DE102011106608A1 - Speichermedium mit Zugriffsschutz sowie Verfahren zum Betreiben eines solchen Speichermediums - Google Patents

Speichermedium mit Zugriffsschutz sowie Verfahren zum Betreiben eines solchen Speichermediums Download PDF

Info

Publication number
DE102011106608A1
DE102011106608A1 DE102011106608A DE102011106608A DE102011106608A1 DE 102011106608 A1 DE102011106608 A1 DE 102011106608A1 DE 102011106608 A DE102011106608 A DE 102011106608A DE 102011106608 A DE102011106608 A DE 102011106608A DE 102011106608 A1 DE102011106608 A1 DE 102011106608A1
Authority
DE
Germany
Prior art keywords
clusters
storage medium
authentication
access
read
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102011106608A
Other languages
English (en)
Inventor
Armin Bartsch
Eddy Bernard
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient Secure Flash Solutions GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient Secure Flash Solutions GmbH filed Critical Giesecke and Devrient Secure Flash Solutions GmbH
Priority to DE102011106608A priority Critical patent/DE102011106608A1/de
Priority to PCT/EP2012/061416 priority patent/WO2012172041A1/de
Priority to EP12729502.0A priority patent/EP2721474A1/de
Publication of DE102011106608A1 publication Critical patent/DE102011106608A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0637Permissions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Speichern von Daten auf einem Speichermedium, welches einen Controller aufweist, ein Interface, sowie einen Speicherbereich zum Speichern von Daten, wobei die Daten in Clustern gespeichert werden. Erfindungsgemäß ordnet der Controller die einzelnen Cluster jeweils einem von mindestens zwei unterschiedlichen Clustertypen zu, wobei unterschiedliche Clustertypen einen unterschiedlichen Zugriffsschutz aufweisen. Der Controller gibt Zugriffe auf einen ungeschützten Clustertyp frei. Er beschränkt Zugriffe auf einen geschützten Clustertyp, indem er gegenüber einem Endgerät schreibgeschützte Cluster nicht oder als belegt anzeigt, falls nicht eine festgelegte Authentisierung vorliegt, und gegenüber einem Schreibzugriff auf Interfaceebene den Schreibzugriff verweigert. Er beschränkt ferner Lesezugriffe auf einen geschützten Clustertyp, indem er gegenüber einem Endgerät lesegeschützte Cluster nicht anzeigt, falls nicht eine festgelegte Authentisierung vorliegt, und bei einer Lesezugriff auf Interfaceebene eine Fehlermeldung oder dummy Daten ausgibt.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Speichermediums gemäß dem Oberbegriff von Anspruch 1, ein Speichermedium gemäß Anspruch 10, wobei das Speichermedium so ausgebildet ist, dass das erfindungsgemäße Verfahren implementierbar ist, sowie ein Endgerät gemäß Anspruch 13 mit einem entsprechendem Speichermedium.
  • Unter Speichermedium sollen im Folgenden beispielsweise Festplatten, insbesondere aber kompakte portable Speichermedien verstanden werden, mittels welchen ein Benutzer und/oder ein Endgerät digitale Daten abspeichern, und die ein Benutzer bequem mit sich führen kann. Besonders kompakte Speichermedien sind dabei die Speicherkarten, welche in mobilen Endgeräten wie Mobiltelefone, Digitalkameras, MP3-Playern, Video-, Bild- und Tonabspielgeräten eingesetzt werden können. Entsprechende Speicherkarten sind vorzugsweise Security Digital Memory Cards (SD-Speicherkarten) oder Micro SD Cards mit Flash-Speichern. Unter Flash-Speichern sind dabei digitale Speicherchips zu verstehen, welche auf der EEPROM-Speichertechnologe (Electrically Erasable Programmable Read – Only Memory) basieren, aber noch schnellere Schreibzugriffe erlauben. Mittels dieser Flash-EEPROM-Technologie wird ein schneller, nicht-flüchtiger elektronischer Speicherbaustein generiert, der in eine Flash-Speicherkarte integrierbar ist.
  • Der große Vorteil von bisher bekannten portablen Speichermedien wie Speicherkarten ist eine sehr flexible Nutzbarkeit, da unterschiedlichste Typen von Endgeräten die jeweilige Speicherkarten erkennen und daraufhin in Daten abspeichern bzw. von ihnen Daten auslesen können. Diese Flexibilität birgt jedoch gleichzeitig die Gefahr in sich, dass unbefugte Personen sich Zugang zu abgespeicherten sensitiven Daten verschaffen können. Je nach Sensitivität solcher Daten kann es daher notwendig sein, den unbefugten Zugriff auf die Daten zu verhindern. Natürlich könnte man den unbefugten Zugriff auf sensitive Daten dadurch blockieren, dass sämtliche Schreib- und Lesezugriffe auf Daten eines entsprechenden Speichermediums nur beim Vorliegen einer Authentisierung eines Nutzers freigegeben wird. Im Folgenden soll unter „Nutzer” ein Benutzer im herkömmlichen Sinne, also eine benutzende Person oder aber auch ein Endgerät verstanden werden. Eine Authentisierung kann beispielsweise über die Eingabe einer PIN-Nummer vorgenommen werden. Nachteilig an einer solchen grundsätzlichen Blockierung aller Zugriffe auf die Speicherkarte für den Fall wenn keine Authentisierung vorliegt ist jedoch, dass dann Endgeräte wie beispielsweise Kameras, welche die Eingabe einer PIN-Nummer oder eine andere Art der Authentisierung gar nicht ermöglichen, mit solchen Speichermedien nicht arbeiten könnten, da die Endgeräte in der Regel zumindest auf bestimmte Datentypen des Speichermediums zugreifen können müssen. Daher ist das was in manchen Fällen wünschenswert, dass Schreib- und/oder Lesezugriffe auf bestimmte Daten auch ohne das Vorliegen einer Authentisierung möglich sind, während auf andere Daten solche Zugriffe nur beim Vorliegen einer Authentisierung möglich sein sollen.
  • Die US 2008/0276065 A1 beschreibt ein Speichermedium, welches einen Speicherbereich aufweist, der in mehrere Partitionen aufgeteilt ist. Dabei kann beispielsweise eine Partition realisiert sein, die vor Zugriffen grundsätzlich geschützt ist. Auf die Daten einer weiteren Partition kann nur bedingt zugegriffen werden, also beispielsweise wenn entsprechende Zugriffsrechte vorliegen, die durch eine Authentisierung bestätigt werden. Eine weitere Partition ist dagegen frei zugänglich. Somit sind Daten unterschiedlicher Sensitivität in unterschiedliche Bereiche auf dem Speichermedium abgelegt.
  • Es ist Aufgabe der vorliegenden Erfindung, ein alternatives Verfahren zur Verfügung zu stellen, bei welchem Daten mit unterschiedlichen Zugriffsrechten in einem Speicherbereich eines Speichermediums gespeichert werden können, ohne dass unterschiedliche physikalisch getrennte Partitionen realisiert werden müssen.
  • Diese Aufgabe wird gelöst durch ein Verfahren gemäß Anspruch 1, wobei bei einem Verfahren zur Speichern von Daten auf einem Speichermedium, welches einen Controller aufweist, ein Interface sowie einen Speicherbereich zum Speichern von Daten, die Daten in Clustern gespeichert werden. Erfindungsgemäß ordnet der Controller die einzelnen Cluster jeweils einem von mindestens zwei unterschiedlichen Clustertypen zu, wobei unterschiedliche Clustertypen einen unterschiedlichen Zugriffsschutz aufweisen. Der Controller gibt dabei Zugriffe auf einen ungeschützten Clustertyp frei. Schreibzugriffe auf einen geschützten Clustertyp werden durch den Controller beschränkt, indem er gegenüber einem Endgerät schreibgeschützte Cluster gar nicht oder als belegt anzeigt, falls nicht eine festgelegte Authentisierung vorliegt. Somit ist ein entsprechend schreibgeschützter Cluster durch ein Endgerät nicht allokierbar. Schreibzugriffe auf einen geschlitzten Clustertypen, die auf Interfaceebene erfolgen, werden durch den Controller verweigert bzw. blockiert. Unter einem solchen Zugriff auf Interfaceebene soll insbesondere ein Zugriff mittels eines Geräts verstanden werden, welches kein herkömmliches Endgerät ist. Ein Beispiel für einen Zugriff auf Interfaceebene ist der mittels eines Debuggers, der unmittelbar über die Kontakte eines Speichermediums (wie beispielsweise einer Speicherkarte) direkt auf Adressen des Mediums zugreift.
  • Erfindungsgemäß wird weiterhin der Lesezugriff auf einem geschützten Clustertyp beschränkt, indem der Controller gegenüber einem Endgerät lesegeschützte Cluster gar nicht anzeigt, falls nicht eine festgelegte Authentisierung vorliegt.
  • Unter dem Vorliegen einer Authentisierung und dem Begriff „nach einer Authentisierung” soll damit im Folgenden so verstanden werden, dass der Nutzer eine Authentiseriung erfolgreich vorgenommen hat und er somit zu entsprechenden Zugriffen autorisiert ist. Die Autorisierung bleibt so lange bestehen, bis sie zurückgenommen wird. Die Zurücknahme kann durch das Speichermedium automatisch erfolgen, beispielsweise nach Ablauf einer bestimmten Zeit und/oder einer bestimmten Anzahl von Zugriffen und/oder einem Power-Cycle der Karte. Sie kann aber auch von außen durch ein entsprechendes Ereignis (zum Beispiel Kommando an das Speichermedium) ausgelöst werden. Auf diese Weise könnte sich beispielsweise der Benutzer explizit 'ausloggen', wenn er keinen autorisierten Zugriff mehr benötigt, oder ein Endgerät kann das Speichermedium sperren, zum Beispiel wenn ein Screen-Lock aktiviert wird oder es ein Signal von einem Hintergrund-Server bekommt.
  • Im Falle eines Lesezugriffs auf Interfaceebene wird eine Fehlermeldung oder werden alternativ Dummy-Daten ausgegeben und somit wiederum über den Controller der Lesezugriff auf Interfaceebene auf einen geschützten Clustertyp blockiert.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung weist das Speichermedium ein FAT-Dateisystem (File Allocation Table) auf mit einem Benutzerbereich, einem „Partition Boot Record” (PBR) und einem Master Boot Record (MBR) auf. Ein solches FAT-Dateisystem ist ein gängiges System zur Datenverwaltung auf unterschiedlichsten Speichermedien.
  • Vorzugsweise wird ein Lesezugriff auf den MBR oder den PBR unabhängig von einer Authentisierung durch einen Nutzer freigegeben. Somit ist gewährleistet, dass ein Endgerät das Speichermedium auch unabhängig von einer Authentisierung zumindest in gewissen vorgegebenen Grenzen benutzen kann. Ohne einen Lesezugriff auf den MBR und/oder den PBR bestünde für ein Endgerät ohne Authentisierung keinerlei Nutzungsmöglichkeit für das Speichermedium.
  • Umgekehrt kann vorgesehen sein, dass ein Schreibzugriff auf den MBR und PBR außer für eine Formatierung des Speichermediums unabhängig von einer Authentisierung gesperrt wird. Somit wird beispielsweise verhindert, dass geschützte Cluster in ungeschützte Clustertypen umdefiniert werden, wodurch unter Umständen ein unberechtigter Lese- oder Schreibzugriff auf eigentlich zu schützende Clustertypen möglich wäre.
  • Es kann aber auch vorgesehen sein, dass ohne eine Authentisierung Schreibzugriffe auf den MBR, den PBR und die FAT blockiert werden.
  • Bei einer bevorzugten Ausführungsform der Erfindung gibt der Controller während einer Authentisierung mit Lesefreigabe Lesezugriffe zumindest auf bestimmte geschützte Cluster frei, während Schreibzugriffe auf geschützte Cluster blockiert werden. Damit wird ermöglicht, dass beim Vorliegen einer bestimmten Authentisierungsstufe Daten von bestimmten Clustern einem Nutzer zur Verfügung gestellt werden, ein Benutzer mit dieser Authentisierung kann jedoch diese oder andere Daten nicht indem.
  • Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ändert der Controller die FAT-Einträge der bestimmten Cluster so, dass nach einer Authentisierung mit Lesefreigabe für das Endgerät neue Daten und/oder Verzeichnisse sichtbar werden, über die der Host diese Cluster lesen kann. Dabei wird vorzugsweise eine weitere Veränderung der FAT-Einträge blockiert, sodass diese Cluster nach der Authentisierung lesbar bleiben.
  • Weiterhin kann vorgesehen sein, dass der Controller nach einer Authentisierung mit Schreibfreigabe, welche typischerweise eine Authentisierung einer höheren Stufe darstellt gegenüber einer Authentisierung mit lediglich einer Lesefreigabe (und die in der Regel die Lesefreigabe umfasst), Schreibzugriffe auf bestimmte geschützte Clustertypen freigibt. Auch hier kann wiederum vorgesehen sein, dass der Controller FAT-Einträge auf bestimmten Clustertypen so ändert, dass für den Host neue Daten und/oder Verzeichnisse sichtbar werden, über die der Host diese Cluster beschreiben kann, wobei vorzugsweise eine weitere Veränderung der FAT-Einträge blockiert wird, sodass diese Cluster nach der Authentisierung beschreibbar bleiben.
  • Zusammenfassend wird daher realisiert, dass für einen Host bestimmte, geschützte Clustertypen quasi versteckt oder getarnt werden, da entsprechende Dateien und/oder Verzeichnisse nur beim Vorliegen einer Authentisierung überhaupt sichtbar werden. Umgekehrt werden schreibgeschützte Cluster (egal ob es sich um freie Cluster handelt oder um Cluster handelt, die nicht überschrieben werden sollen) dahingehend „getarnt” dass sie als belegt und damit als nicht allokierbar angezeigt werden.
  • Erfindungsgemäß ist weiterhin ein Speichermedium zum Speichern von Daten vorgesehen, wobei das Speichermedium so ausgebildet ist, dass ein Verfahren, wie weiter oben beschrieben, auf ihm implementierbar ist. Vorzugsweise handelt es sich dabei um ein portables Speichermedium, insbesondere um eine Speicherkarte wie eine Flash-Speicherkarte oder um einen USB-Speicherstick. Bei einer bevorzugten Ausführungsform der Erfindung handelt es sich bei dem Speichermedium um eine SD-Speicherkarte oder um eine MicroSD-Speicherkarte. Eine weitere bevorzugte Ausführungsform der Erfindung betrifft ein Endgerät, welches ein erfindungsgemäßes Speichermedium beinhaltet, auf welchen wiederum ein erfindungsgemäßes Verfahren implementiert ist.
  • Im Folgenden wird die vorliegende Erfindung anhand der Figuren beispielshaft anhand eines Flash-Speichers näher erläutert.
  • Dabei zeigt:
  • 1 ein FAT-basiertes Dateisystem, wie es Stand der Technik ist;
  • 2 eine typische Initialisierungssequenz mit einem einzigen PBR;
  • 3 jeweils ein Schema für einen Lese- und einen Schreibzugriff entsprechend dem erfindungsgemäßen Verfahren;
  • 4 ein Beispiel für eine FAT, bei welcher alle Dateien sichtbar sind; und
  • 5 eine FAT, bei welcher ein Ordner versteckt ist.
  • Bekannte Ablage- oder Dateisysteme eines Datenträgers bestehen aus Knoten, die in einer Baumstruktur organisiert sind. Ein Knoten ist entweder ein Ordner oder eine Datei. Ein Ordner-Knoten verweist auf weitere Unterknoten. Der oberste Knoten wird als Root bezeichnet.
  • Im Folgenden wird ein FAT-Dateisystem gemäß denn Stand der Technik erläutert.
  • In einem FAT-Dateisystem besteht jeder Knoten aus einem oder mehreren Clustern, die wiederum logische Zusammenfassung von einem oder mehreren Sektoren eines Datenträgers sind. Ein Sektor ist dabei die kleinste Speichereinheit die zwar aus mehreren einzelnen Speichereinheiten besteht, die aber dennoch nur auf einmal gelesen oder beschreiben werden kann.
  • Alle Cluster eines Knotens werden über die FAT verlinkt und bilden somit eine Kette. Jedem Cluster entspricht ein Eintrag in der FAT. Dieser FAT-Eintrag enthält den Index des folgenden Clusters. Der FAT-Eintrag eines freien Clusters enthält den Wert 0. Wenn ein Cluster der letzte einer Kette ist (er hat also keinen Nachfolger), erhält sein FAT-Eintrag einen Sonderwert.
  • Wenn ein Knoten ein Ordner ist, enthält er die Liste seiner Unterknoten. Jeder Eintrag aus dieser Liste enthält unter anderem den Namen des Unterknoten, seine Länge, den Index seines ersten Clusters, und ein Kennung, ob der Knoten (u. a.) ein Ordner oder eine Datei ist. Wenn ein Knoten eine Datei ist, enthält er die Daten des Benutzers (die sog. Nutzdaten).
  • Ein FAT-Dateisystem weist die folgenden vier Bereichen auf (siehe 1):
    • • dem Benutzerbereich: er enthält die oben genannten Ordner und Dateien.
    • • der FAT selbst: die FAT besteht aus allen Einträgen, die der Verlinkung der Cluster dienen.
    • • dem PBR: der Partition Boot Record bestimmt die Struktur des Dateisystems in der jeweiligen Partition, unter andrem ist hier abgelegt, wo sich die FAT befindet (Index ihres ersten Sektors), wie groß sie ist (Anzahl an Sektoren), und wo sich der Root-Ordner befindet (Index des ersten Clusters)
    • • dem MBR: Der Master Boot Record bestimmt wo sich die Partitionen befinden (Index der jeweiligen Sektoren, die die PBRs enthalten). Der SD Standard schreibt vor, dass nur eine Partition in einer SD Karte gestattet ist.
  • Speicherbereiche dürfen sich zwischen dem MBR und dem PBR, und zwischen dem PBR und der FAT befinden. Sie dienen meistens systemspezifischen Zwecken, und beeinflussen die Logik des Dateisystems nicht.
  • Ausprägungen der dieser Grundprinzipien können sich von FAT-System-Varianten unterscheiden, wie z. B. Länge der FAT-Einträge in FAT12, FAT16, FAT32 oder exFAT. Die grundlegende Logik bleibt aber immer dieselbe.
  • Manche herkömmliche, standardisierte Speichermedien (z B microSD-Karten und SD-Karten) ermöglichen in Verbindung mit den üblichen standardkonformen Endgeräten keine Aufteilung des zur Verfügung gestellten Speichers in unterschiedliche „Partitionen” mit unterschiedlichen Zugriffsberechtigungen.
  • Mittels der vorliegenden Erfindung soll daher gewährleistet werden, dass der Speicherbereich so aufgeteilt werden kann, dass ein Benutzer beispielsweise freien Schreib- und Lesezugriff auf bestimmte Teile bekommt, auf andere Teile hingegen nur Lesezugriff oder nur Zugriff nach vorheriger Authentisierung. Soll beispielsweise eine Speicherkarte Musik oder Videos als „Bonusmaterial” enthalten, auf das der Nutzer nur dann Zugriff erhält, wenn er im Besitz einer entsprechenden Lizenz ist.
  • Neben den genannten Speichermedien, die eine Aufteilung in Partitionen gemäß Standard nicht zulassen, kann das erfindungsgemäße Verfahren auch für andere Datenträger vorteilhaft sein (z. B. USB Speicher-Sticks), wenn eine Aufteilung in zusätzliche Partitionen unerwünscht ist.
  • Entsprechend der vorliegenden Erfindung wird das Speichermedium mit einer Funktionalität ausgestattet, die Zugriffe auf die Nutz- und Verwaltungsdaten so beschränkt oder modifiziert, dass einerseits die gewünschten Zugriffsbeschränkungen (z. B. Lesen bestimmter Nutzdaten nur nach Nutzerauthentisierung) durchgesetzt werden, andererseits diese Zugriffsbeschränkungen aber nicht zu funktionsstörenden Konflikten auf dem Host-Device führen. Ferner bleibt das bestehende System aus Nutz- und Verwaltungsdaten (d. h. das Filesystem) stets intakt und konsistent.
  • Ein Controller des Datenträgers steuert alle Lese- und Schreibezugriffe auf den Flashspeicher, also das Lesen von Daten aus bestimmten Sektor und das Schreiben von Daten in Sektoren hinein. Die Sektoren werden dabei mittels ihrer logischen Adressen (LSA) identifiziert. Eine typische Initialisierungssequenz (mit einem einzigen PBR) ist in der 2 dargestellt. Anhand der LSA eines Sektors erkennt der Controller des Datenträgers, ob es sich um den MBR handelt. Indem er den MBR auswertet, weiß dann der Controller wo (an welcher LSA) der oder die PBR der Partition(en) liegt oder liegen. Anhand der LSA der weiter gelesenen Sektoren, erkennt dann der Controller die PBR-Sektoren, wenn sie gelesen werden. Indern er die PBRs auswertet, kennt der Controller die Struktur (wo die FAT liegt, wie groß sie ist, wo sich der Root-Ordner befindet, usw.) der jeweiligen Partitionen. Anhand der LSA der weiter gelesenen Sektoren, erkennt der Controller wiederum, ob auf FAT-Einträge oder Sektoren aus dem Benutzerbereich gerade zugegriffen werden soll. Entsprechend wird beim Formatieren des Datenträgers vorgegangen, wo die MBR und PBRs beschrieben werden, anstatt gelesen zu werden.
  • Erfindungsgemäße sortiert der Controller die Cluster mittels eines Algorithmus in verschiedene Clustertypen ein. Dazu kann der Controller jedem Clustertypen ein Sichtbarkeitsmerkmal zuordnen: „sichtbar” oder „versteckt”. Sichtbare Clusters sind lesbar, beschreibbar, und dürfen in Ordnereinträge erscheinen. Versteckte Clusters sind weder lesbar, noch beschreibbar, und dürfen nicht in Ordnereinträge erscheinen.
  • Die 3 zeigt, wie der Controller Lese- und Schreibebefehle verarbeiten kann. Bei jedem Lese- oder Schreibebefehl, überprüft der Controller die LSA des zu lesenden bzw. schreibenden Sektors. Somit erkennt der Controller ob auf Nutzdaten, auf die FAT, oder auf die MBR/PBR zugegriffen wird. Wenn auf die Nutzdaten oder die FAT zugegriffen wird, dann leitet der Controller den Index des Cluster bzw. dessen FAT-Eintrag von der LSA ab. Wenn dieser Index auf einen nicht lesbaren bzw. beschreibbaren Cluster verweist, verweigert der Controller den Zugriff.
  • Darüber hinaus sind im Allgemeinen Lesezugriffe auf den MBR oder den PBR gestattet, um die Funktionalität des Speichermediums auch ohne Authentisierung zu gewährleisten. Schreibezugriffe auf den MBR oder den PBR sind – außer zum Zwecke einer Formatierung- grundsätzlich nicht gestattet.
  • Der Controller bestimmt nach Nutzer-Authentisierung welche Bereiche geschützt werden. Drei Fälle A, B und C können betrachtet werden. Um die Integration in Geräte zu erleichtern sorgt der Controller dafür, dass das Host-Device nicht versucht, auf die versteckten Clusters zuzugreifen. Der Controller verändert die Ordnereinträge (oder PBR-Einträge), die auf solche Clusters verweisen, so, dass sie leer erscheinen. Belegte FAT-Einträge erscheinen immer als belegt. Die 4 zeigt beispielhaft eine FAT, in der alle Dateien sichtbar sind. Die 5 zeigt eine FAT mit einer versteckten Datei.
  • Fall A: Keine Nutzer-Authentisierung liegt vor:
  • Die Verwaltungsdaten wurden anfangs so eingerichtet, dass der gesamte Speicherbereich des Datenträgers Dateien mindestens zweier Typen beinhaltet. Mindestens ein zu schützender Dateientyp wird als „versteckt” markiert, sodass die zugehörigen Clusters durch das Endgerät ohne Authentisierung nicht genutzt werden. Wenn nun der Controller des Datenträgers oder Speichermediums erkennt, dass FAT-Einträge gelesen werden, die sich auf Clusters beziehen, die nicht beschrieben werden dürfen, dann ändert der Controller die zu zurückliefernden Daten, sodass die Clusters als bereits belegt erscheinen (ohne dass der Inhalt des Speichers wirklich geändert wird). Die als belegt markierten Teilbereiche sollen im Folgenden vor unberechtigten Schreibezugriffen geschützt werden.
  • Das Speichermedium (konkret der Controller des Speichermediums) „hört” die Zugriffe auf die Speicherblöcke des Mediums mit und blockiert/modifiziert solche Zugriffe auf die Verwaltungsdaten (MBR, PBR oder FAT), die eine Veränderung der oben genannten Einteilung und Belegung der Speicherbereiche verursachen würden. Beispielsweise kann der Controller einen Schreibezugriff auf den MBR oder den PBR anhand der LSA des zu beschreibenden Sektors erkennen. Eine Änderung des MBRs oder des PBRs würde möglicherweise die Einteilung des Speichers verändern, und muss deswegen vorn Controller blockiert werden.
  • Um Sicherheit vor unberechtigten Schreib-Zugriffen auch auf Interface-Ebene zu erreichen, kann der Controller Schreibzugriffe auf die versteckten Clusters direkt verhindern.
  • Beispielweise kann der Controller einen Schreibezugriff auf die FAT anhand der LSA des zu beschreibenden Sektors erkennen. Dazu kann der Controller den Index des Clusters von LSA ableiten, der beschrieben werden soll, oder dessen FAT-Eintrag beschrieben werden soll. Bezieht sich der Index auf einen versteckten Cluster, soll der Controller den Zugriff verweigern.
  • Falls die versteckten Clusters auch vor unberechtigtem Lesen zu schützen sind, verhindert der Controller zudem Lesezugriffe auf diese Clusters (z. B. Fehlermeldung bei Leseversuch oder Rückgabe von Default-Werten wie Nullen).
  • Beispielweise kann der Controller einen Lesezugriff auf die FAT anhand der LSA des zu beschreibenden Clusters erkennen. Dazu, kann der Controller den Index des Clusters vom LSA ableiten, der gelesen werden soll. Gehört der Index zu einem geschützten Bereich, soll der Controller den Zugriff verweigern. Durch diese Maßnahmen wird ein Schreiben und/oder Lesen auf die geschützten Speicherbereiche verhindert. Auch ein direktes Schreiben und Lesen auf die Speicherblöcke auf Interface-Ebene durch einen möglichen Angreifer wird verhindert, da die Zugriffe blockiert werden
  • Fall B: Nutzer-Authentisierung für das Lesen geschützter Bereiche liegt vor:
  • Die oben beschriebene Lese-Blockade der betroffenen Bereiche wird aufgehoben, die Schreib-Blockade wird beibehalten. Falls es mehrere geschützte Bereiche gibt, kann je nach Authentisierung die Blockade für andere geschützte Bereiche bestehen bleiben. Der Controller des Speichermediums kann die Verwaltungsdaten so verändern (direkte Modifikation im Speicher oder Modifikation „on-the-fly” oder Einblendung anderer, entsprechend vorbereiteter Speicherblöcke), dass aus Sicht des zugreifenden Host-Devices neue Dateien und/oder Verzeichnisse sichtbar werden, über die die geschützten Daten lesbar werden. Der Controller kann eine weitere Veränderung der veränderten Verwaltungsdaten ganz oder teilweise blockieren, um sicherzustellen, dass die geschützten Daten „sichtbar” bleiben.
  • Fall C: Nutzer-Authentisierung für das Lesen und Beschreiben geschützter Bereiche liegt vor:
  • Es wird vorgegangen wie unter Fall B beschrieben, jedoch erfolgt die Freigabe der geschützten Bereiche für Schreiben und Lesen. Der Controller des Speichermediums kann dabei beim Schreiben neuer Daten steuern, welche Daten in welchem der für Schreiben zugänglichen Speicherbereiche abgelegt wird. Beispielsweise kann es vorteilhaft sein, dass die beschriebenen Dateien stets vollständig in nur einem der Speicherbereiche abgelegt sind und nicht über mehrere freigegebene Speicherbereiche (geschützt oder ungeschützt) verteilt werden. Dies ist beispielsweise dann nützlich, wenn später die Autorisierung zum Beschreiben geschützter Bereiche wieder entzogen werden soll und die geschriebenen Dateien dann entweder vollständig in einem ungeschützten Bereich liegen und lesbar/schreibbar sein sollen oder in einem gesperrten Bereich liegen und nicht les- und/oder schreibbar sein sollen. Eine einfache Realisierung kann vorsehen, dass nach Authentisierung zum Beschreiben eines Bereiches nur dieser Bereich beschreibbar gemacht wird, alle anderen Bereiche dagegen gesperrt werden wie unter A) bzw B) für die geschützten Bereiche beschrieben
  • Erfindungsgemäß kann es mehrere Clustertypen geben für die unterschiedliche Stufen und Kombinationen der Authentisierung möglich sind: Je nach Authentisierung können jeweils nur einzelne oder mehrere oder alle Clustertypen zum Schreiben und/oder Lesen freigeschaltet werden. Es sind auch Konfigurationen denkbar, bei denen einige Clustertypen nur zum Lesen und gleichzeitig andere zum Lesen und Schreiben freigegeben sind.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 2008/0276065 A1 [0004]

Claims (13)

  1. Verfahren zum Speichern von Daten auf einem Speichermedium, welches einen Controller aufweist, ein Interface, sowie einen Speicherbereich zum Speichern von Daten, wobei die Daten in Clustern gespeichert werden, dadurch gekennzeichnet, dass der Controller die einzelnen Cluster jeweils einem von mindestens zwei unterschiedlichen Clustertypen zuordnet, wobei unterschiedliche Clustertypen einen unterschiedlichen Zugriffsschutz aufweisen, und der Controller: Zugriffe auf einen ungeschützten Clustertyp freigibt, und Schreibzugriffe auf einen geschlitzten Clustertyp beschränkt, indem er gegenüber einem Endgerät schreibgeschützte Cluster nicht oder als belegt anzeigt, falls nicht eine festgelegte Authentisierung vorliegt, und gegenüber einem Schreibzugriff auf Interfaceebene den Schreibzugriff verweigert; und Lesezugriffe auf einen geschützten Clustertyp beschränkt, indem er gegenüber einem Endgerät lesegeschützte Cluster nicht anzeigt, falls nicht eine festgelegte Authentisierung vorliegt, und bei einen Lesezugriff auf Interfaceebene eine Fehlermeldung oder dummy Daten ausgibt.
  2. Verfahren nach Anspruch 1, wobei das Speichermedium ein FAT-Dateisystem aufweist mit einem Benutzerbereich, einem PBR und einem MBR.
  3. Verfahren nach Anspruch 2, wobei ein Lesezugriff auf den MBR und/oder den PBR unabhängig von einer Authentisierung freigegeben wird.
  4. Verfahren nach Anspruch 2 oder 3, wobei ein Schreibzugriff auf den MBR und/oder den PBR außer für eine Formatierung des Speichermediums unabhängig von einer Authentisierung gesperrt wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche 2 bis 3, wobei ohne eine Authentisierung Schreibzugriffe auf den MBR, den PBR und die FAT blockiert werden.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Controller nach einer Authentisierung mit Lesefreigabe Lesezugriffe zumindest auf bestimmte geschützte Cluster freigibt, jedoch Schreibzugriffe auf geschützte Cluster blockiert.
  7. Verfahren nach Anspruch 6, sofern auf Anspruch 2 rückbezogen, wobei der Controller die FAT-Einträge der bestimmten Cluster so ändert, dass für das Endgerät neue Dateien und/oder Verzeichnisse sichtbar werden, über die das Endgerät diese Cluster lesen kann, wobei vorzugsweise eine weitere Veränderung der FAT-Einträge blockiert wird, sodass diese Cluster nach der Authentisierung lesbar bleiben.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Controller nach einer Authentisierung mit Schreibfreigabe Schreibzugriffe zumindest auf bestimmte geschützte Clustertypen freigibt.
  9. Verfahren nach Anspruch 8, sofern auf Anspruch 2 rückbezogen, wobei der Controller die FAT-Einträge der bestimmten Clustertypen so ändert, dass für das Endgerät neue Dateien und/oder Verzeichnisse sichtbar werden, über die das Endgerät diese Cluster beschreiben kann, wobei vorzugsweise eine weitere Veränderung der FAT-Einträge blockiert wird, sodass diese Cluster nach der Authentisierung beschreibbar bleiben.
  10. Speichermedium zum Speichern von Daten, wobei das Speichermedium so ausgebildet ist, dass ein Verfahren nach einem der vorhergehenden Ansprüche auf ihm implementierbar ist.
  11. Speichermedium nach Anspruch 10, wobei es sich bei dem Speichermedium um ein portables Speichermedium, insbesondere um eine Speicherkarte, insbesondere um eine Flashspeicherkarte, oder um einen USB-Speicherstick handelt.
  12. Speichermedium nach Anspruch 11, wobei es sich bei dem Speichermedium um eine SD-Speicherkarte oder um eine microSD-Speicherkarte handelt.
  13. Endgerät welches ein Speichermedium nach einem der Ansprüche 10 bis 12 beinhaltet und/oder bei welchem ein Verfahren gemäß einem der Ansprüche 1 bis 9 implementiert ist.
DE102011106608A 2011-06-16 2011-06-16 Speichermedium mit Zugriffsschutz sowie Verfahren zum Betreiben eines solchen Speichermediums Withdrawn DE102011106608A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102011106608A DE102011106608A1 (de) 2011-06-16 2011-06-16 Speichermedium mit Zugriffsschutz sowie Verfahren zum Betreiben eines solchen Speichermediums
PCT/EP2012/061416 WO2012172041A1 (de) 2011-06-16 2012-06-15 Speichermedium mit zugriffsschutz sowie verfahren zum betreiben eines solchen speichermediums
EP12729502.0A EP2721474A1 (de) 2011-06-16 2012-06-15 Speichermedium mit zugriffsschutz sowie verfahren zum betreiben eines solchen speichermediums

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011106608A DE102011106608A1 (de) 2011-06-16 2011-06-16 Speichermedium mit Zugriffsschutz sowie Verfahren zum Betreiben eines solchen Speichermediums

Publications (1)

Publication Number Publication Date
DE102011106608A1 true DE102011106608A1 (de) 2012-12-20

Family

ID=46354256

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011106608A Withdrawn DE102011106608A1 (de) 2011-06-16 2011-06-16 Speichermedium mit Zugriffsschutz sowie Verfahren zum Betreiben eines solchen Speichermediums

Country Status (3)

Country Link
EP (1) EP2721474A1 (de)
DE (1) DE102011106608A1 (de)
WO (1) WO2012172041A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107589904B (zh) * 2016-07-08 2021-09-03 中兴通讯股份有限公司 Sd卡的读写方法和装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080276065A1 (en) 2007-05-03 2008-11-06 Samsung Electronics Co., Ltd. Method of partitioning storage area of recording medium and recording medium using the method, and method of accessing recording medium and recording device using the method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2880444B1 (fr) * 2005-01-06 2007-03-09 Gemplus Sa Dispositif de stockage de donnees
US20080141029A1 (en) * 2006-12-11 2008-06-12 Migo Software, Inc. Digital content protection
US8239395B2 (en) * 2008-12-26 2012-08-07 Sandisk Il Ltd. Storage device presenting to hosts only files compatible with a defined host capability
US8166067B2 (en) * 2008-12-26 2012-04-24 Sandisk Il Ltd. Method and apparatus for providing access to files based on user identity
US20110107047A1 (en) * 2009-11-03 2011-05-05 Rotem Sela Enforcing a File Protection Policy by a Storage Device

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080276065A1 (en) 2007-05-03 2008-11-06 Samsung Electronics Co., Ltd. Method of partitioning storage area of recording medium and recording medium using the method, and method of accessing recording medium and recording device using the method

Also Published As

Publication number Publication date
EP2721474A1 (de) 2014-04-23
WO2012172041A1 (de) 2012-12-20

Similar Documents

Publication Publication Date Title
DE112013000900B4 (de) Bewahren von Redundanz in Datendeduplizierungssystemen unter Verwendung eines Anzeigers
DE69127641T2 (de) Vorrichtung und Verfahren zum Verwalten von Chipkartentransaktionen
EP1276033B1 (de) Speichereinrichtung mit Datenschutz in einem Prozessor
DE2837201C2 (de)
DE112014000311B4 (de) Absichern der Inhalte einer Speichereinheit
DE102006052173B4 (de) Schreibschutzverfahren und -vorrichtung für wenigstens eine Speichereinrichtung mit wahlfreiem Zugriff
EP1358558B1 (de) Mikroprozessorschaltung für datenträger und verfahren zum organisieren des zugriffs auf in einem speicher abgelegten daten
EP2807558A1 (de) Speichercontroller zur bereitstellung mehrerer definierter bereiche eines massenspeichermediums als unabhängige massenspeicher an einen master-betriebssystem - kern zur exklusiven bereitstellung an virutelle maschinen
DE102017104080A1 (de) Generalisiertes verifizierungsschema für sichere metadaten-modifizierung
DE69432064T2 (de) Dateidaten-Speicherung auf Festplatte in vielfacher Darstellung
DE60013518T2 (de) Versicherte Personalisierung von Chipkarten
DE102011106608A1 (de) Speichermedium mit Zugriffsschutz sowie Verfahren zum Betreiben eines solchen Speichermediums
WO2010060902A1 (de) Speicherzugriff auf einen portablen datenträger
DE112020003107T5 (de) Sicherheit eingebetteter vorrichtungen durch einen vorrichtungs-lebenszyklus mit einer vorrichtungsidentifikation
DE102019133027A1 (de) Datenspeichersysteme und -verfahren für selbstadaptive chipfreigabeeinrichtungszeit
DE112009004950T5 (de) Verfahren, System und Vorrichtung zum Sichern einer digitalen Speichervorrichtung
DE19626339A1 (de) Sicheres Laden von Anwendungen und Daten auf Chipkarten
DE10209803A1 (de) Verfahren und Vorrichtung zum Liefern eines Dateisystemzugriffs auf ein Plattenarray
DE102012006457A1 (de) Verfahren zum Verschlüsseln von Daten auf einem Speichermedium
EP0890172B1 (de) Halbleiterspeichervorrichtung
DE102016213164A1 (de) Speichervorrichtung, Datenübertragungsvorrichtung und Verfahren zum Übertragen von Daten
DE10032962A1 (de) Echtzeitfähiges verteiltes Dateisystem
DE102010052224A1 (de) Speichermedium und Verfahren zum Betreiben eines Speichermediums
DE102015114721A1 (de) Verfahren, Gerät und System zur Datenverarbeitung
DE102012101343B4 (de) Mobiler Datenträger und Steuerprogramm dafür

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: GIESECKE & DEVRIENT GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT SECURE FLASH SOLUTIONS GMBH, 81677 MUENCHEN, DE

Effective date: 20130627

R082 Change of representative

Representative=s name: SCHWAN SCHORER UND PARTNER PATENTANWAELTE MBB, DE

Effective date: 20130627

Representative=s name: SCHWAN SCHWAN SCHORER, DE

Effective date: 20130627

R120 Application withdrawn or ip right abandoned

Effective date: 20140410