JP5362114B2 - 保安usb記憶媒体生成及び復号化方法、並びに保安usb記憶媒体生成のためのプログラムが記録された媒体 - Google Patents

保安usb記憶媒体生成及び復号化方法、並びに保安usb記憶媒体生成のためのプログラムが記録された媒体 Download PDF

Info

Publication number
JP5362114B2
JP5362114B2 JP2012525494A JP2012525494A JP5362114B2 JP 5362114 B2 JP5362114 B2 JP 5362114B2 JP 2012525494 A JP2012525494 A JP 2012525494A JP 2012525494 A JP2012525494 A JP 2012525494A JP 5362114 B2 JP5362114 B2 JP 5362114B2
Authority
JP
Japan
Prior art keywords
storage medium
secure
usb
usb storage
header
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012525494A
Other languages
English (en)
Other versions
JP2013502817A (ja
Inventor
デゴル ユ
セチョル オ
Original Assignee
エムダブリュー ストーリー カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エムダブリュー ストーリー カンパニー リミテッド filed Critical エムダブリュー ストーリー カンパニー リミテッド
Publication of JP2013502817A publication Critical patent/JP2013502817A/ja
Application granted granted Critical
Publication of JP5362114B2 publication Critical patent/JP5362114B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2213/00Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F2213/0038System on Chip
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Description

本発明は保安USB(universal serial bus)記憶媒体生成及び復号化方法、及び保安USB記憶媒体生成のためのプログラムが記録された媒体に関するもので、より詳細には、保安機能を有するUSB記憶媒体を生成し、保安USB記憶媒体へのアクセス権限を強化し、破棄されたUSB記憶媒体を復元して再使用できる方法、及び保安USB記憶媒体を生成できるプログラムが記録された媒体に関するものである。
USB記憶媒体は代表的な移動記憶装置であって、いつでもどこでも必要なデータを使用することができるように作られたものである。これは携帯が簡便であり、且つ使用が容易であるので、ファイルを記憶するために広く使用している。
従来のUSB記憶媒体は誰でも容易に装置内のデータを読み取ったり書き込んだりできるので、紛失時重要なデータが流出する恐れがあった。したがって、保安機能を強化したUSB記憶媒体が発売されているが、これは全て特定人の使用アクセスを遮断できる機能を有しているのみか、またはハッカーのボリュームダンプ(volume dump)などの攻撃から情報を完全に保護することは難しい問題点がある。
本発明は前述したような従来のUSB記憶媒体の脆弱点である保安問題を解決するためになされたもので、その第1の目的は、USB記憶媒体にアクセスしてディスクダンプなどを通じてUSB記憶媒体に記憶された内容を読み取ることができないようにするためのUSB保安ボリュームの生成方法、及びこのような生成方法を行うことができるコンピュータで読み取り可能な記録媒体を提供することにある。
本発明の第2の目的は、保安が設定されたUSB記憶媒体に記憶されたデータを読み取るために不当にアクセスする場合、データが記憶された領域にアクセスすることを遮断して、保安を強化できる保安USB記憶媒体の保安ボリューム及びヘッダー破棄方法を提供することにある。
本発明の第3の目的は、ヘッダーが破棄されたUSB記憶媒体に対して正当なアクセス時破棄されたUSB記憶媒体を再使用することができるようにする破棄された保安USB記憶媒体のヘッダー復元方法を提供することにある。
前述の目的を達成するための本発明の実施形態に係る保安USB記憶媒体生成方法は、USB接続ポート、入力インターフェース、出力インターフェース、記憶部、及びホスト制御部を備えるUSBホストユニットが、USBインターフェース、記憶領域、及びUSB制御部を備えるUSB記憶媒体を暗号化して保安USB記憶媒体を生成する方法であって、前記ホスト制御部が、a)前記USB接続ポートにおける前記USBインターフェースの接続を検知すると、前記出力インターフェースを通じて設定するユーザパスワード(以下、「第1のユーザパスワード」という)の入力を要請する情報を出力する段階;b)前記第1のユーザパスワードの入力要請に対応して前記入力インターフェースから前記第1のユーザパスワードが入力されると、入力された前記第1のユーザパスワードに基づいてランダムキー及びディスクキーを生成する段階;c)前記ランダムキー及びディスクキーが生成されると、前記第1のユーザパスワードと前記ランダムキーをハッシュして暗復号化キー(以下、「第1の暗復号化キー」という)を生成する段階;及びd)前記第1の暗復号化キーを用いて前記記憶領域をヘッダーと本体部に分けて、第1のデータを暗号化し、これを前記ヘッダーに記憶して保安ボリュームヘッダーを生成し、前記ディスクキーを用いて第2のデータを暗号化し、これを前記本体部に記憶して保安ボリューム本体部を生成する段階を含んで構成される。
この実施形態において、前記d)段階で前記保安ボリューム本体部を生成することは、前記ホスト制御部が、前記USB記憶媒体の記憶領域に割り当てられた前記本体部に記録する前記第2のデータをセクターI/Oドライバーを用いてセクター単位で暗号化し、これを前記本体部に記憶する過程を通じて前記保安ボリューム本体部を生成する段階を含む。
この実施形態に係る保安USB記憶媒体生成方法は、前記ホスト制御部が、前記ランダムキー及び前記ディスクキーを含んで所定の前記第1のデータが前記USB記憶媒体の記憶領域に割り当てられた前記ヘッダーに記憶されるように前記USB制御部に伝送する段階をさらに含む。
この実施形態において、前記ホスト制御部が、前記USB制御部により前記記憶領域のヘッダーに記憶される前記第1のデータのうち前記ランダムキー以外のデータを暗号化して前記USB制御部に伝送する。
この実施形態において、前記a)段階は、前記ホスト制御部が、前記USB記憶媒体の接続経路の入力要請やクイックフォーマット可否の確認要請を行う情報を前記出力インターフェースを通じて出力する段階を含む。
この実施形態において、前記USB記憶媒体はUSBメモリスティックまたはUSB外部ハードドライブである。また、前記USB記憶媒体がUSBメモリスティックの場合、前記USB記憶媒体の記憶領域には前記セクターI/Oドライバーが搭載されるCD領域が形成され、前記第1のデータが前記記憶領域の本体部に入出力されるとき、前記セクターI/Oドライバーにより前記第1のデータが暗復号化される。
本実施形態に係る保安USB記憶媒体生成方法は、前記a)段階で、前記第1のユーザパスワードの入力要請前に、前記ホスト制御部が、前記セクターI/Oドライバーを前記記憶部に設ける段階をさらに含む。これによって、前記第1のデータが前記記憶領域の本体部に入出力されるとき、前記記憶部に設けられた前記セクターI/Oドライバーにより前記第1のデータが暗復号化される。
一方、前述の目的を達成するための本発明の実施形態に係る保安USB記憶媒体マウント方法は、本発明により生成された前記保安USB記憶媒体をマウントする方法であって、前記ホスト制御部が、USB接続ポートにおけるUSBインターフェースの接続を検知すると、出力インターフェースを通じてユーザパスワード(以下、「第2のユーザパスワード」という)の入力を要請する情報を出力する段階;入力インターフェースから前記第2のユーザパスワードが入力されると、入力された前記第2のユーザパスワードと前記保安ボリュームヘッダーに記憶された前記ランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第2の暗復号化キー」という)を生成する段階;生成された前記第2の暗復号化キーを用いて前記保安ボリュームヘッダーを復号化する段階;及び前記保安ボリュームヘッダーが正常に復号化されると、前記保安ボリュームヘッダー内に記憶された前記ディスクキーを抽出して前記保安ボリューム本体部にマウントする段階を含む。
また、前述の目的を達成するための本発明の実施形態に係る保安USB記憶媒体の保安ボリューム破棄方法は、本発明により生成された前記保安USB記憶媒体の保安ボリュームを破棄する方法であって、前記ホスト制御部が、USB接続ポートにおけるUSBインターフェースの接続を検知すると、出力インターフェースを通じてユーザパスワード(以下、「第3のユーザパスワード」という)の入力を要請する情報を出力する段階;入力インターフェースから前記第3のユーザパスワードが入力されると、入力された前記第3のユーザパスワードと前記保安ボリュームヘッダーに記憶された前記ランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第3の暗復号化キー」という)を生成する段階;生成された前記第3の暗復号化キーを用いて前記保安ボリュームヘッダーを復号化する段階;及び前記保安ボリュームヘッダーが正常に復号化されないと、保安ボリューム本体部に記録された第2のデータをランダム値で上書きする段階を含んで構成される。
さらに、前述の目的を達成するための本発明の実施形態に係る保安USB記憶媒体の保安ボリュームヘッダー破棄方法は、本発明により生成された前記保安USB記憶媒体の保安ボリュームヘッダーを破棄する方法であって、前記ホスト制御部が、USB接続ポートにおけるUSBインターフェースの接続を検知すると、出力インターフェースを通じてユーザパスワード(以下、「第3のユーザパスワード」という)の入力を要請する情報を出力する段階;入力インターフェースから前記第3のユーザパスワードが入力されると、入力された前記第3のユーザパスワードと前記保安ボリュームヘッダーに記憶された前記ランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第3の復号化キー」という)を生成する段階;生成された前記第3の暗復号化キーを用いて前記保安ボリュームヘッダーを復号化する段階;及び前記保安ボリュームヘッダーが正常に復号化されないと、前記保安ボリュームヘッダー内に記憶された前記第1のデータを任意のデータにリセットする段階を含んで構成される。
またさらに、前述の目的を達成するための本発明の実施形態に係る保安USB記憶媒体の保安ボリュームヘッダーの復元方法は、本発明により生成された前記保安USB記憶媒体の保安ボリュームヘッダーが破棄された場合、前記保安USB記憶媒体の保安ボリュームヘッダーを復元する方法であって、前記ホスト制御部が、USB接続ポートにおけるUSBインターフェースの接続を検知すると、入力インターフェースを通じて前記保安USB記憶媒体の保安ボリュームヘッダー復元要請情報の受信可否を判断する段階;前記保安USB記憶媒体の保安ボリュームヘッダー復元要請情報が受信されると、記憶部からの前記復元要請によって復元しようとする前記保安USB記憶媒体の保安ボリュームヘッダーを検索する段階;復元しようとする前記保安USB記憶媒体の保安ボリュームヘッダーが検索されると、出力インターフェースを通じてユーザパスワード(以下、「第4のユーザパスワード」という)の入力を要請する情報を出力する段階;前記入力インターフェースから前記第4のユーザパスワードが入力されると、入力された前記第4のユーザパスワードと前記記憶部に記憶された前記保安ボリュームヘッダーに記憶された前記ランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第4の暗復号化キー」という)を生成する段階;生成された前記第4の暗復号化キーを用いて前記保安ボリュームヘッダーを復号化する段階;及び前記保安ボリュームヘッダーが正常に復号化されると、復号化された前記保安USB記憶媒体の保安ボリュームヘッダー内に記憶された所定の前記第1のデータを破棄された前記保安USB記憶媒体の保安ボリュームヘッダー内に記録する段階を含んで構成される。
本発明によれば、USB記憶媒体の記憶領域のうち、ヘッダーの一部領域と本体部を暗号化アルゴリズムを用いてセクター単位で暗復号化し、暗号化された本体部にアクセスできる暗復号化キーを暗号化されたヘッダー領域に記憶することによって、保安ボリュームの生成時入力したユーザパスワードを入力しなければディスクダンプなどを通じてUSB記憶媒体に記憶された内容を読み取れないようにすることによって、USB記憶媒体の保安を強化できる。
また、本発明によって保安されたUSB記憶媒体を盗んだ者など、正当使用権限がない者がデータが記憶された保安ボリューム本体部へのアクセスを試みる場合、最初に保安ボリュームの生成のために入力したユーザパスワードと異なるパスワードを入力すると、保安ボリュームヘッダーを任意のデータにリセットすることで、保安ボリューム本体部にアクセスできるキーを抽出できないようにして、USB記憶媒体を紛失した場合USB記憶媒体内に記憶されたデータの流出を防止することができる。
さらに、本発明によってUSB記憶媒体の保安ボリュームヘッダーが破棄された場合、USBホストユニットまたは外部記憶装置に保管された保安ボリュームヘッダーの情報をそのまま破棄された保安ボリュームヘッダーに記録して破棄された保安ボリュームヘッダーを復元できるようにすることによって、正当ユーザが破棄された保安USB記憶媒体を再使用することができる。
[本発明1001]
USB接続ポート、入力インターフェース、出力インターフェース、記憶部、及びホスト制御部を備えるUSBホストユニットが、USBインターフェース、記憶領域、及びUSB制御部を備えるUSB記憶媒体を暗号化して保安USB記憶媒体を生成する方法であって、前記ホスト制御部が、
a)前記USB接続ポートにおける前記USBインターフェースの接続を検知すると、前記出力インターフェースを通じて設定するユーザパスワード(以下、「第1のユーザパスワード」という)の入力を要請する情報を出力する段階;
b)前記第1のユーザパスワードの入力要請に対応して前記入力インターフェースから前記第1のユーザパスワードが入力されると、入力された前記第1のユーザパスワードに基づいてランダムキー及びディスクキーを生成する段階;
c)前記ランダムキー及びディスクキーが生成されると、前記第1のユーザパスワードと前記ランダムキーをハッシュして暗復号化キー(以下、「第1の暗復号化キー」という)を生成する段階;及び
d)前記第1の暗復号化キーを用いて前記記憶領域をヘッダーと本体部に分けて、第1のデータを暗号化し、これを前記ヘッダーに記憶して保安ボリュームヘッダーを生成し、前記ディスクキーを用いて第2のデータを暗号化し、これを前記本体部に記憶して保安ボリューム本体部を生成する段階を含む、前記生成する方法。
[本発明1002]
前記d)段階で前記保安ボリューム本体部を生成することは、前記ホスト制御部が、
前記USB記憶媒体の記憶領域に割り当てられた前記本体部に記録する前記第2のデータをセクターI/Oドライバーを用いてセクター単位で暗号化し、これを前記本体部に記憶する過程を通じて前記保安ボリューム本体部を生成する段階を含むことを特徴とする、本発明1001の保安USB記憶媒体を生成する方法。
[本発明1003]
前記ホスト制御部が、前記ランダムキー及び前記ディスクキーを含んで所定の前記第1のデータが前記USB記憶媒体の記憶領域に割り当てられた前記ヘッダーに記憶されるように前記USB制御部に伝送する段階をさらに含むことを特徴とする、本発明1002の保安USB記憶媒体を生成する方法。
[本発明1004]
前記ホスト制御部が、前記USB制御部により前記記憶領域のヘッダーに記憶される前記第1のデータのうち前記ランダムキー以外のデータを暗号化して前記USB制御部に伝送することを特徴とする、本発明1003の保安USB記憶媒体を生成する方法。
[本発明1005]
前記a)ユーザパスワードの入力を要請する情報を出力する段階において、前記ホスト制御部が、前記USB記憶媒体の接続経路の入力要請やクイックフォーマット可否の確認要請を行う情報を前記出力インターフェースを通じて出力する段階を含むことを特徴とする、本発明1001の保安USB記憶媒体を生成する方法。
[本発明1006]
前記USB記憶媒体はUSBメモリスティックまたはUSB外部ハードドライブであることを特徴とする、本発明1002の保安USB記憶媒体を生成する方法。
[本発明1007]
前記USB記憶媒体がUSBメモリスティックの場合、前記USB記憶媒体の記憶領域には前記セクターI/Oドライバーが搭載されるCD領域が形成され、
前記第1のデータが前記記憶領域の本体部に入出力されるとき、前記セクターI/Oドライバーにより前記第1のデータが暗復号化されることを特徴とする、本発明1006の保安USB記憶媒体を生成する方法。
[本発明1008]
前記a)ユーザパスワードの入力を要請する情報を出力する段階において、前記第1のユーザパスワードの入力要請前に、前記ホスト制御部が、
前記セクターI/Oドライバーを前記記憶部に設ける段階をさらに含み、
前記第1のデータが前記記憶領域の本体部に入出力されるとき、前記記憶部に設けられた前記セクターI/Oドライバーにより前記第1のデータが暗復号化されることを特徴とする、本発明1002の保安USB記憶媒体を生成する方法。
[本発明1009]
前記ホスト制御部が、生成された前記保安ボリュームヘッダーに含まれた前記第1のデータを前記記憶部または外部記憶装置に記憶する段階をさらに含み、
記憶した前記第1のデータを用いて前記保安ボリュームヘッダーに記憶された暗号化された前記第1のデータを復元することを特徴とする、本発明1002の保安USB記憶媒体を生成する方法。
[本発明1010]
本発明1001の保安USB記憶媒体を生成する方法により生成された保安USB記憶媒体。
[本発明1011]
本発明1004の方法により生成された前記保安USB記憶媒体をマウントする方法であって、前記ホスト制御部が、
USB接続ポートにおけるUSBインターフェースの接続を検知すると、出力インターフェースを通じてユーザパスワード(以下、「第2のユーザパスワード」という)の入力を要請する情報を出力すること;
入力インターフェースから前記第2のユーザパスワードが入力されると、入力された前記第2のユーザパスワードと前記保安ボリュームヘッダーに記憶された前記ランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第2の暗復号化キー」という)を生成すること;
生成された前記第2の暗復号化キーを用いて前記保安ボリュームヘッダーを復号化すること;及び
前記保安ボリュームヘッダーが正常に復号化されると、前記保安ボリュームヘッダー内に記憶された前記ディスクキーを抽出して前記保安ボリューム本体部にマウントすること
ができるようにする、前記保安USB記憶媒体をマウントする方法。
[本発明1012]
前記保安ボリューム本体部をマウントする段階において、前記ホスト制御部は、前記セクターI/Oドライバーを通じて前記保安ボリューム本体部に対する特定セクターまたは全てのセクターに記憶された前記第2のデータを復号化することを特徴とする、本発明1011の保安USB記憶媒体をマウントする方法。
[本発明1013]
本発明1004の方法により生成された前記保安USB記憶媒体の保安ボリュームを破棄する方法であって、前記ホスト制御部が、
USB接続ポートにおけるUSBインターフェースの接続を検知すると、出力インターフェースを通じてユーザパスワード(以下、「第3のユーザパスワード」という)の入力を要請する情報を出力すること;
入力インターフェースから前記第3のユーザパスワードが入力されると、入力された前記第3のユーザパスワードと前記保安ボリュームヘッダーに記憶された前記ランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第3の暗復号化キー」という)を生成すること;
生成された前記第3の暗復号化キーを用いて前記保安ボリュームヘッダーを復号化すること;及び
前記保安ボリュームヘッダーが正常に復号化されないと、保安ボリューム本体部に記録された第2のデータをランダム値で上書きすること
ができるようにする、前記保安USB記憶媒体の保安ボリュームを破棄する方法。
[本発明1014]
本発明1004の方法により生成された前記保安USB記憶媒体の保安ボリュームヘッダーを破棄する方法であって、前記ホスト制御部が、
USB接続ポートにおけるUSBインターフェースの接続を検知すると、出力インターフェースを通じてユーザパスワード(以下、「第3のユーザパスワード」という)の入力を要請する情報を出力する段階;
入力インターフェースから前記第3のユーザパスワードが入力されると、入力された前記第3のユーザパスワードと前記保安ボリュームヘッダーに記憶された前記ランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第3の復号化キー」という)を生成する段階;
生成された前記第3の暗復号化キーを用いて前記保安ボリュームヘッダーを復号化する段階;及び
前記保安ボリュームヘッダーが正常に復号化されないと、前記保安ボリュームヘッダー内に記憶された前記第1のデータを任意のデータにリセットする段階を含むことを特徴とする、前記保安USB記憶媒体の保安ボリュームヘッダーを破棄する方法。
[本発明1015]
本発明1004の方法により生成された前記保安USB記憶媒体の保安ボリュームヘッダーが破棄された場合、前記保安USB記憶媒体の保安ボリュームヘッダーを復元する方法であって、前記ホスト制御部が、
USB接続ポートにおけるUSBインターフェースの接続を検知すると、入力インターフェースを通じて前記保安USB記憶媒体の保安ボリュームヘッダー復元要請情報の受信可否を判断する段階;
前記保安USB記憶媒体の保安ボリュームヘッダー復元要請情報が受信されると、記憶部からの前記復元要請によって復元しようとする前記保安USB記憶媒体の保安ボリュームヘッダーを検索する段階;
復元しようとする前記保安USB記憶媒体の保安ボリュームヘッダーが検索されると、出力インターフェースを通じてユーザパスワード(以下、「第4のユーザパスワード」という)の入力を要請する情報を出力する段階;
前記入力インターフェースから前記第4のユーザパスワードが入力されると、入力された前記第4のユーザパスワードと前記記憶部に記憶された前記保安ボリュームヘッダーに記憶された前記ランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第4の暗復号化キー」という)を生成する段階;
生成された前記第4の暗復号化キーを用いて前記保安ボリュームヘッダーを復号化する段階;及び
前記保安ボリュームヘッダーが正常に復号化されると、復号化された前記保安USB記憶媒体の保安ボリュームヘッダー内に記憶された所定の前記第1のデータを破棄された前記保安USB記憶媒体の保安ボリュームヘッダー内に記録する段階を含むことを特徴とする、前記保安USB記憶媒体の保安ボリュームヘッダーを復元する方法。
[本発明1016]
USB記憶媒体をUSBホストユニットに接続すると、ユーザに設定するユーザパスワードの入力を要請する段階、
前記ユーザパスワードが入力されると、ランダムキーを生成すると共に、前記USB記憶媒体の記憶領域に割り当てられた本体部を暗復号化するためのディスクキーを生成する段階、
前記ユーザパスワードと前記ランダムキーをハッシュして暗復号化キーを生成する段階、
前記暗復号化キーを用いて前記USB記憶媒体の記憶領域に割り当てられたヘッダーを暗号化して保安ボリュームヘッダーを生成する段階、および
前記ディスクキーを用いて前記記憶領域に割り当てられた前記本体部を暗号化して保安ボリューム本体部を生成する機能を実現する段階
を含む、プログラムを記録するためのコンピュータ読み取り可能な媒体。
[本発明1017]
前記I/Oドライバーが前記USBホストユニットまたは前記USB記憶媒体にハードウェア形式でモジュール化して搭載されることを特徴とする、本発明1007の保安USB記憶媒体を生成する方法。
本発明の一実施形態によって保安USB記憶媒体の生成過程において記憶領域に対して保安ボリュームが生成される例を示した図面である。 本発明の一実施形態に係る保安ボリュームの生成方法を説明するための順序図である。 本発明の一実施形態に係る保安ボリュームマウント方法を説明するための図面である。 本発明の一実施形態に係る保安ボリュームヘッダーの復元方法を説明するための順序図である。 本発明の実施形態によって保安ボリュームの生成及びマウント、並びに保安ボリュームヘッダー復元のためのエージェントプログラムをハードウェア的に実現したシステムの構成例を示したブロック図である。 本発明の実施形態によって図5のUSBホストユニットが適用されるコンピュータの構成例を示した図面である。
以下、添付図面を参照して本発明の実施形態をより詳細に説明する。図面において、明細書全体を通して同一または類似する構成要素については同一の参照符号を付し、その重複説明や本発明の要旨を不明にする公知の機能及び構成についての詳細な説明は適宜省略する。
図1は本発明の実施形態によって保安USB記憶媒体の生成過程において記憶領域に対して保安ボリュームが生成される例を示した図面である。
本発明において、記憶領域100を備えたUSB記憶媒体はインターフェースを備えた全ての記憶装置を意味するものであって、USBインターフェースを備えた外部ハードドライブを含む。ただし、外部ハードディスクの場合、一般的にCD領域が別途に形成されていないので、各USB記憶媒体の特性によって下記保安ボリュームの生成方法が少しずつ変わるようになる。
図1を参照すれば、本発明に係る保安USB記憶媒体の記憶領域100はUSB記憶媒体を製作するとき、CD領域110が形成されるように製造する。
CD領域110は変形が生じてはならないデータが記憶されている領域であって、このCD領域110にはUSBホストユニットにUSB記憶媒体が接続された状態で、自動で記憶されたデータに対するローディングが実行(auto-play)できるように構成する。また、CD領域110には保安USB記憶媒体の生成のための所定の機能を行うエージェントプログラム及び、記憶領域100をセクター単位で暗復号化を行うセクターI/Oドライバーが搭載されている。この時、セクターI/OドライバーはUSBホストユニットにも設けなければならない。CD領域110を別途に備えていないUSB記憶媒体の場合、エージェントプログラムやセクターI/OドライバーはUSBホストユニットに設けることができる。
本発明において、「USBホストユニット」とは通常のコンピュータ装置を意味するもので、PC、サーバーコンピュータ、PDAまたは携帯電話、スマートフォン、ゲーム機、及びIPTVセットトップボックスなどのように、USB記憶媒体を接続して相互通信が可能なUSB接続ポートを備えている全ての電子装置を指す。
USB記憶媒体の記憶領域100はエージェントプログラムが搭載されるCD領域110とデータ記憶領域120からなっている。次に、データ記憶領域120はエージェントプログラムによりヘッダー121と本体部(body part)123に分けられ、ヘッダー121と本体部123は保安ボリューム領域に変形生成される。保安ボリューム領域はヘッダー121と本体部123に対応して保安ボリュームヘッダー122と保安ボリューム本体部124に変形生成される。この時、保安ボリュームヘッダー122は非暗号化領域122aと暗号化領域122bに区分して形成する。
本発明において、エージェントプログラムは保安ボリュームヘッダー122に記憶された暗復号化キーを用いて保安ボリューム本体部124にアクセスできるだけでなく、後述する保安ボリュームマウント、保安ボリューム復号化の不能化及び保安ボリューム破棄動作を直接実行及び制御する。
セクターI/Oドライバーは保安ボリューム本体部124に記憶されたデータを入出力してセクター別に暗復号化を可能にするドライバーである。すなわち、セクターI/Oドライバーは特定ファイルを記憶するとき、そのファイルが記憶されるセクターを暗号化し、暗号化されたセクターデータを記憶し、特定ファイルに該当するセクターを読み取るときセクター単位で復号化を行って、暗号化されないセクターデータを作って画面を通じて表示する機能を行う。
したがって、このようなセクターI/Oドライバーによって特定データに対してセクター別書き込み/読み取り動作と同時に暗復号化を行うので、データの暗復号化に要する時間を大幅に短縮させることができる。
データ記憶領域120は保安ボリュームが生成される前には一般O/Sのファイルシステムに該当する。保安ボリュームが生成されると、ファイルなどが記憶されるファイルシステムに対応する保安ボリューム本体部124と、所定の情報が記憶される保安ボリュームヘッダー122に分かれる。
保安ボリュームヘッダー122の非暗号化領域122aにはランダムキー(random key)のソルトキー(salt key)が記憶され、暗号化領域122bにはその他の各種情報及びデータが記憶される。例えば、暗号化領域122bには保安ボリュームヘッダー122のバージョン情報、エージェントプログラムのバージョン情報、保安ボリューム生成時間、媒体管理番号、保安ボリューム本体部124のサイズ情報、保安ボリューム本体部124を暗復号化するためのディスクキーなどが記憶することができる。
記憶領域100にCD領域110が形成されないUSB記憶媒体の場合、保安ボリュームヘッダー122には保安ボリュームヘッダー122に該当しているかを確認することができる署名値を記憶することができる。このような署名値はUSBホストユニットに設けられたエージェントプログラムが提供するものであって、各USB記憶媒体の固有値に該当する。したがって、後述する保安ボリュームのマウント時有用に使用することができる。
USB記憶媒体の記憶領域100には本発明によって特定機能を行うエージェントプログラムとセクターI/Oドライバーなどによりセクター単位で暗復号化された保安ボリューム122、124が生成されて作られる。以下、本発明の実施形態に係る保安ボリュームの生成方法について図2を参照して説明する。図2は本発明の実施形態に係る保安ボリュームの生成方法を説明するための順序図である。
まず、保安ボリューム122、124の生成のためにエージェントプログラム及びセクターI/OドライバーをCD領域110に搭載したりUSBホストユニットに設けなければならない。CD領域110にエージェントプログラムが搭載されていても、USBホストユニットにより強力なエージェントプログラムを設けることができ、この場合USBホストユニットに設けられたエージェントプログラムがCD領域110に設けられたエージェントプログラムに優先して動作することが好ましい。
図2を参照すれば、エージェントプログラムはユーザに、記憶領域100に保安を設定するためのユーザパスワード(以下、他の過程で入力されるユーザパスワードと区別するためにこれを「第1のユーザパスワード」という)の入力を要請する(S210)。この時、エージェントプログラムはユーザに、USB記憶媒体の接続経路の入力を要請したりUSB記憶媒体をクイックフォーマットを行うか、または通常フォーマットを行うかをチェックするように要求できる。
ユーザから第1のユーザパスワードが入力されると、エージェントプログラムは乱数発生器を用いてランダムキーのソルトキーを生成する(S220)。ここでソルトキーは記憶領域100のヘッダー121を暗復号化するための暗復号化キーを生成するのに用いる。
また、エージェントプログラムは第1のユーザパスワードが入力されると、記憶領域100の本体部123を暗号化したり暗号化された保安ボリューム本体部124を復号化することのできるディスクキー(disk key)を生成する(S220)。
次に、エージェントプログラムは入力された第1のユーザパスワードと、ソルトキーをSHA1、AHA512、RIPEMD160、WHIRLPOOLなどのようなハッシングアルゴリズムを繰り返し行って記憶領域100のヘッダー121を暗復号化できる暗復号化キー(以下、今後マウント過程で生成される暗復号化キーと区別するために、これを「第1の暗復号化キー」という)を生成する(S220)。
S220段階で、生成されたソルトキー及びディスクキーはヘッダー121に記憶され、それ以外にも既に言及した所定の情報がヘッダー121に記憶される。
次に、S220段階で生成された第1の暗復号化キーと暗号化アルゴリズムを用いてヘッダー121を暗号化する。この時、ソルトキーは以後ユーザがUSB記憶媒体にアクセスしようとするたびに入力するユーザパスワードとハッシュされて暗号化された保安ボリュームヘッダー122を復号化するのに使用するので、非暗号化領域122aに記憶しなければならない。すなわち、エージェントプログラムはソルトキーを除いたボリュームヘッダー122の暗号化領域122bに記憶されたデータを暗号化する(S230)。
また、エージェントプログラムはS220段階でファイルなどが記憶される本体部(123)(ファイルシステム)をフォーマットして暗号化できる。この時、S210段階における第1のユーザパスワード入力段階でクイックフォーマットを選択すると、クイックフォーマットを行って任意のデータを暗号化するようになり、クイックフォーマットを選択しない場合にはファイルシステムの全てのセクターに対して任意のデータを暗号化して記録する通常フォーマットを行うようになる。このようなフォーマットを通じた暗号化過程は生成されたディスクキー及び暗号化アルゴリズムを用いて行う。この暗号化過程は、本発明に係るセクターI/Oドライバーによりセクター単位で行う。
前述のような過程を経て、一定領域(暗号化領域122b)が暗号化された保安ボリュームヘッダー122と全体データが暗号化された保安ボリューム本体部124が生成される(S240)。
生成された保安ボリュームヘッダー122はUSBホストユニットまたは別のサーバー(外部記憶媒体)に記憶されて今後保安ボリュームヘッダー122の復元時用いることができる。
以下、前述したような過程により暗号化された保安ボリュームをマウント及びI/Oを実現する方法について図3を参照して説明する。図3は本発明の実施形態に係る保安ボリュームマウント方法を説明するための図面である。ここで、保安ボリュームマウントとは、保安ボリュームヘッダー122を復号化してデータを抽出し、保安ボリューム本体部124に記憶された情報をUSBホストユニットのオペレーティングシステムに通知する一連の過程をいう。
図3を参照すれば、保安USB記憶媒体をUSBホストユニットに接続すると、エージェントプログラムはユーザに、ユーザパスワード(以下、「第2のユーザパスワード」という)の入力を要請する(S310)。
第2のユーザパスワードが入力されると、エージェントプログラムは保安ボリュームヘッダー122の非暗号化領域122aに記憶されたソルトキーを読み出し(S320)、入力された第2のユーザパスワードとハッシュして、保安ボリュームヘッダー122のための暗復号化キー(以下、「第2の暗復号化キー」という)を生成する(S330)。
次に、エージェントプログラムはS330段階で生成された第2の暗復号化キーで保安ボリュームヘッダー122の暗号化領域122bの復号化を試みる(S340)。この時、第2の暗復号化キーで保安ボリュームヘッダー122の暗号化領域122bが復号化されないと、ユーザパスワード(第2のユーザパスワード)の再確認を要請し、再び入力されたユーザパスワードを用いて前記S320段階及びS340段階を繰り返す。このような繰り返し過程は所定の回数分だけ許容できる。再確認要請以後にも入力された第2の暗復号化キーで保安ボリュームヘッダー122の暗号化領域122bが復号化されないと、保安ボリューム122、124の復号化不能化処理を行う(S350)。
反面、入力された第2のユーザパスワードが図2のS210段階で設定した第1のユーザパスワードと一致してS330段階で生成された第2の暗復号化キーで保安ボリュームヘッダー122の暗号化領域122bが復号化されると、エージェントプログラムは保安ボリュームヘッダー122の暗号化領域122bでディスクキーを抽出して保安ボリューム本体部124をマウントする(S360)。また、エージェントプログラムは暗号化アルゴリズムとディスクキーの使用で保安ボリューム本体部124の暗号化されたデータを復号化する。この時、暗号化されたデータの復号化時、セクターナンバーによって各セクターの復号化を行い、I/Oドライバーを通じてセクター単位で入出力を行う。
一方、CD領域110が別途に生成されないため、エージェントプログラムをUSBホストユニットに設けて保安ボリューム122、124を生成した場合には、署名値が保安ボリュームヘッダー122内に記憶される。このような署名値は前述したようにエージェントプログラムの配布時、各USB記憶媒体ごとに相異なるように割り当てた固有値として、当該エージェントプログラム以外のプログラムで保安USB記憶媒体が動作することを防止するためのものである。
署名値が保安ボリュームヘッダー122に記憶された場合には、第2の暗復号化キーで保安ボリュームヘッダー122が復号化された後、署名値の一致可否を確認する過程を進行する。この時エージェントプログラムに記憶された署名値と保安ボリュームヘッダー122内の署名値が一致すると、保安ボリューム本体部124のマウントが可能であるが、 両方の署名値が不一致であるとマウントが不可能になる。
一方、前述したように保安ボリューム122、124が生成された保安USB記憶媒体が非正常に搬出されたり、盗難または紛失された場合、保安USB記憶媒体内のファイルが流出することを防止するために保安を強化する必要がある。このために保安ボリューム122、124を破棄したり保安ボリュームヘッダー122を破棄できる。
使用権限がない者が保安USB記憶媒体をUSBホストユニットに接続すると、その者はエージェントプログラムからはユーザパスワード(以下、「第3のユーザパスワード」という)の入力要請を受ける。
エージェントプログラムは第3のユーザパスワードが入力されると、保安USB記憶媒体の保安ボリュームヘッダー122の非暗号化領域122aに記憶されたソルトキーを読み出し、入力された第3のユーザパスワードとハッシングアルゴリズムでハッシュして、保安ボリュームヘッダー122の暗号化領域122bを復号化するための暗復号化キー(以下、「第3の暗復号化キー」という)を生成する。生成された第3の暗復号化キーで保安ボリュームヘッダー122の暗号化領域122bの復号化を試みる。この時、正常に復号化されないと、第3のユーザパスワードが図2のS210段階で入力された第1のユーザパスワードと不一致したことを意味するので、第3のユーザパスワードの入力機会を所定の回数分さらに与える。所定の回数分第3のユーザパスワードを入力しても保安ボリュームヘッダー122の暗号化領域122bが復号化されないと、保安ボリューム122、124自体または保安ボリュームヘッダー122を破棄する。
保安ボリューム122、124自体を破棄する方法は、保安ボリューム122、124に記憶されたデータを任意のデータの無作為値で上書きすることである。このように無作為値で上書きすると、保安ボリューム122、124自体が復元不可能な状態になる。
保安ボリュームヘッダー122を破棄する方法は、保安ボリュームヘッダー122のデータだけを任意のデータにリセット(reset)することである。すなわち、エージェントプログラムは保安ボリュームヘッダー122のサイズぐらいの任意のデータを生成して無意味なデータにリセットすることで、保安ボリュームヘッダー122を破棄する。
このように、保安ボリュームヘッダー122が無意味なデータにリセットされると、保安ボリュームヘッダー122内に記憶されたディスクキーを全く読み出すことができないため、保安ボリューム本体部124に対するアクセス自体が不可能になる。したがって、非正常ユーザが保安USB記憶媒体の保安ボリューム本体部124に記憶されたファイルに対しての読み取り/書き込みが不可能であるので、保安を維持できるようになる。
保安強化のために保安USB記憶媒体100の保安ボリュームヘッダー122を破棄した後、正当ユーザが保安USB記憶媒体100を獲得した場合、保安ボリューム本体部124にアクセスできなければならない。すなわち、破棄された保安ボリュームヘッダー122を復元して正当ユーザが再利用できるようにすることが好ましい。図4を参照して保安ボリュームヘッダー122復元過程について説明する。図4は本発明の実施形態に係る保安ボリュームヘッダーの復元方法を説明するための順序図である。
保安ボリューム122、124の生成時説明したように、生成された保安ボリュームヘッダー122に記憶されたデータが正当ユーザのUSBホストユニットや特定保安サーバーまたは別の安全記憶装置に記憶されている場合、ユーザは保安ボリュームヘッダー122に記憶されたデータを用いてこれに対しての復元を行うことができる。
図4を参照すれば、保安ボリュームヘッダー122に記憶されたデータが別の安全なサーバーに記憶された場合、保安USB記憶媒体がUSBホストユニットを通じてサーバーなどに接続すると、サーバーに設けられたエージェントプログラムは、ユーザにログインを要請し(S410)、ログインしたユーザから保安ボリュームヘッダーの復元要請に対する受信可否を判別する。
ユーザから保安ボリュームヘッダーの復元要請を受信すると(S420)、エージェントプログラムはユーザに保安USBシリアルナンバーの入力を要請する。
この要請に応じてユーザがシリアルナンバーを入力すると(S430)、エージェントプログラムは入力されたシリアルナンバーによって当該保安ボリュームヘッダーを検索する(S440)。
当該保安ボリュームヘッダーが検索されると、エージェントプログラムはユーザにユーザパスワード(以下、「第4のユーザパスワード」という)の入力を要請する(S450)。
入力された第4のユーザパスワードとヘッダー記憶装置内に記憶されたソルトキーをハッシュして、保安ボリュームヘッダーを暗復号化するための暗復号化キー(以下、「第4の暗復号化キー」という)を生成する(S460)。
生成された第4の暗復号化キーを用いて保安ボリュームヘッダーの復号化を試みて、正常に復号化されているかを判断する(S470)。これを通じて保安ボリュームヘッダーが正常に復号化されると、入力された第4のユーザパスワードが図2のS210段階で入力された第1のユーザパスワードと一致することを意味するので、保安ボリュームヘッダー記憶装置内の保安ボリュームヘッダー情報を読み出して破棄された保安ボリュームヘッダー122に書き直して記録し(S480)、保安ボリュームヘッダー122を復元する(S485)。
反面、S470段階で第4の暗復号化キーを用いて保安ボリュームヘッダーが復号化されないと、第4のユーザパスワードが図2のS210段階で入力された第1のユーザパスワードと一致しないことを意味するので、保安ボリュームヘッダー122の復元不可メッセージを出力する(S490)。このメッセージが出力されると、ユーザは再び前述したS450段階ないしS490段階を繰り返す。このような繰り返し過程は所定の回数分だけ行うことができるが、保安上これを3ないし5回程度に制限することが好ましい。
図5は本発明の実施形態によって図1ないし図4を通じてエージェントプログラムで行ったUSB記憶媒体に対する保安ボリューム生成及びマウント、及び保安ボリュームヘッダーの復元のためのアルゴリズムをハードウェアで実現したシステムの構成例を示したブロック図である。
図に示したように、本発明のシステムはUSB記憶媒体200及びUSBホストユニット300を含んで構成される。
USB記憶装置200は記憶領域100、USB制御部150、及びUSBインターフェース170を含んで構成される。記憶領域100は図1に示したデータが記憶されて暗復号化される領域であり、USB制御部150は記憶領域100に対してデータの入出力(読み取り/書き込み)を制御し、USBインターフェース170はデータ伝送のためにUSBホストユニット300に接続するバスである。
USBホストユニット300はホスト制御部310、出力インターフェース320、入力インターフェース330、USB接続ポート340、及び記憶部350を含んで構成される。ホスト制御部310は本発明のエージェントプログラムに対応してハードウェアー的に実現するブロックであって、本発明の実施形態によってUSB記憶媒体の暗復号化のための動作を行う。出力インターフェース320はホスト制御部310の制御によって情報を表示するディスプレー装置であり、入力インターフェース330はユーザが情報を入力する入力装置である。USB接続ポート340はデータの入出力のためにUSB記憶媒体200を接続するバスであり、記憶部350はUSBホストユニット300の動作に必要であるプログラム及びデータが記憶される媒体である。
以下、前述したように構成されるUSBホストユニット300を通じてUSB記憶媒体200を暗号化して保安USB記憶媒体に変換生成する過程を説明する。
ホスト制御部310はUSB記憶媒体200に備えられたUSBインターフェース170がUSB接続ポート340に接続されたか否かを検知する。USBホストユニット300が動作中の状態でUSBインターフェース170がUSB接続ポート340に接続されると、USB接続ポート340を通じてUSBホストユニット300からUSBインターフェース170に電源が供給される。これによって、制御部150は供給される電源を用いてUSB記憶媒体200を駆動させる。
ホスト制御部310はUSB接続ポート340に対するUSBインターフェース170の接続を検知すると、出力インターフェース320を通じて保安USB記憶媒体を生成するために設定する第1のユーザパスワードの入力を要請する情報を出力する。この時、ホスト制御部310はUSB記憶媒体200の接続経路入力を要請したり、クイックフォーマット可否の確認を要請する情報を出力インターフェース320を通じて出力することもできる。
これに対応して入力インターフェース330を通じてユーザが第1のユーザパスワードを入力すると、ホスト制御部310は入力された第1のユーザパスワードに基づいてランダムキー及びディスクキーを生成する。
第1のユーザパスワードに基づいてランダムキー及びディスクキーが生成されると、ホスト制御部310は第1のユーザパスワードとランダムキーをハッシュして第1の暗復号化キーを生成する。
以後、ホスト制御部310は第1の暗復号化キーを用いて記憶領域100をヘッダー121と本体部123に分け、第1のデータを暗号化し、これをヘッダー121に記憶して保安ボリュームヘッダー122を生成する。またホスト制御部310はディスクキーを用いて第2のデータを暗号化し、これを本体部123に記憶して保安ボリューム本体部124を生成する。
ここで、ホスト制御部310は保安ボリューム本体部124を生成するとき、USB記憶媒体200の記憶領域100に割り当てられた本体部123に記録する第2のデータをセクターI/Oドライバーを用いてセクター単位で暗号化し、これを本体部123に記憶する過程を通じて保安ボリューム本体部124を生成する。
また、ホスト制御部310はランダムキー及びディスクキーを含んで所定の第1のデータをUSB記憶媒体200の記憶領域100に割り当てられたヘッダー121に記憶するために制御部150に伝送する。この時、ホスト制御部310は制御部150により記憶領域100のヘッダー121に記憶される第1のデータのうち、ランダムキー以外のデータは暗号化してUSB制御部150に伝送する。これによって、USB制御部150はホスト制御部310からUSB接続ポート340及びUSBインターフェース170を介して伝送された第1のデータを記憶領域100のヘッダー121に記憶する。
本発明においてUSB記憶媒体200はUSBメモリスティックまたはUSB外部ハードドライブとして適用できる。本発明においてUSB記憶媒体200がUSBメモリスティックの場合、USB記憶媒体200の記憶領域100にはセクターI/Oドライバーが搭載されるCD領域110が形成される。この場合、第1のデータが記憶領域100の本体部123に入出力されるとき、セクターI/Oドライバーにより第1のデータが暗復号化される。
本発明においてホスト制御部310は第1のユーザパスワードの入力要請前に、セクターI/Oドライバーを記憶部350に設けることができる。この場合、第1のデータが記憶領域100の本体部123に入出力されるとき、記憶部350に設けられたセクターI/Oドライバーにより第1のデータが暗復号化される。
ホスト制御部310は生成された保安ボリュームヘッダー122に含まれた第1のデータを記憶部350または外部記憶装置に記憶することもできる。この場合、ホスト制御部310は記憶されたデータを用いて保安ボリュームヘッダー122に記憶された暗号化された第1のデータを復元できる。
一方、以下では本発明により生成された保安USB記憶媒体をマウントする方法について説明する。
ホスト制御部310はUSB接続ポート340に対するUSBインターフェース170の接続を検知すると、出力インターフェース320を通じて第2のユーザパスワードの入力を要請する情報を出力する。これに対応して入力インターフェース330から第2のユーザパスワードが入力されると、ホスト制御部310は入力された第2のユーザパスワードと保安ボリュームヘッダー122に記憶されたランダムキーを用いて保安ボリュームヘッダー122を暗復号化するための第2の暗復号化キーを生成する。
ホスト制御部310は、この時生成された第2の暗復号化キーを用いて保安ボリュームヘッダー122の復号化を試みる。この時、保安ボリュームヘッダー122が正常に復号化されると、ホスト制御部310は保安ボリュームヘッダー122内に記憶されたディスクキーを抽出して保安ボリューム本体部124にマウントする。
本実施形態において、保安ボリューム本体部124をマウントするとは、ホスト制御部310がセクターI/Oドライバーを通じて保安ボリューム本体部124に対する特定セクターまたは全てのセクターに記憶された第2のデータを復号化することをいう。
以下では本発明により生成された保安USB記憶媒体の保安ボリュームを破棄する方法について説明する。
ホスト制御部310はUSB接続ポート340に対するUSBインターフェース170の接続を検知すると、出力インターフェース320を通じて第3のユーザパスワードの入力を要請する情報を出力する。これに対応して、入力インターフェース330から第3のユーザパスワードが入力されると、ホスト制御部310は入力された第3のユーザパスワードと保安ボリュームヘッダー122に記憶されたランダムキーを用いて保安ボリュームヘッダー122を暗復号化するための第3の暗復号化キーを生成する。
ホスト制御部310は、この時生成された第3の暗復号化キーを用いて保安ボリュームヘッダー122の復号化を試みる。この時、保安ボリュームヘッダー122が正常に復号化されないと、ホスト制御部310は保安ボリューム本体部124に記録された第2のデータをランダム値で上書きする。
以下では本発明により生成された保安USB記憶媒体の保安ボリュームヘッダーを破棄する方法について説明する。
ホスト制御部310はUSB接続ポート340に対するUSBインターフェース170の接続を検知すると、出力インターフェース320を通じて第3のユーザパスワードの入力を要請する情報を出力する。これに対応して、入力インターフェース330から第3のユーザパスワードが入力されると、ホスト制御部310は入力された第3のユーザパスワードと保安ボリュームヘッダー122に記憶されたランダムキーを用いて保安ボリュームヘッダー122を暗復号化するための第3の暗復号化キーを生成する。
ホスト制御部310は、この時生成された第3の暗復号化キーを用いて保安ボリュームヘッダー122の復号化を試みる。この時、保安ボリュームヘッダー122が正常に復号化されないと、ホスト制御部310は保安ボリュームヘッダー122内に記憶された第1のデータを任意のデータにリセットする。
以下では本発明により生成された保安USB記憶媒体の保安ボリュームヘッダー122が破棄されたUSB記憶媒体の保安ボリュームヘッダー122を復元する方法について説明する。
ホスト制御部310はUSB接続ポート340に対するUSBインターフェース170の接続を検知すると、出力インターフェース320を通じて保安USB記憶媒体の保安ボリュームヘッダー122の復元要請情報の受信可否を判断する。これに対応して、保安USB記憶媒体の保安ボリュームヘッダーの復元要請情報が受信されると、ホスト制御部310は記憶部350または外部記憶装置からの復元要請によって復元しようとする保安USB記憶媒体の保安ボリュームヘッダー122を検索する。
復元しようとする保安USB記憶媒体の保安ボリュームヘッダー122が検索されると、ホスト制御部310は出力インターフェース320を通じて第4のユーザパスワードの入力を要請する情報を出力する。これに対応して、入力インターフェース330から第4のユーザパスワードが入力されると、ホスト制御部310は入力された第4のユーザパスワードと、記憶部350または外部記憶装置に記憶された保安USB記憶媒体の保安ボリュームヘッダー122に記憶されたランダムキーを用いて保安ボリュームヘッダー122を暗復号化するための第4の暗復号化キーを生成する。
ホスト制御部310は、この時生成された第4の暗復号化キーを用いて保安ボリュームヘッダー122の復号化を試みる。この時、保安ボリュームヘッダー122が正常に復号化されると、ホスト制御部310は記憶部350または外部記憶装置に記憶された復号化された保安USB記憶媒体の保安ボリュームヘッダー122内に記憶された所定の第1のデータを破棄された保安USB記憶媒体の保安ボリュームヘッダー122内に記録する。
一方、本発明の実施形態でデータを暗復号化するために用いるI/OドライバーはUSBホストユニット200またはUSB記憶媒体200にソフトウェア形式で設けるように構成することもでき、ハードウェア形式でモジュール化してUSBホストユニット300またはUSB記憶媒体200に搭載するように構成することもできる。
図6は本発明の実施形態によって図5のUSBホストユニットが適用されるコンピュータの構成例を示した図面である。
図に示したように、本発明のUSBホストユニット300が適用されるコンピュータはCPU410、モニター420、キーボード430、マウス435、USB接続ポート440、ハードディスクドライバー(HDD)450、及びRAM460を含んで構成できる。
この時、技術的特徴面では、CPU410はホスト制御部310、モニター420は出力インターフェース320、キーボード430及びマウス435は入力インターフェース330、USB接続ポート440はUSB接続ポート340、及びハードディスク(HDD)450は記憶部350とそれぞれ対応する。
このように、USBホストユニット300と対応するコンピュータを通じて本発明の実施形態に係る保安USB記憶媒体の生成及び復号化を行うことができる。
本発明は記憶媒体に記憶されたデータに対する脆弱な保安問題を補完できる強化されたデータ保安機能を有するUSB記憶媒体を含んだ携帯用記憶媒体分野に広く用いることができる。
以上では本発明の好ましい実施形態及び応用例について図示及び説明したが、本発明は前述した特定の実施形態及び応用例に限定されず、請求範囲に記載された本発明の要旨を抜け出すことがなく、当業者により多様な変形実施が可能であることは勿論であり、このような変形実施は本発明の技術的思想や展望から個別的に理解してはならない。

Claims (12)

  1. USBインターフェースが備えられた記憶媒体(以下、「USB記憶媒体」という)の保安を管理するための保安USB記憶媒体管理方法であって、
    前記保安USB記憶媒体を生成する過程;及び
    生成された前記保安USB記憶媒体内で保安ボリュームヘッダーが破棄された前記保安USB記憶媒体の保安ボリュームヘッダーを復元する過程;を含み、
    前記保安USB記憶媒体の生成過程は、
    前記USB記憶媒体がUSBホストユニットに結合されると、前記USBホストユニットまたは前記USB記憶媒体に搭載されたエージェントプログラムがユーザにユーザパスワード(以下、「第1のユーザパスワード」という)の入力を要請する段階;
    前記第1のユーザパスワードが入力されると、前記エージェントプログラムがランダムキーを生成すると共に、前記USB記憶媒体の保安ボリューム本体部を暗復号化するためのディスクキーを生成する段階;
    前記エージェントプログラムが前記第1のユーザパスワードと前記ランダムキーをハッシュして暗復号化キー(以下、「第1の暗復号化キー」という)を生成する段階;及び
    前記エージェントプログラムが、前記第1の暗復号化キー及び暗号化アルゴリズムを用いて前記USB記憶媒体のヘッダーを暗号化して前記保安ボリュームヘッダーを生成し、これを前記ランダムキーと共に記憶装置に記憶し、前記ディスクキー及び暗号化アルゴリズムを用いて前記USB記憶媒体の本体部を暗号化して前記保安ボリューム本体部を生成する段階;を含み、
    前記保安USB記憶媒体の保安ボリュームヘッダー復元過程は、
    前記エージェントプログラムが、前記保安USB記憶媒体がUSBホストユニットに接続されてユーザから前記保安USB記憶媒体の保安ボリュームヘッダー復元要請を受信すると、前記復元要請によって復元しようとする保安ボリュームヘッダーを検索する段階;
    前記保安ボリュームヘッダーが検索されると、ユーザにユーザパスワード(以下、「第4のユーザパスワード」という)の入力を要請する段階;
    入力された前記第4のユーザパスワードと前記記憶装置内の保安ボリュームヘッダーに記憶されたランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第4の暗復号化キー」という)を生成する段階;
    生成された前記第4の暗復号化キーで前記保安ボリュームヘッダーを復号化する段階;及び
    前記保安ボリュームヘッダーが復号化されると、前記保安ボリュームヘッダー内に記憶された所定のデータを前記破棄された保安USB記憶媒体のヘッダー領域に記録する段階;を含んで構成されることを特徴とする、前記保安USB記憶媒体管理方法。
  2. 前記保安ボリューム本体部の生成段階は、前記USB記憶媒体本体部に記録された任意のデータをセクターI/Oドライバーを通じてセクター単位で暗号化して生成されることを特徴とする、請求項1に記載の保安USB記憶媒体管理方法。
  3. 前記ランダムキー及び前記ディスクキーを含んで所定のデータが前記USB記憶媒体のヘッダーに記憶され、
    前記エージェントプログラムは前記ヘッダーに記憶されたデータのうちランダムキー以外のデータを暗号化することを特徴とする、請求項1に記載の保安USB記憶媒体管理方法。
  4. 前記第1のユーザパスワード入力段階において、前記エージェントプログラムはユーザに保安ボリューム装置の経路入力要請やクイックフォーマット可否の確認を行うことを特徴とする、請求項1に記載の保安USB記憶媒体管理方法。
  5. 前記USB記憶媒体はUSBメモリスティックまたはUSB外部ハードドライブであることを特徴とする、請求項1に記載の保安USB記憶媒体管理方法。
  6. 前記保安USB記憶媒体の生成過程は、
    前記USB記憶媒体がUSBメモリスティックの場合、前記第1のユーザパスワードの入力要請前に前記エージェントプログラムが搭載されるCD領域が形成される段階をさらに含むことを特徴とする、請求項5に記載の保安USB記憶媒体管理方法。
  7. 前記保安USB記憶媒体の生成過程は、
    前記第1のユーザパスワードの入力要請段階前に、セクター別にデータを入出力して暗復号化するセクターI/Oドライバーが前記USBホストユニットに設けられる段階をさらに含むことを特徴とする、請求項1に記載の保安USB記憶媒体管理方法。
  8. 生成された前記保安USB記憶媒体管理方法であって、前記保安USB記憶媒体の生成過程以後に前記エージェントプログラムが、
    前記保安USB記憶媒体がUSBホストユニットに結合されると、ユーザにユーザパスワード(以下、「第2のユーザパスワード」という)の入力を要請する段階;
    前記第2のユーザパスワードが入力されると、 入力された前記第2のユーザパスワードと前記保安USBの保安ボリュームヘッダーに記憶されたランダムキーを用いて、前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第2の暗復号化キー」という)を生成する段階;
    生成された前記第2の暗復号化キーで前記保安ボリュームヘッダーを復号化する段階;及び
    前記保安ボリュームヘッダーが復号化されると、前記保安ボリュームヘッダー内に記憶されたディスクキーを抽出して保安ボリューム本体部にマウントする段階;を含む保安USB記憶媒体をマウントする過程を実行することを可能にすることをさらに含むことを特徴とする、請求項3に記載の保安USB記憶媒体管理方法。
  9. 前記保安ボリューム本体部のマウント過程は、
    前記エージェントプログラムがセクターI/Oドライバーを通じて前記USB記憶媒体本体部の特定セクターまたは全てのセクターに記憶されたデータを復号化する段階をさらに含むことを特徴とする、請求項8に記載の保安USB記憶媒体管理方法。
  10. 生成された前記保安USB記憶媒体管理方法であって、前記保安USB記憶媒体の生成過程以後に前記エージェントプログラムが、
    前記保安USB記憶媒体がUSBホストユニットに結合されると、ユーザにユーザパスワード(以下、第3のユーザパスワード」という)の入力を要請する段階;
    前記第3のユーザパスワードが入力されると、 入力された前記第3のユーザパスワードと前記保安USBの保安ボリュームヘッダーに記憶されたランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第3の暗復号化キー」という)を生成する段階;
    生成された前記第3の暗復号化キーで前記保安ボリュームヘッダーを復号化する段階;及び
    前記保安ボリュームヘッダーが復号化されないと、前記保安ボリューム内のデータをランダム値で上書きする段階;を含む保安USB記憶媒体の保安ボリュームを破棄する過程を実行することを可能にすることさらに含むことを特徴とする、請求項3に記載の保安USB記憶媒体管理方法。
  11. 生成された前記保安USB記憶媒体の管理方法であって、前記保安USB記憶媒体の生成過程以後に前記エージェントプログラムが、
    前記保安USB記憶媒体がUSBホストユニットに結合されると、ユーザにユーザパスワード(以下、第3のユーザパスワード」という)の入力を要請する段階;
    前記第3のユーザパスワードが入力されると、 入力された前記第3のユーザパスワードと前記保安USBの保安ボリュームヘッダーに記憶されたランダムキーを用いて前記保安ボリュームヘッダーを暗復号化するためのキー(以下、「第3の暗復号化キー」という)を生成する段階;
    生成された前記第3の暗復号化キーで前記保安ボリュームヘッダーを復号化する段階;及び
    前記保安ボリュームヘッダーが復号化されないと、前記保安ボリュームヘッダー内に記憶されたデータを任意のデータにリセットする段階;を含む保安USB記憶媒体の保安ボリュームヘッダーを破棄する過程を実行することを可能にすることをさらに含むことを特徴とする、請求項3に記載の保安USB記憶媒体管理方法。
  12. USB記憶媒体がUSBホストユニットに接続されると、ユーザに、設定されるユーザパスワードの入力を要請する段階、
    前記ユーザパスワードが入力されると、ランダムキーを生成すると共に、前記USB記憶媒体の本体部を暗復号化するためのディスクキーを生成する段階、
    前記ユーザパスワードと前記ランダムキーをハッシュして暗復号化キーを生成する段階、および
    生成された前記暗復号化キー及び暗号化アルゴリズムを用いて前記USB記憶媒体のヘッダーを暗号化する段階、および
    前記ディスクキー及び暗号化アルゴリズムを用いて前記USB記憶媒体の本体部を暗号化する保安USB管理機能を実現する段階を含むプログラムを記録するためのコンピュータ読み取り可能な記録媒体。
JP2012525494A 2009-08-22 2010-08-20 保安usb記憶媒体生成及び復号化方法、並びに保安usb記憶媒体生成のためのプログラムが記録された媒体 Expired - Fee Related JP5362114B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020090077884A KR101150415B1 (ko) 2009-08-22 2009-08-22 보안 유에스비 저장매체 관리방법 및 보안 유에스비 저장매체 관리를 위한 프로그램이 기록된 매체
KR10-2009-0077884 2009-08-22
PCT/KR2010/005520 WO2011025185A2 (ko) 2009-08-22 2010-08-20 보안 유에스비 저장매체 생성 및 복호화 방법, 그리고 보안 유에스비 저장매체 생성을 위한 프로그램이 기록된 매체

Publications (2)

Publication Number Publication Date
JP2013502817A JP2013502817A (ja) 2013-01-24
JP5362114B2 true JP5362114B2 (ja) 2013-12-11

Family

ID=43628548

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012525494A Expired - Fee Related JP5362114B2 (ja) 2009-08-22 2010-08-20 保安usb記憶媒体生成及び復号化方法、並びに保安usb記憶媒体生成のためのプログラムが記録された媒体

Country Status (4)

Country Link
US (1) US9100173B2 (ja)
JP (1) JP5362114B2 (ja)
KR (1) KR101150415B1 (ja)
WO (1) WO2011025185A2 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8792636B2 (en) * 2009-08-28 2014-07-29 Blackberry Limited Protocol for protecting content protection data
US20130290733A1 (en) * 2012-04-26 2013-10-31 Appsense Limited Systems and methods for caching security information
US20130290734A1 (en) * 2012-04-26 2013-10-31 Appsense Limited Systems and methods for caching security information
JP5849872B2 (ja) * 2012-07-04 2016-02-03 富士ゼロックス株式会社 情報処理システムおよびプログラム
CN103678964A (zh) * 2012-09-13 2014-03-26 上海斐讯数据通信技术有限公司 移动终端、密码输入方法及系统
US9430250B2 (en) 2012-12-03 2016-08-30 Kingston Digital, Inc. Bootability with multiple logical unit numbers
US9129114B2 (en) 2012-12-03 2015-09-08 Imation Corp. Preboot environment with system security check
US9104891B2 (en) * 2012-12-03 2015-08-11 Imation Corp. Recovering from unexpected flash drive removal
WO2014098901A1 (en) * 2012-12-21 2014-06-26 Hewlett-Packard Development Company, L.P. Active component embedded in cable
US20140366148A1 (en) * 2013-06-10 2014-12-11 Transcend Information, Inc. Storage Medium Securing Method and Media Access Device thereof
US9639710B2 (en) 2013-12-23 2017-05-02 Symantec Corporation Device-based PIN authentication process to protect encrypted data
US9672361B2 (en) * 2014-04-30 2017-06-06 Ncr Corporation Self-service terminal (SST) secure boot
KR102263880B1 (ko) 2014-06-19 2021-06-11 삼성전자주식회사 호스트 컨트롤러 및 시스템-온-칩
US9634833B2 (en) * 2014-06-20 2017-04-25 Google Inc. Gesture-based password entry to unlock an encrypted device
US10025932B2 (en) * 2015-01-30 2018-07-17 Microsoft Technology Licensing, Llc Portable security device
CN104636682A (zh) * 2015-02-09 2015-05-20 上海瀚银信息技术有限公司 一种基于硬件设备的密码管理系统及方法
US11032320B1 (en) * 2016-09-19 2021-06-08 Jpmorgan Chase Bank, N.A. Systems and methods for dynamic application level encryption
EP3379445B1 (en) 2017-03-22 2024-06-12 Diebold Nixdorf Systems GmbH System and method to generate encryption keys based on information of peripheral devices
KR102118620B1 (ko) * 2018-04-11 2020-06-04 주식회사 크레스텍 보안성이 강화된 암호화폐 지갑 서비스 시스템 및 이를 이용한 암호화폐 전송방법
US11489554B2 (en) * 2020-10-30 2022-11-01 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing secure communication in an electric power distribution system with software defined network

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5787169A (en) * 1995-12-28 1998-07-28 International Business Machines Corp. Method and apparatus for controlling access to encrypted data files in a computer system
KR100484209B1 (ko) * 1998-09-24 2005-09-30 삼성전자주식회사 디지털컨텐트암호화/해독화장치및그방법
KR100348611B1 (ko) * 2000-02-01 2002-08-13 엘지전자 주식회사 디지탈 콘텐츠의 암호화장치 및 암호화방법
DE10142498A1 (de) * 2001-08-30 2003-03-27 Siemens Ag Verfahren zur Ver- und Entschlüsselung von Kommunikationsdaten
KR20050027162A (ko) * 2002-08-06 2005-03-17 마쯔시다덴기산교 가부시키가이샤 패킷 라우팅 장치 및 패킷 라우팅 방법
KR100549504B1 (ko) * 2003-10-10 2006-02-03 한국전자통신연구원 서명 암호화를 이용한 웹서비스 보안에서의 soap메시지 생성 및 검증 방법
US20050114663A1 (en) 2003-11-21 2005-05-26 Finisar Corporation Secure network access devices with data encryption
US8060670B2 (en) * 2004-03-17 2011-11-15 Super Talent Electronics, Inc. Method and systems for storing and accessing data in USB attached-SCSI (UAS) and bulk-only-transfer (BOT) based flash-memory device
KR100583050B1 (ko) * 2004-08-04 2006-05-25 송유권 유에스비 토큰 키를 이용한 파일 암호화 및 복호화 방법과그를 이용한 시스템
KR100703777B1 (ko) * 2005-04-21 2007-04-06 삼성전자주식회사 컨텐츠 제공자 인증 및 컨텐츠 무결성 보장을 위한 시스템
US8667273B1 (en) * 2006-05-30 2014-03-04 Leif Olov Billstrom Intelligent file encryption and secure backup system
JP5052878B2 (ja) * 2006-12-12 2012-10-17 株式会社バッファロー 記憶装置及び利用者認証方法
JP2008245112A (ja) * 2007-03-28 2008-10-09 Hitachi Global Storage Technologies Netherlands Bv データ記憶装置及びその暗号鍵の管理方法
JP5053032B2 (ja) * 2007-10-16 2012-10-17 株式会社バッファロー データ管理装置、データ管理方法およびデータ管理プログラム
US8656179B2 (en) * 2009-03-03 2014-02-18 Roger E. Billings Using hidden secrets and token devices to create secure volumes
US20110113235A1 (en) * 2009-08-27 2011-05-12 Craig Erickson PC Security Lock Device Using Permanent ID and Hidden Keys

Also Published As

Publication number Publication date
WO2011025185A3 (ko) 2011-07-07
US20120151219A1 (en) 2012-06-14
KR20110020326A (ko) 2011-03-03
WO2011025185A2 (ko) 2011-03-03
KR101150415B1 (ko) 2012-06-01
US9100173B2 (en) 2015-08-04
JP2013502817A (ja) 2013-01-24

Similar Documents

Publication Publication Date Title
JP5362114B2 (ja) 保安usb記憶媒体生成及び復号化方法、並びに保安usb記憶媒体生成のためのプログラムが記録された媒体
US10318750B2 (en) Unlocking a storage device
TWI463349B (zh) 於兩裝置間保護資料存取之方法及系統
EP2696305B1 (en) Method and device for file protection
US9490982B2 (en) Method and storage device for protecting content
US8281115B2 (en) Security method using self-generated encryption key, and security apparatus using the same
US9443111B2 (en) Device security using an encrypted keystore data structure
EP1953670A2 (en) System and method of storage device data encryption and data access
CN113545006A (zh) 远程授权访问锁定的数据存储设备
US20090052672A1 (en) System and method for protection of content stored in a storage device
KR20200071682A (ko) 자체-암호화 드라이브(sed)
US20120237024A1 (en) Security System Using Physical Key for Cryptographic Processes
US20130262876A1 (en) Method, Apparatus, and System for Performing Authentication on Bound Data Card and Mobile Host
CN108199827B (zh) 客户端代码完整性校验方法、存储介质、电子设备及系统
WO2023240866A1 (zh) 密码卡及其根密钥保护方法、计算机可读存储介质
CN113557689A (zh) 用管理器设备初始化数据存储设备
JP2009129461A (ja) 保存装置、前記保存装置を用いる端末装置とその方法
CN103379133A (zh) 一种安全可信的云存储系统
CN110932853B (zh) 一种基于可信模块的密钥管理装置和密钥管理方法
JP2003195758A (ja) データ処理装置、インタフェースボードおよびデータ秘匿方法
CN116594567A (zh) 信息管理方法、装置和电子设备
CN113545021A (zh) 预先授权设备的注册
CN113342896B (zh) 一种基于云端融合的科研数据安全保护系统及其工作方法
US11088832B2 (en) Secure logging of data storage device events
CN112149167B (zh) 一种基于主从系统的数据存储加密方法及装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130812

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130903

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees