JP2021530776A - 記憶データ安全動作方法及びシステム - Google Patents
記憶データ安全動作方法及びシステム Download PDFInfo
- Publication number
- JP2021530776A JP2021530776A JP2020573513A JP2020573513A JP2021530776A JP 2021530776 A JP2021530776 A JP 2021530776A JP 2020573513 A JP2020573513 A JP 2020573513A JP 2020573513 A JP2020573513 A JP 2020573513A JP 2021530776 A JP2021530776 A JP 2021530776A
- Authority
- JP
- Japan
- Prior art keywords
- storage device
- stored
- storage
- data
- storage area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0623—Securing storage systems in relation to content
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0632—Configuration or reconfiguration of storage systems by initialisation or re-initialisation of storage systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本発明は、情報技術の分野に関し、記憶データ安全動作方法及びシステムである。該記憶データ安全動作方法及びシステムは、第2記憶装置が検出された場合に、前記第2記憶装置に予め記憶された予め記憶された暗号化の身分情報を取得することと、暗号化の身分情報を第1記憶装置に送信することと、第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、最後にシステムデータに基づいてオペレーティングシステムを動作することと、を含む。これにより、安全にオペレーティングシステムを動作するとともに、BIOSを拡張する必要がなく、人手で動作する必要がなく、ユーザ体験がよく、安全管理プログラムが第1記憶装置に予め記憶されてホストの記憶空間を節約する。【選択図】図6
Description
本発明は、情報技術の分野に関し、具体的には、記憶データ安全動作方法及びシステムに関する。
データ安全記憶および応用は、徐々に使用者に知られるようになってきたが、暗号化機能付きの安全記憶装置を便利に使用する方法や既存の応用シーンとスムーズとを結合する方法は、暗号化記憶装置で記憶するとのソリューションがユーザに受け入れられるかどうかを決定する要因である。
現在、市場で認証付きの安全暗号化記憶装置は、データが安全暗号化記憶装置の媒体に暗号文で記憶されている。装置は、データをアクセスする前にユーザの身分を認証し、認証成功の後で装置のロックを解除し、データをアクセスすることができるようになる必要がある。認証付きの安全暗号化記憶装置は、ホストユーザの身分をチェックする必要があるので、正当なユーザのみでハードディスクデータをアクセスすることを許可し、ある程度の安全性を有する。一方、認証付きの安全暗号化記憶装置は、内部のデータ暗復号の鍵がユーザの身分鍵によって厳格に保護されることによって、正しいユーザのログインの鍵がないと正しいデータ暗復号の鍵を取得できないので、ユーザのデータの安全を最大限に保証する。
しかしながら、認証付きの安全暗号化記憶装置は、ホスト側でユーザ身分の鍵を入力する必要がある。このような入力インタフェースは、オペレーティングシステムOS上で動作するプログラムで提供されるヒューマンインタフェースに基づいて行われることが多いものであり、ユーザが入力した身分の鍵を、ホストと装置との間の記憶インタフェースを介して記憶装置に取り込む。記憶装置の検証が成功した後に、ホストは記憶装置に記憶されたデータにアクセスすることができる。ロック解除の前に記憶装置に記憶されたデータに正当にアクセスできないため、オペレーティングシステムやロック解除インタフェースを提供するプログラムを、ロック解除が必要で認証付きの安全暗号記憶装置に直接に記憶することができない。即ち、認証付きの安全暗号記憶装置は、データディスクとして機能するだけで、システムディスクとしては機能しない。そのため、オペレーティングシステムやロック解除のインタフェースを提供するプログラムを認証付きの安全暗号記憶装置に記憶することは、ハードディスクに対してロックを解除する必要がある。例えば、認証インタフェース付きのプログラムをBIOSに記憶し、BIOSフェーズで安全暗号化記憶装置からデータを読み取る前にロックを解除する。そして、システムをロードする。しかしながら、これは、BIOSをカスタマイズ化する(BIOSの機能拡張)必要があるので、BIOSのベンダの違いを考慮してほとんど不可能である。また、ユーザはハードディスクのロックを解除するために身分鍵を手で入力する必要があり、操作感が悪い。
本発明の実施例は、上記の問題を改善し、記憶データ安全動作方法及びシステムを提供することを目的とする。
一態様において、本願実施例は、記憶データ安全動作方法を提供し、前記記憶データ安全動作方法は、
第1記憶装置が検出された時に、前記第1記憶装置に予め記憶された安全管理プログラムをロードすることと、
安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得することと、
暗号化の身分情報を前記第1記憶装置に送信することと、
前記第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、システムデータに基づいてオペレーティングシステムを動作することと、を含む。
第1記憶装置が検出された時に、前記第1記憶装置に予め記憶された安全管理プログラムをロードすることと、
安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得することと、
暗号化の身分情報を前記第1記憶装置に送信することと、
前記第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、システムデータに基づいてオペレーティングシステムを動作することと、を含む。
一態様において、本願実施例は、記憶データ安全動作システムを提供し、
前記ホストは第1記憶装置が検出された時に、第1記憶装置に予め記憶された安全管理プログラムをロードし、
前記ホストは、安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得し、
前記ホストは、暗号化の身分情報を前記第1記憶装置に送信し、
前記第1記憶装置は身分情報を復号化して検証し、
前記ホストは、前記第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、システムデータに基づいてオペレーティングシステムを動作する。
前記ホストは第1記憶装置が検出された時に、第1記憶装置に予め記憶された安全管理プログラムをロードし、
前記ホストは、安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得し、
前記ホストは、暗号化の身分情報を前記第1記憶装置に送信し、
前記第1記憶装置は身分情報を復号化して検証し、
前記ホストは、前記第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、システムデータに基づいてオペレーティングシステムを動作する。
従来技術と比較して、本発明が提供する記憶データ安全動作方法及びシステムは、第1記憶装置が検出された場合に第1記憶装置に予め記憶された安全管理プログラムをロードすることと、安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得することと、暗号化の身分情報を前記第1記憶装置に送信することと、前記第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、最後にシステムデータに基づいてオペレーティングシステムを動作することと、を含む。これにより、安全にオペレーティングシステムを動作するとともに、BIOSを拡張する必要がなく、人手で動作する必要がなく、ユーザ体験がよく、安全管理プログラムが第1記憶装置に予め記憶されてホストの記憶空間を節約する。
本発明の上記目的、特徴および利点をより明瞭にするために、以下で好ましい実施例を挙げ、添付の図面と結合して以下に詳細に説明する。
本発明の実施例の目的、技術案及び利点をより明確にするために、以下、本発明の実施例の図面を参照し、本発明の実施例の技術案を明確で完全に説明する。明らかに、説明の実施例は、本発明の一部の実施例であり、全ての実施例ではない。本明細書において一般に説明する添付の図面に示される本発明の実施例の構成要素は、様々な異なる構成で配置および設計されるものである。したがって、添付図面に示される本発明の実施例の以下の詳細な説明は、請求項として本発明の範囲を限定することを意図するものではなく、本発明の選択とする実施例のみを示す。本発明の実施例に基づいて、当業者が発明の進歩性を有する努力をせずに思いつく他のすべての実施例は本発明の保護範囲に含まれている。
以下、本発明の実施例の図面を参照し、本発明の実施例の技術案を明確で完全に説明する。明らかに、説明の実施例は、本発明の一部の実施例であり、全ての実施例ではない。本明細書において一般に説明する添付の図面に示される本発明の実施例の構成要素は、様々な異なる構成で配置および設計されるものである。したがって、添付図面に示される本発明の実施例の以下の詳細な説明は、請求項として本発明の範囲を限定することを意図するものではなく、本発明の選択とする実施例のみを示す。本発明の実施例に基づいて、当業者が発明の進歩性を有する努力をせずに思いつく他のすべての実施例は本発明の保護範囲に含まれている。
本発明の実施例による記憶データ安全動作方法及びシステムは、記憶データ安全動作方法を提供する。該記憶データ安全動作方法は、ホスト101に適用可能である。ホストは、個人用PCであってもよい。このホスト101は、スマートフォン、PC、タブレット、PDA、MID、サーバなどであってもよいが、これらに限定されない。前記ホスト200のオペレーティングシステムは、Androidシステム、IOSシステム、Windows phoneシステム、Windowsシステムなどであってもよいが、これに限定されない。ホスト101は、第1記憶装置200、第2記憶装置300とそれぞれに通信に接続され、記憶データ安全動作システムを構成する。
図2は、前記ホスト101のブロック図を示す。前記ホスト101は、記憶データ安全動作装置100、プロセッサ102、メモリ103、メモリコントローラ104、外部インタフェース105、表示モジュール106を含む。
前記メモリ103、前記メモリコントローラ104及び前記プロセッサ102は、各素子が互いに直接又は間接的に電気的に接続され、データの伝送又は交換を実現する。例えば、これらの要素は、1つまたは複数の通信バスまたは信号線によって互いに電気的に接続されてもよい。前記記憶データ安全動作装置100は、ソフトウェアまたはファームウェアの形態で前記メモリ103に記憶されてまたは前記ホスト101のオペレーティングシステム(OS)内でキュアされて少なくとも1つのソフトウェア機能モジュールを含む。前記プロセッサ102は、メモリ103に記憶された動作可能なモジュールを動作する。例えば、前記記憶データ安全動作装置100は、ソフトウェア機能モジュール又はコンピュータプログラムを含む。
ここで、メモリ103は、ランダムアクセスメモリ(Random Access Memory、RAM)、リードオンリーメモリ(Read Only Memory、ROM)、プログラマブルリードオンリーメモリ(Programmable Read-Only Memory、PROM)、消去可能リードオンリーメモリ(Erasable Programmable Read-Only Memory、EPROM)、電気的に消去可能リードオンリーメモリ(Electric Erasable Programmable Read-Only Memory、EEPROM)などであってもよいが、これに限定されない。メモリ103は、プログラムを記憶する。前記プロセッサ102は、動作命令を受信した後に前記プログラムを動作する。本発明の実施例のいずれかに開示されたフローで定義するホスト101が動作する方法は、前記プロセッサ102に適用されてもよく、プロセッサ102によって実現されてもよい。
プロセッサ102は、集積回路チップで信号の処理能力を有する。上述したプロセッサ102は、汎用プロセッサであり、Central Processing Unit(CPU)、Network Processor(NP)などを含む。また、デジタル信号プロセッサ(DSP)、専用集積回路(ASIC)、既製のプログラマブルゲートアレイ(FPGA)または他のプログラマブル論理素子、個別ゲートまたはトランジスタ論理素子、個別ハードウェア構成要素であってもよい。本発明の実施例に開示された方法、ステップ及び論理ブロック図を実現または動作することができる。汎用プロセッサは、マイクロプロセッサであってもよく、任意の従来のプロセッサなどであってもよい。
外部インタフェース105は、様々な入力/入力装置をプロセッサおよびメモリ103に結合する。一実施例において、外部インタフェース105、プロセッサ102及びメモリコントローラ104は、単一のチップに実現されてもよい。他の実施例において、それらはそれぞれに別個のチップによって実現される。
表示モジュール106は、前記ホスト101とユーザとの間で相互インタフェース(例えば、ユーザ操作インタフェース)を提供し、または画像データをユーザに表示して参照する。例えば、ホスト101にインストールされているブラウザがロードしたウェブページの内容を表示する。表示モジュール106は、液晶ディスプレイ又はタッチディスプレイであってもよい。タッチディスプレイの場合に、単点及び多点タッチ操作をサポートする静電容量式タッチスクリーン又は抵抗膜式タッチスクリーンなどであってもよい。単点及び多点のタッチ操作をサポートすることは、タッチディスプレイが該タッチディスプレイの1つまたは複数の位置から同時に生じるタッチ操作を検知し、その検知したタッチ操作をプロセッサ105によって計算および処理することができる意味である。
図3を参照し、本発明の実施例は、記憶データ安全動作装置100を提供する。前記記憶データ安全動作装置100は、ロードユニット301と、動作ユニット302と、読み取りユニット303と、情報送信ユニット304とを備える。
ロードユニット301は、第1記憶装置200を検出した時に第1記憶装置200に予め記憶された安全管理プログラムをロードする。
本実施例において、安全管理プログラムは2つの部分を含み、一部は鍵管理メインプログラムであり、動作される時に第2記憶装置300に記憶された暗号化のユーザ身分情報を読み取り、ホスト101を介して第1記憶装置200に返送して第1記憶装置200にロックを解除する。もう一部は、鍵管理プログラムのブートプログラムであり、ホストのBIOSにロードされて鍵管理プログラムをロードする。
具体的には、図4に示すように、前記ロードユニット301は、検出サブモジュール401、読み取りサブモジュール402、第1動作サブモジュール403及び第1ロードサブモジュール404を含む。ロードユニット301は、BIOSで動作するソフトウェア装置であってもよい。
検出サブモジュール401は、電源投入時に第1記憶装置200を検出する。
ここで、第1記憶装置200は、ハードディスク、又はハードディスクを内蔵したスマート端末(例えば、ハードディスクを内蔵したノートパソコン)としてもよい。前記第1記憶装置200は、安全管理プログラムを記憶する第1記憶領域305と、システムデータを記憶する第2記憶領域306と、を含む。システムデータは、オペレーティングシステムデータとユーザデータとを含む。ここで、第1記憶領域305は、第1記憶装置200がロック状態にある時にアクセスされる。第2記憶領域306は、第1記憶装置200がアンロック状態にある時にアクセスされる。なお、第1記憶装置200の初期状態はロック状態であり、第1記憶装置200がロック状態にある時には、ホスト101が第1記憶領域305のみにアクセス可能である。
読み取りサブモジュール402は、第1記憶装置200を検出した際に第1記憶装置200に記憶されたブートプログラムを読み取る。第1動作サブモジュール403は、第1ブートプログラムを動作させる。第1ロードサブモジュール404は、第1ブートプログラムの動作後に第1記憶装置200に予め記憶された安全管理プログラムをロードする。
動作ユニット302は、安全管理プログラムを動作して第2記憶装置300を検出する。
第2記憶装置300は、挿抜可能な記憶装置とする。例えば、UディスクまたはUシールドであってもよいが、これに限定されない。
読み取りユニット303は、第2記憶装置300を検出した時に第2記憶装置300に予め記憶された暗号化の身分情報を読み取る。
ユーザ身分の鍵情報が暗号文として第2記憶装置300に記憶され、暗号文で第2記憶装置300に送信されるので、ユーザ身分の鍵情報の安全を確保する。本実施例において、ユーザ身分情報は、非対称復号化アルゴリズムの公開鍵と秘密鍵とのペアのうちの秘密鍵を暗号化してユーザ身分の鍵情報を形成して記憶する。また、ユーザ身分情報の鍵は、公開鍵と秘密鍵のうちの公開鍵を交換し、公開鍵で暗号化した後に第2記憶装置300に送信して記憶させる。これにより、暗号文が固定的なものでなく、送信する毎に異なることを保証でき、より高い安全性を持たせることができる。
情報送信ユニット304は、暗号化の身分情報を前記第1記憶装置200に送信する。
このときに、第1記憶装置200は暗号化の状態にある身分情報を復号化し、復号化した身分情報と予め記憶している身分情報とが一致するか否かを判断する。一致する場合には、認証成功となる。このときに、第1記憶装置200はアンロックされる。このときに第1記憶装置200の第2記憶領域306はホスト101から直接アクセス可能となる。
前記ロードユニット301は、前記第1記憶装置200で身分情報を復号化し、検証が成功した後にシステムデータをロードする。
第1記憶装置200のロックが解除されたので、ホスト101は、第1記憶装置200の第2記憶領域306のシステムデータに直接にアクセスすることができる。
具体的には、図5に示すように、ロードユニット301は、第2動作サブモジュール501、第2ロードサブモジュール502、第3動作サブモジュール503、第3ロードサブモジュール504をさらに含む。
第2動作サブモジュール501は、前記第1記憶装置200で身分情報を復号化し、検証が成功した後に安全管理プログラムを継続して動作する。
第2ロードサブモジュール502は、安全管理プログラムを動作する際に第2ブートプログラムをロードする。
第3動作サブモジュール503は、第2ブートプログラムを動作させる。
第3ロードサブモジュール504は、第2ブートプログラムを動作する際にシステムデータをロードする。
前記動作ユニット302は、システムデータに基づいてオペレーティングシステムを動作する。
図6を参照し、本発明の実施例は、記憶データ安全動作方法をさらに提供する。本実施例が提供する記憶データ安全動作方法は、その原理及び技術効果が上述した実施例と同様である。従って、説明を簡単にするために、本実施例では一部言及していない点が上述した実施例に対応する内容を参照する。前記記憶データ安全動作方法は、以下のステップを含む。
ステップS601:第1記憶装置200が検出された時に第1記憶装置200に予め記憶された安全管理プログラムをロードする。
前記第1記憶装置200は、第1記憶領域305と第2記憶領域306を含み、前記第1記憶装置200は、起動後に外部から見える空間が第1記憶領域305である。前記第1記憶領域305は安全管理プログラムを予め記憶する。外部アクセスデータアドレスが第1記憶領域305の空間のサイズより大きい場合には、任意のデータを返送する。この時、前記第2記憶領域306はロック状態にあり、外部から見えない。前記第2記憶領域306は、実際に外部から利用可能な記憶領域であり、ロック解除後に見えて利用も可能となる。
第1記憶装置200が検出された場合には、第1記憶領域305に予め記憶された安全管理プログラムをロードする。具体的には、ステップS601は、電源投入時に第1記憶装置200を検出することと、第1記憶装置200の第1記憶領域305に記憶されたブートプログラムを読み取ることと、第1ブートプログラムを動作させることと、第1記憶装置200に予め記憶された安全管理プログラムをロードすることと、を含む。
ステップS602:安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得する。
例えば、安全管理プログラムを動作して第2記憶装置300を検出し、第2記憶装置300が検出された場合には、前記第2記憶装置300に予め記憶された暗号化の身分情報を読み取る。また、例えば、安全管理プログラムを動作し、ホストに予め記憶された暗号化の身分情報を読み取る。
ステップS603:暗号化の身分情報を前記第1記憶装置200に送信する。
ステップS604:前記第1記憶装置200は、暗号化の身分情報を復号化して検証する。検証が成功した場合には、第2記憶領域306のロックを解除する。
ステップS605:前記第1記憶装置200は、前記第1記憶領域305をロックする。
ステップS606:前記第1記憶装置200で身分情報を復号化し、検証が成功した後にシステムデータをロードし、システムデータに基づくオペレーティングシステムを動作する。
具体的には、ステップS606は、前記第1記憶装置200で身分情報を復号化し、検証が成功した後に安全管理プログラムの動作を継続して動作することと、第2ブートプログラムをロードして動作することと、システムデータをロードしてオペレーティングシステムを動作することとを、含む。
図1を参照し、本発明の実施例は、さらに、記憶データ安全動作システムを提供する。前記記憶データ安全動作システムは、ホスト101、第1記憶装置200、第2記憶装置300を含む。前記第1記憶装置200、前記第2記憶装置300がそれぞれに前記ホスト101と通信可能に接続されている。ホスト101は、第1記憶装置200が検出された時に第1記憶装置200に予め記憶された安全管理プログラムをロードする。
ホスト101は、安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得する。
前記ホスト101は、暗号化の身分情報を前記第1記憶装置200に送信する。
前記第1記憶装置200は、身分情報を復号化して検証する。
前記ホスト101は、前記第1記憶装置200で身分情報を復号化し、検証が成功した後にシステムデータをロードし、システムデータに従ってオペレーティングシステムを動作する。
ここで、前記第1記憶装置200は、挿抜可能な記憶装置としてもよい。前記第1記憶装置200は、安全管理プログラムを記憶する第1記憶領域305を含む。ここで、第1記憶領域305は、第2記憶領域306のロックを解除した後にロック状態にある。第2記憶領域306は、身分情報を復号化して検証が成功する前にロック状態にある。第1記憶装置200は、ハードディスク又はハードディスクを内蔵したスマート端末を採用する。第1記憶装置200(即ち、第2記憶領域306)がロック状態(即ち、身分検証が成功する前)の場合には、ホスト101がアクセスする記憶領域は第1記憶領域305である。第1記憶領域305のサイズは実際に記憶されているデータ量に応じて予め置き、ホスト101のアクセスが第1記憶装置200を超える場合に、そのままオールゼロでデータを返す。第1記憶装置200がアンロック状態(第2記憶領域306がアンロック状態)である場合(即ち、認証成功後)には、第2記憶領域306にアクセスできる。
以上をまとめると、本発明が提供する記憶データ安全動作方法及びシステムは、第2記憶装置が検出された場合に前記第2記憶装置に予め記憶された暗号化の身分情報を取得することと、暗号化の身分情報を第1記憶装置に送信することと、第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、最後にシステムデータに基づいてオペレーティングシステムを動作することと、を含む。これにより、安全にオペレーティングシステムを動作するとともに、BIOSを拡張する必要がなく、人手で動作する必要がなく、ユーザ体験がよく、安全管理プログラムが第1記憶装置に予め記憶されてホストの記憶空間を節約する。
本明細書で提供されるいくつかの実施例において、記載の装置および方法は、他の方法でも実現されることが理解されている。上述の装置実施例は、単なる例示である。例えば、図面のフローチャート及びブロック図は、本発明の様々な実施例による装置、方法、及びコンピュータプログラム製品で実現可能なアーキテクチャ、機能及び動作を示す。この点に関して、フローチャート又はブロック図における各ブロックは、1つのモジュール、セグメント、又はコードの一部を表す。該モジュール、セグメント、又はコードは、規定の論理機能を実施する1つ又は複数の動作可能な命令を含む。いくつかの代りとする実装形態において、ブロックに記された機能は、図に記された順序とは異なる順序で奏してもよい。例えば、2つの連続するブロックは、実際に並列に動作されてもよいが、その機能に応じて逆順に動作されてもよい。なお、ブロック図及び/又はフローチャート図における各ブロック、並びにブロック図及び/又はフローチャート図のブロックの組み合わせは、規定の機能又は操作を動作する専用ハードウェアベースのシステムで実現されてもよく、又は専用ハードウェアとコンピュータ命令との組み合わせで実現されてもよい。
また、本発明の各実施例における各機能ブロックは、1つに統合されて独立した部分を形成してもよく、各ブロックが個別に存在してもよく、2つ以上のブロックが統合されて独立した部分を形成してもよい。
上記機能はソフトウェア機能モジュールの形態で実現され、独立した製品として販売または使用される場合には、コンピュータ読み取り可能な記憶媒体に記憶されてもよい。このような理解に基づいて、本発明の技術案は、本質的にあるいは従来技術に貢献する部分またはその一部を、ソフトウェア製品の形態で具体化する。該ソフトウェア製品は記憶媒体に記憶され、コンピュータ装置(パーソナルコンピュータ、サーバ、またはネットワーク装置などとすることができる)に、本発明の各実施例で説明された方法のステップの全部または一部を動作させる複数の命令を含む。また、上記記憶媒体としては、Uディスク、ポータブルハードディスク、ROM(Read-Only Memory)、RAM(Random Access Memory)、磁気ディスクまたは光ディスクなど種々プログラムコードが記憶可能な媒体含む。なお、本明細書では、第1、第2などの関係用語は、単に一の実体または操作と他の実体または操作とを区別するために使用されたものであり、必ずしも実体または操作の間で実際にそのような関係または順序が存在することを要求または暗示するものではない。さらに、「備える」、「含む」、またはそれらの任意の他の変形例は、非排他的な包含をカバーするように意図するものである。したがって、一連の要素を含むプロセス、方法、品目、または装置は、それらの要素だけでなく、明示的に列挙されていない他の要素も含む。または、そのようなプロセス、方法、品目、または装置に固有の要素も含む。これ以上に限定がないと前提にし、「……を含む」という表現によって定義される要素は、その要素に他の前記要素を含むプロセス、方法、物品、又は装置が存在することを除外しない。
以上の説明は、本発明の好ましい実施例に過ぎず、本発明を限定するものではない。当業者は種々の変更及び変形が可能である。本発明の主旨及び原理を逸脱しない範囲において、任意の修正、均等取り替え、改良等が行われるものは、本発明の保護範囲に含まれる。なお、以下の図面において同様の符号および文字は同様の項目を表しており、一度に定義された項目は以降の図面でさらに定義して説明される必要がない。
以上の説明は、本発明の具体的な実施例だけである。本発明の保護範囲は、これに限定されない。当業者は、本発明の技術範囲において変更又は置換を容易に想到するものが本発明の保護範囲に含まれる。したがって、本発明の保護範囲は、記載の請求項の保護範囲を基準として記載される。
なお、本明細書では、第1、第2などの関係用語は、単に一の実体または操作と他の実体または操作とを区別するために使用されたものであり、必ずしも実体または操作の間で実際にそのような関係または順序が存在することを要求または暗示するものではない。さらに、「備える」、「含む」、またはそれらの任意の他の変形例は、非排他的な包含をカバーするように意図するものである。したがって、一連の要素を含むプロセス、方法、品目、または装置は、それらの要素だけでなく、明示的に列挙されていない他の要素も含む。または、そのようなプロセス、方法、品目、または装置に固有の要素も含む。これ以上に限定がないと前提にし、「……を含む」という表現によって定義される要素は、その要素に他の前記要素を含むプロセス、方法、物品、又は装置が存在することを除外しない。
100 記憶データ安全動作装置;200 第1記憶装置;
300 第2記憶装置;101 ホスト;102 プロセッサ;
103 メモリ;104 メモリコントローラ;105 外部インタフェース;
106 表示モジュール;301 ロードユニット;302 動作ユニット;
303 読み取りユニット;304 情報送信ユニット;
305 第1記憶領域;306 第2記憶領域;401 検出サブモジュール;
402 読み取りサブモジュール;403 第1動作サブモジュール;
404 第1ロードサブモジュール;501 第2動作サブモジュール;
502 第2ロードサブモジュール;503 第3動作サブモジュール;
504 第3ロードサブモジュール。
300 第2記憶装置;101 ホスト;102 プロセッサ;
103 メモリ;104 メモリコントローラ;105 外部インタフェース;
106 表示モジュール;301 ロードユニット;302 動作ユニット;
303 読み取りユニット;304 情報送信ユニット;
305 第1記憶領域;306 第2記憶領域;401 検出サブモジュール;
402 読み取りサブモジュール;403 第1動作サブモジュール;
404 第1ロードサブモジュール;501 第2動作サブモジュール;
502 第2ロードサブモジュール;503 第3動作サブモジュール;
504 第3ロードサブモジュール。
Claims (10)
- 第1記憶装置が検出された時に、前記第1記憶装置に予め記憶された安全管理プログラムをロードすることと、
安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得することと、
暗号化の身分情報を前記第1記憶装置に送信することと、
前記第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、システムデータに基づいてオペレーティングシステムを動作することと、を含む
ことを特徴とする記憶データ安全動作方法。 - 安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得することは、
安全管理プログラムを動作して第2記憶装置を検出し、前記第2記憶装置が検出された時に前記第2記憶装置に予め記憶された暗号化の身分情報を読み取ること、を含む
ことを特徴とする請求項1に記載の記憶データ安全動作方法。 - 安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得することは、
安全管理プログラムを動作してホストに予め記憶された暗号化の身分情報を読み取ること、を含む
ことを特徴とする請求項1に記載の記憶データ安全動作方法。 - 前記第1記憶装置は、第1記憶領域及び第2記憶領域を含み、前記第1記憶装置は起動後に外部から見える空間が第1記憶領域であり、前記第1記憶領域は安全管理プログラムを予め記憶し、外部アクセスデータアドレスが第1記憶領域の空間のサイズより大きい場合に任意のデータを返送し、このときに前記第2記憶領域はロック状態として外部から見えなく、前記第2記憶領域は、実際に外部で利用可能な記憶空間であり、アンロック後に見えて利用可能であり、
前記第1記憶装置が検出された時に前記第1記憶装置に予め記憶された安全管理プログラムをロードすることは、
前記第1記憶装置が検出された時に、第1記憶領域に予め記憶された安全管理プログラムをロードことを含み、
前記第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、システムデータに基づいてオペレーティングシステムを動作する前には、前記記憶データ安全動作方法は、さらに、
前記第1記憶装置は、暗号化の身分情報を復号化して検証し、検証が成功した場合に前記第2記憶領域のロックを解除することを含む
ことを特徴とする請求項1に記載の記憶データ安全動作方法。 - 前記第2記憶領域のロックを解除した後に、前記記憶データ安全動作方法は、さらに、
前記第1記憶装置が前記第1記憶領域をロックすることを含む
ことを特徴とする請求項4に記載の記憶データ安全動作方法。 - 第1記憶装置が検出された時に、第1記憶装置に予め記憶された安全管理プログラムをロードすることは、
電源投入時に第1記憶装置を検出することと、
第1記憶装置の第1記憶領域に記憶されたブートプログラムを読み取ることと、
第1ブートプログラムを動作することと、
第1記憶装置に予め記憶された安全管理プログラムをロードすることと、を含む
ことを特徴とする請求項1に記載の記憶データ安全動作方法。 - 前記第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、システムデータに基づいてオペレーティングシステムを動作することは、
前記第1記憶装置で身分情報を復号化し、検証が成功した後に安全管理プログラムを継続して動作させることと、
第2ブートプログラムをロードして動作させることと、
システムデータをロードしてオペレーティングシステムを動作することと、を含む
ことを特徴とする請求項1に記載の記憶データ安全動作方法。 - ホストと、第1記憶装置とを含み、前記第1記憶装置は前記ホストと通信可能に接続され、前記ホストは、第1記憶装置が検出された時に第1記憶装置に予め記憶された安全管理プログラムをロードする、記憶データ安全動作システムであって、
前記ホストは、安全管理プログラムを動作し、予め記憶された暗号化の身分情報を取得し、
前記ホストは、暗号化の身分情報を前記第1記憶装置に送信し、
前記第1記憶装置は、身分情報を復号化して検証し、
前記ホストは、前記第1記憶装置で身分情報を復号化し、検証が成功した後にシステムデータをロードし、システムデータに基づいてオペレーティングシステムを動作する
ことを特徴とする記憶データ安全動作システム。 - 前記第1記憶装置は、第1記憶領域及び第2記憶領域を含み、
前記第1記憶領域は、安全管理プログラムを記憶し、前記第1記憶領域は、前記第2記憶領域がアンロックされた後にロック状態とし、
前記第2記憶領域は、システムデータを記憶し、前記第2記憶領域は、身分情報を復号化し、検証が成功する前にロック状態とする
ことを特徴とする請求項8に記載の記憶データ安全動作システム。 - 前記ホストに通信可能に接続され、前記ホストにより検出された後に前記ホストから送信された情報取得命令を受信し、暗号化の身分情報を前記ホストに送信する、第2記憶装置を、さらに備える
ことを特徴とする請求項8に記載の記憶データ安全動作システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810662749.0 | 2018-06-25 | ||
| CN201810662749.0A CN109033848B (zh) | 2018-06-25 | 2018-06-25 | 存储数据安全运行方法及系统 |
| PCT/CN2019/078366 WO2020001078A1 (zh) | 2018-06-25 | 2019-03-15 | 存储数据安全运行方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021530776A true JP2021530776A (ja) | 2021-11-11 |
| JP7141663B2 JP7141663B2 (ja) | 2022-09-26 |
Family
ID=64610566
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020573513A Active JP7141663B2 (ja) | 2018-06-25 | 2019-03-15 | 記憶データ安全動作方法及びシステム |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20210271608A1 (ja) |
| EP (1) | EP3805969B1 (ja) |
| JP (1) | JP7141663B2 (ja) |
| KR (1) | KR102450837B1 (ja) |
| CN (1) | CN109033848B (ja) |
| SG (1) | SG11202013085SA (ja) |
| WO (1) | WO2020001078A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109033848B (zh) * | 2018-06-25 | 2020-09-25 | 湖南国科微电子股份有限公司 | 存储数据安全运行方法及系统 |
| CN114978689A (zh) * | 2022-05-23 | 2022-08-30 | 江苏芯盛智能科技有限公司 | 存储设备远程管理方法、系统和存储设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009043036A (ja) * | 2007-08-09 | 2009-02-26 | Meidensha Corp | コンパクトフラッシュディスクの情報保護方式および情報保護方法 |
| JP2009076045A (ja) * | 2007-05-18 | 2009-04-09 | Mcm Portfolio Llc | 外部装置にセキュリティを提供するシステムおよび方法 |
| WO2009090734A1 (ja) * | 2008-01-16 | 2009-07-23 | I-O Data Device, Inc. | Usb可搬装置 |
| JP2011248474A (ja) * | 2010-05-24 | 2011-12-08 | Canon Electronics Inc | 記憶媒体、情報処理装置およびコンピュータプログラム |
| JP2016163173A (ja) * | 2015-03-02 | 2016-09-05 | 株式会社バッファロー | 情報処理システム、情報処理装置、記憶装置、情報処理装置における認証方法及びプログラム |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4867760B2 (ja) * | 2007-03-30 | 2012-02-01 | ソニー株式会社 | 情報処理装置および方法、並びに情報処理システム |
| GB2477774A (en) * | 2010-02-12 | 2011-08-17 | Icera Inc | Overriding production processor authentication restrictions through remote security unit for development code testing |
| US8589702B2 (en) * | 2010-05-28 | 2013-11-19 | Dell Products, Lp | System and method for pre-boot authentication of a secure client hosted virtualization in an information handling system |
| CN102663279A (zh) * | 2012-03-16 | 2012-09-12 | 苏州优康通信设备有限公司 | 一种实现保护个人信息的开机锁方法 |
| US20130297924A1 (en) * | 2012-04-03 | 2013-11-07 | Insyde Software | Method of running multiple operating systems on an x86-based computer |
| US9710651B2 (en) * | 2015-04-10 | 2017-07-18 | Vixs Systems Inc. | Secure processor for SoC initialization |
| CN106293780B (zh) * | 2015-05-14 | 2019-11-12 | 深圳市祈飞科技有限公司 | 基于uefi bios实现计算机自动开关机的方法 |
| CN106909848A (zh) * | 2015-12-22 | 2017-06-30 | 中电科技(北京)有限公司 | 一种基于bios扩展的计算机安全增强系统及其方法 |
| CN106095468B (zh) * | 2016-07-20 | 2019-07-19 | 杭州华澜微电子股份有限公司 | 一种计算机启动方法及装置 |
| CN106657052B (zh) * | 2016-12-16 | 2020-04-24 | 湖南国科微电子股份有限公司 | 一种存储数据的访问管理方法及系统 |
| US11507283B1 (en) * | 2016-12-20 | 2022-11-22 | Amazon Technologies, Inc. | Enabling host computer systems to access logical volumes by dynamic updates to data structure rules |
| CN107066868A (zh) * | 2017-03-28 | 2017-08-18 | 北京洋浦伟业科技发展有限公司 | 一种基于身份认证的数据保护方法与装置 |
| CN107092838A (zh) * | 2017-03-30 | 2017-08-25 | 北京洋浦伟业科技发展有限公司 | 一种硬盘的安全访问控制方法及一种硬盘 |
| US11017102B2 (en) * | 2017-09-12 | 2021-05-25 | Sophos Limited | Communicating application information to a firewall |
| CN109033848B (zh) * | 2018-06-25 | 2020-09-25 | 湖南国科微电子股份有限公司 | 存储数据安全运行方法及系统 |
-
2018
- 2018-06-25 CN CN201810662749.0A patent/CN109033848B/zh active Active
-
2019
- 2019-03-15 SG SG11202013085SA patent/SG11202013085SA/en unknown
- 2019-03-15 WO PCT/CN2019/078366 patent/WO2020001078A1/zh unknown
- 2019-03-15 EP EP19826805.4A patent/EP3805969B1/en active Active
- 2019-03-15 JP JP2020573513A patent/JP7141663B2/ja active Active
- 2019-03-15 US US17/256,063 patent/US20210271608A1/en not_active Abandoned
- 2019-03-15 KR KR1020217002223A patent/KR102450837B1/ko active IP Right Grant
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009076045A (ja) * | 2007-05-18 | 2009-04-09 | Mcm Portfolio Llc | 外部装置にセキュリティを提供するシステムおよび方法 |
| JP2009043036A (ja) * | 2007-08-09 | 2009-02-26 | Meidensha Corp | コンパクトフラッシュディスクの情報保護方式および情報保護方法 |
| WO2009090734A1 (ja) * | 2008-01-16 | 2009-07-23 | I-O Data Device, Inc. | Usb可搬装置 |
| JP2011248474A (ja) * | 2010-05-24 | 2011-12-08 | Canon Electronics Inc | 記憶媒体、情報処理装置およびコンピュータプログラム |
| JP2016163173A (ja) * | 2015-03-02 | 2016-09-05 | 株式会社バッファロー | 情報処理システム、情報処理装置、記憶装置、情報処理装置における認証方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3805969A4 (en) | 2022-03-09 |
| CN109033848B (zh) | 2020-09-25 |
| KR20210024070A (ko) | 2021-03-04 |
| JP7141663B2 (ja) | 2022-09-26 |
| EP3805969A1 (en) | 2021-04-14 |
| KR102450837B1 (ko) | 2022-10-04 |
| SG11202013085SA (en) | 2021-01-28 |
| US20210271608A1 (en) | 2021-09-02 |
| EP3805969B1 (en) | 2024-03-06 |
| WO2020001078A1 (zh) | 2020-01-02 |
| CN109033848A (zh) | 2018-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9507964B2 (en) | Regulating access using information regarding a host machine of a portable storage drive | |
| US9875368B1 (en) | Remote authorization of usage of protected data in trusted execution environments | |
| US8683232B2 (en) | Secure user/host authentication | |
| US8572392B2 (en) | Access authentication method, information processing unit, and computer product | |
| US9336402B2 (en) | Secure data in removable storage devices via encryption token(s) | |
| US9762396B2 (en) | Device theft protection associating a device identifier and a user identifier | |
| US20180357406A1 (en) | Management system for self-encrypting managed devices with embedded wireless user authentication | |
| US10616215B1 (en) | Virtual smart card to perform security-critical operations | |
| US20030009687A1 (en) | Method and apparatus for validating integrity of software | |
| US20090254762A1 (en) | Access control for a memory device | |
| EP3241335A2 (en) | Method and apparatus for securing a mobile application | |
| US20200026882A1 (en) | Methods and systems for activating measurement based on a trusted card | |
| JP2016531508A (ja) | データセキュアストレージ | |
| WO2010005425A1 (en) | Systems and method for data security | |
| US8296841B2 (en) | Trusted platform module supported one time passwords | |
| WO2015082395A1 (en) | System and method for securing offline usage of a certificate by otp system | |
| CN107958155A (zh) | 一种系统初始化方法和装置 | |
| US20050125698A1 (en) | Methods and systems for enabling secure storage of sensitive data | |
| US20120023139A1 (en) | Intelligent attached storage | |
| JP7141663B2 (ja) | 記憶データ安全動作方法及びシステム | |
| CN108319848B (zh) | 开机控制方法和装置 | |
| CN117176357A (zh) | 一种基于智能密码钥匙的多因子认证加密存储方法及系统 | |
| GB2434887A (en) | Access control by encrypting stored data with a key based on a "fingerprint" of the device storing the data | |
| TW200841206A (en) | Method and system for secure external TPM password generation and use | |
| WO2005050456A1 (en) | Security arrangement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220222 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220510 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220823 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220901 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7141663 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |