KR20190137960A - Data security system with encryption - Google Patents
Data security system with encryption Download PDFInfo
- Publication number
- KR20190137960A KR20190137960A KR1020197035893A KR20197035893A KR20190137960A KR 20190137960 A KR20190137960 A KR 20190137960A KR 1020197035893 A KR1020197035893 A KR 1020197035893A KR 20197035893 A KR20197035893 A KR 20197035893A KR 20190137960 A KR20190137960 A KR 20190137960A
- Authority
- KR
- South Korea
- Prior art keywords
- mobile device
- data security
- data
- security system
- user
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/021—Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- Lock And Its Accessories (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Alarm Systems (AREA)
Abstract
데이터 보안 시스템 및 그 동작 방법은 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함한다.A data security system and method of operation thereof include a data security transceiver or receiver; An authentication subsystem operatively connected to the data security transceiver or receiver; And a storage subsystem coupled to the authentication subsystem.
Description
관련 출원(들)에 대한 상호 참조Cross Reference to Related Application (s)
본 출원은 그 주제가 본 출원에 참조되어 포함된 2007년 9월 27일자로 출원된 미국 특허 가출원 제60/975,814호의 이익을 주장하는, 2008년 9월 26일자로 출원된 국제 출원 제PCT/US2008/077766호의 국내 단계인, 2010년 3월 29일자로 출원된 동시 계류중인 미국 특허 출원 제12/680,742호의 일부 계속 출원인, 2016년 1월 4일자로 출원된 미국 특허 출원 제14/987,749호의 우선권을 주장한다.This application claims the benefit of US Provisional Application No. 60 / 975,814, filed on September 27, 2007, the subject matter of which is incorporated herein by reference, PCT / US2008 / filed September 26, 2008. Claims priority of US patent application Ser. No. 14 / 987,749, filed Jan. 4, 2016, filed on Jan. 4, 2016, with some continuing applicants of co-pending US patent application Ser. do.
본 출원은 Lev M. Bolotin 및 Simon B. Johnson에 의해 "DATA SECURITY SYSTEM WITH ENCRYPTION(암호화를 이용한 데이터 보안 시스템)"이라는 명칭으로 동시에 출원된 미국 특허 출원과 관련된 주제를 포함한다. 관련 출원은 ClevX, LLC에 양도되고 대리인 문서 관리 번호 502-018P-PCT-US.C1로 식별된다. 관련 출원의 주제는 본 출원에 참조되어 포함된다.This application includes topics related to US patent applications filed simultaneously by Lev M. Bolotin and Simon B. Johnson under the name “DATA SECURITY SYSTEM WITH ENCRYPTION”. The related application is assigned to ClevX, LLC and identified as Agent Document Control Number 502-018P-PCT-US.C1. The subject matter of the relevant application is incorporated herein by reference.
기술 분야Technical field
본 발명은 일반적으로 전자 디바이스들에 관한 것으로, 보다 상세하게는 메모리 디바이스들에 관한 것이다.The present invention relates generally to electronic devices and, more particularly, to memory devices.
보안은 컴퓨터 사용의 거의 모든 측면에서 중요한 문제이다. 컴퓨터들에 연결된 하드 디스크 드라이브들과 같은 저장 매체에는 데이터 도난에 취약한 귀중한 정보가 들어있다. 개인, 기업 및 정부 보안 정보를 보호하는데 많은 돈과 노력이 적용되고 있다.Security is an important issue in almost every aspect of computer use. Storage media such as hard disk drives connected to computers contain valuable information that is vulnerable to data theft. A lot of money and effort is applied to protect personal, corporate and government security information.
휴대용 메모리 저장 디바이스들은 더 작아지고, 더 쉽게 손실되고, 더 많이 유비쿼터스화되고, 더 저렴해지고, 메모리 용량이 더 커짐에 따라, 이들은 특이한 보안 문제들을 제기하게 되었다. 현재 범용 직렬 버스 플래시 및 마이크로 드라이브들, 셀폰들, 캠코더들, 디지털 카메라들, iPOD들, MP3/4 플레이어들, 스마트 폰들, 팜 및 랩톱 컴퓨터들, 게임 장비, 인증자들, (메모리를 포함하는) 토큰들 등 - 대개 대용량 저장 디바이스(mass storage device)(MSD)임 - 과 같은 휴대용 메모리 저장 디바이스들에 방대한 양의 정보를 부정하게 다운로드하는 것이 가능하다.As portable memory storage devices become smaller, more easily lost, more ubiquitous, less expensive, and larger in memory capacity, they present unique security issues. General purpose serial bus flash and micro drives, cell phones, camcorders, digital cameras, iPODs, MP3 / 4 players, smartphones, palm and laptop computers, gaming equipment, authenticators, (including memory It is possible to fraudulently download large amounts of information to portable memory storage devices, such as tokens, etc., usually mass storage devices (MSDs).
보다 구체적으로, 정보를 컴퓨터로부터 쉽게 다운로드하여 가져가 버릴 수 있는 백업, 전송, 중간 저장 및 일차 저장을 위해 수백만 개의 MSD가 사용되고 있다. 모든 MSD의 주 목적은 특정 컴퓨터가 아닌 특정 소유자에게 결부된 데이터 및 정보인 "휴대용 콘텐츠(portable content)"를 저장하고 검색하는 것이다.More specifically, millions of MSDs are used for backup, transfer, intermediate storage and primary storage where information can be easily downloaded and taken away from a computer. The primary purpose of all MSDs is to store and retrieve "portable content," which is data and information associated with a specific owner rather than a specific computer.
저장소 보안을 제공하는 가장 일반적인 수단은 컴퓨터에 입력되는 패스워드로 사용자를 인증하는 것이다. 패스워드는 MSD 저장 값에 대해 유효성이 입증된다. 일치함이 발생하면 드라이브는 열릴 것이다. 또는 패스워드 자체가 암호화 키로서 사용되어 MSD에 저장된 데이터를 암호화/암호해독 한다.The most common means of providing storage security is to authenticate the user with a password entered into the computer. The password is validated against the MSD stored value. If a match occurs, the drive will open. Or the password itself is used as the encryption key to encrypt / decrypt the data stored in the MSD.
실시간 암호화(on-the-fly encryption)를 지원하는 드라이브들의 경우, 암호화 키는 종종 암호화된 형태로 미디어 상에 저장된다. 암호화 키는 미디어 상에 저장되기 때문에, 표준 인터페이스를 우회하여 미디어를 직접 읽고자 하는 사람들에게 쉽게 이용 가능해진다. 따라서, 패스워드는 암호화 키를 암호화하는 키로 사용된다.For drives that support on-the-fly encryption, encryption keys are often stored on media in encrypted form. Since the encryption key is stored on the media, it is readily available to people who want to read the media directly by bypassing the standard interface. Therefore, the password is used as a key for encrypting the encryption key.
자체 인증 드라이브들의 경우, 이들의 인증 서브시스템은 보안을 유지할 책임을 진다. 이것이 연결되는 호스트 컴퓨터에 대한 종속성은 없다. 따라서, 패스워드는 MSD를 잠금해제(unlock)하기 위해 호스트로부터 전송될 수 없다(또는 전송할 필요가 없다). 사실, 암호화 키는 더 이상 미디어 상에 저장될 필요가 없다. 인증 서브시스템은 암호화 키를 관리하는 수단이 된다.In the case of self-certified drives, their authentication subsystem is responsible for maintaining security. There is no dependency on the host computer to which it is connected. Thus, the password cannot be sent (or need not be sent) from the host to unlock the MSD. In fact, the encryption key no longer needs to be stored on the media. The authentication subsystem is the means for managing the encryption key.
따라서, 보안을 개선할 필요성이 여전히 남아있다. 시장에서 의미 있는 제품 차별화에 대한 소비자 기대들이 커지고 기회들이 줄어드는 것과 함께 끊임없이 증가하는 상업적 경쟁 압력에 비추어 볼 때, 이러한 문제에 대한 해답을 찾는 것이 중요하다. 또한 비용을 줄이고, 효율성 및 성능을 개선하고, 경쟁 압력에 대처할 필요는 이러한 문제들에 대한 해답을 찾기 위한 절실한 필요성에 시급함을 훨씬 더 크게 가중시킨다.Thus, there remains a need for improving security. Given the ever-increasing commercial competitive pressures with growing consumer expectations and diminished opportunities for meaningful product differentiation in the market, it is important to find answers to these issues. In addition, the need to reduce costs, improve efficiency and performance, and cope with competitive pressures places even greater pressure on the urgent need to find answers to these problems.
이러한 문제들에 대한 해결책은 오랫동안 추구되어 왔지만, 종래의 개발들은 어떠한 해결책들도 교시하거나 제안되지 않았으며, 그래서 이러한 문제들에 대한 해결책들은 관련 기술분야에서 통상의 기술자에게 오랫동안 이룰 수가 없었다.Solutions to these problems have been pursued for a long time, but conventional developments have not taught or suggested any solutions, so solutions to these problems have not been achieved for a long time by those skilled in the art.
본 발명은: 데이터 보안 시스템과의 연결성을 위해 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계; 데이터 보안 시스템 애플리케이션을 시작하는 단계; 및 모바일 디바이스와 데이터 보안 시스템의 연결성을 유지하는 단계를 포함하는 데이터 보안 시스템의 동작 방법을 제공한다.The invention includes providing a data security system application to a mobile device for connectivity with a data security system; Starting a data security system application; And maintaining a connection between the mobile device and the data security system.
본 발명은: 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함하는 데이터 보안 시스템을 제공한다.The present invention provides a data security transceiver or receiver; An authentication subsystem operatively connected to the data security transceiver or receiver; And a storage subsystem coupled to the authentication subsystem.
본 발명의 특정 실시예들은 상기 언급된 양태들 이외에 또는 상기 언급된 양태들 대신 다른 양태들을 갖는다. 양태들은 첨부 도면들을 참조할 때 다음의 상세한 설명을 읽음으로써 관련 기술분야에서 통상의 기술자에게 명백해질 것이다.Certain embodiments of the present invention have other aspects in addition to or in place of the above-mentioned aspects. Aspects will become apparent to those skilled in the art by reading the following detailed description when referring to the accompanying drawings.
도 1은 본 발명의 실시예에 따른 데이터 보안 시스템의 개략도이다.
도 2는 데이터 보안 시스템과 함께 사용되는 인증 키 전달 방법을 도시한다.
도 3은 사용자가 데이터 보안 시스템과 상호 작용하는 상이한 시스템들을 도시한다.
도 4는 사용자가 호스트 컴퓨터 시스템을 사용하여 데이터 보안 시스템과 어떻게 상호 작용하는지를 도시한다.
도 5는 사용자 검증을 데이터 보안 시스템에 이용하는 데이터 보안 방법이다.
도 6은 예시적인 데이터 보안 통신 시스템이다.
도 7은 모바일 디바이스와 데이터 보안 시스템 사이의 동작들의 시퀀스를 도시하는 관리자 시퀀싱 다이어그램이다.
도 8은 모바일 디바이스가 인증 인자인 잠금해제 시퀀스 다이어그램이다.
도 9는 모바일 디바이스로부터 PIN 엔트리를 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 10은 서버/콘솔을 통한 PIN 엔트리 및 사용자 ID/위치/시간 검증을 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 11은 서버/콘솔을 사용하여 데이터 보안 시스템을 리셋하는 것을 도시하는 리셋 시퀀싱 다이어그램이다.
도 12는 서버/콘솔을 사용하여 데이터 보안 시스템을 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이다.
도 13은 서버/콘솔을 사용하는 사용자의 패스워드 변경 시퀀싱 다이어그램이다.1 is a schematic diagram of a data security system according to an embodiment of the present invention.
2 illustrates an authentication key delivery method used with a data security system.
3 illustrates different systems in which a user interacts with a data security system.
4 illustrates how a user interacts with a data security system using a host computer system.
5 is a data security method using user verification in a data security system.
6 is an exemplary data secure communication system.
7 is a manager sequencing diagram illustrating a sequence of operations between a mobile device and a data security system.
8 is an unlock sequence diagram in which a mobile device is an authentication factor.
9 is an unlock sequencing diagram illustrating unlocking using a PIN entry from a mobile device.
FIG. 10 is an unlock sequencing diagram illustrating unlocking using PIN entry and user ID / location / time verification via a server / console.
11 is a reset sequencing diagram illustrating resetting a data security system using a server / console.
12 is an unlock sequencing diagram illustrating unlocking a data security system using a server / console.
13 is a password change sequencing diagram of a user using a server / console.
다음의 실시예들은 관련 기술분야에서 통상의 기술자가 본 발명을 제작하고 사용할 수 있도록 충분히 상세하게 설명된다. 다른 실시예들은 본 개시내용에 기초하여 명백할 것이며, 시스템, 프로세스 또는 기계적 변경들은 본 발명의 범위를 벗어나지 않고 이루어질 수 있다는 것을 이해하여야 한다.The following examples are described in sufficient detail to enable those skilled in the art to make and use the invention. Other embodiments will be apparent based on the present disclosure, and it should be understood that system, process or mechanical changes may be made without departing from the scope of the present invention.
