KR20100125875A - 데이터 저장 장치 및 이를 포함하는 데이터 저장 시스템 - Google Patents

데이터 저장 장치 및 이를 포함하는 데이터 저장 시스템 Download PDF

Info

Publication number
KR20100125875A
KR20100125875A KR1020090044820A KR20090044820A KR20100125875A KR 20100125875 A KR20100125875 A KR 20100125875A KR 1020090044820 A KR1020090044820 A KR 1020090044820A KR 20090044820 A KR20090044820 A KR 20090044820A KR 20100125875 A KR20100125875 A KR 20100125875A
Authority
KR
South Korea
Prior art keywords
data
encryption
data storage
encryption key
hard disk
Prior art date
Application number
KR1020090044820A
Other languages
English (en)
Inventor
심준석
박영선
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020090044820A priority Critical patent/KR20100125875A/ko
Priority to US12/783,831 priority patent/US20100299534A1/en
Publication of KR20100125875A publication Critical patent/KR20100125875A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs

Abstract

저장된 데이터의 보안을 강화할 수 있는 데이터 저장 장치가 제공된다. 본 발명의 실시예에 따른 데이터 저장 장치는, 데이터 암호화에 필요한 보안데이터를 암호화하여 저장하고, 상기 보안데이터를 암호화/복호화하기 위한 암호키를 사용자에 의해 설정하여 이를 데이터 저장 장치에 저장하지 아니하고 필요시에 호스트로부터 수신함으로써, 데이터 저장 장치에 저장된 중요 데이터로의 악의 있는 제3자의 액세스를 원칙적으로 차단할 수 있다.

Description

데이터 저장 장치 및 이를 포함하는 데이터 저장 시스템{Data storage device and data storage system having the same}
본 발명에 따른 실시예는 데이터 저장 기술에 관한 것으로서, 보다 구체적으로 데이터 암호화에 필요한 보안데이터를 암호화하여 저장하고 상기 보안데이터를 암호화/복호화하기 위한 암호키를 사용자에 의해 설정하여 이를 데이터 저장 장치에 저장하지 아니하고 필요시에 호스트로부터 수신함으로써 데이터 저장 장치에 저장된 중요 데이터로의 악의 있는 제 3자의 액세스를 효과적으로 차단할 수 있는 데이터 저장 장치에 관한 것이다.
최근 들어 하드 디스크 드라이브(HDD; hard disk drive)는 랜덤 액세스가 가능하고 데이터 전송 속도가 우수하며 다른 보조 기억 장치들에 비해 저가이면서도 대용량화가 용이하다는 장점으로 인하여 멀티미디어 데이터 저장을 위해 많이 사용되고 있는 추세이다.
이러한 하드 디스크 드라이브의 사용이 증가함에 따라 하드 디스크 드라이브에 저장된 데이터에 대한 보안 문제가 중요한 이슈로 떠오르고 있으며, 따라서 하드 디스크 드라이브에 저장된 데이터 등을 암호화하거나 사용자 인증 등의 절차를 수행하는 경우가 상당히 증가하고 있다.
이렇게 보안 기능을 구비한 하드 디스크 드라이브에 있어서 인증이나 데이터 암호화를 위해서는 암호키를 필요로 하고, 상기 암호키는 제3자의 공격으로부터 안전해야 하며 사용자가 원하는 시기에 용이하게 변경이 가능하여야 한다.
종래에는 상기 암호키 등을 저장하기 위해서 하드 디스크 드라이브 내에 전자 모듈(electronic module)을 설계하였는데, 이는 하드 디스크 컨트롤러의 복잡도를 증가시킬 뿐 아니라 제조 비용을 증가시키게 되며 또한, 상기 전자 모듈을 지원하기 위해서는 하드 디스크 컨트롤러의 변경을 요구하게 되어 보안 기능이 요구되지 않는 하드 디스크 컨트롤러와의 공유도 불가능하다는 문제점이 있다.
본 발명에 따른 실시예는 상기의 문제점을 해결하고자 안출된 것으로서, 본 발명에 따른 실시예는 별도의 전자 모듈 장치를 이용하지 않고도 암호키 등을 안전하게 저장할 수 있는 데이터 저장 장치 및 이를 포함하는 데이터 저장 시스템을 제공하는 것을 목적으로 한다.
또한, 본 발명에 따른 실시예는 데이터 저장 장치에 저장된 데이터의 보안성을 강화시킬 수 있는 데이터 저장 장치 및 이를 포함하는 데이터 저장 시스템을 제공하는 것을 목적으로 한다.
상기의 기술적 과제를 해결하기 위한 데이터 저장 장치는, 제1 암호키를 이용하여 제1 데이터를 암호화하고, 상기 제1 데이터를 암호화한 제2 데이터를 출력하기 위한 제1 암호화부; 및 제2 암호키를 이용하여 상기 제1 암호키가 포함된 보안데이터를 암호화하고, 암호화된 보안데이터를 출력하기 위한 제2 암호화부를 포함할 수 있다.
상기 제1 암호키 또는 상기 제2 암호키 중에서 적어도 하나는 상기 데이터 저장 장치의 외부로부터 입력될 수 있다.
상기 데이터 저장 장치는 하드 디스크 드라이브일 수 있다.
상기 하드 디스크 드라이브는, 상기 제2 데이터 및 상기 암호화된 보안데이터를 저장하기 위한 하드 디스크를 포함할 수 있다.
상기 암호화된 보안데이터는 상기 하드 디스크 상의 시스템 트랙에 저장될 수 있다.
상기 하드 디스크 드라이브는, 제3 암호키를 이용하여 상기 제2 암호키를 암호화하기 위한 제3 암호화부를 더 포함하고, 상기 호스트로부터 상기 제3 암호키가 입력될 수 있다.
상기의 기술적 과제를 해결하기 위한 데이터 저장 시스템은, 버스를 통해 데이터가 입출력되는 데이터 저장 장치; 상기 데이터 저장 장치의 동작을 제어하기 위한 프로세서를 포함하고, 상기 데이터 저장 장치는, 제1 암호키를 이용하여 제1 데이터를 암호화하고 상기 제1 데이터를 암호화한 제2 데이터를 출력하기 위한 제1 암호화부; 및 제2 암호키를 이용하여 상기 제1 암호키가 포함된 보안데이터를 암호화하고 암호화된 보안데이터를 출력하기 위한 제2 암호화부를 포함할 수 있다.
상기 데이터 저장 장치는 하드 디스크 드라이브일 수 있다.
본 발명의 실시예에 따른 데이터 저장 장치는, 저장된 데이터의 보안성을 보다 강화함으로써 제3자의 악의적인 액세스를 방지할 수 있다.
또한, 본 발명의 실시예에 따른 데이터 저장 장치는, 보안 전자 모듈과 같은 추가적인 장치를 필요로 하지 않아 장치의 복잡도를 상당히 낮출 수 있다.
특정한 구조 내지 기능적 설명들은 단지 본 발명의 개념에 따른 실시예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 개념에 따른 실시예들은 다양한 형태로 실시될 수 있으며 본 명세서 또는 출원에 설명된 실시예들에 한정되는 것으로 해석되어서는 아니된다.
본 발명의 개념에 따른 실시예는 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있으므로 특정 실시예들은 도면에 예시하고 본 명세서 또는 출원에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시예들을 특정한 개시 형태에 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1 및/또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 한정되지는 않는다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소들로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성 요소는 제2 구성 요소로 명명될 수 있고, 유사하게 제2 구성 요소는 제1 구성 요소로도 명명될 수 있다.
어떠한 구성 요소가 다른 구성 요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성 요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떠한 구성 요소가 다른 구성 요소에 "직접 연결되어" 있다거나 또는 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성 요소들 간의 관계를 설명하기 위한 다른 표현들, 즉 '∼사이에'와 '바로 ∼사이에' 또는 '∼에 이웃하는'과 '∼에 직접 이웃하는' 등의 표현도 마찬가지로 해석되어야 한다.
본 명세서에서 사용하는 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서 '포함하다' 또는 '가지다' 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전의 정의 되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써, 본 발명을 상세히 설명하도록 한다.
도 1은 본 발명의 실시예에 따른 데이터 저장 장치(data storage device, 100)의 개략적인 블록도이다.
본 발명에 따른 실시예에서는 본 발명의 용이한 이해를 위하여 상기 데이터 저장 장치로서 하드 디스크 드라이브(HDD; hard disk drive)를 예시하고 있지만 본 발명에 따른 실시예는 이에 한정되지 않고, 본 발명에 따른 실시예는 솔리드 스테 이트 드라이브(SSD; solid state drive), 불휘발성 메모리(NVM; non-volatile memory), 휘발성 메모리(VM; volatile momery), 광학디스크드라이브(ODD; optical disk drive) 등에 모두 적용될 수 있다.
일반적인 하드 디스크 드라이브(HDD)는 프리앰프, 리드/라이트 채널, 호스트 인터페이스, VCM 구동부, SPM 구동부, 컨트롤러 등을 포함할 수 있다.
상기 프리앰프(preamp)는 자기헤드가 디스크로부터 재생한 데이터 신호를 증폭하거나, 리드/라이트 채널에 의하여 변환된 기록 전류를 증폭하여 자기 헤드를 통하여 디스크에 기록시킬 수 있다.
상기 리드/라이트 채널(read/write channel)은 프리 앰프가 증폭한 신호를 디지털 신호로 변환하여 호스트 인터페이스를 통하여 호스트 기기로 전송하거나 사용자가 입력한 데이터를 호스트 인터페이스를 통하여 수신하여 기록에 용이한 이진 데이터 스트림(binary data stream)으로 변환시켜 프리 앰프로 입력할 수 있다.
호스트 인터페이스(host interface)는 디지털 신호로 변환된 데이터를 호스트 기기로 전송하거나, 사용자가 입력한 데이터를 호스트 기기로부터 수신하여 컨트롤러를 통하여 리드/라이트 채널로 입력할 수 있다.
상기 VCM 구동부(VCM driver)는 컨트롤러의 제어 신호를 수신하여 보이스 코일 모터에 인가되는 전류의 양을 조절할 수 있다.
상기 SPM 구동부(SPM driver)는 컨트롤러의 제어 신호를 수신하여 스핀들 모터에 인가되는 전류의 양을 조절할 수 있다.
상기 컨트롤러는, 데이터 기록 모드에서는 사용자가 호스트 기기를 통하여 입력한 데이터를 호스트 인터페이스를 통하여 수신받아 이를 리드/라이트 채널로 출력할 수 있고, 데이터 판독 모드에서는 리드/라이트 채널에 의해 디지털 신호로 변환된 리드 신호를 입력받아 호스트 인터페이스로 출력할 수 있다. 또한, 컨트롤러는 VCM 구동부 및 SPM 구동부의 출력을 제어할 수 있다.
이러한 컨트롤러는 마이크로프로세서(micro processor), 마이크로 컨트롤러(micro controller) 등일 수 있고, 소프트웨어 또는 펌웨어 등의 형태로 구현될 수 있다. 또한, 후술한 데이터의 암호화/복호화 동작이 상기 컨트롤러에서 수행될 수 있다.
본 발명의 실시예에 따른 데이터 저장 장치(100)는, 데이터(DATA)를 암호화하기 위한 제1 암호화부(first encryption unit, 10), 보안데이터(security data′)를 암호화하기 위한 제2 암호화부(second encryption unit, 20), 및 인터페이스부(interface unit, 40)를 포함할 수 있다.
또한, 본 발명의 실시예에 따른 데이터 저장 장치(100)는, 암호화된 데이터(DATA′), 상기 보안데이터(SD′), 및 다양한 암호키 등을 저장하기 위한 저장 영역(예컨대, 하드 디스크(30))을 더 포함할 수 있다.
본 발명의 실시예에 따른 데이터 저장 장치(100)는 보안(security) 기능을 구비하기 때문에 데이터나 콘텐츠 등을 그대로 저장 수단에 저장하지 아니하고 소정의 암호화 동작을 수행한 후에 메모리 영역에 암호화된 데이터를 저장할 수 있다.
상기 제1 암호화부(10)는 데이터(DATA)를 암호화하여 암호화된 데이터(DATA ′)를 출력할 수 있다. 상기 암호화된 데이터(DATA′)는 상기 하드 디스크(30)의 임의의 영역에 저장될 수 있다. 이때, 상기 제1 암호화부(10)가 암호화 동작을 수행하기 위해서 암호키(KEY)를 사용할 수 있는데, 상기 암호키(KEY)는 상기 하드 디스크(30) 상의 특정 영역(예컨대, 시스템 트랙(system track, 31) 등)에 저장될 수 있다.
ATA(advanced technology attachment), SATA(serial ATA), 또는 PATA(parallel ATA) 방식에서는 사용자 인증(user authentication) 등에 필요한 패스 워드 등을 호스트가 접근할 수 없는 하드 디스크의 특정 영역에 저장하면, 호스트가 임의로 상기 패스 워드 등을 읽어내는 것이 불가능하다.
하지만, 제3자(예컨대, 하드 디스크 생산자 등)는 디버깅(debugging)을 위해서 상기 시스템 트랙(31)에 액세스할 수 있고, 따라서 상기 제3자가 상기 시스템 트랙(31)에 액세스하여 상기 암호키(KEY)를 포함한 다양한 보안 정보를 해킹하는 것이 불가능하지는 않다는 문제점이 있다.
따라서, 본 발명의 실시예에 따른 데이터 저장 장치(100)는 암호키(KEY) 등을 포함하는 보안데이터(SD′)를 평문(plane text)으로 저장하지 아니하고 소정의 암호화 수단을 통해 재암호화(re-encryption)하여 저장함으로써, 하드 디스크(30)에 저장된 주요 데이터에 대한 보안성을 더욱 강화시킬 수 있다.
실시예에 따라, 상기 암호키(KEY)는 난수(random number)를 이용하여 생성될 수 있으며, 상기 난수는 상기 데이터 저장 장치(100)에 포함된 디지털 신호로부터 생성될 수 있다.
따라서, 도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 데이터 저장 장치(100)는 상기 제1 암호화부(10) 이외에도 상기 제2 암호화부(20)를 더 포함할 수 있다. 예컨대, 상기 제2 암호화부(20)는 상기 보안데이터(SD′)를 암호화하여 암호화된 보안데이터(SD″)를 출력할 수 있다.
이때, 상기 제2 암호화부(20)의 암호화 동작을 수행하기 위하여 재암호키(REK)가 이용될 수 있으며, 상기 재암호화키(REK)는 사용자에 의해 설정되어 암호화/복호화(encryption/decryption) 시에 사용될 수 있다.
또한, 도 1에서 개념적으로 도시된 바와 같이, 상기 재암호화키(REK)는 상기 하드 디스크(30) 상의 어느 영역에도 저장되어 있지 않으며, 필요시에 상기 인터페이스부(30)를 통하여 호스트(200)로부터 수신될 수 있다.
상기 보안데이터(SD′)는 상기 암호키(KEY) 등 데이터 암호화 동작에 이용될 수 있는 모든 데이터들을 포함할 수 있으며, 상기 보안데이터(SD′)는 상기 제2 암호화부(20)에 의해 암호화되어 암호화된 보안데이터(SD″)로서 상기 하드 디스크(30)에 저장될 수 있다.
실시예에 따라, 상기 암호화된 보안데이터(SD″)는 상기 하드 디스크(30) 상의 시스템 트랙(31)에 저장될 수 있다. 실시예에 따라, 상기 암호화된 보안데이터(SD″)는 상기 하드 디스크(30) 상에서 사용자가 정의한 임의의 영역에 저장될 수도 있다.
또한, 상기 재암호키(REK)는 전적으로 사용자만이 알고 있는 것이어야 하며, 분실 등을 대비하여 상기 하드 디스크 드라이브(100)와 필요시에 접속될 수 있는 장치(예컨대, 범용 직렬 버스(USB) 등)에 백업(back-up)할 수도 있다.
따라서, 암호키(KEY)가 상기 재암호키(REK)에 의해 암호화되어 상기 하드 디스크(30)에 저장되어 있기 때문에, 제3자가 상기 암호키(KEY) 등을 포함한 중요 보안 데이터의 저장 위치를 알고 있더라도 상기 재암호키(REK)에 대한 정보를 획득하지 못하는 한, 상기 하드 디스크(30)에 저장된 데이터를 파악하는 것은 불가능하다.
상기 하드 디스크 드라이브(100)가 최초 제조될 때에는 상기 재암호키가 디폴트(default)로 설정되어 있고, 사용자가 BIOS(basic input/output system) 또는 유틸리티 프로그램(utility program) 등을 이용하여 사용자만의 고유의 재암호키(REK)로 변경할 수 있다. 정당한 사용자가 상기 재암호키(REK)를 변경할 경우에는, 상기 하드 디스크 드라이브(100)에 저장된 보안데이터(SD″)가 변경된 재암호키에 기초하여 자동으로 암호화될 수 있다.
또한, 본 발명의 실시예에 따른 상기 제1 암호화부(10) 및 상기 제2 암호화부(20)는 임의의 암호화 알고리즘을 이용할 수 있다. 상기 암호화 알고리즘은 크게 대칭키 암호화 알고리즘(symmetric key cryptosystem)과 비대칭키 암호화 알고리즘(asymmetric key cryptosystem)으로 분류될 수 있다
상기 대칭키 암호화 알고리즘은 암호화와 복호화에 사용되는 암호키가 동일하며, 상기 대칭키 암호화 알고리즘으로서 DES(data encryption standard)를 대표적으로 예시할 수 있다. 상기 DES는 56 비트의 암호키를 사용하며, 안정성 측면에서 우수한 특징이 있다.
상기 비대칭 암호화 알고리즘은 암호화를 수행하는 키와 복호화를 수행하는 키가 상이하며, 공개키(public key)와 개인키(private key)의 상호 관계를 이용하여 암호화/복호화를 수행할 수 있다.
또한, 그 밖에 RSA(Rivest-Shamir-Adleman) 알고리즘, SEED 알고리즘, 3DES(triple DES) 알고리즘, FEAL(fast data encryption algorithm), IDEA(international data encryption algorithm), RC(Ron's Code)2, RC4, RC5, Skipjack, Blowfish, SAFER(secure and fast encryption routine) 등의 암호화 알고리즘이 사용될 수 있다.
또한, 상기한 바와 같이, 본 발명의 실시예에 따른 하드 디스크 드라이브(100)는 상기 보안데이터(SD′)를 암호화하기 위한 재암호키(REK)를 상기 하드 디스크(30)에 저장하지 아니하고 필요시에 상기 호스트(200)로부터 상기 인터페이스부(40)를 통하여 수신함을 특징으로 하는데, 상기 호스트(200)로부터 상기 재암호키(REK)를 수신하는 방법은 실시예에 따라 매우 다양할 수 있다.
예컨대, 사용자가 소정의 입력 장치(예컨대, 키보드 등)를 통하여 패스워드 형식으로 상기 재암호키(REK)를 입력할 수 있고, 또는 RFID 기술을 기반으로 하는 태그 신호의 형태로 상기 재암호키(REK)가 입력될 수도 있으며, 정당 사용자의 홍채(iris), 지문(finger-print), 음성(voice) 등의 형태로 상기 재암호화키(REK)가 입력될 수도 있다. 또는 상기한 바와 같이, 정당한 사용자가 지니고 있는 외부 장치(예컨대, USB) 등으로부터 상기 재암호키(REK)가 상기 하드 디스크 드라이브(100)로 입력될 수도 있다.
즉, 상기 재암호화키(REK)는 상기 하드 디스크 드라이브(100) 내의 어디에도 저장되어 있지 않으며, 상기와 같은 형태들로서 필요시에 상기 호스트(200)로부터 호출될 수 있도록 본 발명의 실시예에 따른 상기 하드 디스크 드라이브(100)가 구현될 수 있다.
또는, 실시예에 따라, 상기 하드 디스크 드라이브(100)의 데이터에 대한 보완성을 더 강화하기 위하여 한 번의 암호화 동작이 더 수행될 수 있으며, 이를 위하여 본 발명의 실시예에 따른 상기 하드 디스크 드라이브(100)는 상기 재암호화키(REK)를 암호화하기 위한 제3 암호화부(미도시)와 상기 제3 암호화부의 암호화 동작에 필요한 재재암호키를 더 포함할 수 있다. 상기 재재암호키 또한 상기 재암호키(REK)와 마찬가지로 필요시에 상기 호스트(200)로부터 상기 인터페이스부(40)를 통하여 수신될 수 있다.
도 2a 및 도 2b는 본 발명의 실시예에 따른 데이터 암호화 방법 및 데이터 복호화 방법을 각각 설명하기 위한 순서도들이다.
도 2a는 본 발명의 실시예에 따른 하드 디스크 드라이브(100)에서 수행되는 데이터 암호화 과정을 설명하기 위한 순서도이다. 도 1 및 도 2a를 참조하면, 상기 제1 암호화부(10)는 상기 암호키(KEY)를 이용하여 상기 하드 디스크(30)에 저장하고자 하는 데이터(DATA)를 암호화하고, 암호화된 데이터(DATA′)를 출력할 수 있다(S210). 상기 암호화된 데이터(DATA′)는 상기 하드 디스크(30)의 임의의 영역에 저장될 수 있다.
다음으로, 상기 제2 암호화부(20)는 상기 재암호키(REK)를 이용하여 상기 암 호키(KEY)가 포함된 상기 보안데이터(SD′)를 암호화하고, 암호화된 보안데이터(SD″)를 출력할 수 있다(S220). 상기 암호화된 보안데이터(SD″)는 상기 하드 디스크(30)의 특정 영역(예컨대, 시스템 트랙(31))에 저장될 수 있다(S230).
도 2b는 본 발명의 실시예에 따른 하드 디스크 드라이브(100)에서 수행되는 데이터 복호화 과정을 설명하기 위한 순서도이다. 도 1 및 도 2b를 참조하면, 상기 호스트(200)로부터 상기 재암호키(REK)에 대한 정보가 수신될 수 있다(S310). 이때, 상기 제2 암호화부(20)는 상기 인터페이스부(40)를 통하여 상기 호스트(200)로부터 상기 재암호키(REK)에 대한 정보를 수신할 수 있으며, 그 다양한 수신 형태는 상기한 바와 같다.
상기 하드 디스크 드라이브(100)에 포함된 복호화부(미도시, 실시예에 따라 상기 암호화부(10 및 20)가 복호화를 수행할 수 있음)는 상기 호스트(200)로부터 수신된 재암호키(REK)를 이용하여 상기 암호화된 보안데이터(SD″)를 복호화할 수 있다(S320). 이 경우, 본 발명의 실시예에 따른 하드 디스크 드라이브(100)는 대칭키 암호화 알고리즘을 기반으로 동작하는 것으로 가정한다.
그러면, 암호화된 데이터(SD′)를 복호화할 수 있는 암호키(KEY)가 획득될 수 있고, 따라서 복호화된 암호키(KEY)를 이용하여 암호화된 데이터(DATA′)를 복호화할 수 있다(S330).
본 발명의 실시예에 따른 데이터 복호화 방법에서는, 상기 호스트(200)로부터 수신된 상기 재암호키(REK)의 정보가 올바른 정보인지 여부를 판단하지 않고, 수신된 재암호키에 대한 정보에 기초하여 데이터의 복호화 과정이 수행될 수 있다.
따라서, 상기 최종적으로 복호화된 데이터가 실제 저장시의 데이터와 일치하는지 여부를 확인(S340)함으로써, 최초에 수신되었던 상기 재암호키(REK)에 대한 정보가 정당한 것인지 아니면 부정한 것인지를 판단할 수 있다. 예컨대, 데이터가 일치하면 정당 사용자에 의해 상기 재암호키(REK)에 대한 정보가 입력되어 복호화가 수행된 것으로 판단될 수 있고(S350), 데이터가 일치하지 아니하면 제3자에 의해 상기 재암호키(REK)에 대한 정보가 입력되어 복호화가 수행된 것으로 판단될 수 있다(S360).
상기와 같이 제3자에 의해 상기 재암호키(REK)에 대한 정보가 입력되어 복호화가 수행되더라고 최종적으로 출력되는 데이터는 본래 하드 디스크(30)에 저장된 데이터와 상이하므로, 메모리 장치로의 제3자의 무단 액세스에 따른 정보 및 데이터의 유출이 효과적으로 방지될 수 있다.
도 3은 본 발명의 실시예에 따른 데이터 저장 시스템(1)의 개략적인 블록도이다. 도 1 내지 도 3을 참조하면, 본 발명의 실시예에 따른 데이터 저장 시스템(1)은 시스템 버스(system bus, 110)에 접속된 데이터 저장 장치(100)와 프로세서(processor, 120)를 포함할 수 있다.
상기 프로세서(120)는 상기 데이터 저장 장치(100)의 프로그램 동작(또는 기입 동작), 독출 동작, 또는 검증 동작을 제어하기 위한 제어 신호들을 생성할 수 있다. 따라서, 상기 데이터 저장 장치(100)의 제어 블록(미도시)은 상기 프로세서(120)로부터 출력된 제어 신호에 응답하여 프로그램 동작(또는 기입 동작), 독출 동작, 또는 검증 동작 등을 수행할 수 있다. 또한, 상기 프로세서(120)는 도 1에 도시된 암호화부들(10 및 20)의 데이터 암호화/복호화 기능을 수행할 수 있다.
본 발명의 실시예에 따른 데이터 저장 방법 또는 데이터 암호화 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), PRAM, RRAM, FRAM, 플래시(Flash) 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명에 따른 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
실시예에 따라, 본 발명의 실시예에 따른 데이터 저장 시스템(1)이 휴대용 어플리케이션(portalble application)으로 구현되는 경우에, 본 발명의 실시예에 따른 데이터 저장 시스템(1)은 상기 데이터 저장 장치(100)와 상기 프로세서(120)로 동작 전원을 공급하기 위한 배터리(battery, 150)를 더 포함할 수 있다.
상기 휴대용 어플리케이션은, 휴대용 컴퓨터(portable computer), 디지털 카메라(digital camera), PDA(personal digital assistance), 휴대 전화기(cellular telephone), MP3 플레이어, PMP(portable multimedia player), 차량자동항법장치(automotive navigation system), 메모리 카드(memory card), 시스템 카드(system card), 게임기, 전자 사전, 또는 솔리드 스테이트 디스크(solid state disk)를 포함할 수 있다.
본 발명의 실시예에 따른 데이터 저장 시스템(1)은 외부의 데이터 처리 장치와 데이터를 주고 받을 수 있도록 하는 인터페이스, 예컨대 입/출력 장치(130)를 더 포함할 수 있다.
본 발명의 실시예에 따른 데이터 저장 시스템(1)이 무선 시스템인 경우, 본 발명의 실시예에 따른 데이터 저장 시스템(1)은 무선 인터페이스(140)를 더 포함할 수 있다. 이 경우 무선 인터페이스(140)는 프로세서(120)에 접속되고 시스템 버스(110)를 통하여 무선으로 외부 무선 장치와 데이터를 송수신할 수 있다.
상기 무선 시스템은 PDA, 휴대용 컴퓨터, 무선 전화기, 페이저(pager), 디지털 카메라와 같은 무선 장치, RFID 리더, 또는 RFID 시스템일 수 있다. 또한, 상기 무선 시스템은 WLAN(Wireless Local Area Network) 시스템 또는 WPAN(Wireless Personal Area Network) 시스템일 수 있다. 또한, 상기 무선 시스템은 이동 전화 네트워크(Cellular Network)일 수 있다.
본 발명의 실시예에 따른 데이터 저장 시스템(1)이 이미지 촬상 장치(image pick-up device)인 경우, 본 발명의 실시예에 따른 데이터 저장 시스템(1)은 광학 신호를 전기 신호로 변환할 수 있는 이미지 센서(image sensor, 160)를 더 포함할 수 있다. 상기 이미지 센서(160)는 전자 결합 소자(CCD; charge-coupled device)를 이용한 이미지 센서일 수 있고, 또는 CMOS(complementary metal-oxide semiconductor) 이미지 센서일 수 있다. 이 경우 본 발명의 실시예에 따른 데이터 저장 시스템(1)은 디지털 카메라 또는 디지털 카메라가 부착된 이동 전화기일 수 있다. 또한, 본 발명의 실시예에 따른 데이터 저장 시스템(1)은 카메라가 부착된 인공 위성 시스템(satellite system)일 수 있다.
또한, 본 발명에 따른 실시예는 컴퓨터로 판독할 수 있는 기록 매체에 컴퓨터가 판독할 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 판독할 수 있는 기록 매체는 컴퓨터 시스템에 의하여 판독될 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함할 수 있다. 컴퓨터가 판독할 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예컨대, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함될 수 있다. 또한, 컴퓨터가 판독할 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터가 판독할 수 있는 코드로 저장되고 실행될 수 있다.
본 발명은 도면에 도시된 일 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변 형 및 균등한 타 실시예가 가능하다는 것을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 실시예에 따른 하드 디스크 드라이브의 개략적인 블록도.
도 2a 및 도 2b는 본 발명의 실시예에 따른 데이터 암호화 방법 및 데이터 복호화 방법을 각각 설명하기 위한 순서도들다.
도 3은 본 발명의 실시예에 따른 데이터 저장 장치를 포함하는 데이터 저장 시스템의 개략적인 블록도.

Claims (8)

  1. 제1 암호키를 이용하여 제1 데이터를 암호화하고, 상기 제1 데이터를 암호화한 제2 데이터를 출력하기 위한 제1 암호화부; 및
    제2 암호키를 이용하여 상기 제1 암호키가 포함된 보안데이터를 암호화하고, 암호화된 보안데이터를 출력하기 위한 제2 암호화부를 포함하는 데이터 저장 장치.
  2. 제1항에 있어서,
    상기 제1 암호키 또는 상기 제2 암호키 중에서 적어도 하나는 상기 데이터 저장 장치의 외부로부터 입력되는 데이터 저장 장치.
  3. 제1항에 있어서,
    상기 데이터 저장 장치는 하드 디스크 드라이브인 데이터 저장 장치.
  4. 제3항에 있어서, 상기 하드 디스크 드라이브는,
    상기 제2 데이터 및 상기 암호화된 보안데이터를 저장하기 위한 하드 디스크를 포함하는 데이터 저장 장치.
  5. 제4항에 있어서,
    상기 암호화된 보안데이터는 상기 하드 디스크 상의 시스템 트랙에 저장되는 데이터 저장 장치.
  6. 제3항에 있어서, 상기 하드 디스크 드라이브는,
    제3 암호키를 이용하여, 상기 제2 암호키를 암호화하기 위한 제3 암호화부를 더 포함하고,
    상기 호스트로부터 상기 제3 암호키가 입력되는 데이터 저장 장치.
  7. 버스를 통해 데이터가 입출력되는 데이터 저장 장치;
    상기 데이터 저장 장치의 동작을 제어하기 위한 프로세서를 포함하고,
    상기 데이터 저장 장치는,
    제1 암호키를 이용하여 제1 데이터를 암호화하고, 상기 제1 데이터를 암호화한 제2 데이터를 출력하기 위한 제1 암호화부; 및
    제2 암호키를 이용하여 상기 제1 암호키가 포함된 보안데이터를 암호화하고, 암호화된 보안데이터를 출력하기 위한 제2 암호화부를 포함하는 데이터 저장 시스템.
  8. 제7항에 있어서,
    상기 데이터 저장 장치는 하드 디스크 드라이브인 데이터 저장 시스템.
KR1020090044820A 2009-05-22 2009-05-22 데이터 저장 장치 및 이를 포함하는 데이터 저장 시스템 KR20100125875A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090044820A KR20100125875A (ko) 2009-05-22 2009-05-22 데이터 저장 장치 및 이를 포함하는 데이터 저장 시스템
US12/783,831 US20100299534A1 (en) 2009-05-22 2010-05-20 Data storage device and data storage system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090044820A KR20100125875A (ko) 2009-05-22 2009-05-22 데이터 저장 장치 및 이를 포함하는 데이터 저장 시스템

Publications (1)

Publication Number Publication Date
KR20100125875A true KR20100125875A (ko) 2010-12-01

Family

ID=43125352

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090044820A KR20100125875A (ko) 2009-05-22 2009-05-22 데이터 저장 장치 및 이를 포함하는 데이터 저장 시스템

Country Status (2)

Country Link
US (1) US20100299534A1 (ko)
KR (1) KR20100125875A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170084875A (ko) * 2016-01-13 2017-07-21 삼성전자주식회사 전자 장치, 그의 통신 방법 및 암호화 방법

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8862902B2 (en) * 2011-04-29 2014-10-14 Seagate Technology Llc Cascaded data encryption dependent on attributes of physical memory
US8645682B2 (en) 2011-10-31 2014-02-04 Nokia Corporation Methods and apparatus for sharing real-time user context information
US9497682B2 (en) 2013-06-07 2016-11-15 Intel Corporation Central processing unit and methods for supporting coordinated multipoint transmission in an LTE network
US10176342B2 (en) * 2014-07-31 2019-01-08 Hewlett Packard Enterprise Development Lp Protecting memory storage content
US10009379B2 (en) * 2014-12-23 2018-06-26 Peter W. J. Jones Systems and methods for sterilizing email attachments and other communications delivered by email
US9762548B2 (en) 2015-03-13 2017-09-12 Western Digital Technologies, Inc. Controlling encrypted data stored on a remote storage device
CN112383399B (zh) * 2020-11-06 2024-01-26 新大陆(福建)公共服务有限公司 自适应匹配身份平台的密钥处理方法、系统、设备及介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5027396A (en) * 1990-05-07 1991-06-25 Xerox Corporation Execution protection for floppy disks
AU7707894A (en) * 1993-09-29 1995-04-18 Pumpkin House Incorporated Enciphering/deciphering device and method and enciphering/deciphering communication system
US6081893A (en) * 1997-05-28 2000-06-27 Symantec Corporation System for supporting secured log-in of multiple users into a plurality of computers using combined presentation of memorized password and transportable passport record
JP4169822B2 (ja) * 1998-03-18 2008-10-22 富士通株式会社 記憶媒体のデータ保護方法、その装置及びその記憶媒体
US20010056541A1 (en) * 2000-05-11 2001-12-27 Natsume Matsuzaki File management apparatus
US7260555B2 (en) * 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
EP1387523B1 (en) * 2002-02-08 2012-10-17 NTT DoCoMo, Inc. Mobile communication terminal, information processing method, data processing program, and recording medium
KR20100012604A (ko) * 2008-07-29 2010-02-08 삼성전자주식회사 다이렉트 프린팅에 있어서 파일 보호 방법 및 그 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170084875A (ko) * 2016-01-13 2017-07-21 삼성전자주식회사 전자 장치, 그의 통신 방법 및 암호화 방법

Also Published As

Publication number Publication date
US20100299534A1 (en) 2010-11-25

Similar Documents

Publication Publication Date Title
US10361851B2 (en) Authenticator, authenticatee and authentication method
KR20100125875A (ko) 데이터 저장 장치 및 이를 포함하는 데이터 저장 시스템
US8112634B2 (en) Security-enhanced storage devices using media location factor in encryption of hidden and non-hidden partitions
JP5648209B2 (ja) 暗号キー選択装置を具備するストレージ・システム及び暗号キー選択方法
US9363079B2 (en) Method of generating message authentication code and authentication device and authentication request device using the method
EP3454236B1 (en) Authenticator, authenticatee and authentication method
EP3059897B1 (en) Methods and devices for authentication and key exchange
US9032535B2 (en) Storage device and method for providing a scalable content protection system
KR20030071460A (ko) 메모리카드
CN101685425A (zh) 移动存储设备及实现移动存储设备加密的方法
US9323943B2 (en) Decrypt and encrypt data of storage device
CN103186479A (zh) 基于单操作系统的双硬盘隔离加密装置、方法及计算机
US20140108818A1 (en) Method of encrypting and decrypting session state information
US20100241870A1 (en) Control device, storage device, data leakage preventing method
JP2007193800A (ja) カード認証システムのセキュリティレベルを向上させる装置及び方法
JP5539024B2 (ja) データ暗号化装置およびその制御方法
CN101763485A (zh) 数据保护方法
JP2011066926A (ja) データ漏洩防止システムおよびデータ漏洩防止方法
KR101758233B1 (ko) 비대칭 특성을 이용한 외부 저장장치의 데이터에 대한 암호화를 수행하는 장치 및 방법
KR20130049542A (ko) 메모리 소자 및 이를 포함하는 메모리 시스템
KR20090042624A (ko) 대칭키 암호 프로세싱 장치 및 방법
KR20160135189A (ko) 키 조작에 대한 보호

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL NUMBER: 2015101007239; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20151203

Effective date: 20170208