JP2021192265A - 暗号を伴うデータセキュリティシステム - Google Patents

暗号を伴うデータセキュリティシステム Download PDF

Info

Publication number
JP2021192265A
JP2021192265A JP2021142248A JP2021142248A JP2021192265A JP 2021192265 A JP2021192265 A JP 2021192265A JP 2021142248 A JP2021142248 A JP 2021142248A JP 2021142248 A JP2021142248 A JP 2021142248A JP 2021192265 A JP2021192265 A JP 2021192265A
Authority
JP
Japan
Prior art keywords
data security
security system
mobile device
server
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021142248A
Other languages
English (en)
Other versions
JP7248754B2 (ja
Inventor
エム. ボロティン、レブ
M Bolotin Lev
レメレブ、アレックス
Lemelev Alex
シンガー、マーク
SINGER Marc
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Clevx LLC
Original Assignee
Clevx LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/987,749 external-priority patent/US10181055B2/en
Application filed by Clevx LLC filed Critical Clevx LLC
Publication of JP2021192265A publication Critical patent/JP2021192265A/ja
Application granted granted Critical
Publication of JP7248754B2 publication Critical patent/JP7248754B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • Lock And Its Accessories (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Alarm Systems (AREA)

Abstract

【課題】好適なデータセキュリティシステムおよびその動作方法を提供する。【解決手段】データセキュリティシステム600の動作方法は、データセキュリティ送受信器624と、データセキュリティ送受信器に動作可能に接続された認証サブシステムと、認証サブシステムに接続されたストレージサブシステム106とを備え、モバイル装置610から所定の近接範囲内にあるときに、モバイル装置との接続状態を維持する。【選択図】図6

Description

本発明は、一般に電子装置に関し、より詳細にはメモリ装置に関する。
セキュリティは、コンピュータの使用におけるほぼあらゆる面で重要な問題である。コンピュータに接続されるハードディスクドライブなどの記憶媒体には、データ盗難リスクのある貴重な情報が含まれている。個人情報、企業情報、および政府のセキュリティ情報を保護するために多額の資金と努力が払われている。
ポータブルメモリストレージ装置は、小型になり、紛失し易くなり、一層ユビキタス化し、安価になり、その上、メモリ容量が増えてきているので、セキュリティ上の問題が顕著になっている。ユニバーサルシリアルバスフラッシュドライブおよびマイクロドライブ、携帯電話、ビデオカメラ、デジタルカメラ、iPOD、MP3/4プレーヤー、スマートフォン、パームコンピュータ、ラップトップコンピュータ、ゲーム機器、オーセンティケータ、トークン(メモリを含む)等のポータブルメモリストレージ装置、一般には大容量ストレージ装置(MSD)に、大量の情報を秘密裏にダウンロードすることが可能である。
具体的には、コンピュータから情報を簡単にダウンロードして持ち去ることのできる、バックアップ用、転送用、中間記憶用、および主記憶用の様々なMSDがある。どんなMSDであってもその主目的は、「ポータブルコンテンツ」つまり特定のコンピュータではなく特定の所有者に紐付けられたデータ及び情報を格納して取り出すことである。
最も一般的なストレージセキュリティ提供手段は、コンピュータに入力したパスワードでユーザを認証することである。パスワードは、MSD格納値に対して検証され、一致した場合、ドライブが開かれることとなる。あるいは、パスワード自体がMSDに格納されたデータを暗号化・復号化するための暗号鍵として使用される。
オンザフライ暗号化をサポートするドライブの場合、暗号鍵は暗号化された形式で記憶媒体に保存されることもある。暗号鍵は記憶媒体に格納されるので、標準インターフェースを迂回して記憶媒体を直接読み取りたい者がそれをすぐに利用できるようになる。したがって、暗号鍵を暗号化するための鍵としてパスワードが使用される。
自己認証ドライブの場合、それらの認証サブシステムがセキュリティ維持の責任を担い、その接続先のホストコンピュータに依存することはない。したがって、MSDをアンロックするためにホストからパスワードは送信され得ない(その必要がない)。実際、記憶媒体に暗号鍵を保存する必要は最早なくなっており、認証サブシステムは、暗号鍵を管理する手段になっている。
したがって、セキュリティ向上が依然として必要とされている。消費者の期待の高まりと、市場における有意な製品差別化の機会の薄れとともに、商業的競争圧力がいっそう高まっていることを鑑みると、これらの問題の解決策を見出すことが重要である。さらに、コストを削減し、効率とパフォーマンスを向上させ、競争圧力に対応する必要性によって、これらの問題に対する解決策を見出すための緊急性がさらに高まっている。
これらの問題の解決策は長い間求められてきたが、先の開発は何ら解決策を教示も示唆もしておらず、したがってこれらの問題に対する解決策は長きにわたって当業者に見つけられずにいる。
本発明は、データセキュリティシステムの動作方法を提供するものであり、その方法は、モバイル装置にデータセキュリティシステムとの接続のためのデータセキュリティシステムアプリケーションを提供する工程と、データセキュリティシステムアプリケーションを起動する工程と、データセキュリティシステムとモバイル装置との接続状態を維持する工程とを含む。
本発明は、データセキュリティ送受信器または受信器と、前記データセキュリティ送受信器または受信器に動作可能に接続された認証サブシステムと、前記認証サブシステムに接続されたストレージサブシステムとを備えるデータセキュリティシステムを提供する。
本発明の特定の実施形態は、上記の態様に加えてまたはその代わりに他の態様を有する。それら態様は、添付図面を参照して以下の詳細な説明を読むことにより、当業者に明らかになるであろう。
本発明の一実施形態によるデータセキュリティシステムの概略図。 データセキュリティシステムを用いて使用される認証鍵配信方法を示す図。 ユーザがデータセキュリティシステムと対話するための別のシステムを示す図。 ユーザがホストコンピュータシステムを使用してデータセキュリティシステムと対話する方法を示す図。 データセキュリティシステム用のユーザ検証を用いるデータセキュリティ方法を示す図。 例示的なデータセキュリティ通信システムを示す図。 モバイル装置とデータセキュリティシステムとの動作のシーケンスを示す管理者シーケンス図。 モバイル装置が認証因子である場合のアンロックシーケンス図。 モバイル装置からのPINエントリを用いたアンロックを示すアンロックシーケンス図。 サーバ/コンソールを介するPINエントリおよびユーザID/位置/時間の検証を用いるアンロックを示すアンロックシーケンス図。 サーバ/コンソールを使用するデータセキュリティシステムのリセットを示すリセットシーケンス図。 サーバ/コンソールを使用するデータセキュリティシステムのアンロックを示すアンロックシーケンス図。 サーバ/コンソールを使用するユーザパスワード変更シーケンス図。
以下の実施形態は、当業者が本発明を実施し使用することができるように十分に詳細に記載されている。本開示に基づく他の実施形態が明らかであり、本発明の範囲から逸脱することなくシステム、プロセス、または機械的変更を行い得ると理解されたい。
以下、本発明を完全に理解できるように多くの特定の詳細を説明する。しかしながら、本発明は、これらの特定の詳細なしに実施され得ることは明らかであろう。いくつかの周知の回路、システム構成、および処理工程については、本発明を不明瞭にすることを避けるために詳細に開示していない。
同様に、システムの実施形態を示す図面は、半概略図であり、一定の縮尺ではなく、特に、図面の明瞭化目的で大きさを示しており、図面に誇張されて示されている。いくつかの特徴を共通に有する複数の実施形態が開示され記載されている場合、それらの図示、説明、および理解を明瞭にするために、類似または同様の特徴は、通常、類似または同一の参照番号を付して記述する。同様に、説明を容易にするために図面の視点は概して同様の配向で示すが、この図示の仕方は大部分において任意である。一般に、本発明は任意の配向で実施され得る。
本明細書で使用される「システム」という用語は、その用語が使用される文脈に応じて、本発明の方法および装置を指し、本発明の方法としておよび装置として定義される。本明細書で使用される「方法」という用語は、装置の動作工程を指し、その動作工程として定義される。
便宜のためであって限定するものではないが、「データ」という用語は、コンピュータによって生成またはコンピュータに格納できる情報として定義される。「データセキュリティシステム」という用語は、記憶媒体を組み込んだ任意の可搬型メモリ装置を意味するものとして定義される。本明細書で使用する「記憶媒体」という用語は、ソリッドステート、NANDフラッシュ、および/または磁気データ記録システムを指し、それらと定義される。「ロックされた」という用語は、記憶媒体にアクセスできない状態のデータセキュリティシステムを指し、「アンロックされた」という用語は、記憶媒体にアクセス可能な状態のデータセキュリティシステムを指す。
ストレージ装置を耐改竄性にするには、一般的に2つの方法があり、第1は、構成要素にエポキシを塗布する方法であり、プリント回路基板に塗布されたエポキシ樹脂は、記憶媒体を破壊せずにストレージ装置を分解することを困難にできる。第2は、メモリデータを暗号化する方法であり、データは記憶媒体に書き込まれるときに暗号化され、そのデータを解読(decipher)するためには暗号鍵が必要とされる。
図1を参照すると、本発明の一実施形態によるデータセキュリティシステム100の概略図が示されている。データセキュリティシステム100は、外部通信チャネル102と、認証サブシステム104と、ストレージサブシステム106とからなる。
ストレージサブシステム106は、インターフェースコントローラ108、暗号化エンジン110、及び記憶媒体112を含む電子回路である。記憶媒体112は、内蔵または外付けのハードディスクドライブ、USBフラッシュドライブ、ソリッドステートドライブ、ハイブリッドドライブ、メモリカード、テープカートリッジ、および光ディスク(例えば、ブルーレイディスク、デジタル多用途ディスクすなわちDVD、およびコンパクトディスクすなわちCD)を含む任意の光学式媒体であってよい。記憶媒体112は、データ保護装置、アーカイブ記憶システム、およびクラウドデータストレージシステムを含むことができる。クラウドストレージシステムは、ブラウザアプリケーションにインストールされたプラグインアプリケーションまたは拡張ソフトウェアを使用して、ホストコンピュータに、または有線のまたはRFのまたは光学式の無線ネットワークを介してホストコンピュータに結合された別のシステムに、またはワールドワイドウェブにアクセスすることができる。
インターフェースコントローラ108は、ソフトウェアまたはハードウェアの暗号化エンジン110を備えたマイクロコントローラなどの電子コンポーネントを含むが、暗号化エンジン110は、ストレージサブシステム106内の別個のコントローラ内にあってもよい。
認証サブシステム104は、電気的に消去可能なプログラマブルリードオンリーメモリ(EEPROM)などの不揮発性メモリをそれ自身が有することがあるマイクロコントローラのような認証コントローラ114を含む電子回路である。
外部通信チャネル102は、ホストコンピュータシステム120とのデータ交換手段を提供する。ユニバーサルシリアルバス(USB)は、データセキュリティシステム100をホストコンピュータシステム120に接続する最も一般的な手段の1つである。外部通信チャネル102の他の例には、Firewire、無線USB、シリアルATA(SATA)、高詳細度マルチメディアインターフェース(HDMI(登録商標))、RS−232(RecommendedStandard232)、および無線周波数無線ネットワークが含まれる。
インターフェースコントローラ108は、USBパケットデータを、USBフラッシュドライブ内の記憶媒体112に書き込むことができるデータに変換することができる。
暗号化エンジン110は、インターフェースコントローラ108の一部として実装され、ホストコンピュータシステム120からのクリアテキストおよび/またはデータ(情報)を受け取り、それをMSDまたは記憶媒体112に書き込まれる暗号化された形式に変換する。暗号化エンジン110は、記憶媒体112からの暗号化情報を変換し、それをホストコンピュータシステム120用のクリア情報に復号する。暗号化エンジン110は、通信プロトコル、メモリ、および他の動作条件を管理しながらオンザフライでデータを暗号化/復号化する暗号化機能を有する暗号コントローラと、通信、暗号鍵管理、および暗号化コントローラとの通信を取り扱うための通信/セキュリティコントローラとを有する2つのコントローラサブシステムであってもよい。
暗号化エンジン110は、情報を暗号化/復号化するために暗号鍵116を必要とする。暗号鍵116は、データを判読不能にまたは判読可能にするためにデータを暗号化アルゴリズムで暗号化/復号化するアルゴリズム(例えば、256ビットの高度暗号化規格(AES)暗号化)において使用される。暗号鍵116は、認証コントローラ114の内部または外部のいずれかに格納することができる。
識別番号または鍵を有するユーザ122が認証鍵118に対して確認されると、暗号鍵116が認証サブシステム104によって暗号化エンジン110に送信される。
本発明の様々な実施形態の可搬型メモリストレージ装置は、認証鍵118および暗号鍵116を使用することによって、以前はそのような装置では利用できなかった極めて高いレベルのセキュリティを提供できることが分かった。
データセキュリティシステム100がロックされると、認証鍵118は認証サブシステム104の内部に残り、外部からは読み取ることができない。認証鍵118を隠す一つの方法は、認証鍵118を認証サブシステム104内の認証コントローラ114に格納することである。認証制御部114の安全ヒューズを設定することにより、ユーザ122が確認されて認証制御部114が取り出しを許可しない限り、認証鍵118にアクセスすることを不可能にする。多くのマイクロコントローラには、安全ヒューズが装備されており、その安全ヒューズが飛ぶと内部メモリにアクセスできなくなる。これは公知で広く使用されているセキュリティ機能である。このようなマイクロコントローラを認証コントローラ114に使用できる。認証コントローラ114は、マイクロコントローラまたはマイクロプロセッサとすることができる。
認証鍵118は、いくつかの機能において使用することができ、1…情報を直接暗号化/復号化するための暗号鍵116として使用でき、2…インターフェースコントローラ108によってアクセスすることができるデータセキュリティシステム100に記憶された暗号鍵116を回復するための鍵として使用でき、3…外部通信チャネル102を起動するためにインターフェースコントローラ108によって直接比較するために使用できる。
図2を参照すると、データセキュリティシステム100を用いて使用される認証鍵配信方法が示されている。この図では、認証鍵118と暗号鍵116は同一である。暗号化エンジン110は、暗号鍵116として認証鍵118を用いる。
ユーザ122は、ユーザ識別情報202(番号または鍵)を認証サブシステム104に提供することによって、認証サブシステム104と対話しなければならない。認証サブシステム104は、ユーザ122を認証鍵118に対して認証する。次に、認証サブシステム104は、暗号鍵116として認証鍵118をインターフェースコントローラ108に送信する。
インターフェースコントローラ108内の暗号化エンジン110は、チャネル206に沿ってクリア情報を暗号化情報に変換したり暗号化情報をクリア情報に変換するのにその認証鍵118を使用する。暗号鍵116なしで記憶媒体112から暗号化情報を読み取ろうとする試みは、どんなコンピュータによっても使用できない情報をもたらすだけであろう。
図3を参照すると、ユーザ122がデータセキュリティシステム300と対話するための別のシステムが図示されている。この対話は、物理的接触、有線接続、または携帯電話、スマートフォン、スマートウォッチ、ウェアラブル機器、または他のワイヤレス装置からの無線接続によるものであり得る、通信コンビネーション301によって行うことができる。
一認証システムでは、モバイル送受信器302を使用して、ユーザ識別情報304を認証サブシステム310内のデータセキュリティ送受信器306に送信する。例示目的で、双方向通信の柔軟性のために複数の送受信器を使用しているが、単方向通信用の送受信機の組み合わせも使用できる。認証サブシステム310は、ストレージサブシステム106内のインターフェースコントローラ108に接続された認証コントローラ114を含む。ユーザ識別情報304は、データセキュリティシステム300のストレージサブシステム106の外部からモバイルトランシーバ302によって認証サブシステム310内のデータセキュリティ送受信器306に供給される。無線通信は、ワイファイ(WiFi)、ブルートゥース(BT(登録商標))、ブルートゥーススマート、近距離通信(NFC)、全地球測位システム(GPS)、光、セルラー通信(例えば、LTE−A)、符号分割多元接続(CDMA)、広帯域符号分割多元接続(WCDMA(登録商標))、ユニバーサル移動体通信システム(UMTS)、無線ブロードバンド(WiBro)、または移動通信用グローバルシステム(GSM(登録商標))等を含むことができる。
認証サブシステム310は、モバイル送受信器302から送信されたコードが認証鍵118に対して照合されたものであることによって、ユーザ122を認証鍵118に対して認証する。次に、認証サブシステム310は、暗号鍵116を通信コンビネーション301を介してインターフェースコントローラ108に送信する。
次いで、暗号化エンジン110は、チャネル206に沿ってクリア情報を暗号化情報に変換したり暗号化情報をクリア情報に変換するのに暗号鍵116を使用する。暗号鍵116なしで記憶媒体112から暗号化情報を読み取ろうとしても、ホストコンピュータシステム120によって使用不可能な情報が得られるだけであろう。
任意選択の第2の認証機構では、認証サブシステム310が、ユーザ122にバイオメトリックセンサ320を使用させて、そのユーザの身元が認証されたユーザであると確認するためのバイオメトリック入力322を供給させることによって、認証鍵118に対してユーザ122が認証される。生体認証の種類には、指紋、虹彩スキャン、声紋などがある。
任意選択の第3の認証機構では、認証サブシステム310が、ユーザ122に電気機械式入力機構330を使用させて、そのユーザの身元が認証されたユーザであると確認するための固有コード332を供給させることによって、ユーザ122を認証鍵118に対して認証する。固有コード332は、PINなどの、数値、英数字またはアルファベットコードを含むことができる。電気機械式入力機構330は、認証サブシステム310内にある。電気機械式入力機構330は、ユーザ122からの固有コード332をデータセキュリティシステム300の外部から受信する。固有コード332は、データセキュリティシステム300のストレージサブシステム106の外部から認証サブシステム310内の電気機械式入力機構330に供給される。
ユーザ122の照合にどちらの方法を使用するにしても、ユーザ122が認証されるまで、認証鍵118および暗号鍵116は隠されたままである。
図4を参照すると、ユーザ122がホストコンピュータシステム120を使用してデータセキュリティシステム400と対話する方法が示されている。
ホストコンピュータシステム120は、ホストアプリケーション402を備えている。ホストアプリケーション402は、データセキュリティシステム400の外部通信チャネル102を介して通信するソフトウェアまたはファームウェアである。
ホストアプリケーション402は、内部コンポーネント(例えばハードドライブ)の通し番号、ネットワークカードのメディアアクセス制御(MAC)アドレス、ユーザのログイン名、ネットワークインターネットプロトコル(IP)アドレス、データセキュリティシステムによって作成されてホストに保存されたID、データセキュリティシステムによって作成されてネットワークに保存されたIDなどの、環境に関連付けられた、ホスト識別子406を配信する。ホスト識別子406は、データセキュリティシステム400内の認証サブシステム408によって使用される。
認証サブシステム408が、ホスト識別子406を検証することによってユーザ122を認証鍵118に対して認証すると、データセキュリティシステム400はアンロックになる。
例えば、ユーザ122は、ロックされているデータセキュリティシステム400をホストコンピュータシステム120に接続する。ホストアプリケーション402は、そのネットワークカードのMACアドレスをデータセキュリティシステム400に送信する。データセキュリティシステム400は、図1のユーザ122にユーザ識別情報を入力させることなしで、このMACアドレスが正当であると認識し、アンロックになる。これは、ユーザ122との対話を必要としない実装例である。この場合、検証されるのはホストコンピュータシステム120およびそれに関連付けられた環境である。
データセキュリティシステム400は、認証サブシステム104に格納された認証鍵118を提供すること、認証サブシステム104によってホストコンピュータシステム120を検証すること、認証サブシステム104によって暗号鍵116をストレージサブシステム106に提示すること、記憶媒体のコンテンツを解読することによってストレージサブシステム106による記憶媒体112へのアクセスを可能にすることを含む。
データセキュリティシステムは、バイオメトリック入力を解釈しユーザ122を検証するための認証サブシステム104をさらに含む。
データセキュリティシステムはさらに、認証鍵118を暗号鍵116として直接使用することを含む。
データセキュリティシステムはさらに、認証鍵118を使用して、内部コンテンツを解読するのに使用される暗号鍵116を解読及び取り出すことを含む。
データセキュリティシステムは、信号入力の解釈および送信ユニットの検証のための認証サブシステム104をさらに含む。
データセキュリティシステムは、手動入力された入力の解釈およびユーザ122の検証のための認証サブシステム104をさらに含む。
データセキュリティシステムはさらに、ホストコンピュータシステム120の検証のためのホスト常駐ソフトウェアアプリケーションによって送られた入力を解釈するための認証サブシステム104を含む。
データセキュリティシステムは、インターフェースコントローラ108の外部にある暗号化エンジン110であって、クリアデータをデータセキュリティシステム100をアンロックするための暗号化データに変換する目的で外部通信チャネル102に接続された暗号化エンジン110をさらに含む。
図5を参照すると、データセキュリティシステム100に対するユーザ検証を用いるデータセキュリティ方法500が示されている。データセキュリティ方法500は、ブロック502において認証鍵に対してユーザを検証する工程と、ブロック504において暗号鍵を取り出すために認証鍵を使用する工程と、ブロック506においてホストコンピュータシステムと記憶媒体との間のストレージサブシステムを介した暗号化されていない通信を可能にするために暗号鍵を使用する工程とを含む。
図6を参照すると、例示的なデータセキュリティ通信システム600が示されている。例示的なデータセキュリティ通信システム600は、モバイル装置610、データセキュリティシステム(DSS)620、ホストコンピュータ630、およびサーバ/コンソール640を含む。モバイル装置610およびサーバ/コンソール640は、有線接続によって、またはインターネットクラウドであり得るクラウド650を介する無線接続によって接続される。モバイル装置610とデータセキュリティシステム620は、通信コンビネーション301によって接続される。
例示的なデータセキュリティ通信システム600における通信コンビネーション301は、データセキュリティシステム620内のデータセキュリティ送受信器624のアンテナ622と無線通信するアンテナ614を有するモバイル装置610内のモバイル送受信器612を含む。
一実施形態では、モバイル装置610は、スマートフォンであってよい。モバイル装置610において、モバイル送受信器612は、従来のモバイル装置コンポーネントと接続されてよく、またデータセキュリティシステム620と共に使用される情報を提供するデータセキュリティシステムSS)アプリケーション618と接続されてよい。
データセキュリティ送受信器624は、セキュリティコントローラ626に接続されているが、このセキュリティコントローラ626には、異なるモバイル装置のものを含めて、データセキュリティシステム620にアクセスすることができる識別情報、パスワード、プロフィール等の情報を保有させることができる。セキュリティコントローラ626は、認証サブシステム310、ストレージサブシステム106(一部の実施形態では、データを暗号化するための暗号を有することができる)、および外部通信チャネル102と同様のサブシステムに接続される。
外部通信チャネル102は、ホストコンピュータ630に接続可能であり、規定状況下でストレージサブシステム106内のデータへのアクセスを可能にする。
データセキュリティシステム620の一実装例では、図3のバイオメトリックセンサ320および電気機械式入力機構330を省略し、スマートフォン等のモバイル装置610への無線リンクのみを有するものとすることができる。この実装例は、データセキュリティシステム620をより安全で有用にできることが分かった。
データセキュリティシステムアプリケーション618は、モバイル装置610がモバイル装置610の近くのすべてのデータセキュリティシステムを発見し、それらのステータス(ロック/アンロック/ブランク、ペアあり/ペアなしなど)を示すことを可能にする。
データセキュリティシステムアプリケーション618は、モバイル装置610が接続/ペアリング、ロック、アンロック、名前とパスワードの変更、およびデータセキュリティシステム620上のすべてのデータのリセットをできるようにする。
データセキュリティシステムアプリケーション618は、データセキュリティシステム620が所定長さの非アクティブ期間の後に自動的にロックする非アクティブオートロックモードをモバイル装置610が設定できるようにし、または、予め定められた期間にわたってモバイル装置610が所定の近接範囲内にないときにデータセキュリティシステム620が(信頼性を改善し、信号のデバウンスを回避するために)ロックされるように近接オートロックモードをモバイル装置610が設定できるようにする。
データセキュリティシステムアプリケーション618は、モバイル装置610がパスワードを記憶し、TouchIDおよびAppleWatchを使用することを可能にする(TouchIDおよびAppleWatchの両方が例としてのみ挙げられているが、バイオメトリックセンサおよびウェアラブルを有する多くの他のモバイル装置が存在する同様のモードで使用される)ことで、モバイル装置へのパスワードの再入力なしでデータセキュリティシステム620はアンロックされ得る。
データセキュリティシステムアプリケーション618は、他のモバイル装置ではデータセキュリティシステム620をアンロックできなくするために、モバイル装置610などの特定のモバイル装置があるときにのみ動作するようにモバイル装置610を設定できる(1Phone)。
データセキュリティシステムアプリケーション618は、モバイル装置610がデータセキュリティシステム620を読み取り専用モードに設定することを可能にする。
データセキュリティシステムアプリケーション618は、モバイル装置610がユーザモードまたは管理者モード(管理者モードはユーザ設定を無視する)で動作し、サーバ/コンソール640を使用することを可能にする。サーバ/コンソール640は、コンピュータと、そのコンピュータに情報を入力するためのコンソールとの組み合わせである。
サーバ/コンソール640はユーザ管理データベース642を含み、このユーザ管理データベース642は、モバイル装置610に追加の機能を与えるためにクラウド650を介してモバイル装置610に送信され得る追加の情報を含む。
ユーザ管理データベース642は、サーバ/コンソール640が、ユーザID(ユーザ名およびパスワード)を使用してユーザを作成および識別し、データセキュリティシステム620のアンロックを禁止/許可し、遠隔ヘルプを提供することを可能にする。
ユーザ管理データベース642は、サーバ/コンソール640がデータセキュリティシステム620を遠隔からリセットまたはアンロックすることを可能にする。
ユーザ管理データベース642は、サーバ/コンソール640がデータセキュリティシステムユーザPINを遠隔的に変更することを可能にする。
ユーザ管理データベース642は、サーバ/コンソール640が(ジオフェンシングの使用によって)特定の場所からデータセキュリティシステム620をアンロックすることを制限/許可することを可能にする。
ユーザ管理データベース642は、サーバ/コンソール640が、データセキュリティシステム620のアンロックを規定時間期間および異なる時間帯に制限/許可することを可能にする。
ユーザ管理データベース642は、サーバ/コンソール640が、規定チーム/組織/ネットワーク等の外によるデータセキュリティシステム620のアンロックを制限することを可能にする。
図7を参照すると、モバイル装置610とデータセキュリティシステム620との間の動作シーケンスを示す管理者シーケンス図が示されている。
まず、装置とシステムとの相互発見、装置とシステムとのペアリング、および装置とシステムとの接続によって、データセキュリティシステム620とモバイル装置610との接続状態700が確立される。この接続状態700は共有秘密情報の使用によって保護され、その共有秘密情報は、その後の通信セッションの間、データセキュリティシステム620とモバイル装置610との間の通信を保護(暗号化)するために使用される。データセキュリティシステム620上で実行するのに効率的でかつ世界的なセキュリティ規格に承認される標準的な暗号化アルゴリズムが選択される。
データセキュリティシステム620とモバイル装置610とが互いに所定の距離内にある限り、データセキュリティシステムアプリケーション618によってまたはセキュリティコントローラ628によってまたはそれら両者が協働して接続状態700は維持される。その所定の距離から離れた場合、所定の時間期間にわたって接続状態700が維持された後、データセキュリティシステム620はロックされる。
モバイル装置610とデータセキュリティシステム620との接続後、モバイル装置610においてデータセキュリティシステム管理者アプリケーション開始動作702が行われる。次に管理者パスワード動作704において管理者がパスワードを設定する。モバイル装置610とデータセキュリティシステム620との接続後、データセキュリティシステム接続、給電、発見可能化動作706において、データセキュリティシステム620は、データセキュリティシステム620内のホストコンピュータ630によって給電されるとともに発見可能となるように図6のホストコンピュータ630に接続される。
管理者パスワード動作704の後、モバイル装置610は、管理者パスワード設定およびアンロック信号708をデータセキュリティシステム620に送信する。管理者パスワード設定及びアンロック信号708は、データセキュリティシステム620において、管理者パスワード設定及びデータセキュリティシステムアンロック動作716を生じさせる。
管理者パスワード設定およびデータセキュリティシステムアンロック動作716が完了すると、データセキュリティシステムアンロックの確認信号712がモバイル装置610に送信され、モバイル装置610において管理者動作714としてのデータセキュリティシステムアンロックの確認が実行される。管理者動作714としてのデータセキュリティシステムアンロックの確認があると、モバイル装置610を使用して実行される他の制限の設定動作716が許可される。他の制限の設定動作716があると、管理者制限設定信号718がデータセキュリティシステム620へと送信され、データセキュリティシステム620において管理者制限が設定され、制限設定確認信号720がモバイル装置610に返信される。その後、モバイル装置610およびデータセキュリティシステム620は、完全に動作可能な通信状態である。
データセキュリティシステム620と物理的接触を持つことなくデータセキュリティシステム620と通信することが可能なので、データセキュリティシステム620との重要な対話には、データセキュリティシステム620自体に印字されるかまたはデータセキュリティシステム620のパッケージに付属したものであってデータセキュリティシステム620の所有者が容易に利用できるデータセキュリティシステム固有識別子を同伴することが必要とされる。
この固有識別子(固有ID)は、データセキュリティシステム620のアンロックまたはリセットといったユーザデータに影響を与える動作を要求する際に必要とされる。正しい識別子なしでこれらの動作を実行しようとする試みは無視され、無害化される。この固有識別子は、ユーザがデータセキュリティシステム620上で物理的な制御を持たせるとともにモバイル装置610とデータセキュリティシステム620といった認証済みで先にペアになった装置とシステムとの接続状態700が確立されていることを検証するための方法で、モバイル装置610にデータセキュリティシステム620を識別させるのに使用される。装置のペアになると、共有秘密情報を使用して通信を機密にする。
ペアリングは、モバイル装置とデータセキュリティシステムとが過去のある時点で一意でかつ決められた関係を確立し維持していることを包含する。
固有識別子は、データセキュリティシステムに対する物理的制御がユーザにあるときに、ユーザにデータセキュリティシステムに対する何らかの制御を与える。
モバイル装置610がスマートフォンである場合にデータセキュリティシステム620との通信のセキュリティを高めるために、ユーザは本実施形態で「1Phone」と呼ぶ機能などの機能の有効化を選択することができる。この機能は、データセキュリティシステム620との重要なユーザ対話を唯一のモバイル装置610だけに限定する。これは、上述したデータセキュリティシステム固有識別子を、データセキュリティシステム620とモバイル装置610との間で安全に共有されるランダム識別子に置き換えることによって行われる。したがって、例えば、ユーザがデータセキュリティシステム620をアンロックするときに、データセキュリティシステム固有識別子を提示する代わりに、1Phone識別子を提示しなければならない。実際には、これにより、ユーザのモバイル装置610が、PINまたはパスワードに加えて、データセキュリティシステム620を使用するための第2の認証因子になる。一例として、「1Phone」として選択されペアになったユーザ電話は、PINなしで使用でき、ユーザ認証単一因子として、および/または、他のユーザ認証因子と組み合わせて、使用することができる。もしこの機能(1Phone)が選択された場合、管理者アンロックが前もって有効にされている場合を除いて、他の電話機でデータセキュリティシステム620を開くことはできない。
他の実施形態では、1Phone機能を使用するために、データセキュリティシステム620上で管理者パスワードを要求するようにしてよいことが理解されよう。別の実施形態では、モバイル装置610の1Phoneデータが失われた場合に、サーバ/コンソール640がデータセキュリティシステム620を回復できるようにしてもよい。
ユーザは、データセキュリティシステム620の近接自動ロック機能を有効化することができる。通信セッション中に、図6のデータセキュリティ送受信器624がデータセキュリティシステム620にモバイル装置610の信号強度測定値を報告する。モバイル装置610上のデータセキュリティシステムアプリケーション618は、データセキュリティシステム620に、発信元の信号出力レベルと近接範囲の閾値との両方を送信する。
信号強度は送受信器周辺の環境条件によって変化するので、データセキュリティシステム620は、信号強度測定値を数学的に平滑化して、偽陽性の可能性を低減する。データセキュリティシステム620は、受信した信号強度が所定の期間にわたって規定の閾値を下回ったことを検出すると、すぐにデータセキュリティシステム620をロックし、図6のストレージサブシステム106へのアクセスを防止する。
データセキュリティシステム620は、3つの異なるモードで使用することができる。すなわち、データセキュリティシステム620の機能をユーザが決定できるユーザモード、管理者が管理者パスワードを設定でき、データセキュリティシステム620に、ユーザでは解除できないいくつかの制限(例えば、所定期間の非活動後の自動ロック、読み取り専用、1Phone)を加えることができる管理者モード、および、サーバ/コンソール640がデータセキュリティシステム620を遠隔からリセットしたり、ユーザパスワードを変更したり、データセキュリティシステム620をアンロックしたりするための管理者役割を設定するサーバモードである。
図8を参照すると、モバイル装置610が認証因子である場合のアンロックシーケンス図が示されている。この図は、特定のモバイル装置であるモバイル装置610からのデータセキュリティシステムアプリケーション618によって開始されたデータセキュリティシステム620の自動アンロックプロセスを示す。ユーザは、データセキュリティシステム620と先にペアになった単一のモバイル装置のみを使用することができる。ペアになったモバイル装置610を紛失すると、(図7に示すように管理者パスワードが以前に設定されていない限り)データセキュリティシステム620をアンロックできないであろう。
図7と類似しているが、接続状態700が確立された後にデータセキュリティシステムアプリケーション開始動作800が行われる。データセキュリティシステム接続、給電、発見可能化動作706の後に、モバイル装置610からデータセキュリティシステム620にモバイル装置IDを伴うアンロック要求信号802が送信される。データセキュリティシステムアンロック動作804が行われ、データセキュリティシステムアンロック確認信号712がデータセキュリティシステム620から送信される。データセキュリティシステムアンロック確認動作806の後、モバイル装置610およびデータセキュリティシステム620は、完全に動作可能な通信状態である。
PIN(個人用識別番号)が設定されていない場合、ペアになったモバイル装置が1−認証因子として使用される。
図9を参照すると、モバイル装置610からのPINエントリを使用するアンロック動作を示すアンロックシーケンス図が示されている。この図は、モバイル装置610内のデータセキュリティシステムアプリケーション618にPINを入力することによって、データセキュリティシステム620をアンロックするプロセスを示す。正しいPINの入力なしでデータセキュリティシステム620をアンロックすることはできない。
図7および図8と類似しているが、データセキュリティシステムアプリケーション開始動作800の後に、ユーザ名/パスワード入力動作900が行われる。ユーザ名/パスワード入力動作900の後、モバイル装置610は、サーバ/コンソール640にユーザID検証信号902を送信する。次に、サーバ/コンソール640は、ユーザ名/パスワード適正判定904を行う。
ユーザ名/パスワード適正判定904がユーザを検証すると、適正ユーザ信号906がモバイル装置610に送信され、モバイル装置610のPIN入力動作908においてユーザに正しいPINを入力させる。次いで、モバイル装置610は、正しいPINがサーバ/コンソール640に入力されたかどうかを判定するために、アンロック検証信号910を送信する。
サーバ/コンソール640は、ユーザ認証判定912を行い、ユーザが、PINが認可されている特定のデータセキュリティシステム(例えば、データセキュリティシステム620)を使用することが許可されているかどうかを判定する。認証された場合、アンロック許可信号914がモバイル装置610に送信され、モバイル装置610はアンロック要求信号916をデータセキュリティシステム620に渡す。
データセキュリティシステムアンロック動作804が実行され、データセキュリティシステムアンロック確認信号712がモバイル装置610に送信され、データセキュリティシステムアンロック動作確認806が実行される。
図10を参照すると、サーバ/コンソール640を介したPINエントリおよびユーザID/位置/時間の検証を使用するアンロック動作を示すアンロックシーケンス図が示されている。この図は、モバイル装置610からデータセキュリティシステムアプリケーション618にPINを入力し、ユーザID(ユーザ名/パスワード)を使用してサーバ/コンソール640サーバで確認することによって、および特定の場所およびある時間範囲でデータセキュリティシステム620をアンロックするためのジオフェンシング許可を検証することによって、データセキュリティシステム620をアンロックする最もセキュリティの高いプロセスを示す。データセキュリティシステム620は、PIN、ユーザ名およびパスワードの入力と、モバイル装置610が特定の(予め決められた)位置で特定の(予め決められた)時間に存在することとがなければ、アンロックできないであろう。
図7〜図9と類似しているが、サーバ/コンソール640において、データセキュリティシステム620などの指定データセキュリティシステムが動作するのに必要な条件の設定を可能にするために、指定データセキュリティシステムアンロック動作1000が行われる。例えば、条件は、特定の地理的領域内におよび/または特定の時間枠の範囲内にあることとであってもよい。
モバイル装置610において、位置及び/又は現在時刻取得動作1002のような、現在状態の判定が行われる。この動作は、モバイル装置610がどこに位置しているか、および/または、モバイル装置610が位置している場所での現在時刻を判定するために実行される。モバイル装置610の周りの他の現在状態が判定されるとともに、アンロック検証信号1004によってサーバ/コンソール640に送信されてよく、そのサーバ/コンソール640で条件適合判定1006がなされる。
所望の条件に適合したとき、アンロック許可信号1008がモバイル装置610に送信され、PIN入力動作908を実行させる。PINの入力後、PINと、モバイル装置610に動作可能に近接しているデータセキュリティシステム620の識別情報とともに、アンロック検証信号1010が送信される。検証アンロック信号1010がサーバ/コンソール640によって受信されると、データセキュリティシステム許可判定1012が行われて、認証ユーザによる指定データセキュリティシステムのアンロックが許可されることを判定する。サーバ/コンソール640は、この「特定」ユーザが指定データセキュリティシステムを使用することを認可されていると確認する。
正しい情報が提供されたと判定された後、サーバ/コンソール640は、モバイル装置610にアンロック許可信号914を提供し、モバイル装置610は、アンロック要求信号916を提供する。アンロック要求信号916は、データセキュリティシステム620を動作させる。
図11を参照すると、サーバ/コンソール640を使用してデータセキュリティシステム620をリセットする動作を示すリセットシーケンス図が示されている。この図は、サーバ/コンソール640を介してデータセキュリティシステム620を遠隔からリセットできる機能を示す。データセキュリティシステム620は、ワイヤレス接続を介してモバイル装置610からのコマンドのみを受信し得る。しかしながら、サーバ/コンソール640に特定のデータセキュリティシステム(シリアルナンバーを使用)用の「リセット」フラグを設定することにより、モバイル装置610上で動作しているデータセキュリティシステムアプリケーション618は、サーバ/コンソール640にユーザ管理データベース642にある任意のフラグ/保留中要求を問い合わせることとなる。ユーザがデータセキュリティシステム620に接続すると、モバイル装置610上のデータセキュリティシステムアプリケーション618は、「リセット」待ちコマンドを実行することとなる。リセットが成功した後(すべてのユーザデータおよび資格情報が失われた後)、サーバ/コンソール640はリセットフラグを除去するので、モバイル装置610が特定のデータセキュリティシステムに次回接続されたときにリセットは実行されない。
図7〜図10と類似しているが、モバイル装置610は適正ユーザ信号906に応答して、任意コマンド待ち信号1100をサーバ/コンソール640に送信してリセットコマンド判定1102を行う。リセットコマンドが存在するとき、リセット実行信号1104がモバイル装置610に送信される。
モバイル装置610は、セキュリティシステムリセット信号1106をデータセキュリティシステム620に送信して、データセキュリティシステムリセット動作1108を開始させる。データセキュリティシステムリセット動作1108が完了すると、データセキュリティシステム620は、データセキュリティシステムリセット確認信号1110をモバイル装置610に送信して、データセキュリティシステムリセット確認動作1112を実施させるように設定する。その後、モバイル装置610およびデータセキュリティシステム620は、リセットされたデータセキュリティシステム620と、完全に動作可能な通信状態である。
図12を参照すると、サーバ/コンソール640を使用してデータセキュリティシステム620をアンロックする動作を示すアンロックシーケンス図が示されている。この図は、サーバ/コンソール640を介してデータセキュリティシステム620を遠隔からアンロックできる機能を示す。データセキュリティシステム620は、ワイヤレス接続を介してモバイル装置610からのコマンドのみを受信し得る。しかしながら、特定のデータセキュリティシステム(シリアルナンバーを使用)についてサーバ/コンソール640コンソール上に「管理者アンロック」フラグを設定することにより、モバイル装置610上で動作しているデータセキュリティシステムアプリケーション618は、サーバ/コンソール640に任意のフラグ/保留中の要求を問い合わせることとなる。ユーザがデータセキュリティシステム620に接続すると、モバイル装置610上のデータセキュリティシステムアプリケーション618は、「管理者アンロック」待ちコマンドを実行する。管理者アンロックが成功した後、ユーザデータはそのままであるが、ユーザパスワードは削除される(データセキュリティシステム620はユーザによってアンロックされ得ない)。サーバ/コンソール640は、データセキュリティシステム620用のリセットフラグを除去するので、モバイル装置610がデータセキュリティシステム620に次回接続されたときにリセットは実行されない。
図7〜図11と類似しているが、サーバ/コンソール640は、任意のコマンド待ち信号1100を受信した後、管理者パスワードでアンロックするコマンドがある場合にアンロック1200を実行する。管理者パスワード付きアンロック信号1202がモバイル装置610に送信されると、モバイル装置610は管理者パスワード付きアンロック信号1204をデータセキュリティシステム620に提供して、データセキュリティシステムアンロック動作804を開始させる。その後、モバイル装置610およびデータセキュリティシステム620は、完全に動作可能な通信状態である。
図13を参照すると、サーバ/コンソール640を使用するユーザパスワード変更シーケンス図が示されている。この図は、サーバ/コンソール640を介してデータセキュリティシステム620のユーザパスワードを遠隔から変更できる機能を示す。データセキュリティシステム620が無線接続を介してモバイル装置610からのみコマンドを受信できるが、特定のデータセキュリティシステム(シリアルナンバーを使用)用の「ユーザパスワード変更」フラグをサーバ/コンソール640コンソールにセットすることによって、モバイル装置610上で動作しているデータセキュリティシステムアプリケーション618は、任意のフラグ/保留中の要求をサーバ/コンソール640に問い合わせることとなる。ユーザが自分のデータセキュリティシステム620に接続するとき、モバイル装置610にあるデータセキュリティシステムアプリケーション618は、「ユーザパスワードの変更」待ちコマンドを実行する。アンロックが成功しパスワードが変更された後、ユーザデータはそのままであるが、データセキュリティシステム620は新しいユーザパスワードでアンロックされ得る。サーバ/コンソール640は、このデータセキュリティシステム620用の「ユーザパスワードの変更」フラグを除去するので、モバイル装置610が特定のデータセキュリティシステムに次回接続されたときにユーザパスワード変更は実行されない。
図7〜図12と類似しているが、サーバ/コンソール640は、パスワード変更判定1300を行うことによって、任意のコマンド待ち信号1100に応答する。サーバ/コンソール640でパスワード変更があると、ユーザパスワード変更信号1302がモバイル装置610に送信され、モバイル装置610は、ユーザパスワード変更信号1304をデータセキュリティシステム620に送信する。その後、モバイル装置610およびデータセキュリティシステム620は、新しいパスワードで完全に動作可能な通信状態である。
データセキュリティシステムの動作方法は、モバイル装置にデータセキュリティシステムとの接続のためのデータセキュリティシステムアプリケーションを提供する工程と、前記データセキュリティシステムアプリケーションを起動する工程と、前記データセキュリティシステムと前記モバイル装置との接続状態を維持する工程とを備える。
上述の方法において、前記接続状態を維持する工程は、前記データセキュリティシステムが前記モバイル装置から所定の近接範囲内にあるときに前記接続状態を維持する。
上述の方法において、前記接続状態を維持する工程は、前記データセキュリティシステムが所定の期間にわたって前記モバイル装置から所定の近接範囲内にあるときに前記接続状態を維持する。
上記の方法において、前記接続状態を確立することは、前記データセキュリティシステムと前記モバイル装置との間の双方向通信を使用することを含む。
上記の方法において、前記接続状態を確立することは、前記データセキュリティシステムと前記モバイル装置との間の単方向通信を使用することを含む。
上記の方法は、前記データセキュリティシステムアプリケーションを有する前記モバイル装置と、ユーザ管理データベースを含むサーバとの間の通信をさらに備える。
上記の方法は、前記データセキュリティシステムのセキュリティコントローラにセキュリティ情報を提供する工程をさらに備える。
上記の方法は、指定データセキュリティシステムの識別情報をサーバに提供する工程と、前記データセキュリティシステムに特定識別情報を提供する工程と、前記指定データセキュリティシステムの前記識別情報が前記データセキュリティシステムの前記特定識別情報と同じであるときに前記データセキュリティシステムをアンロックする工程とを更に備える。
上記の方法において、モバイル装置に前記データセキュリティシステムアプリケーションを提供する工程は、データセキュリティシステム管理者アプリケーションを提供し、さらに、前記モバイル装置に管理者パスワードを設定することと、前記管理者パスワードを前記モバイル装置から前記データセキュリティシステムに送信することと、前記データセキュリティシステムに前記管理者パスワードを設定し、前記データセキュリティシステムをアンロックすることを含む。
上記方法は、前記モバイル装置から前記データセキュリティシステムにモバイル装置識別情報と共にアンロック要求を提供する工程と、前記データセキュリティシステムにおいて前記アンロック要求を受信し前記データセキュリティシステムをアンロックする工程とをさらに備える。
上記の方法は、前記モバイル装置にユーザ名またはパスワードを入力する工程と、前記モバイル装置から前記ユーザ名またはパスワードを受信した後に前記ユーザ名またはパスワードがサーバにおいて有効であるときを判定する工程と、前記ユーザ名またはパスワードが有効である場合に、前記サーバから前記モバイル装置に通信する工程と、前記ユーザ名またはパスワードが前記データセキュリティシステムをアンロックするのに有効であるとき、前記モバイル装置から前記データセキュリティシステムに通信する工程とを更に備える。
前記上述の方法は、前記モバイル装置にユーザ名またはパスワードを入力する工程と、前記モバイル装置から前記ユーザ名またはパスワードを受信した後に前記ユーザ名またはパスワードがサーバにおいて有効であるときを判定する工程と、前記ユーザ名またはパスワードが有効である場合に前記サーバから前記モバイル装置に通信する工程と、前記モバイル装置から識別番号を受信した後に前記識別番号が前記サーバにおいて有効であるときを判定する工程と、前記サーバが前記識別番号が有効であると判定した場合に、前記モバイル装置を介して前記データセキュリティシステムをアンロックする工程とを更に備える。
上記の方法は、前記モバイル装置の有効位置をサーバに提供する工程と、前記モバイル装置が前記有効位置にあるときを前記サーバにおいて判定する工程と、前記モバイル装置が前記有効位置にあると前記サーバが判定したときに、前記モバイル装置を介して前記データセキュリティシステムをアンロックする工程とをさらに備える。
上述の方法は、前記モバイル装置における前記データセキュリティシステムに対する動作の現在時刻をサーバに提供する工程と、前記モバイル装置が前記現在時刻内にあるときを前記サーバにおいて判定する工程と、前記モバイル装置が前記現在時刻を有すると前記サーバが判定した場合に、前記モバイル装置を介して前記データセキュリティシステムをアンロックする工程とをさらに備える。
上記の方法は、サーバにコマンドを設ける工程と、前記モバイル装置からのコマンド待機信号に応答して前記サーバから前記モバイル装置に前記コマンドを提供する工程と、前記コマンドが前記サーバから提供されたときに、前記モバイル装置を介して前記データセキュリティシステムにおいて前記コマンドを実行する工程とをさらに備える。
上記の方法は、サーバにパスワード変更コマンドを設ける工程と、前記モバイル装置からのパスワード変更信号に応答して、前記サーバから前記モバイル装置に前記パスワード変更コマンドを提供する工程と、前記データセキュリティシステム内の変更後パスワードで前記データセキュリティシステムをアンロックする工程とをさらに備える。
上記の方法は、前記データセキュリティシステムを電力のためにホストコンピュータに接続し、前記ホストコンピュータによって発見可能にすることをさらに備える。
データセキュリティシステムは、データセキュリティ送受信器または受信器と、前記データセキュリティ送受信器または受信器に動作可能に接続された認証サブシステムと、前記認証サブシステムに接続されたストレージサブシステムとを備える。
上記のシステムは、前記データセキュリティ送受信器または受信器および前記認証サブシステムに接続されたセキュリティコントローラをさらに備える。
上記のシステムは、前記データセキュリティシステムがモバイル装置から所定の近接範囲内にあるときに接続状態を維持するために前記セキュリティコントローラと協働するデータセキュリティシステムアプリケーションを有するモバイル装置をさらに備える。
上記のシステムは、前記データセキュリティシステムが所定期間にわたってモバイル装置から所定の近接範囲内にあるときに接続状態を維持するために前記セキュリティコントローラと協働するデータセキュリティシステムアプリケーションを有する前記モバイル装置をさらに備える。
上記のシステムは、前記データセキュリティシステムとモバイル装置との間の双方向通信を使用することを含む接続状態を維持するためのモバイル送受信器または受信器を有する前記モバイル装置をさらに備える。
上記のシステムは、前記データセキュリティシステムとモバイル装置との間の単方向通信を使用することを含む接続状態を維持するためのモバイル送受信器または受信器を有する前記モバイル装置をさらに備える。
上記のシステムは、モバイル装置とデータセキュリティシステムアプリケーションを有するモバイル装置とユーザ管理データベースを含むサーバとの間の有線または無線接続通信と、ユーザ管理データベースを含むサーバとをさらに備える。
上記のシステムにおいて、前記データセキュリティシステムはホストコンピュータと接続するための外部通信チャネルを含む。
本発明を特定の最良の形態に関連して説明してきたが、前述の説明に照らして、多くの代替、変更、および変形が当業者には明らかであると理解されるべきである。したがって、添付の特許請求の範囲に入るそのような代替物、変更物および変形物のすべてを包含することが意図される。本明細書に記載されるか、または添付の図面に示されるすべての事項は、例示的かつ非限定的な意味で解釈されるべきである。

Claims (25)

  1. データセキュリティシステムの動作方法であって、
    モバイル装置に前記データセキュリティシステムとの接続のためのデータセキュリティシステムアプリケーションを提供する工程と、
    前記データセキュリティシステムアプリケーションを起動する工程と、
    前記データセキュリティシステムと前記モバイル装置との接続状態を維持する工程と
    を備えることを特徴とする、データセキュリティシステムの動作方法。
  2. 前記接続状態を維持する工程は、前記データセキュリティシステムが前記モバイル装置から所定の近接範囲内にあるときに前記接続状態を維持することを特徴とする請求項1に記載の動作方法。
  3. 前記接続状態を維持する工程は、前記データセキュリティシステムが所定の期間にわたって前記モバイル装置から所定の近接範囲内にあるときに前記接続状態を維持することを特徴とする請求項1に記載の動作方法。
  4. 前記接続状態を確立することは、前記データセキュリティシステムと前記モバイル装置との間の双方向通信を使用することを含む、請求項1に記載の動作方法。
  5. 前記接続状態を確立することは、前記データセキュリティシステムと前記モバイル装置との間の単方向通信を使用することを含む、請求項1に記載の動作方法。
  6. 前記データセキュリティシステムアプリケーションを有する前記モバイル装置と、ユーザ管理データベースを含むサーバとの間の通信をさらに備える、請求項1に記載の動作方法。
  7. 前記データセキュリティシステムのセキュリティコントローラにセキュリティ情報を提供する工程をさらに備える、請求項1に記載の動作方法。
  8. 指定データセキュリティシステムの識別情報をサーバに提供する工程と、
    前記データセキュリティシステムに特定識別情報を提供する工程と、
    前記指定データセキュリティシステムの前記識別情報が前記データセキュリティシステムの前記特定識別情報と同じであるときに前記データセキュリティシステムをアンロックする工程と
    をさらに備える、請求項1に記載の動作方法。
  9. モバイル装置に前記データセキュリティシステムアプリケーションを提供する工程は、データセキュリティシステム管理者アプリケーションを提供し、さらに
    前記モバイル装置に管理者パスワードを設定することと、
    前記管理者パスワードを前記モバイル装置から前記データセキュリティシステムに送信することと、
    前記データセキュリティシステムに前記管理者パスワードを設定し、前記データセキュリティシステムをアンロックすること
    を含む、請求項1に記載の動作方法。
  10. 前記モバイル装置から前記データセキュリティシステムにモバイル装置識別情報と共にアンロック要求を提供する工程と、
    前記データセキュリティシステムにおいて前記アンロック要求を受信し前記データセキュリティシステムをアンロックする工程と
    をさらに備える、請求項1に記載の動作方法。
  11. 前記モバイル装置にユーザ名またはパスワードを入力する工程と、
    前記モバイル装置から前記ユーザ名またはパスワードを受信した後に前記ユーザ名またはパスワードがサーバにおいて有効であるときを判定する工程と、
    前記ユーザ名またはパスワードが有効である場合に、前記サーバから前記モバイル装置に通信する工程と、
    前記ユーザ名またはパスワードが前記データセキュリティシステムをアンロックするのに有効であるとき、前記モバイル装置から前記データセキュリティシステムに通信する工程と
    をさらに備える、請求項1に記載の動作方法。
  12. 前記モバイル装置にユーザ名またはパスワードを入力する工程と、
    前記モバイル装置から前記ユーザ名またはパスワードを受信した後に前記ユーザ名またはパスワードがサーバにおいて有効であるときを判定する工程と、
    前記ユーザ名またはパスワードが有効である場合に前記サーバから前記モバイル装置に通信する工程と、
    前記モバイル装置から識別番号を受信した後に前記識別番号が前記サーバにおいて有効であるときを判定する工程と、
    前記サーバが前記識別番号が有効であると判定した場合に、前記モバイル装置を介して前記データセキュリティシステムをアンロックする工程と
    をさらに備える、請求項1に記載の動作方法。
  13. 前記モバイル装置の有効位置をサーバに提供する工程と、
    前記モバイル装置が前記有効位置にあるときを前記サーバにおいて判定する工程と、
    前記モバイル装置が前記有効位置にあると前記サーバが判定したときに、前記モバイル装置を介して前記データセキュリティシステムをアンロックする工程と
    をさらに備える、請求項1に記載の動作方法。
  14. 前記モバイル装置における前記データセキュリティシステムに対する動作の現在時刻をサーバに提供する工程と、
    前記モバイル装置が前記現在時刻内にあるときを前記サーバにおいて判定する工程と、
    前記モバイル装置が前記現在時刻を有すると前記サーバが判定した場合に、前記モバイル装置を介して前記データセキュリティシステムをアンロックする工程と
    をさらに備える、請求項1に記載の動作方法。
  15. サーバにコマンドを設ける工程と、
    前記モバイル装置からのコマンド待機信号に応答して前記サーバから前記モバイル装置に前記コマンドを提供する工程と、
    前記コマンドが前記サーバから提供されたときに、前記モバイル装置を介して前記データセキュリティシステムにおいて前記コマンドを実行する工程と
    をさらに備える請求項1に記載の動作方法。
  16. サーバにパスワード変更コマンドを設ける工程と、
    前記モバイル装置からのパスワード変更信号に応答して、前記サーバから前記モバイル装置に前記パスワード変更コマンドを提供する工程と、
    前記データセキュリティシステム内の変更後パスワードで前記データセキュリティシステムをアンロックする工程と
    をさらに備える請求項1に記載の動作方法。
  17. 前記データセキュリティシステムを電力のためにホストコンピュータに接続し、前記ホストコンピュータによって発見可能にすることをさらに備える、請求項1に記載の動作方法。
  18. データセキュリティ送受信器または受信器と、
    前記データセキュリティ送受信器または受信器に動作可能に接続された認証サブシステムと、
    前記認証サブシステムに接続されたストレージサブシステムと
    を備えるデータセキュリティシステム。
  19. 前記データセキュリティ送受信器または受信器および前記認証サブシステムに接続されたセキュリティコントローラをさらに備える請求項18に記載のデータセキュリティシステム。
  20. 前記データセキュリティシステムがモバイル装置から所定の近接範囲内にあるときに接続状態を維持するために前記セキュリティコントローラと協働するデータセキュリティシステムアプリケーションを有するモバイル装置をさらに備える、請求項18に記載のデータセキュリティシステム。
  21. 前記データセキュリティシステムが所定期間にわたってモバイル装置から所定の近接範囲内にあるときに接続状態を維持するために前記セキュリティコントローラと協働するデータセキュリティシステムアプリケーションを有する前記モバイル装置をさらに備える、請求項18に記載のデータセキュリティシステム。
  22. 前記データセキュリティシステムとモバイル装置との間の双方向通信を使用することを含む接続状態を維持するためのモバイル送受信器または受信器を有する前記モバイル装置をさらに備える請求項18に記載のデータセキュリティシステム。
  23. 前記データセキュリティシステムとモバイル装置との間の単方向通信を使用することを含む接続状態を維持するためのモバイル送受信器または受信器を有する前記モバイル装置をさらに備える、請求項18に記載のデータセキュリティシステム。
  24. データセキュリティシステムアプリケーションを有するモバイル装置とユーザ管理データベースを含むサーバとの間の有線または無線接続通信をさらに備える、請求項18に記載のデータセキュリティシステム。
  25. 前記データセキュリティシステムはホストコンピュータと接続するための外部通信チャネルを含む、請求項18に記載のデータセキュリティシステム。
JP2021142248A 2016-01-04 2021-09-01 暗号を伴うデータセキュリティシステム Active JP7248754B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/987,749 US10181055B2 (en) 2007-09-27 2016-01-04 Data security system with encryption
US14/987,749 2016-01-04
JP2019223413A JP6938602B2 (ja) 2016-01-04 2019-12-11 暗号を伴うデータセキュリティシステム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2019223413A Division JP6938602B2 (ja) 2016-01-04 2019-12-11 暗号を伴うデータセキュリティシステム

Publications (2)

Publication Number Publication Date
JP2021192265A true JP2021192265A (ja) 2021-12-16
JP7248754B2 JP7248754B2 (ja) 2023-03-29

Family

ID=59311569

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2018553854A Active JP6633228B2 (ja) 2016-01-04 2017-01-03 暗号を伴うデータセキュリティシステム
JP2019223413A Active JP6938602B2 (ja) 2016-01-04 2019-12-11 暗号を伴うデータセキュリティシステム
JP2021142248A Active JP7248754B2 (ja) 2016-01-04 2021-09-01 暗号を伴うデータセキュリティシステム

Family Applications Before (2)

Application Number Title Priority Date Filing Date
JP2018553854A Active JP6633228B2 (ja) 2016-01-04 2017-01-03 暗号を伴うデータセキュリティシステム
JP2019223413A Active JP6938602B2 (ja) 2016-01-04 2019-12-11 暗号を伴うデータセキュリティシステム

Country Status (6)

Country Link
JP (3) JP6633228B2 (ja)
KR (2) KR102054711B1 (ja)
CN (2) CN112054892A (ja)
GB (2) GB2580549B (ja)
TW (2) TWI692704B (ja)
WO (1) WO2017123433A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102540669B1 (ko) * 2021-12-17 2023-06-08 주식회사 그리다에너지 암호화되어 편집 불가능 상태로 보관되는 작업 데이터를 이용한 작업 이력 인증 시스템
US11971967B2 (en) 2007-09-27 2024-04-30 Clevx, Llc Secure access device with multiple authentication mechanisms

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10778417B2 (en) 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
US11190936B2 (en) 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10783232B2 (en) 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
TWI651626B (zh) * 2017-11-30 2019-02-21 大陸商北京集創北方科技股份有限公司 生物特徵資料加密方法及利用其之資訊處理裝置
WO2019177563A1 (en) 2018-03-12 2019-09-19 Hewlett-Packard Development Company, L.P. Hardware security
GB2607846B (en) * 2018-06-06 2023-06-14 Istorage Ltd Dongle for ciphering data
WO2020037053A1 (en) * 2018-08-16 2020-02-20 Clevx, Llc Self-encrypting module with embedded wireless user authentication
CN110225515B (zh) * 2019-06-24 2022-08-23 喀斯玛(北京)科技有限公司 一种认证管理系统、方法及装置
JP2022050899A (ja) 2020-09-18 2022-03-31 キオクシア株式会社 メモリシステム
TWI788936B (zh) * 2021-08-02 2023-01-01 民傑資科股份有限公司 無線通訊上鎖的隨身碟
CN114598461B (zh) * 2022-02-24 2023-10-31 广东天波信息技术股份有限公司 终端设备的联机解锁方法、终端设备及可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10340231A (ja) * 1997-06-05 1998-12-22 Kokusai Electric Co Ltd Icカード
JP2006268831A (ja) * 2005-02-09 2006-10-05 Shimon Systems Inc 指紋認証付きワイヤレスユニバーサルシリアルバスメモリキー
JP2010102617A (ja) * 2008-10-27 2010-05-06 Dainippon Printing Co Ltd 外部記憶装置アクセス管理システム、装置、方法、プログラム、記録媒体
US20100293374A1 (en) * 2008-07-30 2010-11-18 Bushby Donald P Secure Portable Memory Storage Device
WO2013073260A1 (ja) * 2011-11-19 2013-05-23 インターナショナル・ビジネス・マシーンズ・コーポレーション 記憶装置
US20140108799A1 (en) * 2012-10-15 2014-04-17 At&T Intellectual Property I, L.P. Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6529949B1 (en) * 2000-02-07 2003-03-04 Interactual Technologies, Inc. System, method and article of manufacture for remote unlocking of local content located on a client device
US6708272B1 (en) * 1999-05-20 2004-03-16 Storage Technology Corporation Information encryption system and method
EP1228433A1 (en) * 1999-09-17 2002-08-07 Fingloq AB Security arrangement
US8677505B2 (en) * 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
US7099663B2 (en) * 2001-05-31 2006-08-29 Qualcomm Inc. Safe application distribution and execution in a wireless environment
TW583568B (en) * 2001-08-27 2004-04-11 Dataplay Inc A secure access method and system
US20030109218A1 (en) * 2001-10-18 2003-06-12 Azalea Microelectronics Corporation Portable wireless storage unit
US7561691B2 (en) * 2001-11-12 2009-07-14 Palm, Inc. System and method for providing secured access to mobile devices
US7198571B2 (en) * 2002-03-15 2007-04-03 Igt Room key based in-room player tracking
JP2004326763A (ja) * 2003-04-10 2004-11-18 Matsushita Electric Ind Co Ltd パスワード変更システム
US20060271789A1 (en) 2003-04-10 2006-11-30 Matsushita Electric Industrial Co., Ltd. Password change system
JP2006025249A (ja) * 2004-07-08 2006-01-26 Fujitsu Ltd 端末装置、そのデータバックアップシステム、そのデータバックアップ方法及びそのデータバックアッププログラム
JP2008512738A (ja) * 2004-09-06 2008-04-24 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ データを交換するための携帯型記憶装置及び方法
US20060075230A1 (en) * 2004-10-05 2006-04-06 Baird Leemon C Iii Apparatus and method for authenticating access to a network resource using multiple shared devices
JP2006139757A (ja) * 2004-10-15 2006-06-01 Citizen Watch Co Ltd 施錠システム及び施錠方法
US20060129829A1 (en) * 2004-12-13 2006-06-15 Aaron Jeffrey A Methods, systems, and computer program products for accessing data with a plurality of devices based on a security policy
JP4781692B2 (ja) * 2005-03-08 2011-09-28 インターナショナル・ビジネス・マシーンズ・コーポレーション クライアントのi/oアクセスを制限する方法、プログラム、システム
US8335920B2 (en) * 2005-07-14 2012-12-18 Imation Corp. Recovery of data access for a locked secure storage device
TWI288553B (en) * 2005-10-04 2007-10-11 Carry Computer Eng Co Ltd Portable storage device having main identification information and method of setting main identification information thereof
CN101375259B (zh) * 2006-01-24 2011-10-19 克莱夫公司 数据保全系统
US20070248232A1 (en) * 2006-04-10 2007-10-25 Honeywell International Inc. Cryptographic key sharing method
WO2008147577A2 (en) * 2007-01-22 2008-12-04 Spyrus, Inc. Portable data encryption device with configurable security functionality and method for file encryption
US20080303631A1 (en) * 2007-06-05 2008-12-11 Beekley John S Mass Storage Device With Locking Mechanism
TWI537732B (zh) * 2007-09-27 2016-06-11 克萊夫公司 加密之資料保全系統
CN100533459C (zh) * 2007-10-24 2009-08-26 北京飞天诚信科技有限公司 数据安全读取方法及其安全存储装置
US20100174913A1 (en) * 2009-01-03 2010-07-08 Johnson Simon B Multi-factor authentication system for encryption key storage and method of operation therefor
US9286493B2 (en) * 2009-01-07 2016-03-15 Clevx, Llc Encryption bridge system and method of operation thereof
US8112066B2 (en) * 2009-06-22 2012-02-07 Mourad Ben Ayed System for NFC authentication based on BLUETOOTH proximity
US20110154023A1 (en) * 2009-12-21 2011-06-23 Smith Ned M Protected device management
US9270663B2 (en) * 2010-04-30 2016-02-23 T-Central, Inc. System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added
BR112014007398B1 (pt) * 2011-09-28 2022-04-05 Hewlett-Packard Development Company, L.P Método realizado por um dispositivo eletrônico e dispositivo eletrônico
GB201221433D0 (en) * 2012-11-28 2013-01-09 Hoverkey Ltd A method and system of providing authentication of user access to a computer resource on a mobile device
US20140149742A1 (en) * 2012-11-28 2014-05-29 Arnold Yau Method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors
US9215250B2 (en) * 2013-08-20 2015-12-15 Janus Technologies, Inc. System and method for remotely managing security and configuration of compute devices
US20150161587A1 (en) * 2013-12-06 2015-06-11 Apple Inc. Provisioning and authenticating credentials on an electronic device
CN105450400B (zh) * 2014-06-03 2019-12-13 阿里巴巴集团控股有限公司 一种身份验证方法、客户端、服务器端及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10340231A (ja) * 1997-06-05 1998-12-22 Kokusai Electric Co Ltd Icカード
JP2006268831A (ja) * 2005-02-09 2006-10-05 Shimon Systems Inc 指紋認証付きワイヤレスユニバーサルシリアルバスメモリキー
US20100293374A1 (en) * 2008-07-30 2010-11-18 Bushby Donald P Secure Portable Memory Storage Device
JP2010102617A (ja) * 2008-10-27 2010-05-06 Dainippon Printing Co Ltd 外部記憶装置アクセス管理システム、装置、方法、プログラム、記録媒体
WO2013073260A1 (ja) * 2011-11-19 2013-05-23 インターナショナル・ビジネス・マシーンズ・コーポレーション 記憶装置
US20140108799A1 (en) * 2012-10-15 2014-04-17 At&T Intellectual Property I, L.P. Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11971967B2 (en) 2007-09-27 2024-04-30 Clevx, Llc Secure access device with multiple authentication mechanisms
KR102540669B1 (ko) * 2021-12-17 2023-06-08 주식회사 그리다에너지 암호화되어 편집 불가능 상태로 보관되는 작업 데이터를 이용한 작업 이력 인증 시스템

Also Published As

Publication number Publication date
GB2562923B (en) 2020-02-12
GB201919421D0 (en) 2020-02-12
CN112054892A (zh) 2020-12-08
GB2580549A (en) 2020-07-22
TW202029042A (zh) 2020-08-01
GB201811137D0 (en) 2018-08-22
KR102201093B1 (ko) 2021-01-08
JP7248754B2 (ja) 2023-03-29
GB2580549B (en) 2020-12-23
KR102054711B1 (ko) 2019-12-11
TWI692704B (zh) 2020-05-01
GB2562923A (en) 2018-11-28
JP6633228B2 (ja) 2020-01-22
KR20190137960A (ko) 2019-12-11
CN108604982B (zh) 2020-09-04
KR20180107775A (ko) 2018-10-02
JP2019511791A (ja) 2019-04-25
CN108604982A (zh) 2018-09-28
JP6938602B2 (ja) 2021-09-22
TW201737151A (zh) 2017-10-16
WO2017123433A1 (en) 2017-07-20
TWI727717B (zh) 2021-05-11
JP2020057412A (ja) 2020-04-09

Similar Documents

Publication Publication Date Title
JP6938602B2 (ja) 暗号を伴うデータセキュリティシステム
US11971967B2 (en) Secure access device with multiple authentication mechanisms
US10985909B2 (en) Door lock control with wireless user authentication
US10783232B2 (en) Management system for self-encrypting managed devices with embedded wireless user authentication
US10362483B2 (en) System, methods and devices for secure data storage with wireless authentication
US11190936B2 (en) Wireless authentication system
US20160119339A1 (en) Data security system with encryption
TWI753286B (zh) 自我加密裝置、管理伺服器、用於資料安全性之方法、及其非暫態機器可讀取儲存媒體
WO2016045189A1 (zh) 一种双系统终端的数据读写方法及双系统终端
CN114978689A (zh) 存储设备远程管理方法、系统和存储设备
KR20160105724A (ko) Otp를 이용한 근거리 사용자 인식 시스템
KR20140007627A (ko) 아이씨 칩

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210928

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221018

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230316

R150 Certificate of patent or registration of utility model

Ref document number: 7248754

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150