다음의 설명에서, 본 발명의 완전한 이해를 제공하기 위해 다수의 특정 세부 사항들이 제공된다. 그러나, 본 발명은 이러한 특정 세부 사항들 없이도 실시될 수 있음이 명백할 것이다. 본 발명을 모호하게 하는 것을 피하기 위해, 일부의 공지된 회로들, 시스템 구성들 및 처리 단계들은 상세하게 개시되지 않는다.In the following description, numerous specific details are provided to provide a thorough understanding of the present invention. However, it will be apparent that the invention may be practiced without these specific details. In order to avoid obscuring the present invention, some well-known circuits, system configurations and processing steps are not disclosed in detail.
마찬가지로, 시스템의 실시예들을 도시하는 도면들은 반 다이어그램적(semi-diagrammatic)이고 축척되지 않으며, 특히 치수들 중 일부는 제시의 명료성을 위한 것이고 도면에서 과장되게 도시된다. 일부 특징들을 공통으로 갖는 다수의 실시예가 그의 예시, 설명 및 이해의 명료성 및 용이함을 위해 개시되고 설명되는 경우, 서로 유사하고 동일한 특징들은 통상적으로 유사하거나 동일한 참조 부호들로 설명될 것이다. 유사하게, 설명의 용이함을 위해 도면들은 일반적으로 유사한 방향들을 보여주기는 하지만, 도면들에서의 이러한 묘사는 대부분 임의적이다. 일반적으로, 본 발명은 모든 방향으로도 동작될 수 있다.Likewise, the figures illustrating embodiments of the system are semi-diagrammatic and not to scale, in particular some of the dimensions being for clarity of presentation and are exaggerated in the figures. When a number of embodiments having some features in common are disclosed and described for clarity and ease of illustration, description, and understanding thereof, similar and identical features of one another will typically be described by like or identical reference numerals. Similarly, while the drawings generally show similar directions for ease of explanation, this depiction in the drawings is mostly arbitrary. In general, the present invention can be operated in all directions.
본 명세서에서 사용되는 것으로 "시스템"이라는 용어는 이 용어가 사용되는 맥락에 따라 본 발명의 방법 및 본 발명의 디바이스라고 지칭되고 정의된다. 본 명세서에서 사용되는 것으로 "방법"이라는 용어는 장치들의 동작 단계들이라고 지칭되고 정의된다.As used herein, the term "system" is referred to and defined as the method of the present invention and the device of the present invention depending on the context in which it is used. As used herein, the term “method” is referred to and defined as the operational steps of the devices.
편의상 그리고 제한하지 않기 위해, "데이터"라는 용어는 컴퓨터에 의해 생성되거나 컴퓨터에 저장될 수 있는 정보라고 정의된다. "데이터 보안 시스템"이라는 용어는 저장 매체를 포함하는 임의의 휴대용 메모리 디바이스를 의미하는 것으로 정의된다. 본 명세서에서 사용되는 것으로 "저장 매체"라는 용어는 임의의 고체 상태, NAND 플래시 및/또는 자기 데이터 기록 시스템이라고 지칭되고 정의된다. "잠금(locked)"이라는 용어는 저장 매체가 액세스 가능하지 않을 때의 데이터 보안 시스템을 지칭하며 "잠금해제(unlocked)"라는 용어는 저장 매체가 액세스 가능할 때의 데이터 보안 시스템을 지칭한다.For convenience and not by way of limitation, the term "data" is defined as information that may be generated by or stored on a computer. The term "data security system" is defined to mean any portable memory device that includes a storage medium. As used herein, the term “storage medium” is referred to and defined as any solid state, NAND flash and / or magnetic data recording system. The term "locked" refers to a data security system when the storage medium is not accessible and the term "unlocked" refers to a data security system when the storage medium is accessible.
저장 디바이스 변경 방지를 행하는 일반적으로 두 가지 방법이 있다:There are generally two ways to prevent storage device changes:
1. 구성요소들에 에폭시를 도포한다 - 인쇄 회로 기판에 도포된 에폭시 수지는 저장 매체를 파괴하지 않고 저장 디바이스를 해체하는 것을 어렵게 할 수 있다.1. Apply Epoxy to Components—The epoxy resin applied to the printed circuit board can make it difficult to dismantle the storage device without destroying the storage medium.
2. 메모리 데이터를 암호화한다 - 데이터는 저장 매체에 기입될 때 암호화되고 암호화 키는 데이터를 해독하는데 필요하다.2. Encrypt memory data-The data is encrypted when written to the storage medium and an encryption key is needed to decrypt the data.
이제 도 1을 참조하면, 본 발명의 실시예에 따른 데이터 보안 시스템(100)의 개략도가 도시된다. 데이터 보안 시스템(100)은 외부 통신 채널(102), 인증 서브시스템(104) 및 저장 서브시스템(106)으로 구성된다.Referring now to FIG. 1, a schematic diagram of a
저장 서브시스템(106)은 인터페이스 컨트롤러(108), 암호화 엔진(110) 및 저장 매체(112)를 포함하는 전자 회로이다. 저장 매체(112)는 내부 또는 외부 하드 디스크 드라이브, USB 플래시 드라이브, 고체 상태 드라이브, 하이브리드 드라이브, 메모리 카드, 테이프 카트리지 및 광학 디스크(예를 들어, 블루레이(Blu-ray) 디스크, 디지털 다기능 디스크(digital versatile disk) 또는 DVD, 및 콤팩트 디스크(compact disk) 또는 CD)를 비롯한 광학 매체일 수 있다. 저장 매체(112)는 데이터 보호 가전 기기, 아카이벌 저장 시스템(archival storage system) 및 클라우드 기반 데이터 저장 시스템을 포함할 수 있다. 클라우드 저장 시스템은 호스트 컴퓨터 또는 RF 또는 광학, 또는 월드 와이드 웹과 같은 유선 또는 무선 네트워크를 통해 호스트 컴퓨터에 연결된 다른 시스템상의 브라우저 애플리케이션에 설치된 플러그-인(또는 "플러그인") 애플리케이션 또는 확장 소프트웨어를 이용하여 액세스될 수 있다.
인터페이스 컨트롤러(108)는 소프트웨어 또는 하드웨어의 암호화 엔진(110)을 갖는 마이크로컨트롤러와 같은 전자 구성요소를 포함하지만, 암호화 엔진(110)은 저장 서브시스템(106)의 별개의 컨트롤러 내에 있을 수 있다.The
인증 서브시스템(104)은 전기적으로 소거 가능한 프로그래머블 판독 전용 메모리(electrically erasable programmable read-only memory)(EEPROM)와 같은 자체의 비 휘발성 메모리를 가질 수 있는 마이크로컨트롤러와 같은 인증 컨트롤러(114)를 포함하는 전자 회로이다.
*외부 통신 채널(102)은 호스트 컴퓨터 시스템(120)과 데이터를 교환하는 수단을 제공한다. 범용 직렬 버스(Universal Serial Bus)(USB)는 데이터 보안 시스템(100)을 호스트 컴퓨터 시스템(120)에 연결하는 가장 일반적인 수단들 중 하나이다. 외부 통신 채널(102)의 다른 예들은 파이어와이어(Firewire), 무선 USB, 직렬 ATA(Serial ATA)(SATA), 고화질 멀티미디어 인터페이스(High Definition Multimedia Interface)(HDMI), 권장 표준(Recommended Standard) 232(RS-232) 및 무선 주파수 무선 네트워크들을 포함한다.
인터페이스 컨트롤러(108)는 USB 패킷 데이터를 USB 플래시 드라이브의 저장 매체(112)에 기입될 수 있는 데이터로 변환할 수 있다.The
암호화 엔진(110)은 인터페이스 컨트롤러(108)의 일부로서 구현되고 호스트 컴퓨터 시스템(120)으로부터 클리어 텍스트(clear text) 및/또는 데이터(정보)를 받고 이를 MSD 또는 저장 매체(112)에 기입되는 암호화된 형태로 변환한다. 암호화 엔진(110)은 또한 저장 매체(112)로부터의 암호화된 정보를 변환하고 이를 해독하여 호스트 컴퓨터 시스템(120)에 대한 정보를 클리어한다. 암호화 엔진(110)은 또한 통신 프로토콜, 메모리 및 다른 동작 조건들을 관리하는 것과 함께 즉석에서 데이터를 암호화/해독하는 암호화 역량을 갖는 암호화 컨트롤러 및 통신, 암호화 키 관리 및 암호화 컨트롤러와의 통신을 처리하기 위한 통신/보안 컨트롤러를 구비하는 두 개의 컨트롤러 서브시스템일 수 있다.The
암호화 키(116)는 암호화 엔진(110)에 의해 정보를 암호화/해독하는데 요구된다. 암호화 키(116)는 암호화 알고리즘에 의해 데이터를 각각 암호화/해독하여 데이터를 판독 불가능하거나 판독 가능하게 하는 알고리즘(예를 들어, 256 비트 고급 암호 표준(Advanced Encryption Standard)(AES) 암호화)에 사용된다. 암호화 키(116)는 인증 컨트롤러(114)에 내부적으로 또는 외부적으로 저장될 수 있다.The
암호화 키(116)는 식별 번호 또는 키를 갖는 사용자(122)가 인증 키(118)에 대해 검증되면 인증 서브시스템(104)에 의해 암호화 엔진(110)에 전송된다.The
인증 키(118) 및 암호화 키(116)의 사용에 의해, 본 발명의 다양한 실시예들의 휴대용 메모리 저장 디바이스들은 이전에 그러한 디바이스들에서 이용 가능하지 않았던 매우 높은 수준의 보안을 제공할 수 있다는 것이 밝혀졌다.By using the
데이터 보안 시스템(100)이 잠기면, 인증 키(118)는 인증 서브시스템(104) 내부에 남아 있고 외부로부터 판독될 수 없다. 인증 키(118)를 숨기는 하나의 방법은 인증 서브시스템(104)의 인증 컨트롤러(114)에 이를 저장하는 것이다. 인증 컨트롤러(114)의 보안 퓨즈를 설정하는 것은 일단 사용자(122)가 검증되면 인증 컨트롤러(114)가 검색을 허용하지 않으면 인증 키(118)에 액세스하는 것을 불가능하게 만든다. 많은 마이크로컨트롤러에는 끊어질 때 임의의 내부 메모리에 액세스하지 못하도록 하는 보안 퓨즈가 장착되어 있다. 이것은 공지되고 광범위하게 사용되는 보안 특징이다. 이러한 마이크로컨트롤러는 인증 컨트롤러(114)에 사용될 수 있다. 인증 컨트롤러(114)는 마이크로컨트롤러 또는 마이크로프로세서 일 수 있다.When the
인증 키(118)는 다음의 몇 가지 역량에서와 같이 사용될 수 있다:The
1. 정보를 직접 암호화/해독하기 위한 암호화 키(116)로서 사용될 수 있다.1. Can be used as an
2. 인터페이스 컨트롤러(108)에 의해 액세스될 수 있는 데이터 보안 시스템(100)에 저장된 암호화 키(116)를 복구하는 키로서 사용될 수 있다.2. It can be used as a key to recover the
3. 외부 통신 채널(102)을 활성화하기 위해 인터페이스 컨트롤러(108)에 의한 직접 비교에 사용될 수 있다.3. Can be used for direct comparison by the
이제 도 2를 참조하면, 데이터 보안 시스템(100)과 함께 사용되는 인증 키 전달 방법의 도면이 도시된다. 이 도면에서, 인증 키(118)와 암호화 키(116)는 하나이고 동일하다. 암호화 엔진(110)은 인증 키(118)를 암호화 키(116)로 사용한다.Referring now to FIG. 2, shown is a diagram of an authentication key delivery method for use with the
사용자(122)는 사용자 식별(202), 번호 또는 키를 인증 서브시스템(104)에 제공함으로써 인증 서브시스템(104)과 상호 작용하여야 한다. 인증 서브시스템(104)은 사용자(122)를 인증 키(118)에 대해 인증한다. 인증 서브시스템(104)는 인증 키(118)를 암호화 키(116)로서 인터페이스 컨트롤러(108)에 전송한다.The
인터페이스 컨트롤러(108) 내의 암호화 엔진(110)은 인증 키(118)를 사용하여 채널(206)을 따라 클리어 정보를 암호화된 정보로, 암호화된 정보를 클리어 정보로 변환한다. 암호화 키(116) 없이 저장 매체(112)로부터 암호화된 정보를 판독하려는 임의의 시도는 일반적으로 어떤 컴퓨터에 의해서도 사용할 수 없는 정보를 만들어 내는 결과를 가져온다.The
이제 도 3을 참조하면, 사용자(122)가 데이터 보안 시스템(300)과 상호 작용하는 상이한 시스템들의 도면이 도시된다. 상호 작용은 셀 폰, 스마트폰, 스마트 시계, 착용 가능한 가전 기기 또는 기타 무선 디바이스로부터의 물리적 접촉, 유선 연결 또는 무선 연결에 의한 것일 수 있는 통신 조합(301)에 의한 것일 수 있다.Referring now to FIG. 3, there is shown a diagram of different systems in which
하나의 인증 시스템에서, 모바일 송수신기(302)는 사용자 식별(304)을 인증 서브시스템(310)의 데이터 보안 송수신기(306)에 전송하는데 이용된다. 예시적인 목적을 위해, 송수신기들은 양방향 통신 유연성을 위해 이용되지만 단방향 통신을 위한 전송기-수신기 조합도 또한 사용될 수 있다. 인증 서브시스템(310)은 저장 서브시스템(106)의 인터페이스 컨트롤러(108)에 연결된 인증 컨트롤러(114)를 포함한다. 사용자 식별(304)은 데이터 보안 시스템(300)의 저장 서브시스템(106) 외부로부터 모바일 송수신기(302)에 의해 인증 서브시스템(310) 내의 데이터 보안 송수신기(306)에 공급된다. 무선 통신은 무선 충실도(Wireless Fidelity)(WiFi), 블루투스(Bluetooth)(BT), 블루투스 스마트(Bluetooth Smart), 근접장 통신(Near Field Communication)(NFC), 위성 위치확인 시스템(Global Positioning System)(GPS), 광학, 셀룰러 통신(예를 들어, 롱텀 에볼루션(Long-Term Evolution)(LTE), 롱텀 에볼루션 어드밴스드(Long-Term Evolution Advanced)(LTE-A)), 코드 분할 다중 연결(Code Division Multiple Access)(CDMA), 광대역 코드 분할 다중 연결(Wideband Code Division Multiple Access)(WCDMA), 범용 이동 통신 시스템(Universal Mobile Telecommunications System)(UMTS), 무선 광대역(Wireless Broadband)(WiBro), 또는 세계 이동 통신 시스템(Global System for Mobile Communications)(GSM) 등)을 포함할 수 있다.In one authentication system, mobile transceiver 302 is used to transmit
인증 서브시스템(310)은 모바일 송수신기(302)로부터 전송된 코드가 인증 키(118)에 대해 인증됨으로써 사용자(122)를 인증 키(118)에 대해 인증한다. 그런 다음 인증 서브시스템(310)은 통신 조합(301)을 통해 인터페이스 컨트롤러(108)에 암호화 키(116)를 전송한다.
그 다음, 암호화 엔진(110)은 암호화 키(116)를 사용하여 채널(206)을 따라 클리어 정보를 암호화된 정보로 변환하고 암호화된 정보를 클리어 정보로 변환한다. 암호화 키(116) 없이 저장 매체(112)로부터 암호화된 정보를 판독하려는 임의의 시도는 일반적으로 호스트 컴퓨터 시스템(120)에 의해 사용 가능하지 않은 정보를 만들어 내는 결과를 가져온다.The
선택적인 제2 인증 메커니즘에서, 인증 서브시스템(310)은 사용자(122)가 생체 인식 입력(322)을 제공하는 생체 인식 센서(320)를 사용하여 인가된 사용자로서 자신의 신원을 검증하게 함으로써 인증 키(118)에 대해 사용자(122)를 입증한다. 생체 인식 식별의 유형은 지문, 홍채 스캔, 성문(voice imprint) 등을 포함한다.In an optional second authentication mechanism,
선택적인 제3 인증 메커니즘에서, 인증 서브시스템(310)은 사용자(122)가 고유 코드(332)를 제공하는 전기 기계적 입력 메커니즘(330)을 사용하여 인가된 사용자로서 자신의 신원을 검증하게 함으로써 인증 키(118)에 대해 사용자(122)를 입증한다. 고유 코드(332)는 PIN과 같은 숫자, 영숫자 또는 알파벳 코드를 포함할 수 있다. 전기 기계적 입력 메커니즘(330)은 인증 서브시스템(310) 내에 있다. 전기 기계적 입력 메커니즘(330)은 데이터 보안 시스템(300)의 외부로부터 사용자(122)로부터 고유 코드(332)를 수신한다. 고유 코드(332)는 데이터 보안 시스템(300)의 저장 서브시스템(106) 외부로부터 인증 서브시스템(310) 내의 전기 기계적 입력 메커니즘(330)으로 제공된다.In an optional third authentication mechanism, the
어느 방법이 사용자(122)를 입증하는데 사용되든 인증 키(118) 및 암호화 키(116)는 사용자(122)가 인증될 때까지 숨겨진 채로 남아있다.Whichever method is used to verify
이제 도 4를 참조하면, 사용자(122)가 호스트 컴퓨터 시스템(120)을 이용하여 데이터 보안 시스템(400)과 어떻게 상호 작용할 수 있는지의 도면을 도시한다.Referring now to FIG. 4, shown is a diagram of how
호스트 컴퓨터 시스템(120)에는 호스트 애플리케이션(402)이 제공된다. 호스트 애플리케이션(402)은 데이터 보안 시스템(400)의 외부 통신 채널(102)을 통해 통신하는 소프트웨어 또는 펌웨어이다.The
호스트 애플리케이션(402)은 그의 환경과 연관된 내부 구성요소 일련 번호들(예를 들어, 하드 드라이브), 네트워크 카드의 미디어 접근 제어(Media Access Control)(MAC) 어드레스, 사용자의 로그인 이름, 네트워크 인터넷 프로토콜(network Internet Protocol)(IP) 어드레스, 데이터 보안 시스템에 의해 생성되고 호스트에 저장된 ID, 데이터 보안 시스템에 의해 생성되고 네트워크에 저장된 ID 등과 같은 호스트 식별자(406)를 전달한다. 호스트 식별자(406)는 데이터 보안 시스템(400)의 인증 서브시스템(408)에 의해 사용된다.The
인증 서브시스템(408)이 호스트 식별자(406)를 검증함으로써 인증 키(118)에 대해 사용자(122)를 입증할 때, 데이터 보안 시스템(400)은 잠금해제될 것이다.When the
예를 들어, 사용자(122)는 호스트 컴퓨터 시스템(120)에 잠겨 있는 데이터 보안 시스템(400)에 연결한다. 호스트 애플리케이션(402)은 그 네트워크 카드의 MAC 어드레스를 데이터 보안 시스템(400)에 전송한다. 데이터 보안 시스템(400)은 이 MAC 어드레스를 합법적인 것으로 인식하고 도 1의 사용자(122)가 사용자 식별을 입력하게 하지 않고도 잠금해제한다. 이것은 사용자(122)와 어떠한 상호 작용도 필요로 하지 않는 구현 예이다. 이 경우, 입증되는 것은 호스트 컴퓨터 시스템(120) 및 그 관련 환경이다.For example,
데이터 보안 시스템(400)은: 인증 서브시스템(104)에 저장되는 인증 키(118)를 제공하는 것; 인증 서브시스템(104)에 의한 호스트 컴퓨터 시스템(120)의 검증을 제공하는 것; 인증 서브시스템(104)에 의해 저장 서브시스템(106)에 암호화 키(116)를 제공하는 것; 및 저장 매체 콘텐츠를 해독함으로써 저장 서브시스템(106)에 의한 저장 매체(112)로의 액세스를 제공하는 것을 포함한다.
데이터 보안 시스템은 생체 인식 입력의 해석 및 사용자(122)의 검증을 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an
데이터 보안 시스템은 인증 키(118)를 암호화 키(116)로서 직접 사용하는 것을 더 포함한다.The data security system further includes using the
데이터 보안 시스템은 인증 키(118)를 사용하여 내부 콘텐츠를 해독하는데 사용되는 암호화 키(116)를 해독하고 검색하는 것을 더 포함한다.The data security system further includes decrypting and retrieving the
데이터 보안 시스템은 신호 입력의 해석 및 전송 유닛의 검증을 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an
데이터 보안 시스템은 수동으로 입력된 입력의 해석 및 사용자(122)의 검증을 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an
데이터 보안 시스템은 호스트 컴퓨터 시스템(120)의 검증을 위해 호스트 상주 소프트웨어 애플리케이션에 의해 전송된 입력을 해석하기 위한 인증 서브시스템(104)을 더 포함한다.The data security system further includes an
데이터 보안 시스템은 인터페이스 컨트롤러(108) 외부에 있지만 데이터 보안 시스템(100)을 잠금해제하기 위해 클리어 데이터를 암호화된 데이터로 변환하려는 목적을 위해 외부 통신 채널(102)에 연결된 암호화 엔진(110)을 더 포함한다.The data security system is external to the
이제 도 5를 참조하면, 데이터 보안 시스템(100)에 사용자 검증을 이용하는 데이터 보안 방법(500)이 도시된다. 데이터 보안 방법(500)은 블록(502)에서 사용자를 인증 키에 대해 검증하는 단계; 블록(504)에서 인증 키를 이용하여 암호화 키를 검색하기 위한 단계; 및 블록(506)에서 인증 키를 이용하여 호스트 컴퓨터 시스템과 저장 매체 사이에서 저장 서브시스템을 통해 암호화되지 않은 통신을 가능하게 하는 단계를 포함한다.Referring now to FIG. 5, a
이제 도 6을 참조하면, 예시적인 데이터 보안 통신 시스템(600)이 도시된다. 예시적인 데이터 보안 통신 시스템(600)은 모바일 디바이스(610), 데이터 보안 시스템(620), 호스트 컴퓨터(630) 및 서버/콘솔(640)을 포함한다. 모바일 디바이스(610) 및 서버/콘솔(640)은 인터넷 클라우드일 수 있는 클라우드(650)를 통해 유선 또는 무선 연결에 의해 연결된다. 모바일 디바이스(610)와 데이터 보안 시스템(620)은 통신 조합(301)에 의해 연결된다.Referring now to FIG. 6, an exemplary data
예시적인 데이터 보안 통신 시스템(600)의 통신 조합(301)은 데이터 보안 시스템(620)에서 데이터 보안 송수신기(624)의 안테나(622)와 무선 통신하는 안테나(614)를 갖는 모바일 디바이스(610)의 모바일 송수신기(612)를 포함한다. The
일 실시예에서 모바일 디바이스(610)는 스마트폰일 수 있다. 모바일 디바이스(610)에서, 모바일 송수신기(612)는 통상의 모바일 디바이스 구성요소들 및 데이터 보안 시스템 애플리케이션(618)에 연결될 수 있고, 데이터 보안 시스템 애플리케이션은 데이터 보안 시스템(620)과 함께 사용될 정보를 제공한다.In one embodiment, the
데이터 보안 송수신기(624)는 식별, 패스워드들, 프로파일들, 또는 데이터 보안 시스템(620)에 액세스할 수 있는 상이한 모바일 디바이스들의 정보를 포함하는 정보를 포함할 수 있는 보안 컨트롤러(626)에 연결된다. 보안 컨트롤러(626)는 인증 서브시스템(310), (일부 실시예에서는 데이터를 암호화하는 암호화를 가질 수 있는) 저장 서브시스템(106) 및 외부 통신 채널(102)과 유사한 서브시스템들에 연결된다.The data security transceiver 624 is coupled to a
외부 통신 채널(102)은 특정 상황들 하에서 저장 서브시스템(106) 내의 데이터에 액세스할 수 있게 하는 호스트 컴퓨터(630)에 연결 가능하다.The
데이터 보안 시스템(620)의 하나의 구현예는 스마트폰과 같은 모바일 디바이스(610)로의 무선 링크만을 갖는 도 3의 생체 인식 센서(320) 및 전기 기계적 입력 메커니즘(330)을 없앨 수 있다. 이러한 구현예는 데이터 보안 시스템(620)을 보다 안전하고 유용하게 만들어 준다는 것을 알게 되었다.One implementation of the
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 모바일 디바이스(610) 부근의 모든 데이터 보안 시스템을 발견하고 그들의 상태(잠금/잠금해제/공백, 짝을 이룬/짝을 이루지 않은 상태 등)를 보여줄 수 있게 한다.The data security system application 618 allows the
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 데이터 보안 시스템(620)상의 모든 데이터를 연결하고/짝을 이루고, 잠그고, 잠금해제하고, 이름 및 패스워드를 변경하고, 리셋할 수 있게 한다.The data security system application 618 allows the
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 비활동 자동 잠금(inactivity auto-lock)을 설정하여 데이터 보안 시스템(620)이 미리 결정된 비활성 기간 이후 자동으로 잠기게 할 것이거나, 근접 정도 자동 잠금(proximity auto-lock)을 설정하여 모바일 디바이스(610)가 (신뢰도를 개선하고 신호 디바운싱(de-bouncing)을 방지하기 위해) 미리 결정된 기간 동안 미리 결정된 근접 정도 내에 있지 않을 때 데이터 보안 시스템(620)이 잠기게 할 것이다.The data security system application 618 may cause the
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 패스워드를 기억하고, 터치 ID(TouchID) 및 애플 워치(Apple Watch) (터치 ID 및 애플 워치 둘 모두가 단지 예시로서 본 명세서에서 언급되지만, 유사한 모드에서 사용될 수 있는 생체 인식 센서들 및 웨어러블들을 갖는 많은 다른 모바일 디바이스가 존재할 수 있음)를 사용할 수 있게 하며, 그래서 데이터 보안 시스템(620)은 모바일 디바이스 상에 패스워드를 재 입력하지 않고 잠금해제될 수 있다The data security system application 618 allows the
데이터 보안 시스템 애플리케이션(618)은 설정되는 모바일 디바이스(610)가 모바일 디바이스(610)와 같은 특정 모바일 디바이스와 단지 함께로만 동작할 수 있게 하며, 그래서 데이터 보안 시스템(620)은 다른 모바일 디바이스들(1Phone)로 잠금해제될 수 없다.The data security system application 618 allows the
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 데이터 보안 시스템(620)을 읽기 전용으로 설정할 수 있게 한다The data security system application 618 allows the
데이터 보안 시스템 애플리케이션(618)은 모바일 디바이스(610)가 사용자 모드 또는 관리자 모드(관리자 모드는 사용자의 설정들 보다 우선함)에서 동작할 수 있고 서버/콘솔(640)을 사용할 수 있게 한다. 서버/콘솔(640)은 컴퓨터에 정보를 입력하기 위한 콘솔과 컴퓨터의 조합이다.Data security system application 618 allows
서버/콘솔(640)은 모바일 디바이스(610)에 부가적인 기능성을 제공하기 위해 클라우드(650)를 통해 모바일 디바이스(610)에 전송될 수 있는 부가적인 정보를 포함하는 사용자 관리 데이터베이스(642)를 포함한다.Server /
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 사용자 ID(사용자 이름 및 패스워드)를 사용하는 사용자들을 생성 및 식별할 수 있게 하고, 데이터 보안 시스템(620)을 차단/잠금해제할 수 있게 하며 원격 도움을 제공할 수 있게 한다.
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 데이터 보안 시스템(620)을 원격으로 리셋하거나 잠금해제할 수 있게 한다.
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 데이터 보안 시스템 사용자의 PIN을 원격으로 변경할 수 있게 한다.The
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 (가상 울타리(geo-fencing)를 사용하여) 특정 위치들로부터 데이터 보안 시스템(620)을 제한/잠금해제할 수 있게 한다.The
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 지정된 기간 및 상이한 시간대들에서 데이터 보안 시스템(620)을 제한/잠금해제할 수 있게 한다.The
사용자 관리 데이터베이스(642)는 서버/콘솔(640)이 지정된 팀/조직/네트워크 등의 외부에서 데이터 보안 시스템(620)을 잠금해제하는 것을 제한할 수 있게 한다.The
이제 도 7을 참조하면, 모바일 디바이스(610)와 데이터 보안 시스템(620) 사이의 동작들의 시퀀스를 도시하는 관리자 시퀀싱 다이어그램이 도시된다.Referring now to FIG. 7, shown is a manager sequencing diagram illustrating a sequence of operations between
데이터 보안 시스템(620)과 모바일 디바이스(610) 사이의 연결성(700)은 다른 디바이스 또는 시스템의 상호 발견, 디바이스와 시스템의 짝짓기(pairing), 및 디바이스와 시스템의 연결로 먼저 확립된다. 연결성(700)은 공유된 비밀을 사용하여 보안되며, 그런 다음 공유된 비밀은 모든 향후의 통신 세션들에 대해 데이터 보안 시스템(620)과 모바일 디바이스(610) 사이의 통신들을 보안(암호화)하는데 사용된다. 표준 암호화 알고리즘은 데이터 보안 시스템(620) 상에서 실행되고 전세계 보안 표준들에 의해 승인되는데 둘 모두가 효율적이 되도록 선택된다.The
연결성(700)은 데이터 보안 시스템 애플리케이션(618) 또는 보안 컨트롤러(628)에 의해, 또는 데이터 보안 시스템(620) 및 모바일 디바이스(610)가 서로 미리 결정된 거리 내에 있는 한 함께 동작하는 둘 모두에 의해 유지된다. 또한, 미리 결정된 거리가 초과되면, 연결성(700)은 데이터 보안 시스템(620)이 잠긴 다음 미리 결정된 기간 동안 유지된다.
모바일 디바이스(610)와 데이터 보안 시스템(620)의 연결 후, 모바일 디바이스(610)에서 데이터 보안 시스템 관리자 애플리케이션 시작(data security system administrator application start) 동작(702)이 발생한다. 그 다음에 관리자는 관리자 패스워드(administrator password) 동작(704)에서 패스워드를 설정한다. 또한, 모바일 디바이스(610)와 데이터 보안 시스템(620)의 연결 후, 데이터 보안 시스템 연결, 전력 공급 및 발견 가능(data security system connected, powered and discoverable) 동작(706)에서, 데이터 보안 시스템(620)은 도 6의 호스트 컴퓨터(630)에 연결되어 호스트 컴퓨터(630)에 의해 전력을 공급 받아 발견 가능하게 된다.After connecting the
관리자 패스워드 동작(704) 이후, 모바일 디바이스(610)는 관리자 패스워드 및 잠금해제 설정(set administrator password and unlock) 신호(708)를 데이터 보안 시스템(620)에 전송한다. 관리자 패스워드 및 잠금해제 설정 신호(708)는 관리자 패스워드 설정 및 데이터 보안 시스템 잠금해제(administrator password set and data security system unlocked) 동작(716)이 데이터 보안 시스템(620)에서 발생하게 한다.After administrator password operation 704,
관리자 패스워드 설정 및 데이터 보안 시스템 잠금해제 동작(716)이 완료될 때, 확인: 데이터 보안 시스템 잠금해제(confirmation: data security system unlocked) 신호(712)가 모바일 디바이스(610)로 전송되며, 모바일 디바이스에서 확인: 관리자로서 데이터 보안 시스템 잠금해제(confirmation: data security system unlocked as administrator operation) 동작(714)이 동작한다. 확인: 관리자로서 데이터 보안 시스템 잠금해제 동작(714)은 다른 제한들 설정(set other restrictions) 동작(716)이 모바일 디바이스(610)를 사용하여 수행되게 한다. 다른 제한들 설정 동작(716)은 관리자 제한들 설정(set administrator restrictions) 신호(718)가 데이터 보안 시스템(620)에 전송되게 하고, 데이터 보안 시스템에서 확인: 제한들 설정(confirmation: restrictions set) 신호(720)가 모바일 디바이스(610)로 반송된다. 이 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전하게 가동 준비된 상태에 있다.When the administrator password setting and data security
데이터 보안 시스템(620)과 물리적인 접촉 없이 데이터 보안 시스템(620)과 통신하는 것이 가능하기 때문에, 데이터 보안 시스템(620)과의 중요한 상호 작용은 데이터 보안 시스템(620) 자체에 인쇄된 또는 데이터 보안 시스템(620) 패키징과 함께 제공되고 데이터 보안 시스템(620) 소유자가 용이하게 이용할 수 있는 데이터 보안 시스템 고유 식별자를 동반하는 것이 요구된다.Since it is possible to communicate with the
데이터 보안 시스템(620)을 잠금해제하는 것 또는 리셋하는 것과 같은 사용자 데이터에 영향을 줄 수 있는 요청을 할 때, 이러한 고유 식별자(고유 ID)가 요구된다. 정확한 식별자 없이 이러한 동작들을 수행하려는 시도들은 무시되며 해가 되지 않게 만들어진다. 고유 식별자는 사용자에게 데이터 보안 시스템(620)에 대한 물리적인 제어 권한을 가질 것을 요구하고 그리고 연결성(700)이 모바일 디바이스(610) 및 데이터 보안 시스템(620)과 같이 이전에 짝을 이룬 인가된 디바이스 및 시스템 사이에 확립된 것을 검증할 것을 요구하는 방식으로 데이터 보안 시스템(620)을 모바일 디바이스(610)에 식별시키는데 사용된다. 일단 디바이스가 짝지어지면, 공유된 비밀은 통신 기밀을 만드는데 사용된다.This unique identifier (unique ID) is required when making a request that may affect user data, such as unlocking or resetting the
짝 짓는 것은 모바일 디바이스와 데이터 보안 시스템이 과거의 어떤 시점에서 확립되어 지속되는 고유하고 정해진 관계를 갖는다는 것을 내포한다.Pairing implies that mobile devices and data security systems have unique and established relationships that are established and persisted at some point in the past.
고유 식별자는 사용자가 데이터 보안 시스템의 물리적 제어 권한을 가질 때 사용자에게 데이터 보안 시스템에 대한 일부 제어 권한을 부여하게 한다.The unique identifier allows the user to grant some control over the data security system when the user has physical control over the data security system.
모바일 디바이스(610)가 스마트폰인 경우 데이터 보안 시스템(620)과의 통신의 보안을 증가시키기 위해, 사용자는 본 명세서에서 1Phone이라고 불리는 특징과 같은 특징을 활성화하도록 선택할 수 있다. 이러한 특징은 데이터 보안 시스템(620)과의 중요한 사용자 상호 작용을 오직 유일한 하나의 모바일 디바이스(610)로 제한한다. 이것은 데이터 보안 시스템(620)과 모바일 디바이스(610) 사이에서 안전하게 공유되는 랜덤 식별자로 전술한 데이터 보안 시스템 고유 식별자를 대체함으로써 이루어진다. 따라서, 예를 들어 사용자가 데이터 보안 시스템(620)을 잠금해제할 때, 데이터 보안 시스템 고유 식별자를 제시하는 대신, 1Phone 식별자가 대신 주어져야 한다. 실제로, 이것은 PIN 또는 패스워드 이외에, 사용자의 모바일 디바이스(610)를 데이터 보안 시스템(620)을 사용하기 위한 제2 인증 인자로 만들어 준다. 예로서, "1Phone"으로서 선택된 짝지어진 사용자 전화기는 PIN없이, 그리고 사용자 인증 단일 인자로서 및/또는 임의의 다른 사용자 인증 인자들과 조합하여 사용될 수 있다. 이러한 특징(1Phone)이 선택되면, 데이터 보안 시스템(620)은 관리자의 잠금해제가 이전에 활성화되었던 경우를 제외하고, 임의의 다른 전화기들을 가지고는 열릴 수 없다.To increase the security of communication with the
1Phone 특징을 사용하기 위해 데이터 보안 시스템(620)에 관리자의 패스워드를 요구하는 다른 실시예들이 만들어 질 수 있음을 이해할 것이다. 다른 실시예는 모바일 디바이스(610) 상에서 1Phone 데이터가 손실되는 경우에 서버/콘솔(640)이 데이터 보안 시스템(620)을 복구할 수 있는 것을 요구할 수 있다.It will be appreciated that other embodiments may be made that require the administrator's password in the
사용자는 데이터 보안 시스템(620)에 대한 근접 정도 자동 잠금 특징을 활성화하게 할 수 있다. 통신 세션 동안, 도 6의 데이터 보안 송수신기(624)는 데이터 보안 시스템(620)에 모바일 디바이스(610)의 신호 강도 측정치를 보고한다. 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 데이터 보안 시스템(620)에 발신 신호 전력 레벨 및 근접 정도의 문턱치 둘 모두를 전송한다.The user may be enabled to activate the proximity lock feature for
신호 강도는 송수신기들 주위의 환경 조건들로 인해 변하기 때문에, 데이터 보안 시스템(620)은 신호 강도 측정치를 수학적으로 평활화하여 긍정 오류(false positive)의 가능성을 줄인다. 데이터 보안 시스템(620)이 수신된 신호 전력이 미리 결정된 기간 동안 정의된 문턱치 아래로 떨어졌음을 검출할 때, 즉시 데이터 보안 시스템(620)을 잠그고 도 6의 저장 서브시스템(106)으로의 액세스를 방지할 것이다.Since signal strength changes due to environmental conditions around the transceivers, the
데이터 보안 시스템(620)은 세 가지 상이한 모드: 데이터 보안 시스템(620)의 기능성이 사용자에 의해 결정되는 사용자 모드; 관리자가 관리자 패스워드를 설정하고 데이터 보안 시스템(620)에 대해 몇 가지 제한들(예를 들어, 미리 결정된 비활성 기간 이후 자동 잠금, 읽기 전용, 1Phone)을 강제할 수 있고 제한들이 사용자에 의해 제거될 수 없는 관리자 모드; 및 서버/콘솔(640)이 데이터 보안 시스템(620)을 원격으로 리셋하거나, 사용자 패스워드를 변경하거나 또는 데이터 보안 시스템(620)을 정확히 잠금해제할 수 있는 경우에 관리자 역할이 설정되는 서버 모드에서 사용될 수 있다. The
이제 도 8을 참조하면, 모바일 디바이스(610)가 인증 인자인 경우의 잠금해제 시퀀스 다이어그램이 도시된다. 이 다이어그램은 특정 모바일 디바이스인 모바일 디바이스(610)로부터 데이터 보안 시스템 애플리케이션(618)에 의해 개시된 데이터 보안 시스템(620)의 자동 잠금해제 프로세스를 도시한다. 사용자는 초기에 데이터 보안 시스템(620)과 짝을 이룬 유일한 하나의 모바일 디바이스만을 사용할 수 있다. 짝을 이룬 모바일 디바이스(610)가 분실되면, (도 7에 도시된 바와 같이 관리자 패스워드가 이전에 설정되어 있지 않는 한) 데이터 보안 시스템(620)은 잠금해제될 수 없다.Referring now to FIG. 8, an unlock sequence diagram is shown where
도 7과 유사하지만, 데이터 보안 시스템 애플리케이션 시작(data security system application started) 동작(800)은 연결성(700)이 확립된 이후에 발생한다. 모바일 디바이스 ID로 잠금해제 요청(unlock required with mobile device ID) 신호(802)가 데이터 보안 시스템 연결, 전원 공급 및 발견 가능 동작(706) 이후 모바일 디바이스(610)로부터 데이터 보안 시스템(620)으로 전송된다. 데이터 보안 시스템 잠금해제(data security system unlocked) 동작(804)이 발생하고 확인: 데이터 보안 시스템 잠금해제 신호(712)는 데이터 보안 시스템(620)으로부터 전송된다. 확인: 데이터 보안 시스템 잠금해제 (confirmation: data security system unlocked) 동작(806) 이후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전하게 가동 준비된 상태에 있다.Although similar to FIG. 7, a data security system application started
PIN(Personal Identification Number)(개인 식별 번호)이 설정되지 않았으면, 짝을 이룬 모바일 디바이스는 1-인증 인자로서 사용된다.If a Personal Identification Number (PIN) is not set, then the paired mobile device is used as a 1-authentication factor.
이제 도 9를 참조하면, 모바일 디바이스(610)로부터의 PIN 입력을 사용하여 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 모바일 디바이스(610)의 데이터 보안 시스템 애플리케이션(618)에 PIN을 입력함으로써 데이터 보안 시스템(620)을 잠금해제하는 프로세스를 도시한다. 데이터 보안 시스템(620)은 정확한 PIN을 입력하지 않고는 잠금해제될 수 없다.Referring now to FIG. 9, an unlock sequencing diagram is shown that illustrates unlocking using a PIN input from
도 7 및 도 8과 유사하지만, 데이터 보안 시스템 애플리케이션 시작 동작(800) 이후, 사용자 이름/패스워드 입력(enter username/password) 동작(900)이 발생한다. 사용자 이름/패스워드 입력 동작(900) 이후, 모바일 디바이스(610)는 사용자 ID 검증(verify user ID) 신호(902)를 서버/콘솔(640)에 전송한다. 그런 다음 서버/콘솔(640)은 사용자 이름/패스워드 유효(username/password valid) 결정(904)을 내린다.Although similar to FIGS. 7 and 8, after a data security system
사용자 이름/패스워드 유효 결정(904)이 사용자를 검증할 때, 유효 사용자(valid user) 신호(906)가 모바일 디바이스(610)에 전송되어 사용자가 모바일 디바이스(610)의 PIN 입력(enter PIN) 동작(908)에서 정확한 PIN을 입력하도록 한다. 그 다음 모바일 디바이스(610)는 잠금해제 검증(verify unlock) 신호(910)를 전송하여 정확한 PIN이 서버/콘솔(640)에 입력되었는지를 결정한다.When the username / password validity determination 904 verifies the user, a
서버/콘솔(640)은 사용자 인가됨(user authorized) 결정(912)을 내리고, 사용자가 PIN이 인가된 데이터 보안 시스템(620)과 같은 특정 데이터 보안 시스템을 사용하도록 인가되었는지를 결정한다. 인가되었다면, 잠금해제 허용(unlock allowed) 신호(914)가 모바일 디바이스(610)로 전송되며, 모바일 디바이스는 잠금해제 요청(unlock request) 신호(916)를 데이터 보안 시스템(620)에 전달한다.Server /
데이터 보안 시스템 잠금해제 동작(804)이 수행되고, 확인: 데이터 보안 시스템 잠금해제 신호(712)가 모바일 디바이스(610)로 전송되고, 모바일 디바이스에서 확인: 데이터 보안 시스템 잠금해제 동작(806)이 수행된다.A data security system unlock
이제 도 10을 참조하면, 서버/콘솔(640)을 통해 PIN 입력 및 사용자 ID/위치/시간 검증을 사용하는 잠금해제를 도시하는 잠금해제 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 모바일 디바이스(610)로부터 데이터 보안 시스템 애플리케이션(618)에 PIN을 입력하고, 사용자 ID(사용자 이름/패스워드)를 사용하는 서버/콘솔(640) 서버에 인증을 입력함으로써, 그리고 특정 위치 및 특정 시간 범위에서 데이터 보안 시스템(620)을 잠금해제하기 위해 가상 울타리 허용들을 검증함으로써 데이터 보안 시스템(620)을 잠금해제하는 가장 안전한 프로세스를 도시한다. 데이터 보안 시스템(620)은 PIN, 사용자 이름 및 패스워드를 입력하지 않고, 그리고 모바일 디바이스(610)가 특정 (미리 정의된) 위치 및 특정 (미리 정의된) 시간에 존재하지 않고는 잠금해제될 수 없다.Referring now to FIG. 10, an unlock sequencing diagram is shown illustrating unlock using PIN entry and user ID / location / time verification via server /
도 7 내지 도 9와 유사하지만, 서버/콘솔(640)에서, 잠금해제 지정된 데이터 보안 시스템(unlock specified data security system) 동작(1000)이 수행되어 데이터 보안 시스템(620)과 같은 특정 데이터 보안 시스템이 동작할 원하는 조건들을 설정할 수 있게 한다. 예를 들어, 조건들은 특정 지리적 영역 및/또는 특정 시간 프레임 이내일 수 있다.Although similar to FIGS. 7-9, in server /
모바일 디바이스(610)에서, 위치 및/또는 현재 시간 획득(acquire location and/or current time) 동작(1002)에서와 같이 현재 조건 결정이 이루어진다. 이 동작은 모바일 디바이스(610)가 어디에 있는지 그리고 또는 모바일 디바이스(610)가 있는 곳의 현재 시간이 몇 시인지를 결정하기 위해 수행된다. 모바일 디바이스(610) 주변의 다른 현재의 조건들이 또한 결정되고, 잠금해제 검증(verify unlock) 신호(1004)에 의해 서버/콘솔(640)에 전송되며, 서버/콘솔에서 조건 충족(conditions met determination) 결정(1006)이 이루어진다.At
원하는 조건들이 충족될 때, 잠금해제 허용(unlock allowed) 신호(1008)가 PIN 입력 동작(908)이 수행되는 모바일 디바이스(610)에 전송된다. PIN이 입력된 후, 잠금해제 검증(verify unlock) 신호(1010)는 PIN 및 모바일 디바이스(610)에 동작 상 가장 가까운 데이터 보안 시스템(620)의 식별자와 함께 전송된다. 잠금해제 검증 신호(1010)는 서버/콘솔(640)에 의해 수신되고, 데이터 보안 시스템 허용 data security system allowed) 결정(1012)은 인가된 사용자가 지정된 데이터 보안 시스템을 잠금해제하는 것이 허용된다고 결정을 내린다. 서버/콘솔(640)은 이러한 "특정" 사용자가 지정된 데이터 보안 시스템을 사용하도록 인가된 것을 검증한다.When the desired conditions are met, an unlock allowed signal 1008 is sent to the
정확한 정보가 제공되었음을 결정한 후, 서버/콘솔(640)은 모바일 디바이스(610)에게 잠금해제 허용(unlock allowed) 신호(914)를 제공할 것이고, 모바일 디바이스는 잠금해제 요청(unlock request) 신호(916)를 제공할 것이다. 잠금해제 요청 신호(916)는 데이터 보안 시스템(620)을 동작하게 한다.After determining that the correct information has been provided, the server /
이제 도 11을 참조하면, 서버/콘솔(640)을 사용하여 데이터 보안 시스템(620)을 리셋하는 것을 도시하는 리셋 시퀀싱 다이어그램을 도시한다. 이 다이어그램은 서버/콘솔(640)을 통해 데이터 보안 시스템(620)을 원격으로 리셋하는 능력을 도시한다. 데이터 보안 시스템(620)은 단지 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있다. 그러나, (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "리셋" 플래그를 설정함으로써, 모바일 디바이스(610) 상에서 실행되는 데이터 보안 시스템 애플리케이션(618)은 서버/콘솔(640)에게 사용자 관리 데이터베이스(642) 내 임의의 플래그들/미결 요청들에 대해 질의할 것이다. 사용자가 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "리셋" 커맨드를 실행할 것이다. 성공적인 리셋 이후(모든 사용자 데이터 및 자격 인증서들이 없어짐), 서버/콘솔(640)은 리셋 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 특정 데이터 보안 시스템에 연결될 때는 이것이 실행되지 않을 것이다.Referring now to FIG. 11, shown is a reset sequencing diagram illustrating resetting
도 7 내지 도 10과 유사하지만, 모바일 디바이스(610)는 유효 사용자 신호(906)에 응답하여 임의의 커맨드 대기(any command waiting) 신호(1100)를 서버/콘솔(640)에 전송하여 커맨드 리셋(reset command) 결정(1102)을 내린다. 커맨드 리셋이 존재할 때, 리셋 수행(perform reset) 신호(1104)가 모바일 디바이스(610)에 전송될 수 있다.Similar to FIGS. 7-10, the
모바일 디바이스(610)는 보안 시스템 리셋(reset security system) 신호(1106)를 데이터 보안 시스템(620)에 전송하여 데이터 보안 시스템 리셋(data security system reset) 동작(1108)을 시작시킬 것이다. 데이터 보안 시스템 리셋 동작(1108)이 완료되면, 데이터 보안 시스템(620)은 확인: 데이터 보안 시스템 리셋(confirmation: data security system reset) 신호(1110)를 모바일 디바이스(610)에 전송하여 확인: 데이터 보안 시스템 리셋(confirmation: data security system reset) 동작(1112)을 동작 상태로 설정할 것이다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 리셋된 데이터 보안 시스템(620)과 통신이 완전히 구동 준비된 상태에 있다.
이제 도 12를 참조하면, 서버/콘솔(640)을 사용하여 데이터 보안 시스템(620)을 잠금해제하는 것을 도시하는 잠금해제 시퀀싱 다이어그램을 도시한다. 이 다이어그램은 서버/콘솔(640)을 통해 데이터 보안 시스템(620)을 원격으로 잠금해제할 수 있는 능력을 도시한다. 데이터 보안 시스템(620)은 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있다. 그러나 (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "관리자 잠금해제" 플래그를 설정함으로써, 모바일 디바이스(610) 상에서 실행되는 데이터 보안 시스템 애플리케이션(618)은 임의의 플래그들/미결 요청들에 대해 서버/콘솔(640)에 질의할 것이다. 사용자가 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "관리자 잠금해제" 커맨드를 실행할 것이다. 관리자가 성공적으로 잠금 해제한 후, 사용자의 데이터는 훼손되지 않지만 사용자의 패스워드가 제거된다(데이터 보안 시스템(620)은 사용자에 의해 잠금해제될 수 없다). 서버/콘솔(640)은 데이터 보안 시스템(620)에 대한 리셋 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 데이터 보안 시스템(620)에 연결될 때는 이것이 실행되지 않을 것이다.Referring now to FIG. 12, there is shown an unlock sequencing diagram illustrating unlocking a
도 7 내지 11과 유사하지만, 임의의 커맨드 대기 신호(1100)를 수신한 후, 서버/콘솔(640)은 관리자의 패스워드로 잠금해제하라는 커맨드가 있을 때 잠금해제(1200)를 수행한다. 관리자의 패스워드로 잠금해제(unlock with an administrator's password) 신호(1202)는 모바일 디바이스(610)로 전송되고, 모바일 디바이스는 관리자의 패스워드로 잠금해제(unlock with administrator's password) 신호(1204)를 데이터 보안 시스템(620)에 제공하여 데이터 보안 시스템 잠금해제 동작(804)을 시작시킨다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 통신이 완전히 구동 준비된 상태에 있다.7-11, but after receiving any command wait signal 1100, the server /
이제 도 13을 참조하면, 서버/콘솔(640)을 사용하는 사용자의 패스워드 변경 시퀀싱 다이어그램이 도시된다. 이 다이어그램은 데이터 보안 시스템(620)에 대해 사용자의 패스워드를 서버/콘솔(640)을 통해 원격으로 변경하는 능력을 도시한다. (S/N을 사용하는) 특정 데이터 보안 시스템에 대해 서버/콘솔(640) 상에 "사용자의 패스워드 변경" 플래그를 설정함으로써, 데이터 보안 시스템(620)이 모바일 디바이스(610)로부터만 무선 연결을 통해 커맨드를 수신할 수 있을지라도, 모바일 디바이스(610) 상에서 실행하는 데이터 보안 시스템 애플리케이션(618)은 임의의 플래그들/미결제 요청들에 대해 서버/콘솔(640)에 질의할 것이다. 사용자가 자신의 데이터 보안 시스템(620)에 연결할 때, 모바일 디바이스(610) 상의 데이터 보안 시스템 애플리케이션(618)은 대기중인 "사용자의 패스워드 변경" 커맨드를 실행할 것이다. 성공적인 잠금해제 및 패스워드 변경 이후, 사용자의 데이터는 훼손되지 않으며, 데이터 보안 시스템(620)은 사용자의 새로운 패스워드로 잠금해제될 수 있다. 서버/콘솔(640)은 이 데이터 보안 시스템(620)에 대한 "사용자의 패스워드 변경" 플래그를 제거할 것이고, 그래서 다음 번에 모바일 디바이스(610)가 특정 데이터 보안 시스템에 연결될 때는 이것이 실행되지 않을 것이다.Referring now to FIG. 13, a password change sequencing diagram of a user using server /
도 7 내지 도 12와 유사하지만, 서버/콘솔(640)은 패스워드 변경(change password) 결정(1300)을 내림으로써 임의의 커맨드 대기 신호(1100)에 응답한다. 서버/콘솔(640)에서 패스워드 변경이 있었을 때, 사용자 패스워드 변경(change user password) 신호(1302)는 모바일 디바이스(610)에 전송되고, 모바일 디바이스는 사용자 패스워드 변경(change user password) 신호(1304)를 데이터 보안 시스템(620)에 전송한다. 그 후, 모바일 디바이스(610) 및 데이터 보안 시스템(620)은 새로운 패스워드로 통신이 완전히 구동 준비되는 상태에 있다.Similar to FIGS. 7-12, server /
데이터 보안 시스템의 동작 방법은: 데이터 보안 시스템과의 연결성을 위해 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계; 데이터 보안 시스템 애플리케이션을 시작하는 단계; 및 모바일 디바이스와 데이터 보안 시스템의 연결성을 유지하는 단계를 포함한다.A method of operating a data security system includes: providing a data security system application to a mobile device for connectivity with a data security system; Starting a data security system application; And maintaining connectivity of the mobile device with the data security system.
전술한 바와 같은 방법에서 연결성을 유지하는 단계는 데이터 보안 시스템이 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지한다.Maintaining connectivity in the method as described above maintains connectivity when the data security system is within a predetermined proximity to the mobile device.
전술한 바와 같은 방법에서 연결성을 유지하는 단계는 데이터 보안 시스템이 미리 결정된 기간 동안 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지한다.Maintaining connectivity in the method as described above maintains connectivity when the data security system is within a predetermined proximity to the mobile device for a predetermined period of time.
전술한 바와 같은 방법에서 연결성을 확립하는 단계는 데이터 보안 시스템과 모바일 디바이스 사이의 양방향 통신을 이용하는 단계를 포함한다.In the method as described above, establishing the connectivity includes using two-way communication between the data security system and the mobile device.
전술한 바와 같은 방법에서 연결성을 확립하는 단계는 데이터 보안 시스템과 모바일 디바이스 사이의 단방향 통신을 이용하는 단계를 포함한다.In the method as described above, establishing connectivity includes using unidirectional communication between the data security system and the mobile device.
전술한 바와 같은 방법은 데이터 보안 시스템 애플리케이션을 구비한 모바일 디바이스와 사용자 관리 데이터베이스를 포함하는 서버 사이의 통신을 더 포함한다.The method as described above further includes communication between the mobile device having the data security system application and the server comprising a user management database.
전술한 바와 같은 방법은 데이터 보안 시스템의 보안 컨트롤러에 보안 정보를 제공하는 단계를 더 포함한다. The method as described above further comprises providing security information to a security controller of the data security system.
전술한 바와 같은 방법은: 지정된 데이터 보안 시스템의 식별을 서버에 제공하는 단계; 특정 식별을 데이터 보안 시스템에 제공하는 단계; 및 지정된 데이터 보안 시스템의 식별이 데이터 보안 시스템의 특정 식별과 동일할 때, 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above comprises the steps of: providing an identification of a designated data security system to a server; Providing a specific identification to a data security system; And when the identification of the designated data security system is the same as the specific identification of the data security system, unlocking the data security system.
전술한 바와 같은 방법에서 데이터 보안 시스템 애플리케이션을 모바일 디바이스에 제공하는 단계는 데이터 보안 시스템 관리자의 애플리케이션을 제공하고, 방법은: 모바일 디바이스에 관리자의 패스워드를 설정하는 단계; 관리자의 패스워드를 모바일 디바이스로부터 데이터 보안 시스템으로 전송하는 단계; 및 관리자의 패스워드를 데이터 보안 시스템에 설정하고 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.In a method as described above, providing a data security system application to a mobile device provides an application of a data security system administrator, the method comprising: setting an administrator's password on the mobile device; Transmitting the administrator's password from the mobile device to the data security system; And setting the administrator's password in the data security system and unlocking the data security system.
전술한 바와 같은 방법은: 모바일 디바이스로부터 데이터 보안 시스템으로 잠금해제 요청을 모바일 디바이스 식별과 함께 제공하는 단계; 및 데이터 보안 시스템에서 잠금해제 요청을 수신하고 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above includes: providing an unlock request with the mobile device identification from the mobile device to the data security system; And receiving an unlock request at the data security system and unlocking the data security system.
전술한 바와 같은 방법은: 모바일 디바이스에 사용자 이름 또는 패스워드를 입력하는 단계; 모바일 디바이스로부터 사용자 이름 또는 패스워드를 수신한 후 서버에서 사용자 이름 또는 패스워드가 유효할 때를 결정하는 단계; 사용자 이름 또는 패스워드가 유효할 때 서버로부터 모바일 디바이스로 통신하는 단계; 및 사용자 이름 또는 패스워드가 데이터 보안 시스템을 잠금해제하는데 유효할 때 모바일 디바이스로부터 데이터 보안 시스템으로 통신하는 단계를 더 포함한다. The method as described above comprises the steps of: entering a user name or password into the mobile device; Determining when the username or password is valid at the server after receiving the username or password from the mobile device; Communicating from the server to the mobile device when the username or password is valid; And communicating from the mobile device to the data security system when the username or password is valid to unlock the data security system.
전술한 바와 같은 방법은: 모바일 디바이스에 사용자 이름 또는 패스워드를 입력하는 단계; 모바일 디바이스로부터 사용자 이름 또는 패스워드를 수신한 후 서버에서 사용자 이름 또는 패스워드가 유효할 때를 결정하는 단계; 사용자 이름 또는 패스워드가 유효할 때 서버로부터 모바일 디바이스로 통신하는 단계; 모바일 디바이스로부터 식별 번호를 수신한 후 서버에서 식별 번호가 유효할 때를 결정하는 단계; 및 서버가 식별 번호가 유효하다고 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다. The method as described above comprises the steps of: entering a user name or password into the mobile device; Determining when the username or password is valid at the server after receiving the username or password from the mobile device; Communicating from the server to the mobile device when the username or password is valid; Determining when the identification number is valid at the server after receiving the identification number from the mobile device; And unlocking the data security system via the mobile device when the server determines that the identification number is valid.
전술한 바와 같은 방법은: 모바일 디바이스의 유효한 위치를 서버에 제공하는 단계; 서버에서 모바일 디바이스가 유효한 위치에 있을 때를 결정하는 단계; 및 서버가 모바일 디바이스가 유효한 위치에 있다고 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다. The method as described above comprises the steps of: providing a server with a valid location of the mobile device; Determining when the mobile device is in a valid location at the server; And unlocking the data security system via the mobile device when the server determines that the mobile device is in a valid location.
전술한 바와 같은 방법은: 모바일 디바이스에서 데이터 보안 시스템에 대한 동작의 현재 시간을 서버에 제공하는 단계; 서버에서 모바일 디바이스가 현재 시간 내에 있을 때를 결정하는 단계; 및 모바일 디바이스가 현재 시간을 갖는다고 서버가 결정할 때 모바일 디바이스를 통해 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above includes: providing a server with a current time of operation for a data security system at a mobile device; Determining when the mobile device is within the current time at the server; And unlocking the data security system via the mobile device when the server determines that the mobile device has the current time.
전술한 바와 같은 방법은: 서버에서 커맨드를 제공하는 단계; 모바일 디바이스로부터의 커맨드 대기 신호에 응답하여 커맨드를 서버로부터 모바일 디바이스로 제공하는 단계; 및 커맨드가 서버로부터 제공될 때 커맨드를 모바일 디바이스를 통해 데이터 보안 시스템에서 수행하는 단계를 더 포함한다.The method as described above includes: providing a command at a server; Providing a command from the server to the mobile device in response to the command wait signal from the mobile device; And performing the command in the data security system via the mobile device when the command is provided from the server.
전술한 바와 같은 방법은: 서버에서 패스워드 변경 커맨드를 제공하는 단계; 모바일 디바이스로부터의 패스워드 변경 신호에 응답하여 패스워드 변경 커맨드를 서버로부터 모바일 디바이스로 제공하는 단계; 및 데이터 보안 시스템에서 변경된 패스워드로 데이터 보안 시스템을 잠금해제하는 단계를 더 포함한다.The method as described above comprises the steps of: providing a password change command at the server; Providing a password change command from a server to the mobile device in response to a password change signal from the mobile device; And unlocking the data security system with the changed password in the data security system.
전술한 바와 같은 방법은 데이터 보안 시스템을 전력 공급을 위해 호스트 컴퓨터에 연결하여 호스트 컴퓨터에 의해 발견 가능하게 되도록 하는 단계를 더 포함한다.The method as described above further comprises connecting the data security system to the host computer for powering up so that it is discoverable by the host computer.
데이터 보안 시스템은: 데이터 보안 송수신기 또는 수신기; 데이터 보안 송수신기 또는 수신기에 동작 가능하게 연결된 인증 서브시스템; 및 인증 서브시스템에 연결된 저장 서브시스템을 포함한다.The data security system includes: a data security transceiver or receiver; An authentication subsystem operatively connected to the data security transceiver or receiver; And a storage subsystem coupled to the authentication subsystem.
전술한 바와 같은 시스템은 데이터 보안 송수신기 또는 수신기에 및 인증 서브시스템에 연결된 보안 컨트롤러를 더 포함한다.The system as described above further comprises a security controller coupled to the data security transceiver or receiver and to the authentication subsystem.
전술한 바와 같은 시스템은 데이터 보안 시스템이 모바일 디바이스에 대해 미리 결정된 근접도 내에 있을 때 연결성을 유지하기 위해 보안 컨트롤러와 함께 동작하는 데이터 보안 시스템 애플리케이션을 갖는 모바일 디바이스를 더 포함한다. The system as described above further includes a mobile device having a data security system application that operates with the security controller to maintain connectivity when the data security system is within a predetermined proximity to the mobile device.
전술한 바와 같은 시스템은 데이터 보안 시스템이 미리 결정된 기간 동안 모바일 디바이스에 미리 결정된 근접 내에 있을 때 연결성을 유지하기 위해 보안 컨트롤러와 함께 동작하는 데이터 보안 시스템 애플리케이션을 갖는 모바일 디바이스를 더 포함한다.The system as described above further includes a mobile device having a data security system application that operates with the security controller to maintain connectivity when the data security system is within a predetermined proximity to the mobile device for a predetermined period of time.
전술한 바와 같은 시스템은 연결성을 유지하기 위해 모바일 송수신기 또는 수신기를 갖는 모바일 디바이스가 데이터 보안 시스템과 모바일 디바이스 사이에서 양방향 통신을 이용하는 것을 포함하는 것을 더 포함한다.The system as described above further includes a mobile device having a mobile transceiver or receiver utilizing two-way communication between the data security system and the mobile device to maintain connectivity.
전술한 바와 같은 시스템은 연결성을 유지하기 위해 모바일 송수신기 또는 수신기를 갖는 모바일 디바이스가 데이터 보안 시스템과 모바일 디바이스 사이에서 단방향 통신을 사용하는 것을 포함하는 것을 더 포함한다. The system as described above further includes the mobile device having a mobile transceiver or receiver to use unidirectional communication between the data security system and the mobile device to maintain connectivity.
전술한 바와 같은 시스템은 데이터 보안 시스템 애플리케이션을 구비한 모바일 디바이스와 사용자 관리 데이터베이스를 포함하는 서버 사이의 유선 또는 무선 연결 통신을 더 포함한다.The system as described above further comprises wired or wireless connection communication between the mobile device having the data security system application and the server comprising a user management database.
전술한 바와 같은 시스템에서 데이터 보안 시스템은 호스트 컴퓨터에 연결하기 위한 외부 통신 채널을 포함한다.In a system as described above, the data security system includes an external communication channel for connecting to a host computer.
본 발명이 특정한 최상의 모드와 관련하여 설명되었지만, 전술한 설명에 비추어 관련 기술분야에서 통상의 기술자에게는 많은 대안, 수정 및 변형이 명백할 것이라는 것을 이해하여야 한다. 따라서, 첨부된 청구범위 내에 속하는 이러한 모든 대안, 수정 및 변형을 포괄하고자 한다. 본 명세서에 설명되거나 첨부 도면들에 도시된 모든 사항은 예시적이고 비 제한적인 의미로 해석되어야 한다.While the present invention has been described in connection with specific best modes, it should be understood that many alternatives, modifications, and variations will be apparent to those skilled in the art in light of the foregoing description. Accordingly, it is intended to embrace all such alternatives, modifications and variations that fall within the scope of the appended claims. All matters described in this specification or shown in the accompanying drawings are to be interpreted in an illustrative and non-limiting sense.
Claims (20)
잠금(locked)된 데이터 채널을 갖는 데이터 저장 디바이스에 대한 연결을 검출하는 단계 - 상기 데이터 저장 디바이스는 상기 데이터 채널을 통한 통신을 위한 인터페이스 컨트롤러, 메모리, 인증 정보 및 암호화 키를 갖는 인증 서브시스템, 암호화 엔진, 및 상기 데이터 채널 외부에서 무선주파수 통신을 위한 무선 송수신기를 더 포함함 -;
상기 인터페이스 컨트롤러를 통한 상기 데이터 채널이 잠금되어 있는 동안, 상기 무선 송수신기를 통해, 사용자 인증 입력을 수신하는 단계;
상기 수신된 사용자 인증 입력 및 상기 인증 서브시스템의 상기 인증 정보에 기초하여 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제(unlocking)하는 단계; 및
상기 데이터 채널이 잠금해제되어 있는 동안:
상기 암호화 키에 의해, 상기 데이터 채널을 통해 수신된 데이터를 암호화한 후에, 상기 암호화된 데이터를 상기 메모리에 저장하는 단계; 및
상기 암호화 키에 의해, 상기 메모리로부터 판독된 데이터를 해독한 후에, 상기 데이터 채널을 통해 상기 해독된 데이터를 송신하는 단계
를 포함하는 방법.As a method,
Detecting a connection to a data storage device having a locked data channel, the data storage device having an interface controller for communication over the data channel, an authentication subsystem having memory, authentication information and encryption keys, encryption An engine, and a wireless transceiver for radio frequency communication outside said data channel;
Receiving, via the wireless transceiver, a user authentication input while the data channel through the interface controller is locked;
Unlocking the data channel of the data storage device based on the received user authentication input and the authentication information of the authentication subsystem; And
While the data channel is unlocked:
After encrypting the data received via the data channel by the encryption key, storing the encrypted data in the memory; And
Transmitting, by the encryption key, the decrypted data over the data channel after decrypting the data read from the memory.
How to include.
잠금해제에 기초하여 상기 인증 서브시스템으로부터 상기 암호화 키를 상기 암호화 엔진에 전송하는 단계를 더 포함하고, 상기 암호화 키는 상기 데이터 저장 디바이스의 상기 메모리에 저장되지 않고, 상기 암호화 키는 상기 데이터 저장 디바이스의 외부로부터 액세스 가능하지 않은, 방법.The method of claim 1,
Sending the encryption key from the authentication subsystem to the encryption engine based on unlocking, wherein the encryption key is not stored in the memory of the data storage device and the encryption key is the data storage device. Method not accessible from outside of.
상기 사용자 인증 입력을 수신하는 단계는:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 단계; 및
상기 모바일 디바이스로부터 상기 사용자 인증 입력을 수신하는 단계
를 더 포함하는, 방법.The method of claim 1,
Receiving the user authentication input includes:
Communicating with an application of a mobile device via the wireless transceiver; And
Receiving the user authentication input from the mobile device
Further comprising, the method.
상기 사용자 인증 입력을 수신하는 단계는:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 단계 - 상기 애플리케이션은 사용자에 의한 상기 사용자 인증 입력을 입력하기 위한 사용자 인터페이스를 포함하고, 상기 사용자 인증 입력이 원격 서버에 의해 검증(validated)될 때, 상기 원격 서버는 상기 애플리케이션에 확인(confirmation)을 보냄 -; 및
사용자가 상기 원격 서버에 의해 검증된 후, 상기 무선 송수신기를 통해 상기 데이터 저장 디바이스에 의해, 상기 모바일 디바이스로부터의 상기 사용자 인증 입력을 수신하는 단계
를 더 포함하는, 방법.The method of claim 1,
Receiving the user authentication input includes:
Communicating with an application of a mobile device via the wireless transceiver, the application comprising a user interface for inputting the user authentication input by a user, when the user authentication input is validated by a remote server, The remote server sends a confirmation to the application; And
After the user is verified by the remote server, receiving, by the data storage device, the user authentication input from the mobile device via the wireless transceiver
Further comprising, the method.
상기 모바일 디바이스의 상기 애플리케이션이 상기 원격 서버로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신한 후에 상기 모바일 디바이스의 상기 애플리케이션으로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신하는 단계를 더 포함하는 방법.The method of claim 4, wherein
And receiving a command for changing the authentication information from the application of the mobile device after the application of the mobile device receives the command for changing the authentication information from the remote server.
상기 모바일 디바이스의 상기 애플리케이션은 상기 모바일 디바이스로 하여금 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금하고, 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제하고, 사용자 이름을 변경하고, 상기 인증 정보를 변경하고, 상기 데이터 저장 디바이스를 리셋할 수 있도록 하는, 방법.The method of claim 4, wherein
The application of the mobile device causes the mobile device to lock the data channel of the data storage device, unlock the data channel of the data storage device, change the user name, change the authentication information, Resetting the data storage device.
상기 모바일 디바이스의 상기 애플리케이션은 상기 원격 서버로 하여금 상기 데이터 저장 디바이스를 리셋하고 상기 데이터 저장 디바이스를 잠금해제할 수 있도록 하는, 방법.The method of claim 4, wherein
The application of the mobile device enables the remote server to reset the data storage device and unlock the data storage device.
상기 모바일 디바이스의 상기 애플리케이션은 상기 원격 서버로 하여금 가상 울타리(geo-fence) 내에서 상기 모바일 디바이스의 존재를 결정함으로써 가상 울타리를 사용하여 상기 데이터 저장 디바이스의 사용을 특정 위치들로 제한할 수 있도록 하는, 방법.The method of claim 4, wherein
The application of the mobile device allows the remote server to determine the presence of the mobile device within a geo-fence, thereby limiting the use of the data storage device to specific locations using the virtual fence. , Way.
상기 모바일 디바이스의 상기 애플리케이션은 상기 원격 서버로 하여금 상기 데이터 저장 디바이스의 사용을 특정 시간대들 및 기간들로 제한할 수 있도록 하는, 방법.The method of claim 4, wherein
The application of the mobile device allows the remote server to limit the use of the data storage device to specific time periods and periods.
상기 데이터 채널은 컴퓨터 버스 인터페이스인, 방법.The method of claim 1,
And the data channel is a computer bus interface.
상기 무선주파수 통신은 무선 충실도(Wireless Fidelity)(WiFi), 블루투스(Bluetooth)(BT), 블루투스 스마트(Bluetooth Smart)(BLE), 근접장 통신(Near Field Communication)(NFC), 또는 셀룰러 통신 중 하나인, 방법.The method of claim 1,
The radio frequency communication may be one of wireless fidelity (WiFi), Bluetooth (BT), Bluetooth Smart (BLE), Near Field Communication (NFC), or cellular communication. , Way.
메모리;
사용자가 인증될 때까지 잠금된 데이터 채널을 통해 통신하기 위한 인터페이스 컨트롤러;
상기 데이터 채널 외부에서 무선주파수 통신을 위한 무선 송수신기 - 상기 무선 송수신기는 사용자 인증 입력을 수신하도록 구성됨 -;
인증 정보 및 암호화 키를 갖는 인증 서브시스템 - 상기 인증 서브시스템은 상기 수신된 사용자 인증 입력 및 상기 인증 정보에 기초하여 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제함 -; 및
암호화된 데이터를 상기 메모리에 저장하기 전에 상기 데이터 채널을 통해 수신된 데이터를 상기 암호화 키에 의해 암호화하고, 해독된 데이터를 상기 데이터 채널을 통해 전송하기 전에 상기 메모리로부터 판독된 데이터를 상기 암호화 키에 의해 해독하기 위한 암호화 엔진
을 포함하는 데이터 저장 디바이스. As a data storage device,
Memory;
An interface controller for communicating over a locked data channel until a user is authenticated;
A radio transceiver for radio frequency communication outside the data channel, the radio transceiver configured to receive a user authentication input;
An authentication subsystem having authentication information and an encryption key, the authentication subsystem unlocking the data channel of the data storage device based on the received user authentication input and the authentication information; And
Encrypt data received through the data channel with the encryption key before storing encrypted data in the memory, and read data from the memory into the encryption key before transmitting decrypted data through the data channel. Encryption engine for decryption by
Data storage device comprising a.
상기 인증 서브시스템은 잠금해제에 기초하여 상기 암호화 키를 상기 암호화 엔진에 전송하고, 상기 암호화 키는 상기 데이터 저장 디바이스의 상기 메모리에 저장되지 않으며, 상기 암호화 키는 상기 데이터 저장 디바이스의 외부로부터 액세스 가능하지 않은, 데이터 저장 디바이스.The method of claim 12,
The authentication subsystem sends the encryption key to the encryption engine based on unlocking, the encryption key is not stored in the memory of the data storage device, and the encryption key is accessible from outside of the data storage device. Data storage device.
상기 사용자 인증 입력을 수신하는 것은:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 것; 및
상기 무선 송수신기를 통해 상기 모바일 디바이스로부터 상기 사용자 인증 입력을 수신하는 것
을 더 포함하는, 데이터 저장 디바이스.The method of claim 12,
Receiving the user authentication input is:
Communicating with an application of a mobile device via the wireless transceiver; And
Receiving the user authentication input from the mobile device via the wireless transceiver
The data storage device further comprises.
상기 사용자 인증 입력을 수신하는 것은:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 것 - 상기 애플리케이션은 사용자에 의한 상기 사용자 인증 입력을 입력하기 위한 사용자 인터페이스를 포함하고, 상기 사용자 인증 입력이 원격 서버에 의해 검증될 때, 상기 원격 서버는 상기 애플리케이션에 확인을 보냄 -; 및
사용자가 상기 원격 서버에 의해 검증된 후, 상기 데이터 저장 디바이스에 의해, 상기 모바일 디바이스로부터의 상기 사용자 인증 입력을 수신하는 것
을 더 포함하는, 데이터 저장 디바이스.The method of claim 12,
Receiving the user authentication input is:
Communicating with an application of a mobile device via the wireless transceiver, the application including a user interface for inputting the user authentication input by a user, when the user authentication input is verified by a remote server; Sends a confirmation to the application; And
After the user is verified by the remote server, receiving, by the data storage device, the user authentication input from the mobile device
The data storage device further comprises.
상기 인증 서브시스템은 상기 모바일 디바이스의 상기 애플리케이션이 상기 원격 서버로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신한 후에 상기 모바일 디바이스의 상기 애플리케이션으로부터 상기 인증 정보를 변경하기 위한 커맨드를 수신하도록 구성되는, 데이터 저장 디바이스.The method of claim 15,
The authentication subsystem is configured to receive a command for changing the authentication information from the application of the mobile device after the application of the mobile device receives the command for changing the authentication information from the remote server. Storage device.
상기 동작들은:
잠금된 데이터 채널을 갖는 데이터 저장 디바이스에 대한 연결을 검출하는 동작 - 상기 데이터 저장 디바이스는 상기 데이터 채널을 통한 통신을 위한 인터페이스 컨트롤러, 메모리, 인증 정보 및 암호화 키를 갖는 인증 서브시스템, 암호화 엔진, 및 상기 데이터 채널 외부에서 무선주파수 통신을 위한 무선 송수신기를 더 포함함 -;
상기 인터페이스 컨트롤러를 통한 상기 데이터 채널이 잠금되어 있는 동안, 상기 무선 송수신기를 통해, 사용자 인증 입력을 수신하는 동작;
상기 수신된 사용자 인증 입력 및 상기 인증 서브시스템의 상기 인증 정보에 기초하여 상기 데이터 저장 디바이스의 상기 데이터 채널을 잠금해제하는 동작; 및
상기 데이터 채널이 잠금해제되어 있는 동안:
상기 암호화 키에 의해, 상기 데이터 채널을 통해 수신된 데이터를 암호화한 후에, 상기 암호화된 데이터를 상기 메모리에 저장하는 동작; 및
상기 암호화 키에 의해, 상기 메모리로부터 판독된 데이터를 해독한 후에, 상기 데이터 채널을 통해 상기 해독된 데이터를 송신하는 동작
을 포함하는 비-일시적 머신 판독가능한 저장 매체.A non-transitory machine readable storage medium comprising instructions that when executed by a machine cause the machine to perform operations,
The operations are:
Detecting a connection to a data storage device having a locked data channel, wherein the data storage device comprises an interface controller for communication over the data channel, an authentication subsystem having memory, authentication information and encryption keys, an encryption engine, and A radio transceiver for radio frequency communication outside said data channel;
Receiving, via the wireless transceiver, a user authentication input while the data channel through the interface controller is locked;
Unlocking the data channel of the data storage device based on the received user authentication input and the authentication information of the authentication subsystem; And
While the data channel is unlocked:
Storing, by the encryption key, the encrypted data in the memory after encrypting the data received through the data channel; And
Transmitting, by the encryption key, the decrypted data over the data channel after decrypting the data read from the memory.
A non-transitory machine readable storage medium comprising a.
잠금해제에 기초하여 상기 인증 서브시스템으로부터 상기 암호화 키를 상기 암호화 엔진에 전송하는 동작을 포함하는 동작들을 더 수행하고, 상기 암호화 키는 상기 데이터 저장 디바이스의 상기 메모리에 저장되지 않고, 상기 암호화 키는 상기 데이터 저장 디바이스의 외부로부터 액세스 가능하지 않은, 비-일시적 머신 판독가능한 저장 매체.The machine of claim 17 wherein the machine is:
Performing operations including transmitting the encryption key from the authentication subsystem to the encryption engine based on unlocking, wherein the encryption key is not stored in the memory of the data storage device; A non-transitory machine readable storage medium that is not accessible from outside of the data storage device.
상기 사용자 인증 입력을 수신하는 동작은:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 동작; 및
상기 무선 송수신기를 통해 상기 모바일 디바이스로부터 상기 사용자 인증 입력을 수신하는 동작
을 더 포함하는, 비-일시적 머신 판독가능한 저장 매체. The method of claim 17,
Receiving the user authentication input is:
Communicating with an application of a mobile device via the wireless transceiver; And
Receiving the user authentication input from the mobile device via the wireless transceiver
The non-transitory machine readable storage medium further comprising.
상기 사용자 인증 입력을 수신하는 동작은:
상기 무선 송수신기를 통해 모바일 디바이스의 애플리케이션과 통신하는 동작 - 상기 애플리케이션은 사용자에 의한 상기 사용자 인증 입력을 입력하기 위한 사용자 인터페이스를 포함하고, 상기 사용자 인증 입력이 원격 서버에 의해 검증될 때, 상기 원격 서버는 상기 애플리케이션에 확인을 보냄 -; 및
사용자가 상기 원격 서버에 의해 검증된 후, 상기 데이터 저장 디바이스에 의해, 상기 모바일 디바이스로부터의 상기 사용자 인증 입력을 수신하는 동작
을 더 포함하는, 비-일시적 머신 판독가능한 저장 매체.The method of claim 17,
Receiving the user authentication input is:
Communicating with an application of a mobile device via the wireless transceiver, the application including a user interface for inputting the user authentication input by a user, when the user authentication input is verified by a remote server; Sends a confirmation to the application; And
After the user is verified by the remote server, receiving, by the data storage device, the user authentication input from the mobile device
The non-transitory machine readable storage medium further comprising.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/987,749 US10181055B2 (en) | 2007-09-27 | 2016-01-04 | Data security system with encryption |
US14/987,749 | 2016-01-04 | ||
PCT/US2017/012060 WO2017123433A1 (en) | 2016-01-04 | 2017-01-03 | Data security system with encryption |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020187022506A Division KR102054711B1 (en) | 2016-01-04 | 2017-01-03 | Data security system using encryption |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190137960A true KR20190137960A (en) | 2019-12-11 |
KR102201093B1 KR102201093B1 (en) | 2021-01-08 |
Family
ID=59311569
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020197035893A KR102201093B1 (en) | 2016-01-04 | 2017-01-03 | Data security system with encryption |
KR1020187022506A KR102054711B1 (en) | 2016-01-04 | 2017-01-03 | Data security system using encryption |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020187022506A KR102054711B1 (en) | 2016-01-04 | 2017-01-03 | Data security system using encryption |
Country Status (6)
Country | Link |
---|---|
JP (3) | JP6633228B2 (en) |
KR (2) | KR102201093B1 (en) |
CN (2) | CN108604982B (en) |
GB (2) | GB2562923B (en) |
TW (2) | TWI692704B (en) |
WO (1) | WO2017123433A1 (en) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10181055B2 (en) | 2007-09-27 | 2019-01-15 | Clevx, Llc | Data security system with encryption |
US11190936B2 (en) | 2007-09-27 | 2021-11-30 | Clevx, Llc | Wireless authentication system |
US10778417B2 (en) | 2007-09-27 | 2020-09-15 | Clevx, Llc | Self-encrypting module with embedded wireless user authentication |
US10783232B2 (en) | 2007-09-27 | 2020-09-22 | Clevx, Llc | Management system for self-encrypting managed devices with embedded wireless user authentication |
TWI651626B (en) * | 2017-11-30 | 2019-02-21 | 大陸商北京集創北方科技股份有限公司 | Biometric data encryption method and information processing device using same |
WO2019177563A1 (en) * | 2018-03-12 | 2019-09-19 | Hewlett-Packard Development Company, L.P. | Hardware security |
GB2607846B (en) * | 2018-06-06 | 2023-06-14 | Istorage Ltd | Dongle for ciphering data |
WO2020037053A1 (en) * | 2018-08-16 | 2020-02-20 | Clevx, Llc | Self-encrypting module with embedded wireless user authentication |
CN110225515B (en) * | 2019-06-24 | 2022-08-23 | 喀斯玛(北京)科技有限公司 | Authentication management system, method and device |
JP2022050899A (en) | 2020-09-18 | 2022-03-31 | キオクシア株式会社 | Memory system |
TWI788936B (en) * | 2021-08-02 | 2023-01-01 | 民傑資科股份有限公司 | Flash drive locked with wireless communication manner |
KR102540669B1 (en) * | 2021-12-17 | 2023-06-08 | 주식회사 그리다에너지 | System for Job history authentication using encrypted and non-editable job data |
CN114598461B (en) * | 2022-02-24 | 2023-10-31 | 广东天波信息技术股份有限公司 | Online unlocking method of terminal equipment, terminal equipment and readable storage medium |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060069711A1 (en) * | 2004-07-08 | 2006-03-30 | Taku Tsunekawa | Terminal device and data backup system for the same |
US20060129829A1 (en) * | 2004-12-13 | 2006-06-15 | Aaron Jeffrey A | Methods, systems, and computer program products for accessing data with a plurality of devices based on a security policy |
US20070300052A1 (en) * | 2005-07-14 | 2007-12-27 | Jevans David A | Recovery of Data Access for a Locked Secure Storage Device |
US20080098134A1 (en) * | 2004-09-06 | 2008-04-24 | Koninklijke Philips Electronics, N.V. | Portable Storage Device and Method For Exchanging Data |
US20080222734A1 (en) * | 2000-11-13 | 2008-09-11 | Redlich Ron M | Security System with Extraction, Reconstruction and Secure Recovery and Storage of Data |
Family Cites Families (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10340231A (en) * | 1997-06-05 | 1998-12-22 | Kokusai Electric Co Ltd | Ic card |
US6529949B1 (en) * | 2000-02-07 | 2003-03-04 | Interactual Technologies, Inc. | System, method and article of manufacture for remote unlocking of local content located on a client device |
US6708272B1 (en) * | 1999-05-20 | 2004-03-16 | Storage Technology Corporation | Information encryption system and method |
CN1195275C (en) * | 1999-09-17 | 2005-03-30 | 芬格罗克股份公司 | Security arrangement |
US7099663B2 (en) * | 2001-05-31 | 2006-08-29 | Qualcomm Inc. | Safe application distribution and execution in a wireless environment |
TW583568B (en) * | 2001-08-27 | 2004-04-11 | Dataplay Inc | A secure access method and system |
US20030109218A1 (en) * | 2001-10-18 | 2003-06-12 | Azalea Microelectronics Corporation | Portable wireless storage unit |
US7561691B2 (en) * | 2001-11-12 | 2009-07-14 | Palm, Inc. | System and method for providing secured access to mobile devices |
US7198571B2 (en) * | 2002-03-15 | 2007-04-03 | Igt | Room key based in-room player tracking |
EP1612692A1 (en) | 2003-04-10 | 2006-01-04 | Matsushita Electric Industrial Co., Ltd. | Password change system |
JP2004326763A (en) * | 2003-04-10 | 2004-11-18 | Matsushita Electric Ind Co Ltd | Password change system |
US20060075230A1 (en) * | 2004-10-05 | 2006-04-06 | Baird Leemon C Iii | Apparatus and method for authenticating access to a network resource using multiple shared devices |
JP2006139757A (en) * | 2004-10-15 | 2006-06-01 | Citizen Watch Co Ltd | Locking system and locking method |
US20060176146A1 (en) * | 2005-02-09 | 2006-08-10 | Baldev Krishan | Wireless universal serial bus memory key with fingerprint authentication |
JP4781692B2 (en) * | 2005-03-08 | 2011-09-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Method, program, and system for restricting client I / O access |
TWI288553B (en) * | 2005-10-04 | 2007-10-11 | Carry Computer Eng Co Ltd | Portable storage device having main identification information and method of setting main identification information thereof |
WO2007087340A1 (en) * | 2006-01-24 | 2007-08-02 | Clevx, Llc | Data security system |
US20070248232A1 (en) * | 2006-04-10 | 2007-10-25 | Honeywell International Inc. | Cryptographic key sharing method |
US20080263363A1 (en) * | 2007-01-22 | 2008-10-23 | Spyrus, Inc. | Portable Data Encryption Device with Configurable Security Functionality and Method for File Encryption |
US20080303631A1 (en) * | 2007-06-05 | 2008-12-11 | Beekley John S | Mass Storage Device With Locking Mechanism |
TWI537732B (en) * | 2007-09-27 | 2016-06-11 | 克萊夫公司 | Data security system with encryption |
CN100533459C (en) * | 2007-10-24 | 2009-08-26 | 北京飞天诚信科技有限公司 | Data safety reading method and safety storage apparatus thereof |
US20100293374A1 (en) * | 2008-07-30 | 2010-11-18 | Bushby Donald P | Secure Portable Memory Storage Device |
JP2010102617A (en) * | 2008-10-27 | 2010-05-06 | Dainippon Printing Co Ltd | System, device, method and program of access management of external storage, apparatus and recording medium |
US20100174913A1 (en) * | 2009-01-03 | 2010-07-08 | Johnson Simon B | Multi-factor authentication system for encryption key storage and method of operation therefor |
US9286493B2 (en) * | 2009-01-07 | 2016-03-15 | Clevx, Llc | Encryption bridge system and method of operation thereof |
US8112066B2 (en) * | 2009-06-22 | 2012-02-07 | Mourad Ben Ayed | System for NFC authentication based on BLUETOOTH proximity |
US20110154023A1 (en) * | 2009-12-21 | 2011-06-23 | Smith Ned M | Protected device management |
US9270663B2 (en) * | 2010-04-30 | 2016-02-23 | T-Central, Inc. | System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added |
DE112011105678T5 (en) * | 2011-09-28 | 2014-07-17 | Hewlett-Packard Development Company, L.P. | Unlock a storage device |
WO2013073260A1 (en) * | 2011-11-19 | 2013-05-23 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Storage device |
US8972728B2 (en) * | 2012-10-15 | 2015-03-03 | At&T Intellectual Property I, L.P. | Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices |
GB201221433D0 (en) * | 2012-11-28 | 2013-01-09 | Hoverkey Ltd | A method and system of providing authentication of user access to a computer resource on a mobile device |
US20140149742A1 (en) * | 2012-11-28 | 2014-05-29 | Arnold Yau | Method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors |
US9215250B2 (en) * | 2013-08-20 | 2015-12-15 | Janus Technologies, Inc. | System and method for remotely managing security and configuration of compute devices |
US20150161587A1 (en) * | 2013-12-06 | 2015-06-11 | Apple Inc. | Provisioning and authenticating credentials on an electronic device |
CN105450400B (en) * | 2014-06-03 | 2019-12-13 | 阿里巴巴集团控股有限公司 | Identity verification method, client, server and system |
-
2017
- 2017-01-03 WO PCT/US2017/012060 patent/WO2017123433A1/en active Application Filing
- 2017-01-03 JP JP2018553854A patent/JP6633228B2/en active Active
- 2017-01-03 CN CN201780005638.6A patent/CN108604982B/en active Active
- 2017-01-03 KR KR1020197035893A patent/KR102201093B1/en active IP Right Grant
- 2017-01-03 KR KR1020187022506A patent/KR102054711B1/en active IP Right Grant
- 2017-01-03 GB GB1811137.7A patent/GB2562923B/en active Active
- 2017-01-03 GB GB1919421.6A patent/GB2580549B/en active Active
- 2017-01-03 CN CN202010783513.XA patent/CN112054892A/en active Pending
- 2017-01-04 TW TW106100149A patent/TWI692704B/en active
- 2017-01-04 TW TW109109809A patent/TWI727717B/en active
-
2019
- 2019-12-11 JP JP2019223413A patent/JP6938602B2/en active Active
-
2021
- 2021-09-01 JP JP2021142248A patent/JP7248754B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080222734A1 (en) * | 2000-11-13 | 2008-09-11 | Redlich Ron M | Security System with Extraction, Reconstruction and Secure Recovery and Storage of Data |
US20060069711A1 (en) * | 2004-07-08 | 2006-03-30 | Taku Tsunekawa | Terminal device and data backup system for the same |
US20080098134A1 (en) * | 2004-09-06 | 2008-04-24 | Koninklijke Philips Electronics, N.V. | Portable Storage Device and Method For Exchanging Data |
US20060129829A1 (en) * | 2004-12-13 | 2006-06-15 | Aaron Jeffrey A | Methods, systems, and computer program products for accessing data with a plurality of devices based on a security policy |
US20070300052A1 (en) * | 2005-07-14 | 2007-12-27 | Jevans David A | Recovery of Data Access for a Locked Secure Storage Device |
Also Published As
Publication number | Publication date |
---|---|
JP6633228B2 (en) | 2020-01-22 |
KR102201093B1 (en) | 2021-01-08 |
JP2019511791A (en) | 2019-04-25 |
GB2580549B (en) | 2020-12-23 |
CN112054892A (en) | 2020-12-08 |
GB201811137D0 (en) | 2018-08-22 |
TWI727717B (en) | 2021-05-11 |
WO2017123433A1 (en) | 2017-07-20 |
TW201737151A (en) | 2017-10-16 |
KR20180107775A (en) | 2018-10-02 |
JP6938602B2 (en) | 2021-09-22 |
JP7248754B2 (en) | 2023-03-29 |
GB2562923A (en) | 2018-11-28 |
KR102054711B1 (en) | 2019-12-11 |
TW202029042A (en) | 2020-08-01 |
JP2021192265A (en) | 2021-12-16 |
CN108604982A (en) | 2018-09-28 |
GB201919421D0 (en) | 2020-02-12 |
TWI692704B (en) | 2020-05-01 |
GB2562923B (en) | 2020-02-12 |
CN108604982B (en) | 2020-09-04 |
GB2580549A (en) | 2020-07-22 |
JP2020057412A (en) | 2020-04-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11151231B2 (en) | Secure access device with dual authentication | |
KR102054711B1 (en) | Data security system using encryption | |
US11233630B2 (en) | Module with embedded wireless user authentication | |
US10783232B2 (en) | Management system for self-encrypting managed devices with embedded wireless user authentication | |
US9813416B2 (en) | Data security system with encryption | |
EP2798565B1 (en) | Secure user authentication for bluetooth enabled computer storage devices | |
US10362483B2 (en) | System, methods and devices for secure data storage with wireless authentication | |
US11190936B2 (en) | Wireless authentication system | |
EP4242902A2 (en) | Self-encrypting module with embedded wireless user authentication | |
US11971967B2 (en) | Secure access device with multiple authentication mechanisms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A107 | Divisional application of patent | ||
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |