KR102201093B1 - 암호화를 이용한 데이터 보안 시스템 - Google Patents

암호화를 이용한 데이터 보안 시스템 Download PDF

Info

Publication number
KR102201093B1
KR102201093B1 KR1020197035893A KR20197035893A KR102201093B1 KR 102201093 B1 KR102201093 B1 KR 102201093B1 KR 1020197035893 A KR1020197035893 A KR 1020197035893A KR 20197035893 A KR20197035893 A KR 20197035893A KR 102201093 B1 KR102201093 B1 KR 102201093B1
Authority
KR
South Korea
Prior art keywords
mobile device
data
data security
user
security system
Prior art date
Application number
KR1020197035893A
Other languages
English (en)
Other versions
KR20190137960A (ko
Inventor
레브 엠. 볼로틴
알렉스 레멜레브
마크 싱어
Original Assignee
클레브엑스 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/987,749 external-priority patent/US10181055B2/en
Application filed by 클레브엑스 엘엘씨 filed Critical 클레브엑스 엘엘씨
Publication of KR20190137960A publication Critical patent/KR20190137960A/ko
Application granted granted Critical
Publication of KR102201093B1 publication Critical patent/KR102201093B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Abstract

데이터 보안 시스템 및 그 동작 방법은 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함한다.

Description

암호화를 이용한 데이터 보안 시스템{DATA SECURITY SYSTEM WITH ENCRYPTION}
관련 출원(들)에 대한 상호 참조
본 출원은 그 주제가 본 출원에 참조되어 포함된 2007년 9월 27일자로 출원된 미국 특허 가출원 제60/975,814호의 이익을 주장하는, 2008년 9월 26일자로 출원된 국제 출원 제PCT/US2008/077766호의 국내 단계인, 2010년 3월 29일자로 출원된 동시 계류중인 미국 특허 출원 제12/680,742호의 일부 계속 출원인, 2016년 1월 4일자로 출원된 미국 특허 출원 제14/987,749호의 우선권을 주장한다.
본 출원은 Lev M. Bolotin 및 Simon B. Johnson에 의해 "DATA SECURITY SYSTEM WITH ENCRYPTION(암호화를 이용한 데이터 보안 시스템)"이라는 명칭으로 동시에 출원된 미국 특허 출원과 관련된 주제를 포함한다. 관련 출원은 ClevX, LLC에 양도되고 대리인 문서 관리 번호 502-018P-PCT-US.C1로 식별된다. 관련 출원의 주제는 본 출원에 참조되어 포함된다.
기술 분야
본 발명은 일반적으로 전자 디바이스들에 관한 것으로, 보다 상세하게는 메모리 디바이스들에 관한 것이다.
보안은 컴퓨터 사용의 거의 모든 측면에서 중요한 문제이다. 컴퓨터들에 연결된 하드 디스크 드라이브들과 같은 저장 매체에는 데이터 도난에 취약한 귀중한 정보가 들어있다. 개인, 기업 및 정부 보안 정보를 보호하는데 많은 돈과 노력이 적용되고 있다.
휴대용 메모리 저장 디바이스들은 더 작아지고, 더 쉽게 손실되고, 더 많이 유비쿼터스화되고, 더 저렴해지고, 메모리 용량이 더 커짐에 따라, 이들은 특이한 보안 문제들을 제기하게 되었다. 현재 범용 직렬 버스 플래시 및 마이크로 드라이브들, 셀폰들, 캠코더들, 디지털 카메라들, iPOD들, MP3/4 플레이어들, 스마트 폰들, 팜 및 랩톱 컴퓨터들, 게임 장비, 인증자들, (메모리를 포함하는) 토큰들 등 - 대개 대용량 저장 디바이스(mass storage device)(MSD)임 - 과 같은 휴대용 메모리 저장 디바이스들에 방대한 양의 정보를 부정하게 다운로드하는 것이 가능하다.
보다 구체적으로, 정보를 컴퓨터로부터 쉽게 다운로드하여 가져가 버릴 수 있는 백업, 전송, 중간 저장 및 일차 저장을 위해 수백만 개의 MSD가 사용되고 있다. 모든 MSD의 주 목적은 특정 컴퓨터가 아닌 특정 소유자에게 결부된 데이터 및 정보인 "휴대용 콘텐츠(portable content)"를 저장하고 검색하는 것이다.
저장소 보안을 제공하는 가장 일반적인 수단은 컴퓨터에 입력되는 패스워드로 사용자를 인증하는 것이다. 패스워드는 MSD 저장 값에 대해 유효성이 입증된다. 일치함이 발생하면 드라이브는 열릴 것이다. 또는 패스워드 자체가 암호화 키로서 사용되어 MSD에 저장된 데이터를 암호화/암호해독 한다.
실시간 암호화(on-the-fly encryption)를 지원하는 드라이브들의 경우, 암호화 키는 종종 암호화된 형태로 미디어 상에 저장된다. 암호화 키는 미디어 상에 저장되기 때문에, 표준 인터페이스를 우회하여 미디어를 직접 읽고자 하는 사람들에게 쉽게 이용 가능해진다. 따라서, 패스워드는 암호화 키를 암호화하는 키로 사용된다.
자체 인증 드라이브들의 경우, 이들의 인증 서브시스템은 보안을 유지할 책임을 진다. 이것이 연결되는 호스트 컴퓨터에 대한 종속성은 없다. 따라서, 패스워드는 MSD를 잠금해제(unlock)하기 위해 호스트로부터 전송될 수 없다(또는 전송할 필요가 없다). 사실, 암호화 키는 더 이상 미디어 상에 저장될 필요가 없다. 인증 서브시스템은 암호화 키를 관리하는 수단이 된다.
따라서, 보안을 개선할 필요성이 여전히 남아있다. 시장에서 의미 있는 제품 차별화에 대한 소비자 기대들이 커지고 기회들이 줄어드는 것과 함께 끊임없이 증가하는 상업적 경쟁 압력에 비추어 볼 때, 이러한 문제에 대한 해답을 찾는 것이 중요하다. 또한 비용을 줄이고, 효율성 및 성능을 개선하고, 경쟁 압력에 대처할 필요는 이러한 문제들에 대한 해답을 찾기 위한 절실한 필요성에 시급함을 훨씬 더 크게 가중시킨다.
이러한 문제들에 대한 해결책은 오랫동안 추구되어 왔지만, 종래의 개발들은 어떠한 해결책들도 교시하거나 제안되지 않았으며, 그래서 이러한 문제들에 대한 해결책들은 관련 기술분야에서 통상의 기술자에게 오랫동안 이룰 수가 없었다.
본 발명은: 데이터 보안 시스템과의 연결성을 위해 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계; 데이터 보안 시스템 애플리케이션을 시작하는 단계; 및 모바일 디바이스와 데이터 보안 시스템의 연결성을 유지하는 단계를 포함하는 데이터 보안 시스템의 동작 방법을 제공한다.
본 발명은: 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함하는 데이터 보안 시스템을 제공한다.
본 발명의 특정 실시예들은 상기 언급된 양태들 이외에 또는 상기 언급된 양태들 대신 다른 양태들을 갖는다. 양태들은 첨부 도면들을 참조할 때 다음의 상세한 설명을 읽음으로써 관련 기술분야에서 통상의 기술자에게 명백해질 것이다.
도 1은 본 발명의 실시예에 따른 데이터 보안 시스템의 개략도이다.
도 2는 데이터 보안 시스템과 함께 사용되는 인증 키 전달 방법을 도시한다.
도 3은 사용자가 데이터 보안 시스템과 상호 작용하는 상이한 시스템들을 도시한다.
도 4는 사용자가 호스트 컴퓨터 시스템을 사용하여 데이터 보안 시스템과 어떻게 상호 작용하는지를 도시한다.
도 5는 사용자 검증을 데이터 보안 시스템에 이용하는 데이터 보안 방법이다.
도 6은 예시적인 데이터 보안 통신 시스템이다.
도 7은 모바일 디바이스와 데이터 보안 시스템 사이의 동작들의 시퀀스를 도시하는 관리자 시퀀싱 다이어그램이다.
도 8은 모바일 디바이스가 인증 인자인 잠금해제 시퀀스 다이어그램이다.
도 9는 모바일 디바이스로부터 PIN 엔트리를 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 10은 서버/콘솔을 통한 PIN 엔트리 및 사용자 ID/위치/시간 검증을 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 11은 서버/콘솔을 사용하여 데이터 보안 시스템을 리셋하는 것을 도시하는 리셋 시퀀싱 다이어그램이다.
도 12는 서버/콘솔을 사용하여 데이터 보안 시스템을 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 13은 서버/콘솔을 사용하는 사용자의 패스워드 변경 시퀀싱 다이어그램이다.
다음의 실시예들은 관련 기술분야에서 통상의 기술자가 본 발명을 제작하고 사용할 수 있도록 충분히 상세하게 설명된다. 다른 실시예들은 본 개시내용에 기초하여 명백할 것이며, 시스템, 프로세스 또는 기계적 변경들은 본 발명의 범위를 벗어나지 않고 이루어질 수 있다는 것을 이해하여야 한다.
다음의 설명에서, 본 발명의 완전한 이해를 제공하기 위해 다수의 특정 세부 사항들이 제공된다. 그러나, 본 발명은 이러한 특정 세부 사항들 없이도 실시될 수 있음이 명백할 것이다. 본 발명을 모호하게 하는 것을 피하기 위해, 일부의 공지된 회로들, 시스템 구성들 및 처리 단계들은 상세하게 개시되지 않는다.
마찬가지로, 시스템의 실시예들을 도시하는 도면들은 반 다이어그램적(semi-diagrammatic)이고 축척되지 않으며, 특히 치수들 중 일부는 제시의 명료성을 위한 것이고 도면에서 과장되게 도시된다. 일부 특징들을 공통으로 갖는 다수의 실시예가 그의 예시, 설명 및 이해의 명료성 및 용이함을 위해 개시되고 설명되는 경우, 서로 유사하고 동일한 특징들은 통상적으로 유사하거나 동일한 참조 부호들로 설명될 것이다. 유사하게, 설명의 용이함을 위해 도면들은 일반적으로 유사한 방향들을 보여주기는 하지만, 도면들에서의 이러한 묘사는 대부분 임의적이다. 일반적으로, 본 발명은 모든 방향으로도 동작될 수 있다.
본 명세서에서 사용되는 것으로 "시스템"이라는 용어는 이 용어가 사용되는 맥락에 따라 본 발명의 방법 및 본 발명의 디바이스라고 지칭되고 정의된다. 본 명세서에서 사용되는 것으로 "방법"이라는 용어는 장치들의 동작 단계들이라고 지칭되고 정의된다.
편의상 그리고 제한하지 않기 위해, "데이터"라는 용어는 컴퓨터에 의해 생성되거나 컴퓨터에 저장될 수 있는 정보라고 정의된다. "데이터 보안 시스템"이라는 용어는 저장 매체를 포함하는 임의의 휴대용 메모리 디바이스를 의미하는 것으로 정의된다. 본 명세서에서 사용되는 것으로 "저장 매체"라는 용어는 임의의 고체 상태, NAND 플래시 및/또는 자기 데이터 기록 시스템이라고 지칭되고 정의된다. "잠금(locked)"이라는 용어는 저장 매체가 액세스 가능하지 않을 때의 데이터 보안 시스템을 지칭하며 "잠금해제(unlocked)"라는 용어는 저장 매체가 액세스 가능할 때의 데이터 보안 시스템을 지칭한다.
저장 디바이스 변경 방지를 행하는 일반적으로 두 가지 방법이 있다:
1. 구성요소들에 에폭시를 도포한다 - 인쇄 회로 기판에 도포된 에폭시 수지는 저장 매체를 파괴하지 않고 저장 디바이스를 해체하는 것을 어렵게 할 수 있다.
2. 메모리 데이터를 암호화한다 - 데이터는 저장 매체에 기입될 때 암호화되고 암호화 키는 데이터를 해독하는데 필요하다.
이제 도 1을 참조하면, 본 발명의 실시예에 따른 데이터 보안 시스템(100)의 개략도가 도시된다. 데이터 보안 시스템(100)은 외부 통신 채널(102), 인증 서브시스템(104) 및 저장 서브시스템(106)으로 구성된다.
저장 서브시스템(106)은 인터페이스 컨트롤러(108), 암호화 엔진(110) 및 저장 매체(112)를 포함하는 전자 회로이다. 저장 매체(112)는 내부 또는 외부 하드 디스크 드라이브, USB 플래시 드라이브, 고체 상태 드라이브, 하이브리드 드라이브, 메모리 카드, 테이프 카트리지 및 광학 디스크(예를 들어, 블루레이(Blu-ray) 디스크, 디지털 다기능 디스크(digital versatile disk) 또는 DVD, 및 콤팩트 디스크(compact disk) 또는 CD)를 비롯한 광학 매체일 수 있다. 저장 매체(112)는 데이터 보호 가전 기기, 아카이벌 저장 시스템(archival storage system) 및 클라우드 기반 데이터 저장 시스템을 포함할 수 있다. 클라우드 저장 시스템은 호스트 컴퓨터 또는 RF 또는 광학, 또는 월드 와이드 웹과 같은 유선 또는 무선 네트워크를 통해 호스트 컴퓨터에 연결된 다른 시스템상의 브라우저 애플리케이션에 설치된 플러그-인(또는 "플러그인") 애플리케이션 또는 확장 소프트웨어를 이용하여 액세스될 수 있다.
인터페이스 컨트롤러(108)는 소프트웨어 또는 하드웨어의 암호화 엔진(110)을 갖는 마이크로컨트롤러와 같은 전자 구성요소를 포함하지만, 암호화 엔진(110)은 저장 서브시스템(106)의 별개의 컨트롤러 내에 있을 수 있다.
인증 서브시스템(104)은 전기적으로 소거 가능한 프로그래머블 판독 전용 메모리(electrically erasable programmable read-only memory)(EEPROM)와 같은 자체의 비 휘발성 메모리를 가질 수 있는 마이크로컨트롤러와 같은 인증 컨트롤러(114)를 포함하는 전자 회로이다.
삭제
외부 통신 채널(102)은 호스트 컴퓨터 시스템(120)과 데이터를 교환하는 수단을 제공한다. 범용 직렬 버스(Universal Serial Bus)(USB)는 데이터 보안 시스템(100)을 호스트 컴퓨터 시스템(120)에 연결하는 가장 일반적인 수단들 중 하나이다. 외부 통신 채널(102)의 다른 예들은 파이어와이어(Firewire), 무선 USB, 직렬 ATA(Serial ATA)(SATA), 고화질 멀티미디어 인터페이스(High Definition Multimedia Interface)(HDMI), 권장 표준(Recommended Standard) 232(RS-232) 및 무선 주파수 무선 네트워크들을 포함한다.
인터페이스 컨트롤러(108)는 USB 패킷 데이터를 USB 플래시 드라이브의 저장 매체(112)에 기입될 수 있는 데이터로 변환할 수 있다.
암호화 엔진(110)은 인터페이스 컨트롤러(108)의 일부로서 구현되고 호스트 컴퓨터 시스템(120)으로부터 클리어 텍스트(clear text) 및/또는 데이터(정보)를 받고 이를 MSD 또는 저장 매체(112)에 기입되는 암호화된 형태로 변환한다. 암호화 엔진(110)은 또한 저장 매체(112)로부터의 암호화된 정보를 변환하고 이를 해독하여 호스트 컴퓨터 시스템(120)에 대한 정보를 클리어한다. 암호화 엔진(110)은 또한 통신 프로토콜, 메모리 및 다른 동작 조건들을 관리하는 것과 함께 즉석에서 데이터를 암호화/해독하는 암호화 역량을 갖는 암호화 컨트롤러 및 통신, 암호화 키 관리 및 암호화 컨트롤러와의 통신을 처리하기 위한 통신/보안 컨트롤러를 구비하는 두 개의 컨트롤러 서브시스템일 수 있다.
암호화 키(116)는 암호화 엔진(110)에 의해 정보를 암호화/해독하는데 요구된다. 암호화 키(116)는 암호화 알고리즘에 의해 데이터를 각각 암호화/해독하여 데이터를 판독 불가능하거나 판독 가능하게 하는 알고리즘(예를 들어, 256 비트 고급 암호 표준(Advanced Encryption Standard)(AES) 암호화)에 사용된다. 암호화 키(116)는 인증 컨트롤러(114)에 내부적으로 또는 외부적으로 저장될 수 있다.
암호화 키(116)는 식별 번호 또는 키를 갖는 사용자(122)가 인증 키(118)에 대해 검증되면 인증 서브시스템(104)에 의해 암호화 엔진(110)에 전송된다.
인증 키(118) 및 암호화 키(116)의 사용에 의해, 본 발명의 다양한 실시예들의 휴대용 메모리 저장 디바이스들은 이전에 그러한 디바이스들에서 이용 가능하지 않았던 매우 높은 수준의 보안을 제공할 수 있다는 것이 밝혀졌다.
데이터 보안 시스템(100)이 잠기면, 인증 키(118)는 인증 서브시스템(104) 내부에 남아 있고 외부로부터 판독될 수 없다. 인증 키(118)를 숨기는 하나의 방법은 인증 서브시스템(104)의 인증 컨트롤러(114)에 이를 저장하는 것이다. 인증 컨트롤러(114)의 보안 퓨즈를 설정하는 것은 일단 사용자(122)가 검증되면 인증 컨트롤러(114)가 검색을 허용하지 않으면 인증 키(118)에 액세스하는 것을 불가능하게 만든다. 많은 마이크로컨트롤러에는 끊어질 때 임의의 내부 메모리에 액세스하지 못하도록 하는 보안 퓨즈가 장착되어 있다. 이것은 공지되고 광범위하게 사용되는 보안 특징이다. 이러한 마이크로컨트롤러는 인증 컨트롤러(114)에 사용될 수 있다. 인증 컨트롤러(114)는 마이크로컨트롤러 또는 마이크로프로세서 일 수 있다.
인증 키(118)는 다음의 몇 가지 역량에서와 같이 사용될 수 있다:
1. 정보를 직접 암호화/해독하기 위한 암호화 키(116)로서 사용될 수 있다.
2. 인터페이스 컨트롤러(108)에 의해 액세스될 수 있는 데이터 보안 시스템(100)에 저장된 암호화 키(116)를 복구하는 키로서 사용될 수 있다.
3. 외부 통신 채널(102)을 활성화하기 위해 인터페이스 컨트롤러(108)에 의한 직접 비교에 사용될 수 있다.
이제 도 2를 참조하면, 데이터 보안 시스템(100)과 함께 사용되는 인증 키 전달 방법의 도면이 도시된다. 이 도면에서, 인증 키(118)와 암호화 키(116)는 하나이고 동일하다. 암호화 엔진(110)은 인증 키(118)를 암호화 키(116)로 사용한다.
사용자(122)는 사용자 식별(202), 번호 또는 키를 인증 서브시스템(104)에 제공함으로써 인증 서브시스템(104)과 상호 작용하여야 한다. 인증 서브시스템(104)은 사용자(122)를 인증 키(118)에 대해 인증한다. 인증 서브시스템(104)는 인증 키(118)를 암호화 키(116)로서 인터페이스 컨트롤러(108)에 전송한다.
인터페이스 컨트롤러(108) 내의 암호화 엔진(110)은 인증 키(118)를 사용하여 채널(206)을 따라 클리어 정보를 암호화된 정보로, 암호화된 정보를 클리어 정보로 변환한다. 암호화 키(116) 없이 저장 매체(112)로부터 암호화된 정보를 판독하려는 임의의 시도는 일반적으로 어떤 컴퓨터에 의해서도 사용할 수 없는 정보를 만들어 내는 결과를 가져온다.
이제 도 3을 참조하면, 사용자(122)가 데이터 보안 시스템(300)과 상호 작용하는 상이한 시스템들의 도면이 도시된다. 상호 작용은 셀 폰, 스마트폰, 스마트 시계, 착용 가능한 가전 기기 또는 기타 무선 디바이스로부터의 물리적 접촉, 유선 연결 또는 무선 연결에 의한 것일 수 있는 통신 조합(301)에 의한 것일 수 있다.
하나의 인증 시스템에서, 모바일 송수신기(302)는 사용자 식별(304)을 인증 서브시스템(310)의 데이터 보안 송수신기(306)에 전송하는데 이용된다. 예시적인 목적을 위해, 송수신기들은 양방향 통신 유연성을 위해 이용되지만 단방향 통신을 위한 전송기-수신기 조합도 또한 사용될 수 있다. 인증 서브시스템(310)은 저장 서브시스템(106)의 인터페이스 컨트롤러(108)에 연결된 인증 컨트롤러(114)를 포함한다. 사용자 식별(304)은 데이터 보안 시스템(300)의 저장 서브시스템(106) 외부로부터 모바일 송수신기(302)에 의해 인증 서브시스템(310) 내의 데이터 보안 송수신기(306)에 공급된다. 무선 통신은 무선 충실도(Wireless Fidelity)(WiFi), 블루투스(Bluetooth)(BT), 블루투스 스마트(Bluetooth Smart), 근접장 통신(Near Field Communication)(NFC), 위성 위치확인 시스템(Global Positioning System)(GPS), 광학, 셀룰러 통신(예를 들어, 롱텀 에볼루션(Long-Term Evolution)(LTE), 롱텀 에볼루션 어드밴스드(Long-Term Evolution Advanced)(LTE-A)), 코드 분할 다중 연결(Code Division Multiple Access)(CDMA), 광대역 코드 분할 다중 연결(Wideband Code Division Multiple Access)(WCDMA), 범용 이동 통신 시스템(Universal Mobile Telecommunications System)(UMTS), 무선 광대역(Wireless Broadband)(WiBro), 또는 세계 이동 통신 시스템(Global System for Mobile Communications)(GSM) 등)을 포함할 수 있다.
인증 서브시스템(310)은 모바일 송수신기(302)로부터 전송된 코드가 인증 키(118)에 대해 인증됨으로써 사용자(122)를 인증 키(118)에 대해 인증한다. 그런 다음 인증 서브시스템(310)은 통신 조합(301)을 통해 인터페이스 컨트롤러(108)에 암호화 키(116)를 전송한다.
그 다음, 암호화 엔진(110)은 암호화 키(116)를 사용하여 채널(206)을 따라 클리어 정보를 암호화된 정보로 변환하고 암호화된 정보를 클리어 정보로 변환한다. 암호화 키(116) 없이 저장 매체(112)로부터 암호화된 정보를 판독하려는 임의의 시도는 일반적으로 호스트 컴퓨터 시스템(120)에 의해 사용 가능하지 않은 정보를 만들어 내는 결과를 가져온다.
선택적인 제2 인증 메커니즘에서, 인증 서브시스템(310)은 사용자(122)가 생체 인식 입력(322)을 제공하는 생체 인식 센서(320)를 사용하여 인가된 사용자로서 자신의 신원을 검증하게 함으로써 인증 키(118)에 대해 사용자(122)를 입증한다. 생체 인식 식별의 유형은 지문, 홍채 스캔, 성문(voice imprint) 등을 포함한다.
선택적인 제3 인증 메커니즘에서, 인증 서브시스템(310)은 사용자(122)가 고유 코드(332)를 제공하는 전기 기계적 입력 메커니즘(330)을 사용하여 인가된 사용자로서 자신의 신원을 검증하게 함으로써 인증 키(118)에 대해 사용자(122)를 입증한다. 고유 코드(332)는 PIN과 같은 숫자, 영숫자 또는 알파벳 코드를 포함할 수 있다. 전기 기계적 입력 메커니즘(330)은 인증 서브시스템(310) 내에 있다. 전기 기계적 입력 메커니즘(330)은 데이터 보안 시스템(300)의 외부로부터 사용자(122)로부터 고유 코드(332)를 수신한다. 고유 코드(332)는 데이터 보안 시스템(300)의 저장 서브시스템(106) 외부로부터 인증 서브시스템(310) 내의 전기 기계적 입력 메커니즘(330)으로 제공된다.
어느 방법이 사용자(122)를 입증하는데 사용되든 인증 키(118) 및 암호화 키(116)는 사용자(122)가 인증될 때까지 숨겨진 채로 남아있다.
이제 도 4를 참조하면, 사용자(122)가 호스트 컴퓨터 시스템(120)을 이용하여 데이터 보안 시스템(400)과 어떻게 상호 작용할 수 있는지의 도면을 도시한다.
호스트 컴퓨터 시스템(120)에는 호스트 애플리케이션(402)이 제공된다. 호스트 애플리케이션(402)은 데이터 보안 시스템(400)의 외부 통신 채널(102)을 통해 통신하는 소프트웨어 또는 펌웨어이다.
호스트 애플리케이션(402)은 그의 환경과 연관된 내부 구성요소 일련 번호들(예를 들어, 하드 드라이브), 네트워크 카드의 미디어 접근 제어(Media Access Control)(MAC) 어드레스, 사용자의 로그인 이름, 네트워크 인터넷 프로토콜(network Internet Protocol)(IP) 어드레스, 데이터 보안 시스템에 의해 생성되고 호스트에 저장된 ID, 데이터 보안 시스템에 의해 생성되고 네트워크에 저장된 ID 등과 같은 호스트 식별자(406)를 전달한다. 호스트 식별자(406)는 데이터 보안 시스템(400)의 인증 서브시스템(408)에 의해 사용된다.
인증 서브시스템(408)이 호스트 식별자(406)를 검증함으로써 인증 키(118)에 대해 사용자(122)를 입증할 때, 데이터 보안 시스템(400)은 잠금해제될 것이다.
예를 들어, 사용자(122)는 호스트 컴퓨터 시스템(120)에 잠겨 있는 데이터 보안 시스템(400)에 연결한다. 호스트 애플리케이션(402)은 그 네트워크 카드의 MAC 어드레스를 데이터 보안 시스템(400)에 전송한다. 데이터 보안 시스템(400)은 이 MAC 어드레스를 합법적인 것으로 인식하고 도 1의 사용자(122)가 사용자 식별을 입력하게 하지 않고도 잠금해제한다. 이것은 사용자(122)와 어떠한 상호 작용도 필요로 하지 않는 구현 예이다. 이 경우, 입증되는 것은 호스트 컴퓨터 시스템(120) 및 그 관련 환경이다.
데이터 보안 시스템(400)은: 인증 서브시스템(104)에 저장되는 인증 키(118)를 제공하는 것; 인증 서브시스템(104)에 의한 호스트 컴퓨터 시스템(120)의 검증을 제공하는 것; 인증 서브시스템(104)에 의해 저장 서브시스템(106)에 암호화 키(116)를 제공하는 것; 및 저장 매체 콘텐츠를 해독함으로써 저장 서브시스템(106)에 의한 저장 매체(112)로의 액세스를 제공하는 것을 포함한다.
데이터 보안 시스템은 생체 인식 입력의 해석 및 사용자(122)의 검증을 위한 인증 서브시스템(104)을 더 포함한다.
데이터 보안 시스템은 인증 키(118)를 암호화 키(116)로서 직접 사용하는 것을 더 포함한다.
데이터 보안 시스템은 인증 키(118)를 사용하여 내부 콘텐츠를 해독하는데 사용되는 암호화 키(116)를 해독하고 검색하는 것을 더 포함한다.
데이터 보안 시스템은 신호 입력의 해석 및 전송 유닛의 검증을 위한 인증 서브시스템(104)을 더 포함한다.
데이터 보안 시스템은 수동으로 입력된 입력의 해석 및 사용자(122)의 검증을 위한 인증 서브시스템(104)을 더 포함한다.
데이터 보안 시스템은 호스트 컴퓨터 시스템(120)의 검증을 위해 호스트 상주 소프트웨어 애플리케이션에 의해 전송된 입력을 해석하기 위한 인증 서브시스템(104)을 더 포함한다.
데이터 보안 시스템은 인터페이스 컨트롤러(108) 외부에 있지만 데이터 보안 시스템(100)을 잠금해제하기 위해 클리어 데이터를 암호화된 데이터로 변환하려는 목적을 위해 외부 통신 채널(102)에 연결된 암호화 엔진(110)을 더 포함한다.
이제 도 5를 참조하면, 데이터 보안 시스템(100)에 사용자 검증을 이용하는 데이터 보안 방법(500)이 도시된다. 데이터 보안 방법(500)은 블록(502)에서 사용자를 인증 키에 대해 검증하는 단계; 블록(504)에서 인증 키를 이용하여 암호화 키를 검색하기 위한 단계; 및 블록(506)에서 인증 키를 이용하여 호스트 컴퓨터 시스템과 저장 매체 사이에서 저장 서브시스템을 통해 암호화되지 않은 통신을 가능하게 하는 단계를 포함한다.
이제 도 6을 참조하면, 예시적인 데이터 보안 통신 시스템(600)이 도시된다. 예시적인 데이터 보안 통신 시스템(600)은 모바일 디바이스(610), 데이터 보안 시스템(620), 호스트 컴퓨터(630) 및 서버/콘솔(640)을 포함한다. 모바일 디바이스(610) 및 서버/콘솔(640)은 인터넷 클라우드일 수 있는 클라우드(650)를 통해 유선 또는 무선 연결에 의해 연결된다. 모바일 디바이스(610)와 데이터 보안 시스템(620)은 통신 조합(301)에 의해 연결된다.
예시적인 데이터 보안 통신 시스템(600)의 통신 조합(301)은 데이터 보안 시스템(620)에서 데이터 보안 송수신기(624)의 안테나(622)와 무선 통신하는 안테나(614)를 갖는 모바일 디바이스(610)의 모바일 송수신기(612)를 포함한다.
일 실시예에서 모바일 디바이스(610)는 스마트폰일 수 있다. 모바일 디바이스(610)에서, 모바일 송수신기(612)는 통상의 모바일 디바이스 구성요소들 및 데이터 보안 시스템 애플리케이션(618)에 연결될 수 있고, 데이터 보안 시스템 애플리케이션은 데이터 보안 시스템(620)과 함께 사용될 정보를 제공한다.
데이터 보안 송수신기(624)는 식별, 패스워드들, 프로파일들, 또는 데이터 보안 시스템(620)에 액세스할 수 있는 상이한 모바일 디바이스들의 정보를 포함하는 정보를 포함할 수 있는 보안 컨트롤러(626)에 연결된다. 보안 컨트롤러(626)는 인증 서브시스템(310), (일부 실시예에서는 데이터를 암호화하는 암호화를 가질 수 있는) 저장 서브시스템(106) 및 외부 통신 채널(102)과 유사한 서브시스템들에 연결된다.
외부 통신 채널(102)은 특정 상황들 하에서 저장 서브시스템(106) 내의 데이터에 액세스할 수 있게 하는 호스트 컴퓨터(630)에 연결 가능하다.
데이터 보안 시스템(620)의 하나의 구현예는 스마트폰과 같은 모바일 디바이스(610)로의 무선 링크만을 갖는 도 3의 생체 인식 센서(320) 및 전기 기계적 입력 메커니즘(330)을 없앨 수 있다. 이러한 구현예는 데이터 보안 시스템(620)을 보다 안전하고 유용하게 만들어 준다는 것을 알게 되었다.
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 모바일 디바이스(610) 부근의 모든 데이터 보안 시스템을 발견하고 그들의 상태(잠금/잠금해제/공백, 짝을 이룬/짝을 이루지 않은 상태 등)를 보여줄 수 있게 한다.
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 데이터 보안 시스템(620)상의 모든 데이터를 연결하고/짝을 이루고, 잠그고, 잠금해제하고, 이름 및 패스워드를 변경하고, 리셋할 수 있게 한다.
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 비활동 자동 잠금(inactivity auto-lock)을 설정하여 데이터 보안 시스템(620)이 미리 결정된 비활성 기간 이후 자동으로 잠기게 할 것이거나, 근접 정도 자동 잠금(proximity auto-lock)을 설정하여 모바일 디바이스(610)가 (신뢰도를 개선하고 신호 디바운싱(de-bouncing)을 방지하기 위해) 미리 결정된 기간 동안 미리 결정된 근접 정도 내에 있지 않을 때 데이터 보안 시스템(620)이 잠기게 할 것이다.
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 패스워드를 기억하고, 터치 ID(TouchID) 및 애플 워치(Apple Watch) (터치 ID 및 애플 워치 둘 모두가 단지 예시로서 본 명세서에서 언급되지만, 유사한 모드에서 사용될 수 있는 생체 인식 센서들 및 웨어러블들을 갖는 많은 다른 모바일 디바이스가 존재할 수 있음)를 사용할 수 있게 하며, 그래서 데이터 보안 시스템(620)은 모바일 디바이스 상에 패스워드를 재 입력하지 않고 잠금해제될 수 있다
데이터 보안 시스템 애플리케이션(618)은 설정되는 모바일 디바이스(610)가 모바일 디바이스(610)와 같은 특정 모바일 디바이스와 단지 함께로만 동작할 수 있게 하며, 그래서 데이터 보안 시스템(620)은 다른 모바일 디바이스들(1Phone)로 잠금해제될 수 없다.
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 데이터 보안 시스템(620)을 읽기 전용으로 설정할 수 있게 한다
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 사용자 모드 또는 관리자 모드(관리자 모드는 사용자의 설정들 보다 우선함)에서 동작할 수 있고 서버/콘솔(640)을 사용할 수 있게 한다. 서버/콘솔(640)은 컴퓨터에 정보를 입력하기 위한 콘솔과 컴퓨터의 조합이다.
서버/콘솔(640)은 모바일 디바이스(610)에 부가적인 기능성을 제공하기 위해 클라우드(650)를 통해 모바일 디바이스(610)에 전송될 수 있는 부가적인 정보를 포함하는 사용자 관리 데이터베이스(642)를 포함한다.
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 사용자 ID(사용자 이름 및 패스워드)를 사용하는 사용자들을 생성 및 식별할 수 있게 하고, 데이터 보안 시스템(620)을 차단/잠금해제할 수 있게 하며 원격 도움을 제공할 수 있게 한다.
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 데이터 보안 시스템(620)을 원격으로 리셋하거나 잠금해제할 수 있게 한다.
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 데이터 보안 시스템 사용자의 PIN을 원격으로 변경할 수 있게 한다.
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 (가상 울타리(geo-fencing)를 사용하여) 특정 위치들로부터 데이터 보안 시스템(620)을 제한/잠금해제할 수 있게 한다.
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 지정된 기간 및 상이한 시간대들에서 데이터 보안 시스템(620)을 제한/잠금해제할 수 있게 한다.
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 지정된 팀/조직/네트워크 등의 외부에서 데이터 보안 시스템(620)을 잠금해제하는 것을 제한할 수 있게 한다.
이제 도 7을 참조하면, 모바일 디바이스(610)와 데이터 보안 시스템(620) 사이의 동작들의 시퀀스를 도시하는 관리자 시퀀싱 다이어그램이 도시된다.
데이터 보안 시스템(620)과 모바일 디바이스(610) 사이의 연결성(700)은 다른 디바이스 또는 시스템의 상호 발견, 디바이스와 시스템의 짝짓기(pairing), 및 디바이스와 시스템의 연결로 먼저 확립된다. 연결성(700)은 공유된 비밀을 사용하여 보안되며, 그런 다음 공유된 비밀은 모든 향후의 통신 세션들에 대해 데이터 보안 시스템(620)과 모바일 디바이스(610) 사이의 통신들을 보안(암호화)하는데 사용된다. 표준 암호화 알고리즘은 데이터 보안 시스템(620) 상에서 실행되고 전세계 보안 표준들에 의해 승인되는데 둘 모두가 효율적이 되도록 선택된다.
연결성(700)은 데이터 보안 시스템 애플리케이션(618) 또는 보안 컨트롤러(628)에 의해, 또는 데이터 보안 시스템(620) 및 모바일 디바이스(610)가 서로 미리 결정된 거리 내에 있는 한 함께 동작하는 둘 모두에 의해 유지된다. 또한, 미리 결정된 거리가 초과되면, 연결성(700)은 데이터 보안 시스템(620)이 잠긴 다음 미리 결정된 기간 동안 유지된다.
모바일 디바이스(610)와 데이터 보안 시스템(620)의 연결 후, 모바일 디바이스(610)에서 데이터 보안 시스템 관리자 애플리케이션 시작(data security system administrator application start) 동작(702)이 발생한다. 그 다음에 관리자는 관리자 패스워드(administrator password) 동작(704)에서 패스워드를 설정한다. 또한, 모바일 디바이스(610)와 데이터 보안 시스템(620)의 연결 후, 데이터 보안 시스템 연결, 전력 공급 및 발견 가능(data security system connected, powered and discoverable) 동작(706)에서, 데이터 보안 시스템(620)은 도 6의 호스트 컴퓨터(630)에 연결되어 호스트 컴퓨터(630)에 의해 전력을 공급 받아 발견 가능하게 된다.
관리자 패스워드 동작(704) 이후, 모바일 디바이스(610)는 관리자 패스워드 및 잠금해제 설정(set administrator password and unlock) 신호(708)를 데이터 보안 시스템(620)에 전송한다. 관리자 패스워드 및 잠금해제 설정 신호(708)는 관리자 패스워드 설정 및 데이터 보안 시스템 잠금해제(administrator password set and data security system unlocked) 동작(716)이 데이터 보안 시스템(620)에서 발생하게 한다.
관리자 패스워드 설정 및 데이터 보안 시스템 잠금해제 동작(716)이 완료될 때, 확인: 데이터 보안 시스템 잠금해제(confirmation: data security system unlocked) 신호(712)가 모바일 디바이스(610)로 전송되며, 모바일 디바이스에서 확인: 관리자로서 데이터 보안 시스템 잠금해제(confirmation: data security system unlocked as administrator operation) 동작(714)이 동작한다. 확인: 관리자로서 데이터 보안 시스템 잠금해제 동작(714)은 다른 제한들 설정(set other restrictions) 동작(716)이 모바일 디바이스(610)를 사용하여 수행되게 한다. 다른 제한들 설정 동작(716)은 관리자 제한들 설정(set administrator restrictions) 신호(718)가 데이터 보안 시스템(620)에 전송되게 하고, 데이터 보안 시스템에서 확인: 제한들 설정(confirmation: restrictions set) 신호(720)가 모바일 디바이스(610)로 반송된다. 이 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전하게 가동 준비된 상태에 있다.
데이터 보안 시스템(620)과 물리적인 접촉 없이 데이터 보안 시스템(620)과 통신하는 것이 가능하기 때문에, 데이터 보안 시스템(620)과의 중요한 상호 작용은 데이터 보안 시스템(620) 자체에 인쇄된 또는 데이터 보안 시스템(620) 패키징과 함께 제공되고 데이터 보안 시스템(620) 소유자가 용이하게 이용할 수 있는 데이터 보안 시스템 고유 식별자를 동반하는 것이 요구된다.
데이터 보안 시스템(620)을 잠금해제하는 것 또는 리셋하는 것과 같은 사용자 데이터에 영향을 줄 수 있는 요청을 할 때, 이러한 고유 식별자(고유 ID)가 요구된다. 정확한 식별자 없이 이러한 동작들을 수행하려는 시도들은 무시되며 해가 되지 않게 만들어진다. 고유 식별자는 사용자에게 데이터 보안 시스템(620)에 대한 물리적인 제어 권한을 가질 것을 요구하고 그리고 연결성(700)이 모바일 디바이스(610) 및 데이터 보안 시스템(620)과 같이 이전에 짝을 이룬 인가된 디바이스 및 시스템 사이에 확립된 것을 검증할 것을 요구하는 방식으로 데이터 보안 시스템(620)을 모바일 디바이스(610)에 식별시키는데 사용된다. 일단 디바이스가 짝지어지면, 공유된 비밀은 통신 기밀을 만드는데 사용된다.
짝 짓는 것은 모바일 디바이스와 데이터 보안 시스템이 과거의 어떤 시점에서 확립되어 지속되는 고유하고 정해진 관계를 갖는다는 것을 내포한다.
고유 식별자는 사용자가 데이터 보안 시스템의 물리적 제어 권한을 가질 때 사용자에게 데이터 보안 시스템에 대한 일부 제어 권한을 부여하게 한다.
모바일 디바이스(610)가 스마트폰인 경우 데이터 보안 시스템(620)과의 통신의 보안을 증가시키기 위해, 사용자는 본 명세서에서 1Phone이라고 불리는 특징과 같은 특징을 활성화하도록 선택할 수 있다. 이러한 특징은 데이터 보안 시스템(620)과의 중요한 사용자 상호 작용을 오직 유일한 하나의 모바일 디바이스(610)로 제한한다. 이것은 데이터 보안 시스템(620)과 모바일 디바이스(610) 사이에서 안전하게 공유되는 랜덤 식별자로 전술한 데이터 보안 시스템 고유 식별자를 대체함으로써 이루어진다. 따라서, 예를 들어 사용자가 데이터 보안 시스템(620)을 잠금해제할 때, 데이터 보안 시스템 고유 식별자를 제시하는 대신, 1Phone 식별자가 대신 주어져야 한다. 실제로, 이것은 PIN 또는 패스워드 이외에, 사용자의 모바일 디바이스(610)를 데이터 보안 시스템(620)을 사용하기 위한 제2 인증 인자로 만들어 준다. 예로서, "1Phone"으로서 선택된 짝지어진 사용자 전화기는 PIN없이, 그리고 사용자 인증 단일 인자로서 및/또는 임의의 다른 사용자 인증 인자들과 조합하여 사용될 수 있다. 이러한 특징(1Phone)이 선택되면, 데이터 보안 시스템(620)은 관리자의 잠금해제가 이전에 활성화되었던 경우를 제외하고, 임의의 다른 전화기들을 가지고는 열릴 수 없다.
1Phone 특징을 사용하기 위해 데이터 보안 시스템(620)에 관리자의 패스워드를 요구하는 다른 실시예들이 만들어 질 수 있음을 이해할 것이다. 다른 실시예는 모바일 디바이스(610) 상에서 1Phone 데이터가 손실되는 경우에 서버/콘솔(640)이 데이터 보안 시스템(620)을 복구할 수 있는 것을 요구할 수 있다.
사용자는 데이터 보안 시스템(620)에 대한 근접 정도 자동 잠금 특징을 활성화하게 할 수 있다. 통신 세션 동안, 도 6의 데이터 보안 송수신기(624)는 데이터 보안 시스템(620)에 모바일 디바이스(610)의 신호 강도 측정치를 보고한다. 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 데이터 보안 시스템(620)에 발신 신호 전력 레벨 및 근접 정도의 문턱치 둘 모두를 전송한다.
신호 강도는 송수신기들 주위의 환경 조건들로 인해 변하기 때문에, 데이터 보안 시스템(620)은 신호 강도 측정치를 수학적으로 평활화하여 긍정 오류(false positive)의 가능성을 줄인다. 데이터 보안 시스템(620)이 수신된 신호 전력이 미리 결정된 기간 동안 정의된 문턱치 아래로 떨어졌음을 검출할 때, 즉시 데이터 보안 시스템(620)을 잠그고 도 6의 저장 서브시스템(106)으로의 액세스를 방지할 것이다.
데이터 보안 시스템(620)은 세 가지 상이한 모드: 데이터 보안 시스템(620)의 기능성이 사용자에 의해 결정되는 사용자 모드; 관리자가 관리자 패스워드를 설정하고 데이터 보안 시스템(620)에 대해 몇 가지 제한들(예를 들어, 미리 결정된 비활성 기간 이후 자동 잠금, 읽기 전용, 1Phone)을 강제할 수 있고 제한들이 사용자에 의해 제거될 수 없는 관리자 모드; 및 서버/콘솔(640)이 데이터 보안 시스템(620)을 원격으로 리셋하거나, 사용자 패스워드를 변경하거나 또는 데이터 보안 시스템(620)을 정확히 잠금해제할 수 있는 경우에 관리자 역할이 설정되는 서버 모드에서 사용될 수 있다.
이제 도 8을 참조하면, 모바일 디바이스(610)가 인증 인자인 경우의 잠금해제 시퀀스 다이어그램이 도시된다. 이 다이어그램은 특정 모바일 디바이스인 모바일 디바이스(610)로부터 데이터 보안 시스템 애플리케이션(618)에 의해 개시된 데이터 보안 시스템(620)의 자동 잠금해제 프로세스를 도시한다. 사용자는 초기에 데이터 보안 시스템(620)과 짝을 이룬 유일한 하나의 모바일 디바이스만을 사용할 수 있다. 짝을 이룬 모바일 디바이스(610)가 분실되면, (도 7에 도시된 바와 같이 관리자 패스워드가 이전에 설정되어 있지 않는 한) 데이터 보안 시스템(620)은 잠금해제될 수 없다.
도 7과 유사하지만, 데이터 보안 시스템 애플리케이션 시작(data security system application started) 동작(800)은 연결성(700)이 확립된 이후에 발생한다. 모바일 디바이스 ID로 잠금해제 요청(unlock required with mobile device ID) 신호(802)가 데이터 보안 시스템 연결, 전원 공급 및 발견 가능 동작(706) 이후 모바일 디바이스(610)로부터 데이터 보안 시스템(620)으로 전송된다. 데이터 보안 시스템 잠금해제(data security system unlocked) 동작(804)이 발생하고 확인: 데이터 보안 시스템 잠금해제 신호(712)는 데이터 보안 시스템(620)으로부터 전송된다. 확인: 데이터 보안 시스템 잠금해제 (confirmation: data security system unlocked) 동작(806) 이후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전하게 가동 준비된 상태에 있다.
PIN(Personal Identification Number)(개인 식별 번호)이 설정되지 않았으면, 짝을 이룬 모바일 디바이스는 1-인증 인자로서 사용된다.
이제 도 9를 참조하면, 모바일 디바이스(610)로부터의 PIN 입력을 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 모바일 디바이스(610)의 데이터 보안 시스템 애플리케이션(618)에 PIN을 입력함으로써 데이터 보안 시스템(620)을 잠금해제하는 프로세스를 도시한다. 데이터 보안 시스템(620)은 정확한 PIN을 입력하지 않고는 잠금해제될 수 없다.
도 7 및 도 8과 유사하지만, 데이터 보안 시스템 애플리케이션 시작 동작(800) 이후, 사용자 이름/패스워드 입력(enter username/password) 동작(900)이 발생한다. 사용자 이름/패스워드 입력 동작(900) 이후, 모바일 디바이스(610)는 사용자 ID 검증(verify user ID) 신호(902)를 서버/콘솔(640)에 전송한다. 그런 다음 서버/콘솔(640)은 사용자 이름/패스워드 유효(username/password valid) 결정(904)을 내린다.
사용자 이름/패스워드 유효 결정(904)이 사용자를 검증할 때, 유효 사용자(valid user) 신호(906)가 모바일 디바이스(610)에 전송되어 사용자가 모바일 디바이스(610)의 PIN 입력(enter PIN) 동작(908)에서 정확한 PIN을 입력하도록 한다. 그 다음 모바일 디바이스(610)는 잠금해제 검증(verify unlock) 신호(910)를 전송하여 정확한 PIN이 서버/콘솔(640)에 입력되었는지를 결정한다.
서버/콘솔(640)은 사용자 인가됨(user authorized) 결정(912)을 내리고, 사용자가 PIN이 인가된 데이터 보안 시스템(620)과 같은 특정 데이터 보안 시스템을 사용하도록 인가되었는지를 결정한다. 인가되었다면, 잠금해제 허용(unlock allowed) 신호(914)가 모바일 디바이스(610)로 전송되며, 모바일 디바이스는 잠금해제 요청(unlock request) 신호(916)를 데이터 보안 시스템(620)에 전달한다.
데이터 보안 시스템 잠금해제 동작(804)이 수행되고, 확인: 데이터 보안 시스템 잠금해제 신호(712)가 모바일 디바이스(610)로 전송되고, 모바일 디바이스에서 확인: 데이터 보안 시스템 잠금해제 동작(806)이 수행된다.
이제 도 10을 참조하면, 서버/콘솔(640)을 통해 PIN 입력 및 사용자 ID/위치/시간 검증을 사용하는 잠금해제를 도시하는 잠금해제 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 모바일 디바이스(610)로부터 데이터 보안 시스템 애플리케이션(618)에 PIN을 입력하고, 사용자 ID(사용자 이름/패스워드)를 사용하는 서버/콘솔(640) 서버에 인증을 입력함으로써, 그리고 특정 위치 및 특정 시간 범위에서 데이터 보안 시스템(620)을 잠금해제하기 위해 가상 울타리 허용들을 검증함으로써 데이터 보안 시스템(620)을 잠금해제하는 가장 안전한 프로세스를 도시한다. 데이터 보안 시스템(620)은 PIN, 사용자 이름 및 패스워드를 입력하지 않고, 그리고 모바일 디바이스(610)가 특정 (미리 정의된) 위치 및 특정 (미리 정의된) 시간에 존재하지 않고는 잠금해제될 수 없다.
도 7 내지 도 9와 유사하지만, 서버/콘솔(640)에서, 잠금해제 지정된 데이터 보안 시스템(unlock specified data security system) 동작(1000)이 수행되어 데이터 보안 시스템(620)과 같은 특정 데이터 보안 시스템이 동작할 원하는 조건들을 설정할 수 있게 한다. 예를 들어, 조건들은 특정 지리적 영역 및/또는 특정 시간 프레임 이내일 수 있다.
모바일 디바이스(610)에서, 위치 및/또는 현재 시간 획득(acquire location and/or current time) 동작(1002)에서와 같이 현재 조건 결정이 이루어진다. 이 동작은 모바일 디바이스(610)가 어디에 있는지 그리고 또는 모바일 디바이스(610)가 있는 곳의 현재 시간이 몇 시인지를 결정하기 위해 수행된다. 모바일 디바이스(610) 주변의 다른 현재의 조건들이 또한 결정되고, 잠금해제 검증(verify unlock) 신호(1004)에 의해 서버/콘솔(640)에 전송되며, 서버/콘솔에서 조건 충족(conditions met determination) 결정(1006)이 이루어진다.
원하는 조건들이 충족될 때, 잠금해제 허용(unlock allowed) 신호(1008)가 PIN 입력 동작(908)이 수행되는 모바일 디바이스(610)에 전송된다. PIN이 입력된 후, 잠금해제 검증(verify unlock) 신호(1010)는 PIN 및 모바일 디바이스(610)에 동작 상 가장 가까운 데이터 보안 시스템(620)의 식별자와 함께 전송된다. 잠금해제 검증 신호(1010)는 서버/콘솔(640)에 의해 수신되고, 데이터 보안 시스템 허용 data security system allowed) 결정(1012)은 인가된 사용자가 지정된 데이터 보안 시스템을 잠금해제하는 것이 허용된다고 결정을 내린다. 서버/콘솔(640)은 이러한 "특정" 사용자가 지정된 데이터 보안 시스템을 사용하도록 인가된 것을 검증한다.
정확한 정보가 제공되었음을 결정한 후, 서버/콘솔(640)은 모바일 디바이스(610)에게 잠금해제 허용(unlock allowed) 신호(914)를 제공할 것이고, 모바일 디바이스는 잠금해제 요청(unlock request) 신호(916)를 제공할 것이다. 잠금해제 요청 신호(916)는 데이터 보안 시스템(620)을 동작하게 한다.
이제 도 11을 참조하면, 서버/콘솔(640)을 사용하여 데이터 보안 시스템(620)을 리셋하는 것을 도시하는 리셋 시퀀싱 다이어그램을 도시한다. 이 다이어그램은 서버/콘솔(640)을 통해 데이터 보안 시스템(620)을 원격으로 리셋하는 능력을 도시한다. 데이터 보안 시스템(620)은 단지 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있다. 그러나, (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "리셋" 플래그를 설정함으로써, 모바일 디바이스(610) 상에서 실행되는 데이터 보안 시스템 애플리케이션(618)은 서버/콘솔(640)에게 사용자 관리 데이터베이스(642) 내 임의의 플래그들/미결 요청들에 대해 질의할 것이다. 사용자가 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "리셋" 커맨드를 실행할 것이다. 성공적인 리셋 이후(모든 사용자 데이터 및 자격 인증서들이 없어짐), 서버/콘솔(640)은 리셋 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 특정 데이터 보안 시스템에 연결될 때는 이것이 실행되지 않을 것이다.
도 7 내지 도 10과 유사하지만, 모바일 디바이스(610)는 유효 사용자 신호(906)에 응답하여 임의의 커맨드 대기(any command waiting) 신호(1100)를 서버/콘솔(640)에 전송하여 커맨드 리셋(reset command) 결정(1102)을 내린다. 커맨드 리셋이 존재할 때, 리셋 수행(perform reset) 신호(1104)가 모바일 디바이스(610)에 전송될 수 있다.
모바일 디바이스(610)는 보안 시스템 리셋(reset security system) 신호(1106)를 데이터 보안 시스템(620)에 전송하여 데이터 보안 시스템 리셋(data security system reset) 동작(1108)을 시작시킬 것이다. 데이터 보안 시스템 리셋 동작(1108)이 완료되면, 데이터 보안 시스템(620)은 확인: 데이터 보안 시스템 리셋(confirmation: data security system reset) 신호(1110)를 모바일 디바이스(610)에 전송하여 확인: 데이터 보안 시스템 리셋(confirmation: data security system reset) 동작(1112)을 동작 상태로 설정할 것이다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 리셋된 데이터 보안 시스템(620)과 통신이 완전히 구동 준비된 상태에 있다.
이제 도 12를 참조하면, 서버/콘솔(640)을 사용하여 데이터 보안 시스템(620)을 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램을 도시한다. 이 다이어그램은 서버/콘솔(640)을 통해 데이터 보안 시스템(620)을 원격으로 잠금해제할 수 있는 능력을 도시한다. 데이터 보안 시스템(620)은 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있다. 그러나 (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "관리자 잠금해제" 플래그를 설정함으로써, 모바일 디바이스(610) 상에서 실행되는 데이터 보안 시스템 애플리케이션(618)은 임의의 플래그들/미결 요청들에 대해 서버/콘솔(640)에 질의할 것이다. 사용자가 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "관리자 잠금해제" 커맨드를 실행할 것이다. 관리자가 성공적으로 잠금 해제한 후, 사용자의 데이터는 훼손되지 않지만 사용자의 패스워드가 제거된다(데이터 보안 시스템(620)은 사용자에 의해 잠금해제될 수 없다). 서버/콘솔(640)은 데이터 보안 시스템(620)에 대한 리셋 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 데이터 보안 시스템(620)에 연결될 때는 이것이 실행되지 않을 것이다.
도 7 내지 11과 유사하지만, 임의의 커맨드 대기 신호(1100)를 수신한 후, 서버/콘솔(640)은 관리자의 패스워드로 잠금해제하라는 커맨드가 있을 때 잠금해제(1200)를 수행한다. 관리자의 패스워드로 잠금해제(unlock with an administrator's password) 신호(1202)는 모바일 디바이스(610)로 전송되고, 모바일 디바이스는 관리자의 패스워드로 잠금해제(unlock with administrator's password) 신호(1204)를 데이터 보안 시스템(620)에 제공하여 데이터 보안 시스템 잠금해제 동작(804)을 시작시킨다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전히 구동 준비된 상태에 있다.
이제 도 13을 참조하면, 서버/콘솔(640)을 사용하는 사용자의 패스워드 변경 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 데이터 보안 시스템(620)에 대해 사용자의 패스워드를 서버/콘솔(640)을 통해 원격으로 변경하는 능력을 도시한다. (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "사용자의 패스워드 변경" 플래그를 설정함으로써, 데이터 보안 시스템(620)이 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있을지라도, 모바일 디바이스(610) 상에서 실행하는 데이터 보안 시스템 애플리케이션(618)은 임의의 플래그들/미결제 요청들에 대해 서버/콘솔(640)에 질의할 것이다. 사용자가 자신의 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "사용자의 패스워드 변경" 커맨드를 실행할 것이다. 성공적인 잠금해제 및 패스워드 변경 이후, 사용자의 데이터는 훼손되지 않으며, 데이터 보안 시스템(620)은 사용자의 새로운 패스워드로 잠금해제될 수 있다. 서버/콘솔(640)은 이 데이터 보안 시스템(620)에 대한 "사용자의 패스워드 변경" 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 특정 데이터 보안 시스템에 연결될 때는 이것이 실행되지 않을 것이다.
도 7 내지 도 12와 유사하지만, 서버/콘솔(640)은 패스워드 변경(change password) 결정(1300)을 내림으로써 임의의 커맨드 대기 신호(1100)에 응답한다. 서버/콘솔(640)에서 패스워드 변경이 있었을 때, 사용자 패스워드 변경(change user password) 신호(1302)는 모바일 디바이스(610)에 전송되고, 모바일 디바이스는 사용자 패스워드 변경(change user password) 신호(1304)를 데이터 보안 시스템(620)에 전송한다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 새로운 패스워드로 통신이 완전히 구동 준비되는 상태에 있다.
데이터 보안 시스템의 동작 방법은: 데이터 보안 시스템과의 연결성을 위해 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계; 데이터 보안 시스템 애플리케이션을 시작하는 단계; 및 모바일 디바이스와 데이터 보안 시스템의 연결성을 유지하는 단계를 포함한다.
전술한 바와 같은 방법에서 연결성을 유지하는 단계는 데이터 보안 시스템이 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지한다.
전술한 바와 같은 방법에서 연결성을 유지하는 단계는 데이터 보안 시스템이 미리 결정된 기간 동안 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지한다.
전술한 바와 같은 방법에서 연결성을 확립하는 단계는 데이터 보안 시스템과 모바일 디바이스 사이의 양방향 통신을 이용하는 단계를 포함한다.
전술한 바와 같은 방법에서 연결성을 확립하는 단계는 데이터 보안 시스템과 모바일 디바이스 사이의 단방향 통신을 이용하는 단계를 포함한다.
전술한 바와 같은 방법은 데이터 보안 시스템 애플리케이션을 구비한 모바일 디바이스와 사용자 관리 데이터베이스를 포함하는 서버 사이의 통신을 더 포함한다.
전술한 바와 같은 방법은 데이터 보안 시스템의 보안 컨트롤러에 보안 정보를 제공하는 단계를 더 포함한다.
전술한 바와 같은 방법은: 지정된 데이터 보안 시스템의 식별을 서버에 제공하는 단계; 특정 식별을 데이터 보안 시스템에 제공하는 단계; 및 지정된 데이터 보안 시스템의 식별이 데이터 보안 시스템의 특정 식별과 동일할 때, 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.
전술한 바와 같은 방법에서 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계는 데이터 보안 시스템 관리자의 애플리케이션을 제공하고, 방법은: 모바일 디바이스에 관리자의 패스워드를 설정하는 단계; 관리자의 패스워드를 모바일 디바이스로부터 데이터 보안 시스템으로 전송하는 단계; 및 관리자의 패스워드를 데이터 보안 시스템에 설정하고 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.
전술한 바와 같은 방법은: 모바일 디바이스로부터 데이터 보안 시스템으로 잠금해제 요청을 모바일 디바이스 식별과 함께 제공하는 단계; 및 데이터 보안 시스템에서 잠금해제 요청을 수신하고 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.
전술한 바와 같은 방법은: 모바일 디바이스에 사용자 이름 또는 패스워드를 입력하는 단계; 모바일 디바이스로부터 사용자 이름 또는 패스워드를 수신한 후 서버에서 사용자 이름 또는 패스워드가 유효할 때를 결정하는 단계; 사용자 이름 또는 패스워드가 유효할 때 서버로부터 모바일 디바이스로 통신하는 단계; 및 사용자 이름 또는 패스워드가 데이터 보안 시스템을 잠금해제하는데 유효할 때 모바일 디바이스로부터 데이터 보안 시스템으로 통신하는 단계를 더 포함한다.
전술한 바와 같은 방법은: 모바일 디바이스에 사용자 이름 또는 패스워드를 입력하는 단계; 모바일 디바이스로부터 사용자 이름 또는 패스워드를 수신한 후 서버에서 사용자 이름 또는 패스워드가 유효할 때를 결정하는 단계; 사용자 이름 또는 패스워드가 유효할 때 서버로부터 모바일 디바이스로 통신하는 단계; 모바일 디바이스로부터 식별 번호를 수신한 후 서버에서 식별 번호가 유효할 때를 결정하는 단계; 및 서버가 식별 번호가 유효하다고 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.
전술한 바와 같은 방법은: 모바일 디바이스의 유효한 위치를 서버에 제공하는 단계; 서버에서 모바일 디바이스가 유효한 위치에 있을 때를 결정하는 단계; 및 서버가 모바일 디바이스가 유효한 위치에 있다고 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.
전술한 바와 같은 방법은: 모바일 디바이스에서 데이터 보안 시스템에 대한 동작의 현재 시간을 서버에 제공하는 단계; 서버에서 모바일 디바이스가 현재 시간 내에 있을 때를 결정하는 단계; 및 모바일 디바이스가 현재 시간을 갖는다고 서버가 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.
전술한 바와 같은 방법은: 서버에서 커맨드를 제공하는 단계; 모바일 디바이스로부터의 커맨드 대기 신호에 응답하여 커맨드를 서버로부터 모바일 디바이스로 제공하는 단계; 및 커맨드가 서버로부터 제공될 때 커맨드를 모바일 디바이스를 통해 데이터 보안 시스템에서 수행하는 단계를 더 포함한다.
전술한 바와 같은 방법은: 서버에서 패스워드 변경 커맨드를 제공하는 단계; 모바일 디바이스로부터의 패스워드 변경 신호에 응답하여 패스워드 변경 커맨드를 서버로부터 모바일 디바이스로 제공하는 단계; 및 데이터 보안 시스템에서 변경된 패스워드로 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.
전술한 바와 같은 방법은 데이터 보안 시스템을 전력 공급을 위해 호스트 컴퓨터에 연결하여 호스트 컴퓨터에 의해 발견 가능하게 되도록 하는 단계를 더 포함한다.
데이터 보안 시스템은: 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함한다.
전술한 바와 같은 시스템은 데이터 보안 송수신기 또는 수신기에 및 인증 서브시스템에 연결된 보안 컨트롤러를 더 포함한다.
전술한 바와 같은 시스템은 데이터 보안 시스템이 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지하기 위해 보안 컨트롤러와 함께 동작하는 데이터 보안 시스템 애플리케이션을 갖는 모바일 디바이스를 더 포함한다.
전술한 바와 같은 시스템은 데이터 보안 시스템이 미리 결정된 기간 동안 모바일 디바이스에 미리 결정된 근접 내에 있을 때 연결성을 유지하기 위해 보안 컨트롤러와 함께 동작하는 데이터 보안 시스템 애플리케이션을 갖는 모바일 디바이스를 더 포함한다.
전술한 바와 같은 시스템은 연결성을 유지하기 위해 모바일 송수신기 또는 수신기를 갖는 모바일 디바이스가 데이터 보안 시스템과 모바일 디바이스 사이에서 양방향 통신을 이용하는 것을 포함하는 것을 더 포함한다.
전술한 바와 같은 시스템은 연결성을 유지하기 위해 모바일 송수신기 또는 수신기를 갖는 모바일 디바이스가 데이터 보안 시스템과 모바일 디바이스 사이에서 단방향 통신을 사용하는 것을 포함하는 것을 더 포함한다.
전술한 바와 같은 시스템은 데이터 보안 시스템 애플리케이션을 구비한 모바일 디바이스와 사용자 관리 데이터베이스를 포함하는 서버 사이의 유선 또는 무선 연결 통신을 더 포함한다.
전술한 바와 같은 시스템에서 데이터 보안 시스템은 호스트 컴퓨터에 연결하기 위한 외부 통신 채널을 포함한다.
본 발명이 특정한 최상의 모드와 관련하여 설명되었지만, 전술한 설명에 비추어 관련 기술분야에서 통상의 기술자에게는 많은 대안, 수정 및 변형이 명백할 것이라는 것을 이해하여야 한다. 따라서, 첨부된 청구범위 내에 속하는 이러한 모든 대안, 수정 및 변형을 포괄하고자 한다. 본 명세서에 설명되거나 첨부 도면들에 도시된 모든 사항은 예시적이고 비 제한적인 의미로 해석되어야 한다.

Claims (20)

  1. 방법으로서,
    잠금(locked)된 데이터 채널을 갖는 데이터 저장 디바이스에 대한 연결을 검출하는 단계 - 상기 데이터 저장 디바이스는 상기 데이터 채널을 통한 통신을 위한 인터페이스 컨트롤러, 메모리, 인증 정보 및 암호화 키를 갖는 인증 서브시스템, 암호화 엔진, 및 상기 데이터 채널 외부에서 무선주파수 통신을 위한 무선 송수신기를 더 포함함 -;
    상기 인터페이스 컨트롤러를 통한 상기 데이터 채널이 잠금되어 있는 동안, 상기 데이터 저장 디바이스에 의해, 모바일 디바이스로부터 상기 무선 송수신기를 통해 사용자 인증 입력을 수신하는 단계 - 상기 모바일 디바이스는 사용자 정보를 수신하기 위한 사용자 인터페이스를 포함하고, 상기 모바일 디바이스는 상기 데이터 채널을 잠금 해제하기 위한 상기 사용자 정보를 검증하기 위해 원격 서버와 상호작용하도록 구성되고, 상기 사용자 인증 입력은 상기 사용자 정보가 상기 원격 서버에 의해 검증된 후에 상기 데이터 저장 디바이스에 의해 수신됨 -;
    상기 수신된 사용자 인증 입력 및 상기 인증 서브시스템의 상기 인증 정보에 기초하여 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제(unlocking)하는 단계; 및
    상기 데이터 채널이 잠금해제되어 있는 동안:
    상기 암호화 키에 의해, 상기 데이터 채널을 통해 수신된 데이터를 암호화한 후에, 상기 암호화된 데이터를 상기 메모리에 저장하는 단계; 및
    상기 암호화 키에 의해, 상기 메모리로부터 판독된 데이터를 해독한 후에, 상기 데이터 채널을 통해 상기 해독된 데이터를 송신하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    잠금해제에 기초하여 상기 인증 서브시스템으로부터 상기 암호화 키를 상기 암호화 엔진에 전송하는 단계를 더 포함하고, 상기 암호화 키는 상기 데이터 저장 디바이스의 상기 메모리에 저장되지 않고, 상기 암호화 키는 상기 데이터 저장 디바이스의 외부로부터 액세스 가능하지 않은, 방법.
  3. 제1항에 있어서,
    상기 사용자 인증 입력을 수신하는 단계는:
    상기 무선 송수신기를 통해 상기 모바일 디바이스의 애플리케이션과 통신하는 단계; 및
    상기 모바일 디바이스로부터 상기 사용자 인증 입력을 수신하는 단계
    를 더 포함하는, 방법.
  4. 삭제
  5. 제1항에 있어서,
    상기 모바일 디바이스가 상기 원격 서버로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신한 후에 상기 모바일 디바이스로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신하는 단계를 더 포함하는 방법.
  6. 제1항에 있어서,
    상기 모바일 디바이스의 애플리케이션은 상기 모바일 디바이스로 하여금 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금하고, 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제하고, 사용자 이름을 변경하고, 상기 인증 정보를 변경하고, 상기 데이터 저장 디바이스를 리셋할 수 있도록 하는, 방법.
  7. 제1항에 있어서,
    상기 모바일 디바이스의 애플리케이션은 상기 원격 서버로 하여금 상기 데이터 저장 디바이스를 리셋하고 상기 데이터 저장 디바이스를 잠금해제할 수 있도록 하는, 방법.
  8. 제1항에 있어서,
    상기 모바일 디바이스의 애플리케이션은 상기 원격 서버로 하여금 가상 울타리(geo-fence) 내에서 상기 모바일 디바이스의 존재를 결정함으로써 가상 울타리를 사용하여 상기 데이터 저장 디바이스의 사용을 특정 위치들로 제한할 수 있도록 하는, 방법.
  9. 제1항에 있어서,
    상기 모바일 디바이스의 애플리케이션은 상기 원격 서버로 하여금 상기 데이터 저장 디바이스의 사용을 특정 시간대들 및 기간들로 제한할 수 있도록 하는, 방법.
  10. 제1항에 있어서,
    상기 데이터 채널은 컴퓨터 버스 인터페이스인, 방법.
  11. 제1항에 있어서,
    상기 무선주파수 통신은 무선 충실도(Wireless Fidelity)(WiFi), 블루투스(Bluetooth)(BT), 블루투스 스마트(Bluetooth Smart)(BLE), 근접장 통신(Near Field Communication)(NFC), 또는 셀룰러 통신 중 하나인, 방법.
  12. 데이터 저장 디바이스로서,
    메모리;
    사용자가 인증될 때까지 잠금된 데이터 채널을 통해 통신하기 위한 인터페이스 컨트롤러;
    상기 데이터 채널 외부에서 무선주파수 통신을 위한 무선 송수신기 - 상기 무선 송수신기는 사용자 정보를 수신하기 위한 사용자 인터페이스를 포함하는 모바일 디바이스로부터 사용자 인증 입력을 수신하도록 구성되고, 상기 모바일 디바이스는 상기 데이터 채널을 잠금 해제하기 위한 상기 사용자 정보를 검증하기 위해 원격 서버와 상호작용하도록 구성되고, 상기 사용자 인증 입력은 상기 사용자 정보가 상기 원격 서버에 의해 검증된 후에 상기 모바일 디바이스로부터 수신됨 -;
    인증 정보 및 암호화 키를 갖는 인증 서브시스템 - 상기 인증 서브시스템은 상기 수신된 사용자 인증 입력 및 상기 인증 정보에 기초하여 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제함 -; 및
    암호화된 데이터를 상기 메모리에 저장하기 전에 상기 데이터 채널을 통해 수신된 데이터를 상기 암호화 키에 의해 암호화하고, 해독된 데이터를 상기 데이터 채널을 통해 전송하기 전에 상기 메모리로부터 판독된 데이터를 상기 암호화 키에 의해 해독하기 위한 암호화 엔진
    을 포함하는 데이터 저장 디바이스.
  13. 제12항에 있어서,
    상기 인증 서브시스템은 잠금해제에 기초하여 상기 암호화 키를 상기 암호화 엔진에 전송하고, 상기 암호화 키는 상기 데이터 저장 디바이스의 상기 메모리에 저장되지 않으며, 상기 암호화 키는 상기 데이터 저장 디바이스의 외부로부터 액세스 가능하지 않은, 데이터 저장 디바이스.
  14. 삭제
  15. 제12항에 있어서,
    상기 사용자 인증 입력을 수신하는 것은:
    상기 무선 송수신기를 통해 상기 모바일 디바이스의 애플리케이션과 통신하는 것 - 상기 애플리케이션은 사용자에 의한 상기 사용자 인증 입력을 입력하기 위한 사용자 인터페이스를 포함하고, 상기 사용자 인증 입력이 원격 서버에 의해 검증될 때, 상기 원격 서버는 상기 애플리케이션에 확인을 보냄 -; 및
    사용자가 상기 원격 서버에 의해 검증된 후, 상기 데이터 저장 디바이스에 의해, 상기 모바일 디바이스로부터의 상기 사용자 인증 입력을 수신하는 것
    을 더 포함하는, 데이터 저장 디바이스.
  16. 제15항에 있어서,
    상기 인증 서브시스템은 상기 모바일 디바이스의 상기 애플리케이션이 상기 원격 서버로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신한 후에 상기 모바일 디바이스의 상기 애플리케이션으로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신하도록 구성되는, 데이터 저장 디바이스.
  17. 머신에 의해 실행될 때 상기 머신으로 하여금 동작들을 수행하게 하는 명령어들을 포함하는 비-일시적 머신 판독가능한 저장 매체로서,
    상기 동작들은:
    잠금된 데이터 채널을 갖는 데이터 저장 디바이스에 대한 연결을 검출하는 동작 - 상기 데이터 저장 디바이스는 상기 데이터 채널을 통한 통신을 위한 인터페이스 컨트롤러, 메모리, 인증 정보 및 암호화 키를 갖는 인증 서브시스템, 암호화 엔진, 및 상기 데이터 채널 외부에서 무선주파수 통신을 위한 무선 송수신기를 더 포함함 -;
    상기 인터페이스 컨트롤러를 통한 상기 데이터 채널이 잠금되어 있는 동안, 상기 데이터 저장 디바이스에 의해 모바일 디바이스로부터 상기 무선 송수신기를 통해 사용자 인증 입력을 수신하는 동작 - 상기 모바일 디바이스는 사용자 정보를 수신하기 위한 사용자 인터페이스를 포함하고, 상기 모바일 디바이스는 상기 데이터 채널을 잠금 해제하기 위한 상기 사용자 정보를 검증하기 위해 원격 서버와 상호작용하도록 구성되고, 상기 사용자 인증 입력은 상기 사용자 정보가 상기 원격 서버에 의해 검증된 후에 상기 데이터 저장 디바이스에 의해 수신됨 -;
    상기 수신된 사용자 인증 입력 및 상기 인증 서브시스템의 상기 인증 정보에 기초하여 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제하는 동작; 및
    상기 데이터 채널이 잠금해제되어 있는 동안:
    상기 암호화 키에 의해, 상기 데이터 채널을 통해 수신된 데이터를 암호화한 후에, 상기 암호화된 데이터를 상기 메모리에 저장하는 동작; 및
    상기 암호화 키에 의해, 상기 메모리로부터 판독된 데이터를 해독한 후에, 상기 데이터 채널을 통해 상기 해독된 데이터를 송신하는 동작
    을 포함하는 비-일시적 머신 판독가능한 저장 매체.
  18. 제17항에 있어서, 상기 머신은:
    잠금해제에 기초하여 상기 인증 서브시스템으로부터 상기 암호화 키를 상기 암호화 엔진에 전송하는 동작을 포함하는 동작들을 더 수행하고, 상기 암호화 키는 상기 데이터 저장 디바이스의 상기 메모리에 저장되지 않고, 상기 암호화 키는 상기 데이터 저장 디바이스의 외부로부터 액세스 가능하지 않은, 비-일시적 머신 판독가능한 저장 매체.
  19. 제17항에 있어서,
    상기 사용자 인증 입력을 수신하는 동작은:
    상기 무선 송수신기를 통해 상기 모바일 디바이스의 애플리케이션과 통신하는 동작; 및
    상기 무선 송수신기를 통해 상기 모바일 디바이스로부터 상기 사용자 인증 입력을 수신하는 동작
    을 더 포함하는, 비-일시적 머신 판독가능한 저장 매체.
  20. 삭제
KR1020197035893A 2016-01-04 2017-01-03 암호화를 이용한 데이터 보안 시스템 KR102201093B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/987,749 US10181055B2 (en) 2007-09-27 2016-01-04 Data security system with encryption
US14/987,749 2016-01-04
PCT/US2017/012060 WO2017123433A1 (en) 2016-01-04 2017-01-03 Data security system with encryption

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020187022506A Division KR102054711B1 (ko) 2016-01-04 2017-01-03 암호화를 이용한 데이터 보안 시스템

Publications (2)

Publication Number Publication Date
KR20190137960A KR20190137960A (ko) 2019-12-11
KR102201093B1 true KR102201093B1 (ko) 2021-01-08

Family

ID=59311569

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020187022506A KR102054711B1 (ko) 2016-01-04 2017-01-03 암호화를 이용한 데이터 보안 시스템
KR1020197035893A KR102201093B1 (ko) 2016-01-04 2017-01-03 암호화를 이용한 데이터 보안 시스템

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020187022506A KR102054711B1 (ko) 2016-01-04 2017-01-03 암호화를 이용한 데이터 보안 시스템

Country Status (6)

Country Link
JP (3) JP6633228B2 (ko)
KR (2) KR102054711B1 (ko)
CN (2) CN112054892A (ko)
GB (2) GB2562923B (ko)
TW (2) TWI727717B (ko)
WO (1) WO2017123433A1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11151231B2 (en) 2007-09-27 2021-10-19 Clevx, Llc Secure access device with dual authentication
US11190936B2 (en) 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US11233630B2 (en) 2007-09-27 2022-01-25 Clevx, Llc Module with embedded wireless user authentication

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10783232B2 (en) 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
TWI651626B (zh) * 2017-11-30 2019-02-21 大陸商北京集創北方科技股份有限公司 生物特徵資料加密方法及利用其之資訊處理裝置
WO2019177563A1 (en) * 2018-03-12 2019-09-19 Hewlett-Packard Development Company, L.P. Hardware security
GB2574433B (en) * 2018-06-06 2022-11-02 Istorage Ltd Dongle for ciphering data
EP3788538A1 (en) * 2018-08-16 2021-03-10 Clevx, LLC Self-encrypting module with embedded wireless user authentication
CN110225515B (zh) * 2019-06-24 2022-08-23 喀斯玛(北京)科技有限公司 一种认证管理系统、方法及装置
JP2022050899A (ja) 2020-09-18 2022-03-31 キオクシア株式会社 メモリシステム
TWI788936B (zh) * 2021-08-02 2023-01-01 民傑資科股份有限公司 無線通訊上鎖的隨身碟
KR102540669B1 (ko) * 2021-12-17 2023-06-08 주식회사 그리다에너지 암호화되어 편집 불가능 상태로 보관되는 작업 데이터를 이용한 작업 이력 인증 시스템
CN114598461B (zh) * 2022-02-24 2023-10-31 广东天波信息技术股份有限公司 终端设备的联机解锁方法、终端设备及可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060069711A1 (en) * 2004-07-08 2006-03-30 Taku Tsunekawa Terminal device and data backup system for the same
US20060129829A1 (en) * 2004-12-13 2006-06-15 Aaron Jeffrey A Methods, systems, and computer program products for accessing data with a plurality of devices based on a security policy
US20070300052A1 (en) * 2005-07-14 2007-12-27 Jevans David A Recovery of Data Access for a Locked Secure Storage Device
US20080098134A1 (en) * 2004-09-06 2008-04-24 Koninklijke Philips Electronics, N.V. Portable Storage Device and Method For Exchanging Data
US20080222734A1 (en) * 2000-11-13 2008-09-11 Redlich Ron M Security System with Extraction, Reconstruction and Secure Recovery and Storage of Data

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10340231A (ja) * 1997-06-05 1998-12-22 Kokusai Electric Co Ltd Icカード
US6529949B1 (en) * 2000-02-07 2003-03-04 Interactual Technologies, Inc. System, method and article of manufacture for remote unlocking of local content located on a client device
US6708272B1 (en) * 1999-05-20 2004-03-16 Storage Technology Corporation Information encryption system and method
WO2001020463A1 (en) * 1999-09-17 2001-03-22 Fingloq Ab Security arrangement
US7099663B2 (en) * 2001-05-31 2006-08-29 Qualcomm Inc. Safe application distribution and execution in a wireless environment
TW583568B (en) * 2001-08-27 2004-04-11 Dataplay Inc A secure access method and system
US20030109218A1 (en) * 2001-10-18 2003-06-12 Azalea Microelectronics Corporation Portable wireless storage unit
US7561691B2 (en) 2001-11-12 2009-07-14 Palm, Inc. System and method for providing secured access to mobile devices
US7198571B2 (en) * 2002-03-15 2007-04-03 Igt Room key based in-room player tracking
US20060271789A1 (en) 2003-04-10 2006-11-30 Matsushita Electric Industrial Co., Ltd. Password change system
JP2004326763A (ja) * 2003-04-10 2004-11-18 Matsushita Electric Ind Co Ltd パスワード変更システム
US20060075230A1 (en) * 2004-10-05 2006-04-06 Baird Leemon C Iii Apparatus and method for authenticating access to a network resource using multiple shared devices
JP2006139757A (ja) * 2004-10-15 2006-06-01 Citizen Watch Co Ltd 施錠システム及び施錠方法
US20060176146A1 (en) 2005-02-09 2006-08-10 Baldev Krishan Wireless universal serial bus memory key with fingerprint authentication
JP4781692B2 (ja) * 2005-03-08 2011-09-28 インターナショナル・ビジネス・マシーンズ・コーポレーション クライアントのi/oアクセスを制限する方法、プログラム、システム
TWI288553B (en) * 2005-10-04 2007-10-11 Carry Computer Eng Co Ltd Portable storage device having main identification information and method of setting main identification information thereof
CN101375259B (zh) * 2006-01-24 2011-10-19 克莱夫公司 数据保全系统
US20070248232A1 (en) * 2006-04-10 2007-10-25 Honeywell International Inc. Cryptographic key sharing method
EP2122900A4 (en) * 2007-01-22 2014-07-23 Spyrus Inc PORTABLE DATA ENCRYPTION DEVICE WITH CONFIGURABLE SAFETY FUNCTIONS AND METHOD FOR FILING ENCRYPTION
US20080303631A1 (en) * 2007-06-05 2008-12-11 Beekley John S Mass Storage Device With Locking Mechanism
TWI537732B (zh) * 2007-09-27 2016-06-11 克萊夫公司 加密之資料保全系統
CN100533459C (zh) * 2007-10-24 2009-08-26 北京飞天诚信科技有限公司 数据安全读取方法及其安全存储装置
US20100293374A1 (en) 2008-07-30 2010-11-18 Bushby Donald P Secure Portable Memory Storage Device
JP2010102617A (ja) 2008-10-27 2010-05-06 Dainippon Printing Co Ltd 外部記憶装置アクセス管理システム、装置、方法、プログラム、記録媒体
US20100174913A1 (en) * 2009-01-03 2010-07-08 Johnson Simon B Multi-factor authentication system for encryption key storage and method of operation therefor
US9286493B2 (en) * 2009-01-07 2016-03-15 Clevx, Llc Encryption bridge system and method of operation thereof
US8112066B2 (en) * 2009-06-22 2012-02-07 Mourad Ben Ayed System for NFC authentication based on BLUETOOTH proximity
US20110154023A1 (en) * 2009-12-21 2011-06-23 Smith Ned M Protected device management
US9270663B2 (en) * 2010-04-30 2016-02-23 T-Central, Inc. System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added
CN103797491B (zh) * 2011-09-28 2017-06-23 惠普发展公司,有限责任合伙企业 对存储设备进行解锁
JP6029592B2 (ja) 2011-11-19 2016-11-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 記憶装置
US8972728B2 (en) 2012-10-15 2015-03-03 At&T Intellectual Property I, L.P. Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices
US20140149742A1 (en) * 2012-11-28 2014-05-29 Arnold Yau Method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors
GB201221433D0 (en) * 2012-11-28 2013-01-09 Hoverkey Ltd A method and system of providing authentication of user access to a computer resource on a mobile device
US9215250B2 (en) * 2013-08-20 2015-12-15 Janus Technologies, Inc. System and method for remotely managing security and configuration of compute devices
US20150161587A1 (en) * 2013-12-06 2015-06-11 Apple Inc. Provisioning and authenticating credentials on an electronic device
CN105450400B (zh) * 2014-06-03 2019-12-13 阿里巴巴集团控股有限公司 一种身份验证方法、客户端、服务器端及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080222734A1 (en) * 2000-11-13 2008-09-11 Redlich Ron M Security System with Extraction, Reconstruction and Secure Recovery and Storage of Data
US20060069711A1 (en) * 2004-07-08 2006-03-30 Taku Tsunekawa Terminal device and data backup system for the same
US20080098134A1 (en) * 2004-09-06 2008-04-24 Koninklijke Philips Electronics, N.V. Portable Storage Device and Method For Exchanging Data
US20060129829A1 (en) * 2004-12-13 2006-06-15 Aaron Jeffrey A Methods, systems, and computer program products for accessing data with a plurality of devices based on a security policy
US20070300052A1 (en) * 2005-07-14 2007-12-27 Jevans David A Recovery of Data Access for a Locked Secure Storage Device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11151231B2 (en) 2007-09-27 2021-10-19 Clevx, Llc Secure access device with dual authentication
US11190936B2 (en) 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US11233630B2 (en) 2007-09-27 2022-01-25 Clevx, Llc Module with embedded wireless user authentication
US11971967B2 (en) 2007-09-27 2024-04-30 Clevx, Llc Secure access device with multiple authentication mechanisms

Also Published As

Publication number Publication date
KR20180107775A (ko) 2018-10-02
CN112054892A (zh) 2020-12-08
TWI692704B (zh) 2020-05-01
GB201919421D0 (en) 2020-02-12
TWI727717B (zh) 2021-05-11
CN108604982B (zh) 2020-09-04
GB2562923A (en) 2018-11-28
TW202029042A (zh) 2020-08-01
GB2580549B (en) 2020-12-23
CN108604982A (zh) 2018-09-28
GB2562923B (en) 2020-02-12
JP2019511791A (ja) 2019-04-25
JP6938602B2 (ja) 2021-09-22
GB2580549A (en) 2020-07-22
JP7248754B2 (ja) 2023-03-29
JP2021192265A (ja) 2021-12-16
TW201737151A (zh) 2017-10-16
WO2017123433A1 (en) 2017-07-20
JP2020057412A (ja) 2020-04-09
KR20190137960A (ko) 2019-12-11
JP6633228B2 (ja) 2020-01-22
KR102054711B1 (ko) 2019-12-11
GB201811137D0 (en) 2018-08-22

Similar Documents

Publication Publication Date Title
US11971967B2 (en) Secure access device with multiple authentication mechanisms
KR102201093B1 (ko) 암호화를 이용한 데이터 보안 시스템
US10985909B2 (en) Door lock control with wireless user authentication
US10783232B2 (en) Management system for self-encrypting managed devices with embedded wireless user authentication
US9813416B2 (en) Data security system with encryption
US10362483B2 (en) System, methods and devices for secure data storage with wireless authentication
EP2798565B1 (en) Secure user authentication for bluetooth enabled computer storage devices
US11190936B2 (en) Wireless authentication system
EP4242902A2 (en) Self-encrypting module with embedded wireless user authentication
KR20140007627A (ko) 아이씨 칩

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant