KR100445288B1 - encryption-decryption device for data storage - Google Patents

encryption-decryption device for data storage Download PDF

Info

Publication number
KR100445288B1
KR100445288B1 KR10-2001-0071568A KR20010071568A KR100445288B1 KR 100445288 B1 KR100445288 B1 KR 100445288B1 KR 20010071568 A KR20010071568 A KR 20010071568A KR 100445288 B1 KR100445288 B1 KR 100445288B1
Authority
KR
South Korea
Prior art keywords
data
encryption
decryption
data storage
encrypted
Prior art date
Application number
KR10-2001-0071568A
Other languages
Korean (ko)
Other versions
KR20030040909A (en
Inventor
완순잉
Original Assignee
에노바 테크놀로지 코퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에노바 테크놀로지 코퍼레이션 filed Critical 에노바 테크놀로지 코퍼레이션
Priority to KR10-2001-0071568A priority Critical patent/KR100445288B1/en
Publication of KR20030040909A publication Critical patent/KR20030040909A/en
Application granted granted Critical
Publication of KR100445288B1 publication Critical patent/KR100445288B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices

Abstract

데이터-생성 장치와 데이터 저장 장치를 연결하는 데이터 경로 상에 데이터 암호화-암호해독 장치를 포함시킴으로써, 데이터 저장용 암호화-암호해독 장치가 개시되어 있다. 데이터-생성 장치로부터 들어오는 입력 명령은 암호화 또는 암호해독이 수행되어야 하는지가 판단된다. 암호화(또는 암호해독)이 요청되지 않으면, 데이터는 저장장치로 바로 포워딩되고 암호화 (또는 암호해독) 프로세스는 수행되지 않을 것이다. 암호화 (또는 암호해독) 프로세스가 요구되면, 데이터 암호화-암호해독 장치 내에 제공된 데이터 암호화-암호해독 엔진 상에서 암호화 (또는 암호해독) 프로세스가 실행될 것이다. 암호화-암호해독 장치는 전체 시스템 성능을 저하시키지 않는 향상된 데이터 암호화(및 암호해독)을 위한 신규한 암호화-암호해독 구성을 제공한다.An encryption-decryption device for data storage is disclosed by including a data encryption-decryption device on a data path connecting a data-generating device and a data storage device. It is determined whether the input command coming from the data-generating device should be encrypted or decrypted. If no encryption (or decryption) is requested, the data will be forwarded directly to storage and no encryption (or decryption) process will be performed. If an encryption (or decryption) process is required, the encryption (or decryption) process will run on the data encryption-decryption engine provided within the data encryption-decryption apparatus. The encryption-decryption device provides a novel encryption-decryption configuration for improved data encryption (and decryption) without compromising overall system performance.

Description

데이터저장을 위한 암호화-암호해독 장치{encryption-decryption device for data storage}Encryption-decryption device for data storage

본 발명은 데이터기억용 암호화-암호해독 장치에 관한 것으로, 특히 암호화-암호해독을 달성하기 위하여 데이터-생성 장치 및 데이터 저장 장치가 연결된 데이터 경로 상에 제공된 암호화-암호해독 장치에 관한 것이다.The present invention relates to an encryption-decryption device for data storage, and more particularly, to an encryption-decryption device provided on a data path to which a data-generating device and a data storage device are connected to achieve encryption-decryption.

오늘날 최대의 사업 및 개인적인 관심인 인터넷통신 및 전자상거래는 공공통신경로에 의해 실현된다. 중요하거나 비밀스런 정보가 이러한 경로를 따라 송신 및 수신되거나 매체(media)에 저장될 때, 승인되지 않은 데이터접근 및 차단의 위험이 존재한다. 비밀 및 보안이 보장될 수 없을 때, 데이터 암호화의 필요성이 부각된다. 데이터 암호화는 저장매체 또는 통신경로상에서 비합법적으로 데이터를 얻으려는 것으로부터 데이터를 보호하기 위한 메카니즘을 제공한다. 다시 말해서, 암호화는 이해할 수 없는 형태의 데이터로 원래의 데이터를 변환하는 과정이다. 암호화의 과정을 역으로 하는 암호해독은 암호화된 데이터를 그 원래의 데이터로 변환하는 동작을 포함한다. 실제의 적용에서, 데이터는 통신경로(즉, 인터넷 또는 로컬 영역 네트워크(local area network))로 전송되거나 저장매체에 저장되기 전에 이해할 수 없는 형태로 변환된다. 암호화된 데이터의 암호해독 단계가 완료된 후에, 승인된 사용자는 그 원래 형태로 사용할 수 있는 데이터를 얻는다.Today's greatest business and personal interests, Internet communications and e-commerce, are realized by public telecommunication channels. When sensitive or confidential information is transmitted and received along this path or stored on media, there is a risk of unauthorized data access and blocking. When confidentiality and security cannot be guaranteed, the need for data encryption is highlighted. Data encryption provides a mechanism to protect data from illegally obtaining data on a storage medium or communication path. In other words, encryption is the process of converting original data into data of an incomprehensible form. Decryption, which reverses the process of encryption, involves converting the encrypted data into its original data. In practical applications, data is transformed into an incomprehensible form before being sent to a communication path (ie, the Internet or a local area network) or stored on a storage medium. After the decryption phase of the encrypted data is completed, the authorized user obtains data that can be used in its original form.

도 1은 종래 기술 암호화의 개략도이다. 데이터저장 및 접근은 하드디스크 (hard disk)와 중앙처리장치(CPU:central processing unit) 사이에서 실행된다. 중앙처리장치(2)의 처리 능력(processing power)없이, 암호화 소프트웨어 (encryption software:3) 단독으로 암호화과정을 실행할 수 없다. 결과적으로, 중앙처리장치(2)가 암호화 소프트웨어 (3)의 지시에 대해 작동 자원을 할당함으로써실행된다. 중앙처리장치(2)의 동작을 개선하기 위한 전형적이며 일반적인 해결법은 중앙처리장치(2)와 암호화 소프트웨어 (3) 사이에 가속칩(4)을 더 포함한다.1 is a schematic diagram of prior art encryption. Data storage and access is performed between the hard disk and the central processing unit (CPU). Without the processing power of the central processing unit 2, the encryption software alone cannot execute the encryption process. As a result, the central processing unit 2 is executed by allocating operating resources to the instructions of the encryption software 3. A typical and general solution for improving the operation of the central processing unit 2 further comprises an acceleration chip 4 between the central processing unit 2 and the encryption software 3.

가속칩(4)이 중앙처리장치(2)의 일부가 아니므로, 중앙처리장치(2)의 성능을 향상시키기 위해 회로기판위에 가속칩(4)을 설치하고 구입하는 비용이 추가적으로 요구된다. 더우기, 중앙처리장치(2)의 동작으로 암호화 소프트웨어(3)를 로딩(loading)해야 하므로 속도저하 또는 암호화 실행이 부적합하게 되는 것 등의 성능이 감소하며, 결과적으로, 특히 중앙처리장치(2)의 자원을 소모시키거나 동작이행이 불충분할 때 암호화소프트웨어(3)의 사용의 불편함이 야기된다. 그 결함을 개선하기 위한 해결책을 찾는 것이 바람직하다.Since the acceleration chip 4 is not part of the central processing unit 2, an additional cost of installing and purchasing the acceleration chip 4 on the circuit board is required to improve the performance of the central processing unit 2. Furthermore, since the operation of the central processing unit 2 requires loading the encryption software 3, the performance such as slowing down or inadequate encryption execution is reduced, and as a result, in particular, the central processing unit 2 Inconvenience of use of the encryption software 3 is caused when the resources are consumed or the operation is insufficient. It is desirable to find a solution to improve the defect.

이 해결책을 찾기 위한 연구에 많은 양의 시간 및 노력을 사용한 후, 발명자는 도 1의 암호화에 대한 종래기술 형태에 관련된 문제를 효과적으로 해결하기 위해 본 발명을 제안했다.After spending a great deal of time and effort in research to find this solution, the inventors proposed the present invention to effectively solve the problems related to the prior art forms for encryption of FIG.

본 발명의 목적은 데이터 암호화-암호해독을 위한 암호화-암호해독 장치(예를 들면, IC칩)를 제공함으로서, 호스트(host) 시스템 자원이 암호화-암호해독 과정에서 경감되었을 때 큰 개선이 얻어진다.An object of the present invention is to provide an encryption-decryption apparatus (e.g., an IC chip) for data encryption-decryption, whereby a significant improvement is obtained when host system resources are alleviated in the encryption-decryption process. .

본 발명의 다른 목적은 호스트 및 저장장치를 연결하는 데이터 경로 위에 데이터 및 커멘드(command)의 직접적인 흐름에 따른 하드웨어 장치를 제공함으로서,데이터 암호화-암호해독 장치의 존재가 호스트 및 저장장치 중 어디에도 알려지지 않는다. 호스트, 데이터 암호화-암호해독 장치 및 저장 장치는 실질적으로 직렬로 연결된다.Another object of the present invention is to provide a hardware device according to the direct flow of data and commands over a data path connecting the host and the storage device, such that the existence of the data encryption-decryption device is unknown to either the host or the storage device. . The host, data encryption-decryption device and storage device are substantially serially connected.

호스트의 관점에서 보아, 데이터 암호화-암호해독 장치는 데이터 저장 장치로 간주된다. 반대로, 데이터 저장장치의 관점에서 보아, 데이터 암호화-암호해독 장치는 호스트로 간주된다. 그러므로, 데이터 인터페이스 및 통신에 관련하여서는, 데이터 암호화-암호해독 장치는 보이지 않는다. 따라서, 호환성 문제는 존재하지 않는다.From the host's point of view, a data encryption-decryption device is considered a data storage device. In contrast, from a data storage point of view, the data encryption-decryption device is considered a host. Therefore, with regard to data interface and communication, no data encryption-decryption device is visible. Therefore, no compatibility problem exists.

본 발명의 세번째 목적은 수신된 데이터타입을 구별하기 위해 인공지능 판단(intelligent decision)을 할 수 있는 장치를 제공한다. 일례로, 커맨드 또는 제어 신호가 검출되면, 장치는 암호화 또는 암호해독이 요구되지 않는 것으로 판단된다. 반면, 데이터 신호가 수신될 때, 장치는 암호화 또는 암호해독이 실행되어야함을 또한 알고 있다. 그 장치의 판단 능력은 호스트로부터 상기 판단에 대한 부담을 덜어주며, 그에 의해 동작 효과가 상승한다.A third object of the present invention is to provide an apparatus capable of making an intelligent decision to distinguish a received data type. In one example, if a command or control signal is detected, the device is determined to not require encryption or decryption. On the other hand, when a data signal is received, the device also knows that encryption or decryption should be performed. The determination capability of the device offloads the determination from the host, thereby increasing the operational effect.

다른 바람직한 실시예는 주제어기(main control)의 명령에 따라 암호화 또는 암호해독할 데이터를 차단하기 위한 차단장치(interceptive)가 주제어기와 신호 전송라인(signal transmission line) 사이에 배치할 수 있다.In another preferred embodiment, an interceptive for blocking data to be encrypted or decrypted according to the command of the main control may be arranged between the main controller and the signal transmission line.

또 다른 바람직한 실시예는, 전-암호해독화(pre-decryped) 및 암호화된 데이터와 전-암호화(pre-encryped) 및 암호해독된 데이터의 저장을 위한 두 개의 데이터 버퍼를 채용하는 것으로, 하나의 버퍼는 데이터 암호화-암호해독 장치 및 데이터 저장장치 사이에 제공되고, 다른 하나의 버퍼는 데이터 암호화-암호해독 장치 및 데이터 생성장치 사이에 제공된다.Another preferred embodiment employs two data buffers for the storage of pre-decrypted and encrypted data and pre-encryped and decrypted data. A buffer is provided between the data encryption-decryption device and the data storage device, and another buffer is provided between the data encryption-decryption device and the data generation device.

이하 도면의 설명 및 지시는 본 발명의 형태 및 개념의 이해를 돕기위해 제공된다.The following description and instructions are provided to assist in understanding the form and concept of the invention.

도 1은 본 발명에 따른 종래기술 암호화의 개략적인 블럭도이다.1 is a schematic block diagram of prior art encryption in accordance with the present invention.

도 2는 본 발명의 제1실시예에서 데이터-생성 장치, 데이터 암호화-암호해독 장치 및 데이터 저장 장치 사이에서의 관계를 나타낸 개략적인 블럭도이다.Fig. 2 is a schematic block diagram showing the relationship between a data-generating device, a data encryption-decryption device, and a data storage device in the first embodiment of the present invention.

도 3은 본 발명의 제2실시예에서 데이터-생성 장치, 데이터 암호화-암호해독 장치 및 데이터 저장 장치 사이에서의 관계를 나타낸 개략적인 블럭도이다.3 is a schematic block diagram showing the relationship between a data-generating device, a data encryption-decryption device and a data storage device in a second embodiment of the present invention.

도 4는 본 발명의 제3실시예에서 데이터-생성 장치, 데이터 암호화-암호해독 장치 및 데이터 저장 장치 사이에서의 관계를 나타낸 개략적인 블럭도이다.4 is a schematic block diagram showing a relationship between a data-generating device, a data encryption-decryption device and a data storage device in a third embodiment of the present invention.

도 5는 본 발명에 따른 데이터 암호화-암호해독 장치 구조의 바람직한 실시예를 나타낸 개략적인 블럭도이다.5 is a schematic block diagram showing a preferred embodiment of the data encryption-decryption apparatus structure according to the present invention.

♣도면의 주요 부분에 대한 부호의 설명 ♣♣ Explanation of symbols for the main parts of the drawing ♣

1 : 하드디스크 2 : 중앙처리장치1: Hard Disk 2: Central Processing Unit

3 : 암호화 소프트웨어 3 : 가속칩3: encryption software 3: acceleration chip

11,21,31.42:데이터 저장 장치 12,22,32,43:데이터암호화 암호해독장치11,21,31.42: data storage device 12,22,32,43: data encryption decryption device

13,23,33,41 : 데이터-생성 장치 431 : 차단장치13,23,33,41: data-generating device 431: blocking device

432 : 주제어기 433 : 데이터-생성 제어장치432: master controller 433: data-generating controller

434 : 데이터저장제어장치 435 : 입력버퍼434: Data storage control device 435: Input buffer

436 : 데이터암호화-암호해독 엔진 437 : 출력버퍼436: data encryption-decryption engine 437: output buffer

본 발명은 데이터 저장용 암호화-암호해독 장치에 관한 것으로, 특히, 암호화-암호 해독 프로세스를 수행하기 위하여 데이터-생성 장치와 데이터 저장 장치를 연결하는 데이터 경로 상에 직렬로 제공된 데이터 암호화-암호해독 하드웨어 장치에 관한 것이다. 이 암호화-암호해독 장치는 전체 시스템 성능을 떨어뜨리지 않는 개선된 데이터 암호화(및 암호해독) 구성 및 범용 시스템 적용물을 제공한다.The present invention relates to an encryption-decryption device for data storage, and more particularly, to data encryption-decryption hardware provided in series on a data path connecting a data-generating device and a data storage device to perform an encryption-decryption process. Relates to a device. This encryption-decryption device provides improved data encryption (and decryption) configurations and general purpose system applications that do not degrade overall system performance.

도 2에 도시된 바와 같이, 본 발명의 제 1 실시예는 데이터 경로 상에 위치된 데이터 암호화-암호해독 장치이다. 암호화-암호해독 장치가 데이터 저장 장치(11)와 데이터 생성 장치(13)를 연결하는 데이터 경로 상에 직렬로 제공되기 때문에, 이 데이터 암호화-암호해독 장치(12)는 데이터 저장 장치(11)와 데이터 생성 장치(13)을 접속하는 브리지의 역할을 한다. 데이터 암호화-암호해독 장치(12)는 CPU, DRAM 또는 다른 시스템 자원과 같은 데이터 생성 장치(13)의 자원을 사용하지 않고 독립적으로 암호화-암호해독 동작을 수행할 수 있다. 데이터 저장장치(11)의 관점에서, 데이터 암호화-암호해독 장치(12)는 가상 데이터 생성 장치(13)로 간주된다. 유사하게, 데이터 생성 장치(13)의 관점에서, 데이터 암호화-암호해독 장치(12)는 가상 데이터 저장 장치(11)로 다루어진다. 데이터 인터페이스 및 통신과 관련하여서는, 데이터 암호화-암호해독 장치는 무형의 것이다. 그러므로, 이들 2개의 장치들 사이의 데이터 통신은 장애없이 수행될 것이다.As shown in Fig. 2, the first embodiment of the present invention is a data encryption-decryption apparatus located on the data path. Since the encryption-decryption device is provided in series on a data path connecting the data storage device 11 and the data generating device 13, the data encryption-decryption device 12 is connected with the data storage device 11. It serves as a bridge for connecting the data generating device 13. The data encryption-decryption apparatus 12 may perform the encryption-decryption operation independently without using the resources of the data generation device 13 such as CPU, DRAM or other system resources. In view of the data storage device 11, the data encryption-decryption device 12 is regarded as a virtual data generation device 13. Similarly, in view of the data generation device 13, the data encryption-decryption device 12 is treated as a virtual data storage device 11. With regard to data interfaces and communications, data encryption-decryption devices are intangible. Therefore, data communication between these two devices will be performed without failure.

상기 언급한 데이터 저장 장치(11)는 하드 디스크, 플로피 디스크, CD, 자기 테이프, CD-RW, MOD(Magnetic Optic Drive), 디지탈 비디오 레코더, 플레시 메모리 카드(FC), PCMCIA 카드 등과 같은 저장 매체를 포함한 임의의 데이터 저장 매체일 수 있다. 데이터 생성 장치(13)는 호스트 컴퓨터, 노트북, 마이크로프로세서, 라우터 및 인터페이스 카드 등과 같은 모든 데이터 저장, 데이터 처리 및 데이터 공급 미디어를 포함한 임의의 데이터 생성 장치로 언급될 수 있다. 암호화-암호해독 제어를 위하여 소프트웨어 프로그램에 의해 보조되어, 데이터 암호화-암호해독 장치(12)는 암호화-암호해독 동작을 독립적으로 수행한다. 이러한 구성은 전체 시스템 퍼포먼스를 손상시키지 않고 양호한 결과를 제공한다.The above-mentioned data storage device 11 may be a storage medium such as a hard disk, floppy disk, CD, magnetic tape, CD-RW, MOD (Magnetic Optic Drive), digital video recorder, flash memory card (FC), PCMCIA card, or the like. It can be any data storage medium included. The data generation device 13 may be referred to as any data generation device including all data storage, data processing and data supply media such as host computer, notebook, microprocessor, router and interface card and the like. Assisted by a software program for encryption-decryption control, the data encryption-decryption apparatus 12 independently performs the encryption-decryption operation. This configuration provides good results without compromising the overall system performance.

도 3에 도시된 바와 같이, 본 발명의 제 2 실시예는 데이터 경로 상에 위치되어 있는 데이터 암호화-암호해독 장치이다. 이 실시예에서는, 제어 하드웨어 및 드라이버 또는 데이터 저장 장치(21)의 설계 변경을 요구하지 않도록 IC 칩 형태의 데이터 암호화-암호해독 장치(22)가 데이터 저장 장치(21)(예를 들면, 하드 디스크, 플로피 디스크, 플래시 메모리 카드, 디지탈 비디오 레코더 또는 CD-RW 등) 내측에 지정된 아웃고잉 전송 인터페이스의 전단부(front end)프론트 엔드 상에 직렬로 설치된다. IDE, PCI, 1394, SCSI, PCMCIA 또는 USB 등의 소켓 형태로, 지정된 아웃고잉 전송 인터페이스는 데이터 저장 장치(21)와 데이터 생성 장치(23) 사이에서 전송되는 데이터의 암호화 및 암호해독을 허용한다. 도 4에 도시된 바와 같이, 본 발명의 제 3 실시예는 데이터 경로 상에 위치되어 있는 데이터 암호화-암호해독 장치이다. 이 실시예에서, 마찬가지로 IC 칩 형태의 데이터 암호화-암호해독 장치(32)는 데이터 생성 장치(33)(예를 들면, 호스트, 노트북, 마이크로프로세서, 플래시 메모리 카드 및 인터페이스 카드 등)의 내측에서, 지정된 아웃고잉 전송 인터페이스의 프론트 엔드 상에 직렬로 설치된다. IDE, PCI, 1394, SCSI, PCMCIA 또는 USB 등의 소켓 형태로, 지정된 아웃고잉 전송 인터페이스는 데이터 저장 장치(31)와 데이터 생성 장치(33) 사이에서 전송되는 데이터의 암호화 및 암호해독을 허용한다.As shown in Fig. 3, the second embodiment of the present invention is a data encryption-decryption apparatus located on the data path. In this embodiment, the data encryption-decryption device 22 in the form of an IC chip forms the data storage device 21 (for example, a hard disk) so as not to require a design change of the control hardware and the driver or the data storage device 21. And serially on the front end front end of the outgoing transfer interface designated inside a floppy disk, flash memory card, digital video recorder or CD-RW. In the form of sockets such as IDE, PCI, 1394, SCSI, PCMCIA or USB, the designated outgoing transfer interface allows for the encryption and decryption of data transferred between the data storage device 21 and the data generating device 23. As shown in Fig. 4, the third embodiment of the present invention is a data encryption-decryption apparatus located on the data path. In this embodiment, the data encryption-decryption device 32 in the form of an IC chip is likewise inside the data generation device 33 (e.g., host, notebook, microprocessor, flash memory card and interface card, etc.). It is installed in series on the front end of the designated outgoing transport interface. In the form of a socket such as IDE, PCI, 1394, SCSI, PCMCIA or USB, the designated outgoing transfer interface allows for the encryption and decryption of data transferred between the data storage device 31 and the data generating device 33.

도 2 내지 4의 실시예들은 본 발명에 의해 많은 다양한 결합이 채택될 수 있음을 나타내고 있다. 일 실시예에서 데이터 암호화-암호해독 장치는 데이터 생성 장치와 데이터 저장 장치 사이에 제공되는 허브(hub)와 같은 독립형 하드웨어 장치일 수 있다. 다른 실시예에서 이것은 데이터 생성 장치 또는 데이터 저장 장치 내측에 설치될 수 있다. IDE, PCI, 1394, SCSI, USB 또는 다른 통신 인터페이스와 비교하면, 이는 또한 다양한 통신 프로토콜에 적응하는 지정된 인터페이스의 역할을 한다. 그러므로, 본 발명의 응용 범위는 단일 호스트와 그의 주변 저장 미디어 간의 기본 데이터 암호화로부터 로컬 영역 네트워크(LAN)와 인터넷상의 접속 및 통신을 포함하는 범위까지 확대된다.2-4 show that many different combinations can be employed by the present invention. In one embodiment, the data encryption-decryption device may be a standalone hardware device such as a hub provided between the data generation device and the data storage device. In other embodiments it may be installed inside the data generation device or the data storage device. Compared to IDE, PCI, 1394, SCSI, USB or other communication interfaces, it also serves as a designated interface that adapts to various communication protocols. Therefore, the application scope of the present invention extends from basic data encryption between a single host and its peripheral storage media to a range including connection and communication on a local area network (LAN) and the Internet.

도 5는 본 발명의 바람직한 실시예에 따른 데이터 암호화-암호해독 장치의 상세한 구성을 도시하며, 여기서 데이터 암호화-암호해독 장치는 데이터 생성 장치(41)와 데이터 저장 장치(42)를 연결하는 데이터 경로상에 위치되고, 차단기(interceptor)(431)가 그의 일단부가 상기 데이터 경로에 접속되고 그의 다른 단부가 주제어기(432)에 접속되도록 제공되고, 상기 주제어기(432)는 데이터 생성 제어 장치(433), 데이터 저장 제어 장치(434) 및 데이터 암호화-암호해독 엔진(436)에 전기적으로 접속되며, 상기 데이터 암호화-암호해독 엔진(436)은 그의 일 단부가 데이터 생성 장치(41)에 접속된 입력 버퍼(435)에 직렬로 접속되고, 그의 다른 단부가 데이터 저장장치(42)에 접속되는 출력버퍼(437)에 직렬로 접속되도록 구성된다. 부가적으로, 데이터 생성 제어 장치(433)는 데이터 생성 장치(41)에 전기적으로 접속되고 데이터 저장 제어 장치(434)는 데이터 저장 장치(42)에 전기적으로 접속된다.5 shows a detailed configuration of a data encryption-decryption apparatus according to a preferred embodiment of the present invention, where the data encryption-decryption apparatus connects a data path connecting the data generation device 41 and the data storage device 42. Positioned at the top, and an interrupter 431 is provided so that one end thereof is connected to the data path and the other end thereof is connected to the main controller 432, and the main controller 432 is a data generation control device 433. Is electrically connected to the data storage control device 434 and the data encryption-decryption engine 436, the data encryption-decryption engine 436 having an input at one end thereof connected to the data generation device 41. It is configured to be connected in series with the buffer 435 and its other end is connected in series with the output buffer 437 which is connected to the data storage device 42. In addition, the data generation control device 433 is electrically connected to the data generation device 41 and the data storage control device 434 is electrically connected to the data storage device 42.

상기 구성에 의하여, 상기 주제어기(432)는 데이터 생성 장치(41)에서 생성되고 차단기(431)에 의해 이후에 가로채진 인입(incoming) 데이터가 암호화(또는 암호해독)되어야하는지 또는 통과되어야하는지를 결정한다. 따라서, 커맨드 또는 제어 신호는 암호화없이 데이터 저장 장치를 통과하고 그에 전송되는 것이 허용된다. 데이터 생성 제어 장치(433), 데이터 저장 제어 장치(434) 및 데이터 암호화-암호해독 엔진(436)에 인입 데이터가 통지될 때, 데이터 생성 제어 장치(433)는 제어 신호를 전송하거나 수신하고, 데이터 암호화-암호해독 장치와 데이터 생성 장치(41) 사이의 인터페이스로서의 역할을 한다. 다시 말해서, 통신 모드는 데이터 생성 장치(41)의 인터페이스에 의해 결정된다. 예를 들면, 데이터 생성 장치(41)가 호스트이고 통신을 위해 IDE 인터페이스를 사용하고 있는 경우, IDE 프로토콜은 통신 모드일 것이다. 한편, 호스트가 PCI 인터페이스를 구비하고 이를 사용하고 있다면, PCI 프로토콜이 통신 모드가 될 것이다. 유사하게, 데이터 저장 제어 장치(434)가 제어 신호를 전송하거나 수신하고 데이터 암호화-암호해독 장치와 데이터 저장 장치(42) 사이의 인터페이스로서의 역할을 하기 때문에, 지정된 데이터가 주제어기(44)의 제어 신호에 응답하여 암호화되거나 암호해독 중일 때 다양한 통신 모드들이 포함된다. 입력 버퍼(435)와 출력 버퍼(437)는, 사전에 암호화되거나 암호해독된 데이터와 사전에 암호해독되거나 암호화된 데이터를 각각 저장하기 위하여, 데이터 암호화-암호해독 엔진(436)과 데이터 생성 장치(41) 사이와, 데이터 암호화-암호해독 엔진(436)과 데이터 저장 장치(42)사이에 제공된다. 상기 데이터 버퍼는 또한 데이터 길이를 변환(convert)시킬 수 있다. 데이터 생성 장치(41)는 통상 1-비트, 8-비트, 16-비트, 32-비트 또는 64-비트 인터페이스를 갖는다. 입력 버퍼(435)는 암호화동안 데이터 생성 장치(41)로부터의 인입 데이터를 변환시키고, 암호화후에, 출력 버퍼(437)는 그 다음 데이터 저장 장치(42)내에 저장하기 위해 암호화된 데이터를 변형(transform)시킨다.By this arrangement, the master controller 432 determines whether incoming data generated at the data generating device 41 and subsequently intercepted by the breaker 431 should be encrypted (or decrypted) or passed through. do. Thus, the command or control signal is allowed to pass through and be transmitted to the data storage without encryption. When incoming data is notified to the data generation control device 433, the data storage control device 434, and the data encryption-decryption engine 436, the data generation control device 433 transmits or receives a control signal, and the data It serves as an interface between the encryption-decryption device and the data generating device 41. In other words, the communication mode is determined by the interface of the data generating device 41. For example, if the data generating device 41 is a host and is using an IDE interface for communication, the IDE protocol will be in communication mode. On the other hand, if the host has a PCI interface and is using it, then the PCI protocol will be in communication mode. Similarly, since the data storage control device 434 transmits or receives a control signal and serves as an interface between the data encryption-decryption device and the data storage device 42, the designated data is controlled by the master controller 44. Various communication modes are included when being encrypted or decrypted in response to a signal. The input buffer 435 and the output buffer 437 are each a data encryption-decryption engine 436 and a data generating device to store pre-encrypted or decrypted data and pre-decrypted or encrypted data, respectively. 41, and between the data encryption-decryption engine 436 and the data storage device 42. The data buffer may also convert the data length. The data generating device 41 typically has a 1-bit, 8-bit, 16-bit, 32-bit or 64-bit interface. The input buffer 435 transforms incoming data from the data generating device 41 during encryption, and after encryption, the output buffer 437 then transforms the encrypted data for storage in the data storage device 42. )

재생을 위하여, 암호화-암호해독 목적으로 본 발명은 데이터 생성 장치와 데이터 저장 장치를 연결하는 데이터 경로 상에 직렬로 제공된 데이터 암호화-암호해독 장치를 개시한다. 본 발명이 새로운 구성을 개시하고 있으며 종래 기술에 비하여 창의적인 단계들을 제공하고 있다는 것은 자명하다.For reproduction, for the purpose of encryption-decryption the present invention discloses a data encryption-decryption device provided serially on a data path connecting the data generation device and the data storage device. It is apparent that the present invention discloses a new configuration and provides creative steps compared to the prior art.

본 발명은 몇가지 바람직한 실시예에 의하여 설명되었지만, 본 발명의 범위에서 벗어나지 않은 다양한 대안 및 수정이 관련 기술분야의 당업자들에 의해 행해질 수 있다. 따라서, 본 발명은 청구항의 범위내에 있는 그러한 모든 대안들을 포함하는 것으로 간주되어야 한다.While the invention has been described in terms of several preferred embodiments, various alternatives and modifications may be made by those skilled in the art without departing from the scope of the invention. Accordingly, the invention is to be regarded as including all such alternatives falling within the scope of the claims.

이상에서 설명한 바와 같이, 본 발명에 따르면, 본 발명의 데이터 생성 장치의 자원이 동작중에 포함되지 않기 때문에, 데이터 암호화-암호해독 장치는 전체 시스템 퍼포먼스를 포함하지 않으면서 데이터 암호화-암호해독을 수행할 수 있다.As described above, according to the present invention, since the resources of the data generating device of the present invention are not included in operation, the data encryption-decryption device can perform data encryption-decryption without including the whole system performance. Can be.

또한, 본 발명의 암호화 암호해독 장치에 따르면, 데이터 생성 장치와 데이터 저장 장치 모두를 수용하기 위한 상당하는 인터페이스 용량을 제공함으로써, 데이터 암호화-암호해독 장치는 데이터 생성 장치와 데이터 저장 장치에 투명하게 된다.Further, according to the encryption decryption apparatus of the present invention, by providing a corresponding interface capacity for accommodating both the data generation apparatus and the data storage apparatus, the data encryption-decryption apparatus is transparent to the data generation apparatus and the data storage apparatus. .

부가적으로, 적합한 데이터 전송 프로토콜과 인터페이스를 채택함으로써, 데이터 생성 장치, 데이터 암호화-암호해독 장치 및 데이터 저장 장치 사이에서, 지정된 인터페이스로서, 본 발명은 호스트와 주변 저장 미디어 간의 암호화로부터 LAN 및 인터넷상의 접속 및 통신을 포함하는 범위까지 확장되는 응용 범위를 허용한다.In addition, by employing an appropriate data transfer protocol and interface, as a designated interface, between the data generating device, the data encryption-decryption device and the data storage device, the present invention provides a method for providing a network on the LAN and the Internet from encryption between the host and the peripheral storage media. Allows for a range of applications that extends to include connectivity and communication.

Claims (5)

인입 데이터를 암호화 및 암호해독할 수 있는 암호화-암호해독 장치에 있어서,An encryption-decryption device capable of encrypting and decrypting incoming data, 외부 데이터 생성 장치와 통신할 수 있는 데이터-생성 제어 장치와,A data-generating control device capable of communicating with an external data generating device, 외부 데이터 저장 장치와 통신할 수 있는 데이터 저장 제어 장치와,A data storage control device capable of communicating with an external data storage device, 암호화 및 암호해독 기능을 제공하기 위한 데이터 암호화-암호해독 장치와,A data encryption-decryption device for providing encryption and decryption functions; 상기 데이터-생성 제어 장치, 상기 데이터 저장 제어 장치 및 상기 데이터 암호화 및 암호해독 장치 각각에 접속하여 이들을 동일하게 제어하기 위한 제어 장치를 포함하며, 상기 제어 장치는 차단 장치(interceptive device)를 더 포함하며, 상기 차단 장치는 상기 인입 데이터가 상기 데이터 암호화-암호해독 장치에 의해 암호화될 필요가 있는지 또는 암호해독될 필요가 있는지를 판단하기 위하여 상기 인입 데이터를 인터셉트할 수 있으며, 상기 인입 데이터가 암호화되거나 암호해독될 필요가 없다고 상기 차단 장치가 판단하였을 때, 상기 인입 데이터는 암호화되거나 암호해독 없이 직접 전송되는,A control device for accessing each of the data-generation control device, the data storage control device, and the data encryption and decryption device and controlling them equally, wherein the control device further comprises an interceptive device; And the blocking device may intercept the incoming data to determine whether the incoming data needs to be encrypted or decrypted by the data encryption-decryption device, and the incoming data is encrypted or encrypted. When the blocking device determines that it does not need to be decrypted, the incoming data is encrypted or transmitted directly without decryption, 암호화-암호해독 장치.Encryption-Decryption Device. 삭제delete 선정된 인터페이스를 통해 데이터 저장 장치와 데이터-생성 장치와 접속하는 암호화-암호해독 장치에 있어서,In an encryption-decryption device that connects to a data storage device and a data-generating device through a predetermined interface, 상기 암호화-암호해독 장치는 상기 데이터 저장 장치와 상기 데이터-생성 장치사이에 직렬로 연결되어 이들간의 데이터 전송을 위한 브리지로서 작용하기 위한 하드웨어 장치이며,The encryption-decryption device is a hardware device connected in series between the data storage device and the data-generating device to act as a bridge for data transmission therebetween, 상기 암호화-암호해독 장치는 제어 장치와 데이터의 적어도 일부분을 암호화하고 암호해독하기 위한 데이터 암호화-암호해독 장치를 더 포함하고,The encryption-decryption device further comprises a data encryption-decryption device for encrypting and decrypting at least a portion of the control device and data, 상기 제어 장치는 상기 데이터가 상기 데이터 암호화-암호해독 장치에 의해 암호화되거나 암호해독 될 필요가 있는지를 판단하기 위하여 데이터를 인터셉트할 수 있는 차단장치를 더 포함하며,The control device further includes a blocking device capable of intercepting the data to determine whether the data needs to be encrypted or decrypted by the data encryption-decryption device, 상기 데이터가 암호화되거나 암호해독될 필요가 없다고 상기 차단 장치가 판단하였을 때, 상기 데이터는 암호화되거나 암호해독 없이 직접 전송되는,When the blocking device determines that the data does not need to be encrypted or decrypted, the data is encrypted or transmitted directly without decryption, 암호화-암호해독 장치Encryption-Decryption Device 제3항에 있어서,The method of claim 3, 상기 데이터 암호화-암호해독 장치는 상기 데이터-생성 장치 내에 제공되는 IC 칩이고 상기 데이터-생성 장치에 위치한 인터페이스의 전단부(fron end)상에 연속적으로 제공되는, 암호화-암호해독 장치.And the data encryption-decryption device is an IC chip provided in the data-generation device and is continuously provided on the front end of an interface located in the data-generation device. 제3항에 있어서,The method of claim 3, 상기 데이터 암호화-암호해독 장치는 상기 데이터 저장 장치 내에 제공되는 IC 칩이고 상기 데이터 저장 장치에 위치한 인터페이스의 전단부상에 연속적으로 제공되는, 암호화-암호해독 장치.And the data encryption-decryption device is an IC chip provided in the data storage device and is provided continuously on the front end of an interface located in the data storage device.
KR10-2001-0071568A 2001-11-17 2001-11-17 encryption-decryption device for data storage KR100445288B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0071568A KR100445288B1 (en) 2001-11-17 2001-11-17 encryption-decryption device for data storage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0071568A KR100445288B1 (en) 2001-11-17 2001-11-17 encryption-decryption device for data storage

Publications (2)

Publication Number Publication Date
KR20030040909A KR20030040909A (en) 2003-05-23
KR100445288B1 true KR100445288B1 (en) 2004-08-21

Family

ID=37417417

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0071568A KR100445288B1 (en) 2001-11-17 2001-11-17 encryption-decryption device for data storage

Country Status (1)

Country Link
KR (1) KR100445288B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4829639B2 (en) 2006-02-24 2011-12-07 キヤノン株式会社 Data processing apparatus and data processing method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR970012163A (en) * 1995-08-31 1997-03-29 존 엠. 클락 3세 Automatic inspection of encryption algorithms in built-in security encryption device
KR20000004442A (en) * 1998-06-30 2000-01-25 전주범 Memory coding apparatus

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR970012163A (en) * 1995-08-31 1997-03-29 존 엠. 클락 3세 Automatic inspection of encryption algorithms in built-in security encryption device
KR20000004442A (en) * 1998-06-30 2000-01-25 전주범 Memory coding apparatus

Also Published As

Publication number Publication date
KR20030040909A (en) 2003-05-23

Similar Documents

Publication Publication Date Title
US7136995B1 (en) Cryptographic device
US5943421A (en) Processor having compression and encryption circuitry
KR100770421B1 (en) A system and method for manipulating a computer file and/or program
KR101201622B1 (en) Soc with security function and device and scan method using the same
US8627100B2 (en) Separate type mass data encryption/decryption apparatus and implementing method therefor
KR100899469B1 (en) Hybrid cryptographic accelerator and method of operation thereof
US8412854B2 (en) Secure communication port redirector
CN110618947A (en) Techniques for secure I/O with memory encryption engine
US11907389B2 (en) Data release control based on authentication and link protection
US7320071B1 (en) Secure universal serial bus
US8839359B2 (en) Data processing device and data processing method
JP4740830B2 (en) Chipset security off-road engine
JP2013232219A (en) Methods and apparatus for secure handling of data in microcontroller
JP2001339383A (en) Semiconductor device for authentication communication
US6032259A (en) Secure network authentication server via dedicated serial communication path
US11243881B2 (en) Practical ORAM delegation for untrusted memory on cloud servers
JP3581601B2 (en) Data transfer device, data transfer system and recording medium
US20080080715A1 (en) Apparatus and method for high-speed, large-volume data encryption using secure memory
JP2007501481A (en) Recording medium having encryption instruction information
JP2001211163A (en) Architecture of ciphering circuit free of performance loss and actualizing ciphering algorithm of various types at same time
JP2007310601A (en) Microcomputer and method for protecting its software
KR100445288B1 (en) encryption-decryption device for data storage
KR100676674B1 (en) An apparatus and method of data I/O acceleration for high speed data I/O
US20050044408A1 (en) Low pin count docking architecture for a trusted platform
CN107292196A (en) The reading/writing method and device of I/O data

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130808

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140717

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20150702

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20160707

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20170706

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20180719

Year of fee payment: 15

FPAY Annual fee payment

Payment date: 20190801

Year of fee payment: 16