KR20080090536A - 데이터 보안 시스템 - Google Patents

데이터 보안 시스템 Download PDF

Info

Publication number
KR20080090536A
KR20080090536A KR1020087020823A KR20087020823A KR20080090536A KR 20080090536 A KR20080090536 A KR 20080090536A KR 1020087020823 A KR1020087020823 A KR 1020087020823A KR 20087020823 A KR20087020823 A KR 20087020823A KR 20080090536 A KR20080090536 A KR 20080090536A
Authority
KR
South Korea
Prior art keywords
memory
data security
host
combination
memory lock
Prior art date
Application number
KR1020087020823A
Other languages
English (en)
Other versions
KR101270230B1 (ko
Inventor
시몬 비. 존슨
레브 엠. 볼로틴
Original Assignee
클레브엑스 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 클레브엑스 엘엘씨 filed Critical 클레브엑스 엘엘씨
Publication of KR20080090536A publication Critical patent/KR20080090536A/ko
Application granted granted Critical
Publication of KR101270230B1 publication Critical patent/KR101270230B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1466Key-lock mechanism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0637Permissions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Human Computer Interaction (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명의 데이터 보안 시스템(100)(800)(900)(1600)(2000)은, 제 1 시스템(102)으로부터 제 2 시스템(104)(108)으로 고유 식별을 제공하는 단계; 상기 제 1 시스템(102)에 의해서 상기 제 2 시스템(104)(108)의 상기 고유 식별을 복사하는 단계; 그리고 상기 제 1 시스템(102) 및 제 2 시스템(104)(108)의 상기 고유 식별들이 동일한 경우에만 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)의 메모리를 잠금해제하는 단계를 포함한다.
Figure P1020087020823
보안, USBD, 잠금해제, 인증, 조합

Description

데이터 보안 시스템{DATA SECURITY SYSTEM}
관련 출원들에 대한 상호 참조
본 출원은 2006년 1월 24일자로 출원된 미국 가출원(출원번호 : 60/761,916)의 우선권을 주장한다.
본 출원은 2006년 5월 22일자로 출원된 미국 가출원(출원번호 : 60/747,926)의 우선권을 주장한다.
본 출원은 2006년 5월 22일자로 출원된 미국 가출원(출원번호 : 60/747,924)의 우선권을 주장한다.
일반적으로, 본 발명은 전자 디바이스에 관한 것이며, 좀더 상세하게는 데이터 보안 시스템에 관한 것이다.
대부분의 컴퓨터 사용자에 있어서 보안은 매우 중요한 이슈이다. 컴퓨터 상의 하드 디스크 드라이브와 같은 메모리 잠금 시스템(memory lock system)은 가치있는 정보를 포함하고 있는데, 이러한 정보는 데이터 절도(data theft)에 매우 취약하다. 개인, 기업 및 정부의 기밀 정보를 보호하기 위하여 엄청난 돈과 노력이 쓰여지고 있다.
휴대용 메모리 저장 디바이스들이 점점 더 작아지고, 분실하기 더 쉬어지며, 유비쿼터스화되고, 가격이 더 저렴해지며, 메모리 용량이 더 커짐에 따라, 이들 디바이스들은 크나큰 보안 문제에 직면하게 되었다. 오늘날에는 대용량의 정보를 휴대용 메모리 저장 디바이스들에 은밀히 다운로드 받는 것이 가능하며, 이러한 휴대용 저장 디바이스들로는 범용 직렬 버스 플래시 및 마이크로 드라이브(이하, 'USBD' 라고 지칭될 수도 있다), 휴대폰, 캠코더, 디지털 카메라, iPOD, MP3/4 플레이어, 스마트폰, 팜 컴퓨터, 랩톱 컴퓨터, 게임 기기 등을 들 수 있다.
좀 더 상세하게는, 컴퓨터로부터 용이하게 정보를 다운로드 받을 수 있으며, 휴대하고 다닐 수 있는 수백만개의 USBD가 백업용, 운반용, 중간 저장소(intermediate storage), 주 저장소(primary storage)로 사용되고 있다. USBD의 주요 용도는 '휴대용 콘텐츠'를 저장하고 이를 복원(retrieve)하는 것인바, 상기 휴대용 콘텐츠는 특정한 컴퓨터에 속한 것이 아니라 소유자에 속한 데이터 또는 기타 정보이다. 호스트 컴퓨터만이 상기 휴대용 컨텐츠에 액세스하고 이를 처리할 수 있다. 통상적으로 USBD는 서로 다른 컴퓨터에 연결되는바, 이들 컴퓨터들은 보안에 취약하며 심지어 보안에 적대적인 다양한 환경하에 있다.
침범된 사용자 공동체(affected user community)는 매우 거대하다. 안에 담긴 정보와 함께 분실되거나 또는 도난당한 USBD 때문에, 사회의 모든 분야는 보안 누출 및 데이터 손상(data compromise)에 이미 취약한 상태이다. 수 많은 메모리 잠금 시스템들이 보안에 취약하기 때문에, 금융 데이터베이스, 의료 기록들, 회사 기록들, 국가 보안 정보, 즉 임의의 기밀(confidential) 정보는, 인가받지 않는 개인들에게 노출될 수 있으며 배포될 수 있다. 개인, 정부, 국방, 및 기업 사용자들 모두는, 분실 또는 도난당하기 쉬우며 휴대가능한 USBD에 저장된 정보를 보호하는 것에 관심을 기울이고 있다.
컴퓨터 상의 대용량 저장매체에 대해 보안을 제공하는 통상적인 수단은, 소프트웨어 어플리케이션을 통해 액세스되는 패스워드를 결합하는 것이다. 데이터를 획득하기 위해서 이용가능한 해킹(hacking) 기술을 쉽사리 사용하고자 하는 자들에게, 상기 패스워드 보안는 억지력을 거의 갖지 못한다. 보안 메모리 잠금 시스템에 대해 액세스를 획득하는데에 이용될 수 있는 수 많은 방법들이 현재 존재하고 있는바, 가령, 키 로거(key logger) 그리고 범용직렬버스(USB) "스니퍼(sniffer)" 등을 들 수 있다. 이러한 것들은, 사용자에게 들키지 않고 목표로 하는 컴퓨터에 설치될 수 있다. 일단, 패스워드(또는 보안) 교체가 탈취되면, 이후 이것은 악의적인 소스에게로 전달될 수 있다.
더욱 최근에는, 생체측정(biometric) 패스워드 시스템이 몇몇 메모리 잠금 시스템들과 결합되고 있으며, 가령, 키보드, 마우스, 전용 보안 기기들 등과 같은 기타 컴퓨터 주변기기들에 결합되고 있다. 하지만 많은 매체에서 알려진 바와 같이, 이들 생체측정에 의해 보호되는 디바이스의 제조자들 조차도 보안을 선뜻 보장하고 있지는 않다.
업계에서, 패스워드 및 생체측정 시스템은 대용량 저장매체의 내용물들을 보호할 순 있지만, 이들은 기업 효율성을 저해할 수 있다. ID 절도 및 컴퓨터 시스템으로의 비인가 접속을 방지하기 위한 노력의 일환으로, 각각의 고유한 계정마다 서로 다른 로그인 이름과 패스워드를 이용하는 것이 업계의 관행이다. 또한, 정기적 으로 패스워드를 변경하는 것이 통상적인 관행이다. 하지만, 이러한 것들은 시간 소모적이며, 고품질의 정보기술(IT) 관리를 필요로 한다. 또한, 패스워드를 까먹었을 경우에는 문제를 야기한다.
공유 시스템에 액세스하기 위해서는 패스워드가 공유되어야 하기 때문에, 정보는 조직 내에서 용이하게 교환될 수 없다. 생체측정 공유 시스템은, 액세스를 원하는 모든 사용자의 "지문(fingerprint)"을 알고 있어야 한다.
정보가 시설 밖으로 용이하게 전달되고 있기 때문에, 기관들(institutions)은 기관의 네트워크 범위 내에서 휴대용 메모리 저장 디바이스들의 사용을 금지하는 정책을 만들고 있거나 회사 소유의 장비들에 대해서 휴대용 메모리 저장 디바이스들의 사용을 금지하는 정책을 만들고 있다. 우려스러운 점은, 메모리 잠금 시스템들이 통상적인 보안 스크린(security screen)을 무사히 통과할 수 있다는 점이다. 따라서, 일급 정보들이 이들 디바이스들 중 하나로 전송되고, 구내를 벗어나게 되고, 분실 또는 도난당하게 되는 것이 매우 용이해졌다.
몇몇 회사들은, "포트 관리(port management)" 기법을 이용한 방지책을 제공하고 있는바, 예를 들면, 엔드-포인트(end-point) 보안 소프트웨어를 이용하거나 또는 USB 포트에 에폭시 수지를 적용(즉, 포트를 '차단')함으로써, 네트워크에 연결된 원하지 않은 주변장치들을 무력화시킨다. 엔드-포인트 보안 소프트웨어는 인가된 USBD에 대해서만 접속을 허용하며, 그 밖의 다른 모든 것들의 접속은 거부한다. 이러한 모든 방법들은 여전히 문제점을 갖고 있다.
이러한 문제점들에 대한 해결책은 오랫동안 탐구되어 왔지만, 종래의 개발 노력들은 그 어떤 해결책도 가르치거나 제시하지 못했는바, 해당 기술분야의 당업자들은 이들 문제들에 대한 해결책들을 오랫동안 밝혀낼 수 없었다.
본 발명에 따르면 데이터 보안 시스템이 제공되는바, 이는 제 1 시스템으로부터 제 2 시스템으로 고유 식별(identification)을 제공하는 단계, 상기 제 2 시스템내의 상기 고유 식별을 상기 제 1 시스템에 의해서 복사하는 단계,
상기 제 1 시스템 및 상기 제 2 시스템 내의 상기 고유 식별들이 동일한 경우에만, 상기 제 1 시스템 또는 상기 제 2 시스템의 메모리를 잠금 해제(unlocking)하는 단계를 포함한다.
본 발명의 몇몇 실시예들은 앞서 설명된 바와같은 본 발명의 실시태양들 이외의 또는 이들을 대체하는 여타의 실시태양들을 갖는다. 본 발명의 실시태양들은, 첨부된 도면들을 참조하여 후술될 발명의 상세한 설명부분을 읽음으로서 해당 기술분야의 당업자들에게 명확해질 것이다.
도1은 본 발명의 일실시예에 따른 데이터 보안 시스템의 일례를 도시한 도면이다.
도2는 본 발명의 다른 실시예에 따른 도1의 데이터 보안 시스템에 대한 안티-해킹 시스템의 순서도이다.
도3은 본 발명의 다른 실시예에 따른 도1의 데이터 보안 시스템에 대한 조합 재구성 시스템의 순서도이다.
도4는 본 발명의 다른 실시예에 따른 도1의 데이터 보안 시스템에 대한 제도적인(institutional) 메모리 잠금 시스템의 순서도이다.
도5는 본 발명의 다른 실시예에 따른 도1의 데이터 보안 시스템에 대한 인증 시스템의 순서도이다.
도6은 본 발명의 다른 실시예에 따른 도1의 데이터 보안 시스템에 대한 보안 토큰 시스템의 순서도이다.
도7은 본 발명의 다른 실시예에 따른 토큰 인증 시스템에 대한 인증 시스템의 순서도이다.
도8은 본 발명의 다른 실시예에 따른 제도적인 데이터 보안 시스템에 대한 도면이다.
도9는 가령 도8의 제도적인 데이터 보안 시스템과 같은, 본 발명의 다른 실시예에 따른 제도적인 데이터 보안 시스템에 대한 순서도이다.
도10은 도1의 메모리 잠금 시스템과 같은, 메모리 잠금 시스템에 대한 새로운 PIN 엔트리 시스템의 순서도이다.
도11은 본 발명의 다른 실시예에 따른 도1의 데이터 보안 시스템에 대한 리드-온리-액세스(read-only-access) 시스템의 순서도이다.
도12A-12C는 도1의 데이터 보안 시스템 또는 도9의 제도적인 데이터 보안 시스템과 함께 사용되는 메모리 잠금 시스템의 다양한 대안적인 실시예들에 대한 도면이다.
도13은 본 발명의 대안적인 실시예에 따른 신용카드 사이즈의 메모리 잠금 시스템에 대한 도면이다.
도14는 본 발명의 대안적인 실시예에 따른 신용카드 사이즈의 메모리 잠금 시스템에 대한 도면이다.
도15는 본 발명의 대안적인 실시예에 따른 신용카드 사이즈의 메모리 잠금 시스템에 대한 도면이다.
도16은 본 발명의 대안적인 실시예에 따른 지능형 데이터 보안 시스템에 대한 도면이다.
도17은 지능형 메모리 잠금 시스템에 도16에 도시된 보안 요소들을 장비하기 위한, 도16의 연결 제어기내의 제한 메모리를 도시한 도면이다.
도18은 본 발명의 다른 실시예에 따른 도1의 데이터 보안 시스템에 대한 보안 인증 토큰에 대한 도면이다.
도19는 본 발명의 다른 실시예에 따른 도18의 보안 인증 토큰 시스템의 동작에 관한 도면이다.
도20은 본 발명의 다른 실시예에 따른 데이터 보안 시스템의 순서도이다.
다음의 실시예들은, 해당기술 분야의 당업자들이 본 발명을 만들고 이용할 수 있도록 충분히 자세하게 설명된다. 본 명세서에 개시된 바에 근거하여 다른 실시예들도 분명하다는 것이 이해되어야만 하며, 본 발명의 기술적 사상의 범위를 벗어남이 없이도, 시스템 변경, 프로세스 변경 또는 기계적 변경들이 만들어질 수도 있다는 것이 이해되어야만 한다.
후술될 발명의 상세한 설명에서, 수많은 특정한 세부사항들이 본 발명을 완전히 이해하도록 제공된다. 하지만, 본 발명은 이러한 특정한 세부사항들이 없이도 실시될 수도 있음은 명백할 것이다. 본 발명을 불명료하게 만드는 것을 회피하기 위해서, 잘 알려진 몇몇 회로들, 시스템 구성들, 및 공정 단계들은 상세히 설명되지 않았다.
마찬가지로, 시스템에 관한 실시예들을 도시하고 있는 도면들은 어느 정도 개략적인 도면들이며 축적대로 그려진 것은 아니다. 특히, 명확한 표현을 위해서, 몇몇 치수들은 도면에서 매우 과장되게 표현되었다.
이와 유사하게, 일반적으로 상기 도면들은 설명의 용이함을 위해서 실시예들의 유사한 방위들을 도시하고 있지만, 대부분의 경우 이는 자의적인 것이다. 일반적으로, 다양한 실시예들은 임의의 방위에서 동작가능하다.
"드라이브 시스템" 이라는 용어는, 메모리 잠금 시스템(가령 솔리드-스테이트, 예컨대 플래시 또는 이동 매체, 예컨대 하드디스크 드라이브) 또는 다운로드가능한 기타의 컴퓨터 메모리를 지칭하며, "USBD" 라는 용어는 휴대용 메모리 저장 디바이스를 지칭한다. 본 명세서에서 사용된 "시스템" 이라는 용어는, 상기 "시스템" 이라는 용어가 사용된 문맥에 따라, 본 발명의 방법 및 장치를 의미 및 지칭한다.
민감한 정보를 포함하고 있는 임의의 USBD에 대해 중요한 점은, 보안 시스템은 자체-구비형(self-contained)이어야 하며, 외부 환경을 인식하고 있어야 한다는 점이다.
본 발명의 다양한 실시예들에서, 자체-구비형 보안 요소들 중 하나는, 전자기계식(electromechanical) 매커니즘인바, 이는 온-보드 메모리를 활성화하기 위해서 조합(combination)의 입력, 생체측정 신원증명(ID)의 입력, 또는 개인 식별 번호(personal identification number : PIN)의 입력과 같은, 물리적인 조작을 필요로 한다. 자체-구비형 보안 시스템이 활성화되기 전에는, USBD의 메모리는, 본 발명에 따른 장치가 이들의 일부이거나 또는 이들에게 연결될 수 있는 그 어떤 전자제품/디바이스/기기/장비에 의해서도 기입, 심문(interrogate), 판독될 수 없다.
현재 시장에 나와 있는 다른 솔루션들과는 달리, 본 발명은 자체-구비형이며, 전자 디바이스의 내부 메모리(휴대용이거나 또는 더 큰 어셈블리에 내포되는)에 통합된다. 호스트 컴퓨터(예를 들면, 랩탑, 스마트폰, 휴대폰, 컴퓨터/컴퓨팅 디바이스, 컴퓨터/마이크로프로세서를 구비한 게임기 등등)는, 상기 디바이스에 대해 특별히 무언가를 알고 있어야할 필요가 없다. 이러한 맥락에서, 본 발명의 디바이스는, 운영 시스템(OS), 드라이버, 어플리케이션 및 컴퓨터 플랫폼에 대해서 독립적이다. 또한, 본 발명의 디바이스는, 전차(military tank)의 네비게이션 시스템과 같은 내장형(embedded) 시스템에도 적용가능하며, 또는 다른 군사 시스템, 상업 시스템 및 개인 시스템에도 적용가능하다.
본 발명은, 현재의 보안/방어 방법들에 관련된 다음의 문제점들을 해결할 수 있다.
● 외부 컴퓨터가 보안을 확립해야할 필요성을 제거한다 : 록킹(locking)은 자체 구비되어 있으며, 보안은 오직 메모리 디바이스 그 자체 및 그것의 상 주(resident) 하드웨어/소프트웨어에만 의존한다.
● 보안을 확립하기 위한 복잡하고 에러가 발생하기 쉬운 구성 절차를 필요로 하지 않는다.
● 보안이 의문시되는 환경들(예를 들면, 인터넷 카페, 매점(kiosk), 수 많은 국립-보안(national-security) 어플리케이션들 등등)에서 통상적으로 발생하는 패스워드 강탈(password grabbing)을 방지한다.
● 본 발명의 디바이스는 플랫폼에 독립적이므로, 예를 들면, 다양한 MicrosoftTM 프로그램들 및 여타 프로그램들에서의 보안상 결점들과 같은 플랫폼별로 특정한(platform-specific) 보안상의 문제점들을 해결할 수 있다.
플랫폼 독립성으로 인하여, 데이터는 서로 다른 운영 시스템들, 및 다양한 머신들, 기기들 및 장비의 임의의 내장 부분들 사이에서 이동할 수 있다.
"휴대용 메모리" 디바이스(가령, 플래시 또는 마이크로 드라이브로 예시되는 외부 메모리 디바이스)로서의 응용예에서, 이것은 PC의 통신 포트(예컨대, USB 포트)에 부착된다. 컴퓨터에 있어서, 이것은 단순한 저장 디바이스이다. 하지만, 이것은, 컴퓨터로부터 액세스될 수 없는 록(lock)을 갖는다. 가령, 숫자들 및/또는 글자들과 같은 그래픽들의 올바른 조합을 인지하기 전까지는, 상기 메모리 디바이스는 동작불능(inoperable)으로 남아있는다. 몇몇 실시예들에서는, 조작자가 숫자들 또는 문자들을 입력하지 않는다. 색깔있는 버튼 또는 숫자/문자 버튼들을 누름으로써 액세스가 이루어지며, 또는 하나의 버튼을 다양한 지속기간 동안 누름으로 써 액세스가 이루어진다. 예를 들어, 하나의 버튼을 누르고 LED가 깜빡거리는 것을 기다림으로써, 액세스가 이루어질 수 있다. 이에 관하여 조합(combination)도 생성될 수 있는바, 예를 들면, 버튼을 누르고, 3번 깜빡이는 것을 기다리고, 누름을 해제(releasing)하고, 다시 누르고, 그리고 2번 깜빡이는 것을 기다리는 등의 조합도 가능하다. 올바른 시퀀스(sequence)가 입력되는 때에, 상기 메모리 디바이스는 잠금해제(unlock)되며, 동작가능해진다. 이러한 디바이스는 (때로는 기계적인 잠금 시스템에 추가하여) 패스워드 보호 형식을 취할 수도 있다.
몇몇 응용예들에서, 상기 "록(lock)" 은 "타이머"를 가질 수도 있는바, 타이머는, 소정의 시간주기 동안 또는 특정 날짜에 도달할때까지 상기 록(lock)이 잠겨 있도록 설정될 수 있다. 메모리 잠금 시스템은 컴퓨터에 부착된 채로 있어야만 한다. 만일, 메모리 잠금 시스템이 언플러그드(unplugged)되면, 메모리 잠금 시스템은 다시 한번 잠금 상태가 된다. "타이머"에 기반하는 다른 실시예들에서는, 메모리 잠금 시스템이 "타이밍" 요소를 가질 수도 있는바, 디바이스가 일단 잠금해제되면 상기 "타이밍" 요소는 시간을 카운트할 수 있다. 소정의 비활성(inactive) 시간 제한이 경과된 이후 예컨대, 수 분(few minutes) 정도 컴퓨터가 USBD에 액세스하지 않은 경우, 메모리 잠금 시스템은 자동적으로 자체 잠금된다. 이후, 사용자는, 상기 조합을 다시 이용하여 디바이스를 잠금해제할 것이 요구된다.
본 발명의 가능한 용도들 중 하나는, 로그인 증명서(login credentials)를 저장/관리하는 것이다. 물론, 의료 기록, 디지털 사진, 금융/기업 데이터, 군사적인 용용예들, 온라인 뱅킹을 위한 다원 인증(multifactor authentication) 등등의, "이동가능한 콘텐츠"를 저장하는 것과 같은 다른 많은 용도들이 있을 수 있다.
또한, 메모리 잠금 시스템의 다양한 실시예들은, 기밀 정보(개인기록, 금용기록, 의료 기록 등등)를 포함하고 있는 임의의 파일을 저장할 수 있다. 메모리 디바이스가 잠금해제되어 있는 한, 이러한 기밀 파일들은 컴퓨터 상의 다른 여타의 파일들처럼 액세스될 수 있다.
본 발명의 다양한 실시예들은, 예컨대, 어린이용 비디오 게임, 디지털 음악 플레이어, iPOD, 캠코더, 랩탑, 스마트폰, 휴대폰, 랩탑 컴퓨터, 팜탑 컴퓨터 등등과 같은, 수 많은 컴퓨팅 디바이스들, 전자제품들 및 어플리케이션들로의 통제된(controlled) 액세스를 위해 이용될 수 있다. 또한, 이들 실시예들은, 다원 인증 시스템을 위한 "물리적인" 토큰(token)을 제공하기 위해서, 금융기관에 의해 이용될 수도 있다.
본 발명의 다양한 실시예들에서, 드라이브 시스템은, 상기 드라이브 시스템에 고유 식별자(indentifier)를 제공하기 위한 네트워크/컴퓨터 시스템, 상기 네트워크/컴퓨터 시스템을 인증하기 위한 비밀 해싱 함수(private hashing function), 그리고 USBD를 잠금해제 및 잠금하는 조작 매커니즘을 포함한다.
본 발명의 다양한 다른 실시예들에서, 제도적인 환경(institutional environment)에 포함될 수 있는 드라이브 시스템의 속성들(attributes)은 다음과 같다.
1. 기관(institution)의 통제된 액세스 환경 외부에 있는 경우에, 통제된 액세스 환경을 허용하면서도 정보를 보호한다.
2. 상기 통제된 액세스 환경내에서 자유롭게 교환될 수 있다.
3. 특정 사용자의 컴퓨터 시스템에 대해 안전해진다.
4. 보안을 확립하기 위해 외부 컴퓨터를 사용해야할 필요성을 제거한다. 잠금(locking)은 자체구비되며 그리고 액세스 제어는 오직 메모리 잠금 시스템 자체 및 그 상주 하드웨어/펌웨어/소프트웨어에만 의존한다.
5. 메모리 잠금 시스템은 안전한 환경을 인식할 수 있으며 따라서 사용자로부터의 요구(challenge)/응답(response)이 없이도 액세스를 허용하기 때문에, 패스워드 확산(proliferation)을 감소시킨다.
6. 자체-구비형 입력 매커니즘을 이용함으로써 인증을 통해 네트워크 시스템의 외부에 대해 잠금해제 가능하다.
7. 콘텐츠를 암호/해독 하기위해서 엔드-포인트 보안 어플리케이션들에 의존하지 않는다.
그것의 자체구비된 성질때문에, 본 발명의 다양한 실시예들에서 보안은 플랫폼 독립적이며, 따라서 데이터는 상이한 운영 시스템들, 머신들, 기기들 및 내장된 장비들 사이에서 이동될 수 있다.
호스트에 부착되는 경우, 호스트를 인증할 수 있을 때까지 또는 조작가능한 온-보드(on-board) 입력 매커니즘을 통해 올바른 조합(PIN)이 입력될 때까지, 상기 USBD는 동작불능인 채로 남아있는다.
이제 도1을 참조하면, 본 발명의 일실시예에 따른 데이터 보안 시스템(100)에 대한 도면이 도시되어 있다.
데이터 보안 시스템(100)은, 메모리 잠금 시스템(102), 디스플레이 유닛(106)을 구비한 호스트 컴퓨터 시스템(104), 및 임의의 컴퓨터 시스템(110)을 그 일부로서 구비한 임의의 제도적인(institutional) 네트워크 시스템(108)을 포함한다.
메모리 잠금 시스템(102)은 커넥터(114)를 갖는 보디(112)를 포함하는바, 커넥터는 가령, USB 커넥터가 될 수 있다. 보디는, LED와 같은 입력 상태 표시기(116), 및 조작가능한 입력 매커니즘(118)(가령, 썸휠 : thumb-wheel)을 포함한다. 상기 조작가능한 입력 매커니즘(118)은 디스플레이 유닛(119) 옆에 위치한다.
내부적으로, 상기 보디(112)는 제어기(120)를 포함하는바, 제어기는 호스트 컴퓨터(104), 조작가능한 입력 매커니즘(118), 및 메모리(122)(가령, 플래시 메모리)에 연결된다. 선택적인(optional) 배터리(124)는 메모리 잠금 시스템(102)에 파워를 공급한다. 메모리 잠금 시스템(102)은 호스트 컴퓨터 시스템(104)으로부터 파워를 공급받을 수도 있기 때문에(유선 또는 무선으로), 상기 배터리(124)는 선택적이다.
제어기(120)는 난수발생기(random number generator) 유닛(130), 해싱 유닛(hashing unit)(132), 호스트 식별(ID) 유닛(134), 및 체킹 유닛(checking unit)(136)을 포함한다.
난수발생기 유닛(130)은, 커넥터(114) 및 해싱 유닛(132)에 랜덤 시드(random seed)(140)를 제공한다. 호스트 ID 유닛(134)은 호스트 ID 숫자(142)를 해싱 유닛(132)에 제공한다. 해싱 유닛(132)은, 랜덤 시드(140) 및 호스트 ID 숫 자(142)를 받아들이고, 해싱된 숫자(144)를 체킹 유닛(136)에 제공한다.
커넥터(114)는, 호스트 어플리케이션(150) 및 호스트 ID 유닛(152)을 구비한 호스트 컴퓨터 시스템(104)에 연결가능하다. 호스트의 해싱된 결과(160)를 제공하기 위해서, 상기 랜덤 시드(140)는 호스트 ID 숫자(154)와 함께 호스트 어플리케이션(150)으로 제공되는바, 상기 호스트의 해싱된 결과(160)는, 커넥터(114)를 통해서 체킹 유닛(136)으로 제공된다. 상기 해싱된 숫자(144)와 상기 호스트의 해싱된 결과(160)가 동일하거나 또는 매칭되는 경우에만, 제어기(120)는 메모리(122)로의 액세스를 잠금해제(unlock)할 것이다. 보안은 USB 연결에 기초하지 않는다 - 부분들(portions)은 호스트 액세스 요청으로부터 은폐된다. 보안의 다양한 형식들은 다음을 포함한다.
● 메모리에 상주하는 데이터에 암호화가 적용된다.
● 메모리 칩에 의해서 데이터가 은폐된다. 제어기가 스스로 인증할 수 있을 때까지 메모리 칩은 완전히 액세스 가능하지 않다.
● 통신 포트들을 디스에이블한다.
호스트 어플리케이션(150)은 해싱 유닛을 포함하는바, 이는 메모리 잠금 시스템(104) 내의 해싱 유닛(134)과 동일하다. 호스트 어플리케이션(150)은 호스트 컴퓨터 시스템(104) 상에 영구적으로 상주할 수도 있으며, 또는 메모리 잠금 시스템(102)으로부터 일시적으로 로딩될 수도 있다. 후자의 경우, 메모리 잠금 시스템(102)은, 호스트 컴퓨터 시스템으로 하여금 메모리 잠금 시스템(102)으로부터 직접적으로 자동-로딩(auto-load) 및 실행(run)하게끔 하는, 공개 파티션(public partition)을 포함한다.
메모리 잠금 시스템(102)에 대한 사용자 인증은, "물리적인" 잠금 매커니즘(예컨대, 전자-기계 매커니즘에 기반하는)에 의해 제공된다. 이는, 도1에 도시된 바와 같은 썸휠(thumb-wheel) 구현예가 어떻게 작동하는지를 나타낸다. 그것의 구현예는 통신 포트(예컨대, USB 포트 또는 커넥터)를 장비한 "휴대용 메모리" 시스템(가령, 메모리 잠금 시스템)에 대해 설명되는바, 이는 오직 일례로서 설명되는 것이다. 이와 매우 유사한 매커니즘들이 디지털 카메라, 컴퓨터의 내장 하드 드라이브, 스마트폰, 팜 컴퓨터, 디지털 음악 재생기, 등등에 통합될 수 있다는 점을 유의해야 한다.
● 상기 메모리 잠금 시스템(102)은 배터리 파워를 보존하기 위해서 통상적으로는 파워 오프된다.
● 상기 조작가능한 입력 매커니즘(118)이 조작되는 때에, 상기 제어기(120)는 활동을 개시하며 상기 디스플레이 유닛(119)을 활성화 시킨다.
● 디스플레이 유닛(119)은 초기에 "00"을 보여주며, 상기 조작가능한 입력 매커니즘(118)이 조작됨에 따라 01, 02, 03 ... 98, 99 과 같은 증분을 보여준다.
● 통상적인 숫자 맞추기 자물쇠(combination lock)처럼, 잠금해제를 위해서는 3개 숫자들의 시퀀스를 취할 수 있다. 예를 들면, 22, 68, 및 17의 조합(물론, 상기 시퀀스는 더 많거나 또는 더 적은 숫자들/문자들일 수도 있다)을 들 수 있다.
● 상기 조작가능한 입력 매커니즘(118)은 숫자 22가 상기 디스플레이 유닛(119) 상에 나타날 때까지 조작된다.
● 이후, 사용자는 상기 조작가능한 입력 매커니즘(118)을 다르게 조작하는바, 예를 들면 썸-휠의 경우 휠의 방향을 거꾸로 한다. 제어기는 방향의 변화를 감지하고, 상기 디스플레이 유닛(119)을 00으로 다시 변경한다.
● 디스플레이 유닛(119)에 68이 나타날 때까지 조작이 계속된다.
● 17이 나타날 때까지 조작이 변경된다.
● 이제 상기 메모리 잠금 시스템(102)은 잠금해제된다.
● 3개의 2자리 숫자는 1,000,000개의 가능한 조합을 제공하며, 3자리 숫자의 경우에는 1,000,000,000 개의 가능한 조합이 있다.
● 임의의 전기적인 변경(electric tampering)은 상기 메모리 잠금 시스템(102)을 동작불능으로 만들 것이다. 상기 잠금해제 매커니즘은 전자-기계식이지만, 입력을 모니터링하고 있는 것은 실제로는 제어기 펌웨어이다.
● 만일, 상기 메모리 잠금 시스템(102)이 잠금해제됨이 없이 플러그된다면, 기능하지 않을 것이다.
다음의 것들은 본 발명의 다른 실시예들의 특징들/기능들이다.
● 열쇠고리, 지갑, 또는 좀더 큰 어셈블리(가령, 랩탑)에 수용될 수 있는 작은 패키지.
● 분해(disassembly) 및 역설계(reverse engineering)를 방지하기 위하여 데이터가 암호화된다. 메모리 잠금 시스템(102) 상에 상주하는 소프트웨어가 암화화 및 해독화를 수행한다.
● 상기 메모리 잠금 시스템(102)은 데스크탑, 랩탑, 및 휴대용 및 내장형 시스템 등을 포함하는 모든 유형의 컴퓨터 시스템과 함께 동작가능하다.
● 제 2 메모리 잠금 시스템으로 백업될 수 있다.
● 상기 메모리 잠금 시스템(102)은 전자기계식 록(lock)을 갖고 있는바, 따라서 사용자는 기존 자물쇠의 성질과 유사하게 숫자들/문자들/그래픽스(graphics)을 입력해야 한다. 메모리 잠금 시스템(102)은 소트프웨어 패스워드를 더 가질 수 있으며, 또한 타이머를 가질 수도 있다.
● 적절한 소프트웨어 어플리케이션으로, 상기 메모리 잠금 시스템(102)은 로그인 증명서(login credential)을 자동으로 입력할 수 있다.
● 메모리(122)는 모든 유형의 개인 데이터 및 정보를 저장할 수 있다.
● 신용카드 정보의 저장을 허용한다.
● 임의 유형의 파일들을 저장할 수 있다.
● 메모리들의 사이즈는 끊임없이 증가되는바, 데이터의 크기는 메모리(122)의 사이즈에 의해서만 제한을 받는다.
● 메모리(122)는 램(RAM), 플래시, 및 회전 디스크 매체 등을 포함하는 임의 형식이 될 수 있다.
● 내부 파워 소스, 상기 선택적인(optional) 배터리(124)는 컴퓨터에서 분리된 동안에 잠금해제를 허용한다.
● 메모리 잠금 시스템(102)은, 입력 상태 표시기(116)와 같은 시각적인 상태 표시기를 가질 수도 있고 갖지 않을 수도 있다.
● 메모리 잠금 시스템(102)을 디스플레이 유닛(119)을 가질 수 있다.
● 적절한 소프트웨어에 의해, 상기 메모리 잠금 시스템(102)은 "원 클릭" 로그인을 가질 수 있다.
● 메모리 잠금 시스템(102)은, 휴대폰의 외부 메모리(예컨대, 전화번호부 저장소)로서 사용될 수 있다.
● 제어기(120) 내의 보안 퓨즈(security fuse)는 역설계를 방지하기 위해 끊어질 수 있다.
● 해킹 시도는 제어기(120)에 의해 검출된다. 올바른 시퀀스가 후속으로 입력되는 경우에도, 내부 통신 채널들을 폐쇄된 채로 남아 있는다.
● 해킹이 검출되면, 나중에 정상 동작으로 되돌아가고자 할 때(예컨대, 1 시간후), 상기 메모리 잠금 시스템은 그 스스로를 리셋할 것이다. 또는 그 스스로를 소거하도록 설정되거나 또는 다른 몇몇 방식들로 동작하도록 설정될 것이다.
● X 번(예컨대, 10번)의 성공적이지 못한 시도에 의해 해킹이 검출된다. 상기 횟수는, 통상적인 사용자의 실수를 용납하기에는 충분하지만, 비인가 진입(unauthorized entry)을 방지할수 있을 만큼 적당히 적다. 전체적인 소프트웨어 안티-해킹 알고리즘은 사용자 지침서(user documentation)에는 공개되어 있지 않으며, 일반 대중은 이용할 수 없다.
● 메모리 잠금 시스템(102)은 제조자에 의해 사전-설정(pre-set)될 수 있으며, 따라서 변경될 수 없다.
● 메모리 잠금 시스템(102)은, 제조자에 의해 초기 잠금/잠금해제 조합으로 사전-설정(pre-set)될 수 있는바, 상기 초기 잠금/잠금해제 조합은 상기 메모리 잠 금 시스템이 잠금해제되면 사용자에 의해서 변경될 수 있다.
● 메모리 잠금 시스템(102)은, 제조자에 의해 초기 잠금/잠금해제 조합으로 사전-설정(pre-set)될 수 있는바, 상기 초기 잠금/잠금해제 조합은, 조합을 잊어버린 경우에 제조자에 의해서 원격으로 변경될 수 있다.
● 메모리 잠금 시스템(102)은 다중 PIN 조합들을 가질 수 있다(사용자 및 다른 사람들에 대해).
메모리 잠금 시스템(102)의 제어기(120)는, 다양한 물리적인 입력들 및 생체측정(biometric) 입력들을 인증할 수 있는 인증 유닛(authentication unit)(162)을 더 포함한다. 숫자들 및 단어들을 인증하는 것 이외에도, 상기 인증 유닛(162)은 통상적인 수단들에 의해서 지문인식 또는 망막인식을 할 수 있다. 상기 수단들 중 몇몇이 이하에서 설명된다.
이제 도2를 참조하면, 본 발명의 또 다른 실시예에 따른, 도1의 데이터 보안 시스템(100)에 대한 안티-해킹 시스템(100)의 순서도가 도시된다.
블록 202에서 안티-해킹 시스템(200)이 시작되는바, 가령, 메모리 잠금 시스템(102)과 같은 유닛이 파워업된다. 블록 204에서, 입력 시도 레지스터는 0으로 설정된다. 블록 206에서 사용자는 조합을 입력하며, 결정 블록 208의 "입력 시도 > X" 에서 조합을 입력하는 시도의 횟수가 체크된다. 여기서, X는 최대 시도 횟수로 설정되는 임의의 숫자이다.
입력을 시도하는 횟수가 상기 결정 블록 208에서 설정된 상기 숫자보다 작은 경우에, 조합은 결정 블록 210에서 체크될 것이다. 결정 블록 210에서 상기 조합이 올바른 것으로 판명되면, 메모리는 잠금해제될 것이다(블록 212).
결정 블록 210에서 조합이 틀린 것으로 판명되면, 블록 214의 "입력 시도 = 시도 + 1" 와 같이, 입력 시도는 증분될 것이다. 틀린 조합의 경우, 메모리 잠금 표시가 블록 216에서 제공될 것이며, 상기 순서도는 블록 206으로 되돌아가게 되는바, 사용자는 조합을 다시 한번 입력하게 된다.
일단, 입력 시도 횟수가 결정 블록 208의 설정 숫자보다 큰 경우에는, 메모리 잠금 표시가 블록 216에서 제공될 것이며, 사용자 조합은 더 이상 받아들여지지 않을 것이다.
기본적으로, 상기 안티-해킹 시스템(200)은 성공적이지 못한 잠금해제 시도들의 횟수를 카운트한다. 성공적이지 못한 시도들의 횟수가 특정 임계값에 도달하면, 상기 잠금해제 매커니즘은 약간 변경된다. 즉, 모든 조합 입력은 실패한다(심지어, 유효한 입력이라도). 이러한 매커니즘은, 비인가 진입(unauthorized entry)에 의해 성공 또는 실패에 대한 피드백이 해커에게 보내지는 것을 방지한다.
메모리 잠금 시스템(102)은 다음의 경우에 다시 동작할 것이다.
a) 본 발명의 메모리 잠금 시스템(102)이 수면 모드에서 깨어나는 경우(배터리로 파워공급)
b) 본 발명의 메모리 잠금 시스템(102)이 제거되고 그리고 USB 포트에 재연결되는 경우(배터리가 없는 실시예)
c) 입력 시도가 리셋되는 경우
이제 도3을 참조하면, 본 발명의 다른 실시예에 따른, 도1의 데이터 보안 시 스템(100)에 대한 조합 재구성 시스템(300)의 순서도가 도시된다.
블록 302에서 조합 재구성 시스템(300)이 시작되는바, 가령, 메모리 잠금 시스템(102)과 같은 유닛이 파워업된다. 블록 304에서, 도2의 안티-해킹 시스템(200)에서 도시된 것과 유사한 절차에 따라, 사용자는 메모리를 잠금해제한다.
메모리에 대한 잠금해제는, 재프로그램 타이머가 시작되게 한다(블록 306). 이후 블록 308에서 사용자는 새로운 조합을 입력하며, 결정 블록 310에서 상기 재프로그램 타이머가 만료되었지는지를 알아보기 위한 조사(또는, 체크)가 이루어진다.
결정 블록 310에서 상기 재프로그램 타이머가 만료되지 않았다면, 잠금해제 표시기가 번쩍거린다(블록 312). 이 경우, 사용자는 상기 새로운 조합을 재입력한다(블록 314). 결정 블록 316에서, 재프로그램 타이머가 만료되었는지에 대한 체크가 다시한번 이루어진다.
결정 블록 316에서 재프로그램 타이머가 만료되지 않았다면, 2개의 새로운 조합들이 서로 매칭되는가를 알아보기 위한 체크가 이루어진다(결정 블록 318).
결정 블록 318에서 2개의 새로운 조합들이 매칭된다면, 메모리 잠금해제 표시가 블록 320에서 제공되며, 상기 새로운 조합은 블록 322에서 기록된다.
새로운 조합이 입력되기 전에 또는 재입력되기 전에 상기 재프로그램 타이머가 만료되었다면, 또는 상기 조합들이 매칭되지 않는다면, 메모리는 재잠금된다(블록 324).
본 발명에서, 새로운 조합은, 짧은 기회 시간대(short window of opportunity) 내에서 입력 및 검증되어야만 한다. 이는, 방치되고(unattended) 그리고 잠금해제된 유닛들이 도난 및 재구성되는 것을 방지하기 위함이다.
물론, 상기 조합 재구성 시스템(300)이 어떻게 디자인되고 제조될 수 있는지에 대한 다양한 실시예들이 있다.
(1) 상기 조합 재구성 시스템(300)은 공장에서 사전구성(preconfigure)될 수 있다(그리고 재프로그램될 수 없다), 또는
(2) 상기 유닛이 일단 잠금해제되면 사용자가 조합을 재구성하는 것이 가능하게끔, 상기 조합 재구성 시스템(300)이 디자인될 수도 있다. 그리고
(3) 사용자가 조합을 망각한 경우에, 그 사용자가 인가된 사용자라고 일단 판명되면, 공장에서 원격으로 재구성이 가능하도록 상기 조합 재구성 시스템(300)이 디자인될 수도 있다.
(4) 또한 다중 조합들 역시 사용될 수 있다.
예를 들어, 보안 스마트 드라이브의 조합을 리셋하기 위해서 조합 재구성 시스템(300)이 이용되는 또 다른 실시예에서는, 다음의 것들이 적용된다.
1. 조합 재구성 시스템(300)에는 사전구성된 조합(preconfigured combination)이 배달된다. 상기 조합 재구성 시스템(300)을 제일 처음 잠금해제하기 위해서는 이 조합이 사용되어야만 한다. 상기 최초(original) 조합은 고객에 의해 보유될 수 있으며 또는 변경될 수도 있다.
2. 상기 선정된 조합을 변경하기 위한 첫번째 단계는, 조합 재구성 시스템(300)을 잠금해제시키는 것이다.
3. 일단 잠금해제되면, 리셋 매커니즘이 활성화될 수 있다. 예컨대, 메모리 잠금 시스템(102)의 바닥에 있는 리셋 버튼이 눌려지고 그리고 LED가 반짝거릴 것인바, 이는 메모리 잠금 시스템(102)이 새로운 조합을 받아들일 준비가 되었다는 것을 나타낸다.
4. 이후, 원하는 조합이 입력된다. 그리고 리셋 버튼이 다시 한번 눌려진다. 입력하는 동안에 실수가 있었다면, 메모리 잠금 시스템은 USB 포트로부터 언플러그드되며 그리고 재시작된다. 최초(original) 조합은 여전히 활성이다.
5. 상기 입력이 만족스러운 경우 리셋 버튼이 다시 한번 눌려진다. 이제 상기 조합은 변경되었다.
이제 도4를 참조하면, 본 발명의 다른 실시예에 따른, 도1의 데이터 보안 시스템(100)에 대한 제도적인(institutional) 메모리 잠금 시스템(400)의 순서도가 도시된다.
사용자는 메모리 잠금 시스템(102)을 호스트 컴퓨터(104)에 연결하는바, 호스트 컴퓨터는 제도적인(institutional) 네트워크 시스템(108)에 연결되어 있다. 메모리 잠금 시스템(102)은 난수발생기 유닛(130)에서 랜덤 시드(140)를 생성하며, 이를 호스트 컴퓨터(104)로 보낸다(블록 404).
호스트 컴퓨터 시스템(104)에서, 호스트 어플리케이션(150)은, 호스트 ID 유닛(152)으로부터의 호스트 ID 숫자(154)와 메모리 잠금 시스템(102)으로부터의 랜덤 시드(140)를 이용하여, 호스트의 해싱된 결과(160)를 생성한다(블록 406)
다음으로, 호스트 컴퓨터 시스템(104)은, 상기 호스트의 해싱된 결과(160)를 메모리 잠금 시스템(102)으로 전송한다(블록 408).
메모리 잠금 시스템(102)에서는, 해싱 유닛(132)이 호스트 ID 유닛(134)으로부터의 호스트 ID 숫자(142)와 난수발생기 유닛(130)으로부터의 랜덤 시드(140)를 이용하여, 메모리의 해싱된 결과(144)를 생성한다. 호스트 컴퓨터 시스템(104)으로부터의 호스트의 해싱된 결과(160)와 메모리 잠금 시스템(102)으로부터의 메모리의 해싱된 결과(144)는, 체킹 유닛(136)에서 비교된다(블록 410).
호스트 컴퓨터와 메모리 블록의 해싱된 결과들이 서로 매칭되는지를 알아보기 위한 체크가 결정 블록 412에서 수행된다. 결정블록 412에서 상기 해싱된 결과들이 매칭된다면, 상기 메모리는 잠금해제된다(블록 414).
결정블록 412에서 상기 해싱된 결과들이 매칭되지 않는다면, 상기 메모리는 잠김 상태로 남아있는다(블록 416).
추가적인 특징으로서, 만일 호스트 컴퓨터 시스템(104)이, 블록 406에서 호스트 어플리케이션이 호스트의 해싱된 결과(160)를 생성하고 있는 동안의 기설정된 기간(interval) 동안에 반응하지 않는다면, 블록 420의 상기 기설정된 인터벌은 통과될 것이며, 그리고 상기 메모리(122)는 잠금 상태로 남을 것이다(블록 416).
또 다른 특징으로서, 만일 사용자가 결정 블록 418에서 PIN 숫자를 입력하고, 그리고 상기 PIN 숫자가 올바른 것이라면, 메모리는 블록 414에서 잠금해제될 것이다. 만일, 상기 PIN 숫자가 틀린 것이라면, 메모리는 잠금상태로 남아있는다(블록 416).
제도적인(institutional) 메모리 잠금 시스템(400)의 순서도는 다음의 것들 을 보여준다.
● 메모리 잠금 시스템(102)은, 해싱 유닛(132)으로의 입력으로 이용되는 랜덤 시드(140)를 생성한다.
● 호스트 컴퓨터 시스템(104) 및 메모리 잠금 시스템(102) 둘다는, 상기 랜덤 시드 및 호스트 식별자(identifier)에 근거하여 해싱된 결과를 생성한다.
● 만일, 호스트 컴퓨터 시스템(104) 및 메모리 잠금 시스템(102) 양측으로부터의 상기 해싱된 결과들이 동일하다면, 상기 메모리 잠금 시스템(102)은 잠금해제되어 완전한 액세스를 제공한다.
● 만일, 부착된 호스트를 메모리 잠금 시스템(102)이 인식할 수 없다면, 이는 사용자 인증을 통하여 잠금해제될 수 있다.
● 인증은 메모리 잠금 시스템(102)에 의해서 확인되는 것이며, 호스트에 의해서 확인되는 것이 아니다.
● 호스트 ID가 생성되며, 이는 향후 참조를 위해서 메모리 잠금 시스템(102)으로 전달된다.
● 제어 및 보안은 메모리 잠금 시스템(102)에 의해서 관리되며, 호스트에 의해서 관리되지 않는다.
● 메모리 잠금 시스템(102)은 학습된(learned) 호스트들의 리스트를 보유한다.
상기 해싱 유닛(132)은 랜덤 시드와 하나 이상의 키들(keys)(이 경우에는 컴퓨터/네트워크 ID)에 작용하도록 이용된다. 모든 유형의 논리 함수들 및 산술 함수 들이 해싱 유닛(132)의 내부에 적용될 수 있다. 해킹 시도에 의해 쉽게 알아낼 수 없는 독점적인(proprietary) 해싱 프로세스를 만드는 것이 목표이다. 오직, 상기 호스트 어플리케이션(150) 및 메모리 잠금 시스템(102)만이 상기 해싱 알고리즘을 알고 있다.
키(key)는, 해싱 유닛(132)의 출력을 변경하는 고유한 값이다. 상이한 키들은 해싱 유닛(132)으로부터 상이한 결과를 생성할 것이다. 키는, 가령, 시리얼 넘버(serial number), 로그인 ID, 컴퓨터 ID, 제품 ID 등등과 같은 식별자를 나타낼 수 있다. 주변 디바이스(peripheral device)가 인증되기 위해서는, 해싱 유닛(132) 및 키들(keys) 모두가 매칭되어야 한다. 본 발명의 일실시예에서는, 키(key)에 대한 일례로서 호스트 ID(154)가 사용되었다.
결과를 생성하는 프로세스는, 데이터를 암호화/해독화 하는데 이용되는 암호화 알고리즘과 유사하다. 상기 해싱 유닛(132)은 현존하는 암호화 알고리즘들에 비하여 수많은 장점들을 갖는다.
● 단방향성(unidirectional) - 상기 결과는 시드를 생성할 수 있어야할 필요가 없다(해독)
● 시드는 임의의 길이가 될 수 있다. 길면 길수록 더 안전하다.
● 결과는 임의의 길이가 될 수 있다. 길면 길수록 더 안전하다.
● 더 복잡하게 암호화될 수 있으며, 역설계하기가 더 어렵다.
메모리 잠금 시스템(102)은, 자신의 내부 결과와 호스트 어플리케이션에 의해 생성된 결과를 비교한다. 만일, 매칭된다면, 메모리 잠금 시스템(102)은 인증되 며, 제도적인(institutional) 네트워크 시스템(108) 상의 컴퓨터 시스템(110)으로 액세스가 허용된다. 랜덤 시드가 입력으로서 사용되므로, 동일한 결과를 복제할 가능성은 그 길이의 함수이다. 예를 들어, 32 비트 시드의 경우, 동일한 인증 교환을 반복할 가능성은 4,294,967,295 분의 1 이다. 시드가 길면 길수록 가능성은 낮아진다.
이제 도5를 참조하면, 본 발명의 다른 실시예에 따른, 도1의 데이터 보안 시스템(100)에 대한 인증 시스템(500)의 순서도가 도시된다.
메모리 잠금 시스템(102)이 호스트 컴퓨터 시스템(104)에 연결되는 것으로, 상기 인증 시스템(500)이 개시된다(블록 502). 블록 504에서, 상기 메모리 잠금 시스템(102)이 호스트 컴퓨터 시스템(104)을 인증할 수 없는 경우, 사용자는 호스트 ID 유닛(152)의 호스트 ID(154)를 알아내라고 메모리 잠금 시스템(102)에 지시해야 한다(블록 506).
이후 블록 508에서, 메모리 잠금 시스템(102)은 호스트 컴퓨터 시스템(104)으로부터 호스트 ID(154)를 요청한다.
결정 블록 510에서, 호스트 컴퓨터 시스템(104)으로부터 응답이 있는지를 알아보기 위한 체크가 이루어지며, 응답이 있다면, 메모리 잠금 시스템(102)은 상기 호스트 ID(154)를 호스트 ID 유닛(134)에 저장한다(블록 512). 이후, 블록 514에서 상기 메모리 잠금 시스템(102)은 호스트 컴퓨터 시스템(104)을 인증할 수 있게 된다.
결정 블록 510에서, 호스트 컴퓨터 시스템(104)으로부터 응답이 없다면, 메 모리 잠금 시스템(102)은 호스트 컴퓨터 시스템(104)을 인증할 수 없다(블록 516).
기본적으로, 인증 시스템(500)의 순서도는 다음의 것들을 보여준다.
1. 초기 사용시에, 메모리 잠금 시스템(102)은 제도적인(institutional) 네트워크 시스템(108) 내의 호스트 컴퓨터 시스템(104)과 "결합하는(married)" 수도 있다.
2. 그 연결된 환경을 고유하게 식별하는 식별자(예컨대, 호스트 ID(154))를 생성함으로써, 이러한 링크(linking)가 확립된다.
3. 이후, 상기 호스트 ID(154)는 메모리의 호스트 ID 유닛(134)에 기록된다.
4. 이제, 메모리 잠금 시스템(102)은, 인식된 호스트 컴퓨터(104)에 기반하여, 완전한 액세스를 제공할 준비가 된다.
5. 만일, 상기 메모리 잠금 시스템(102)이 이전에 결합(married)한 적이 있다면, 그 어떤 특별한 절차도 필요하지 않다 - 유닛은 완전히 동작한다.
6. 만일, 결합된 메모리 잠금 시스템(102)이 제도적인(institutional) 네트워크 시스템(108)의 외부에서 액세스된다면, 메모리 잠금 시스템(102)은 액세스를 획득하기 위한 조합을 요구한다.
요약하면, 회사내에서 액세스되는 경우, 상기 메모리 잠금 시스템(102)은 현존하는 임의의 비보호(non-protected) USBD처럼 동작한다. 회사 외부의 경우에는, 상기 메모리 잠금 시스템(102)은 표준 메모리 잠금 시스템(102)과 유사하게 행동한다. 즉, 액세스를 위해서는 조합을 필요로 한다.
기관(institution)을 위한 데이터 보안 시스템(100)의 인증 시스템(500)은 다음과 같은 다양한 양상들을 포함한다.
● 소정의 제약사항들 하에서 USBD의 사용을 허용한다.
● 올바른 잠금해제 시퀀스가 입력된다면, 설정된 제약사항들 하에서 외부에서의 USBD 사용을 허용한다.
● USBD를 분실 또는 도난당하는 경우에도, 그 내용물은 보호된 상태로 남아 있는다.
만일, 조작가능한 입력 매커니즘(118)이 생략된다면, 상기 메모리 잠금 시스템(102)은, 인지된 호스트/네트워크 시스템 내에서만 액세스될 수 있다. 따라서, 이러한 실시예는, 정의된 네트워크 범위 및/또는 컴퓨터 시스템 내에서의 사용으로 한정된다.
가능한 인증 파라미터들은 다음의 것들을 포함하지만 이에 한정되는 것은 아니다.
● 네트워크 시스템
● 컴퓨터 시스템
● 사용자
● 네트워크 시스템, 컴퓨터 시스템, 및 사용자의 임의의 조합
이제 도6을 참조하면, 본 발명의 다른 실시예에 따른, 도1의 데이터 보안 시스템(100)에 대한 보안 토큰 시스템(600)의 순서도가 도시된다.
보안 토큰 시스템(600)은 보안 토큰(602)을 포함하는바, 이는 일례로 금융기관 호스트(606)와 통신을 주고 받기 위해서 고객의 컴퓨터와 함께 이용된다. 이러 한 실시예에서, 상기 메모리 잠금 시스템(102)은 2-인자(two-factor) 인증 시스템의 구현예를 시연한다. 2-인자 인증 시스템이 작동하기 위해서는 다음의 규칙들에 따라야 한다.
1. 잠겨진 토근(메모리 잠금 시스템(102)으로서 구현됨)은, 금융기관 호스트 컴퓨터와 정보를 교환할 수 없다.
2. 일단, 토큰(메모리 잠금 시스템(102))이 고객의 컴퓨터로부터 제거되면, 그것은 재잠금된다.
3. 시장에서의 비보안 토큰들(unsecured tokens)을 위해 사용되는 현재 적용된 방법들을 통해 고객의 계정이 매번 액세스될 때마다, 토큰(메모리 잠금 시스템(102))은 새로운 인증 코드를 생성한다.
4. 올바른 조합(패스워드, PIN)이 입력되지 않는다면 상기 토큰이 기능하지 않기 때문에, 로그인 및 패스워드를 입력하는 옵션(비록, 꼭 필요한 것은 아니지만)이 존재한다.
상기 보안 토큰 시스템(600)은 보안성을 증가시키며, 동시에 고객 경험(customer experience)을 단순화한다.
상기 메모리 잠금 시스템(012)은 상이한 수많은 형태들/방식들로 구현될 수도 있다는 점을 유의해야 하며, 알려진 상이한 제품들(예를 들면, 키 링(key ring) USBD 드라이브, 신용카드(지갑크기의) USBD, 디지털 USB/시계, 음악 재생기, 휴대용 메모리 디바이스, 캠코더, 램톱, 스마트폰, 팜 컴퓨터 등등)과 결합될 수도 있다는 점을 유의해야 한다.
이제 도7을 참조하면, 본 발명의 다른 실시예에 따른, 도1의 데이터 보안 시스템(100)에 대한 토큰 인증 시스템(700)의 순서도가 도시된다. 도1의 데이터 보안 시스템(100)과 함께 도6의 보안 토큰 시스템(600)이 일례로서 사용된다.
사용자는, 보안 토큰(602) 또는 메모리 잠금 시스템(102)을 고객의 컴퓨터(604)에 연결하며 그리고 블록 702에서 메모리(122)를 잠금해제한다.
블록 704에서 사용자는 웹 계정(web account)에 액세스하며 그리고 계정 액세스 정보가 보안 토큰(602) 및 금융기관 호스트(606) 사이에서 교환된다(블록 706).
이후, 사용자는 블록 708에서 계정 정보로의 엔트리(entry)를 획득할 수 있다.
본 발명의 다른 실시예에서, 메모리 잠금 시스템(102)은 가령, 제도적인 네트워크 시스템(108) 상의 컴퓨터 시스템들(110) 중 하나와 같은, 제도적인 컴퓨터 시스템에 통합된다. 기관(institution)은, 법인(corporation), 조합(partnership), 합작회사(joint venture) 등등과 같은, 임의의 조직화된 실체(entity)로서 정의된다. 본 명세서에서 일례로서 언급된 것은, 은행 또는 증권회사와 같은 금융기관 호스트(606)이다.
이제 도8을 참조하면, 본 발명의 다른 실시예에 따른 제도적인 데이터 보안 시스템(800)의 순서도가 도시된다.
제도적인 데이터 보안 시스템(800)은, 고객 컴퓨터(804)에 연결가능한 메모리 잠금 시스템(802)을 이용한다. 고객 컴퓨터(804)는 제도적인 네트워크 시스 템(806)에 연결가능한바, 이는 제도적인 컴퓨터 시스템(808)에 연결된다.
메모리 잠금 시스템(802)은, 제어기(810) 및 네트워크 ID(812)를 포함한다.
고객 컴퓨터(804)는 컴퓨터 ID(814)를 가지며, 이는 메모리 잠금 시스템 드라이버(816)에 연결된다. 메모리 잠금 시스템 드라이버(816)는 메모리 잠금 시스템(802)에 연결되며, 그리고 제도적인 네트워크 시스템(806)에도 연결가능하다.
제도적인 컴퓨터 시스템(808)은 네트워크 ID(818)를 포함하는바, 이는 제도적인 네트워크 시스템(806)을 통해, 메모리 잠금 시스템 드라이버(816)로 전송될 수 있다.
상기 제도적인 데이터 보안 시스템(800)은 다음의 것들을 포함한다.
1. 메모리 잠금 시스템(802)은, ID 저장을 위해 은폐된 파티션(hidden partition)을 구비한 USBD를 갖는다.
2. 메모리 잠금 시스템 드라이버(816)는, 이것이 비보호된 USBD가 아니라 메모리 잠금 시스템(802) 임을 인지한다.
3. 제도적인 컴퓨터 시스템(808) 내의 소프트웨어는 네트워크 ID(818)를 생성하며, 이는 메모리 잠금 시스템(802) 내의 네트워크 ID(812)로 기록된다.
4. 만일, 상기 네트워크 ID(818)가 이용가능하지 않다면, 상기 메모리 잠금 시스템(802)은 고객 컴퓨터(804)와 결합하게 된다.
이제 도9를 참조하면, 본 발명의 다른 실시예에 따른, 가령 도8의 제도적인 데이터 보안 시스템(800)과 같은 제도적인 데이터 보안 시스템(900)의 순서도가 도시된다. 블록 902에서, 메모리 잠금 시스템(802)이 고객 컴퓨터(804)에 연결되어, 상기 제도적인 데이터 보안 시스템(900)이 동작을 시작한다.
메모리 잠금 네트워크 ID(812)는 블록 904에서 판독되며, 그리고 결정 블록 906에서 그것이 비었는지를 알아보기 위한 체크가 수행된다.
결정 블록 906에서 상기 메모리 잠금 네트워크 ID(812)가 비었다고 판명되면, 네트워크 ID(818)가 제도적인 네트워크 시스템(806)으로부터 판독된다(블록 908).
이후 프로그램은 메모리를 잠금해제하며(블록 910), 종료 블록(912)으로 진행한다.
만일, 메모리 잠금 시스템(802) 내에 네트워크 ID가 있다면, 프로그램은 제도적인 네트워크 시스템(806)으로부터 네트워크 ID를 판독한다(블록 914).
결정 블록 916에서 이들 네트워크 ID들이 서로 매칭되는지가 판별되며, 만일 이들이 서로 매칭된다면, 프로그램은 메모리를 잠금해제하며(블록 910), 이후 종료 블록(912)으로 진행한다.
만일, 결정 블록 916에서 이들 네트워크 ID들이 서로 매칭되지 않는다면, 프로그램은 에러 메시지를 표시한다(블록 918).
결정 블록 920에서 올바른 PIN 숫자를 입력할 기회가 기회가 사용자에게 주어진다. 만일, 올바른 PIN 숫자가 입력된다면, 프로그램은 메모리를 잠금해제한다(블록 910).
만일, 사용자가 틀린 PIN 숫자를 입력한다면, 프로그램은 종료 블록(912)으로 진행한다.
요약하면, 상기 제도적인 데이터 보안 시스템(900)은 메모리 잠금 시스템(800)과 더불어, 기관의 범위내에서 액세스되는 경우에는 현존하는 임의의 비보호 USBD와 유사하게 작동한다. 기관의 외부에 있는 경우에는, 상기 메모리 잠금 시스템(802)은 메모리 잠금 시스템(102)처럼 작동하는바, 이는 액세스를 위해서는 조합을 요구하기 때문이다.
제도적인 데이터 보안 시스템(900)의 다양한 양상들은 다음을 포함한다.
1. 소정의 제약사항들 하에서 USBD의 사용을 허용한다.
2. 올바른 잠금해제 시퀀스가 입력된다면, 설정된 제약사항들 하에서 외부에서의 USBD 사용을 허용한다.
3. USBD를 분실 또는 도난당하는 경우에도, 그 내용물은 보호된 상태로 남아 있는다.
이제 도10을 참조하면, 가령 도1의 메모리 잠금 시스템(102)과 같은 메모리 잠금 시스템에 대한 신규한 PIN 입력 시스템(1000)의 순서도가 도시된다.
블록 1002에서, 사용자는 조작가능한 입력 매커니즘(118)을 이용하여 오래된 PIN을 입력한다.
메모리 잠금 시스템(102)은 상기 오래된 PIN을 확인하며 그리고 메모리를 잠금해제한다(블록 1004).
상기 조작가능한 입력 매커니즘(118)은 판독 전용 상태(read only state)로 설정된다(블록 1006).
블록 1008에서, 신규한 PIN이 입력되고 그리고 재입력되어 이중으로 체크된 다. 이후, 새로운 PIN을 구비한 메모리 잠금 시스템(102)이 잠겨진다(블록 1012)
이제 도11을 참조하면, 본 발명의 다른 실시예에 따른, 도1의 데이터 보안 시스템(100)에 대한 판독-전용-액세스 시스템의 순서도가 도시된다.
블록 1114에서, 사용자가 메모리 잠금 시스템(102)을 호스트 컴퓨터 시스템(104)에 연결함으로써, 상기 판독-전용-액세스(read-only-access) 시스템(1100)이 시작된다. 먼저, 결정 블록 1104에서 체크가 이루어져, 메모리 잠금 시스템(102)이 판독-전용-액세스에 대해 설정되었는지를 판별한다.
만일, 메모리 잠금 시스템(102)이 판독-전용-액세스에 대해 설정되었다면, 메모리 잠금 시스템(102)에는 판독-전용-액세스가 제공된다(블록 1112).
만일, 결정블록 1104에서 상기 메모리 잠금 시스템(102)이 판독-전용-액세스에 대해 설정되지 않았다면, 인증을 수행할 필요가 있는지가 판별된다(블록 1118).
따라서, 내용물을 기록(추가, 편집 또는 제거)하기 위해 인증을 요구하면서도, 판독-전용-액세스를 허여하는 것이 가능하다.
이제 도12A 내지 도12C를 참조하면, 메모리 잠금 시스템(102)의 다양한 대안적인 실시예들이 도시되어 있는바, 이들은 도1의 데이터 보안 시스템(100) 또는 도9의 제도적인 데이터 보안 시스템(900)과 함께 이용가능하다.
도12A는 보디(1202) 및 커넥터(1204)를 갖는 메모리 잠금 시스템(102)에 대한 것이다. 상기 보디(1202)는 디스플레이 유닛(1206)과 조작가능한 입력 매커니즘(1208)을 포함한다.
도12B는 보디(1202) 및 커넥터(1204)는 갖고 있지만, 입력 매커니즘, 디스플 레이, 또는 임의의 다른 외부 피쳐들은 가지고 있지 않은 메모리 잠금 시스템(102)을 도시한다. 이러한 일례로서 제도적인 네트워크 시스템 내에서만 이용되는 USBD를 들 수 있다.
도12C는 보디(1202) 및 커넥터(1204)를 갖는 메모리 잠금 시스템(102)에 대한 것이다. 상기 보디(1202)는 그 어떤 외부 피쳐들도 갖고 있지 않지만, 무선 주파수 신호를 수신하기 위한 무선 주파수 수신기(1210)를 장비하고 있다. 상기 무선 주파수 신호는 원격 제어기(1212) 또는 가령, 휴대폰(1214)과 같은 임의의 또 다른 무선 주파수 디바이스로부터 수신된다.
이제 도13을 참조하면, 본 발명의 다른 실시예에 따른 신용카드 크기의 메모리 잠금 시스템(1300)이 도시되어 있다. 신용카드 크기의 메모리 잠금 시스템(1300)은 신용카드와 동일한 두께의 보디(1302)를 가질 수 있으며 커넥터(1304)를 갖는바, 커넥터는 유사할 정도로 얇을 수 있으며, 노출될 수 있다. 조작가능한 입력 매커니즘(1306)이 제공되는 경우, 상기 보디(1302)는 광학 센서, 막 스위치(membrane switch) 등등을 가질 수 있다. 조작가능한 입력 매커니즘(1306)은 광학 센서로서 도시되어 있는바, 이는 구멍(through-hole) 또는 반사형 타입이다.
이제 도14를 참조하면, 본 발명의 다른 실시예에 따른 신용카드 크기의 메모리 잠금 시스템(1400)이 도시되어 있다. 신용카드 크기의 메모리 잠금 시스템(1400)은 신용카드와 동일한 두께의 보디(1402)를 가질 수 있으며 커넥터(1404)를 갖는바, 커넥터는 유사할 정도로 얇을 수 있으며, 노출될 수 있다. 조작가능한 입력 매커니즘(1406)이 제공되는 경우, 상기 보디(1402)는 광학 센서, 막 스위 치(membrane switch)(1408) 등등을 가질 수 있다.
또한, 상기 보디(1402)는 커넥터(1404)에 대한 보호 커버(1408)를 더 포함하는바, 이는 커넥터(1404)를 커버하기 위한 보호성 리세스(1410)을 가지며, 그리고 라인 1412을 따라 구부릴수 있어 커넥터(1404)를 노출시킬 수 있는바, 이는 컴퓨터에 연결하기 위함이다.
이제 도15를 참조하면, 본 발명의 다른 실시예에 따른 신용카드 크기의 메모리 잠금 시스템(1500)이 도시되어 있다. 신용카드 크기의 메모리 잠금 시스템(1500)은 신용카드와 동일한 두께의 보디(1502)를 가질 수 있으며 USB 커넥터(1504)를 갖는바, USB 커넥터는 유사할 정도로 얇을 수 있으며, 노출될 수 있다. 조작가능한 입력 매커니즘(1506)이 제공되는 경우, 상기 보디(1502)는 광학 센서, 막 스위치(membrane switch) 등등을 가질 수 있다.
또한, 상기 보디(1502)는 USB 커넥터(1504)를 위한 보호 커버(1508)를 더 포함하는바, 이는 USB 커넥터(1504)를 커버하기 위한 컷아웃(cutout)(1510)을 가지며, 그리고 라인 1512을 따라 구부릴수 있어 USB 커넥터(1504)를 노출시킬 수 있다.
이제 도16을 참조하면, 본 발명의 다른 실시예에 따른 지능형 데이터 보안 시스템(1600)이 도시된다.
지능형 데이터 보안 시스템(1600)은 지능형 메모리 잠금 시스템(IMLS)(1602)을 포함한다. 지능형 메모리 잠금 시스템(1602)은 PIN 입력 매커니즘(1604) 및 연결 제어기(1606)를 갖는다.
PIN 입력 매커니즘(1604)은, 인증을 위해서 PIN 또는 패스워드를 입력하는 수단을 제공한다. 이러한 것은 선택적인 것이며, 기관의 외부에서 사용자 제한이 있는 경우에만 필요하다.
연결 제어기(1606)는 하드웨어 및 소프트웨어를 혼합한 것인바, 이는 호스트 컴퓨터와 정보를 교환할 수 있다.
또한, 상기 지능형 데이터 보안 시스템(1600)은 외부 연결(1608)을 포함하고 있는바, 이는 호스트 컴퓨터(1610)에 연결된다. 호스트 컴퓨터(1610)는, 지능형 메모리 잠금 시스템(1602)으로 전달될 수 있는 데이터의 소스이다. 데이터는 호스트 컴퓨터(1610)내에 국부적으로(locally) 상주할 수도 있으며 또는 기관(institution)에서 원격으로 있을 수도 있다.
호스트 컴퓨터(1610)는 연결 인증자(1612)를 포함하는바, 이는 인증을 수행하고 지능형 메모리 잠금 시스템(1602) 내의 메모리(1614)에 대한 액세스를 허용하기 위해, 연결 제어기(1606)와 상호작용하는 유틸리티이다.
지능형 메모리 잠금 시스템(1602)은, 하기의 소정 설정들에서의 연결을 위해서 다음과 같은 보안 특징들을 갖출 수 있다.
1. 컴퓨터에 제한되지 않는 한명의 소유자 - 지능형 메모리 잠금 시스템(1602)은, 패스워드 또는 PIN을 통해 상기 소유자에 의해서만 개방될 수 있다. IMLS 상으로 오고가는 모든 정보는 암호화되며, PIN 입력 매커니즘(1604)으로 입력되는 패스워드 또는 PIN이 없이는 해독될 수 없다.
2. 하나의 컴퓨터에 제한되는 한명의 소유자 - 지능형 메모리 잠금 시스 템(1602)은 하나의 컴퓨터 상의 한 사람에 의해서 오직 액세스될 수 있다. 다른 모든 컴퓨터로부터의 액세스는 거부된다. 이 경우 2개 모드의 인증이 가능하다.
A. 로그인 증명서(login credentials)에 기초한 호스트 생성 ID.
B. 사용자가 패스워드/PIN을 입력.
3. 하나의 컴퓨터 시스템에 제한되는 한명의 소유자 - 지능형 메모리 잠금 시스템(1602)은 설립된 네트워크 시스템 내의 임의의 컴퓨터 상에서 판독될 수 있다. 이 경우 2개 모드의 인증이 가능하다.
A. 로그인 증명서(login credentials)에 기초한 호스트 생성 ID.
B. 사용자가 패스워드/PIN을 입력.
4. 하나의 컴퓨터에 제한되는 다수의 사용자들 - 지능형 메모리 잠금 시스템(1602)은 오직 하나의 컴퓨터로부터 액세스될 수 있다. 하지만, 다수의 사용자들에 의해서 액세스될 수 있으며, 따라서 인증을 위해 PIN이 요구되지는 않는다.
5. 하나의 네트워크 시스템에 제한되는 다수의 사용자들 - 지능형 메모리 잠금 시스템(1602)은 소정의 네트워크 시스템 내에서 액세스될 수 있다. PIN 인증은 필요치 않다.
6. 제한이 없는 다수 사용자들 - 이것이 바로, 판매되는 대부분의 드라이브들에 대한 현재 보안 레벨이다.
다음의 테이블은 가능한 실시예들을 요약한 것이다.
제한 하나의 사용자 다수의 사용자
컴퓨터 PIN 또는 호스트를 통해 잠금해제 연결된 호스트를 통해 잠금해제
네트워크 PIN 또는 호스트를 통해 잠금해제 연결된 호스트를 통해 잠금해제
None PIN을 통해 잠금해제 항상 개방
이제 도17을 참조하면, 지능형 메모리 잠금 시스템(1602)이 도16에 도시된 보안 특성들을 구비하기 위한, 도16의 연결 제어기(1606) 내의 제한 메모리(1700)가 도시된다.
제한 메모리(1700)는 로그인 ID(1702), 컴퓨터 ID(1704), 네트워크 ID(1706) 및 메모리 잠금 PIN(1708)을 포함한다.
호스트 제한
다음의 테이블은, 하나의 네트워크 시스템에서의 사용을 위해 다수의 사용자들이 제한을 받게되는 경우에, 지능형 메모리 잠금 시스템(1602)을 세팅하는 단계들을 도시한 것이다.
IMLS 호스트
IMLS가 호스트에 연결됨
IMLS는 한정된 용량에서 부착
호스트가 IMLS 타입을 조회함
ID가 호스트로 전송됨
제한사항들이 호스트로 전송됨
식별자가 생성되고 암호화됨
암호화된 ID가 IMLS로 전송됨
IMLS에 저장된 ID와 ID가 비교됨
ID가 매칭되지 않으면, IMLS는 폐쇄됨(shutdown).
그렇지 않으면, IMLS는 완전한 기능 상태로 연결을 재설정함
식별자는 네트워크 시스템에 대해서는 고유하지만, 상기 네트워크 시스템에 접속된 모든 컴퓨터들에게는 공통된 것이다. 따라서, 상기 IMLS가 상기 네트워크 시스템의 외부에 연결되는 경우에는, 상기 IMLS는 틀린 ID를 수신하게 될 것이며 따라서 폐쇄(shutdown)된다.
IMLS가 하나의 컴퓨터에 제한되는 경우에는, 상기 식별자는 호스트 컴퓨터에 대해 고유한 것이 되어야만 한다.
사용자 제한
다음 테이블은 하나의 사용자로 제한된 IMLS를 개방하는 단계를 나타낸다. 사용자-제한된 IMLS는 올바른 패스워드 또는 PIN 입력에 의해서만 개방될 수 있다.
IMLS 호스트
IMLS가 호스트에 연결됨
IMLS는 분리된 채로 남아있음
사용자가 PIN을 입력
IMLS에서 올바른 PIN 인지 검증됨
IMLS 연결되고 완전히 기능함
하이브리드 제한
전술한 제한들을 조합하면, 네트워크 시스템 환경내에서 IMLS 제한받지 않는 경우도 가능하며, 또는 정반대로, 하나의 사용자 및 하나의 컴퓨터에 제한받게되는 경우도 가능하다.
예를 들면, IMLS가 제도적인 네트워크 시스템에 접속되어 있는 때에는 언제라도 개방될 수 있지만, 외부에서 액세스를 획득하기 위해서는 PIN을 요구한다.
외부에서 액세스를 획득하기 위해서는 PIN을 요구한다. 다음과 같은 특성들의 다양한 변경이 가능하다.
A) IMLS는 올바른 PIN을 구비한 사용자에 의해 하나의 컴퓨터 상에서 개방될 수 있다.
B) IMLS는 올바른 PIN을 구비한 사용자에 의해 하나의 네트워크 시스템 상에서 개방될 수 있다.
C) IMLS는 올바른 PIN을 구비한 사용자에 의해 어디에서도 개방될 수 있다.
D) IMLS는 다수의 사용자들에 의해서 하나의 컴퓨터 상에서 개방될 수 있다.
E) IMLS는 다수의 사용자들에 의해서 하나의 네트워크 시스템 상에서 개방될 수 있다.
F) IMLS는 다수의 사용자들에 의해서 어디에서도 개방될 수 있다(현재 사용되는 기존의 IMLS).
G) IMLS는, 특정한 사용자가 로그인 되어있는 하나의 컴퓨터에 접속되어 있는 때에는 어느 때라도 개방될 수 있다 - 어디에서도 잠금상태로 남아있음.
H) IMLS는, 특정한 사용자가 로그인 되어있는 네트워크 시스템에 접속되어 있는 때에는 어느 때라도 개방될 수 있다 - 네트워크 시스템의 외부에서는 잠금상태로 남아있음.
I) IMLS는, 네트워크 시스템 내에 접속되거나 또는 특정한 사용자가 로그인 되어있는 컴퓨터 시스템에 접속되어 있는 경우에는 어느 때라도 개방될 수 있다 -외부에서 액세스하기 위해서는 PIN을 요구한다.
마지막 3개의 구성예에서, 로그인 프로세스는 IMLS를 활성화시키기에 충분하다. 이러한 모드에서, 휴대용 IMLS는 제도적인 네트워크 시스템 상의 임의의 컴퓨터처럼 행동한다. 일반적으로, 사용자는 네트워크 시스템 주위에서 옮겨다닐 수 있으며, 로그인 이름 및 패스워드를 사용하여 액세스를 획득한다. 네트워크 시스템이 이미 검증을 수행했기 때문에, IMLS는 사용자 이름을 체크하고 이에 따라 액세스를 허여한다.
잠금해제 매커니즘
사용이 제한된 IMLS를 잠금해제하는 방법으로는 2가지를 들 수 있다.
1. 전자기계적인 외부 입력 매커니즘을 통해 PIN을 입력하는 방법.
2. Host-IMLS 사이에서 패스-코드를 교환하는 방법.
첫번째 방법에 대해서는 앞서 대략 설명한 바와같다. Host-IMLS 사이에서 패스-코드를 교환하는 방법은 아래에서 설명된다.
설정(Setup)
IMLS 제한들은 IMLS 설정 동안에 정의된다. 상기 절차는, IMLS가 처음으로 사용되기 전에 수행된다. IMLS와 교환되는 패스-코드의 유형이, 제한들을 정의한다.
로그인 ID 1702 - IMLS는 특정 사용자에 국한되는바, 이것이 없을 경우에는, IMLS는 다수의 사용자들에 의해서 사용될 수 있다.
컴퓨터 ID 1704 - IMLS는 특정한 컴퓨터 상에서만 이용가능하다. 이것이 없을 경우에는, IMLS는 임의의 컴퓨터에서 사용될 수 있다.
네트워크 ID 1706 - IMLS는 네트워크 시스템 내의 임의의 컴퓨터 상에서 이용가능하다. 이것이 없을 경우에는, IMLS는 어디에서도 이용가능하다.
사용자 PIN 1708 - 잠금해제된 경우(IMLS를 필요로함), IMLS는 임의의 컴퓨터 상에서 이용가능하다. 이것이 없을 경우, IML는 PIN 입력이 없는 이전의 설정에서 정의된 바에 따라 사용될 수 있다.
이들 파라미터들은, IMLS(1602)의 연결 제어기(1606) 내에 저장된다. 상기 제한사항들은 연결시에 호스트 컴퓨터(1610)로 전송된다. 연결 인증자(1612)는, 잠금해제를 위해서 적절한 패스-코드를 생성함으로써, 이에 응답한다.
사용자 제한 - 인증자는 암호화된 사용자 로그인 ID를 생성한다.
컴퓨터 제한 - 인증자는 암호화된 컴퓨터 ID를 생성한다.
네트워크 제한 - 인증자는 암호화된 네트워크 ID를 생성한다.
상기 연결 인증자(1612)는 하나 이상의 패스-코드를 생성할 수도 있다. 예를 들어, IMLS(1602)가 하나의 컴퓨터 상의 하나의 사용자에게 제한된다면, 상기 연결 인증자(1612)는 로그인 ID(1702)와 네트워크 ID(1706)를 생성한다. 컴퓨터 ID(1704)는 비워둔채로 남는다.
만일, IMLS(1602)가 네트워크 시스템 내의 다수의 사용자들에 의해서 이용가능하지만 외부에서는 PIN 코드를 요구하는 경우, IMLS(1602)는 PIN 입력을 용이하게 한다. 네트워크 시스템의 내부의 경우, 연결 인증자(1612)는 네트워크 ID(1706)를 생성한다. 로그인 ID(1702)와 컴퓨터 ID(1704)는 공백인 채로 남는다. 네트워크 시스템의 외부인 경우, 패스-코드 교환은 일어나지 않을 것이지만, 올바른 PIN 입력은 IMLS(1602)를 활성화할 것이다.
제한사항들은 연결 인증자 유틸리티를 통해서 정의될 수도 있으며, 또는 도16에 도시된 바와 같이 IMLS 입력 매커니즘에 의해서 직접 입력되는 것에 의해서 정의될 수도 있다.
공백 필드(blank field)는, 그 레벨에서는 아무런 제한도 없음을 나타낸다. 각각의 필드는 공백인 상태로 제조되며, 이후 고객에 의해서 설정된다.
이제 도18을 참조하면, 본 발명의 다른 실시예에 따른 도1의 데이터 보안 시스템(100)에 대한 보안 인증 토큰 시스템(1800)이 도시된다.
보안 인증 토큰 시스템(1800)은, 메모리(1804)에 연결된 중앙처리장치(CPU)(1802)를 포함하는바, 메모리는 인증 소프트웨어(1806)를 포함하고 있다. CPU(1802)에는, 조작가능한 입력 매커니즘(1805), 디스플레이 유닛(1808), 커넥터(1810)가 연결되어 있다. 또한, CPU(1802)는 동적(dynamic) 패스워드 생성 유닛(1812)을 포함한다.
상기 동적 패스워드 생성 유닛(1812)은, 1회용 패스워드(OTP)를 생성하기 위한 것이다.
이제 도19를 참조하면, 본 발명의 일실시예에 따른, 도18의 보안 인증 토큰 시스템(1800)의 동작에 대한 개략도(1900)가 도시되어 있다. 이러한 걔략도(1900)에서는,
1. 블록 1902에서, 사용자는 보안 인증 토큰 시스템(1800)을 커넥터(1810)에 연결한다.
2. 블록 1904에서, 보안 인증 토큰 시스템(1800)의 조작가능한 입력 매커니즘(1805)을 이용하여 사용자는 PIN을 입력한다.
3. 보안 인증 토큰 시스템(1800)은, 암호화된 계정 정보(1906)를 사용자 컴퓨터(1908)에 전송한다. 암호화된 계정 정보는 OTP를 또한 포함할 수도 있다.
4. 이후, 사용자 컴퓨터(1908)의 인증 어플리케이션(1910)은, 원격 호스트 컴퓨터(1914)와의 인증(1912)을 수행한다.
상기 인증 어플리케이션(1910)은 보안 인증 토큰 시스템(1800)에 구비될 수도 있으며, 또는 사용자 컴퓨터(1908) 상에 미리 설치될 수도 있다는 점을 유의해 야 한다.
또한, 배터리로 전원공급되는 보안 인증 토큰 시스템(1800)의 경우에는, 컴퓨터에 연결되기 이전에 블록 1904의 PIN 입력이 수행될 수도 있다는 점을 유의해야 한다.
본 발명의 특징들은 다음의 것들을 포함한다.
A. 보안 인증 토큰 시스템(1800)은, 상기 시스템으로 직접 수행되는 PIN 입력을 위한 매커니즘을 제공한다.
B. 보안 인증 토큰 시스템(1800)은 인증 소프트웨어에 대한 저장소를 제공한다. 이는 시스템 및 소프트웨어 양자로 구성된 단일 디바이스의 분배(distribution)를 가능케한다.
C. 보안 인증 토큰 시스템(1800)은, 휴대용 콘텐츠, 어플리케이션, 운영시스템(OS) 등등을 위한 추가 저장소를 제공한다.
이제 도20을 참조하면, 본 발명의 다른 실시예에 따른 데이터 보안 시스템(2000)에 대한 순서도가 도시된다.
데이터 보안 시스템(2000)은, 제 1 시스템으로부터 제 2 시스템으로 고유 식별을 제공하는 단계(블록 2002), 상기 제 1 시스템에 의해서 상기 제 2 시스템의 상기 고유 식별을 복사하는 단계(블록 2004), 그리고 상기 제 1 시스템 및 제 2 시스템의 상기 고유 식별들이 동일한 경우에만 상기 제 1 시스템 또는 상기 제 2 시스템의 메모리를 잠금해제하는 단계(블록 2006)를 포함한다.
비록, 본 발명은 특정한 최적 실시예에 대해서 설명되었지만, 앞서 설명된 내용에 비추어보면, 해당 기술분야의 당업자들에게는 많은 대안예들, 수정예들 및 변형예들이 가능하다는 점을 유의해야 한다. 따라서, 첨부된 청구범위의 범위내에 속하는 이들 모든 대안예들, 수정예들 및 변형예들을 포함하도록 의도된다. 본 명세서와 첨부된 도면들에서 설명 및 도시된 모든 사항들은 예시적인 것들이며, 비제한적인 의미로 해석되어야만 한다.

Claims (40)

  1. 데이터 보안 시스템(2000)으로서,
    제 1 시스템(102)으로부터 제 2 시스템(104)(108)으로 고유 식별(unique identification)을 제공하는 단계;
    상기 제 1 시스템(102)에 의해서 상기 고유 식별을 상기 제 2 시스템(104)(108)으로 복사하는 단계; 및
    상기 제 1 시스템(102)과 상기 제 2 시스템(104)(108)의 상기 고유 식별들이 동일한 경우에만, 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)의 메모리(122)를 잠금해제하는 단계
    를 포함하는 데이터 보안 시스템.
  2. 제 1 항에 있어서,
    상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)이 컴퓨터 해킹된 경우, 상기 메모리(122)에 대한 잠금해제를 방지하는 단계
    를 더 포함하는 데이터 보안 시스템.
  3. 제 1 항에 있어서,
    상기 메모리(122)를 잠금해제하기 위해, 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)으로 조합을 입력하는 단계; 및
    새로운 조합을 입력하기 위해서 상기 조합을 재구성하는 단계
    를 더 포함하는 데이터 보안 시스템.
  4. 제 1 항에 있어서,
    제 3 시스템(108)(104)을 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)에 연결하는 단계; 및
    상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)에 의해서, 상기 고유 식별을 상기 제 3 시스템(108)(104)에 저장하는 단계
    를 더 포함하는 데이터 보안 시스템.
  5. 제 1 항에 있어서,
    상기 고유 식별에 기초하여 상기 제 1 시스템(102)과 상기 제 2 시스템(104)(108) 사이에서 암호화된 정보를 전송하는 단계;
    상기 암호화된 정보를 이용하여 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)을 인증하는 단계; 및
    상기 인증에 기초하여 제 3 시스템(108)(104)에 액세스하는 단계
    를 더 포함하는 데이터 보안 시스템.
  6. 제 1 항에 있어서,
    상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)이, 상기 메모 리(122)를 잠금해제하기 위한 조합에 의해서 활성화되었던 토큰을 가지고 있는지를 판별하는 단계
    를 더 포함하는 데이터 보안 시스템.
  7. 제 1 항에 있어서,
    상기 고유 식별을 제공하는 단계는,
    난수를 생성하고 그리고 상기 난수와 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)의 비밀 해싱 함수를 해싱하는 것
    을 포함하는 데이터 보안 시스템.
  8. 제 1 항에 있어서,
    제한 메모리(1700)를 갖는 제어기(120)를 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)에 제공하는 단계
    를 더 포함하는 데이터 보안 시스템.
  9. 제 1 항에 있어서,
    상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)을 물리적으로 조작함으로써, 상기 메모리(122)를 잠금해제하기 위한 조합을 입력하는 단계
    를 더 포함하는 데이터 보안 시스템.
  10. 제 1 항에 있어서,
    상기 고유 식별을 제공하는 단계는, 패스워드를 동적으로 생성하는 것을 포함하는 데이터 보안 시스템.
  11. 데이터 보안 시스템(100)(800)(900)(1600)으로서,
    제 1 시스템(102);
    상기 제 1 시스템(102)으로부터 고유 식별을 수신하고 그리고 상기 고유 식별을 복사하는 제 2 시스템(104)(108); 및
    상기 제 1 시스템(102)과 상기 제 2 시스템(104)(108)의 상기 고유 식별들이 동일한 경우에만, 잠금해제되는 메모리(122)
    를 포함하는 데이터 보안 시스템.
  12. 제 11 항에 있어서,
    상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)이 컴퓨터 해킹된 경우, 상기 메모리(122)에 대한 잠금해제를 방지하는 안티-해킹 시스템(200)
    을 더 포함하는 데이터 보안 시스템.
  13. 제 11 항에 있어서,
    상기 메모리(122)를 잠금해제하도록 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)으로 새로운 조합을 입력하기 위해서 조합을 재구성하는 조합 재 구성 시스템(300)
    을 더 포함하는 데이터 보안 시스템.
  14. 제 11 항에 있어서,
    상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)에 연결되며, 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)에 의해서 상기 고유 식별을 저장하는 제 3 시스템(108)(104)
    을 더 포함하는 데이터 보안 시스템.
  15. 제 11 항에 있어서,
    상기 고유 식별에 기초하는 암호화된 정보를 이용하여 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)의 인증에 따라 액세스되는 제 3 시스템(108)(104)
    를 더 포함하는 데이터 보안 시스템.
  16. 제 11 항에 있어서,
    상기 메모리(122)를 잠금해제하기 위한 조합에 의해서 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)이 활성화되었는지를 판별하는 토큰 시스템(600)(188)
    을 더 포함하는 데이터 보안 시스템.
  17. 제 11 항에 있어서,
    난수를 생성하는 난수발생기 유닛(130); 및
    상기 제 1 시스템(102)과 상기 제 2 시스템(104)(108)의 비밀 해싱 함수와 상기 난수를 해싱하기 위한 해싱 유닛(132)
    을 더 포함하는 데이터 보안 시스템.
  18. 제 11 항에 있어서,
    제한 메모리(1700)를 갖는 상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)의 제어기(120)
    를 더 포함하는 데이터 보안 시스템.
  19. 제 11 항에 있어서,
    상기 제 1 시스템(102) 또는 상기 제 2 시스템(104)(108)을 물리적으로 조작함에 의해서 상기 메모리(122)를 잠금해제하는 조합을 입력하기 위한 조작가능한 입력 매커니즘
    을 더 포함하는 데이터 보안 시스템.
  20. 제 11 항에 있어서,
    상기 고유 식별을 제공하기 위한, 동적 패스워드 발생기 유닛(1812)
    을 더 포함하는 데이터 보안 시스템.
  21. 데이터 보안 시스템(2000)으로서,
    호스트 컴퓨터(104)로부터의 호스트 식별을 메모리 잠금 시스템(102)으로 복사하는 단계;
    상기 메모리 잠금 시스템(102)의 난수발생기 유닛(130)으로부터 랜덤 시드(140)를 생성하는 단계;
    메모리의 해싱된 결과(144)를 제공하기 위해서, 상기 메모리 잠금 시스템(102)의 해싱 유닛(132)으로 상기 호스트 식별과 상기 랜덤 시드(140)를 제공하는 단계;
    호스트의 해싱된 결과(160)를 제공하기 위해서, 상기 호스트 컴퓨터(104)의 호스트 어플리케이션(150)으로 상기 호스트 식별과 상기 랜덤 시드(140)를 제공하는 단계;
    상기 호스트 컴퓨터(104)로부터 상기 메모리 잠금 시스템(102)을 연결해제하는 단계; 및
    상기 메모리의 해싱된 결과(144)와 상기 호스트의 해싱된 결과(160)가 매칭되는 경우에, 상기 메모리 잠금 시스템(102)의 메모리(122)를 잠금해제하도록, 상기 호스트의 해싱된 결과(160)를 상기 메모리 잠금 시스템(102)으로 전송하기 위해서 상기 메모리 잠금 시스템(102)을 상기 호스트 컴퓨터(104)에 연결하는 단계
    를 포함하는 데이터 보안 시스템.
  22. 제 21 항에 있어서,
    상기 메모리(122)를 잠금해제하기 위해서 소정 횟수 이상의 성공적이지 못한 시도들이 이루어진 경우, 상기 메모리(122)에 대한 잠금해제를 방지하는 단계
    를 더 포함하는 데이터 보안 시스템.
  23. 제 21 항에 있어서,
    상기 메모리(122)를 잠금해제하기 위해서 상기 메모리 잠금 시스템(102)에 조합을 입력하는 단계; 및
    새로운 조합을 입력하기 위해서 상기 조합을 재구성하는 단계
    를 더 포함하는 데이터 보안 시스템.
  24. 제 21 항에 있어서,
    상기 호스트 컴퓨터(104)를 네트워크 시스템(108)에 연결하는 단계; 및
    상기 메모리 잠금 시스템(102)을 상기 네트워크 시스템(108)에 결합시키기 위해서, 상기 호스트 식별 대신에 네트워크 식별을 상기 메모리 잠금 시스템(102)으로 복사하는 단계
    를 더 포함하는 데이터 보안 시스템.
  25. 제 21 항에 있어서,
    상기 메모리 잠금 시스템(102)으로 입력된 올바른(correct) 조합에 기초하여, 상기 메모리 잠금 시스템(102)과 상기 호스트 컴퓨터(104) 사이에서 암호화된 정보를 전송하는 단계;
    상기 암호화된 정보를 이용하여 상기 메모리 잠금 시스템(102) 또는 상기 호스트 컴퓨터(104)를 인증하는 단계; 및
    상기 인증에 기초하여 네트워크 시스템(108)에 액세스하는 단계
    를 더 포함하는 데이터 보안 시스템.
  26. 제 21 항에 있어서,
    상기 메모리의 해싱된 결과(144)와 상기 호스트의 해싱된 결과(160)가 매칭되고 상기 메모리(122)를 잠금해제하기 위한 올바른 조합이 제공된 경우에, 상기 메모리 잠금 시스템(102)이 상기 호스트 컴퓨터(104)에 연결된 때에만 상기 메모리(122)를 잠금해제하는 단계
    를 더 포함하는 데이터 보안 시스템.
  27. 제 21 항에 있어서,
    제도적인 환경에서 상기 메모리 잠금 시스템(102)을 이용하는 단계
    를 더 포함하는 데이터 보안 시스템.
  28. 제 21 항에 있어서,
    사용자, 호스트 컴퓨터(104), 네트워크 시스템(108) 또는 이들의 조합에 대해 상기 메모리(122)의 잠금해제를 제한하기 위해서, 제한 메모리(1700)를 갖는 제어기(120)를 상기 메모리 잠금 시스템(102)에 제공하는 단계
    를 더 포함하는 데이터 보안 시스템.
  29. 제 21 항에 있어서,
    메모리 잠금 시스템(102)에 대해 조작가능한 입력 매커니즘(118)을 물리적으로 조작함으로써, 상기 메모리(122)를 잠금해제하기 위한 조합을 입력하는 단계
    를 더 포함하는 데이터 보안 시스템.
  30. 제 21 항에 있어서,
    동적으로 생성된 1회용 패스워드의 제공에 의해 상기 메모리(122)를 잠금해제하는 단계
    를 더 포함하는 데이터 보안 시스템.
  31. 데이터 보안 시스템(100)(800)(900)(1600)으로서,
    호스트 컴퓨터(104)로부터의 호스트 식별을 메모리 잠금 시스템(102)으로 복사하는 호스트 컴퓨터;
    메모리(122)를 갖는 메모리 잠금 시스템(102)을 포함하며,
    상기 메모리 잠금 시스템(102)의 난수 발생기로부터 랜덤 시드(140)를 생성 하고;
    메모리의 해싱된 결과(144)를 제공하기 위해서, 상기 메모리 잠금 시스템(102)의 해싱 유닛(132)에게 상기 호스트 식별과 상기 랜덤 시드(140)를 제공하고;
    호스트의 해싱된 결과(160)를 제공하기 위해서, 상기 호스트 컴퓨터(104)의 호스트 어플리케이션(150)에게 상기 호스트 식별과 상기 랜덤 시드(140)를 제공하며; 그리고
    상기 메모리 잠금 시스템(102)을 상기 호스트 컴퓨터(104)에 재연결한 이후에, 상기 메모리의 해싱된 결과(144)와 상기 호스트의 해싱된 결과(160)가 매칭되는 경우, 상기 메모리(122)를 잠금해제하는 것을 특징으로 하는 데이터 보안 시스템.
  32. 제 31 항에 있어서,
    상기 메모리 잠금 시스템(102)은,
    성공적이지 못한 시도들이 소정 횟수 이상으로 수행되어 상기 메모리(122)를 잠금해제하고자 하는 경우, 상기 메모리(122)의 잠금해제를 방지하기 위한 안티-해킹 시스템(200)을 포함하는 것을 특징으로 하는 데이터 보안 시스템.
  33. 제 31 항에 있어서,
    상기 메모리 잠금 시스템(102)은,
    상기 메모리(122)를 잠금해제하기 위해 상기 메모리 잠금 시스템(102)으로 조합을 입력하고; 그리고
    상기 조합을 새로운 조합으로 재구성하는 조합 재구성 시스템(300)을 포함하는 것을 특징으로 하는 데이터 보안 시스템.
  34. 제 31 항에 있어서,
    상기 메모리 잠금 시스템(102)을 네트워크 시스템(108)에 결합시키고자, 상기 호스트 컴퓨터(104) 내의 상기 호스트 식별 대신에 네트워크 식별을 복사하기 위해 상기 호스트 컴퓨터(104)에 연결된 네트워크 시스템(108)
    을 더 포함하는 데이터 보안 시스템.
  35. 제 31 항에 있어서,
    상기 호스트 컴퓨터(104)에 연결된 네트워크 시스템(108); 및
    상기 호스트 컴퓨터(104)에 포함된 인증 시스템(500)(700)을 더 포함하며,
    상기 메모리 잠금 시스템(102)으로 입력된 올바른(correct) 조합에 기초하여, 상기 메모리 잠금 시스템(102)과 상기 호스트 컴퓨터(104) 사이에서 암호화된 정보를 전송하고;
    상기 암호화된 정보를 이용하여 상기 메모리 잠금 시스템(102) 또는 상기 호스트 컴퓨터(104)를 인증하고; 그리고
    상기 인증에 기초하여 상기 네트워크 시스템(108)에 액세스하는 것을 특징으 로 하는 데이터 보안 시스템.
  36. 제 31 항에 있어서,
    상기 메모리 잠금 시스템(102)은 조합을 입력하기 위해 조작가능한 입력 매커니즘(118)을 포함하며; 그리고
    상기 메모리 잠금 시스템(102)은, 상기 메모리의 해싱된 결과(144)와 상기 호스트의 해싱된 결과(160)가 매칭되고 상기 메모리(122)를 잠금해제하기 위한 올바른 조합이 제공된 경우, 상기 메모리 잠금 시스템(102)이 상기 호스트 컴퓨터(104)에 연결된 때에 상기 메모리(122)를 잠금해제하기 위한 제어기(120)를 포함하는 것을 특징으로 하는 데이터 보안 시스템.
  37. 제 31 항에 있어서,
    상기 메모리 잠금 시스템(102)은 신용카드와 같은 형상 및 사이즈를 갖도록 구성되는 것을 특징으로 하는 데이터 보안 시스템.
  38. 제 31 항에 있어서,
    상기 메모리 잠금 시스템(102)은, 사용자, 호스트 컴퓨터(104), 네트워크 시스템(108) 또는 이들의 조합에 대해 상기 메모리(122)의 잠금해제를 제한하기 위한 제한 메모리(1700)를 갖는 제어기(120)를 포함하는 것을 특징으로 하는 데이터 보안 시스템.
  39. 제 31 항에 있어서,
    상기 메모리 잠금 시스템(102)은 조작가능한 입력 매커니즘(118)을 포함하며, 상기 조작가능한 입력 매커니즘(118)이 물리적으로 조작됨으로써 상기 메모리(122)를 잠금해제하는 조합이 입력되는 것을 특징으로 하는 데이터 보안 시스템.
  40. 제 31 항에 있어서,
    상기 메모리 잠금 시스템(102)은, 상기 메모리(122)를 잠금해제하기 위한 1회성 패스워드를 생성하는 동적 패스워드 발생기 유닛(130)을 포함하는 것을 특징으로 하는 데이터 보안 시스템.
KR1020087020823A 2006-01-24 2008-08-25 데이터 보안 시스템 KR101270230B1 (ko)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US76191606P 2006-01-24 2006-01-24
US60/761,916 2006-01-24
US74792406P 2006-05-22 2006-05-22
US74792606P 2006-05-22 2006-05-22
US60/747,926 2006-05-22
US60/747,924 2006-05-22
PCT/US2007/001866 WO2007087340A1 (en) 2006-01-24 2007-01-24 Data security system

Publications (2)

Publication Number Publication Date
KR20080090536A true KR20080090536A (ko) 2008-10-08
KR101270230B1 KR101270230B1 (ko) 2013-05-31

Family

ID=38309546

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087020823A KR101270230B1 (ko) 2006-01-24 2008-08-25 데이터 보안 시스템

Country Status (7)

Country Link
US (3) US8832440B2 (ko)
EP (1) EP1982262A4 (ko)
JP (1) JP2009524880A (ko)
KR (1) KR101270230B1 (ko)
CN (1) CN101375259B (ko)
TW (1) TWI330800B (ko)
WO (1) WO2007087340A1 (ko)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7921250B2 (en) * 2004-07-29 2011-04-05 International Business Machines Corporation Method to switch the lock-bits combination used to lock a page table entry upon receiving system reset exceptions
US9075571B2 (en) 2005-07-21 2015-07-07 Clevx, Llc Memory lock system with manipulatable input device and method of operation thereof
US8832440B2 (en) 2006-01-24 2014-09-09 Clevx, Llc Data security system
US8185709B2 (en) 2006-10-10 2012-05-22 Data Locker International Llc Security system for external data storage apparatus and control method thereof
US9846866B2 (en) * 2007-02-22 2017-12-19 First Data Corporation Processing of financial transactions using debit networks
US8494959B2 (en) * 2007-08-17 2013-07-23 Emc Corporation Payment card with dynamic account number
US20090077390A1 (en) * 2007-09-14 2009-03-19 Particio Lucas Cobelo Electronic file protection system having one or more removable memory devices
TW200915235A (en) 2007-09-26 2009-04-01 Clevx Llc Self-authenticating credit card system
US10614462B2 (en) 2007-09-26 2020-04-07 Clevx, Llc Security aspects of a self-authenticating credit card
TWI537732B (zh) 2007-09-27 2016-06-11 克萊夫公司 加密之資料保全系統
US10181055B2 (en) 2007-09-27 2019-01-15 Clevx, Llc Data security system with encryption
US11190936B2 (en) * 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10778417B2 (en) 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
US10783232B2 (en) 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
US9300203B2 (en) 2007-12-10 2016-03-29 Clevx, Llc Battery power supply with automatic load sensing
US20120049800A1 (en) 2010-08-25 2012-03-01 Clevx, Llc Power supply system with automatic sensing mechanism and method of operation thereof
US9286493B2 (en) 2009-01-07 2016-03-15 Clevx, Llc Encryption bridge system and method of operation thereof
US9015840B2 (en) 2009-06-08 2015-04-21 Clevx, Llc Portable media system with virus blocker and method of operation thereof
US9734356B2 (en) 2009-06-29 2017-08-15 Clevx, Llc Encrypting portable media system and method of operation thereof
WO2011119169A1 (en) 2010-03-26 2011-09-29 Hewlett-Packard Development Company, L.P. Storage device access authentication upon resuming from a standby mode of a computing device
TWI406552B (zh) * 2010-04-06 2013-08-21 Hon Hai Prec Ind Co Ltd 手持裝置及其解鎖方法
US8555355B2 (en) * 2010-12-07 2013-10-08 Verizon Patent And Licensing Inc. Mobile pin pad
WO2013048380A1 (en) * 2011-09-28 2013-04-04 Hewlett-Packard Development Company, L.P. Unlocking a storage device
US8621644B2 (en) 2011-12-29 2013-12-31 Elwha Llc System and method for protecting data stored on a removable data storage device
US8601597B2 (en) 2011-12-29 2013-12-03 Elwha Llc System and method for protecting data stored on a removable data storage device
US9921978B1 (en) * 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
CN103778503A (zh) * 2013-12-29 2014-05-07 远光软件股份有限公司 一种报表数据锁定方法及装置
US9536060B2 (en) 2014-05-03 2017-01-03 Clevx, Llc Network information system with license registration and method of operation thereof
US9692752B2 (en) 2014-11-17 2017-06-27 Bank Of America Corporation Ensuring information security using one-time tokens
US10154020B1 (en) 2015-07-08 2018-12-11 Clevx, Llc Referral identity system and method of operation thereof
US9847881B2 (en) * 2015-09-16 2017-12-19 Arris Enterprises Llc Set top box with sharing of external hard disk drive
KR102054711B1 (ko) * 2016-01-04 2019-12-11 클레브엑스 엘엘씨 암호화를 이용한 데이터 보안 시스템
CN106056348B (zh) * 2016-05-18 2019-11-05 平安科技(深圳)有限公司 保全信息变更方法和装置
US11366905B2 (en) * 2016-07-04 2022-06-21 Sew-Eurodrive Gmbh & Co. Kg Security device and method for operating a system
US10628334B2 (en) * 2017-03-06 2020-04-21 Mcafee, Llc System and method to protect digital content on external storage
CN106789094A (zh) * 2017-03-09 2017-05-31 龙尚科技(上海)有限公司 基于随机算法与加密算法的动态认证方法
WO2020167307A1 (en) * 2019-02-14 2020-08-20 Hewlett-Packard Development Company, L.P. Locking devices with authentication
CN110473318B (zh) * 2019-06-28 2021-06-22 创新先进技术有限公司 解锁方法、实现解锁的设备及计算机可读介质
US10769873B1 (en) 2019-06-28 2020-09-08 Alibaba Group Holding Limited Secure smart unlocking
US11366933B2 (en) 2019-12-08 2022-06-21 Western Digital Technologies, Inc. Multi-device unlocking of a data storage device
US11163442B2 (en) 2019-12-08 2021-11-02 Western Digital Technologies, Inc. Self-formatting data storage device
US11556665B2 (en) 2019-12-08 2023-01-17 Western Digital Technologies, Inc. Unlocking a data storage device
US11606206B2 (en) 2020-01-09 2023-03-14 Western Digital Technologies, Inc. Recovery key for unlocking a data storage device
US11469885B2 (en) 2020-01-09 2022-10-11 Western Digital Technologies, Inc. Remote grant of access to locked data storage device
US11334677B2 (en) * 2020-01-09 2022-05-17 Western Digital Technologies, Inc. Multi-role unlocking of a data storage device
US11831752B2 (en) 2020-01-09 2023-11-28 Western Digital Technologies, Inc. Initializing a data storage device with a manager device
US11265152B2 (en) 2020-01-09 2022-03-01 Western Digital Technologies, Inc. Enrolment of pre-authorized device
US11088832B2 (en) 2020-01-09 2021-08-10 Western Digital Technologies, Inc. Secure logging of data storage device events
EP3916600A1 (en) 2020-05-27 2021-12-01 Mettler-Toledo (Albstadt) GmbH Method for operating an electronic data processing system and electronic data processing system
US11882434B2 (en) 2020-07-09 2024-01-23 Western Digital Technologies, Inc. Method and device for covertly communicating state changes
US11582607B2 (en) 2020-07-10 2023-02-14 Western Digital Technologies, Inc. Wireless security protocol
US20220417024A1 (en) * 2021-06-25 2022-12-29 Capital One Services, Llc Cryptographic authentication to control access to storage devices

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5557771A (en) * 1990-12-01 1996-09-17 Hitachi, Ltd. Data processing system and storage device and auxiliary memory bits for controlling data protection in the storage device
WO1995016238A1 (en) * 1993-12-06 1995-06-15 Telequip Corporation Secure computer memory card
EP1235177A3 (en) * 1993-12-16 2003-10-08 divine technology ventures Digital active advertising
CN2249922Y (zh) * 1995-07-24 1997-03-19 刘存亮 微型计算机软硬盘保护装置
US6223289B1 (en) * 1998-04-20 2001-04-24 Sun Microsystems, Inc. Method and apparatus for session management and user authentication
US7272723B1 (en) * 1999-01-15 2007-09-18 Safenet, Inc. USB-compliant personal key with integral input and output devices
US20050154885A1 (en) * 2000-05-15 2005-07-14 Interfuse Technology, Inc. Electronic data security system and method
FI20001311A (fi) * 2000-05-31 2001-12-01 Nokia Corp Langaton paikallisverkko
GB2366015B (en) * 2000-08-18 2005-04-20 Smart Media Ltd Apparatus, system and method for enhancing data security
JP3575603B2 (ja) 2001-03-16 2004-10-13 ソニー株式会社 情報処理装置および方法、記録媒体、並びにプログラム
US8121296B2 (en) 2001-03-28 2012-02-21 Qualcomm Incorporated Method and apparatus for security in a data processing system
US6823451B1 (en) * 2001-05-10 2004-11-23 Advanced Micro Devices, Inc. Integrated circuit for security and manageability
US7069447B1 (en) 2001-05-11 2006-06-27 Rodney Joe Corder Apparatus and method for secure data storage
KR100889099B1 (ko) * 2001-08-28 2009-03-17 시게이트 테크놀로지 엘엘씨 데이터 저장 장치의 보안 방법 및 장치
SG115453A1 (en) * 2002-02-27 2005-10-28 Oneempower Pte Ltd Activity management method
US7325134B2 (en) * 2002-10-08 2008-01-29 Koolspan, Inc. Localized network authentication and security using tamper-resistant keys
GB2396707B (en) * 2002-10-17 2004-11-24 Vodafone Plc Facilitating and authenticating transactions
US9281945B2 (en) * 2003-12-30 2016-03-08 Entrust, Inc. Offline methods for authentication in a client/server authentication system
KR20050075772A (ko) * 2004-01-17 2005-07-21 삼성전자주식회사 감시 시스템의 아카이브 장치 및 그 방법
TWI247523B (en) 2004-02-18 2006-01-11 Partner Tech Corp Mobile monitoring security system associated with portable data processing device
US20050203856A1 (en) * 2004-03-15 2005-09-15 David Russell Method & system for accelerating financial transactions
EP1749261A4 (en) 2004-04-22 2009-09-30 Fortress Gb Ltd MULTI-FACTORY SAFETY SYSTEM WITH PORTABLE EQUIPMENT AND SECURITY CORE
KR100644203B1 (ko) 2004-06-17 2006-11-10 (주) 엘지텔레콤 이동통신 단말기를 이용한 모바일 뱅킹시의 pin 인증방법
US7475252B2 (en) * 2004-08-12 2009-01-06 International Business Machines Corporation System, method and program to filter out login attempts by unauthorized entities
US20060064757A1 (en) * 2004-09-20 2006-03-23 Thomas Poslinski Method and system for user secure access to user content recordings
US7502946B2 (en) * 2005-01-20 2009-03-10 Panasonic Corporation Using hardware to secure areas of long term storage in CE devices
US20060230283A1 (en) * 2005-04-07 2006-10-12 International Business Machines Corporation Changing passwords with failback
US9075571B2 (en) 2005-07-21 2015-07-07 Clevx, Llc Memory lock system with manipulatable input device and method of operation thereof
US8010728B1 (en) * 2005-11-07 2011-08-30 Koninklijke Philips Electronics N.V. Multi-function docking assembly for portable digital media storage and playback device
US20070130463A1 (en) * 2005-12-06 2007-06-07 Eric Chun Wah Law Single one-time password token with single PIN for access to multiple providers
US8832440B2 (en) 2006-01-24 2014-09-09 Clevx, Llc Data security system
TWI537732B (zh) 2007-09-27 2016-06-11 克萊夫公司 加密之資料保全系統
US9286493B2 (en) 2009-01-07 2016-03-15 Clevx, Llc Encryption bridge system and method of operation thereof

Also Published As

Publication number Publication date
US8832440B2 (en) 2014-09-09
US20090063802A1 (en) 2009-03-05
TW200805106A (en) 2008-01-16
CN101375259B (zh) 2011-10-19
CN101375259A (zh) 2009-02-25
WO2007087340A1 (en) 2007-08-02
EP1982262A1 (en) 2008-10-22
KR101270230B1 (ko) 2013-05-31
US9323696B2 (en) 2016-04-26
US20140380011A1 (en) 2014-12-25
US10146706B2 (en) 2018-12-04
TWI330800B (en) 2010-09-21
EP1982262A4 (en) 2010-04-21
JP2009524880A (ja) 2009-07-02
US20160239436A1 (en) 2016-08-18

Similar Documents

Publication Publication Date Title
KR101270230B1 (ko) 데이터 보안 시스템
US6367017B1 (en) Apparatus and method for providing and authentication system
US8898477B2 (en) System and method for secure firmware update of a secure token having a flash memory controller and a smart card
US9521132B2 (en) Secure data storage
JP4091744B2 (ja) コンピュータ装置およびその動作方法
US8266378B1 (en) Storage device with accessible partitions
US7899186B2 (en) Key recovery in encrypting storage devices
EP1953669A2 (en) System and method of storage device data encryption and data access via a hardware key
US7840795B2 (en) Method and apparatus for limiting access to sensitive data
WO2009009052A1 (en) Memory data shredder
US20070226514A1 (en) Secure biometric processing system and method of use
TWI753286B (zh) 自我加密裝置、管理伺服器、用於資料安全性之方法、及其非暫態機器可讀取儲存媒體
EP3074907A1 (en) Controlled storage device access
EP3403368B1 (en) 2-factor authentication for network connected storage device
CN109190389A (zh) 一种基于u盘鉴权的固态硬盘数据保护方法
CN109190365A (zh) 一种基于u盘鉴权的固态硬盘数据保护系统
WO2009038446A1 (en) A portable secure identity and mass storage unit
US9262619B2 (en) Computer system and method for protecting data from external threats
CN109190364A (zh) 一种用于固态硬盘鉴权的安全u盘
Vachon The identity in everyone's pocket
KR200433767Y1 (ko) 전자장치
KR100717959B1 (ko) 전자장치 및 그 인증방법
CN117744097A (zh) 一种用于系统安全访问的控制装置、方法
WO2007092429A2 (en) Secure system and method for providing same
JP2009259133A (ja) 可搬媒体のアクセス制御方法

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160519

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170519

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180601

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190619

Year of fee payment: 7