JP2008541247A - モバイルストレージ手段の暗号化制御 - Google Patents

モバイルストレージ手段の暗号化制御 Download PDF

Info

Publication number
JP2008541247A
JP2008541247A JP2008510377A JP2008510377A JP2008541247A JP 2008541247 A JP2008541247 A JP 2008541247A JP 2008510377 A JP2008510377 A JP 2008510377A JP 2008510377 A JP2008510377 A JP 2008510377A JP 2008541247 A JP2008541247 A JP 2008541247A
Authority
JP
Japan
Prior art keywords
storage means
mobile storage
policy
computing device
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008510377A
Other languages
English (en)
Other versions
JP2008541247A5 (ja
Inventor
シン テオウ,カー
ダイノウ,アーネスト
ニコラエフ,レオニド
ザノス,ダニエル
Original Assignee
クリプトミル テクノロジーズ リミティド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クリプトミル テクノロジーズ リミティド filed Critical クリプトミル テクノロジーズ リミティド
Publication of JP2008541247A publication Critical patent/JP2008541247A/ja
Publication of JP2008541247A5 publication Critical patent/JP2008541247A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/101Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
    • G06F21/1012Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to domains
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2147Locking files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

コンピューティング装置とストレージ装置との間の様々な操作を管理するシステムおよび方法。ストレージ装置は、データを格納可能な装置上に収容されるストレージ手段である。ストレージ装置とコンピューティングステーションとの間のコンテンツ(データ)の交換またはアクセスを伴うかまたはそれをもたらし得る任意の操作は、規則の集合を備えるポリシによって管理可能である。規則は、ストレージ装置の種類、コンテンツの種類、コンテンツの属性、およびストレージ装置および/またはコンテンツに関連する他の属性を含む個々の基準によって定義してもよい。ポリシは個々のユーザに対してコンピューティングステーション上に動的にインストールされ、ポリシの評価に基づいてコンピューティングステーションとストレージ装置との間で行われ得るデータ操作を管理する。ポリシの評価に基づいて、要求された操作は、許可、ある領域に制限、または拒否される。

Description

本発明は、一般にデータ通信の分野に関し、特に、モバイルストレージメディアとコンピューティング装置との間のデータ通信を管理する方法に関する。
従来、組織内では、ユーザに関連するデータは、ユーザのコンピュータまたはユーザのコンピュータが接続されたサーバに関連するハードディスク上に格納されていた。個人がディスクドライブ上に格納されたデータへのアクセスを希望する場合、コンピュータにログオンし、適当なディスクドライブへアクセスできるようにしなければならなかった。
現在のコンピューティング環境では、組織間および組織内のユーザ間で転送および交換されるデータの量は常に増大している。その結果、従来のディスクドライブはデータを格納する異なる方法論によって置き換えられつつある。データの可搬性に対する要望は、モバイルストレージ手段の開発につながった。こうしたモバイルストレージ手段の例は、USBストレージ手段、外部ハードドライブ、CD、およびDVDを含む。こうしたモバイルストレージ手段によって、様々なコンピューティングステーション間で情報が容易に流れるようになる。
しかし、こうしたモバイルストレージ手段の使用に関連する固有のリスクが存在する。組織内では、組織が所有権を有するデータは、そのデータへのアクセスを許可されていない個人/エンティティによるアクセスから確実に保護されていなければならない。モバイルストレージ手段の使用を通じて、許可を有する個人にもまたは有しない個人にも、機密上重要なデータを極めて簡単にアクセス、修正、コピーまたは除去できるようになっている。
モバイルストレージ手段によってもたらされるデータの横領の潜在的な脅威に対処するため、組織によってはこうした装置の使用を禁止したところもある。この場合セキュリティ上のリスクはある程度抑制されるが、モバイルストレージ手段はデータの転送および格納を容易にする非常に効率的なツールであるため、作業効率と生産性が犠牲になっている。組織によっては、モバイルストレージ手段の使用を完全に禁止するのが有効または効率的とは限らないという認識から、各組織のセキュリティプロトコルに応じてモバイルストレージ手段の制限付き使用を許可するポリシを導入したところもある。しかし、こうしたポリシは、ポリシを自動的に施行する有効な制御機構を欠いており、モバイルストレージ手段に関与するデータ転送に関する1つまたは複数のポリシへの準拠は、エンドユーザに委ねられている。自動施行機構を有しないポリシは、モバイルストレージ手段の使用を通じてもたらされる、1)機密情報を収容したモバイルストレージ手段が盗難または紛失にあった場合、2)モバイルストレージ手段から許可されていないコンピューティング装置への機密データのコピー、および3)コンピューティング装置からモバイルストレージ手段への機密データのコピー、といった種類の脅威には対処できない。
自動ポリシ施行機構は、上記で説明したようなモバイルストレージ手段の使用を通じてもたらされる脅威に確実に対処する必要があるが、同時に、個々のユーザが必要とし得る様々なデータアクセスの要求を考慮してカスタマイズされたポリシの設計を可能にするべきである。
コンピューティングステーションとストレージ装置との間の様々な操作を管理するシステムおよび方法である。コンピューティングステーションは、パーソナルデスクトップコンピュータ、ワークステーションコンピュータ、サーバコンピュータ、ラップトップコンピュータ、またはモバイルハンドヘルドコンピュータでもよい。ストレージ装置とは、データを格納することのできる装置上に収容されるストレージ手段である。装置はコンピューティングステーションの内部にあってもよく、また外部にあって、外部インタフェースを介してコンピューティングステーションと接続されるものでもよい。関連するストレージ手段を有する装置の例は、USBフラッシュドライブ、CD、DVD、ZIP(登録商標)ディスク、ハードドライブ、フロッピ(登録商標)ディスク、PCMCIAドライブ、ネットワークドライブを含む。
ストレージ装置とコンピューティングステーションとの間のコンテンツ(データ)の交換またはアクセスを伴うかまたはそれをもたらし得る操作の管理が可能である。操作とは、コンテンツの読み取り、コンテンツの書き込み、コンテンツのコピー、コンテンツの削除、ファイルの実行、コンピューティング装置にとってアクセスが可能になるストレージ装置のマウント、および特定のインタフェースを介したコンテンツの伝送の許可を含んでもよいが、それらに制限されない。
コンピューティングステーションとストレージ装置との間で行われ得る操作を管理するため、管理者アプリケーションおよびクライアントアプリケーションを使用する。管理者アプリケーションは、アクセスが信頼できるユーザに制限されるように、サーバのような、信頼できるコンピューティング装置にインストールされる。クライアントアプリケーションは、コンピューティング装置によるストレージ装置との対話が管理できるように、コンピューティング装置にインストールされる。
クライアントアプリケーションは、コンピューティング装置と様々なストレージ装置との間で許可される操作に基づいて、各コンピューティング装置についてカスタマイズされる。クライアントアプリケーションは、定義される様々なポリシによってカスタマイズされる。定義されるポリシは、コンピューティングステーションとストレージ装置との間で行われ得る操作を支配および管理する規則の集合を提供する。ポリシは、管理者アプリケーションを使用する管理者または他の信頼できる個人/エンティティによって決定される。
ポリシは様々な規則に応じて定義してよい。さらに詳しく言うと、規則は、ストレージ装置の種類、インタフェース、コンテンツの種類、メタデータ情報、操作、および様々な認証識別子に応じて指定してよい。
ストレージ装置の種類は、そこにデータを格納できるストレージ要素を収容する任意の構成要素でよい。ストレージ装置は、内部でコンピューティングステーションに接続してもよく、外部でインタフェースによって接続されるようになっていてもよい。ハードドライブのような1つの物理装置は1つまたは複数のストレージ装置から構成されるとみなすこともできるため、ストレージ装置は必ずしも1つの物理装置である必要はない。ハードドライブまたは任意の他のストレージ手段のセクタまたはセクションをストレージ装置とみなしてもよく、さらには例えば、ハードドライブ上に格納された1つの特定のファイルさえもストレージ装置とみなしてよい。
インタフェースとは、コンピューティング装置とストレージ装置との間を接続する構成要素であり、こうしたインタフェースの例は、PCI、USB、SCSIおよびその他のこの種のバス、およびイーサネット(登録商標)およびファイバといった他のネットワークインタフェースを含んでもよい。
コンテンツの種類とは、ストレージ装置上に格納されるコンテンツ(データ)のフォーマットである。ストレージ装置上には異なる種類のコンテンツが存在し得るので、例えば、コンテンツが.jpgまたは.docのいずれのファイルの種類に関連するかに基づく規則といった、特定のコンテンツの種類に関連する規則を定義することが可能であってもよい。
メタデータ情報とはコンテンツおよびコンテンツが関連するファイルに関する情報に関する。例えば、メタデータ情報は、ファイルの作成日、ファイル名、ファイルの所有者、およびファイルに関連し得るアクセス許可を含む、コンテンツに関連する属性に関するものでもよい。
認証識別子は、ユーザ、エンティティまたはコンテンツ自体に関連する識別子を含んでもよい。例えば、ユーザ識別子によって、個々のユーザについてのコンピューティング装置とストレージ装置との間のデータ操作を管理する規則を定義することができる。また、認証識別子は、セキュリティドメインおよびセキュリティサブドメインを含んでもよい。これによって、割り当てられるセキュリティドメインおよびセキュリティサブドメインに応じてコンピューティング装置とストレージ装置との間で行われ得る操作を管理できるような、コンピューティング装置及びストレージ装置が割り当てられるドメインの定義を可能にするものである。
クライアントアプリケーションは、定義された、個々のコンピューティング装置に関連する規則を施行する。クライアントアプリケーションは、コンピューティング装置に接続される全てのインタフェースを監視し、定義された規則に基づいて、ストレージ装置から、またはそれに対して実行すべき個々の操作についてなされたどの要求を許可すべきかを決定する。
また、管理者アプリケーションは、ストレージ装置をプロビジョニングするために使用される。ストレージ装置のプロビジョニングとは、プロビジョニング済のストレージ装置とコンピューティング装置との間でインタフェースを取ろうとする試みがなされた時、定義された規則に基づいて、コンピューティング装置のクライアントアプリケーションが、ストレージ装置とコンピューティング装置との間のどの操作(もしあれば)を許可すべきかを決定できるように、ストレージ装置に暗号化された情報を書き込むようにする処理を指す。
本出願で説明されるシステムおよび方法の実施形態をよりよく理解し、それらをいかに実現するかをより明瞭に示すため、例として添付の図面を参照する。
従来のネットワーク10内に見られる様々な構成要素を例示する構成図を示す図1を参照する。この従来のネットワーク10を使用して、組織、または(ホームオフィスネットワークのような)他のエンティティに関連するネットワーク内に見出される様々なコンピューティング装置を表す。組織ネットワーク10は関連する1つまたは複数のサーバ12を有してもよい。サーバ12は様々な目的のために設計し使用してよい。サーバ12は、ファイルサーバ、プリントサーバ、ウェブサーバ、メールサーバ、LANサーバとして機能してもよく、一般に何らかの機能を担当する中央コンピュータプロセッサが必要とされる場合使用されるものであってよい。従来のネットワーク10のユーザは、サーバに接続されると、サーバからのプログラム、ファイル、および他の情報にアクセスすることができる。ネットワーク10内で一般に利用されるサーバはウェブサーバ、メールサーバ、およびLANサーバである。例示の目的で、図1では1つのサーバを示す。しかし、ネットワーク10は関連する多数のサーバ12、または様々なタスクを実行できる1つのサーバ12を有してもよい。
従来のネットワーク10は関連するコンピューティング装置14を有する。コンピューティング装置14は、パーソナルデスクトップコンピュータ、ワークステーションコンピュータ、サーバコンピュータ、ラップトップコンピュータ、またはモバイル/ハンドヘルドコンピュータを含むが、それらに制限されない。コンピューティング装置14は、有線または無線接続によってサーバ12に接続してもよい。
各コンピューティング装置14は関連するストレージ手段16を有してもよい。ストレージ手段16はコンピューティング装置14およびサーバ12に永久ストレージのための機構を提供する。コンピューティング装置12は一般に、コンピューティング装置14上に配置されるか、またはサーバ12に関連するストレージ手段16を使用してもよい。
データ転送の必要性の増大に伴って、モバイルストレージ手段18が使用されるようになっている。モバイルストレージ手段18は、USBフラッシュドライブ、CD、DVD、ZIPディスク、iPod(登録商標)、外部ファイヤワイヤ(登録商標)ドライブ、外部USBドライブ、PCMCIAフラッシュドライブ、ネットワーク接続(無線/有線)ドライブ、およびハードドライブを含んでもよいが、それらに制限されない。ストレージ装置上に格納されたファイル、またはモバイルストレージ装置上に格納されたコンテンツのブロックはモバイルストレージ手段18と考えてよいということに注意されたい。モバイルストレージ手段18は従来のストレージ手段16と比較していろいろな利点を提供する。一例として、USBストレージ手段によって(USBはストレージ手段のコンピューティング装置14への接続を可能にする標準ポートである)、USBは480Mbps(百万ビット/秒)のデータ転送速度をサポートするが、これはシリアルポートに関連するデータ転送速度よりも著しく高速である。また、USB装置は、コンピューティング装置14を再起動する必要なしに接続または切断できる。
従来のネットワーク10では、サーバ12またはコンピューティング装置14の何れかに関連するストレージ手段16上に格納されたデータをモバイルストレージ手段18に転送してもよい。また、サーバ12およびコンピューティング装置14はモバイルストレージ手段18からデータを読み取ることもできる。モバイルストレージ手段18は、インタフェース20によってサーバ12およびコンピューティング装置14と通信することができる。インタフェース20は、サーバ12およびコンピューティング装置14とモバイルストレージ手段18との間の通信手段を提供する。利用し得るインタフェースの例は、PCI、USB、ファイヤワイヤ(IEEE1394)、ATA(IDE)、SATA、SCSI、およびイーサネット、ファイバチャネル、およびWiFi(登録商標)(802.11x)を含むネットワークインタフェースを含んでもよいが、それらに制限されない。
モバイルストレージ手段18とコンピューティング装置14との間でデータが転送されることがあるため、ストレージ手段16上に格納されたデータが許可されていないユーザによって悪用およびアクセスされる可能性が存在する。
コンピューティング装置14とモバイルストレージ手段18との間の操作を管理する規則から構成される、ポリシを確立するシステムおよび方法が提供される。本出願で使用される場合、規則とは、コンピューティング装置14とモバイルストレージ手段18との間のある操作を実行してもよいか否かを決定および管理するものである。
ここで、本発明の暗号制御システム32によって構成されたネットワークを示す図2を参照する。暗号制御システム32は、モバイルストレージ手段18とサーバ12およびコンピューティング装置14との間の電子コンテンツ(データ)の交換を制御および管理する。サーバ12として機能するコンピューティング装置には管理アプリケーション36がインストールされている。管理者アプリケーション36は、ネットワーク30の保守の責任を負う管理者にアクセスが制限されたサーバ12上にインストールされる。
暗号制御システム32の一部である各コンピューティング装置14には、クライアントアプリケーション38がインストールされているか、またはクライアントアプリケーション38へのアクセスが可能な状態になっている。クライアントアプリケーション38は、以下でさらに詳細に説明するように、管理者によって個々のコンピューティング装置14についてカスタマイズされるソフトウェアアプリケーションである。以下でさらに詳細に説明するように、クライアントアプリケーション38は、モバイルストレージ手段18とコンピューティング装置14との間の操作を制御および管理するように機能する。
暗号制御システム32では、モバイルストレージ手段18にモバイル装置モジュール40をインストールしてもよい。モバイル装置モジュール40をインストールしたモバイルストレージ手段をプロビジョニング済モバイルストレージ手段18と呼ぶ。モバイル装置モジュール40をインストールしていないモバイルストレージ手段18は未プロビジョニングと呼ばれる。モバイル装置モジュール40は、暗号制御システム32内のコンピューティング装置14が、モバイルストレージ手段18とコンピューティング装置との間の個々の操作を実行してよいか否かを決定できるような手段を提供する。モバイル装置情報モジュール40は、モバイルストレージ手段18上に書き込まれる暗号化データを収容する。暗号化データは、モバイルストレージ手段18に関連する情報のコンピューティング装置14による識別を可能にするものであり、コンピューティング装置14とモバイルストレージ手段18との間の操作が実行可能か否かを決定するために使用される。また、以下で説明するように、プロビジョニング済モバイルストレージ手段18に書き込まれる全てのデータは暗号化される。モバイル装置モジュール40のコンテンツを以下でさらに詳細に説明する。
ここで、管理者アプリケーション36、およびその構成要素をより詳細に図示する図3を参照する。管理者アプリケーション36は、プロビジョニングモジュール44、ポリシ定義モジュール46、セキュリティドメインモジュール48、導入モジュール50、暗号化モジュール52、および基本設定モジュール54を含むがそれらに制限されない様々なモジュールから構成されている。プロビジョニングモジュール44は、以下で説明するように、モバイルストレージ手段18上に収容されるストレージにモバイル装置モジュール40を書き込むために使用される。ポリシ定義モジュール46は、コンピューティング装置14とモバイルストレージ手段18との間で許容できる操作を定義する規則から構成される様々なポリシを定義するために管理者によって使用される。規則は、コンピューティング装置14とモバイルストレージ手段18との間で行われ得る様々な操作を制御するために使用される。セキュリティドメインモジュール48は、暗号制御システム32内の様々なセキュリティドメインを定義するために使用される。以下でさらに詳細に説明するように、セキュリティドメインは、様々なコンピューティング装置14をグループ分けする方法として機能する。例えば、組織ネットワーク30内の全てのコンピューティング装置14は1つのセキュリティドメインに属してもよく、またネットワーク30に関連する様々なドメインに分割されてもよい。導入モジュール50は、個々のコンピューティング装置14上にインストールすべきクライアントアプリケーション38を定義するため管理者によって使用される。暗号化モジュール52は、以下でさらに説明するように、クライアントアプリケーション38およびモバイルストレージモジュール40のコンテンツの暗号化に関して使用される暗号化設定の管理者による修正を可能にする。基本設定モジュール54はさらに、管理者アプリケーション36に関連するセキュリティ設定の管理者による修正および保存を可能にするものであり、以下で詳細に説明する。
クライアントアプリケーション38の構成要素を示す図4を参照する。クライアントアプリケーション38は、コンピューティング装置14とモバイルストレージ手段18との間で行われ得る操作に関して定義された規則を施行する。クライアントアプリケーション38は、コンピューティング装置14に接続する全てのインタフェース20を監視し、コンピューティング装置14とモバイルストレージ手段18との間でどの種類の操作が試みられているかを決定する。クライアントアプリケーション38は、コンピューティング装置14のオペレーティングシステムに関連する装置ドライバと通信し、定義された規則を施行する。クライアントアプリケーション38は、各コンピューティング装置14について管理者アプリケーション36によってカスタマイズされるソフトウェアアプリケーションであり、コンピューティング装置14上にインストールされる。クライアントアプリケーション38は、ファイアウォールモジュール60、ポリシモジュール62、および監視モジュール64から構成される。ファイアウォールモジュール60は、以下でさらに詳細に説明するように、ポリシモジュール62中に定義され組み込まれた規則を施行することによって、コンピューティング装置14とモバイルストレージ手段18との間で行われ得る操作を制御する。ポリシモジュール62は、個々のコンピューティング装置14について定義された様々な規則を含む。監視モジュール64は、ポリシモジュール62の決定に応じて適切な操作が実行されるように、コンピューティング装置14によって、またはコンピューティング装置14に対してなされるデータに対する全ての要求を監視するために使用される。クライアントアプリケーション38は暗号で保護されており、クライアントアプリケーション38のデータを改竄することはできない。1つの実施形態では、クライアントアプリケーション38は、パスワードベースのHMAC−SHA256(FIPS180−2、セキュアハッシュスタンダード、NIST)のような安全な署名によって暗号で保護されている。クライアントアプリケーション38が改竄された場合、この署名の変化が検出される。
本発明の1つの実施形態を参照して暗号制御システムの操作を説明する。管理者アプリケーション36がインストールされた後、暗号制御システム32の操作に関する動作の経路に関して多様なオプションが選択可能である。管理者アプリケーション36は周知の手段を利用してインストールされる。
ここで、1つの実施形態に係る管理者オプションメニュー100の例のスクリーンショットを示す図5を参照する。管理者は、管理者オプションメニュー画面100上で管理者に対して提示されるオプションから選択することができる。1つの実施形態では、管理者オプションメニュー100は、管理者が選択し得る、メディアマネージャアイコン102、ポリシマネージャアイコン104、セキュリティドメインマネージャアイコン106、導入設定アイコン108、暗号化ポリシアイコン110、および基本設定アイコン112といったオプションを含む。
1つの組織のために暗号制御システム32を設定するため、管理者は1つのセキュリティドメインを必要とする。少なくとも1つのセキュリティドメインを設定するため、セキュリティドメインマネージャアイコン106を選択する。セキュリティドメインマネージャアイコン106を選択した結果ユーザに対して表示されるセキュリティドメイン画面130を示す図6を参照する。本発明の暗号制御システム32は、個々の組織ネットワークについての様々なセキュリティドメインおよびセキュリティサブドメインの定義を可能にする。
セキュリティドメインおよびセキュリティサブドメインの概念をさらに例示するため、組織ネットワーク30内で全てのコンピューティング装置がセキュリティドメイン190に属していることを示す図7を参照する。また、セキュリティドメイン190内に、1つまたは複数のオプションのセキュリティサブドメイン192が存在してもよい。図7では、セキュリティサブドメイン192aおよびセキュリティサブドメイン192bという2つのセキュリティサブドメインが例示されている。セキュリティサブドメインは一般に、組織内の特定の部門に関連する全てのコンピューティング装置を含むように編成されるか、または様々なコンピューティング装置14間の何らかの他の論理関係に基づいて編成される。モバイルストレージ手段18をセキュリティサブドメイン192に関連させることによって、暗号制御システム32は、確実に、同じセキュリティサブドメイン192の一部でないコンピューティング装置14間でデータを転送するためにモバイルストレージ手段18を使用できないようにすることができる。データ転送のこうした制限は、データの所有権が特定の部門に属するとみなされ、他の部門のメンバがそのデータにアクセスしないことが望ましい場合の組織内で望ましい。本発明の別の実施形態では、複数のセキュリティドメイン190が組織ネットワーク30に関連することもあり得る。
再び、セキュリティドメインメニュー130の例を1つの実施形態で示す図6を参照する。セキュリティドメイン画面130は、セキュリティドメイン190およびセキュリティサブドメイン192をどのように定義すればよいかという1つの実施形態を例示する。セキュリティドメイン画面130は、セキュリティドメインフィールド132、新規セキュリティドメインフラグ134、新規セキュリティサブドメインフラグ136、およびセキュリティサブドメインフィールド138を有する。管理者は、新規セキュリティドメインフラグ134を使用して、新しいセキュリティドメイン190を作成することができる。新規セキュリティドメインフラグ134を選択すると、管理者は、セキュリティドメインフィールド132に、自分が希望するセキュリティドメイン190の名前を入力することができる。管理者が既存のセキュリティドメイン190に新しいセキュリティサブドメイン192を追加することを希望する場合、管理者は1つのセキュリティドメイン190を選択する。管理者は、セキュリティサブドメインフラグ136およびセキュリティサブドメインフィールド138を使用することによって、それを行うことができる。
管理者は、希望する数のセキュリティドメインおよびセキュリティサブドメイン192を定義することができる。管理者が少なくとも1つのセキュリティドメイン190を指定した場合、管理者はコンピューティング装置14またはユーザに関連するポリシを指定することができる。ポリシという用語は、モバイルストレージ手段18とコンピューティング装置14との間で許可される操作を定義する規則の集合をあらわすために使用される。ポリシは1人の特定のユーザに関して管理者が定義してもよく、またユーザのクラスについて定義してもよい。1つの実施形態では、管理者は、ポリシマネージャアイコン104を選択することによって、操作を管理するポリシを指定することができる。暗号制御システム32の中では、1つの管理ネットワーク30について複数のポリシを指定してもよい。
ここで、1つの例示実施形態でポリシ指定方法200の各ステップを示す図8を参照する。ポリシ指定方法200は、プロビジョニング済および未プロビジョニングの装置に関して許可される操作を指定するため管理者によって使用される。ポリシ指定方法200の各ステップを実行するために管理者によって使用されるポリシエディタメニュー150の1つの実施形態を示す図9を参照してポリシ指定方法200を説明する。ポリシ指定方法200は、管理者がポリシマネージャアイコン104を選択することによって呼び出される。
ここで、ポリシエディタメニュー150を示す図9を参照する。ポリシエディタメニュー150は、ポリシ名フィールド152、修正設定フィールド154、メディアインタフェースフィールド156、プロビジョニング済フィールド158、未プロビジョニングフィールド160、制限アクセスタブ162、保存ボタン164、およびキャンセルボタン166を含んでいる。ポリシエディタメニューは、モバイルストレージ手段18とコンピューティング装置14との間で許可される操作を定義するポリシを定義または更新するために管理者によって使用される。
ポリシ指定方法200はステップ202で開始され、そこでは作成または編集される特定のポリシの名前がポリシ名フィールド152に入力される。管理者は、ポリシ指定方法の一部として含まれる様々な種類のコンピューティング装置14を追加および削除することができる。作成または修正するポリシの名前を指定すると、ステップ204で、管理者は、アクセス制限フィールド162を使用することによって、このポリシについて全てのデータ操作を制限するオプションを有する。管理者がアクセス制限フィールド162を選択した場合、このポリシに関連するコンピューティング装置14は、あらゆるモバイルストレージ手段18と対話できなくなる。
そして、ポリシ指定方法200はステップ206に進む。ここで、管理者は、修正設定フィールド156を使用することによって修正すべき設定を指定する。1つの実施形態では、ユーザはパスワード設定、またはモバイル装置制御設定、またはロック設定を修正することを選択してもよい。ユーザがパスワード設定の修正を選択した場合、方法200はステップ208に進む。ステップ208では、ユーザは、管理者や管理者アプリケーションへアクセスし得る任意の他のユーザに関連する任意のパスワード要求を指定することができる。ステップ208が完了すると、方法200はステップ206に戻り、そこでは管理者は他の設定を修正してもよい。
ステップ206で、ユーザがモバイル装置制御を指定するオプションを選択した場合、方法200はステップ210に進む。ステップ210では、管理者は、コンピューティング装置14とプロビジョニング済または未プロビジョニングのモバイルストレージ手段18との間で許可されるデータ操作の種類を指定することができる。ステップ210では、管理者は許可および/または制限される様々な操作を選択することができる。操作とは、コンピューティング装置14とモバイルストレージ手段18との間で行われ得る様々な動作を表す。操作は、マウント操作、コピー操作、削除操作、安全な削除操作、読み取り操作、書き込み操作、伝送操作、実行操作、およびブロック操作を含んでもよいが、それらに制限されない。
マウント操作は、モバイルストレージ手段18上に収容されるデータにアクセスできるようにモバイルストレージ手段18とコンピューティング装置14とのインタフェースを取ることを意味する。コピー操作は、モバイルストレージ手段18上に格納されたデータのコピーを行う処理に関わる。削除操作は、モバイルストレージ手段18からデータを削除することに関わる。削除操作と安全な削除操作との違いは、安全な削除操作は削除を要求されたデータに上書きを行うが、削除操作はファイルディレクトリインデックスからデータに関連するファイルの名前を除去するが実際にデータを削除するわけではないという点にある。読み取り操作は、モバイルストレージ手段18からのデータの取り出しに関わる。書き込み操作は、モバイルストレージ手段18にデータを書き込む処理に関わる。伝送操作は、インタフェースを介して情報を伝送する処理に関わる。実行操作は、実行可能形式でモバイルストレージ手段18上に格納されるデータを読み取る処理に関わる。
そして、方法200はステップ212に進む。ここで、1つの実施形態では、管理者は、メディアインタフェースフィールド156で参照される各プロビジョニング済モバイルストレージ手段18について、許可される様々なデータ操作を選択してもよい。詳しく言うと、管理者は、ブロックタブ158aを選択することによって、特定の種類のプロビジョニング済モバイルストレージ手段18との間でデータ操作が実行されないように指定してもよい。ブロックタブ158aが選択されている場合、所定のポリシは、コンピューティング装置14とプロビジョニング済モバイルストレージ手段18との間の全てのデータ操作を許可しない。管理者は、両者間のデータ操作のブロックを選択する代わりに、読み取り専用タブ158bを選択することによって、プロビジョニング済モバイルストレージ手段18からの読み取りだけをコンピューティング装置14に許可してもよい。また、管理者は、読み取り/書き込みタブ158cを選択してもよく、この場合、プロビジョニング済モバイルストレージ手段18について、特定のポリシに関連するコンピューティング装置14は、モバイルストレージ手段18からの読み取りおよびそれへの書き込みを行うことができる。
そして、ポリシ指定方法200はステップ214に進む。ここで、未プロビジョニングのモバイルストレージ手段18とコンピューティング装置14との間で許可可能な操作が指定される。1つの実施形態では、管理者は、2つのオプションのうち、未プロビジョニングのモバイルストレージ手段18とコンピューティング装置14との間の全てのデータ操作をブロックするか、または読み取り専用操作を許可するかの何れかを選択する。しかし、他の操作も定義可能であることに注意されたい。管理者は、ブロックタブ160aを選択することによって、データ操作のブロックを選択できる。この実施形態では、管理者は読み取り操作のみを許可するオプションを有し、その場合コンピューティング装置14は、未プロビジョニングのモバイル装置18から読み取りを行うことができる。管理者は、読み取り専用タブ160bによって読み取り操作だけを許可することができる。管理者がポリシ指定方法200のここまでのステップを完了すると、方法200はステップ216に進んでもよい。ステップ216では、管理者は、ステップ212および214で指定された様々な規則を保存するため保存ボタン164を選択し、ポリシ設定はファイルに保存される。一旦保存されると、ポリシ設定は修正のために取り出すことができる。ステップ214が完了すると、管理者は他の設定を修正することを選択してステップ206に戻ってもよい。
ステップ206で、管理者がモバイル装置18のロックに関する設定の修正を選択した場合、方法200はステップ218に進む。1つの実施形態では、ステップ218は、プロビジョニング済モバイルストレージ手段に関連するセキュリティサブドメイン192に基づくモバイルストレージ手段18へのアクセスのブロックに関する。ポリシエディタロックメニュー180の例の1つの実施形態を示す図10を参照する。ポリシエディタロックメニュー180は、ユーザがステップ218に進むことを選択すると、ユーザに対して表示される。1つの実施形態では、ポリシエディタロックメニュー180は、セキュリティサブドメインロックフィールド182、ユーザIDロックフィールド184、およびユーザID有効化フィールド186を含む。セキュリティサブドメインフィールド182を使用して「オン」オプションを選択することによって、コンピューティング装置14は、他のセキュリティサブドメイン192に関連するモバイルストレージ手段18にアクセスすることはできなくなる。ユーザIDロックフィールド184がアクティブになると、コンピューティング装置14とインタフェースを有する第1のモバイルストレージ手段18に関連し得るユーザ名がコンピューティング装置18上に記録される。ユーザ名がコンピューティング装置18上に記録されると、他のユーザ名に関連するモバイルストレージ手段18は、そのコンピューティング装置14によって使用されなくなる。ユーザID有効化フィールド186は、ユーザIDロックフィールド182によってなされた指定によって提供される制御をアクティブにするかまたは非アクティブにするかを指定するために使用される。
以上、1つの特定実施形態を参照してポリシ指定方法200のステップを説明した。図8およびポリシエディタメニュー150の例から見られるように、ポリシ指定方法200のステップは様々な順序で実行してよく、ポリシ指定方法200について説明されたステップは、ポリシを定義するために実行し得るステップの1つの可能な順序を例示するために提供されるものである。
例示したようにポリシ指定方法200を使用して、指定済の規則に基づいて様々に異なるポリシを定義してもよい。一旦少なくとも1つのポリシが1つのセキュリティドメインと共に定義されると、コンピューティング装置14は、クライアントアプリケーション38をインストールし得る暗号制御システム32の一部となる。クライアントアプリケーション38は、暗号制御システム32の一部となるコンピューティング装置14上にインストールされる。
コンピューティング装置14上にインストールするようにクライアントアプリケーション38を準備するため、管理者は、管理者アプリケーション36の一部である導入モジュール50を利用する。1つの実施形態では、導入モジュール50は、管理者が管理者オプションメニュー100から導入設定アイコン108を選択すると呼び出される。ここで、クライアントアプリケーション準備方法250の各ステップを1つの実施形態で図示する図11を参照する。クライアントアプリケーション準備方法250によって、管理者は、コンピューティング装置14とモバイルストレージ手段18との間で行われ得る許可可能な操作に関してカスタマイズされた、特定のコンピューティング装置14上にインストールされるクライアントアプリケーション38を作成できる。1つの実施形態では、クライアントアプリケーション38は関連するセキュリティドメイン190、オプションのセキュリティサブドメイン192、およびポリシ指定方法200を通じて定義されたポリシを有する。
導入設定メニュー270を1つの実施形態で示す図12を参照し、クライアントアプリケーション準備方法250の各ステップをさらに例示する。導入設定メニュー270は、導入設定アイコン108が選択されると、管理者に対して表示される。1つの実施形態では、導入設定メニュー270は、セキュリティドメインフィールド272、セキュリティサブドメイン274、ポリシフィールド276、保存アイコン278、およびキャンセルフィールド280を備える。
クライアントアプリケーション準備方法250はステップ252で開始される。ステップ252では、特定のセキュリティドメイン190がセキュリティドメインフィールド252で指定される。以前に作成した任意のセキュリティドメイン190を使用してよい。そして、方法250はステップ254に進む。ここで、オプションのセキュリティドメイン192をセキュリティサブドメインフィールド274で指定してもよい。
そして、方法250はステップ256に進む。ここで、クライアントアプリケーション38に関連するポリシがポリシフィールド276で指定される。ポリシ指定方法200を通じて定義したポリシをステップ256で指定してよい。
そして、方法250はステップ258に進む。ここで、指定された設定(セキュリティドメイン190、セキュリティサブドメイン192、およびポリシ)が保存され導入ファイルが作成される。
暗号制御システム32内では、様々なクライアントアプリケーション38を指定できる。様々なポリシおよびセキュリティドメインおよびセキュリティサブドメインを定義できるので、クライアントアプリケーション38は、特定のコンピューティング装置14または様々なコンピューティング装置のユーザに適合させることができる。
方法250が完了すると、特定のポリシおよびセキュリティドメイン、およびオプションのセキュリティサブドメイン192向けのクライアントアプリケーション38が作成されている。そして、クライアントアプリケーション38は適当なコンピューティング装置14上にインストールすることができる。インストールされた時、クライアントアプリケーション38は暗号で保護されている。クライアントアプリケーション38のコンテンツを保護するため、様々な形態の暗号化を利用してよい。1つの実施形態では、コンテンツはAES256ビット暗号によって暗号化されている。また、クライアントアプリケーションの全てのコンテンツは、安全な署名HMAC−SHA256(FIPS180−2、セキュアハッシュスタンダード、NIST)によって保護されている。また、RSAまたはECCといった、非対称公開鍵ベースの暗号化スキームを利用してもよい。
一旦、クライアントアプリケーション38が、選択されたコンピューティング装置14上にインストールされると、暗号制御システム32は動作中となる。クライアントアプリケーション38はモバイルストレージ手段18からの、およびモバイルストレージ手段18への全ての要求を監視する。クライアントアプリケーション38が、選択されたコンピューティング装置14上にインストールされると、暗号制御システム32は、プロビジョニング済および未プロビジョニングのモバイルストレージ手段18との間の対話を管理することができる。
ここで、プロビジョニング方法300を参照してモバイルストレージ手段18のプロビジョニングを説明する。プロビジョニング方法300の各ステップを1つの例示実施形態で示す図13を参照する。プロビジョニング方法300は、ステップ302で開始され、そこでは、プロビジョニングするモバイルストレージ手段を、管理者アプリケーションを実行しているコンピューティング装置に接続する。モバイルストレージ手段18は、インタフェース20を介してコンピューティング装置14に接続される。そして、方法300はステップ304に進む。ここで、管理者が、管理者メニュー100からメディアマネージャアイコン104を選択する。メディアマネージャアイコン104が選択されると、メディアプロビジョニングメニュー350がユーザに対して表示される。ここで、メディアプロビジョニングメニュー350の例を1つの例示実施形態で示す図14を参照する。そして、方法300はステップ306に進む。ここで、モバイルストレージ手段18が接続するドライブが、メディアロケーションフィールド352によって指定される。メディアロケーションフィールド352は、ユーザに対して、コンピューティング装置14に関連するドライブレターを表示する。表示されるドライブレターは、マイクロソフトメニューズ(Microsoft Menus)(登録商標)または使用される何らかの他のオペレーティングシステムに関連するものと同じである。ユーザは、モバイルストレージ手段18の接続先であるドライブレターを指定する。そして、方法300はステップ308に進む。ここで、モバイルストレージ手段18に関連する特定のセキュリティドメイン190を指定する。モバイルストレージ手段18は、1つのセキュリティドメイン190に関連しなければならない。セキュリティドメイン190はセキュリティドメインフィールド354で指定される。
そして、方法300はオプションのステップ310に進む。ここで、セキュリティサブドメイン192を指定してもよい。セキュリティサブドメイン192はセキュリティサブドメインフィールド356で指定してよい。そして、方法300はステップ314に進む。ここで、ストレージに関連し得る何らかのメタデータの指定に関して使用されるメディアラベルを指定する。ステップ314は、メディアラベルをメディアラベルフィールド360に入力することによって達成される。
そして、方法300はオプションのステップ316に進む。ここで、有効期限日を指定してもよい。有効期限日とは、その日の後、モバイルストレージ手段18が使用できなくなる日付である。ユーザがコンピューティング装置14に関連する日付を変更して有効期限日に到達しないようにすることのないように、コンピューティング装置14は、外部の日時サーバを使用して現在の日時を決定してもよい。従って、この場合、コンピューティング装置14に関連する日付を変更しようとする悪意のある試みが成功することはない。
そして、方法300はオプションのステップ318に進む。ここで、管理者は、モバイルストレージ手段上に収容されたコンテンツの削除を選択してもよい。ステップ318で安全な削除操作を選択すると、モバイルストレージ手段18のストレージの全てのセクタが上書きされる。これは、モバイルストレージ手段18上に収容されたファイル(もしあれば)を単純に削除するのとは対照的である。安全な削除操作は、削除されるコンテンツに関連するセクタが上書きされることを意味する。安全な削除操作を選択するオプションは、図の350中に示される安全な削除ボックス362を選択することによって実行される。
そして、方法300はステップ320に進む。ここで、管理者は、以前の全てのステップが正しい情報を指定したことを検証して、モバイルストレージ手段をプロビジョニング済であると指定する。
そして、方法300はステップ322に進む。ここで、モバイルストレージ手段18上に位置するストレージの未使用セクタにモバイル装置モジュール40を表すヘッダを書き込むことによって、モバイルストレージ手段18がプロビジョニングされる。モバイルストレージ手段18に関連するストレージ400を例示のみの目的で示す図15を参照する。図15は、モバイルストレージ手段18上に位置するストレージ400の例示構造を示す。モバイルストレージ手段18のストレージ400は一般に、モバイル装置モジュール40およびストレージブロック402という2つの領域に分割してよい。モバイル装置モジュール40は、モバイルストレージ手段18のストレージブロック402へのアクセスを制御する情報を収容する。詳しく言うと、モバイル装置モジュール40中に収容される情報は、プロビジョニング方法300で指定されたオプションに基づいている。
1つの実施形態では、モバイル装置モジュール40は、モバイル装置モジュール40を識別するために使用される一意識別子414を含む。また、1つの実施形態では、ヘッダブロックは、セキュリティドメインのハッシュ416、セキュリティサブドメインが指定されている場合セキュリティサブドメインのハッシュ418、ユーザID420、有効期限日422、プロビジョニング日付424、暗号情報426、暗号鍵428、および署名430を含む。ヘッダブロックに関連する様々な属性を暗号化してもよく、特に、暗号鍵428を暗号化してもよい。1つの実施形態では、セキュリティドメインのハッシュ416は、プロビジョニング方法300の一部として指定されたセキュリティドメイン190のSHA256ハッシュである。1つの実施形態では、セキュリティサブドメインのハッシュ418は、プロビジョニング方法300の一部として指定されている場合、セキュリティサブドメイン192のSHA256ハッシュである。暗号情報426は、利用される暗号化の種類(例えば、AESまたはDESの何れか)を、使用される暗号化の強度(例えば、128ビットまたは256ビット)と共に表す。以下でさらに詳細に説明するように、暗号鍵428は、モバイルストレージ手段18に書き込まれる全てのデータを暗号化するために使用される鍵である。1つの実施形態では、暗号鍵428は最初にモバイル装置18に書き込まれた時に、デフォルトのパスワードによって暗号化される。そして、プロビジョニングされたモバイルストレージ手段18が、暗号制御システム32の一部であるコンピューティング装置14とインタフェースを取るために使用される時、ユーザは自分のパスワードを入力して指定されているデフォルトのパスワードを変更するように要求される。そして、ユーザのパスワードを使用して暗号鍵428を暗号化する。1つの実施形態では、署名フィールド432は、モバイル装置モジュール40のコンテンツが変更されたか否かを決定するために暗号制御システム32によって使用されるHMAC−SHA256署名を収容する。
モバイルストレージ装置上に暗号鍵428を格納した結果、(規則によって書き込み操作が許可されると決定される場合)モバイルストレージ装置18に書き込まれるデータは、暗号鍵428によって暗号化される。ユーザが、暗号制御システム32の一部でないコンピューティング装置14を使用してプロビジョニング済のモバイルストレージ手段18にアクセスしようとする場合、データが暗号化されているためコンピューティング装置14はデータにアクセスできず、適切な解読を実行することができない。
ここで、ユーザログインメニュー450の例を示す図16を参照する。クライアントアプリケーション38をインストールしたコンピューティング装置14とプロビジョニング済のモバイルストレージ装置18とのインタフェースを取ろうとする試みがなされると、ログイン画面がユーザに提示される。1つの実施形態では、ログイン画面はユーザログインメニュー450でもよい。ユーザログインメニュー450は、ユーザが、暗号制御システム32の一部であるコンピューティング装置14によってプロビジョニング済のモバイル装置18を初めて使用しようとする時に表示されるものである。ユーザは、ユーザログインメニュー450で新しいパスワードを指定するように要求される。新しいパスワードは、暗号鍵428を暗号化するために使用される。
その後、暗号制御システムの一部であるコンピューティング装置14とプロビジョニング済のモバイルストレージ装置18とのインタフェースを取る試みがなされると、クライアントアプリケーション38はアクセス制御方法460を利用して、モバイルストレージ手段18とコンピューティング装置14との間で操作が許可されているか否かを決定する。アクセス制御方法460の各ステップを1つの実施形態で示す図17を参照する。
アクセス制御方法460は、クライアントアプリケーション38がインストールされているコンピューティング装置14にプロビジョニング済のモバイルストレージ装置18が接続される際に開始される。方法460はステップ462で開始され、そこでは、ユーザが、モバイルストレージ装置18に関連するパスワードを入力するように促される。そして、方法460はステップ464に進み、ステップ462でユーザが入力したパスワードが有効か否かを決定する。この実施形態では、パスワードは永久に格納されず、入力されたパスワードの有効性を決定するために使用される鍵導出関数として機能する。ステップ464でユーザが有効なパスワードを入力したと決定されると、方法460はステップ466に進む。ステップ466では、セキュリティドメインのハッシュ416が、クライアントアプリケーション38が保持するセキュリティドメインのハッシュと比較される。一致すれば、方法460はステップ468に進む。ここで、セキュリティサブドメイン192が指定されている場合、セキュリティサブドメインのハッシュ418が、クライアントアプリケーション38が保持するセキュリティサブドメインのハッシュと比較される。一致すれば、方法460はステップ470に進む。ここで、(有効期限日が提供されている場合)プロビジョニング済のモバイルストレージ装置18に関連しモバイル装置モジュール40の一部である有効期限日が検査され、日付が有効であるか否かが確認される。ステップ464、466、468または470の何れかの結果が肯定でない場合、方法460はステップ472に進む。ここで、特定のモバイルストレージ手段18へのコンピューティング装置14のアクセスが拒否される。ステップ464、466、468および470の結果が全て肯定の場合、方法460はステップ474に進む。ここで、モバイルストレージ手段18へのアクセスが許可され、任意の他の組織の試行が適当なポリシ中に含まれる規則に基づいて評価されることになる。
ここで、コンピューティング装置14の構成要素とモバイルストレージ手段18との間の対話を例示する構成図を示す図18を参照する。クライアントアプリケーション38がインストールされているという点で暗号制御システム32の一部であるコンピューティング装置14について、クライアントアプリケーション38の監視モジュール64は、コンピューティング装置14に関連する全てのインタフェースを監視し、モバイルストレージ手段18に対する、またはモバイルストレージ手段18からの何らかの操作が要求されたか否かを決定する。図17では、アプリケーション480は、モバイルストレージ手段18からのデータを要求し得る、コンピューティング装置14上に存在するかまたはコンピューティング装置14に接続された任意のアプリケーションでよい。こうしたアプリケーションの例は例示の目的で提供され、ワープロアプリケーション、ウェブブラウザ、およびデータベースプログラムを含んでもよい。ファイルシステムドライバ485は、コンピューティング装置14上にインストールされたオペレーティングシステムの一部であり、アプリケーションからのデータ要求に応答するために使用される。従来のシステムでは、ファイルシステムドライバ485は、特定のロケーションから取り出すべきデータに対するアプリケーション480からの要求を受け取り、その要求を下位ドライバ490に送るものであった。下位ドライバ490は、モバイル装置18からのデータを最初に受け取るオペレーティングシステムのドライバである。下位ドライバ490は、例えば、ボリュームクラスドライバ、ディスククラスドライバおよびポートドライバといった、下位ドライバ490の一部となり得る1つより多いドライバから構成してもよい。暗号制御システム32では、クライアントアプリケーション38は、ファイルシステムドライバ485と下位ドライバ490との間の全ての要求を受け取る。クライアントアプリケーション38は定義された適当なポリシを施行し、ポリシがサポートする操作だけを許可する。
装置アクセス方法500の各ステップを示す図19を参照する。装置アクセス方法500はクライアントアプリケーション38によって実行され、コンピューティング装置18がモバイルストレージ手段18と対話できるか否かを決定するために使用される。
方法500はステップ502で開始され、そこでは、クライアントアプリケーション38がファイルシステムドライバ480からデータに対する要求を受け取る。方法500は、オペレーティングシステムに関連する任意のドライバからデータに対する要求を受け取ってもよく、ファイルシステムドライバ480は、本発明の実施形態に関連する一例として使用されている。そして、方法500はステップ504に進み、そこで、要求に関する情報が識別される。要求に関する情報は、要求の発行元および要求の対象となる装置に関する情報、並びに、装置18がプロビジョニング済装置または未プロビジョニング装置のいずれであるかといった、特定の装置18に関する情報を含んでもよい。
そして、方法500はステップ506に進む。ここで、クライアントアプリケーション38に関連するポリシを取り出す。ポリシは、上記で説明したように管理者によって定義されたものであり、それぞれのコンピューティング装置に関連する規則の集合を備える。そして、方法500はステップ508に進み、ステップ504で取り出した情報を考慮して、管理者が定義した規則を分析することによって、要求が許可できるか否かを決定する。ステップ508で、要求を許可できると決定された場合、方法500はステップ512に進み、そこで、要求が許可される。ステップ508で、規則が要求を許可しないと決定された場合、方法500はステップ510に進む。ここで、要求が拒否され、下位ドライバ480は、要求が拒否されたことを通知される。
これまで説明したデータの暗号化の際に使用される鍵は、鍵管理システムで利用される鍵導出階層を使用して導出される。以下においてルート鍵と呼ばれる鍵は暗号制御システム10に関連する。ルート鍵は、対称鍵または非対称鍵でよく、(例えば、モバイルストレージモジュールの一部である暗号鍵366のような)暗号化の際に使用される鍵を導出するために、暗号制御システム10によって使用される。
次の節では、「鍵管理」という表題の下で、鍵管理システムを説明する。
1つの例示実施形態では、プロビジョニング情報に対してなされた更新または一時的なポリシのバイパスが確実に許可されるように、専用の動的に生成されるコードを利用してもよい。コードは、コードの以前の値を知っていてもその次の値を予測するのが確実に困難であるような周知のアルゴリズムを使用して、種データと呼ばれるものから生成してもよい。擬似乱数生成器はそうしたアルゴリズムの良い例である。種データはコンピューティングステーションに固有ではなく、ランダムであるべきである。種情報と、経過時間、ネットワークロケーション、等といったいくつかの外部条件とに基づいて生成されるコードは、動的デジタル署名と同様の働きをする。コードまたは動的署名は、種データおよび外部条件の双方の変化に基づいて変化する。これによって、コンピューティング装置のための認証機構が提供される。種が前もってコンピューティング装置に安全に配布され、外部条件が既知であれば、ポリシの変化と共に供給されるコードは、その変化に従って機能する前にコンピューティング装置によって検証することができる。
鍵管理システムは安全な鍵を使用して認証、完全性検査、暗号化/解読を実行するので、鍵管理はその寿命全体を通じてCCFS全体のセキュリティに責任を負う非常に重要な構成要素である。
鍵管理プロトコルは、1)強力な暗号化、2)十分なスループット、3)鍵回復、4)ワンステップ電子データシュレッド、5)良好な鍵の予測不可能性、および6)ポリシ主導のデータアクセス、をサポートする。
鍵管理(KM)は、頂点にある1つのマスタ鍵(MK)とその下の従属鍵のツリーとによる階層的鍵モデルを使用する。レベルNの各鍵は、レベルN−1のその親、並びにNレベルのセキュリティオフィサおよび、場合によっては、他のNレベルの秘密保持者によって生成された種メッセージに依存する(レベル0が最上位で、レベル1が次位、以下それに続く)。一方、そのN+1レベルの子鍵を導出するには、レベルNの鍵を使用しなければならない。MK以外の各鍵は正確に1つの親を有するが、それに関連する多くの子鍵を有し得る。関連とは、その親鍵を種メッセージに適用することによって、チケット(下記参照)および専用鍵導出関数(KDF)が子鍵を導出できるということである。
MK以外の各鍵は、垂直および水平両方向に依存する(下記の式参照)。KDFとして、KMSはパスワードベース鍵導出関数−PBKDF(例えば、PKCS#5 v2標準に記載のPBKDF2)を使用する。PBKDFは良好な鍵エントロピーを示す(特徴5)。KMSでは、PBKDFのための種として、M個のプライベートパスワードから種を生成し、それらのうち任意のK個を使用して種を再生できる(MおよびK(K≦M−1)の値は設定可能である)、シャミアの鍵分割スキームか、またはストレートパスワードかの何れかをサポートする。これは上記の特徴(6)に対処する。KMSプロトコルは、対称型の高度暗号標準−AESを利用することによって(例えば、AES−256を使用することによって)、特徴(1)に対処する。AES暗号は非常に強力であると共に大きなスループットを可能にし、ソフトウェアのみによっても達成できる(上記の特徴1、2)。鍵は、ユーザログインおよびPBKDFを使用したパスワードによってラップされた媒体上に格納される。これは鍵の配布を容易にする。
容易なワンステップ暗号シュレッドを促進するため、MK以外の各レベルの鍵は共有チケットを有する。チケットは、(各鍵に一意の)種と共にそのレベルの鍵を導出するために使用されるSHAの半分のバイト数のメッセージである。何れかのレベルでチケットを破壊することによって、そのレベル(を含む)から下位の全ての鍵が事実上回復不能になる。
各レベルのチケットは、HSMに格納されユーザIDおよびパスワードによってアクセス可能となるか、またはローカルに格納され、例えば、PKCS#5プロトコルを使用したラップが可能になる。N+1レベルの鍵を回復しなければならない時はいつでも、秘密保持者はその秘密を供給しなければならず、関連するチケットを取得しなければならない。そのレベルのチケットを取得する処理は専用アプリケーションによって一度だけ可能になり、その後そのレベルの全ての鍵が作成/回復可能になる。
以下、鍵管理システムで利用される鍵導出関数の例を示す。
PrK、PubKはMKPのプライベート鍵および公開鍵である。
P1、P2、・・・は、MKのための種(シャミアの技術用語における共有秘密)を生成する、パスワード保持者のパスワードである。
SHAMIR−シャミアの鍵分割手順。
SHA−安全なハッシュ関数(例えば、32バイトのフィンガープリントを生成するSHA2)。
PBKDF−パスワード主導鍵導出関数。
AESn−レベルNのAES鍵。
この場合、鍵導出処理は以下の通りである。
MK導出:
PBKDF(PrK(SHA(SHAMIR(P1,P2,...,PM))))=AES0
そして、MKフィンガープリント(MKF)を以下のように計算する。
PubK(SHA(SHAMIR(P1,P2,...,PM)))=MKF
MKFは公知であり、これを使用してMKが正しく回復されたか否かを検証する。
MKFを検証するため、
1)HSMはPrKを使用してMKFを解読しSHA(SHAMIR(P1,P2,...))を得る。
2)SHAMIR関数を適用して種:SHAMIR(P1,P2,...)を得る。
3)種に対するSHAを計算する。
4)3)の結果を1)と比較する。
どちらの式もP1,...,PKである入力のみによってHSMにおいて実現されなければならない。
レベルN+1の鍵導出は以下の式を通じて達成される。
PBKDF(AESn(<SHAの前半(種|T)>))=AESn+1
ここで、TはNレベルのチケットであり、演算「|」はバイトストリームの連結を意味する。
種は、鍵AESn+1の元で保護されようとしているデータを担当するセキュリティオフィサによって選択された秘密、またはN+1レベルの秘密保持者からの入力に対してSHAMIR手順によって生成された共有秘密の何れかでもよい。鍵管理システムで選択できるようになっている。
各ルート鍵は鍵階層の始点であり、ルートから直接的または間接的に導出される鍵によって保護されるオブジェクトの集合であるセキュリティドメインを定義する。異なるドメインのオブジェクトは解読できないので、アクセスできない。ドメインは暗号境界を表すが、これは多くのセキュリティ規則に適合しなければならないため重要である。同じ暗号機構を適用することによって、任意の数のセキュリティサブドメインを作成することができる。例えば、いくつかのチケットが同じバイトサブセットを有する場合、それらは事実上同じサブドメインに入る。共有チケット情報を知られないようにすることによって、オブジェクトはアクセスされなくなる。従って、鍵によって暗号操作を実行する任意のアプリケーションは、ドメインおよびサブドメイン両方の制限に基づいてアクセスポリシを課すことができる。十分に長いチケットを適用することによって、任意の望ましいレベルを達成できる。ドメイン/サブドメイン制限を促進するため、鍵を生成するのと同時に、(例えば、大きな一意の整数の形態で)ドメイン/サブドメインIDを生成してもよい。
MK以外のNレベルの鍵はどれも、ラップされた鍵と共に媒体上にローカルに格納されたポリシファイルを有しなければならない(鍵のラップについては鍵配布の節を参照)。鍵ポリシファイルはX.509 v3証明書またはバイナリファイルとして符号化してもよい。
ポリシファイルは、ポリシ作成日、鍵の有効期限日、アクセスレベル(管理者、または外部ユーザの何れか)、暗号形態のセキュリティドメインIDまたはそのSHA、暗号形態のセキュリティサブドメインIDまたはそのSHA、確認スケジュール(ポリシを確認する時間間隔)、鍵に関連するユーザのログイン名(何人かのユーザを同じ鍵に関連させてもよいが、1人のユーザに関連するのは1つの鍵だけである)、鍵が関連するボリューム、管理者のログイン名、起動状態、鍵のハッシュ(ドライバのID)、署名(例えば、HMAC−SHAに基づく)、といったフィールドの全部または一部を収容する。
鍵ポリシファイルがバイナリファイルとして符号化されている場合、暗号化されていないフィールドの配置は以下のようでもよい。符号化はASN.1アプローチを使用してもよい。各フィールドは1バイトのタグ、バイト長、およびバイト値、すなわち{tag,length_byte、value_bytes...}を有する。
ポリシ全体は、例えば、PKCS#5プロトコルを使用したラップ鍵によって暗号化される。ラップ鍵は専用のラップパスワードを使用して作成されるが、このラップパスワードはどこにも格納されず、鍵とポリシファイルとの両方が配布される都度適用される。ラップの前に、ポリシファイルはラップパスワードによって再署名される。
従って、ラップには、鍵を作成するために使用されたパスワードと、ラップパスワードとの両方のパスワードが必要である。このことはラップ処理に対する認証を提供する。しかし、鍵とポリシファイルとの両方をアンラップし、ポリシの署名を検査するために必要とされるのはラップパスワードだけである。
鍵回復は、ラップ鍵のパスワードを知らずに暗号鍵を復元する能力である。これはパスワードを紛失した際にデータの回復を可能にする非常に重要な機能である。しかし、鍵回復をエンドユーザが行うことはできないので、データに対する強力な暗号による保護が提供される。許可された秘密保持者だけが、専用アプリケーションの助けによって、MK以外の任意の鍵を回復することができる。
シャミアのしきい値スキームを適用したり鍵導出の式を適用したりすることによって種を復元するのに必要なレベルのチケットおよび十分な秘密保持者を有する場合にMK以外の任意の鍵を回復することができる鍵回復機能が、鍵スキームおよびそれに関する専用アプリケーションに組み込まれる。このアプリケーションは、まず、秘密保持者の証明書または個人プロファイルファイルの何れかを検証することによって、秘密保持者の信用性を検証する。
鍵を消去したりまたは鍵を保持するHSMをゼロ化したりすることによって、鍵は破壊される。また、いくつかの秘密を破壊すると、秘密保持者は、たとえチケットを取得してもその鍵を回復できなくなる。破壊される秘密の数はしきい値を越えなければならない。鍵を破壊すると、その鍵によって暗号化されたデータは使用不能になる。
電子シュレッドとは、その鍵によって暗号化された任意のデータを、事実上、無用な「電子ゴミ」にするような回復不能な鍵の破壊を指す。レベル全体を電子シュレッドするには、まずそのレベルのチケットを破壊した後、特定のノードの物理鍵と共に、シャミアの閾値スキームを無効にするのに十分な秘密を破壊しなければならない。大量の電子シュレッドを促進するためには、専用階層が必要である(次節参照)。
鍵管理および電子シュレッドを促進する鍵階層に関するいくつかの示唆が存在する。例えば、いくつかのデータをオフサイトでアーカイブしようとする場合、周知のノードからの部分木を表す鍵(単数または複数)によって暗号化しなければならない。そして、そのノードについての鍵を破壊することによって有効にデータがシュレッドされる。代替的には、アーカイブされたボリューム内のいくつかのデータが異なる寿命(異なる寿命範囲または有効期間)を有する場合、同じ有効期間のデータを独立した鍵(単数または複数)の部分木によって暗号化すべきである。鍵階層中の各ノードでは、有効期間が交互にならないように、データを暗号化するために使用される鍵の新しい部分木を開始すべきである。有効期限日を有しないデータを第1のレベルの鍵によって暗号化してもよい。一般に、鍵階層が深くなるほど、データの寿命は短くなる。
対称型暗号化は、入力データ長が、例えば8バイト(DES/DES3の場合)または16/32バイト(AES−128/256の場合)で割り切れることを必要とするので、データの長さが不適合な場合、暗号化の前に何らかの余分のデータを追加し、解読したデータを表示する前に余分のデータを取り除くようにしなければならない。この処理をパディングと呼ぶ。標準的なパディングスキームはまだないが、1つのスキームが広範に使用され「事実上の」標準になっている。RSAセキュリティーズ社(RSA Securities)のPKCS#1標準で符号化するRSA鍵と共にこのスキームを説明する。
このスキームは以下のように動作する。暗号化の前に、入力データは常にパディングされる。つまり、AESの場合データの長さが16で割り切れる場合でも、追加の16バイトが追加される。さらに正確に言うと、Lが入力データの長さ(単位:バイト)、%がLを16で割るときの剰余演算子、である時、追加されるバイト数Nは、式N=16−(L % 16)によって計算できる。Nは[1−16]の範囲内である。Nバイトを追加することによって、L+Nは16で割り切れるようになる。追加された各バイトは、Nに等しい同じ値を含む。その後、パディングされたデータを暗号化する。
解読の後解読されたデータを提示する前に、パディングした部分を取り除かなければならない。そのアルゴリズムは、1)最終バイトの値Nを得る、2)少なくともN個の最終バイトが全て値Nを有するか否かを検査する、3)N個の最終バイトを「削除」し、Nを減算することによってデータ長を更新する(「削除」は単に長さを更新することによって行ってもよい)、というように説明することができる。
このパディングスキームはかなり以前から使用されているので、他の暗号プロバイダが当方のデータを処理しなければならないという相互運用性を必要とする場合でも、他の暗号プロバイダはPKCS#1パディングを理解しているだろう。
鍵管理システムをサポートするためには、1)ハッシュ関数−SHA1またはSHA2、2)ECB/CBCモードでのAES−256(AES−256/ECBモードはTWEAKと結合して「カットアンドペースト」攻撃を防止する)、3)TWEAK実装、4)PKCS#5 v2に記載のPBKDF2鍵導出関数、5)PKCS#1標準によるPKCS#1パディング、6)HMAC−SHA署名/検証、および7)ディフィ−ヘルマン鍵共有方式、のサポートが必要である。
鍵管理システムが顧客のPKIインフラストラクチャに統合され、また、ユーザの鍵およびポリシを配布するための証明書をサポートする必要がある場合、PKIおよびRSAのサポートが必要になることがある。
PKI鍵管理システムは、1)ASN.1パーサ、2)PKCS1、5、8、9、10および恐らくPKCS11およびPKCS12のサポート、3)標準X.509証明書の拡張子および属性のサポート、4)予想される顧客専用の属性および拡張子ならびにワールドワイド名を備えたX.509 v3証明書のサポート、5)サードパーティ暗号プロバイダとシームレスに作業するために予想される、ディフィ−ヘルマン鍵交換(PKCS#3)、CBCモードのトリプルDES、およびPKCS#11のサポート、を必要とする。
何らかの種類の暗号サポートを必要とする全ての構成要素が共有する共通暗号インタフェース(暗号抽象層−CAL)が必要な場合がある。この層は、当方の将来の顧客が既に使用し、そのため信頼を置き使用の継続を希望しているサードパーティの暗号ライブラリのような異なる暗号プロバイダに容易にプラグインできるものでなければならない。CALは、サードパーティの暗号ライブラリと共に多数のハードウェア暗号プロバイダおよび暗号アクセラレータをサポートすることができる。CALは、(一方はAES用、もう一方はSHA1およびHMAC−SHA1用といった)異なるタスクのための(ソフトウェアまたはハードウェアの)異なる暗号プロバイダの登録を可能にする。
各セキュリティシステムは、通常、他の鍵またはルート証明書などの最も重要なデータを保護するために使用される、ルート鍵(RK)またはマスタ鍵と呼ばれる少なくとも1つの非常に重要なセキュリティ鍵を有する。この鍵自体を保護することが課題である。MKを保護するためには、1)全ての保護が利用可能な安全な物理ロケーション、2)MKをFIPS−140.1レベル2以上の安全なハードウェアモジュールに格納する、および3)シャミアの鍵分割スキーム、という3つの基本的なアプローチが存在する。
MKを保護することは問題の一方の側面に過ぎない。もう一方の側面は、MKが必要な場合容易に利用できるようにしておくことである。MKを1つしか有しない場合、「この鍵を紛失したらどうすればよいか?」という別の問題が出てくる。追加のコピーを作成することがこの問題を緩和する普通のアプローチであるが、これはセキュリティリスクを追加し鍵の取り消しを複雑にする。最初の2つのアプローチは、理論的に、MKの高いストレージセキュリティを達成するが、容易な利用可能性および簡単な取り消し処置の両方を欠いている。最後の2つの問題を有効に解決するために、シャミアの鍵分割スキーム(SKS)を導入した。
SKSの概念は、鍵、パスワード等となり得る任意のビット列である共有秘密(S)をN個の部分に分割するが、その際K<Nであり、K個より少ない部分を有してもSを回復できないが、任意のK個以上の部分を有すればSを明瞭に回復できるというものである。
SKSスキームは多くの数学的実現を有するが、シャミア自身が提案した、最も簡単な、しきい値秘密分散法と呼ばれる概念を以下で説明する。
確率的アルゴリズムPAはしきい値秘密分散法を定義する。ここでは入力としてある有限の集合FSから秘密Sを受け取り、n個の分散情報、すなわち、ビット列S1,...,Snを出力する。最後に、秘密分散スキームでは、0<K<Nであるしきい値Kが使用される。このアルゴリズムは、以下で概説するプライバシと正当性の要求に適合しなければならない。プライバシに関しては、インデックス{1,2,...n}のサイズがK−1以下の任意のサブセットIを取り、任意の入力S’に対してアルゴリズムが実行されると、{Si|i∈I}の確率分布はS’と独立である。正当性に関しては、インデックス{1,2,...N}のサイズがK以上の任意のサブセットJを取ると、アルゴリズムによって、{Si|i∈J}からSが計算される。実際に、{Si|i∈J}からSを計算する有効なアルゴリズムが存在する。
一例として、P>Nである、ある素数Pについて、S=ZPと設定し、Kが希望するしきい値であると想定する。すると、シャミアが提案したアルゴリズムを以下のように記述することができる。
1)要素a1,a2,...an∈ZPをランダムに選択し、f(x)を多項式とする。
f(x)=S+a1*x+a2*(x**2)+...+ak*(x**k)
別言すれば、f(0)=Sとなる次数が最大KのZPにおけるランダム多項式を選択する。
2)si=f(i) mod P、i=1,...,Nによって、分散情報を定義する。
このスキームは、ラグランジュ補間の古典的な結果のため、上記で概説した特性を有する。ラグランジェ補間では、任意のフィールドFと、xiが判明している場合のxiとyiの組の任意の集合{(xi,yi)|0<i<K+1}∈F×Fについて、次数が最大KであるFに対して、g(xi)=yi、i=1...K+1となる1つの多項式g(x)が確かに存在する。この多項式の全ての係数は有効に計算することができる。証明のため、
Figure 2008541247
 という多項式が、g(xi)=1で、j≠Iの場合g(xj)=0を満足し、最大Kの次数を有することに注意されたい。従って、
g(x)=y11(x)+...+yk+1k+1(x)
は適切な特性を有する。従って、構造によって直接的に、gは有効に計算可能であるということになる。2つの異なる多項式g(x)、g’(x)がどちらも解であったとすれば、g(x)−g’(x)は次数が最大KでK+1個の根を有するゼロでない多項式となる。しかしながら、このような多項式は存在しないので、1つの解しかあり得ない。
1つの実施形態に関して本発明を説明した。しかし、本発明の範囲から離れることなく他の変形および修正をなし得ることを当業者は理解するだろう。
従来のネットワークの構成要素を例示する構成図である。 本発明に関連するネットワークの構成要素を例示する構成図である。 管理者アプリケーションの構成要素を例示する構成図である。 クライアントアプリケーションの構成要素を例示する構成図である。 管理者オプションメニューの例のスクリーンショットである。 セキュリティドメインメニューの例のスクリーンショットである。 1つのセキュリティドメインおよび複数のセキュリティサブドメインに応じて編成されたネットワークの図である。 ポリシ指定方法の各ステップを例示するフローチャートである。 ポリシエディタメニューの例のスクリーンショットである。 ポリシエディタロックメニューの例のスクリーンショットである。 クライアントアプリケーション準備方法の各ステップを例示するフローチャートである。 導入メニューの例のスクリーンショットである。 プロビジョニング方法の各ステップを例示するフローチャートである。 メディアプロビジョニングメニューの例のスクリーンショットである。 モバイル装置モジュールのコンテンツを例示する構成図である。 ユーザログインメニューの例のスクリーンショットである。 アクセス制御方法の各ステップを例示するフローチャートである。 コンピューティング装置に関連するクライアントアプリケーションと構成要素との間の対話を例示する構成図である。 装置アクセス方法の各ステップを例示するフローチャートである。

Claims (11)

  1. コンピューティングステーションとモバイルストレージ手段との間の対話を管理する方法であって、前記方法が、
    a)前記モバイルストレージ手段によってなされる操作の要求について、前記コンピューティング装置に関連する1つまたは複数のインタフェースを監視するステップと、
    b)前記操作の要求と、前記モバイルストレージ手段に関連する情報とを識別するステップと、
    c)前記コンピューティングステーションに関連する1つまたは複数の規則を備えるポリシを取り出すステップと、
    d)前記操作の要求の許可が可能か否かを決定するため、前記ポリシに関連する前記1つまたは複数の規則を評価するステップと、を含む方法。
  2. 前記操作の要求が、マウント操作、コピー操作、削除操作、安全な削除操作、読み取り操作、書き込み操作、伝送操作、および実行操作からなるグループから選択される、請求項1に記載の方法。
  3. 前記モバイルストレージ手段に関連する前記情報が、一意識別子、セキュリティドメインのハッシュ、セキュリティサブドメインのハッシュ、ユーザID、有効期限日、プロビジョニング日付、暗号情報、暗号鍵、および署名からなるグループから選択される、請求項1に記載の方法。
  4. コンピューティングステーションとモバイルストレージ手段との間の対話を管理する方法であって、前記方法が、
    a)1つまたは複数の許可可能な操作を備える、前記コンピューティング装置についてのポリシを定義するステップと、
    b)前記ポリシを前記コンピューティングステーションがアクセスできるようにすることによって、前記ポリシを前記コンピューティングステーションに関連させるステップと、
    c)前記モバイルストレージ手段からの操作の要求に応答して、前記ポリシを前記モバイルストレージ手段から取り出された情報に基づいて評価するステップと、を含む方法。
  5. 前記ポリシがさらに、セキュリティドメイン情報を備える、請求項4に記載の方法。
  6. 前記ポリシがさらに、セキュリティサブドメイン情報を備える、請求項4に記載の方法。
  7. 前記要求される操作は、マウント操作、コピー操作、削除操作、安全な削除操作、読み取り操作、書き込み操作、伝送操作、および実行操作からなるグループから選択される、請求項4に記載の方法。
  8. 前記モバイルストレージ手段から取り出される情報がセキュリティドメイン情報を含む、請求項4に記載の方法。
  9. 前記モバイルストレージ手段から取り出される情報がセキュリティサブドメイン情報を含む、請求項4に記載の方法。
  10. 前記モバイルストレージ手段から取り出される情報がプロビジョニング情報を含む、請求項4に記載の方法。
  11. コンピュータプログラムコードへのアクセスを有するコンピューティング装置であって、実行される際、前記コンピューティング装置が、
    a)コンピューティング装置とモバイルストレージ手段との間で行われ得る操作を制限し、
    b)前記モバイルストレージ手段によって、またはそれに対してなされる操作の要求を検出するため、前記コンピューティング装置に関連する1つまたは複数のインタフェースを監視し、
    c)前記コンピューティング装置と前記モバイルストレージ手段との間の対話を管理するポリシに関連する1つまたは複数の規則を施行するように構成されるコンピューティング装置。
JP2008510377A 2005-05-13 2006-05-15 モバイルストレージ手段の暗号化制御 Pending JP2008541247A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US68049205P 2005-05-13 2005-05-13
PCT/CA2006/000771 WO2006119637A1 (en) 2005-05-13 2006-05-15 Cryptographic control for mobile storage means

Publications (2)

Publication Number Publication Date
JP2008541247A true JP2008541247A (ja) 2008-11-20
JP2008541247A5 JP2008541247A5 (ja) 2009-07-02

Family

ID=37396157

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008510377A Pending JP2008541247A (ja) 2005-05-13 2006-05-15 モバイルストレージ手段の暗号化制御

Country Status (7)

Country Link
US (1) US8689347B2 (ja)
EP (1) EP1897019A4 (ja)
JP (1) JP2008541247A (ja)
CN (1) CN101292246A (ja)
AU (1) AU2006246278A1 (ja)
CA (1) CA2623137C (ja)
WO (1) WO2006119637A1 (ja)

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10181953B1 (en) 2013-09-16 2019-01-15 Amazon Technologies, Inc. Trusted data verification
US8935416B2 (en) * 2006-04-21 2015-01-13 Fortinet, Inc. Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer
US8379865B2 (en) * 2006-10-27 2013-02-19 Safenet, Inc. Multikey support for multiple office system
US8036377B1 (en) * 2006-12-12 2011-10-11 Marvell International Ltd. Method and apparatus of high speed encryption and decryption
CN100437618C (zh) * 2006-12-29 2008-11-26 北京飞天诚信科技有限公司 一种便携式信息安全设备
US9954875B2 (en) 2009-06-26 2018-04-24 International Business Machines Corporation Protecting from unintentional malware download
US9298894B2 (en) 2009-06-26 2016-03-29 International Business Machines Corporation Cache structure for a computer system providing support for secure objects
US9846789B2 (en) 2011-09-06 2017-12-19 International Business Machines Corporation Protecting application programs from malicious software or malware
US8954752B2 (en) 2011-02-23 2015-02-10 International Business Machines Corporation Building and distributing secure object software
US8578175B2 (en) 2011-02-23 2013-11-05 International Business Machines Corporation Secure object having protected region, integrity tree, and unprotected region
US8819446B2 (en) * 2009-06-26 2014-08-26 International Business Machines Corporation Support for secure objects in a computer system
US8688802B2 (en) 2010-03-15 2014-04-01 Salesforce.Com, Inc. System, method and computer program product for serving an application from a custom subdomain
US9237155B1 (en) 2010-12-06 2016-01-12 Amazon Technologies, Inc. Distributed policy enforcement with optimizing policy transformations
US9864853B2 (en) 2011-02-23 2018-01-09 International Business Machines Corporation Enhanced security mechanism for authentication of users of a system
US8826367B2 (en) * 2011-05-10 2014-09-02 Sybase, Inc. Elastic resource provisioning in an asymmetric cluster environment
EP2713295A4 (en) * 2011-05-19 2015-04-22 Japan Broadcasting Corp COOPERATIVE RADIO COMMUNICATION RECEIVER, RESOURCE ACCESS CONTROL PROGRAM AND COOPERATIVE RADIO COMMUNICATION SYSTEM
US8769642B1 (en) 2011-05-31 2014-07-01 Amazon Technologies, Inc. Techniques for delegation of access privileges
US10165007B2 (en) 2011-09-15 2018-12-25 Microsoft Technology Licensing, Llc Securing data usage in computing devices
US9178701B2 (en) 2011-09-29 2015-11-03 Amazon Technologies, Inc. Parameter based key derivation
US9203613B2 (en) 2011-09-29 2015-12-01 Amazon Technologies, Inc. Techniques for client constructed sessions
US9197409B2 (en) 2011-09-29 2015-11-24 Amazon Technologies, Inc. Key derivation techniques
US20180083930A1 (en) 2011-12-12 2018-03-22 International Business Machines Corporation Reads for dispersed computation jobs
US9674155B2 (en) * 2011-12-12 2017-06-06 International Business Machines Corporation Encrypting segmented data in a distributed computing system
US10360106B2 (en) 2011-12-12 2019-07-23 International Business Machines Corporation Throttled real-time writes
US9215076B1 (en) 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US8739308B1 (en) 2012-03-27 2014-05-27 Amazon Technologies, Inc. Source identification for unauthorized copies of content
US10455071B2 (en) 2012-05-09 2019-10-22 Sprint Communications Company L.P. Self-identification of brand and branded firmware installation in a generic electronic device
US9258118B1 (en) 2012-06-25 2016-02-09 Amazon Technologies, Inc. Decentralized verification in a distributed system
US9660972B1 (en) 2012-06-25 2017-05-23 Amazon Technologies, Inc. Protection from data security threats
US9197700B2 (en) * 2013-01-18 2015-11-24 Apple Inc. Keychain syncing
US9405900B2 (en) 2013-03-13 2016-08-02 General Electric Company Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
US9407440B2 (en) 2013-06-20 2016-08-02 Amazon Technologies, Inc. Multiple authority data security and access
US9208310B2 (en) * 2013-06-26 2015-12-08 Cognizant Technology Solutions India Pvt. Ltd. System and method for securely managing enterprise related applications and data on portable communication devices
US9521000B1 (en) 2013-07-17 2016-12-13 Amazon Technologies, Inc. Complete forward access sessions
WO2015012867A1 (en) 2013-07-26 2015-01-29 Hewlett Packard Development Company, L.P. Data view based on context
US9311500B2 (en) 2013-09-25 2016-04-12 Amazon Technologies, Inc. Data security using request-supplied keys
US9237019B2 (en) 2013-09-25 2016-01-12 Amazon Technologies, Inc. Resource locators with keys
US9743271B2 (en) 2013-10-23 2017-08-22 Sprint Communications Company L.P. Delivery of branding content and customizations to a mobile communication device
US10506398B2 (en) 2013-10-23 2019-12-10 Sprint Communications Company Lp. Implementation of remotely hosted branding content and customizations
US10243945B1 (en) 2013-10-28 2019-03-26 Amazon Technologies, Inc. Managed identity federation
US9420007B1 (en) 2013-12-04 2016-08-16 Amazon Technologies, Inc. Access control using impersonization
US9223965B2 (en) 2013-12-10 2015-12-29 International Business Machines Corporation Secure generation and management of a virtual card on a mobile device
US9235692B2 (en) 2013-12-13 2016-01-12 International Business Machines Corporation Secure application debugging
US9639710B2 (en) 2013-12-23 2017-05-02 Symantec Corporation Device-based PIN authentication process to protect encrypted data
US9369461B1 (en) 2014-01-07 2016-06-14 Amazon Technologies, Inc. Passcode verification using hardware secrets
US9374368B1 (en) 2014-01-07 2016-06-21 Amazon Technologies, Inc. Distributed passcode verification system
US9292711B1 (en) 2014-01-07 2016-03-22 Amazon Technologies, Inc. Hardware secret usage limits
US9262642B1 (en) 2014-01-13 2016-02-16 Amazon Technologies, Inc. Adaptive client-aware session security as a service
US10771255B1 (en) 2014-03-25 2020-09-08 Amazon Technologies, Inc. Authenticated storage operations
US9258117B1 (en) 2014-06-26 2016-02-09 Amazon Technologies, Inc. Mutual authentication with symmetric secrets and signatures
US10326597B1 (en) 2014-06-27 2019-06-18 Amazon Technologies, Inc. Dynamic response signing capability in a distributed system
US10114939B1 (en) * 2014-09-22 2018-10-30 Symantec Corporation Systems and methods for secure communications between devices
US9558128B2 (en) 2014-10-27 2017-01-31 Seagate Technology Llc Selective management of security data
US9680651B2 (en) 2014-10-27 2017-06-13 Seagate Technology Llc Secure data shredding in an imperfect data storage device
US9992326B1 (en) 2014-10-31 2018-06-05 Sprint Communications Company L.P. Out of the box experience (OOBE) country choice using Wi-Fi layer transmission
US9722775B2 (en) * 2015-02-27 2017-08-01 Verizon Patent And Licensing Inc. Network services via trusted execution environment
US11456876B2 (en) * 2015-03-26 2022-09-27 Assa Abloy Ab Virtual credentials and licenses
US10122692B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Handshake offload
US10122689B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Load balancing with handshake offload
CN105141614B (zh) * 2015-09-07 2019-05-21 北京北信源软件股份有限公司 一种移动存储设备的访问权限控制方法及装置
US10339333B2 (en) * 2016-07-20 2019-07-02 Montage Technology Co., Ltd. Method and apparatus for controlling application to access memory
US10116440B1 (en) 2016-08-09 2018-10-30 Amazon Technologies, Inc. Cryptographic key management for imported cryptographic keys
US9641676B1 (en) 2016-08-17 2017-05-02 Authority Software LLC Call center audio redaction process and system
US9913132B1 (en) * 2016-09-14 2018-03-06 Sprint Communications Company L.P. System and method of mobile phone customization based on universal manifest
US10021240B1 (en) 2016-09-16 2018-07-10 Sprint Communications Company L.P. System and method of mobile phone customization based on universal manifest with feature override
US10306433B1 (en) 2017-05-01 2019-05-28 Sprint Communications Company L.P. Mobile phone differentiated user set-up
CN107506668A (zh) * 2017-08-31 2017-12-22 北京计算机技术及应用研究所 一种基于通信消息实时认证的u盘访问方法
CN108064376A (zh) * 2017-11-20 2018-05-22 深圳市汇顶科技股份有限公司 系统启动校验方法及系统、电子设备和计算机存储介质
CN109743297B (zh) * 2018-12-17 2021-05-04 六合远教(成都)科技有限公司 一种巡察办管理服务系统及其工作方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005092745A (ja) * 2003-09-19 2005-04-07 Sangikyou:Kk 携帯型記憶媒体を用いたパソコン制御システム及び携帯型記憶媒体

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101359350B (zh) * 1995-02-13 2012-10-03 英特特拉斯特技术公司 用于安全地管理在数据项上的操作的方法
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US7272723B1 (en) 1999-01-15 2007-09-18 Safenet, Inc. USB-compliant personal key with integral input and output devices
US6643783B2 (en) * 1999-10-27 2003-11-04 Terence T. Flyntz Multi-level secure computer with token-based access control
JP2001195309A (ja) 2000-01-13 2001-07-19 Casio Comput Co Ltd セキュリティ管理システムおよびそのプログラム記録媒体
PL355475A1 (en) 2000-02-21 2004-05-04 Trek 2000 International Ltd. A portable data storage device
US20050015608A1 (en) * 2003-07-16 2005-01-20 Pkware, Inc. Method for strongly encrypting .ZIP files
JP2002132457A (ja) 2000-10-26 2002-05-10 Victor Co Of Japan Ltd 情報記録装置及び情報再生装置並びに情報記録再生装置
JP4243932B2 (ja) 2001-07-09 2009-03-25 パナソニック株式会社 コンテンツ管理システムおよび情報記録媒体
US6892309B2 (en) * 2002-02-08 2005-05-10 Enterasys Networks, Inc. Controlling usage of network resources by a user at the user's entry point to a communications network based on an identity of the user
US8544084B2 (en) * 2002-08-19 2013-09-24 Blackberry Limited System and method for secure control of resources of wireless mobile communication devices
JP4400059B2 (ja) 2002-10-17 2010-01-20 株式会社日立製作所 ポリシー設定支援ツール
US7478248B2 (en) * 2002-11-27 2009-01-13 M-Systems Flash Disk Pioneers, Ltd. Apparatus and method for securing data on a portable storage device
US7237021B2 (en) * 2003-04-04 2007-06-26 Bluearc Uk Limited Network-attached storage system, device, and method supporting multiple storage device types
US7240219B2 (en) * 2003-05-25 2007-07-03 Sandisk Il Ltd. Method and system for maintaining backup of portable storage devices
US20050005170A1 (en) * 2003-06-26 2005-01-06 International Business Machines Corporation Minimizing information gathered by access decision engines in access control systems
WO2005008385A2 (en) 2003-07-07 2005-01-27 Cryptography Research, Inc. Reprogrammable security for controlling piracy and enabling interactive content
US7515717B2 (en) 2003-07-31 2009-04-07 International Business Machines Corporation Security containers for document components
US7530103B2 (en) 2003-08-07 2009-05-05 Microsoft Corporation Projection of trustworthiness from a trusted environment to an untrusted environment
US20050066069A1 (en) * 2003-09-19 2005-03-24 Kenichi Kaji Personal computer control system using portable memory medium and portable telephone set, and portable memory medium and portable telephone set therefor
JP2005122474A (ja) 2003-10-16 2005-05-12 Fujitsu Ltd 情報漏洩防止プログラムおよびその記録媒体並びに情報漏洩防止装置
EP1690363A4 (en) 2003-12-03 2012-02-08 Safend Ltd METHOD AND SYSTEM FOR ENHANCING THE SECURITY OF A COMPUTER NETWORK
US20050182925A1 (en) * 2004-02-12 2005-08-18 Yoshihiro Tsukamura Multi-mode token
US7945788B2 (en) * 2005-05-03 2011-05-17 Strong Bear L.L.C. Removable drive with data encryption

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005092745A (ja) * 2003-09-19 2005-04-07 Sangikyou:Kk 携帯型記憶媒体を用いたパソコン制御システム及び携帯型記憶媒体

Also Published As

Publication number Publication date
CA2623137A1 (en) 2006-11-16
US8689347B2 (en) 2014-04-01
EP1897019A4 (en) 2011-10-05
WO2006119637A1 (en) 2006-11-16
CN101292246A (zh) 2008-10-22
AU2006246278A1 (en) 2006-11-16
EP1897019A1 (en) 2008-03-12
CA2623137C (en) 2014-10-21
US20090217385A1 (en) 2009-08-27

Similar Documents

Publication Publication Date Title
CA2623137C (en) Cryptographic control for mobile storage means
EP1902401B1 (en) Content cryptographic firewall system
US20100095118A1 (en) Cryptographic key management system facilitating secure access of data portions to corresponding groups of users
JP6514115B2 (ja) フェデレーテッドキー管理
JP6329970B2 (ja) 関連データを有するポリシー施行
JP4902207B2 (ja) ファイルの暗号化と復号化のための複数のキーを管理するシステムと方法
US7751570B2 (en) Method and apparatus for managing cryptographic keys
US7320076B2 (en) Method and apparatus for a transaction-based secure storage file system
JP4857284B2 (ja) 多目的コンテンツ制御をするコントロール構造の生成システム
CN110352413B (zh) 一种基于策略的实时数据文件访问控制方法与系统
US20050076232A1 (en) Client apparatus and content processing method in client apparatus, and content provision system
US20090144557A1 (en) Recoverable secure data store system and method
US20080235521A1 (en) Method and encryption tool for securing electronic data storage devices
JP2008257691A (ja) ストレージデバイスのデータ暗号化およびデータアクセスのシステムおよび方法
CN111367834A (zh) 自加密驱动器(sed)
US20220200791A1 (en) Method for encrypting and storing computer files and associated encryption and storage device
CN112926082A (zh) 一种基于区块链的信息处理方法及装置
WO2022066775A1 (en) Encrypted file control
CN107317823A (zh) 一种云存储系统中的加密方法和系统
JP2022531538A (ja) 暗号システム
US8738531B1 (en) Cryptographic distributed storage system and method
WO2016087837A1 (en) Secure document management
Anton et al. Linux unified key setup (LUKS)-the good, the bad, the ugly
US20220174067A1 (en) Securing data and tracking actions upon data
CN117056949A (zh) 一种基于结构信息的三维模型加密方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090515

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110607

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110907

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110914

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120221