JP2012515959A - 多重認証処理機能を有する着脱可能メモリ格納装置 - Google Patents

多重認証処理機能を有する着脱可能メモリ格納装置 Download PDF

Info

Publication number
JP2012515959A
JP2012515959A JP2011546549A JP2011546549A JP2012515959A JP 2012515959 A JP2012515959 A JP 2012515959A JP 2011546549 A JP2011546549 A JP 2011546549A JP 2011546549 A JP2011546549 A JP 2011546549A JP 2012515959 A JP2012515959 A JP 2012515959A
Authority
JP
Japan
Prior art keywords
storage device
memory storage
user
data
peripheral memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011546549A
Other languages
English (en)
Inventor
ハミド ローレンス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GlassBridge Enterprises Inc
Original Assignee
Imation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Imation Corp filed Critical Imation Corp
Publication of JP2012515959A publication Critical patent/JP2012515959A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

【解決手段】
方法は、ユーザの第1ユーザ認証データを提供し、かつ前記第1ユーザ認証データを第1格納テンプレートデータと比較する工程を有する。前記比較が一致を表す場合には、第1セッションが提供され、周辺メモリ格納装置内に格納された第1データを検索するためのユーザアクセスおよび前記周辺メモリ格納装置のデータ内容を変更するためのユーザアクセスの1を可能にする。前記第1セッションは、前記周辺メモリ格納装置内に格納されている第1データを検索するためのユーザアクセスおよび前記周辺メモリ格納装置のデータ内容を変更するためのユーザアクセスの前記他の1を可能にしない。前記第1セッションの間、前記同一ユーザの第2ユーザ認証データが提供され、第2格納テンプレートデータと比較される。前記比較が一致を表す場合には、第2セッションが提供され、前記周辺メモリ格納装置内に格納されている第1データの検索に対するユーザアクセスおよび前記周辺メモリ格納装置の前記データ内容を変更するためのユーザアクセスの前記他の1を可能にする。

Description

本発明は、全体として、データのセキュリティに係り、より詳細には、着脱可能メモリ格納装置の読出しおよび/または書込み機能を制御可能とする多重認証処理機能を有するシステムおよび方法に関する。
一般に、「メモリ・キー」、「メモリ・スティック」、「フラッシュ・メモリ」または「サムドライブ」として表される、着脱可能メモリ格納装置を用いてデジタルデータを共有しかつ交換することは益々通常のことになっている。概して、この種類の記憶装置は、USB(ユニバーサル・シリアル・バス)インタフェースにより集積化されたNAND型フラッシュ・メモリ・データ格納装置である。USBフラッシュ・ドライブは、一般的には、着脱可能で再書込み可能であって、ラップトップ・コンピュータ、パーソナルデータ解析器(PDA)、パソコンのような広い範囲の携帯用および固定型電子機器によって使用できる。それらはよりコンパクトで、より早く、より多くのデータを保持し、より耐久性のある設計をもち、かつ、フロッピー(登録商標)・ディスクや、CDROM、およびDVDROMのようなそれ以前の着脱可能媒体よりも可動部品がないのでより信頼性が高い。記憶容量は、現在512MBから32GBに亘り、ギガバイト当りの大きさおよび価格について着実に改善されている。あるものは、100万回の書込みまたは消去サイクルを可能にし、10年間のデータ保持能力をもち、かつ、USB1.1またはUSB2.0標準インタフェースによって接続される。加えて、これらの種類の記憶装置は、ウィンドウズ(登録商標)や、マックOSX,リナックスおよび他のユニックス類似システムのような最新式のオペレーティング・システムによって特定のシステム用に使用されるUSBの大容量記憶標準を用いている。さらに、それらの携帯性および希望による生体計測センサおよび/またはユーザ認証のための他の認証用変換機の埋め込みは、ファームウェアの実行用に内蔵されたプロセッサと組み合わされて、USBフラッシュ・ドライブを、例えば、デジタル文書、フォーム、アプリケーション等のようなデジタルデータを格納するための共用の記憶装置にさせた。
私的若しくは機密に属するデータが、USBフラッシュ・ドライブに格納されている場合には、ユーザのある種の認証形式を要求することは当然のことである。例えば、前記ユーザは、前記USBフラッシュ・ドライブがコンピュータ・システムまたは他の電子機器に接続された後、パスワードまたは生体計測形式で認証データを提供することが求められる。一旦、認証に成功すると、ユーザは、USBフラッシュ・ドライブに対しデータを読み出しかつ書き込むことできる。もし、ユーザが認証に成功しないならば、ユーザは、USBフラッシュ・ドライブに格納されているデータへのアクセスを拒否される。希望により、前記USBフラッシュ・ドライブは、ロックされるか、またはそうでなければ、失敗した認証の試みの所定回数の登録後に使用不能にされる。
残念ながら、ユーザの認証が成功しても、デジタルデータを共有するためのUSBフラッシュ・ドライブの使用に関連するある種のリスクが存在する。例えば、ユーザは、前記USBフラッシュ・ドライブ内に格納された前記データへの、他のユーザによるアクセスを可能にするために認証データを提供するかもしれない。典型的には、この状況は、経営者である第1ユーザが、使用人である第2ユーザに、前記USBフラッシュ・ドライブ内に格納されている前記データにアクセスすることを可能にしたい場合に生ずる。この場合には、前記第2ユーザは、特定の目的に対して、前記USBフラッシュ・ドライブ内に格納されているデータを使用することを期待されている、しかしながら、第2の使用人は、前記USBフラッシュ・ドライブ内に格納されているデータを、不注意にまたは悪意をもって上書きしたり、USBフラッシュ・ドライブへ追加のデータを書き込むかもしれない。前記第1ユーザは、前記USBフラッシュ・ドライブ内のデータの無許可の蓄積を防止することができないのは、前記第1ユーザは、必要な認証データの提供に続いて、前記第2ユーザに対して、USBフラッシュ・ドライブの管理を手放したからである。明らかに、このようにして、認証された全てのUSBフラッシュ・ドライブの使用を常に監督することを第1ユーザに要求することは実際的でない。
したがって、先行技術の上記限界の少なくともいくつかを克服する方法およびシステムに対する必要性がある。
本発明の1の態様によると、ユーザの第1認証データを提供し、第1格納テンプレートデータに対する前記第1ユーザ認証データとを比較し、その比較が一致を表す場合には、第1セッションを提供し、周辺メモリ格納装置内に格納されている第1データを検索するためのユーザアクセスおよび前記周辺メモリ格納装置のデータの内容を変更するためのユーザアクセスの1を可能にし、前記周辺メモリ格納装置内に格納された第1データを検索するためのユーザアクセスおよび前記周辺メモリ格納装置のデータの内容を変更するためのユーザアクセスの内の前記他の1を可能にせず、前記第1セッションの間、同一ユーザの第2ユーザ認証データを提供し、かつ、前記第2ユーザ認証データと第2格納テンプレートデータとを比較し、その比較が一致を表す場合には、第2セッションを提供し、前記第2セッションは、前記周辺メモリ格納装置内に格納されている第1データを検索するためのユーザアクセスおよび前記周辺メモリ格納装置のデータ内容の変更するユーザアクセスの前記他の1を可能にする。
本発明の1の態様によると、第1システムと、周辺メモリ格納装置との間の通信を確立し、前記周辺メモリ格納装置に対するユーザを認証する第1認証処理を実行し、前記第1認証処理にしたがって前記ユーザの認証の成功に応じて前記周辺メモリ格納装置への読出専用アクセスおよび前記周辺メモリ格納装置に対する書込み専用アクセスの1を前記第1システムに提供し、第2の認証工程を実行して前記周辺メモリ格納装置に対して同一ユーザを認証し、かつ、前記第2認証処理にしたがって同一ユーザの認証の成功に応じて、前記周辺メモリ格納装置への読出し・書込みアクセスを第1システムに提供する工程を有する方法が提供されている。
本発明の1の態様によると、第1システムと、周辺メモリ格納装置との間の通信を確立し、前記第1システムのユーザからの第1ユーザ認証データを受け、前記第1ユーザ認証データと前記第1格納テンプレートデータと比較し、その比較の結果が一致を表す場合には、前記周辺メモリ格納装置内に格納されている第1データへの読出専用アクセスおよび前記周辺メモリ格納装置内に第2データを検索可能に格納するためのユーザアクセスの内の1つを可能にする第1セッションを提供し、前記第1セッションの間に、同一ユーザからの第2ユーザ認証データを受け取り、かつ、前記第2ユーザ認証データと第2格納テンプレートデータとを比較し、その比較の結果が一致を表す場合には、前記周辺メモリ格納装置内に格納されている第1データに対する読出し専用アクセスおよび前記周辺メモリ格納装置内への第2データの検索可能な格納のためのユーザアクセスの前記他の1を可能にする。
本発明の1の態様によれば、メモリ要素と、前記メモリ要素と接続する通信インタフェースと、第1ユーザ認証データおよび同一ユーザに関する第2ユーザ認証データを受信し、かつ、第1ユーザ認証データのみに基づくユーザの認証にしたがって前記メモリ要素に格納されているデータを検索するユーザアクセスおよび前記メモリ要素にデータを書き込むためのユーザアクセスの1を可能にし、かつ、前記第1ユーザ認証データおよび前記第2ユーザ認証データの双方に基づく前記ユーザの認証に応じて、前記メモリ要素に格納されたデータを検索するためのユーザアクセスおよび前記メモリ要素へのデータ書込みのためのユーザアクセスの前記他の1を可能にするためのプロセッサを有する周辺メモリ格納装置が提供される。
本発明の1態様によると、コンピュータ読出し可能記憶媒体であって、方法を実行するためのコンピュータで実行可能な指示が格納されたものが提供され、該方法は、第1システムと周辺メモリ格納装置との間の通信を確立し、ユーザに前記周辺メモリ格納装置への認証のための第1認証処理を実行し、前記第1認証処理にしたがって前記ユーザの認証の成功に応じて、前記周辺メモリ格納装置への読出し専用アクセスおよび前記周辺メモリ格納装置への書込み専用アクセスの1を前記第1システムに提供し、同一ユーザの前記周辺メモリ格納装置に対する認証のための第2認証処理を実行し、前記第2認証処理にしたがった前記同一ユーザの認証の成功に応じて、前記第1システムに前記周辺メモリ格納装置に対する読出しおよび書込みアクセスを提供する工程を有する。
本発明の実施の形態が、次の図面と協力して記載されるだろう。該図面には、
図1は、本発明の実施の形態に係る着脱可能メモリ格納装置の単純化したブロック図を示す。
図2は、本発明の実施の形態に係る方法の単純化された流れ図を示す。
図3は、本発明の実施の形態に係る方法の単純化された流れ図を示す。
図4は、本発明の実施の形態に係る方法の単純化された流れ図を示す。
次の記載は、いわゆる当業者が本発明を製造しかつ使用することを可能にするように提供され、かつ特別な応用および要件の状況の中で提供される。開示された実施の形態に対する種々の変更が、いわゆる当業者にとっては直ちに明白だろうし、ここで定義された全体的な原理は、本発明の範囲を逸脱することなく、他の実施の形態や応用に適用することができるだろう。したがって、本発明は、開示された実施の形態に限定する意図はなく、本原理およびここに開示された特徴と一致する最も広い範囲が承認されるべきである。
図1に関して、本発明の実施の形態に係る周辺メモリ格納装置の単純化されたブロック図を示す。該周辺メモリ格納装置100は、メモリ要素102と、前記メモリ要素102と連結した通信インタフェース104と、プロセッサ106とを有する。前記周辺メモリ格納装置100は、適当なハウジング内に収納され、それによって、ホストコンピュータシステムからの携帯性と着脱性の機能を有している。
前記メモリ要素102は、例えばNANDフラッシュ・メモリのような不揮発性のメモリを有している。代わりに、それは、オンボード電源をもった揮発性のランダム・アクセス・メモリ(RAM)を有する。デジタルデータは、メモリ要素内に検索可能に格納され、デジタル文書、デジタルフォーム、デジタル・メディア・ファイル、アプリケーション・データ、ファームウェア等を含有する。グループとして、デジタルデータの異なる形式は、周辺メモリ格納装置100のデータの内容として言及される。前記メモリ要素102内への追加データを書き込みまたは格納し、または前記メモリ要素102内に格納された現存するデータを消去しまたは上書きするというユーザの行為は、前記周辺メモリ格納装置102のデータ内容を変更する行為として言及される。
前記通信インタフェース104は、前記周辺メモリ格納装置100と、第1システム(図示せず)、例えば、デスクトップ・コンピュータ、ラップトップ・コンピュータ、PDA等のようなものとの間の双方向通信ができるためである。特定の非限定的な例の方法によって、前記通信インタフェース104は、ユニバーサル・シリアル・バス(USB)インタフェースである。希望により、前記周辺メモリ格納装置100は、前記通信インタフェース104を介して前記第1システムから電源を導入する。
前記プロセッサ106はユーザに関する第1ユーザ認証データを受信するため、かつ、同一ユーザに関する第2ユーザ認証データを受信するためのものである。加えて、前記第1ユーザ認証データのみに基づく前記ユーザの認証の成功にしたがって、前記プロセッサ106は前記メモリ要素102に格納されているデータを検索するためのユーザアクセスを可能にするためである。前記プロセッサ106は、また、前記第1ユーザ認証データおよび前記第2ユーザ認証データの双方に基づく前記ユーザ認証の成功にしたがって、前記メモリ要素へのデータの書込みのためのユーザアクセスを可能にするためである。前記メモリ要素102へのデータの書込みは前記周辺メモリ格納装置100内に格納された現在のデータに上書きすること、前記周辺メモリ格納装置100のファームウェアの更新等を含む。
希望により、前記周辺メモリ格納装置100は、前記第1ユーザ認証データおよび前記第2ユーザ認証データの少なくとも1を受信するための入力部108を含有する。例えば、入力部108は、前記第1ユーザ認証データおよび前記第2ユーザ認証データの少なくとも1を受信するための生体測定の入力変換機を有する。特定の非制限例の方法によって、前記生体測定入力変換機は指紋読取器を有する。
使用の間、ユーザには、前記ユーザがデータを格納する周辺メモリ格納装置が提供される。希望により、前記装置は、アプリケーション・データ、ファームウェア、セキュリティ・データ等の幾つかを含有する。前記装置は、当初、結び付けられるべき前記ユーザと関連する認証データで立ち上げられる。例えば、前記周辺メモリ格納装置に対する前記ユーザの認証のためのパスワード・データがそこに格納されている。希望により、前記パスワード・データに加えてまたはそれに代えて、前記周辺メモリ格納装置に対する前記ユーザの認証のための生体測定情報がそこに格納されている。
通信が前記周辺メモリ格納装置100と第1システムとの間で、例えば、前記第1システムの利用可能なUSBポートへ前記通信インタフェース104を連結することによって確立される。一旦、通信が第1システムとの間で確立されると、前記ユーザは、例えば、パスワードのような、認証データを提供することを求められる。希望により、前記求めは前記周辺メモリ格納装置100からのデータを読み出そうとする意図に応じて、または単純に、前記第1システムに対する前記周辺メモリ格納装置100への影響による。希望により、前記ユーザは、求められずに、前記認証データを提供する。さらに希望により、前記ユーザは、前記周辺メモリ格納装置100と前記第1システムとの間の通信を確立する前に前記認証データを提供する。この場合には、前記ユーザは、前記周辺メモリ格納装置100の前記入力部108を通して認証データを提供する。前記ユーザの認証が成功した場合には、第1セッションが、前記周辺メモリ格納装置100内に格納されている第1データを検索するためのユーザアクセスを可能にするために設けられているが、前記周辺メモリ格納装置のデータ内容を修正するためのユーザアクセスを可能するためではない。したがって、前記ユーザは、前記周辺メモリ格納装置100から、データを読み出し、または前記装置が他のユーザがデータを読み出すことを可能にするように構築することができるが、変更は、前記周辺メモリ格納装置100のデータ内容に対してすることはできないだろう。希望により、前記第1セッションが、所定の時間経過の後または所定の数の読出し操作が完了した後、終了するように計時される。代わりに、第1セッションが、拡張可能であって、例えば、ユーザのログ・オフにより、前記第1システムからの前記装置100の脱着により、または所定期間の無操作の後に終了する。
このようにして、前記ユーザは前記周辺メモリ格納装置100からのデータを読み出し、かつ前記データは、追加の認証がなければ意図的または偶発的に変更されないことを保障される。したがって、前記ユーザは、彼らのワークステーションから遠ざかった場合、同僚が、前記周辺メモリ格納装置100に対し、データを書き込みまたはデータを消去するだろうということを心配する必要がない。加えて、前記ユーザは、前記周辺メモリ格納装置100からフィルを検索して、前記ファイルを変更するが、偶発的に、前記当初ファイルを、「名前をつけて保存」の代わりに、不注意に「保存」を選択することによって当初ファイルを上書きすることがない。
前記第1セッション内に、前記ユーザは追加の認証データ提供して、前記周辺メモリ格納装置100の書込み/消去機能を可能にする。例えば、前記ユーザが一度認証に成功した後、前記ユーザは、前記追加の認証データの提供を求められる。前記追加の認証データに基づき前記ユーザの認証が成功すると、第2セッションが、前記周辺メモリ格納装置100内に格納された第1データを検索するためのユーザアクセスを可能にするため、および、前記周辺メモリ格納装置の前記データ内容を変更するためのユーザアクセスを可能にするために設けられている。このようにして、前記ユーザはデータを読み出しかつ書き込み、または他のユーザが、前記周辺メモリ格納装置100に対しデータの読出しおよび書込みを可能にするように前記装置を構築することができる。希望により、前記追加の認証データを提供する求めが、前記周辺メモリ格納装置100に対するデータの書込みまたは消去のアクセスを要求するユーザのアクションに応答して提供される。希望により、前記ユーザは、求められずに前記追加の認証データを提供する。さらに希望により、前記ユーザは、前記周辺メモリ格納装置100と前記第1システムとの間の通信を確立する前に前記追加の認証データを提供する。この場合には、前記ユーザは、前記周辺メモリ格納装置100の前記入力部108を通して前記追加の認証データを提供する。希望により、前記第2セッションが、前記所定の時間経過後または書込み/消去アクションの所定回数が完了した後に終了するように計時される。例えば、1の書込み/消去アクションのみが、再認証を要求することなく許され、または、複数の書込み/消去アクションが許される。代わりに、前記第2セッションが、拡張可能であって、例えば、ユーザのログ・オフ、前記第1システムからの前記装置100の脱着、または無操作の所定期間の検出後に終了する。
前記認証データおよび前記追加の認証データは希望により同一であり、または異なる。例えば、1のパスワードが提供されて、前記第1セッションを開始し、かつ異なるパスワードが提供されて第2セッションを開始し、または1のパスワードが提供されて前記第1のセッションを開始しかつ同一のパスワードが2回提供されて前記第2セッションを開始する。更なる希望により、パスワードが提供されて第1セッションを開始し、しかし、生体計測情報が提供されて、前記第2セッションを開始する。異なる種類の認証データを用いる他の組合せもまた予想される。
図2を参照すると、本発明の実施の形態に係る方法の単純化された流れ図が示されている。200で、ユーザの第1ユーザ認証データが提供される。例えば、前記第1ユーザ認証データは、1以上のパスワード、生体計測サンプルおよびセキュリティ・トークンである。前記第1ユーザ認証データが、202で、第1格納テンプレートデータと比較される。前記比較が一致を表す場合には、第1セッションが204で提供される。特に、前記第1セッションが、周辺メモリ格納装置内に格納されている第1データを検索するためのユーザのアクセスを可能にするが、前記周辺メモリ格納装置のデータ内容を変更するためのユーザアクセスを可能にしない。前記第1セッションの間、同一ユーザの第2ユーザ認証データが206で提供される。例えば、前記第2ユーザ認証データは1以上のパスワード、生体計測サンプルおよびセキュリティ・トークンを含有し、希望により、前記第1ユーザ認証データと同一または異ならせる。前記第2ユーザ認証データが、208で、第2格納テンプレートデータと比較される。前記比較が一致を表す場合には、第2セッションが210で提供される。特に、前記第2セッションが、前記周辺メモリ格納装置のデータ内容を変更するためのユーザアクセスを可能にする。希望により、前記第2セッションが計時されて、所定の時間経過の後、または書込み/消去の所定回数が完了した後に終了する。例えば、1の書込み/消去のみが、再認証を要求することなく許可されるか、または複数の書込み/消去アクションが許可される。代わりに、前記第2セッションが拡張可能であって、例えば、ユーザのログ・オフ、前記周辺メモリ格納装置の除去、または無操作の所定期間が検出された等により終了する。
図3を参照すると、本発明の実施の形態に係る方法の単純化された流れ図が示されている。300で、通信が第1システムと周辺メモリ格納装置との間で構築される。例えば、通信は、USBインタフェースを通して提供される。第1認証処理が302で実行されて、ユーザを前記周辺メモリ格納装置に対して認証する。前記第1システムに304で、前記第1認証処理にしたがった前記ユーザの認証の成功に応じて前記周辺メモリ格納装置への読み出し専用アクセスが提供される。第2認証処理が306で実行され、同一ユーザを2回、前記周辺メモリ格納装置に対して認証する。その後、前記第1システムに308で、前記第1セッションの間の前記第2認証工程にしたがった同一ユーザの認証の成功に応じて、前記周辺メモリ格納装置への読出しおよび書込みアクセスの双方が提供される。希望により、前記第2セッションが計時されて、予め定めた時間の経過の後または書込み/消去アクションの予め定めた回数が完了した後に終了する。例えば、唯一の書込み/消去アクションが再認証を要求することなく許可され、または複数回の書込み/消去アクションが許可される。代わりに、前記第2セッションが拡張可能であって、例えば、ユーザのログ・オフ、前記周辺メモリ格納装置の脱着、または無操作の所定期間が検出された後に、終了する。
図4を参照すると、本発明の1実施の形態に係る方法の単純化された流れ図が示されている。400で、通信が、第1システムと周辺メモリ格納装置との間に確立される。402で、第1ユーザ認証データが、前記第1システムのユーザから受信される。例えば、前記第1ユーザ認証データが1以上のパスワード、生体計測サンプルおよびセキュリティ・トークンを含有する。前記第1ユーザ認証データが、404で前記第1格納テンプレートデータと比較される。前記比較が一致を表す場合には、第1セッションが406で提供される。特に、前記第1セッションが、前記周辺メモリ格納装置への読出し専用アクセスを可能にするが、前記周辺メモリ格納装置のデータの内容を変更するためのユーザアクセスを不能にする。前記第1セッションの間に、前記第2ユーザ認証データが、408で、同一ユーザから受信される。例えば、前記第2ユーザ認証データは、1または2以上のパスワード、生体計測サンプルおよびセキュリティ・トークンを含み、希望により、前記第1ユーザ認証データと同一または異なる。
前記第2ユーザ認証データは、410で、第1格納テンプレートデータと比較される。その比較の結果が一致を表す場合には、412で、ユーザのアクセスが可能となって、前記周辺メモリ格納装置内に格納されている検索可能に第2データを格納する。希望により、前記第2セッションが計時されて、予め定めた時間の経過の後、または予め定めた回数の書込み/消去アクションが完了した後に終了する。例えば、唯一の書込み/消去アクションが再認証なしに許可され、または複数回の書込み/消去アクションが許可される。代わりに、前記第2セッションが拡張可能であって、例えば、ユーザのログ・オフ、前記周辺メモリ格納装置の脱着、または無操作の予め定めた期間が検出された後終了する。
上記記述された実施の形態において、前記第1セッションが読出し操作を可能にし、前記第2セッションが、書込みを可能にし、他の実施の形態では、前記第1セッションが書込み操作を可能にし、前記第2セッションが読出し操作を可能にする。そうであるので、周辺メモリ格納装置内のデータへのアクセスが、前記第2セッションに限定されるが、前記周辺メモリ格納装置上のデータの格納が、前記第1セッションで可能になる。希望により、データの格納が、読出し特権なしに可能とする場合には、前記周辺メモリ格納装置内のプロセッサが、現存するデータが上書きされていないことを保証する。更なる希望によれば、データの格納が、読出し特権なしに可能である場合には、前記周辺メモリ格納装置内のプロセッサが、ユーザに、第1セッション内で前記周辺メモリ格納装置内に格納されている任意かつ全てのデータに対するアクセスをもった前記第2セッションへのアクセスを提供する。
希望により、前記周辺メモリ格納措置への書込みアクセス操作を可能にする前に、前記装置がインタフェースで接続される前記第1システムが走査されて、前記コンピュータ・ウィルスの存在を検出する。前記語句「コンピュータ・ウィルス」は、広く解釈されて、例えば、コンピュータ・ウィルス、ワーム、システム破壊プログラム、ルートキット、スパイウェア、不正なアドウェア、クライムウェア、およびほかの悪意のあるかつ役に立たないソフトウェアのような、種々のタイプのマルウェアを含有する。もし、前記第1システムが、あるタイプのコンピュータ・ウィルスで汚染されていると判断した場合には、前記周辺メモリ格納装置への書込みアクセスが拒否される。逆に、前記周辺メモリ格納装置への書込みアクセスは、もしコンピュータ・ウィルスが検出されない場合には、許可される。さらなる希望によって、前記周辺メモリ格納装置に対する書込み専用アクセスまたは読出しおよび書込みアクセスのいずれかを可能にするセッションの間に、前記セッションは、前記第1システム内でコンピュータ・ウィルスの存在を表す信号を受信すると終了する。
多数の他の実施の形態が、発明の主旨または範囲から逸脱することなく予想されるだろう。

Claims (32)

  1. ユーザの第1ユーザ認証データを提供し、
    前記第1ユーザ認証データと第1格納テンプレートデータとを比較し、前記比較が一致を表す場合には、第1セッションを提供し、前記第1セッションは、周辺メモリ格納装置内に格納されている第1データを検索するユーザアクセスおよび前記周辺メモリ格納装置のデータ内容を変更するためのユーザアクセスの1を可能にし、前記第1セッションは、前記周辺メモリ格納装置内に格納されている第1データを検索するユーザアクセスおよび前記周辺メモリ格納装置のデータ内容を変更するためのユーザアクセスの前記他の1を可能にせず、
    前記第1セッションの間、前記同一ユーザの第2ユーザ認証データを提供し、
    前記第2ユーザ認証データと第2格納テンプレートデータとを比較し、該比較が一致を表す場合には、第2セッションを提供し、前記第2セッションは、前記周辺メモリ格納装置内に格納された第1データを検索するためのユーザアクセスおよび前記周辺メモリ格納装置のデータ内容を変更するためのユーザアクセスの前記他の1を可能にする工程を有する方法。
  2. 前記周辺メモリ格納装置と第1システムとの間の通信を確立する工程を有する請求項1に記載の方法。
  3. 第1ユーザ認証データを提供しかつ第2ユーザ認証データを提供することの少なくとも1は、前記周辺メモリ格納装置と前記第1システムとの間の通信を確立する前に実行される請求項2に記載の方法。
  4. 前記周辺メモリ格納装置と前記第1システムとの間の通信はユニバーサル・シリアル・バス(USB)プロトコールを用いて確立される請求項2または請求項3に記載の方法。
  5. 前記第1ユーザ認証データおよび前記第2ユーザ認証データは同一である請求項1乃至請求項4のいずれかの1に記載の方法。
  6. 第1ユーザ認証データを提供することは、第1のパスワードおよび第1の生体計測情報の少なくとも1を提供することを有し、第2ユーザ認証データを提供することは、第2のパスワードおよび第2の生体計測情報の少なくとも1を提供する工程を有する請求項1乃至請求項4のいずれかの1に記載の方法。
  7. 前記周辺メモリ格納装置の前記データ内容を変更することは、前記周辺メモリ格納装置内に検索可能に第2データを格納しおよび前記周辺メモリ格納装置内に格納された前記第1データの少なくとも一部を消去することの少なくとも1を有する請求項1乃至請求項6のいずれかの1に記載の方法。
  8. 前記第2ユーザ認証データの第2格納テンプレートデータとの比較は、前記周辺メモリ格納装置内に格納されている第1データを検索するユーザの要求および前記周辺メモリ格納装置のデジタル内容を変更するユーザの要求の1に応じて実行される請求項1乃至請求項7のいずれかの1に記載の方法。
  9. 前記第2のセッションは、前記周辺メモリ格納装置内に格納されている第1データを検索しかつ前記周辺メモリ格納装置の前記データ内容を変更することの前記他の1に対する複数のユーザアクションを可能するように、予め定めた継続時間を持つ請求項1乃至請求項8のいずれかの1に記載の方法。
  10. 第1システムと周辺メモリ格納装置との間の通信を確立し、
    第1の認証工程を実行して前記周辺メモリ格納装置に対しユーザを認証し、
    前記第1認証工程にしたがった前記ユーザの認証の成功に応じて、前記第1システムに前記周辺メモリ格納装置に対する読出し専用アクセスおよび前記周辺メモリ格納装置への書込み専用アクセスの1を提供し、
    前記周辺メモリ格納装置に対する同一ユーザを認証する第2の認証工程を実行し、
    前記第2認証工程にしたがった同一ユーザの認証の成功に応じて、前記第1システムに前記周辺メモリ格納装置に対する読出し書込みアクセスを提供する工程を有する方法。
  11. 前記第1システムと前記周辺メモリ格納装置との間の通信が、ユニバーサル・シリアル・バス(USB)プロトコールを用いて確立される請求項10に記載の方法。
  12. 前記第1認証工程の実行は、第1のパスワードおよび第1の生体計測情報の少なくとも1を受信することよりなり、前記第2認証工程の実行は、第2のパスワードおよび第2の生体計測情報の少なくとも1を受信することよりなる請求項10または請求項11に記載の方法。
  13. 前記第1認証工程および第2認証工程は、同一の認証工程である請求項10または請求項11のいずれかの1に記載の方法。
  14. 前記第2認証工程は、前記第1システムが前記周辺メモリ格納装置に対する読出し専用アクセスおよび前記周辺メモリ格納装置への書込み専用アクセスの内の1を持つ間の期間内に実行される請求項10乃至請求項13のいずれかの1に記載の方法。
  15. 前記第2認証工程は、前記周辺メモリ格納装置からのデータの検索および前記周辺メモリ格納装置へのデータの書き込みの内の1へのユーザの要求に応じて実行される請求項10乃至請求項14のいずれかの1に記載の方法。
  16. 前記第1システムは、与えられた期間での前記周辺メモリ格納装置に対する読出しおよび書込みアクセスにより提供され、前記周辺メモリ格納装置へのデータの書込みのための複数のユーザアクションを可能にする請求項10乃至請求項15のいずれかの1に記載の方法。
  17. 前記周辺メモリ格納装置への書込みアクセスを前記第1システムに提供する前に、コンピュータ・ウィルスの存在に対し前記第1システムを走査し、前記第1システムに対し、走査の結果がコンピュータ・ウィルスの存在を表していない場合にのみ、前記周辺メモリ格納装置への書込みアクセスを提供する請求項10乃至請求項16のいずれかの1に記載の方法。
  18. 前記第1システム内にコンピュータ・ウィルスの存在を表す信号の受信に応じて、前記周辺メモリ格納装置に対する書込みアクセスを可能にするセッションを終了させる工程を有する請求項10乃至請求項17のいずれかの1に記載の方法。
  19. 第1システムと周辺メモリ格納装置の間の通信を確立し、
    前記第1システムのユーザから第1ユーザ認証データを受信し、
    前記第1ユーザ認証データと第1格納テンプレートデータとを比較し、前記比較の結果が一致を表す場合には、第1セッションを提供し、前記第1セッションは、前記周辺メモリ格納装置内に格納されている第1データへの読出し専用アクセスおよび前記周辺メモリ格納装置内に第2データを検索可能に格納するためのユーザアクセスの1を可能にし、
    前記第1セッションの間、前記同一ユーザからの第2ユーザ認証データを受信し、
    前記第2ユーザ認証データと第2格納テンプレートデータとを比較し、該比較の結果が一致を表す場合には、前記周辺メモリ格納装置内に格納された前記第1データに対する読出し専用アクセスおよび前記周辺メモリ格納装置に第2データを検索可能に格納するためのユーザのアクセスの前記他の1を可能にする工程を有する方法。
  20. 前記比較工程は、前記周辺メモリ格納装置の内蔵プロセッサを用いて実行される請求項19に記載の方法。
  21. 前記第1システムと前記周辺メモリ格納装置との間の通信は、ユニバーサル・シリアル・バス(USB)プロトコールを用いて確立される請求項19または請求項20に記載の方法。
  22. 前記第1ユーザ認証データは、第1のパスワードおよび第1の生体計測情報の少なくとも1を有し、前記第2ユーザ認証データは、第2のパスワードおよび第2の生体計測情報の少なくとも1を有する請求項19乃至請求項21のいずれかの1に記載の方法。
  23. 前記第1ユーザ認証データは、第1のパスワードを有し、前記第2ユーザ認証データは、第2のパスワードを有する請求項19乃至請求項21のいずれかの1に記載の方法。
  24. 前記第1のパスワードおよび第2のパスワードは同一である請求項23に記載の方法。
  25. 前記第1ユーザ認証データおよび前記第2ユーザ認証データの少なくとも1は前記着脱可能メモリ格納装置の認証用変換機を介して受信される請求項19乃至請求項24のいずれかの1に記載の方法。
  26. 前記第2ユーザの認証データと第2格納テンプレートデータとを比較することは、前記周辺メモリ格納装置内に格納された前記第1データを読み出すユーザの要求および前記周辺メモリ格納装置内に前記第2データを検索可能に格納するユーザの要求の内の1に応じて実行される請求項19乃至請求項25のいずれかの1に記載の方法。
  27. 前記周辺メモリ格納装置内に格納された前記第1データへの読出し専用アクセスおよび前記周辺メモリ格納装置内への検索可能に第2データを格納するためのユーザアクセスの内の前記他の1が予め定めた期間に対して可能であり、前記周辺メモリ格納装置内に格納された前記第1データの検索および前記周辺メモリ格納装置に対する前記第2データの検索可能な格納の内の1に対する複数のユーザアクションを可能にする請求項19乃至請求項26のいずれかの1に記載の方法。
  28. メモリ要素と、前記メモリ要素と接続した通信インタフェースと、第1ユーザ認証データおよび同一ユーザに関係する第2ユーザ認証データを受信しかつ前記周辺メモリ格納装置に格納したデータの検索のためのユーザアクセスおよび前記メモリ要素に対するデータの書込みのためのユーザアクセスの1を、前記第1ユーザ認証データのみに基づく前記ユーザ認証にしたがって可能にするため、および、前記メモリ要素に格納されたデータの検索のためのユーザアクセスおよび前記メモリ要素への書込みを、前記第1ユーザ認証データおよび前記第2ユーザ認証データの双方に基づく前記ユーザの認証にしたがって可能にするためのプロセッサとを有する周辺メモリ格納装置。
  29. 前記第1ユーザ認証データおよび第2ユーザ認証データの少なくとも1を受信するための入力部を有する請求項28に記載の周辺メモリ格納装置。
  30. 前記入力部は、生体計測情報の形式での前記第1ユーザ認証データおよび前記第2ユーザ認証データの少なくとも1を受信するための生体計測入力変換機を有する請求項29に記載の周辺メモリ格納装置。
  31. 前記通信インタフェースはユニバーサル・シリアル・バス(USB)インタフェースである請求項28乃至請求項30のいずれかの1に記載の周辺メモリ格納装置。
  32. 第1システムと周辺メモリ格納装置との間の通信を確立し、
    前記周辺メモリ格納装置に対するユーザの認証のための第1認証工程を実行し、
    前記第1認証工程にしたがった前記ユーザの認証の成功に応じて、前記周辺メモリ格納装置に対する読出し専用アクセスおよび前記周辺メモリ装置に対する書込み専用アクセスの1を前記システムに提供し、
    前記周辺メモリ格納装置に対する前記同一ユーザの認証のための第2認証工程を実行し、
    前記第2認証工程にしたがった前記同一ユーザの認証の成功に応じて、前記第1システムに前記周辺メモリ格納装置に対する読出しおよび書込みアクセスを提供する方法を実行するためのコンピュータ実行可能指示を格納しているコンピュータ読出し可能格納媒体。
JP2011546549A 2009-01-21 2010-01-21 多重認証処理機能を有する着脱可能メモリ格納装置 Pending JP2012515959A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14612109P 2009-01-21 2009-01-21
US61/146,121 2009-01-21
PCT/CA2010/000075 WO2010083593A1 (en) 2009-01-21 2010-01-21 Removable memory storage device with multiple authentication processes

Publications (1)

Publication Number Publication Date
JP2012515959A true JP2012515959A (ja) 2012-07-12

Family

ID=42338017

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011546549A Pending JP2012515959A (ja) 2009-01-21 2010-01-21 多重認証処理機能を有する着脱可能メモリ格納装置

Country Status (4)

Country Link
US (1) US9009816B2 (ja)
EP (1) EP2389645B1 (ja)
JP (1) JP2012515959A (ja)
WO (1) WO2010083593A1 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8661540B2 (en) * 2005-10-07 2014-02-25 Imation Corp. Method and apparatus for secure credential entry without physical entry
WO2009043164A1 (en) * 2007-10-04 2009-04-09 Memory Experts International Inc. A method of providing firmware to a processor-based electronic device
US20100100966A1 (en) * 2008-10-21 2010-04-22 Memory Experts International Inc. Method and system for blocking installation of some processes
EP2450818B1 (en) * 2010-11-08 2019-06-12 ABB Research Ltd. Method for setting up an access level for use of a software system, and computer program products and processor devices therefor
US9009258B2 (en) * 2012-03-06 2015-04-14 Google Inc. Providing content to a user across multiple devices
US8978158B2 (en) 2012-04-27 2015-03-10 Google Inc. Privacy management across multiple devices
US9258279B1 (en) 2012-04-27 2016-02-09 Google Inc. Bookmarking content for users associated with multiple devices
US9514446B1 (en) 2012-04-27 2016-12-06 Google Inc. Remarketing content to a user associated with multiple devices
US8966043B2 (en) 2012-04-27 2015-02-24 Google Inc. Frequency capping of content across multiple devices
US9881301B2 (en) 2012-04-27 2018-01-30 Google Llc Conversion tracking of a user across multiple devices
US11461448B2 (en) * 2016-07-18 2022-10-04 Yevgeny Levitov Motion-triggered biometric system for access control
US20220261465A1 (en) * 2013-11-21 2022-08-18 Yevgeny Levitov Motion-Triggered Biometric System for Access Control
US10460098B1 (en) 2014-08-20 2019-10-29 Google Llc Linking devices using encrypted account identifiers
EP3215927A4 (en) * 2014-11-03 2018-07-04 Secured2 Corporation Secured data storage on a hard drive
US9736169B2 (en) * 2015-07-02 2017-08-15 International Business Machines Corporation Managing user authentication in association with application access
US10628334B2 (en) * 2017-03-06 2020-04-21 Mcafee, Llc System and method to protect digital content on external storage
US10338840B1 (en) 2018-03-29 2019-07-02 Apricorn Portable storage device that is self-convertible from being a removable disk to a fixed disk and from being a fixed disk to a removable disk
US10608819B1 (en) 2019-09-24 2020-03-31 Apricorn Portable storage device with internal secure controller that performs self-verification and self-generates encryption key(s) without using host or memory controller and that securely sends encryption key(s) via side channel

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5877483A (en) 1995-07-18 1999-03-02 Dell Usa, L.P. Method and apparatus for automatically implementing computer power on and logon functions using encoded ID card
US6199079B1 (en) 1998-03-09 2001-03-06 Junglee Corporation Method and system for automatically filling forms in an integrated network based transaction environment
US7213266B1 (en) 2000-06-09 2007-05-01 Intertrust Technologies Corp. Systems and methods for managing and protecting electronic content and applications
US6820148B1 (en) 2000-08-17 2004-11-16 Sandisk Corporation Multiple removable non-volatile memory cards serially communicating with a host
US7373656B2 (en) 2000-10-27 2008-05-13 Sandisk Il Ltd. Automatic configuration for portable devices
US20020194499A1 (en) 2001-06-15 2002-12-19 Audebert Yves Louis Gabriel Method, system and apparatus for a portable transaction device
TW588243B (en) * 2002-07-31 2004-05-21 Trek 2000 Int Ltd System and method for authentication
CN1732452A (zh) 2002-10-25 2006-02-08 贝蒂纳·埃克斯珀顿 用于自动启动和访问网络地址和应用程序的系统和方法
US20040193925A1 (en) 2003-03-26 2004-09-30 Matnn Safriel Portable password manager
US7191934B2 (en) 2003-07-21 2007-03-20 Salamander Technologies, Inc. Technique for creating incident-specific credentials at the scene of a large-scale incident or WMD event
GB2411261B (en) 2004-02-20 2007-07-11 Hewlett Packard Development Co Standalone memory device and system and method using such device
JP4140905B2 (ja) * 2004-03-22 2008-08-27 インターナショナル・ビジネス・マシーンズ・コーポレーション 記憶装置及びプログラム
JP4585213B2 (ja) 2004-03-24 2010-11-24 株式会社日立製作所 データ保護方法及び認証方法並びにプログラム
US7269669B2 (en) 2004-07-07 2007-09-11 Sychip Inc Sharing single host controller with multiple functional devices
US7581252B2 (en) * 2004-07-20 2009-08-25 Lenovo (Singapore) Pte. Ltd. Storage conversion for anti-virus speed-up
US7562226B2 (en) 2005-01-14 2009-07-14 Citrix Systems, Inc. System and method for permission-based access using a shared account
US20060168509A1 (en) 2005-01-27 2006-07-27 International Business Machines Corporation System and method to map favorite values for specific values during electronic form filling
US20060179404A1 (en) 2005-02-08 2006-08-10 Microsoft Corporation Method for a browser auto form fill
US8230143B2 (en) 2005-04-01 2012-07-24 Lsi Corporation Memory interface architecture for maximizing access timing margin
US8661540B2 (en) 2005-10-07 2014-02-25 Imation Corp. Method and apparatus for secure credential entry without physical entry
WO2007095240A2 (en) * 2006-02-13 2007-08-23 Tricipher, Inc. Flexible and adjustable authentication in cyberspace
KR101059907B1 (ko) 2006-03-30 2011-08-29 후지쯔 가부시끼가이샤 전자 장치, 정보 처리 장치
JP4895731B2 (ja) 2006-09-05 2012-03-14 株式会社リコー 情報処理装置、周辺装置、およびプログラム
US7523281B2 (en) 2006-09-06 2009-04-21 George Madathilparambil George Authenticating hardware for manually enabling and disabling read and write protection to parts of a storage disk or disks for users
US20080114980A1 (en) * 2006-11-13 2008-05-15 Thangapandi Sridhar System, method and apparatus for using standard and extended storage devices in two-factor authentication
DE102007019541A1 (de) * 2007-04-25 2008-10-30 Wincor Nixdorf International Gmbh Verfahren und System zum Authentifizieren eines Benutzers
DE102008008646A1 (de) 2008-02-11 2009-08-13 Robert Bosch Gmbh CNC-Steuerung und Verfahren zur Datenübertragung
US20090248966A1 (en) 2008-03-25 2009-10-01 Crandell Jeffrey L Flash drive with user upgradeable capacity via removable flash
US7979658B2 (en) * 2008-03-25 2011-07-12 Spansion Llc Secure management of memory regions in a memory
US20100125695A1 (en) 2008-11-15 2010-05-20 Nanostar Corporation Non-volatile memory storage system
US8452934B2 (en) * 2008-12-16 2013-05-28 Sandisk Technologies Inc. Controlled data access to non-volatile memory
US20100205355A1 (en) 2009-02-11 2010-08-12 Memory Experts International Inc. Multiplexing secure digital memory

Also Published As

Publication number Publication date
EP2389645A1 (en) 2011-11-30
US9009816B2 (en) 2015-04-14
EP2389645B1 (en) 2014-09-03
US20100186084A1 (en) 2010-07-22
EP2389645A4 (en) 2012-09-05
WO2010083593A1 (en) 2010-07-29

Similar Documents

Publication Publication Date Title
EP2389645B1 (en) Removable memory storage device with multiple authentication processes
JP4705489B2 (ja) デバイスドライバプログラムを記録したコンピュータ読取可能なポータブル記録媒体、記憶装置アクセス方法および記憶装置アクセスシステム
CN101681407B (zh) 用于恶意软件检测的可信操作环境
EP2751734B1 (en) Sector map-based rapid data encryption policy compliance
JP4781692B2 (ja) クライアントのi/oアクセスを制限する方法、プログラム、システム
US10460131B2 (en) Preventing access of a host device to malicious data in a portable device
US8689279B2 (en) Encrypted chunk-based rapid data encryption policy compliance
US8887295B2 (en) Method and system for enabling enterprises to use detachable memory devices that contain data and executable files in controlled and secure way
US8417969B2 (en) Storage volume protection supporting legacy systems
EP2652666B1 (en) Storage drive based antimalware methods and apparatuses
US20120011354A1 (en) Boot loading of secure operating system from external device
CN110516428B (zh) 一种移动存储设备的数据读写方法、装置及存储介质
US8499345B2 (en) Blocking computer system ports on per user basis
EP3627368B1 (en) Auxiliary memory having independent recovery area, and device applied with same
US10783088B2 (en) Systems and methods for providing connected anti-malware backup storage
JP2007012032A (ja) Usb対応のパーソナルキー
JP2004013899A (ja) トラステッド・コンピューティング・プラットフォーム・システムの記憶装置に格納されたデータへのアクセス制御
US6976172B2 (en) System and method for protected messaging
JP4767619B2 (ja) 外部記憶装置およびsbc制御方法
JP4724107B2 (ja) リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ
US20060080540A1 (en) Removable/detachable operating system
US20100174902A1 (en) Portable storage media with high security function
JP2007122731A (ja) バイオ認証センサー付きハードディスク装置とそのデータ保護方法
JP4213704B2 (ja) 仮想ファイル管理装置、仮想ファイル管理方法、および仮想ファイル管理プログラム
RU119910U1 (ru) Встраиваемый модуль безопасности tsm