. | System and method for secure operating system boot |
KR20080010799A (ko) * | 2006-07-28 | 2008-01-31 | 삼성전자주식회사 | 액정표시장치 및 이의 구동 방법 |
US7971241B2 (en) | 2006-12-22 | 2011-06-28 | Hitachi Global Storage Technologies Netherlands, B.V. | Techniques for providing verifiable security in storage devices |
CN100437618C (zh) * | 2006-12-29 | 2008-11-26 | 北京飞天诚信科技有限公司 | 一种便携式信息安全设备 |
US20080184035A1 (en) | 2007-01-30 | 2008-07-31 | Technology Properties Limited | System and Method of Storage Device Data Encryption and Data Access |
US20090046858A1 (en) * | 2007-03-21 | 2009-02-19 | Technology Properties Limited | System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key |
US20080288782A1 (en) | 2007-05-18 | 2008-11-20 | Technology Properties Limited | Method and Apparatus of Providing Security to an External Attachment Device |
ITTO20070421A1 (it) * | 2007-06-13 | 2008-12-14 | Elsag Spa | Sistema per il trasporto di gruppi di oggetti postali parzialmente sovrapposti |
US8556991B2 (en) * | 2008-08-08 | 2013-10-15 | Absolute Software Corporation | Approaches for ensuring data security |
US8266449B2 (en) * | 2009-03-31 | 2012-09-11 | Lenovo (Singapore) Pte. Ltd. | Security for storage devices |
US8145891B2 (en) * | 2009-04-09 | 2012-03-27 | Dell Products L.P. | Bios-selectable data wiping system |
-
2009
- 2009-07-12 GB GB1201099.7A patent/GB2484041B/en not_active Expired - Fee Related
- 2009-07-12 WO PCT/US2009/050340 patent/WO2011008192A1/en active Application Filing
- 2009-07-12 CN CN200980160426.0A patent/CN102473225B/zh not_active Expired - Fee Related
- 2009-07-12 DE DE112009004950T patent/DE112009004950T5/de not_active Withdrawn
- 2009-07-12 US US13/383,383 patent/US8868920B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20120102331A1 (en) | 2012-04-26 |
DE112009004950T5 (de) | 2012-07-12 |
GB2484041B (en) | 2015-08-12 |
CN102473225B (zh) | 2016-01-20 |
WO2011008192A1 (en) | 2011-01-20 |
GB201201099D0 (en) | 2012-03-07 |
US8868920B2 (en) | 2014-10-21 |
GB2484041A (en) | 2012-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8315394B2 (en) | Techniques for encrypting data on storage devices using an intermediate key | |
CN1592877B (zh) | 用于对大容量存储设备上数据加密/解密的方法和装置 | |
EP1766492B1 (en) | Method, system and securing means for data archiving with automatic encryption and decryption by fragmentation of keys | |
US8839371B2 (en) | Method and system for securing access to a storage device | |
US7971241B2 (en) | Techniques for providing verifiable security in storage devices | |
JP4629060B2 (ja) | 外部記憶媒体とそれに関連する装置 | |
US20070300031A1 (en) | Memory data shredder | |
KR20120101611A (ko) | 물리적으로 분리 가능한 키 저장 장치를 갖는 하드웨어 암호화 저장 장치 | |
US20110060921A1 (en) | Data Encryption Device | |
US20100211992A1 (en) | Data security apparatus | |
CN102549594A (zh) | 临时秘密的安全存储 | |
CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
US20090271619A1 (en) | External storage apparatus and method of preventing information leakage | |
KR20080070779A (ko) | 노드에서 유저 데이터를 보호하는 방법 및 시스템 | |
CN202694329U (zh) | 一种无线存储设备 | |
US20100250959A1 (en) | Security for storage devices | |
CN105740725A (zh) | 一种文件保护方法与系统 | |
CN103186479A (zh) | 基于单操作系统的双硬盘隔离加密装置、方法及计算机 | |
JP2008005408A (ja) | 記録データ処理装置 | |
US20180239912A1 (en) | Data security method and local device with switch(es) | |
CN102346716A (zh) | 硬盘存储设备的加密方法和解密方法及其加解密系统 | |
US20150156195A1 (en) | Method for protecting data on a mass storage device and a device for the same | |
CN102473225A (zh) | 用于保护电子存储设备的方法、系统和设备 | |
US9262619B2 (en) | Computer system and method for protecting data from external threats | |
KR100676086B1 (ko) | 보안 데이터 저장 장치 및 그 장치의 접근 제어 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160120 |