KR20190137960A - Data security system with encryption - Google Patents

Data security system with encryption Download PDF

Info

Publication number
KR20190137960A
KR20190137960A KR1020197035893A KR20197035893A KR20190137960A KR 20190137960 A KR20190137960 A KR 20190137960A KR 1020197035893 A KR1020197035893 A KR 1020197035893A KR 20197035893 A KR20197035893 A KR 20197035893A KR 20190137960 A KR20190137960 A KR 20190137960A
Authority
KR
South Korea
Prior art keywords
mobile device
data security
data
security system
user
Prior art date
Application number
KR1020197035893A
Other languages
Korean (ko)
Other versions
KR102201093B1 (en
Inventor
레브 엠. 볼로틴
알렉스 레멜레브
마크 싱어
Original Assignee
클레브엑스 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/987,749 external-priority patent/US10181055B2/en
Application filed by 클레브엑스 엘엘씨 filed Critical 클레브엑스 엘엘씨
Publication of KR20190137960A publication Critical patent/KR20190137960A/en
Application granted granted Critical
Publication of KR102201093B1 publication Critical patent/KR102201093B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • Lock And Its Accessories (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Alarm Systems (AREA)

Abstract

데이터 보안 시스템 및 그 동작 방법은 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함한다.A data security system and method of operation thereof include a data security transceiver or receiver; An authentication subsystem operatively connected to the data security transceiver or receiver; And a storage subsystem coupled to the authentication subsystem.

Figure P1020197035893
Figure P1020197035893

Description

암호화를 이용한 데이터 보안 시스템{DATA SECURITY SYSTEM WITH ENCRYPTION}Data security system using encryption {DATA SECURITY SYSTEM WITH ENCRYPTION}

관련 출원(들)에 대한 상호 참조Cross Reference to Related Application (s)

본 출원은 그 주제가 본 출원에 참조되어 포함된 2007년 9월 27일자로 출원된 미국 특허 가출원 제60/975,814호의 이익을 주장하는, 2008년 9월 26일자로 출원된 국제 출원 제PCT/US2008/077766호의 국내 단계인, 2010년 3월 29일자로 출원된 동시 계류중인 미국 특허 출원 제12/680,742호의 일부 계속 출원인, 2016년 1월 4일자로 출원된 미국 특허 출원 제14/987,749호의 우선권을 주장한다.This application claims the benefit of US Provisional Application No. 60 / 975,814, filed on September 27, 2007, the subject matter of which is incorporated herein by reference, PCT / US2008 / filed September 26, 2008. Claims priority of US patent application Ser. No. 14 / 987,749, filed Jan. 4, 2016, filed on Jan. 4, 2016, with some continuing applicants of co-pending US patent application Ser. do.

본 출원은 Lev M. Bolotin 및 Simon B. Johnson에 의해 "DATA SECURITY SYSTEM WITH ENCRYPTION(암호화를 이용한 데이터 보안 시스템)"이라는 명칭으로 동시에 출원된 미국 특허 출원과 관련된 주제를 포함한다. 관련 출원은 ClevX, LLC에 양도되고 대리인 문서 관리 번호 502-018P-PCT-US.C1로 식별된다. 관련 출원의 주제는 본 출원에 참조되어 포함된다.This application includes topics related to US patent applications filed simultaneously by Lev M. Bolotin and Simon B. Johnson under the name “DATA SECURITY SYSTEM WITH ENCRYPTION”. The related application is assigned to ClevX, LLC and identified as Agent Document Control Number 502-018P-PCT-US.C1. The subject matter of the relevant application is incorporated herein by reference.

기술 분야Technical field

본 발명은 일반적으로 전자 디바이스들에 관한 것으로, 보다 상세하게는 메모리 디바이스들에 관한 것이다.The present invention relates generally to electronic devices and, more particularly, to memory devices.

보안은 컴퓨터 사용의 거의 모든 측면에서 중요한 문제이다. 컴퓨터들에 연결된 하드 디스크 드라이브들과 같은 저장 매체에는 데이터 도난에 취약한 귀중한 정보가 들어있다. 개인, 기업 및 정부 보안 정보를 보호하는데 많은 돈과 노력이 적용되고 있다.Security is an important issue in almost every aspect of computer use. Storage media such as hard disk drives connected to computers contain valuable information that is vulnerable to data theft. A lot of money and effort is applied to protect personal, corporate and government security information.

휴대용 메모리 저장 디바이스들은 더 작아지고, 더 쉽게 손실되고, 더 많이 유비쿼터스화되고, 더 저렴해지고, 메모리 용량이 더 커짐에 따라, 이들은 특이한 보안 문제들을 제기하게 되었다. 현재 범용 직렬 버스 플래시 및 마이크로 드라이브들, 셀폰들, 캠코더들, 디지털 카메라들, iPOD들, MP3/4 플레이어들, 스마트 폰들, 팜 및 랩톱 컴퓨터들, 게임 장비, 인증자들, (메모리를 포함하는) 토큰들 등 - 대개 대용량 저장 디바이스(mass storage device)(MSD)임 - 과 같은 휴대용 메모리 저장 디바이스들에 방대한 양의 정보를 부정하게 다운로드하는 것이 가능하다.As portable memory storage devices become smaller, more easily lost, more ubiquitous, less expensive, and larger in memory capacity, they present unique security issues. General purpose serial bus flash and micro drives, cell phones, camcorders, digital cameras, iPODs, MP3 / 4 players, smartphones, palm and laptop computers, gaming equipment, authenticators, (including memory It is possible to fraudulently download large amounts of information to portable memory storage devices, such as tokens, etc., usually mass storage devices (MSDs).

보다 구체적으로, 정보를 컴퓨터로부터 쉽게 다운로드하여 가져가 버릴 수 있는 백업, 전송, 중간 저장 및 일차 저장을 위해 수백만 개의 MSD가 사용되고 있다. 모든 MSD의 주 목적은 특정 컴퓨터가 아닌 특정 소유자에게 결부된 데이터 및 정보인 "휴대용 콘텐츠(portable content)"를 저장하고 검색하는 것이다.More specifically, millions of MSDs are used for backup, transfer, intermediate storage and primary storage where information can be easily downloaded and taken away from a computer. The primary purpose of all MSDs is to store and retrieve "portable content," which is data and information associated with a specific owner rather than a specific computer.

저장소 보안을 제공하는 가장 일반적인 수단은 컴퓨터에 입력되는 패스워드로 사용자를 인증하는 것이다. 패스워드는 MSD 저장 값에 대해 유효성이 입증된다. 일치함이 발생하면 드라이브는 열릴 것이다. 또는 패스워드 자체가 암호화 키로서 사용되어 MSD에 저장된 데이터를 암호화/암호해독 한다.The most common means of providing storage security is to authenticate the user with a password entered into the computer. The password is validated against the MSD stored value. If a match occurs, the drive will open. Or the password itself is used as the encryption key to encrypt / decrypt the data stored in the MSD.

실시간 암호화(on-the-fly encryption)를 지원하는 드라이브들의 경우, 암호화 키는 종종 암호화된 형태로 미디어 상에 저장된다. 암호화 키는 미디어 상에 저장되기 때문에, 표준 인터페이스를 우회하여 미디어를 직접 읽고자 하는 사람들에게 쉽게 이용 가능해진다. 따라서, 패스워드는 암호화 키를 암호화하는 키로 사용된다.For drives that support on-the-fly encryption, encryption keys are often stored on media in encrypted form. Since the encryption key is stored on the media, it is readily available to people who want to read the media directly by bypassing the standard interface. Therefore, the password is used as a key for encrypting the encryption key.

자체 인증 드라이브들의 경우, 이들의 인증 서브시스템은 보안을 유지할 책임을 진다. 이것이 연결되는 호스트 컴퓨터에 대한 종속성은 없다. 따라서, 패스워드는 MSD를 잠금해제(unlock)하기 위해 호스트로부터 전송될 수 없다(또는 전송할 필요가 없다). 사실, 암호화 키는 더 이상 미디어 상에 저장될 필요가 없다. 인증 서브시스템은 암호화 키를 관리하는 수단이 된다.In the case of self-certified drives, their authentication subsystem is responsible for maintaining security. There is no dependency on the host computer to which it is connected. Thus, the password cannot be sent (or need not be sent) from the host to unlock the MSD. In fact, the encryption key no longer needs to be stored on the media. The authentication subsystem is the means for managing the encryption key.

따라서, 보안을 개선할 필요성이 여전히 남아있다. 시장에서 의미 있는 제품 차별화에 대한 소비자 기대들이 커지고 기회들이 줄어드는 것과 함께 끊임없이 증가하는 상업적 경쟁 압력에 비추어 볼 때, 이러한 문제에 대한 해답을 찾는 것이 중요하다. 또한 비용을 줄이고, 효율성 및 성능을 개선하고, 경쟁 압력에 대처할 필요는 이러한 문제들에 대한 해답을 찾기 위한 절실한 필요성에 시급함을 훨씬 더 크게 가중시킨다.Thus, there remains a need for improving security. Given the ever-increasing commercial competitive pressures with growing consumer expectations and diminished opportunities for meaningful product differentiation in the market, it is important to find answers to these issues. In addition, the need to reduce costs, improve efficiency and performance, and cope with competitive pressures places even greater pressure on the urgent need to find answers to these problems.

이러한 문제들에 대한 해결책은 오랫동안 추구되어 왔지만, 종래의 개발들은 어떠한 해결책들도 교시하거나 제안되지 않았으며, 그래서 이러한 문제들에 대한 해결책들은 관련 기술분야에서 통상의 기술자에게 오랫동안 이룰 수가 없었다.Solutions to these problems have been pursued for a long time, but conventional developments have not taught or suggested any solutions, so solutions to these problems have not been achieved for a long time by those skilled in the art.

본 발명은: 데이터 보안 시스템과의 연결성을 위해 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계; 데이터 보안 시스템 애플리케이션을 시작하는 단계; 및 모바일 디바이스와 데이터 보안 시스템의 연결성을 유지하는 단계를 포함하는 데이터 보안 시스템의 동작 방법을 제공한다.The invention includes providing a data security system application to a mobile device for connectivity with a data security system; Starting a data security system application; And maintaining a connection between the mobile device and the data security system.

본 발명은: 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함하는 데이터 보안 시스템을 제공한다.The present invention provides a data security transceiver or receiver; An authentication subsystem operatively connected to the data security transceiver or receiver; And a storage subsystem coupled to the authentication subsystem.

본 발명의 특정 실시예들은 상기 언급된 양태들 이외에 또는 상기 언급된 양태들 대신 다른 양태들을 갖는다. 양태들은 첨부 도면들을 참조할 때 다음의 상세한 설명을 읽음으로써 관련 기술분야에서 통상의 기술자에게 명백해질 것이다.Certain embodiments of the present invention have other aspects in addition to or in place of the above-mentioned aspects. Aspects will become apparent to those skilled in the art by reading the following detailed description when referring to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 데이터 보안 시스템의 개략도이다.
도 2는 데이터 보안 시스템과 함께 사용되는 인증 키 전달 방법을 도시한다.
도 3은 사용자가 데이터 보안 시스템과 상호 작용하는 상이한 시스템들을 도시한다.
도 4는 사용자가 호스트 컴퓨터 시스템을 사용하여 데이터 보안 시스템과 어떻게 상호 작용하는지를 도시한다.
도 5는 사용자 검증을 데이터 보안 시스템에 이용하는 데이터 보안 방법이다.
도 6은 예시적인 데이터 보안 통신 시스템이다.
도 7은 모바일 디바이스와 데이터 보안 시스템 사이의 동작들의 시퀀스를 도시하는 관리자 시퀀싱 다이어그램이다.
도 8은 모바일 디바이스가 인증 인자인 잠금해제 시퀀스 다이어그램이다.
도 9는 모바일 디바이스로부터 PIN 엔트리를 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 10은 서버/콘솔을 통한 PIN 엔트리 및 사용자 ID/위치/시간 검증을 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 11은 서버/콘솔을 사용하여 데이터 보안 시스템을 리셋하는 것을 도시하는 리셋 시퀀싱 다이어그램이다.
도 12는 서버/콘솔을 사용하여 데이터 보안 시스템을 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 13은 서버/콘솔을 사용하는 사용자의 패스워드 변경 시퀀싱 다이어그램이다.1 is a schematic diagram of a data security system according to an embodiment of the present invention.
2 illustrates an authentication key delivery method used with a data security system.
3 illustrates different systems in which a user interacts with a data security system.
4 illustrates how a user interacts with a data security system using a host computer system.
5 is a data security method using user verification in a data security system.
6 is an exemplary data secure communication system.
7 is a manager sequencing diagram illustrating a sequence of operations between a mobile device and a data security system.
8 is an unlock sequence diagram in which a mobile device is an authentication factor.
9 is an unlock sequencing diagram illustrating unlocking using a PIN entry from a mobile device.
FIG. 10 is an unlock sequencing diagram illustrating unlocking using PIN entry and user ID / location / time verification via a server / console.
11 is a reset sequencing diagram illustrating resetting a data security system using a server / console.
12 is an unlock sequencing diagram illustrating unlocking a data security system using a server / console.
13 is a password change sequencing diagram of a user using a server / console.

다음의 실시예들은 관련 기술분야에서 통상의 기술자가 본 발명을 제작하고 사용할 수 있도록 충분히 상세하게 설명된다. 다른 실시예들은 본 개시내용에 기초하여 명백할 것이며, 시스템, 프로세스 또는 기계적 변경들은 본 발명의 범위를 벗어나지 않고 이루어질 수 있다는 것을 이해하여야 한다.The following examples are described in sufficient detail to enable those skilled in the art to make and use the invention. Other embodiments will be apparent based on the present disclosure, and it should be understood that system, process or mechanical changes may be made without departing from the scope of the present invention.

다음의 설명에서, 본 발명의 완전한 이해를 제공하기 위해 다수의 특정 세부 사항들이 제공된다. 그러나, 본 발명은 이러한 특정 세부 사항들 없이도 실시될 수 있음이 명백할 것이다. 본 발명을 모호하게 하는 것을 피하기 위해, 일부의 공지된 회로들, 시스템 구성들 및 처리 단계들은 상세하게 개시되지 않는다.In the following description, numerous specific details are provided to provide a thorough understanding of the present invention. However, it will be apparent that the invention may be practiced without these specific details. In order to avoid obscuring the present invention, some well-known circuits, system configurations and processing steps are not disclosed in detail.

마찬가지로, 시스템의 실시예들을 도시하는 도면들은 반 다이어그램적(semi-diagrammatic)이고 축척되지 않으며, 특히 치수들 중 일부는 제시의 명료성을 위한 것이고 도면에서 과장되게 도시된다. 일부 특징들을 공통으로 갖는 다수의 실시예가 그의 예시, 설명 및 이해의 명료성 및 용이함을 위해 개시되고 설명되는 경우, 서로 유사하고 동일한 특징들은 통상적으로 유사하거나 동일한 참조 부호들로 설명될 것이다. 유사하게, 설명의 용이함을 위해 도면들은 일반적으로 유사한 방향들을 보여주기는 하지만, 도면들에서의 이러한 묘사는 대부분 임의적이다. 일반적으로, 본 발명은 모든 방향으로도 동작될 수 있다.Likewise, the figures illustrating embodiments of the system are semi-diagrammatic and not to scale, in particular some of the dimensions being for clarity of presentation and are exaggerated in the figures. When a number of embodiments having some features in common are disclosed and described for clarity and ease of illustration, description, and understanding thereof, similar and identical features of one another will typically be described by like or identical reference numerals. Similarly, while the drawings generally show similar directions for ease of explanation, this depiction in the drawings is mostly arbitrary. In general, the present invention can be operated in all directions.

본 명세서에서 사용되는 것으로 "시스템"이라는 용어는 이 용어가 사용되는 맥락에 따라 본 발명의 방법 및 본 발명의 디바이스라고 지칭되고 정의된다. 본 명세서에서 사용되는 것으로 "방법"이라는 용어는 장치들의 동작 단계들이라고 지칭되고 정의된다.As used herein, the term "system" is referred to and defined as the method of the present invention and the device of the present invention depending on the context in which it is used. As used herein, the term “method” is referred to and defined as the operational steps of the devices.

편의상 그리고 제한하지 않기 위해, "데이터"라는 용어는 컴퓨터에 의해 생성되거나 컴퓨터에 저장될 수 있는 정보라고 정의된다. "데이터 보안 시스템"이라는 용어는 저장 매체를 포함하는 임의의 휴대용 메모리 디바이스를 의미하는 것으로 정의된다. 본 명세서에서 사용되는 것으로 "저장 매체"라는 용어는 임의의 고체 상태, NAND 플래시 및/또는 자기 데이터 기록 시스템이라고 지칭되고 정의된다. "잠금(locked)"이라는 용어는 저장 매체가 액세스 가능하지 않을 때의 데이터 보안 시스템을 지칭하며 "잠금해제(unlocked)"라는 용어는 저장 매체가 액세스 가능할 때의 데이터 보안 시스템을 지칭한다.For convenience and not by way of limitation, the term "data" is defined as information that may be generated by or stored on a computer. The term "data security system" is defined to mean any portable memory device that includes a storage medium. As used herein, the term “storage medium” is referred to and defined as any solid state, NAND flash and / or magnetic data recording system. The term "locked" refers to a data security system when the storage medium is not accessible and the term "unlocked" refers to a data security system when the storage medium is accessible.

저장 디바이스 변경 방지를 행하는 일반적으로 두 가지 방법이 있다:There are generally two ways to prevent storage device changes:

1. 구성요소들에 에폭시를 도포한다 - 인쇄 회로 기판에 도포된 에폭시 수지는 저장 매체를 파괴하지 않고 저장 디바이스를 해체하는 것을 어렵게 할 수 있다.1. Apply Epoxy to Components—The epoxy resin applied to the printed circuit board can make it difficult to dismantle the storage device without destroying the storage medium.

2. 메모리 데이터를 암호화한다 - 데이터는 저장 매체에 기입될 때 암호화되고 암호화 키는 데이터를 해독하는데 필요하다.2. Encrypt memory data-The data is encrypted when written to the storage medium and an encryption key is needed to decrypt the data.

이제 도 1을 참조하면, 본 발명의 실시예에 따른 데이터 보안 시스템(100)의 개략도가 도시된다. 데이터 보안 시스템(100)은 외부 통신 채널(102), 인증 서브시스템(104) 및 저장 서브시스템(106)으로 구성된다.Referring now to FIG. 1, a schematic diagram of a data security system 100 in accordance with an embodiment of the present invention is shown. Data security system 100 is comprised of an external communication channel 102, an authentication subsystem 104, and a storage subsystem 106.

저장 서브시스템(106)은 인터페이스 컨트롤러(108), 암호화 엔진(110) 및 저장 매체(112)를 포함하는 전자 회로이다. 저장 매체(112)는 내부 또는 외부 하드 디스크 드라이브, USB 플래시 드라이브, 고체 상태 드라이브, 하이브리드 드라이브, 메모리 카드, 테이프 카트리지 및 광학 디스크(예를 들어, 블루레이(Blu-ray) 디스크, 디지털 다기능 디스크(digital versatile disk) 또는 DVD, 및 콤팩트 디스크(compact disk) 또는 CD)를 비롯한 광학 매체일 수 있다. 저장 매체(112)는 데이터 보호 가전 기기, 아카이벌 저장 시스템(archival storage system) 및 클라우드 기반 데이터 저장 시스템을 포함할 수 있다. 클라우드 저장 시스템은 호스트 컴퓨터 또는 RF 또는 광학, 또는 월드 와이드 웹과 같은 유선 또는 무선 네트워크를 통해 호스트 컴퓨터에 연결된 다른 시스템상의 브라우저 애플리케이션에 설치된 플러그-인(또는 "플러그인") 애플리케이션 또는 확장 소프트웨어를 이용하여 액세스될 수 있다.Storage subsystem 106 is an electronic circuit that includes interface controller 108, encryption engine 110, and storage medium 112. Storage medium 112 may include internal or external hard disk drives, USB flash drives, solid state drives, hybrid drives, memory cards, tape cartridges, and optical disks (e.g., Blu-ray disks, digital multifunction disks) optical versatile disk) or DVD, and compact disk or CD). The storage medium 112 may include a data protection home appliance, an archival storage system, and a cloud-based data storage system. The cloud storage system utilizes a plug-in (or "plug-in") application or extension software installed on a browser application on the host computer or other system connected to the host computer via a wired or wireless network, such as RF or optical, or the World Wide Web. Can be accessed.

인터페이스 컨트롤러(108)는 소프트웨어 또는 하드웨어의 암호화 엔진(110)을 갖는 마이크로컨트롤러와 같은 전자 구성요소를 포함하지만, 암호화 엔진(110)은 저장 서브시스템(106)의 별개의 컨트롤러 내에 있을 수 있다.The interface controller 108 includes an electronic component such as a microcontroller having the encryption engine 110 in software or hardware, but the encryption engine 110 may be in a separate controller of the storage subsystem 106.

인증 서브시스템(104)은 전기적으로 소거 가능한 프로그래머블 판독 전용 메모리(electrically erasable programmable read-only memory)(EEPROM)와 같은 자체의 비 휘발성 메모리를 가질 수 있는 마이크로컨트롤러와 같은 인증 컨트롤러(114)를 포함하는 전자 회로이다.Authentication subsystem 104 includes an authentication controller 114, such as a microcontroller, that may have its own non-volatile memory, such as electrically erasable programmable read-only memory (EEPROM). It is an electronic circuit.

*외부 통신 채널(102)은 호스트 컴퓨터 시스템(120)과 데이터를 교환하는 수단을 제공한다. 범용 직렬 버스(Universal Serial Bus)(USB)는 데이터 보안 시스템(100)을 호스트 컴퓨터 시스템(120)에 연결하는 가장 일반적인 수단들 중 하나이다. 외부 통신 채널(102)의 다른 예들은 파이어와이어(Firewire), 무선 USB, 직렬 ATA(Serial ATA)(SATA), 고화질 멀티미디어 인터페이스(High Definition Multimedia Interface)(HDMI), 권장 표준(Recommended Standard) 232(RS-232) 및 무선 주파수 무선 네트워크들을 포함한다.External communication channel 102 provides a means for exchanging data with host computer system 120. Universal Serial Bus (USB) is one of the most common means of connecting data security system 100 to host computer system 120. Other examples of external communication channels 102 include Firewire, Wireless USB, Serial ATA (SATA), High Definition Multimedia Interface (HDMI), and Recommended Standard 232 ( RS-232) and radio frequency wireless networks.

인터페이스 컨트롤러(108)는 USB 패킷 데이터를 USB 플래시 드라이브의 저장 매체(112)에 기입될 수 있는 데이터로 변환할 수 있다.The interface controller 108 may convert the USB packet data into data that can be written to the storage medium 112 of the USB flash drive.

암호화 엔진(110)은 인터페이스 컨트롤러(108)의 일부로서 구현되고 호스트 컴퓨터 시스템(120)으로부터 클리어 텍스트(clear text) 및/또는 데이터(정보)를 받고 이를 MSD 또는 저장 매체(112)에 기입되는 암호화된 형태로 변환한다. 암호화 엔진(110)은 또한 저장 매체(112)로부터의 암호화된 정보를 변환하고 이를 해독하여 호스트 컴퓨터 시스템(120)에 대한 정보를 클리어한다. 암호화 엔진(110)은 또한 통신 프로토콜, 메모리 및 다른 동작 조건들을 관리하는 것과 함께 즉석에서 데이터를 암호화/해독하는 암호화 역량을 갖는 암호화 컨트롤러 및 통신, 암호화 키 관리 및 암호화 컨트롤러와의 통신을 처리하기 위한 통신/보안 컨트롤러를 구비하는 두 개의 컨트롤러 서브시스템일 수 있다.The encryption engine 110 is implemented as part of the interface controller 108 and receives encryption from clear text and / or data (information) from the host computer system 120 and writes it to the MSD or storage medium 112. To converted form. The encryption engine 110 also converts and decrypts the encrypted information from the storage medium 112 to clear the information about the host computer system 120. Cryptographic engine 110 also manages communication protocols, memory and other operating conditions, along with cryptographic controllers and communications with encryption capabilities to encrypt / decrypt data on the fly, for processing communications with encryption key management and cryptographic controllers. It can be two controller subsystems with communication / security controllers.

암호화 키(116)는 암호화 엔진(110)에 의해 정보를 암호화/해독하는데 요구된다. 암호화 키(116)는 암호화 알고리즘에 의해 데이터를 각각 암호화/해독하여 데이터를 판독 불가능하거나 판독 가능하게 하는 알고리즘(예를 들어, 256 비트 고급 암호 표준(Advanced Encryption Standard)(AES) 암호화)에 사용된다. 암호화 키(116)는 인증 컨트롤러(114)에 내부적으로 또는 외부적으로 저장될 수 있다.The encryption key 116 is required by the encryption engine 110 to encrypt / decrypt the information. The encryption key 116 is used for an algorithm (e.g., 256 bit Advanced Encryption Standard (AES) encryption) that encrypts / decrypts the data by an encryption algorithm, thereby making the data unreadable or readable. . The encryption key 116 may be stored internally or externally in the authentication controller 114.

암호화 키(116)는 식별 번호 또는 키를 갖는 사용자(122)가 인증 키(118)에 대해 검증되면 인증 서브시스템(104)에 의해 암호화 엔진(110)에 전송된다.The encryption key 116 is sent by the authentication subsystem 104 to the encryption engine 110 once the user 122 with the identification number or key is verified against the authentication key 118.

인증 키(118) 및 암호화 키(116)의 사용에 의해, 본 발명의 다양한 실시예들의 휴대용 메모리 저장 디바이스들은 이전에 그러한 디바이스들에서 이용 가능하지 않았던 매우 높은 수준의 보안을 제공할 수 있다는 것이 밝혀졌다.By using the authentication key 118 and encryption key 116, it has been found that the portable memory storage devices of various embodiments of the present invention can provide a very high level of security that was not previously available in such devices. lost.

데이터 보안 시스템(100)이 잠기면, 인증 키(118)는 인증 서브시스템(104) 내부에 남아 있고 외부로부터 판독될 수 없다. 인증 키(118)를 숨기는 하나의 방법은 인증 서브시스템(104)의 인증 컨트롤러(114)에 이를 저장하는 것이다. 인증 컨트롤러(114)의 보안 퓨즈를 설정하는 것은 일단 사용자(122)가 검증되면 인증 컨트롤러(114)가 검색을 허용하지 않으면 인증 키(118)에 액세스하는 것을 불가능하게 만든다. 많은 마이크로컨트롤러에는 끊어질 때 임의의 내부 메모리에 액세스하지 못하도록 하는 보안 퓨즈가 장착되어 있다. 이것은 공지되고 광범위하게 사용되는 보안 특징이다. 이러한 마이크로컨트롤러는 인증 컨트롤러(114)에 사용될 수 있다. 인증 컨트롤러(114)는 마이크로컨트롤러 또는 마이크로프로세서 일 수 있다.When the data security system 100 is locked, the authentication key 118 remains inside the authentication subsystem 104 and cannot be read from outside. One way to hide the authentication key 118 is to store it in the authentication controller 114 of the authentication subsystem 104. Setting the security fuse of the authentication controller 114 makes it impossible to access the authentication key 118 once the user 122 is verified and the authentication controller 114 does not allow searching. Many microcontrollers are equipped with security fuses that prevent them from accessing any internal memory when they are broken. This is a known and widely used security feature. Such a microcontroller can be used for the authentication controller 114. The authentication controller 114 may be a microcontroller or a microprocessor.

인증 키(118)는 다음의 몇 가지 역량에서와 같이 사용될 수 있다:The authentication key 118 can be used as in several competencies:

1. 정보를 직접 암호화/해독하기 위한 암호화 키(116)로서 사용될 수 있다.1. Can be used as an encryption key 116 to directly encrypt / decrypt information.

2. 인터페이스 컨트롤러(108)에 의해 액세스될 수 있는 데이터 보안 시스템(100)에 저장된 암호화 키(116)를 복구하는 키로서 사용될 수 있다.2. It can be used as a key to recover the encryption key 116 stored in the data security system 100 that can be accessed by the interface controller 108.

3. 외부 통신 채널(102)을 활성화하기 위해 인터페이스 컨트롤러(108)에 의한 직접 비교에 사용될 수 있다.3. Can be used for direct comparison by the interface controller 108 to activate the external communication channel 102.

이제 도 2를 참조하면, 데이터 보안 시스템(100)과 함께 사용되는 인증 키 전달 방법의 도면이 도시된다. 이 도면에서, 인증 키(118)와 암호화 키(116)는 하나이고 동일하다. 암호화 엔진(110)은 인증 키(118)를 암호화 키(116)로 사용한다.Referring now to FIG. 2, shown is a diagram of an authentication key delivery method for use with the data security system 100. In this figure, the authentication key 118 and the encryption key 116 are one and the same. The encryption engine 110 uses the authentication key 118 as the encryption key 116.

사용자(122)는 사용자 식별(202), 번호 또는 키를 인증 서브시스템(104)에 제공함으로써 인증 서브시스템(104)과 상호 작용하여야 한다. 인증 서브시스템(104)은 사용자(122)를 인증 키(118)에 대해 인증한다. 인증 서브시스템(104)는 인증 키(118)를 암호화 키(116)로서 인터페이스 컨트롤러(108)에 전송한다.The user 122 must interact with the authentication subsystem 104 by providing the user identification 202, number or key to the authentication subsystem 104. Authentication subsystem 104 authenticates user 122 against authentication key 118. Authentication subsystem 104 sends authentication key 118 to interface controller 108 as encryption key 116.

인터페이스 컨트롤러(108) 내의 암호화 엔진(110)은 인증 키(118)를 사용하여 채널(206)을 따라 클리어 정보를 암호화된 정보로, 암호화된 정보를 클리어 정보로 변환한다. 암호화 키(116) 없이 저장 매체(112)로부터 암호화된 정보를 판독하려는 임의의 시도는 일반적으로 어떤 컴퓨터에 의해서도 사용할 수 없는 정보를 만들어 내는 결과를 가져온다.The encryption engine 110 in the interface controller 108 converts the clear information into encrypted information and the encrypted information into clear information along the channel 206 using the authentication key 118. Any attempt to read encrypted information from storage medium 112 without encryption key 116 will result in information that is generally not available to any computer.

이제 도 3을 참조하면, 사용자(122)가 데이터 보안 시스템(300)과 상호 작용하는 상이한 시스템들의 도면이 도시된다. 상호 작용은 셀 폰, 스마트폰, 스마트 시계, 착용 가능한 가전 기기 또는 기타 무선 디바이스로부터의 물리적 접촉, 유선 연결 또는 무선 연결에 의한 것일 수 있는 통신 조합(301)에 의한 것일 수 있다.Referring now to FIG. 3, there is shown a diagram of different systems in which user 122 interacts with data security system 300. The interaction may be by communication combination 301, which may be by physical contact, wired connection or wireless connection from a cell phone, smartphone, smart watch, wearable consumer electronics or other wireless device.

하나의 인증 시스템에서, 모바일 송수신기(302)는 사용자 식별(304)을 인증 서브시스템(310)의 데이터 보안 송수신기(306)에 전송하는데 이용된다. 예시적인 목적을 위해, 송수신기들은 양방향 통신 유연성을 위해 이용되지만 단방향 통신을 위한 전송기-수신기 조합도 또한 사용될 수 있다. 인증 서브시스템(310)은 저장 서브시스템(106)의 인터페이스 컨트롤러(108)에 연결된 인증 컨트롤러(114)를 포함한다. 사용자 식별(304)은 데이터 보안 시스템(300)의 저장 서브시스템(106) 외부로부터 모바일 송수신기(302)에 의해 인증 서브시스템(310) 내의 데이터 보안 송수신기(306)에 공급된다. 무선 통신은 무선 충실도(Wireless Fidelity)(WiFi), 블루투스(Bluetooth)(BT), 블루투스 스마트(Bluetooth Smart), 근접장 통신(Near Field Communication)(NFC), 위성 위치확인 시스템(Global Positioning System)(GPS), 광학, 셀룰러 통신(예를 들어, 롱텀 에볼루션(Long-Term Evolution)(LTE), 롱텀 에볼루션 어드밴스드(Long-Term Evolution Advanced)(LTE-A)), 코드 분할 다중 연결(Code Division Multiple Access)(CDMA), 광대역 코드 분할 다중 연결(Wideband Code Division Multiple Access)(WCDMA), 범용 이동 통신 시스템(Universal Mobile Telecommunications System)(UMTS), 무선 광대역(Wireless Broadband)(WiBro), 또는 세계 이동 통신 시스템(Global System for Mobile Communications)(GSM) 등)을 포함할 수 있다.In one authentication system, mobile transceiver 302 is used to transmit user identification 304 to data security transceiver 306 of authentication subsystem 310. For illustrative purposes, transceivers are used for bidirectional communication flexibility, but transmitter-receiver combinations for unidirectional communication may also be used. Authentication subsystem 310 includes an authentication controller 114 coupled to interface controller 108 of storage subsystem 106. The user identification 304 is supplied to the data security transceiver 306 in the authentication subsystem 310 by the mobile transceiver 302 from outside the storage subsystem 106 of the data security system 300. Wireless communications include Wireless Fidelity (WiFi), Bluetooth (BT), Bluetooth Smart, Near Field Communication (NFC), and Global Positioning System (GPS). ), Optical, cellular communication (e.g., Long-Term Evolution (LTE), Long-Term Evolution Advanced (LTE-A)), Code Division Multiple Access (CDMA), Wideband Code Division Multiple Access (WCDMA), Universal Mobile Telecommunications System (UMTS), Wireless Broadband (WiBro), or World Mobile Communications System ( Global System for Mobile Communications (GSM), etc.).

인증 서브시스템(310)은 모바일 송수신기(302)로부터 전송된 코드가 인증 키(118)에 대해 인증됨으로써 사용자(122)를 인증 키(118)에 대해 인증한다. 그런 다음 인증 서브시스템(310)은 통신 조합(301)을 통해 인터페이스 컨트롤러(108)에 암호화 키(116)를 전송한다.Authentication subsystem 310 authenticates user 122 against authentication key 118 by having the code sent from mobile transceiver 302 authenticated against authentication key 118. Authentication subsystem 310 then sends encryption key 116 to interface controller 108 via communication combination 301.

그 다음, 암호화 엔진(110)은 암호화 키(116)를 사용하여 채널(206)을 따라 클리어 정보를 암호화된 정보로 변환하고 암호화된 정보를 클리어 정보로 변환한다. 암호화 키(116) 없이 저장 매체(112)로부터 암호화된 정보를 판독하려는 임의의 시도는 일반적으로 호스트 컴퓨터 시스템(120)에 의해 사용 가능하지 않은 정보를 만들어 내는 결과를 가져온다.The encryption engine 110 then uses the encryption key 116 to convert clear information to encrypted information along the channel 206 and to convert the encrypted information to clear information. Any attempt to read encrypted information from storage medium 112 without encryption key 116 generally results in information that is not available by host computer system 120.

선택적인 제2 인증 메커니즘에서, 인증 서브시스템(310)은 사용자(122)가 생체 인식 입력(322)을 제공하는 생체 인식 센서(320)를 사용하여 인가된 사용자로서 자신의 신원을 검증하게 함으로써 인증 키(118)에 대해 사용자(122)를 입증한다. 생체 인식 식별의 유형은 지문, 홍채 스캔, 성문(voice imprint) 등을 포함한다.In an optional second authentication mechanism, authentication subsystem 310 authenticates by allowing user 122 to verify its identity as an authorized user using biometric sensor 320 providing biometric input 322. Prove user 122 against key 118. Types of biometric identification include fingerprints, iris scans, voice imprints, and the like.

선택적인 제3 인증 메커니즘에서, 인증 서브시스템(310)은 사용자(122)가 고유 코드(332)를 제공하는 전기 기계적 입력 메커니즘(330)을 사용하여 인가된 사용자로서 자신의 신원을 검증하게 함으로써 인증 키(118)에 대해 사용자(122)를 입증한다. 고유 코드(332)는 PIN과 같은 숫자, 영숫자 또는 알파벳 코드를 포함할 수 있다. 전기 기계적 입력 메커니즘(330)은 인증 서브시스템(310) 내에 있다. 전기 기계적 입력 메커니즘(330)은 데이터 보안 시스템(300)의 외부로부터 사용자(122)로부터 고유 코드(332)를 수신한다. 고유 코드(332)는 데이터 보안 시스템(300)의 저장 서브시스템(106) 외부로부터 인증 서브시스템(310) 내의 전기 기계적 입력 메커니즘(330)으로 제공된다.In an optional third authentication mechanism, the authentication subsystem 310 authenticates by allowing the user 122 to verify its identity as an authorized user using an electromechanical input mechanism 330 that provides a unique code 332. Prove user 122 against key 118. Unique code 332 may include a numeric, alphanumeric or alphabetic code, such as a PIN. The electromechanical input mechanism 330 is in the authentication subsystem 310. The electromechanical input mechanism 330 receives the unique code 332 from the user 122 from outside of the data security system 300. The unique code 332 is provided to the electromechanical input mechanism 330 in the authentication subsystem 310 from outside the storage subsystem 106 of the data security system 300.

어느 방법이 사용자(122)를 입증하는데 사용되든 인증 키(118) 및 암호화 키(116)는 사용자(122)가 인증될 때까지 숨겨진 채로 남아있다.Whichever method is used to verify user 122, authentication key 118 and encryption key 116 remain hidden until user 122 is authenticated.

이제 도 4를 참조하면, 사용자(122)가 호스트 컴퓨터 시스템(120)을 이용하여 데이터 보안 시스템(400)과 어떻게 상호 작용할 수 있는지의 도면을 도시한다.Referring now to FIG. 4, shown is a diagram of how user 122 can interact with data security system 400 using host computer system 120.

호스트 컴퓨터 시스템(120)에는 호스트 애플리케이션(402)이 제공된다. 호스트 애플리케이션(402)은 데이터 보안 시스템(400)의 외부 통신 채널(102)을 통해 통신하는 소프트웨어 또는 펌웨어이다.The host computer system 120 is provided with a host application 402. The host application 402 is software or firmware that communicates via an external communication channel 102 of the data security system 400.

호스트 애플리케이션(402)은 그의 환경과 연관된 내부 구성요소 일련 번호들(예를 들어, 하드 드라이브), 네트워크 카드의 미디어 접근 제어(Media Access Control)(MAC) 어드레스, 사용자의 로그인 이름, 네트워크 인터넷 프로토콜(network Internet Protocol)(IP) 어드레스, 데이터 보안 시스템에 의해 생성되고 호스트에 저장된 ID, 데이터 보안 시스템에 의해 생성되고 네트워크에 저장된 ID 등과 같은 호스트 식별자(406)를 전달한다. 호스트 식별자(406)는 데이터 보안 시스템(400)의 인증 서브시스템(408)에 의해 사용된다.The host application 402 may include internal component serial numbers (eg, hard drives) associated with its environment, media access control (MAC) addresses of network cards, login names of users, network internet protocols ( a host identifier 406 such as a network Internet Protocol (IP) address, an ID generated by the data security system and stored in the host, an ID generated by the data security system and stored in the network, and the like. The host identifier 406 is used by the authentication subsystem 408 of the data security system 400.

인증 서브시스템(408)이 호스트 식별자(406)를 검증함으로써 인증 키(118)에 대해 사용자(122)를 입증할 때, 데이터 보안 시스템(400)은 잠금해제될 것이다.When the authentication subsystem 408 verifies the user 122 against the authentication key 118 by verifying the host identifier 406, the data security system 400 will be unlocked.

예를 들어, 사용자(122)는 호스트 컴퓨터 시스템(120)에 잠겨 있는 데이터 보안 시스템(400)에 연결한다. 호스트 애플리케이션(402)은 그 네트워크 카드의 MAC 어드레스를 데이터 보안 시스템(400)에 전송한다. 데이터 보안 시스템(400)은 이 MAC 어드레스를 합법적인 것으로 인식하고 도 1의 사용자(122)가 사용자 식별을 입력하게 하지 않고도 잠금해제한다. 이것은 사용자(122)와 어떠한 상호 작용도 필요로 하지 않는 구현 예이다. 이 경우, 입증되는 것은 호스트 컴퓨터 시스템(120) 및 그 관련 환경이다.For example, user 122 connects to data security system 400 that is locked to host computer system 120. The host application 402 sends the network card's MAC address to the data security system 400. Data security system 400 recognizes this MAC address as legitimate and unlocks without requiring user 122 of FIG. 1 to enter a user identification. This is an implementation that does not require any interaction with user 122. In this case, what is proven is the host computer system 120 and its associated environment.

데이터 보안 시스템(400)은: 인증 서브시스템(104)에 저장되는 인증 키(118)를 제공하는 것; 인증 서브시스템(104)에 의한 호스트 컴퓨터 시스템(120)의 검증을 제공하는 것; 인증 서브시스템(104)에 의해 저장 서브시스템(106)에 암호화 키(116)를 제공하는 것; 및 저장 매체 콘텐츠를 해독함으로써 저장 서브시스템(106)에 의한 저장 매체(112)로의 액세스를 제공하는 것을 포함한다.Data security system 400 includes: providing an authentication key 118 stored in authentication subsystem 104; Providing verification of the host computer system 120 by the authentication subsystem 104; Providing encryption key 116 to storage subsystem 106 by authentication subsystem 104; And providing access to the storage medium 112 by the storage subsystem 106 by decrypting the storage medium content.

데이터 보안 시스템은 생체 인식 입력의 해석 및 사용자(122)의 검증을 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an authentication subsystem 104 for interpretation of biometric input and verification of the user 122.

데이터 보안 시스템은 인증 키(118)를 암호화 키(116)로서 직접 사용하는 것을 더 포함한다.The data security system further includes using the authentication key 118 directly as the encryption key 116.

데이터 보안 시스템은 인증 키(118)를 사용하여 내부 콘텐츠를 해독하는데 사용되는 암호화 키(116)를 해독하고 검색하는 것을 더 포함한다.The data security system further includes decrypting and retrieving the encryption key 116 used to decrypt the internal content using the authentication key 118.

데이터 보안 시스템은 신호 입력의 해석 및 전송 유닛의 검증을 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an authentication subsystem 104 for interpretation of the signal input and for verification of the transmission unit.

데이터 보안 시스템은 수동으로 입력된 입력의 해석 및 사용자(122)의 검증을 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an authentication subsystem 104 for the interpretation of manually entered inputs and for verification of the user 122.

데이터 보안 시스템은 호스트 컴퓨터 시스템(120)의 검증을 위해 호스트 상주 소프트웨어 애플리케이션에 의해 전송된 입력을 해석하기 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an authentication subsystem 104 for interpreting input sent by the host resident software application for verification of the host computer system 120.

데이터 보안 시스템은 인터페이스 컨트롤러(108) 외부에 있지만 데이터 보안 시스템(100)을 잠금해제하기 위해 클리어 데이터를 암호화된 데이터로 변환하려는 목적을 위해 외부 통신 채널(102)에 연결된 암호화 엔진(110)을 더 포함한다.The data security system is external to the interface controller 108 but further includes an encryption engine 110 connected to an external communication channel 102 for the purpose of converting clear data into encrypted data to unlock the data security system 100. Include.

이제 도 5를 참조하면, 데이터 보안 시스템(100)에 사용자 검증을 이용하는 데이터 보안 방법(500)이 도시된다. 데이터 보안 방법(500)은 블록(502)에서 사용자를 인증 키에 대해 검증하는 단계; 블록(504)에서 인증 키를 이용하여 암호화 키를 검색하기 위한 단계; 및 블록(506)에서 인증 키를 이용하여 호스트 컴퓨터 시스템과 저장 매체 사이에서 저장 서브시스템을 통해 암호화되지 않은 통신을 가능하게 하는 단계를 포함한다.Referring now to FIG. 5, a data security method 500 using user verification in the data security system 100 is shown. The data security method 500 includes verifying the user against an authentication key at block 502; Retrieving the encryption key using the authentication key at block 504; And enabling an unencrypted communication over the storage subsystem between the host computer system and the storage medium using the authentication key at block 506.

이제 도 6을 참조하면, 예시적인 데이터 보안 통신 시스템(600)이 도시된다. 예시적인 데이터 보안 통신 시스템(600)은 모바일 디바이스(610), 데이터 보안 시스템(620), 호스트 컴퓨터(630) 및 서버/콘솔(640)을 포함한다. 모바일 디바이스(610) 및 서버/콘솔(640)은 인터넷 클라우드일 수 있는 클라우드(650)를 통해 유선 또는 무선 연결에 의해 연결된다. 모바일 디바이스(610)와 데이터 보안 시스템(620)은 통신 조합(301)에 의해 연결된다.Referring now to FIG. 6, an exemplary data secure communication system 600 is shown. Exemplary data secure communication system 600 includes mobile device 610, data security system 620, host computer 630, and server / console 640. Mobile device 610 and server / console 640 are connected by a wired or wireless connection via cloud 650, which may be an internet cloud. Mobile device 610 and data security system 620 are connected by communication combination 301.

예시적인 데이터 보안 통신 시스템(600)의 통신 조합(301)은 데이터 보안 시스템(620)에서 데이터 보안 송수신기(624)의 안테나(622)와 무선 통신하는 안테나(614)를 갖는 모바일 디바이스(610)의 모바일 송수신기(612)를 포함한다. The communication combination 301 of the example data security communication system 600 may include a mobile device 610 having an antenna 614 in wireless communication with the antenna 622 of the data security transceiver 624 in the data security system 620. Mobile transceiver 612.

일 실시예에서 모바일 디바이스(610)는 스마트폰일 수 있다. 모바일 디바이스(610)에서, 모바일 송수신기(612)는 통상의 모바일 디바이스 구성요소들 및 데이터 보안 시스템 애플리케이션(618)에 연결될 수 있고, 데이터 보안 시스템 애플리케이션은 데이터 보안 시스템(620)과 함께 사용될 정보를 제공한다.In one embodiment, the mobile device 610 may be a smartphone. In mobile device 610, mobile transceiver 612 may be coupled to conventional mobile device components and data security system application 618, where the data security system application provides information to be used with data security system 620. do.

데이터 보안 송수신기(624)는 식별, 패스워드들, 프로파일들, 또는 데이터 보안 시스템(620)에 액세스할 수 있는 상이한 모바일 디바이스들의 정보를 포함하는 정보를 포함할 수 있는 보안 컨트롤러(626)에 연결된다. 보안 컨트롤러(626)는 인증 서브시스템(310), (일부 실시예에서는 데이터를 암호화하는 암호화를 가질 수 있는) 저장 서브시스템(106) 및 외부 통신 채널(102)과 유사한 서브시스템들에 연결된다.The data security transceiver 624 is coupled to a security controller 626 that can include information including identification, passwords, profiles, or information of different mobile devices that can access the data security system 620. Security controller 626 is coupled to authentication subsystem 310, a storage subsystem 106 (which may in some embodiments have encryption to encrypt data), and similar subsystems to external communication channel 102.

외부 통신 채널(102)은 특정 상황들 하에서 저장 서브시스템(106) 내의 데이터에 액세스할 수 있게 하는 호스트 컴퓨터(630)에 연결 가능하다.The external communication channel 102 is connectable to the host computer 630 which allows access to data in the storage subsystem 106 under certain circumstances.

데이터 보안 시스템(620)의 하나의 구현예는 스마트폰과 같은 모바일 디바이스(610)로의 무선 링크만을 갖는 도 3의 생체 인식 센서(320) 및 전기 기계적 입력 메커니즘(330)을 없앨 수 있다. 이러한 구현예는 데이터 보안 시스템(620)을 보다 안전하고 유용하게 만들어 준다는 것을 알게 되었다.One implementation of the data security system 620 may eliminate the biometric sensor 320 and electromechanical input mechanism 330 of FIG. 3 having only a wireless link to a mobile device 610, such as a smartphone. This implementation has been found to make the data security system 620 safer and more useful.

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 모바일 디바이스(610) 부근의 모든 데이터 보안 시스템을 발견하고 그들의 상태(잠금/잠금해제/공백, 짝을 이룬/짝을 이루지 않은 상태 등)를 보여줄 수 있게 한다.The data security system application 618 allows the mobile device 610 to discover all data security systems in the vicinity of the mobile device 610 and to determine their status (locked / unlocked / blank, paired / unpaired, etc.). Enable to show

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 데이터 보안 시스템(620)상의 모든 데이터를 연결하고/짝을 이루고, 잠그고, 잠금해제하고, 이름 및 패스워드를 변경하고, 리셋할 수 있게 한다.The data security system application 618 allows the mobile device 610 to connect / pair, lock, unlock, change name and password, and reset all data on the data security system 620.

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 비활동 자동 잠금(inactivity auto-lock)을 설정하여 데이터 보안 시스템(620)이 미리 결정된 비활성 기간 이후 자동으로 잠기게 할 것이거나, 근접 정도 자동 잠금(proximity auto-lock)을 설정하여 모바일 디바이스(610)가 (신뢰도를 개선하고 신호 디바운싱(de-bouncing)을 방지하기 위해) 미리 결정된 기간 동안 미리 결정된 근접 정도 내에 있지 않을 때 데이터 보안 시스템(620)이 잠기게 할 것이다.The data security system application 618 may cause the mobile device 610 to set an inactivity auto-lock so that the data security system 620 automatically locks after a predetermined period of inactivity, or close proximity automatically. Set a security auto-lock so that the mobile device 610 is not within a predetermined proximity for a predetermined period of time (to improve reliability and prevent signal de-bouncing). 620 will lock.

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 패스워드를 기억하고, 터치 ID(TouchID) 및 애플 워치(Apple Watch) (터치 ID 및 애플 워치 둘 모두가 단지 예시로서 본 명세서에서 언급되지만, 유사한 모드에서 사용될 수 있는 생체 인식 센서들 및 웨어러블들을 갖는 많은 다른 모바일 디바이스가 존재할 수 있음)를 사용할 수 있게 하며, 그래서 데이터 보안 시스템(620)은 모바일 디바이스 상에 패스워드를 재 입력하지 않고 잠금해제될 수 있다The data security system application 618 allows the mobile device 610 to store a password, and similarly, although Touch ID and Touch Watch (both Touch ID and Apple Watch are mentioned herein as examples only). And many other mobile devices with biometric sensors and wearables that can be used in the same mode) can be used, so that the data security system 620 can be unlocked without re-entering a password on the mobile device. have

데이터 보안 시스템 애플리케이션(618)은 설정되는 모바일 디바이스(610)가 모바일 디바이스(610)와 같은 특정 모바일 디바이스와 단지 함께로만 동작할 수 있게 하며, 그래서 데이터 보안 시스템(620)은 다른 모바일 디바이스들(1Phone)로 잠금해제될 수 없다.The data security system application 618 allows the mobile device 610 to be set up to operate only in conjunction with a particular mobile device, such as the mobile device 610, so that the data security system 620 can be used to match other mobile devices (1Phone). Cannot be unlocked with).

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 데이터 보안 시스템(620)을 읽기 전용으로 설정할 수 있게 한다The data security system application 618 allows the mobile device 610 to make the data security system 620 read only.

데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 사용자 모드 또는 관리자 모드(관리자 모드는 사용자의 설정들 보다 우선함)에서 동작할 수 있고 서버/콘솔(640)을 사용할 수 있게 한다. 서버/콘솔(640)은 컴퓨터에 정보를 입력하기 위한 콘솔과 컴퓨터의 조합이다.Data security system application 618 allows mobile device 610 to operate in user mode or administrator mode (administrator mode overrides user's settings) and use server / console 640. Server / console 640 is a combination of a console and a computer for entering information into the computer.

서버/콘솔(640)은 모바일 디바이스(610)에 부가적인 기능성을 제공하기 위해 클라우드(650)를 통해 모바일 디바이스(610)에 전송될 수 있는 부가적인 정보를 포함하는 사용자 관리 데이터베이스(642)를 포함한다.Server / console 640 includes a user management database 642 that includes additional information that may be sent to mobile device 610 via cloud 650 to provide additional functionality to mobile device 610. do.

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 사용자 ID(사용자 이름 및 패스워드)를 사용하는 사용자들을 생성 및 식별할 수 있게 하고, 데이터 보안 시스템(620)을 차단/잠금해제할 수 있게 하며 원격 도움을 제공할 수 있게 한다.User management database 642 allows server / console 640 to create and identify users using user IDs (usernames and passwords), and to block / unlock data security system 620 Allows you to provide remote help.

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 데이터 보안 시스템(620)을 원격으로 리셋하거나 잠금해제할 수 있게 한다.User management database 642 allows server / console 640 to remotely reset or unlock data security system 620.

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 데이터 보안 시스템 사용자의 PIN을 원격으로 변경할 수 있게 한다.The user management database 642 allows the server / console 640 to remotely change the PIN of the data security system user.

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 (가상 울타리(geo-fencing)를 사용하여) 특정 위치들로부터 데이터 보안 시스템(620)을 제한/잠금해제할 수 있게 한다.The user management database 642 allows the server / console 640 to restrict / unlock the data security system 620 from certain locations (using geo-fencing).

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 지정된 기간 및 상이한 시간대들에서 데이터 보안 시스템(620)을 제한/잠금해제할 수 있게 한다.The user management database 642 allows the server / console 640 to limit / unlock the data security system 620 at specified time periods and at different time zones.

사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 지정된 팀/조직/네트워크 등의 외부에서 데이터 보안 시스템(620)을 잠금해제하는 것을 제한할 수 있게 한다.The user management database 642 allows the server / console 640 to restrict unlocking the data security system 620 outside of designated teams / organizations / networks, and the like.

이제 도 7을 참조하면, 모바일 디바이스(610)와 데이터 보안 시스템(620) 사이의 동작들의 시퀀스를 도시하는 관리자 시퀀싱 다이어그램이 도시된다.Referring now to FIG. 7, shown is a manager sequencing diagram illustrating a sequence of operations between mobile device 610 and data security system 620.

데이터 보안 시스템(620)과 모바일 디바이스(610) 사이의 연결성(700)은 다른 디바이스 또는 시스템의 상호 발견, 디바이스와 시스템의 짝짓기(pairing), 및 디바이스와 시스템의 연결로 먼저 확립된다. 연결성(700)은 공유된 비밀을 사용하여 보안되며, 그런 다음 공유된 비밀은 모든 향후의 통신 세션들에 대해 데이터 보안 시스템(620)과 모바일 디바이스(610) 사이의 통신들을 보안(암호화)하는데 사용된다. 표준 암호화 알고리즘은 데이터 보안 시스템(620) 상에서 실행되고 전세계 보안 표준들에 의해 승인되는데 둘 모두가 효율적이 되도록 선택된다.The connectivity 700 between the data security system 620 and the mobile device 610 is first established by mutual discovery of another device or system, pairing of the device and the system, and connection of the device and the system. Connectivity 700 is secured using a shared secret, which is then used to secure (encrypt) communications between data security system 620 and mobile device 610 for all future communication sessions. do. Standard encryption algorithms are executed on the data security system 620 and approved by global security standards, both of which are selected to be efficient.

연결성(700)은 데이터 보안 시스템 애플리케이션(618) 또는 보안 컨트롤러(628)에 의해, 또는 데이터 보안 시스템(620) 및 모바일 디바이스(610)가 서로 미리 결정된 거리 내에 있는 한 함께 동작하는 둘 모두에 의해 유지된다. 또한, 미리 결정된 거리가 초과되면, 연결성(700)은 데이터 보안 시스템(620)이 잠긴 다음 미리 결정된 기간 동안 유지된다.Connectivity 700 is maintained by data security system application 618 or security controller 628 or by both working together as long as data security system 620 and mobile device 610 are within a predetermined distance from each other. do. In addition, if the predetermined distance is exceeded, the connectivity 700 is maintained for a predetermined period of time after the data security system 620 is locked.

모바일 디바이스(610)와 데이터 보안 시스템(620)의 연결 후, 모바일 디바이스(610)에서 데이터 보안 시스템 관리자 애플리케이션 시작(data security system administrator application start) 동작(702)이 발생한다. 그 다음에 관리자는 관리자 패스워드(administrator password) 동작(704)에서 패스워드를 설정한다. 또한, 모바일 디바이스(610)와 데이터 보안 시스템(620)의 연결 후, 데이터 보안 시스템 연결, 전력 공급 및 발견 가능(data security system connected, powered and discoverable) 동작(706)에서, 데이터 보안 시스템(620)은 도 6의 호스트 컴퓨터(630)에 연결되어 호스트 컴퓨터(630)에 의해 전력을 공급 받아 발견 가능하게 된다.After connecting the mobile device 610 and the data security system 620, a data security system administrator application start operation 702 occurs in the mobile device 610. The administrator then sets a password in administrator password operation 704. Further, after connection of the mobile device 610 and the data security system 620, in a data security system connected, powered and discoverable operation 706, the data security system 620. Is connected to the host computer 630 of FIG. 6 and powered by the host computer 630 to be found.

관리자 패스워드 동작(704) 이후, 모바일 디바이스(610)는 관리자 패스워드 및 잠금해제 설정(set administrator password and unlock) 신호(708)를 데이터 보안 시스템(620)에 전송한다. 관리자 패스워드 및 잠금해제 설정 신호(708)는 관리자 패스워드 설정 및 데이터 보안 시스템 잠금해제(administrator password set and data security system unlocked) 동작(716)이 데이터 보안 시스템(620)에서 발생하게 한다.After administrator password operation 704, mobile device 610 transmits a set administrator password and unlock signal 708 to data security system 620. The administrator password and unlock setting signal 708 causes an administrator password set and data security system unlocked operation 716 to occur in the data security system 620.

관리자 패스워드 설정 및 데이터 보안 시스템 잠금해제 동작(716)이 완료될 때, 확인: 데이터 보안 시스템 잠금해제(confirmation: data security system unlocked) 신호(712)가 모바일 디바이스(610)로 전송되며, 모바일 디바이스에서 확인: 관리자로서 데이터 보안 시스템 잠금해제(confirmation: data security system unlocked as administrator operation) 동작(714)이 동작한다. 확인: 관리자로서 데이터 보안 시스템 잠금해제 동작(714)은 다른 제한들 설정(set other restrictions) 동작(716)이 모바일 디바이스(610)를 사용하여 수행되게 한다. 다른 제한들 설정 동작(716)은 관리자 제한들 설정(set administrator restrictions) 신호(718)가 데이터 보안 시스템(620)에 전송되게 하고, 데이터 보안 시스템에서 확인: 제한들 설정(confirmation: restrictions set) 신호(720)가 모바일 디바이스(610)로 반송된다. 이 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전하게 가동 준비된 상태에 있다.When the administrator password setting and data security system unlocking operation 716 is completed, a confirmation: data security system unlocked signal 712 is sent to the mobile device 610, where Confirmation: A data security system unlocked as administrator operation (714) operation 714 operates. Confirmation: As administrator, the data security system unlocking operation 714 causes a set other restrictions operation 716 to be performed using the mobile device 610. Another set of restrictions operation 716 causes a set administrator restrictions signal 718 to be sent to the data security system 620 and a confirmation: restrictions set signal at the data security system. 720 is returned to mobile device 610. Thereafter, the mobile device 610 and the data security system 620 are in a state where communication is completely ready for operation.

데이터 보안 시스템(620)과 물리적인 접촉 없이 데이터 보안 시스템(620)과 통신하는 것이 가능하기 때문에, 데이터 보안 시스템(620)과의 중요한 상호 작용은 데이터 보안 시스템(620) 자체에 인쇄된 또는 데이터 보안 시스템(620) 패키징과 함께 제공되고 데이터 보안 시스템(620) 소유자가 용이하게 이용할 수 있는 데이터 보안 시스템 고유 식별자를 동반하는 것이 요구된다.Since it is possible to communicate with the data security system 620 without physical contact with the data security system 620, important interactions with the data security system 620 are printed on the data security system 620 itself or data security. It is required to be accompanied by a data security system unique identifier provided with the system 620 packaging and readily available to the data security system 620 owner.

데이터 보안 시스템(620)을 잠금해제하는 것 또는 리셋하는 것과 같은 사용자 데이터에 영향을 줄 수 있는 요청을 할 때, 이러한 고유 식별자(고유 ID)가 요구된다. 정확한 식별자 없이 이러한 동작들을 수행하려는 시도들은 무시되며 해가 되지 않게 만들어진다. 고유 식별자는 사용자에게 데이터 보안 시스템(620)에 대한 물리적인 제어 권한을 가질 것을 요구하고 그리고 연결성(700)이 모바일 디바이스(610) 및 데이터 보안 시스템(620)과 같이 이전에 짝을 이룬 인가된 디바이스 및 시스템 사이에 확립된 것을 검증할 것을 요구하는 방식으로 데이터 보안 시스템(620)을 모바일 디바이스(610)에 식별시키는데 사용된다. 일단 디바이스가 짝지어지면, 공유된 비밀은 통신 기밀을 만드는데 사용된다.This unique identifier (unique ID) is required when making a request that may affect user data, such as unlocking or resetting the data security system 620. Attempts to perform these operations without an exact identifier are ignored and made harmless. The unique identifier requires the user to have physical control over the data security system 620 and an authorized device whose connectivity 700 is previously paired, such as the mobile device 610 and the data security system 620. And identify the data security system 620 to the mobile device 610 in a manner that requires verification of what is established between the systems. Once the devices are paired, the shared secret is used to create a communication secret.

짝 짓는 것은 모바일 디바이스와 데이터 보안 시스템이 과거의 어떤 시점에서 확립되어 지속되는 고유하고 정해진 관계를 갖는다는 것을 내포한다.Pairing implies that mobile devices and data security systems have unique and established relationships that are established and persisted at some point in the past.

고유 식별자는 사용자가 데이터 보안 시스템의 물리적 제어 권한을 가질 때 사용자에게 데이터 보안 시스템에 대한 일부 제어 권한을 부여하게 한다.The unique identifier allows the user to grant some control over the data security system when the user has physical control over the data security system.

모바일 디바이스(610)가 스마트폰인 경우 데이터 보안 시스템(620)과의 통신의 보안을 증가시키기 위해, 사용자는 본 명세서에서 1Phone이라고 불리는 특징과 같은 특징을 활성화하도록 선택할 수 있다. 이러한 특징은 데이터 보안 시스템(620)과의 중요한 사용자 상호 작용을 오직 유일한 하나의 모바일 디바이스(610)로 제한한다. 이것은 데이터 보안 시스템(620)과 모바일 디바이스(610) 사이에서 안전하게 공유되는 랜덤 식별자로 전술한 데이터 보안 시스템 고유 식별자를 대체함으로써 이루어진다. 따라서, 예를 들어 사용자가 데이터 보안 시스템(620)을 잠금해제할 때, 데이터 보안 시스템 고유 식별자를 제시하는 대신, 1Phone 식별자가 대신 주어져야 한다. 실제로, 이것은 PIN 또는 패스워드 이외에, 사용자의 모바일 디바이스(610)를 데이터 보안 시스템(620)을 사용하기 위한 제2 인증 인자로 만들어 준다. 예로서, "1Phone"으로서 선택된 짝지어진 사용자 전화기는 PIN없이, 그리고 사용자 인증 단일 인자로서 및/또는 임의의 다른 사용자 인증 인자들과 조합하여 사용될 수 있다. 이러한 특징(1Phone)이 선택되면, 데이터 보안 시스템(620)은 관리자의 잠금해제가 이전에 활성화되었던 경우를 제외하고, 임의의 다른 전화기들을 가지고는 열릴 수 없다.To increase the security of communication with the data security system 620 when the mobile device 610 is a smartphone, the user may choose to activate a feature, such as a feature called 1Phone herein. This feature limits critical user interaction with the data security system 620 to only one mobile device 610. This is accomplished by replacing the aforementioned data security system unique identifier with a random identifier that is securely shared between the data security system 620 and the mobile device 610. Thus, for example, when a user unlocks the data security system 620, instead of presenting the data security system unique identifier, a 1Phone identifier should be given instead. In practice, this makes the user's mobile device 610 a second authentication factor for using the data security system 620, in addition to a PIN or password. As an example, a paired user telephone selected as "1Phone" may be used without a PIN and as a user authentication single factor and / or in combination with any other user authentication factors. If this feature (1Phone) is selected, the data security system 620 cannot be opened with any other phones except when the administrator's unlock was previously activated.

1Phone 특징을 사용하기 위해 데이터 보안 시스템(620)에 관리자의 패스워드를 요구하는 다른 실시예들이 만들어 질 수 있음을 이해할 것이다. 다른 실시예는 모바일 디바이스(610) 상에서 1Phone 데이터가 손실되는 경우에 서버/콘솔(640)이 데이터 보안 시스템(620)을 복구할 수 있는 것을 요구할 수 있다.It will be appreciated that other embodiments may be made that require the administrator's password in the data security system 620 to use the 1Phone feature. Another embodiment may require the server / console 640 to be able to recover the data security system 620 in the event that 1Phone data is lost on the mobile device 610.

사용자는 데이터 보안 시스템(620)에 대한 근접 정도 자동 잠금 특징을 활성화하게 할 수 있다. 통신 세션 동안, 도 6의 데이터 보안 송수신기(624)는 데이터 보안 시스템(620)에 모바일 디바이스(610)의 신호 강도 측정치를 보고한다. 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 데이터 보안 시스템(620)에 발신 신호 전력 레벨 및 근접 정도의 문턱치 둘 모두를 전송한다.The user may be enabled to activate the proximity lock feature for data security system 620. During the communication session, the data security transceiver 624 of FIG. 6 reports the signal strength measurement of the mobile device 610 to the data security system 620. The data security system application 618 on the mobile device 610 sends both an outgoing signal power level and a threshold of proximity to the data security system 620.

신호 강도는 송수신기들 주위의 환경 조건들로 인해 변하기 때문에, 데이터 보안 시스템(620)은 신호 강도 측정치를 수학적으로 평활화하여 긍정 오류(false positive)의 가능성을 줄인다. 데이터 보안 시스템(620)이 수신된 신호 전력이 미리 결정된 기간 동안 정의된 문턱치 아래로 떨어졌음을 검출할 때, 즉시 데이터 보안 시스템(620)을 잠그고 도 6의 저장 서브시스템(106)으로의 액세스를 방지할 것이다.Since signal strength changes due to environmental conditions around the transceivers, the data security system 620 mathematically smoothes the signal strength measurements to reduce the possibility of false positives. When the data security system 620 detects that the received signal power has fallen below a defined threshold for a predetermined period of time, it immediately locks the data security system 620 and prevents access to the storage subsystem 106 of FIG. 6. something to do.

데이터 보안 시스템(620)은 세 가지 상이한 모드: 데이터 보안 시스템(620)의 기능성이 사용자에 의해 결정되는 사용자 모드; 관리자가 관리자 패스워드를 설정하고 데이터 보안 시스템(620)에 대해 몇 가지 제한들(예를 들어, 미리 결정된 비활성 기간 이후 자동 잠금, 읽기 전용, 1Phone)을 강제할 수 있고 제한들이 사용자에 의해 제거될 수 없는 관리자 모드; 및 서버/콘솔(640)이 데이터 보안 시스템(620)을 원격으로 리셋하거나, 사용자 패스워드를 변경하거나 또는 데이터 보안 시스템(620)을 정확히 잠금해제할 수 있는 경우에 관리자 역할이 설정되는 서버 모드에서 사용될 수 있다. The data security system 620 can be divided into three different modes: a user mode in which the functionality of the data security system 620 is determined by the user; The administrator can set an administrator password and enforce some restrictions on the data security system 620 (eg, auto lock, read only, 1Phone after a predetermined period of inactivity) and restrictions can be removed by the user. No admin mode; And in server mode where the administrator role is set when the server / console 640 can remotely reset the data security system 620, change the user password, or correctly unlock the data security system 620. Can be.

이제 도 8을 참조하면, 모바일 디바이스(610)가 인증 인자인 경우의 잠금해제 시퀀스 다이어그램이 도시된다. 이 다이어그램은 특정 모바일 디바이스인 모바일 디바이스(610)로부터 데이터 보안 시스템 애플리케이션(618)에 의해 개시된 데이터 보안 시스템(620)의 자동 잠금해제 프로세스를 도시한다. 사용자는 초기에 데이터 보안 시스템(620)과 짝을 이룬 유일한 하나의 모바일 디바이스만을 사용할 수 있다. 짝을 이룬 모바일 디바이스(610)가 분실되면, (도 7에 도시된 바와 같이 관리자 패스워드가 이전에 설정되어 있지 않는 한) 데이터 보안 시스템(620)은 잠금해제될 수 없다.Referring now to FIG. 8, an unlock sequence diagram is shown where mobile device 610 is an authentication factor. This diagram shows the automatic unlocking process of the data security system 620 initiated by the data security system application 618 from the mobile device 610, which is a particular mobile device. The user may initially use only one mobile device paired with the data security system 620. If the paired mobile device 610 is lost, the data security system 620 cannot be unlocked (unless an administrator password has been previously set as shown in FIG. 7).

도 7과 유사하지만, 데이터 보안 시스템 애플리케이션 시작(data security system application started) 동작(800)은 연결성(700)이 확립된 이후에 발생한다. 모바일 디바이스 ID로 잠금해제 요청(unlock required with mobile device ID) 신호(802)가 데이터 보안 시스템 연결, 전원 공급 및 발견 가능 동작(706) 이후 모바일 디바이스(610)로부터 데이터 보안 시스템(620)으로 전송된다. 데이터 보안 시스템 잠금해제(data security system unlocked) 동작(804)이 발생하고 확인: 데이터 보안 시스템 잠금해제 신호(712)는 데이터 보안 시스템(620)으로부터 전송된다. 확인: 데이터 보안 시스템 잠금해제 (confirmation: data security system unlocked) 동작(806) 이후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전하게 가동 준비된 상태에 있다.Although similar to FIG. 7, a data security system application started operation 800 occurs after connectivity 700 is established. An unlock required with mobile device ID signal 802 is sent from the mobile device 610 to the data security system 620 after the data security system connection, power up, and discoverable operation 706. . A data security system unlocked operation 804 occurs and the confirmation: data security system unlocked signal 712 is transmitted from the data security system 620. Confirmation: data security system unlocked After operation 806, the mobile device 610 and data security system 620 are in a state where communication is fully ready for operation.

PIN(Personal Identification Number)(개인 식별 번호)이 설정되지 않았으면, 짝을 이룬 모바일 디바이스는 1-인증 인자로서 사용된다.If a Personal Identification Number (PIN) is not set, then the paired mobile device is used as a 1-authentication factor.

이제 도 9를 참조하면, 모바일 디바이스(610)로부터의 PIN 입력을 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 모바일 디바이스(610)의 데이터 보안 시스템 애플리케이션(618)에 PIN을 입력함으로써 데이터 보안 시스템(620)을 잠금해제하는 프로세스를 도시한다. 데이터 보안 시스템(620)은 정확한 PIN을 입력하지 않고는 잠금해제될 수 없다.Referring now to FIG. 9, an unlock sequencing diagram is shown that illustrates unlocking using a PIN input from mobile device 610. This diagram shows the process of unlocking the data security system 620 by entering a PIN into the data security system application 618 of the mobile device 610. The data security system 620 cannot be unlocked without entering the correct PIN.

도 7 및 도 8과 유사하지만, 데이터 보안 시스템 애플리케이션 시작 동작(800) 이후, 사용자 이름/패스워드 입력(enter username/password) 동작(900)이 발생한다. 사용자 이름/패스워드 입력 동작(900) 이후, 모바일 디바이스(610)는 사용자 ID 검증(verify user ID) 신호(902)를 서버/콘솔(640)에 전송한다. 그런 다음 서버/콘솔(640)은 사용자 이름/패스워드 유효(username/password valid) 결정(904)을 내린다.Although similar to FIGS. 7 and 8, after a data security system application startup operation 800, an enter username / password operation 900 occurs. After the username / password entry operation 900, the mobile device 610 sends a verify user ID signal 902 to the server / console 640. Server / console 640 then makes a username / password valid decision 904.

사용자 이름/패스워드 유효 결정(904)이 사용자를 검증할 때, 유효 사용자(valid user) 신호(906)가 모바일 디바이스(610)에 전송되어 사용자가 모바일 디바이스(610)의 PIN 입력(enter PIN) 동작(908)에서 정확한 PIN을 입력하도록 한다. 그 다음 모바일 디바이스(610)는 잠금해제 검증(verify unlock) 신호(910)를 전송하여 정확한 PIN이 서버/콘솔(640)에 입력되었는지를 결정한다.When the username / password validity determination 904 verifies the user, a valid user signal 906 is sent to the mobile device 610 so that the user enters the PIN of the mobile device 610. In 908, enter the correct PIN. Mobile device 610 then sends a verify unlock signal 910 to determine if the correct PIN has been entered at server / console 640.

서버/콘솔(640)은 사용자 인가됨(user authorized) 결정(912)을 내리고, 사용자가 PIN이 인가된 데이터 보안 시스템(620)과 같은 특정 데이터 보안 시스템을 사용하도록 인가되었는지를 결정한다. 인가되었다면, 잠금해제 허용(unlock allowed) 신호(914)가 모바일 디바이스(610)로 전송되며, 모바일 디바이스는 잠금해제 요청(unlock request) 신호(916)를 데이터 보안 시스템(620)에 전달한다.Server / console 640 makes a user authorized decision 912 and determines whether the user is authorized to use a particular data security system, such as data security system 620 to which the PIN is authorized. If authorized, an unlock allowed signal 914 is sent to the mobile device 610, which transmits an unlock request signal 916 to the data security system 620.

데이터 보안 시스템 잠금해제 동작(804)이 수행되고, 확인: 데이터 보안 시스템 잠금해제 신호(712)가 모바일 디바이스(610)로 전송되고, 모바일 디바이스에서 확인: 데이터 보안 시스템 잠금해제 동작(806)이 수행된다.A data security system unlock operation 804 is performed, and a confirmation: data security system unlock signal 712 is sent to the mobile device 610, and a confirmation at the mobile device: data security system unlock operation 806 is performed. do.

이제 도 10을 참조하면, 서버/콘솔(640)을 통해 PIN 입력 및 사용자 ID/위치/시간 검증을 사용하는 잠금해제를 도시하는 잠금해제 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 모바일 디바이스(610)로부터 데이터 보안 시스템 애플리케이션(618)에 PIN을 입력하고, 사용자 ID(사용자 이름/패스워드)를 사용하는 서버/콘솔(640) 서버에 인증을 입력함으로써, 그리고 특정 위치 및 특정 시간 범위에서 데이터 보안 시스템(620)을 잠금해제하기 위해 가상 울타리 허용들을 검증함으로써 데이터 보안 시스템(620)을 잠금해제하는 가장 안전한 프로세스를 도시한다. 데이터 보안 시스템(620)은 PIN, 사용자 이름 및 패스워드를 입력하지 않고, 그리고 모바일 디바이스(610)가 특정 (미리 정의된) 위치 및 특정 (미리 정의된) 시간에 존재하지 않고는 잠금해제될 수 없다.Referring now to FIG. 10, an unlock sequencing diagram is shown illustrating unlock using PIN entry and user ID / location / time verification via server / console 640. This diagram shows a user entering a PIN from the mobile device 610 into a data security system application 618, entering authentication into a server / console 640 server using a user ID (username / password), and a specific location and The most secure process for unlocking data security system 620 is shown by verifying virtual fence permissions to unlock data security system 620 in a specific time range. The data security system 620 cannot be unlocked without entering a PIN, username and password, and without the mobile device 610 present at a specific (predefined) location and at a specific (predefined) time. .

도 7 내지 도 9와 유사하지만, 서버/콘솔(640)에서, 잠금해제 지정된 데이터 보안 시스템(unlock specified data security system) 동작(1000)이 수행되어 데이터 보안 시스템(620)과 같은 특정 데이터 보안 시스템이 동작할 원하는 조건들을 설정할 수 있게 한다. 예를 들어, 조건들은 특정 지리적 영역 및/또는 특정 시간 프레임 이내일 수 있다.Although similar to FIGS. 7-9, in server / console 640, an unlock specified data security system operation 1000 is performed such that a particular data security system, such as data security system 620, is performed. Allows you to set desired conditions for operation. For example, the conditions may be within a specific geographic area and / or within a specific time frame.

모바일 디바이스(610)에서, 위치 및/또는 현재 시간 획득(acquire location and/or current time) 동작(1002)에서와 같이 현재 조건 결정이 이루어진다. 이 동작은 모바일 디바이스(610)가 어디에 있는지 그리고 또는 모바일 디바이스(610)가 있는 곳의 현재 시간이 몇 시인지를 결정하기 위해 수행된다. 모바일 디바이스(610) 주변의 다른 현재의 조건들이 또한 결정되고, 잠금해제 검증(verify unlock) 신호(1004)에 의해 서버/콘솔(640)에 전송되며, 서버/콘솔에서 조건 충족(conditions met determination) 결정(1006)이 이루어진다.At mobile device 610, a current condition determination is made as in the location location and / or current time operation 1002. This operation is performed to determine where the mobile device 610 is and what time the current time of where the mobile device 610 is is. Other current conditions around the mobile device 610 are also determined and sent to the server / console 640 by a verify unlock signal 1004 and conditions met determination at the server / console. Decision 1006 is made.

원하는 조건들이 충족될 때, 잠금해제 허용(unlock allowed) 신호(1008)가 PIN 입력 동작(908)이 수행되는 모바일 디바이스(610)에 전송된다. PIN이 입력된 후, 잠금해제 검증(verify unlock) 신호(1010)는 PIN 및 모바일 디바이스(610)에 동작 상 가장 가까운 데이터 보안 시스템(620)의 식별자와 함께 전송된다. 잠금해제 검증 신호(1010)는 서버/콘솔(640)에 의해 수신되고, 데이터 보안 시스템 허용 data security system allowed) 결정(1012)은 인가된 사용자가 지정된 데이터 보안 시스템을 잠금해제하는 것이 허용된다고 결정을 내린다. 서버/콘솔(640)은 이러한 "특정" 사용자가 지정된 데이터 보안 시스템을 사용하도록 인가된 것을 검증한다.When the desired conditions are met, an unlock allowed signal 1008 is sent to the mobile device 610 where the PIN input operation 908 is performed. After the PIN is entered, a verify unlock signal 1010 is sent with the PIN and the identifier of the data security system 620 that is closest in operation to the mobile device 610. The unlock verification signal 1010 is received by the server / console 640 and the data security system allowed decision 1012 determines that an authorized user is allowed to unlock the specified data security system. Get off. Server / console 640 verifies that this "specific" user is authorized to use the specified data security system.

정확한 정보가 제공되었음을 결정한 후, 서버/콘솔(640)은 모바일 디바이스(610)에게 잠금해제 허용(unlock allowed) 신호(914)를 제공할 것이고, 모바일 디바이스는 잠금해제 요청(unlock request) 신호(916)를 제공할 것이다. 잠금해제 요청 신호(916)는 데이터 보안 시스템(620)을 동작하게 한다.After determining that the correct information has been provided, the server / console 640 will provide an unlock allowed signal 914 to the mobile device 610, and the mobile device will unlock the request signal 916. Will provide). The unlock request signal 916 causes the data security system 620 to operate.

이제 도 11을 참조하면, 서버/콘솔(640)을 사용하여 데이터 보안 시스템(620)을 리셋하는 것을 도시하는 리셋 시퀀싱 다이어그램을 도시한다. 이 다이어그램은 서버/콘솔(640)을 통해 데이터 보안 시스템(620)을 원격으로 리셋하는 능력을 도시한다. 데이터 보안 시스템(620)은 단지 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있다. 그러나, (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "리셋" 플래그를 설정함으로써, 모바일 디바이스(610) 상에서 실행되는 데이터 보안 시스템 애플리케이션(618)은 서버/콘솔(640)에게 사용자 관리 데이터베이스(642) 내 임의의 플래그들/미결 요청들에 대해 질의할 것이다. 사용자가 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "리셋" 커맨드를 실행할 것이다. 성공적인 리셋 이후(모든 사용자 데이터 및 자격 인증서들이 없어짐), 서버/콘솔(640)은 리셋 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 특정 데이터 보안 시스템에 연결될 때는 이것이 실행되지 않을 것이다.Referring now to FIG. 11, shown is a reset sequencing diagram illustrating resetting data security system 620 using server / console 640. This diagram shows the ability to remotely reset the data security system 620 via the server / console 640. The data security system 620 can only receive commands via the wireless connection from the mobile device 610 only. However, by setting the "Reset" flag on the server / console 640 for a particular data security system (using S / N), the data security system application 618 running on the mobile device 610 may not be able to access the server / console. The console 640 will be queried for any flags / open requests in the user management database 642. When the user connects to the data security system 620, the data security system application 618 on the mobile device 610 will execute the pending "reset" command. After a successful reset (all user data and credentials are lost), server / console 640 will remove the reset flag, so this will not be executed the next time mobile device 610 connects to a particular data security system. .

도 7 내지 도 10과 유사하지만, 모바일 디바이스(610)는 유효 사용자 신호(906)에 응답하여 임의의 커맨드 대기(any command waiting) 신호(1100)를 서버/콘솔(640)에 전송하여 커맨드 리셋(reset command) 결정(1102)을 내린다. 커맨드 리셋이 존재할 때, 리셋 수행(perform reset) 신호(1104)가 모바일 디바이스(610)에 전송될 수 있다.Similar to FIGS. 7-10, the mobile device 610 transmits any command waiting signal 1100 to the server / console 640 in response to the valid user signal 906 to reset the command (see FIG. 7-10). reset command) decision 1102. When a command reset is present, a perform reset signal 1104 may be sent to the mobile device 610.

모바일 디바이스(610)는 보안 시스템 리셋(reset security system) 신호(1106)를 데이터 보안 시스템(620)에 전송하여 데이터 보안 시스템 리셋(data security system reset) 동작(1108)을 시작시킬 것이다. 데이터 보안 시스템 리셋 동작(1108)이 완료되면, 데이터 보안 시스템(620)은 확인: 데이터 보안 시스템 리셋(confirmation: data security system reset) 신호(1110)를 모바일 디바이스(610)에 전송하여 확인: 데이터 보안 시스템 리셋(confirmation: data security system reset) 동작(1112)을 동작 상태로 설정할 것이다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 리셋된 데이터 보안 시스템(620)과 통신이 완전히 구동 준비된 상태에 있다.Mobile device 610 will send a reset security system signal 1106 to data security system 620 to initiate a data security system reset operation 1108. Upon completion of the data security system reset operation 1108, the data security system 620 sends a confirmation: data security system reset (1110) signal 1110 to the mobile device 610 to confirm: data security. A data security system reset (11) operation 1112 will be set to an operational state. Thereafter, the mobile device 610 and the data security system 620 are in a state where communication with the reset data security system 620 is fully ready to be driven.

이제 도 12를 참조하면, 서버/콘솔(640)을 사용하여 데이터 보안 시스템(620)을 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램을 도시한다. 이 다이어그램은 서버/콘솔(640)을 통해 데이터 보안 시스템(620)을 원격으로 잠금해제할 수 있는 능력을 도시한다. 데이터 보안 시스템(620)은 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있다. 그러나 (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "관리자 잠금해제" 플래그를 설정함으로써, 모바일 디바이스(610) 상에서 실행되는 데이터 보안 시스템 애플리케이션(618)은 임의의 플래그들/미결 요청들에 대해 서버/콘솔(640)에 질의할 것이다. 사용자가 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "관리자 잠금해제" 커맨드를 실행할 것이다. 관리자가 성공적으로 잠금 해제한 후, 사용자의 데이터는 훼손되지 않지만 사용자의 패스워드가 제거된다(데이터 보안 시스템(620)은 사용자에 의해 잠금해제될 수 없다). 서버/콘솔(640)은 데이터 보안 시스템(620)에 대한 리셋 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 데이터 보안 시스템(620)에 연결될 때는 이것이 실행되지 않을 것이다.Referring now to FIG. 12, there is shown an unlock sequencing diagram illustrating unlocking a data security system 620 using a server / console 640. This diagram shows the ability to remotely unlock data security system 620 via server / console 640. The data security system 620 may receive a command over a wireless connection only from the mobile device 610. However, by setting an "Administrator Unlock" flag on the server / console 640 for a particular data security system (using S / N), the data security system application 618 running on the mobile device 610 may be random. Will query the server / console 640 for its flags / open requests. When the user connects to the data security system 620, the data security system application 618 on the mobile device 610 will execute the pending "unlock manager" command. After the administrator successfully unlocks, the user's data is not compromised but the user's password is removed (data security system 620 cannot be unlocked by the user). The server / console 640 will remove the reset flag for the data security system 620, so this will not be executed the next time the mobile device 610 is connected to the data security system 620.

도 7 내지 11과 유사하지만, 임의의 커맨드 대기 신호(1100)를 수신한 후, 서버/콘솔(640)은 관리자의 패스워드로 잠금해제하라는 커맨드가 있을 때 잠금해제(1200)를 수행한다. 관리자의 패스워드로 잠금해제(unlock with an administrator's password) 신호(1202)는 모바일 디바이스(610)로 전송되고, 모바일 디바이스는 관리자의 패스워드로 잠금해제(unlock with administrator's password) 신호(1204)를 데이터 보안 시스템(620)에 제공하여 데이터 보안 시스템 잠금해제 동작(804)을 시작시킨다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전히 구동 준비된 상태에 있다.7-11, but after receiving any command wait signal 1100, the server / console 640 performs unlock 1200 when there is a command to unlock with the administrator's password. An unlock with an administrator's password signal 1202 is transmitted to the mobile device 610, and the mobile device sends an unlock with administrator's password signal 1204 to the data security system. Provide to 620 to initiate a data security system unlock operation 804. Thereafter, the mobile device 610 and data security system 620 are in a state where communication is fully ready to drive.

이제 도 13을 참조하면, 서버/콘솔(640)을 사용하는 사용자의 패스워드 변경 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 데이터 보안 시스템(620)에 대해 사용자의 패스워드를 서버/콘솔(640)을 통해 원격으로 변경하는 능력을 도시한다. (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "사용자의 패스워드 변경" 플래그를 설정함으로써, 데이터 보안 시스템(620)이 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있을지라도, 모바일 디바이스(610) 상에서 실행하는 데이터 보안 시스템 애플리케이션(618)은 임의의 플래그들/미결제 요청들에 대해 서버/콘솔(640)에 질의할 것이다. 사용자가 자신의 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "사용자의 패스워드 변경" 커맨드를 실행할 것이다. 성공적인 잠금해제 및 패스워드 변경 이후, 사용자의 데이터는 훼손되지 않으며, 데이터 보안 시스템(620)은 사용자의 새로운 패스워드로 잠금해제될 수 있다. 서버/콘솔(640)은 이 데이터 보안 시스템(620)에 대한 "사용자의 패스워드 변경" 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 특정 데이터 보안 시스템에 연결될 때는 이것이 실행되지 않을 것이다.Referring now to FIG. 13, a password change sequencing diagram of a user using server / console 640 is shown. This diagram illustrates the ability to remotely change a user's password via server / console 640 for data security system 620. By setting the "Change User's Password" flag on the server / console 640 for a particular data security system (using S / N), the data security system 620 can only establish a wireless connection from the mobile device 610. Although able to receive the command via data security system application 618 running on mobile device 610 will query server / console 640 for any flags / unpaid requests. When the user connects to his data security system 620, the data security system application 618 on the mobile device 610 will execute the pending "change user's password" command. After a successful unlock and password change, the user's data is not compromised and the data security system 620 can be unlocked with the user's new password. The server / console 640 will remove the "change user's password" flag for this data security system 620, so that next time the mobile device 610 is connected to a particular data security system it will not be executed. .

도 7 내지 도 12와 유사하지만, 서버/콘솔(640)은 패스워드 변경(change password) 결정(1300)을 내림으로써 임의의 커맨드 대기 신호(1100)에 응답한다. 서버/콘솔(640)에서 패스워드 변경이 있었을 때, 사용자 패스워드 변경(change user password) 신호(1302)는 모바일 디바이스(610)에 전송되고, 모바일 디바이스는 사용자 패스워드 변경(change user password) 신호(1304)를 데이터 보안 시스템(620)에 전송한다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 새로운 패스워드로 통신이 완전히 구동 준비되는 상태에 있다.Similar to FIGS. 7-12, server / console 640 responds to any command wait signal 1100 by making a change password decision 1300. When there is a password change at the server / console 640, a change user password signal 1302 is sent to the mobile device 610, and the mobile device changes to a user password signal 1304. To the data security system 620. Thereafter, the mobile device 610 and data security system 620 are in a state where the communication is fully ready to be driven with the new password.

데이터 보안 시스템의 동작 방법은: 데이터 보안 시스템과의 연결성을 위해 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계; 데이터 보안 시스템 애플리케이션을 시작하는 단계; 및 모바일 디바이스와 데이터 보안 시스템의 연결성을 유지하는 단계를 포함한다.A method of operating a data security system includes: providing a data security system application to a mobile device for connectivity with a data security system; Starting a data security system application; And maintaining connectivity of the mobile device with the data security system.

전술한 바와 같은 방법에서 연결성을 유지하는 단계는 데이터 보안 시스템이 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지한다.Maintaining connectivity in the method as described above maintains connectivity when the data security system is within a predetermined proximity to the mobile device.

전술한 바와 같은 방법에서 연결성을 유지하는 단계는 데이터 보안 시스템이 미리 결정된 기간 동안 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지한다.Maintaining connectivity in the method as described above maintains connectivity when the data security system is within a predetermined proximity to the mobile device for a predetermined period of time.

전술한 바와 같은 방법에서 연결성을 확립하는 단계는 데이터 보안 시스템과 모바일 디바이스 사이의 양방향 통신을 이용하는 단계를 포함한다.In the method as described above, establishing the connectivity includes using two-way communication between the data security system and the mobile device.

전술한 바와 같은 방법에서 연결성을 확립하는 단계는 데이터 보안 시스템과 모바일 디바이스 사이의 단방향 통신을 이용하는 단계를 포함한다.In the method as described above, establishing connectivity includes using unidirectional communication between the data security system and the mobile device.

전술한 바와 같은 방법은 데이터 보안 시스템 애플리케이션을 구비한 모바일 디바이스와 사용자 관리 데이터베이스를 포함하는 서버 사이의 통신을 더 포함한다.The method as described above further includes communication between the mobile device having the data security system application and the server comprising a user management database.

전술한 바와 같은 방법은 데이터 보안 시스템의 보안 컨트롤러에 보안 정보를 제공하는 단계를 더 포함한다. The method as described above further comprises providing security information to a security controller of the data security system.

전술한 바와 같은 방법은: 지정된 데이터 보안 시스템의 식별을 서버에 제공하는 단계; 특정 식별을 데이터 보안 시스템에 제공하는 단계; 및 지정된 데이터 보안 시스템의 식별이 데이터 보안 시스템의 특정 식별과 동일할 때, 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above comprises the steps of: providing an identification of a designated data security system to a server; Providing a specific identification to a data security system; And when the identification of the designated data security system is the same as the specific identification of the data security system, unlocking the data security system.

전술한 바와 같은 방법에서 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계는 데이터 보안 시스템 관리자의 애플리케이션을 제공하고, 방법은: 모바일 디바이스에 관리자의 패스워드를 설정하는 단계; 관리자의 패스워드를 모바일 디바이스로부터 데이터 보안 시스템으로 전송하는 단계; 및 관리자의 패스워드를 데이터 보안 시스템에 설정하고 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.In a method as described above, providing a data security system application to a mobile device provides an application of a data security system administrator, the method comprising: setting an administrator's password on the mobile device; Transmitting the administrator's password from the mobile device to the data security system; And setting the administrator's password in the data security system and unlocking the data security system.

전술한 바와 같은 방법은: 모바일 디바이스로부터 데이터 보안 시스템으로 잠금해제 요청을 모바일 디바이스 식별과 함께 제공하는 단계; 및 데이터 보안 시스템에서 잠금해제 요청을 수신하고 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above includes: providing an unlock request with the mobile device identification from the mobile device to the data security system; And receiving an unlock request at the data security system and unlocking the data security system.

전술한 바와 같은 방법은: 모바일 디바이스에 사용자 이름 또는 패스워드를 입력하는 단계; 모바일 디바이스로부터 사용자 이름 또는 패스워드를 수신한 후 서버에서 사용자 이름 또는 패스워드가 유효할 때를 결정하는 단계; 사용자 이름 또는 패스워드가 유효할 때 서버로부터 모바일 디바이스로 통신하는 단계; 및 사용자 이름 또는 패스워드가 데이터 보안 시스템을 잠금해제하는데 유효할 때 모바일 디바이스로부터 데이터 보안 시스템으로 통신하는 단계를 더 포함한다. The method as described above comprises the steps of: entering a user name or password into the mobile device; Determining when the username or password is valid at the server after receiving the username or password from the mobile device; Communicating from the server to the mobile device when the username or password is valid; And communicating from the mobile device to the data security system when the username or password is valid to unlock the data security system.

전술한 바와 같은 방법은: 모바일 디바이스에 사용자 이름 또는 패스워드를 입력하는 단계; 모바일 디바이스로부터 사용자 이름 또는 패스워드를 수신한 후 서버에서 사용자 이름 또는 패스워드가 유효할 때를 결정하는 단계; 사용자 이름 또는 패스워드가 유효할 때 서버로부터 모바일 디바이스로 통신하는 단계; 모바일 디바이스로부터 식별 번호를 수신한 후 서버에서 식별 번호가 유효할 때를 결정하는 단계; 및 서버가 식별 번호가 유효하다고 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다. The method as described above comprises the steps of: entering a user name or password into the mobile device; Determining when the username or password is valid at the server after receiving the username or password from the mobile device; Communicating from the server to the mobile device when the username or password is valid; Determining when the identification number is valid at the server after receiving the identification number from the mobile device; And unlocking the data security system via the mobile device when the server determines that the identification number is valid.

전술한 바와 같은 방법은: 모바일 디바이스의 유효한 위치를 서버에 제공하는 단계; 서버에서 모바일 디바이스가 유효한 위치에 있을 때를 결정하는 단계; 및 서버가 모바일 디바이스가 유효한 위치에 있다고 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다. The method as described above comprises the steps of: providing a server with a valid location of the mobile device; Determining when the mobile device is in a valid location at the server; And unlocking the data security system via the mobile device when the server determines that the mobile device is in a valid location.

전술한 바와 같은 방법은: 모바일 디바이스에서 데이터 보안 시스템에 대한 동작의 현재 시간을 서버에 제공하는 단계; 서버에서 모바일 디바이스가 현재 시간 내에 있을 때를 결정하는 단계; 및 모바일 디바이스가 현재 시간을 갖는다고 서버가 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above includes: providing a server with a current time of operation for a data security system at a mobile device; Determining when the mobile device is within the current time at the server; And unlocking the data security system via the mobile device when the server determines that the mobile device has the current time.

전술한 바와 같은 방법은: 서버에서 커맨드를 제공하는 단계; 모바일 디바이스로부터의 커맨드 대기 신호에 응답하여 커맨드를 서버로부터 모바일 디바이스로 제공하는 단계; 및 커맨드가 서버로부터 제공될 때 커맨드를 모바일 디바이스를 통해 데이터 보안 시스템에서 수행하는 단계를 더 포함한다.The method as described above includes: providing a command at a server; Providing a command from the server to the mobile device in response to the command wait signal from the mobile device; And performing the command in the data security system via the mobile device when the command is provided from the server.

전술한 바와 같은 방법은: 서버에서 패스워드 변경 커맨드를 제공하는 단계; 모바일 디바이스로부터의 패스워드 변경 신호에 응답하여 패스워드 변경 커맨드를 서버로부터 모바일 디바이스로 제공하는 단계; 및 데이터 보안 시스템에서 변경된 패스워드로 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above comprises the steps of: providing a password change command at the server; Providing a password change command from a server to the mobile device in response to a password change signal from the mobile device; And unlocking the data security system with the changed password in the data security system.

전술한 바와 같은 방법은 데이터 보안 시스템을 전력 공급을 위해 호스트 컴퓨터에 연결하여 호스트 컴퓨터에 의해 발견 가능하게 되도록 하는 단계를 더 포함한다.The method as described above further comprises connecting the data security system to the host computer for powering up so that it is discoverable by the host computer.

데이터 보안 시스템은: 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함한다.The data security system includes: a data security transceiver or receiver; An authentication subsystem operatively connected to the data security transceiver or receiver; And a storage subsystem coupled to the authentication subsystem.

전술한 바와 같은 시스템은 데이터 보안 송수신기 또는 수신기에 및 인증 서브시스템에 연결된 보안 컨트롤러를 더 포함한다.The system as described above further comprises a security controller coupled to the data security transceiver or receiver and to the authentication subsystem.

전술한 바와 같은 시스템은 데이터 보안 시스템이 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지하기 위해 보안 컨트롤러와 함께 동작하는 데이터 보안 시스템 애플리케이션을 갖는 모바일 디바이스를 더 포함한다. The system as described above further includes a mobile device having a data security system application that operates with the security controller to maintain connectivity when the data security system is within a predetermined proximity to the mobile device.

전술한 바와 같은 시스템은 데이터 보안 시스템이 미리 결정된 기간 동안 모바일 디바이스에 미리 결정된 근접 내에 있을 때 연결성을 유지하기 위해 보안 컨트롤러와 함께 동작하는 데이터 보안 시스템 애플리케이션을 갖는 모바일 디바이스를 더 포함한다.The system as described above further includes a mobile device having a data security system application that operates with the security controller to maintain connectivity when the data security system is within a predetermined proximity to the mobile device for a predetermined period of time.

전술한 바와 같은 시스템은 연결성을 유지하기 위해 모바일 송수신기 또는 수신기를 갖는 모바일 디바이스가 데이터 보안 시스템과 모바일 디바이스 사이에서 양방향 통신을 이용하는 것을 포함하는 것을 더 포함한다.The system as described above further includes a mobile device having a mobile transceiver or receiver utilizing two-way communication between the data security system and the mobile device to maintain connectivity.

전술한 바와 같은 시스템은 연결성을 유지하기 위해 모바일 송수신기 또는 수신기를 갖는 모바일 디바이스가 데이터 보안 시스템과 모바일 디바이스 사이에서 단방향 통신을 사용하는 것을 포함하는 것을 더 포함한다. The system as described above further includes the mobile device having a mobile transceiver or receiver to use unidirectional communication between the data security system and the mobile device to maintain connectivity.

전술한 바와 같은 시스템은 데이터 보안 시스템 애플리케이션을 구비한 모바일 디바이스와 사용자 관리 데이터베이스를 포함하는 서버 사이의 유선 또는 무선 연결 통신을 더 포함한다.The system as described above further comprises wired or wireless connection communication between the mobile device having the data security system application and the server comprising a user management database.

전술한 바와 같은 시스템에서 데이터 보안 시스템은 호스트 컴퓨터에 연결하기 위한 외부 통신 채널을 포함한다.In a system as described above, the data security system includes an external communication channel for connecting to a host computer.

본 발명이 특정한 최상의 모드와 관련하여 설명되었지만, 전술한 설명에 비추어 관련 기술분야에서 통상의 기술자에게는 많은 대안, 수정 및 변형이 명백할 것이라는 것을 이해하여야 한다. 따라서, 첨부된 청구범위 내에 속하는 이러한 모든 대안, 수정 및 변형을 포괄하고자 한다. 본 명세서에 설명되거나 첨부 도면들에 도시된 모든 사항은 예시적이고 비 제한적인 의미로 해석되어야 한다.While the present invention has been described in connection with specific best modes, it should be understood that many alternatives, modifications, and variations will be apparent to those skilled in the art in light of the foregoing description. Accordingly, it is intended to embrace all such alternatives, modifications and variations that fall within the scope of the appended claims. All matters described in this specification or shown in the accompanying drawings are to be interpreted in an illustrative and non-limiting sense.

Claims (20)

방법으로서,
잠금(locked)된 데이터 채널을 갖는 데이터 저장 디바이스에 대한 연결을 검출하는 단계 - 상기 데이터 저장 디바이스는 상기 데이터 채널을 통한 통신을 위한 인터페이스 컨트롤러, 메모리, 인증 정보 및 암호화 키를 갖는 인증 서브시스템, 암호화 엔진, 및 상기 데이터 채널 외부에서 무선주파수 통신을 위한 무선 송수신기를 더 포함함 -;
상기 인터페이스 컨트롤러를 통한 상기 데이터 채널이 잠금되어 있는 동안, 상기 무선 송수신기를 통해, 사용자 인증 입력을 수신하는 단계;
상기 수신된 사용자 인증 입력 및 상기 인증 서브시스템의 상기 인증 정보에 기초하여 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제(unlocking)하는 단계; 및
상기 데이터 채널이 잠금해제되어 있는 동안:
상기 암호화 키에 의해, 상기 데이터 채널을 통해 수신된 데이터를 암호화한 후에, 상기 암호화된 데이터를 상기 메모리에 저장하는 단계; 및
상기 암호화 키에 의해, 상기 메모리로부터 판독된 데이터를 해독한 후에, 상기 데이터 채널을 통해 상기 해독된 데이터를 송신하는 단계
를 포함하는 방법.As a method,
Detecting a connection to a data storage device having a locked data channel, the data storage device having an interface controller for communication over the data channel, an authentication subsystem having memory, authentication information and encryption keys, encryption An engine, and a wireless transceiver for radio frequency communication outside said data channel;
Receiving, via the wireless transceiver, a user authentication input while the data channel through the interface controller is locked;
Unlocking the data channel of the data storage device based on the received user authentication input and the authentication information of the authentication subsystem; And
While the data channel is unlocked:
After encrypting the data received via the data channel by the encryption key, storing the encrypted data in the memory; And
Transmitting, by the encryption key, the decrypted data over the data channel after decrypting the data read from the memory.
How to include. 제1항에 있어서,
잠금해제에 기초하여 상기 인증 서브시스템으로부터 상기 암호화 키를 상기 암호화 엔진에 전송하는 단계를 더 포함하고, 상기 암호화 키는 상기 데이터 저장 디바이스의 상기 메모리에 저장되지 않고, 상기 암호화 키는 상기 데이터 저장 디바이스의 외부로부터 액세스 가능하지 않은, 방법.The method of claim 1,
Sending the encryption key from the authentication subsystem to the encryption engine based on unlocking, wherein the encryption key is not stored in the memory of the data storage device and the encryption key is the data storage device. Method not accessible from outside of. 제1항에 있어서,
상기 사용자 인증 입력을 수신하는 단계는:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 단계; 및
상기 모바일 디바이스로부터 상기 사용자 인증 입력을 수신하는 단계
를 더 포함하는, 방법.The method of claim 1,
Receiving the user authentication input includes:
Communicating with an application of a mobile device via the wireless transceiver; And
Receiving the user authentication input from the mobile device
Further comprising, the method. 제1항에 있어서,
상기 사용자 인증 입력을 수신하는 단계는:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 단계 - 상기 애플리케이션은 사용자에 의한 상기 사용자 인증 입력을 입력하기 위한 사용자 인터페이스를 포함하고, 상기 사용자 인증 입력이 원격 서버에 의해 검증(validated)될 때, 상기 원격 서버는 상기 애플리케이션에 확인(confirmation)을 보냄 -; 및
사용자가 상기 원격 서버에 의해 검증된 후, 상기 무선 송수신기를 통해 상기 데이터 저장 디바이스에 의해, 상기 모바일 디바이스로부터의 상기 사용자 인증 입력을 수신하는 단계
를 더 포함하는, 방법.The method of claim 1,
Receiving the user authentication input includes:
Communicating with an application of a mobile device via the wireless transceiver, the application comprising a user interface for inputting the user authentication input by a user, when the user authentication input is validated by a remote server, The remote server sends a confirmation to the application; And
After the user is verified by the remote server, receiving, by the data storage device, the user authentication input from the mobile device via the wireless transceiver
Further comprising, the method. 제4항에 있어서,
상기 모바일 디바이스의 상기 애플리케이션이 상기 원격 서버로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신한 후에 상기 모바일 디바이스의 상기 애플리케이션으로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신하는 단계를 더 포함하는 방법.The method of claim 4, wherein
And receiving a command for changing the authentication information from the application of the mobile device after the application of the mobile device receives the command for changing the authentication information from the remote server. 제4항에 있어서,
상기 모바일 디바이스의 상기 애플리케이션은 상기 모바일 디바이스로 하여금 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금하고, 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제하고, 사용자 이름을 변경하고, 상기 인증 정보를 변경하고, 상기 데이터 저장 디바이스를 리셋할 수 있도록 하는, 방법.The method of claim 4, wherein
The application of the mobile device causes the mobile device to lock the data channel of the data storage device, unlock the data channel of the data storage device, change the user name, change the authentication information, Resetting the data storage device. 제4항에 있어서,
상기 모바일 디바이스의 상기 애플리케이션은 상기 원격 서버로 하여금 상기 데이터 저장 디바이스를 리셋하고 상기 데이터 저장 디바이스를 잠금해제할 수 있도록 하는, 방법.The method of claim 4, wherein
The application of the mobile device enables the remote server to reset the data storage device and unlock the data storage device. 제4항에 있어서,
상기 모바일 디바이스의 상기 애플리케이션은 상기 원격 서버로 하여금 가상 울타리(geo-fence) 내에서 상기 모바일 디바이스의 존재를 결정함으로써 가상 울타리를 사용하여 상기 데이터 저장 디바이스의 사용을 특정 위치들로 제한할 수 있도록 하는, 방법.The method of claim 4, wherein
The application of the mobile device allows the remote server to determine the presence of the mobile device within a geo-fence, thereby limiting the use of the data storage device to specific locations using the virtual fence. , Way. 제4항에 있어서,
상기 모바일 디바이스의 상기 애플리케이션은 상기 원격 서버로 하여금 상기 데이터 저장 디바이스의 사용을 특정 시간대들 및 기간들로 제한할 수 있도록 하는, 방법.The method of claim 4, wherein
The application of the mobile device allows the remote server to limit the use of the data storage device to specific time periods and periods. 제1항에 있어서,
상기 데이터 채널은 컴퓨터 버스 인터페이스인, 방법.The method of claim 1,
And the data channel is a computer bus interface. 제1항에 있어서,
상기 무선주파수 통신은 무선 충실도(Wireless Fidelity)(WiFi), 블루투스(Bluetooth)(BT), 블루투스 스마트(Bluetooth Smart)(BLE), 근접장 통신(Near Field Communication)(NFC), 또는 셀룰러 통신 중 하나인, 방법.The method of claim 1,
The radio frequency communication may be one of wireless fidelity (WiFi), Bluetooth (BT), Bluetooth Smart (BLE), Near Field Communication (NFC), or cellular communication. , Way. 데이터 저장 디바이스로서,
메모리;
사용자가 인증될 때까지 잠금된 데이터 채널을 통해 통신하기 위한 인터페이스 컨트롤러;
상기 데이터 채널 외부에서 무선주파수 통신을 위한 무선 송수신기 - 상기 무선 송수신기는 사용자 인증 입력을 수신하도록 구성됨 -;
인증 정보 및 암호화 키를 갖는 인증 서브시스템 - 상기 인증 서브시스템은 상기 수신된 사용자 인증 입력 및 상기 인증 정보에 기초하여 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제함 -; 및
암호화된 데이터를 상기 메모리에 저장하기 전에 상기 데이터 채널을 통해 수신된 데이터를 상기 암호화 키에 의해 암호화하고, 해독된 데이터를 상기 데이터 채널을 통해 전송하기 전에 상기 메모리로부터 판독된 데이터를 상기 암호화 키에 의해 해독하기 위한 암호화 엔진
을 포함하는 데이터 저장 디바이스. As a data storage device,
Memory;
An interface controller for communicating over a locked data channel until a user is authenticated;
A radio transceiver for radio frequency communication outside the data channel, the radio transceiver configured to receive a user authentication input;
An authentication subsystem having authentication information and an encryption key, the authentication subsystem unlocking the data channel of the data storage device based on the received user authentication input and the authentication information; And
Encrypt data received through the data channel with the encryption key before storing encrypted data in the memory, and read data from the memory into the encryption key before transmitting decrypted data through the data channel. Encryption engine for decryption by
Data storage device comprising a. 제12항에 있어서,
상기 인증 서브시스템은 잠금해제에 기초하여 상기 암호화 키를 상기 암호화 엔진에 전송하고, 상기 암호화 키는 상기 데이터 저장 디바이스의 상기 메모리에 저장되지 않으며, 상기 암호화 키는 상기 데이터 저장 디바이스의 외부로부터 액세스 가능하지 않은, 데이터 저장 디바이스.The method of claim 12,
The authentication subsystem sends the encryption key to the encryption engine based on unlocking, the encryption key is not stored in the memory of the data storage device, and the encryption key is accessible from outside of the data storage device. Data storage device. 제12항에 있어서,
상기 사용자 인증 입력을 수신하는 것은:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 것; 및
상기 무선 송수신기를 통해 상기 모바일 디바이스로부터 상기 사용자 인증 입력을 수신하는 것
을 더 포함하는, 데이터 저장 디바이스.The method of claim 12,
Receiving the user authentication input is:
Communicating with an application of a mobile device via the wireless transceiver; And
Receiving the user authentication input from the mobile device via the wireless transceiver
The data storage device further comprises. 제12항에 있어서,
상기 사용자 인증 입력을 수신하는 것은:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 것 - 상기 애플리케이션은 사용자에 의한 상기 사용자 인증 입력을 입력하기 위한 사용자 인터페이스를 포함하고, 상기 사용자 인증 입력이 원격 서버에 의해 검증될 때, 상기 원격 서버는 상기 애플리케이션에 확인을 보냄 -; 및
사용자가 상기 원격 서버에 의해 검증된 후, 상기 데이터 저장 디바이스에 의해, 상기 모바일 디바이스로부터의 상기 사용자 인증 입력을 수신하는 것
을 더 포함하는, 데이터 저장 디바이스.The method of claim 12,
Receiving the user authentication input is:
Communicating with an application of a mobile device via the wireless transceiver, the application including a user interface for inputting the user authentication input by a user, when the user authentication input is verified by a remote server; Sends a confirmation to the application; And
After the user is verified by the remote server, receiving, by the data storage device, the user authentication input from the mobile device
The data storage device further comprises. 제15항에 있어서,
상기 인증 서브시스템은 상기 모바일 디바이스의 상기 애플리케이션이 상기 원격 서버로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신한 후에 상기 모바일 디바이스의 상기 애플리케이션으로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신하도록 구성되는, 데이터 저장 디바이스.The method of claim 15,
The authentication subsystem is configured to receive a command for changing the authentication information from the application of the mobile device after the application of the mobile device receives the command for changing the authentication information from the remote server. Storage device. 머신에 의해 실행될 때 상기 머신으로 하여금 동작들을 수행하게 하는 명령어들을 포함하는 비-일시적 머신 판독가능한 저장 매체로서,
상기 동작들은:
잠금된 데이터 채널을 갖는 데이터 저장 디바이스에 대한 연결을 검출하는 동작 - 상기 데이터 저장 디바이스는 상기 데이터 채널을 통한 통신을 위한 인터페이스 컨트롤러, 메모리, 인증 정보 및 암호화 키를 갖는 인증 서브시스템, 암호화 엔진, 및 상기 데이터 채널 외부에서 무선주파수 통신을 위한 무선 송수신기를 더 포함함 -;
상기 인터페이스 컨트롤러를 통한 상기 데이터 채널이 잠금되어 있는 동안, 상기 무선 송수신기를 통해, 사용자 인증 입력을 수신하는 동작;
상기 수신된 사용자 인증 입력 및 상기 인증 서브시스템의 상기 인증 정보에 기초하여 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제하는 동작; 및
상기 데이터 채널이 잠금해제되어 있는 동안:
상기 암호화 키에 의해, 상기 데이터 채널을 통해 수신된 데이터를 암호화한 후에, 상기 암호화된 데이터를 상기 메모리에 저장하는 동작; 및
상기 암호화 키에 의해, 상기 메모리로부터 판독된 데이터를 해독한 후에, 상기 데이터 채널을 통해 상기 해독된 데이터를 송신하는 동작
을 포함하는 비-일시적 머신 판독가능한 저장 매체.A non-transitory machine readable storage medium comprising instructions that when executed by a machine cause the machine to perform operations,
The operations are:
Detecting a connection to a data storage device having a locked data channel, wherein the data storage device comprises an interface controller for communication over the data channel, an authentication subsystem having memory, authentication information and encryption keys, an encryption engine, and A radio transceiver for radio frequency communication outside said data channel;
Receiving, via the wireless transceiver, a user authentication input while the data channel through the interface controller is locked;
Unlocking the data channel of the data storage device based on the received user authentication input and the authentication information of the authentication subsystem; And
While the data channel is unlocked:
Storing, by the encryption key, the encrypted data in the memory after encrypting the data received through the data channel; And
Transmitting, by the encryption key, the decrypted data over the data channel after decrypting the data read from the memory.
A non-transitory machine readable storage medium comprising a. 제17항에 있어서, 상기 머신은:
잠금해제에 기초하여 상기 인증 서브시스템으로부터 상기 암호화 키를 상기 암호화 엔진에 전송하는 동작을 포함하는 동작들을 더 수행하고, 상기 암호화 키는 상기 데이터 저장 디바이스의 상기 메모리에 저장되지 않고, 상기 암호화 키는 상기 데이터 저장 디바이스의 외부로부터 액세스 가능하지 않은, 비-일시적 머신 판독가능한 저장 매체.The machine of claim 17 wherein the machine is:
Performing operations including transmitting the encryption key from the authentication subsystem to the encryption engine based on unlocking, wherein the encryption key is not stored in the memory of the data storage device; A non-transitory machine readable storage medium that is not accessible from outside of the data storage device. 제17항에 있어서,
상기 사용자 인증 입력을 수신하는 동작은:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 동작; 및
상기 무선 송수신기를 통해 상기 모바일 디바이스로부터 상기 사용자 인증 입력을 수신하는 동작
을 더 포함하는, 비-일시적 머신 판독가능한 저장 매체. The method of claim 17,
Receiving the user authentication input is:
Communicating with an application of a mobile device via the wireless transceiver; And
Receiving the user authentication input from the mobile device via the wireless transceiver
The non-transitory machine readable storage medium further comprising. 제17항에 있어서,
상기 사용자 인증 입력을 수신하는 동작은:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 동작 - 상기 애플리케이션은 사용자에 의한 상기 사용자 인증 입력을 입력하기 위한 사용자 인터페이스를 포함하고, 상기 사용자 인증 입력이 원격 서버에 의해 검증될 때, 상기 원격 서버는 상기 애플리케이션에 확인을 보냄 -; 및
사용자가 상기 원격 서버에 의해 검증된 후, 상기 데이터 저장 디바이스에 의해, 상기 모바일 디바이스로부터의 상기 사용자 인증 입력을 수신하는 동작
을 더 포함하는, 비-일시적 머신 판독가능한 저장 매체.The method of claim 17,
Receiving the user authentication input is:
Communicating with an application of a mobile device via the wireless transceiver, the application including a user interface for inputting the user authentication input by a user, when the user authentication input is verified by a remote server; Sends a confirmation to the application; And
After the user is verified by the remote server, receiving, by the data storage device, the user authentication input from the mobile device
The non-transitory machine readable storage medium further comprising.
KR1020197035893A 2016-01-04 2017-01-03 Data security system with encryption KR102201093B1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/987,749 US10181055B2 (en) 2007-09-27 2016-01-04 Data security system with encryption
US14/987,749 2016-01-04
PCT/US2017/012060 WO2017123433A1 (en) 2016-01-04 2017-01-03 Data security system with encryption

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020187022506A Division KR102054711B1 (en) 2016-01-04 2017-01-03 Data security system using encryption

Publications (2)

Publication Number Publication Date
KR20190137960A true KR20190137960A (en) 2019-12-11
KR102201093B1 KR102201093B1 (en) 2021-01-08

Family

ID=59311569

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020197035893A KR102201093B1 (en) 2016-01-04 2017-01-03 Data security system with encryption
KR1020187022506A KR102054711B1 (en) 2016-01-04 2017-01-03 Data security system using encryption

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020187022506A KR102054711B1 (en) 2016-01-04 2017-01-03 Data security system using encryption

Country Status (6)

Country Link
JP (3) JP6633228B2 (en)
KR (2) KR102201093B1 (en)
CN (2) CN108604982B (en)
GB (2) GB2562923B (en)
TW (2) TWI692704B (en)
WO (1) WO2017123433A1 (en)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10181055B2 (en) 2007-09-27 2019-01-15 Clevx, Llc Data security system with encryption
US11190936B2 (en) 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10778417B2 (en) 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
US10783232B2 (en) 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
TWI651626B (en) * 2017-11-30 2019-02-21 大陸商北京集創北方科技股份有限公司 Biometric data encryption method and information processing device using same
WO2019177563A1 (en) * 2018-03-12 2019-09-19 Hewlett-Packard Development Company, L.P. Hardware security
GB2607846B (en) * 2018-06-06 2023-06-14 Istorage Ltd Dongle for ciphering data
WO2020037053A1 (en) * 2018-08-16 2020-02-20 Clevx, Llc Self-encrypting module with embedded wireless user authentication
CN110225515B (en) * 2019-06-24 2022-08-23 喀斯玛(北京)科技有限公司 Authentication management system, method and device
JP2022050899A (en) 2020-09-18 2022-03-31 キオクシア株式会社 Memory system
TWI788936B (en) * 2021-08-02 2023-01-01 民傑資科股份有限公司 Flash drive locked with wireless communication manner
KR102540669B1 (en) * 2021-12-17 2023-06-08 주식회사 그리다에너지 System for Job history authentication using encrypted and non-editable job data
CN114598461B (en) * 2022-02-24 2023-10-31 广东天波信息技术股份有限公司 Online unlocking method of terminal equipment, terminal equipment and readable storage medium

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060069711A1 (en) * 2004-07-08 2006-03-30 Taku Tsunekawa Terminal device and data backup system for the same
US20060129829A1 (en) * 2004-12-13 2006-06-15 Aaron Jeffrey A Methods, systems, and computer program products for accessing data with a plurality of devices based on a security policy
US20070300052A1 (en) * 2005-07-14 2007-12-27 Jevans David A Recovery of Data Access for a Locked Secure Storage Device
US20080098134A1 (en) * 2004-09-06 2008-04-24 Koninklijke Philips Electronics, N.V. Portable Storage Device and Method For Exchanging Data
US20080222734A1 (en) * 2000-11-13 2008-09-11 Redlich Ron M Security System with Extraction, Reconstruction and Secure Recovery and Storage of Data

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10340231A (en) * 1997-06-05 1998-12-22 Kokusai Electric Co Ltd Ic card
US6529949B1 (en) * 2000-02-07 2003-03-04 Interactual Technologies, Inc. System, method and article of manufacture for remote unlocking of local content located on a client device
US6708272B1 (en) * 1999-05-20 2004-03-16 Storage Technology Corporation Information encryption system and method
CN1195275C (en) * 1999-09-17 2005-03-30 芬格罗克股份公司 Security arrangement
US7099663B2 (en) * 2001-05-31 2006-08-29 Qualcomm Inc. Safe application distribution and execution in a wireless environment
TW583568B (en) * 2001-08-27 2004-04-11 Dataplay Inc A secure access method and system
US20030109218A1 (en) * 2001-10-18 2003-06-12 Azalea Microelectronics Corporation Portable wireless storage unit
US7561691B2 (en) * 2001-11-12 2009-07-14 Palm, Inc. System and method for providing secured access to mobile devices
US7198571B2 (en) * 2002-03-15 2007-04-03 Igt Room key based in-room player tracking
EP1612692A1 (en) 2003-04-10 2006-01-04 Matsushita Electric Industrial Co., Ltd. Password change system
JP2004326763A (en) * 2003-04-10 2004-11-18 Matsushita Electric Ind Co Ltd Password change system
US20060075230A1 (en) * 2004-10-05 2006-04-06 Baird Leemon C Iii Apparatus and method for authenticating access to a network resource using multiple shared devices
JP2006139757A (en) * 2004-10-15 2006-06-01 Citizen Watch Co Ltd Locking system and locking method
US20060176146A1 (en) * 2005-02-09 2006-08-10 Baldev Krishan Wireless universal serial bus memory key with fingerprint authentication
JP4781692B2 (en) * 2005-03-08 2011-09-28 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, program, and system for restricting client I / O access
TWI288553B (en) * 2005-10-04 2007-10-11 Carry Computer Eng Co Ltd Portable storage device having main identification information and method of setting main identification information thereof
WO2007087340A1 (en) * 2006-01-24 2007-08-02 Clevx, Llc Data security system
US20070248232A1 (en) * 2006-04-10 2007-10-25 Honeywell International Inc. Cryptographic key sharing method
US20080263363A1 (en) * 2007-01-22 2008-10-23 Spyrus, Inc. Portable Data Encryption Device with Configurable Security Functionality and Method for File Encryption
US20080303631A1 (en) * 2007-06-05 2008-12-11 Beekley John S Mass Storage Device With Locking Mechanism
TWI537732B (en) * 2007-09-27 2016-06-11 克萊夫公司 Data security system with encryption
CN100533459C (en) * 2007-10-24 2009-08-26 北京飞天诚信科技有限公司 Data safety reading method and safety storage apparatus thereof
US20100293374A1 (en) * 2008-07-30 2010-11-18 Bushby Donald P Secure Portable Memory Storage Device
JP2010102617A (en) * 2008-10-27 2010-05-06 Dainippon Printing Co Ltd System, device, method and program of access management of external storage, apparatus and recording medium
US20100174913A1 (en) * 2009-01-03 2010-07-08 Johnson Simon B Multi-factor authentication system for encryption key storage and method of operation therefor
US9286493B2 (en) * 2009-01-07 2016-03-15 Clevx, Llc Encryption bridge system and method of operation thereof
US8112066B2 (en) * 2009-06-22 2012-02-07 Mourad Ben Ayed System for NFC authentication based on BLUETOOTH proximity
US20110154023A1 (en) * 2009-12-21 2011-06-23 Smith Ned M Protected device management
US9270663B2 (en) * 2010-04-30 2016-02-23 T-Central, Inc. System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added
DE112011105678T5 (en) * 2011-09-28 2014-07-17 Hewlett-Packard Development Company, L.P. Unlock a storage device
WO2013073260A1 (en) * 2011-11-19 2013-05-23 インターナショナル・ビジネス・マシーンズ・コーポレーション Storage device
US8972728B2 (en) * 2012-10-15 2015-03-03 At&T Intellectual Property I, L.P. Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices
GB201221433D0 (en) * 2012-11-28 2013-01-09 Hoverkey Ltd A method and system of providing authentication of user access to a computer resource on a mobile device
US20140149742A1 (en) * 2012-11-28 2014-05-29 Arnold Yau Method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors
US9215250B2 (en) * 2013-08-20 2015-12-15 Janus Technologies, Inc. System and method for remotely managing security and configuration of compute devices
US20150161587A1 (en) * 2013-12-06 2015-06-11 Apple Inc. Provisioning and authenticating credentials on an electronic device
CN105450400B (en) * 2014-06-03 2019-12-13 阿里巴巴集团控股有限公司 Identity verification method, client, server and system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080222734A1 (en) * 2000-11-13 2008-09-11 Redlich Ron M Security System with Extraction, Reconstruction and Secure Recovery and Storage of Data
US20060069711A1 (en) * 2004-07-08 2006-03-30 Taku Tsunekawa Terminal device and data backup system for the same
US20080098134A1 (en) * 2004-09-06 2008-04-24 Koninklijke Philips Electronics, N.V. Portable Storage Device and Method For Exchanging Data
US20060129829A1 (en) * 2004-12-13 2006-06-15 Aaron Jeffrey A Methods, systems, and computer program products for accessing data with a plurality of devices based on a security policy
US20070300052A1 (en) * 2005-07-14 2007-12-27 Jevans David A Recovery of Data Access for a Locked Secure Storage Device

Also Published As

Publication number Publication date
JP6633228B2 (en) 2020-01-22
KR102201093B1 (en) 2021-01-08
JP2019511791A (en) 2019-04-25
GB2580549B (en) 2020-12-23
CN112054892A (en) 2020-12-08
GB201811137D0 (en) 2018-08-22
TWI727717B (en) 2021-05-11
WO2017123433A1 (en) 2017-07-20
TW201737151A (en) 2017-10-16
KR20180107775A (en) 2018-10-02
JP6938602B2 (en) 2021-09-22
JP7248754B2 (en) 2023-03-29
GB2562923A (en) 2018-11-28
KR102054711B1 (en) 2019-12-11
TW202029042A (en) 2020-08-01
JP2021192265A (en) 2021-12-16
CN108604982A (en) 2018-09-28
GB201919421D0 (en) 2020-02-12
TWI692704B (en) 2020-05-01
GB2562923B (en) 2020-02-12
CN108604982B (en) 2020-09-04
GB2580549A (en) 2020-07-22
JP2020057412A (en) 2020-04-09

Similar Documents

Publication Publication Date Title
US11151231B2 (en) Secure access device with dual authentication
KR102054711B1 (en) Data security system using encryption
US11233630B2 (en) Module with embedded wireless user authentication
US10783232B2 (en) Management system for self-encrypting managed devices with embedded wireless user authentication
US9813416B2 (en) Data security system with encryption
EP2798565B1 (en) Secure user authentication for bluetooth enabled computer storage devices
US10362483B2 (en) System, methods and devices for secure data storage with wireless authentication
US11190936B2 (en) Wireless authentication system
EP4242902A2 (en) Self-encrypting module with embedded wireless user authentication
US11971967B2 (en) Secure access device with multiple authentication mechanisms

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant