NO331504B1 - Fremgangsmate og innretning for kryptering/dekryptering av data pa masselagringsinnretning. - Google Patents
Fremgangsmate og innretning for kryptering/dekryptering av data pa masselagringsinnretning. Download PDFInfo
- Publication number
- NO331504B1 NO331504B1 NO20041110A NO20041110A NO331504B1 NO 331504 B1 NO331504 B1 NO 331504B1 NO 20041110 A NO20041110 A NO 20041110A NO 20041110 A NO20041110 A NO 20041110A NO 331504 B1 NO331504 B1 NO 331504B1
- Authority
- NO
- Norway
- Prior art keywords
- key
- encryption
- decryption
- data
- address
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000004891 communication Methods 0.000 claims description 20
- 238000012546 transfer Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 6
- 230000003287 optical effect Effects 0.000 claims description 4
- 238000005192 partition Methods 0.000 claims description 4
- 239000000835 fiber Substances 0.000 claims description 3
- 230000003068 static effect Effects 0.000 claims 1
- 238000013519 translation Methods 0.000 claims 1
- 230000006870 function Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 239000000969 carrier Substances 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2153—Using hardware token as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Foreliggende oppfinnelse tilveiebringer en fremgangsmåte og innretning som utfører kryptering/dekryptering av data på et masselagringsmedium. Et mangfold av forskjellige krypterings-/dekrypteringsalgoritmer med assosierte nøkler kan bli brukt på forskjellige lagringsområder på mediet, slik som blokker/sektorer på en harddiskdrive, for derved å øke sikkerheten til data betraktelig. I tillegg vil foreliggende oppfinnelse gi en fremgangsmåte og innretning som kombinerer nøklene med tilfeldige tall for videre å øke sikkerheten til dataene. I en foretrukket utførelse av oppfinnelsen vil blokk/sektortallet bli brukt for å velge en algoritme med en assosiert nøkkel og tilfeldig tall. Foreliggende oppfinnelse kan også bli brukt til å kryptere/dekryptere e-mails, nettverkstrafikk etc. og andre typer av elektroniske data. I tillegg kan innretningen brukes i en autentiseringsseksjon når en datamaskin startes opp fra en harddiskdrive, og til og med bli brukt for å velge et visst operativsystem og/eller miljø assosiert med en viss nøkkelbærer ved å forandre master boot record til disksystemet.
Description
Foreliggende oppfinnelse er relatert til en fremgangsmåte og en innretning for sikker kryptering (chiffrering), scrambling, dekryptering (dechiffrering), og av-scrambling av data, og mer spesifikt til en fremgangsmåte og en innretning for sikker kryptering/dekryptering av data under skriving og lesing fra en enhet for masselagring, det være seg disk/båndstasjon eller andre elektroniske/mekaniske/optiske masselagerenheter (kalt masselager), tilknyttet en datamaskin eller annet elektronisk utstyr, det være seg digitale kamera, digitale lyd/video opptakere (kalt datasystemer), via en databuss for masselagring i henhold til de vedlagte, selvstendige krav 1 og 19.
Datasystemer lagrer programmer og data i masselagerenheter. Uautorisert tilgang til slike lagrede data er en kjent og økende trussel. En vanlig fremgangsmåte for beskyttelse av lagret informasjon er å kreve brukernavn og passord fra brukere av datasystemene, og gjennom disse forhindre uautorisert tilgang til dataene.
De færreste vet at en uautorisert person kan få tilgang til enhver informasjon lagret på en masselagerenhet uten å ta i bruk standard brukeridentifisering ved at en uautorisert person kan fjerne lagringsenheten fra datamaskinen (på enkelte datasystemer med eksterne masselagerenheter er dette svært enkelt), montere lagringsenheten i en annen datamaskin og lese/ta i bruk informasjonen lagret på masselagerenheten. Dataene kan til og med modifiseres dersom ønskelig (forfalskning). Tyveri av masselagret data er en betydelig økende trussel.
Det er kjent at man kan sikre informasjon gjennom kryptering forut for lagring på masselagerenheter. Krypterte filer eller datasegmenter må da bli dekryptert før de kan tas i bruk. Når data blir skrevet tilbake til lagringsenheten, må dataene på ny bli kryptert. Denne prosessen innebærer ekstra prosedyrebehandling for brukeren, noe som ofte er årsaken til at slike forholdsregler sjelden er effektive i praksis.
Flertallet av operativsystemer er utviklet slik at de oppretter "arbeidsfiler" (swapfiler, midlertidige filer) for den informasjonen som blir behandlet. Sensitive data kan forbli tilgjengelig i disse "arbeidsfilene". Selv om brukeren tror at jobben er gjort og alle data er kryptert og trygt lagret på disk, kan en kompetent person trekke ut data og dokumenter fra disse "arbeidsfilene".
Selv når slike arbeidskopier er slettet kan de gjenopprettes, da sletting normalt kun vil markere et område av masselagringsmediet som åpent for gjenbruk og ikke slette selve dataene. For å sikre seg at dataene er slettet, må mediet gjentatte ganger bli fylt med tilfeldig data for å sikre at ingen informasjon er tilgjengelig på den slettede delen av masselagringsmediet. Denne prosessen må tilpasses til type lagringsmedium. Eksemplet her er typisk for et magnetisk medium, og vil være forskjellig for et elektronisk/mekanisk/optisk medium, men man kan ikke skrive for mange ganger tilbake til et "flash" minne, da overskrivingen vil forkorte dette mediets levetid betraktelig.
Disse prosedyrene involverer store mengder databearbeiding og bruk av spesielt utviklet programvare.
Bruk av krypteringsprogramvare vil også eksponere de tildelte krypteringsnøklene når disse er i bruk. Uautoriserte personer, virus programmer, spion programmer, osv. kan ta i bruk disse eksponerte nøklene og dekryptere lagret data.
For å unngå noen av de nevnte svakheter ved sikring av masselagret data, er det kjent at man kan kryptere alle lagrete data på en masselagerenhet og dekryptere alle data lest fra en slik masselagerenhet.
En fordel ved denne fremgangsmåten er at alle data på masselagerenheten, til enhver tid, forblir kryptert. Dette oppnås ved å aktivere et dedikert program som håndterer dataflyten til/fra masselagerenheten.
Det nevnte programmet kan derimot ikke lagres i kryptert form fordi datasystemet må kunne lese og implementere programmet for å ha mulighet til å dekryptere informasjon lagret på en masselagerenhet. Dersom all informasjon lagret på masselagerenheten skal krypteres, må programmet lagres på en annen lagringsenhet uten at dataene på denne blir kryptert. En annen opplagt ulempe med et slikt system er behovet for dataressurser stilt av krypterings/dekrypterings-prosessene, da de etterlater svært reduserte prosessorressurser til brukeren av datasystemet, og i tillegg eksponerer krypteringsnøklene når de er i bruk.
US Patent nummer 5,513,262 (van Rumpt et. al.) presenterer en elektronisk innretning for chiffrering/dechiffrering av data sendt til/fra en masselagerenhet i et datasystem ved å sette den elektroniske innretningen inn i databussen som forbinder datasystemet med masselagerenheten.
Den forbindende databussen viderebringer kommando koder, for eksempel for en hard disk stasjonskontroller. Kommandoene blir gjenkjent av den elektroniske innretningen og den lar kommandoene passere uendret, mens dataene blir chiffrert/dechiffrert samtidig som de passerer databussen til/fra masselagerenheten gjennom den elektroniske innretningen.
Chiffrering/dechiffrering oppnås ved å anvende krypterings/dekrypterings-algoritmer (DES) og en krypterings/dekrypterings-nøkkel på dataflyten som passerer gjennom den elektroniske innretningen. Redegjørelsen oppgir derimot ikke hvordan nøkkelen kommer til chiffrerings/dechiffreringsenheten på en sikker måte.
En mulig løsning er en nøkkel "fast programmert" i innretningen, men en utskiftbar nøkkel er heller å foretrekke dersom, for eksempel, en aktiv nøkkel ved en feiltagelse er blitt tilgjengelig for utenforstående. Produsenten av krypterings/dekrypterings-innretningen må også holde oversikt over alle brukte koder dersom, for eksempel, en brukt elektronisk innretning går i stykker og må erstattes for å gjenopprette adgang til lagret data. Derfor må det eksistere en indeks som forbinder "fast programmerte" nøkler med spesifikke krypterings/dekrypterings-innretninger, noe som i seg selv representerer en sikkerhetsrisiko.
Erstatning av en nøkkel innebærer overførsel av nøkkelen fra et datasystem til den elektroniske innretningen gjennom databussen som forbinder datamaskinen med masselagerenheten, hvilket innebærer at prosessorenheten i datasystemet blir involvert. Fiendtlig programvare plantet i datasystemet, som virus, orm, eller Trojansk kode, kan kapre nøkkelen idet den overføres, med det resultat at krypteringen blir kompromittert.
UK Patent søknad nummer GB 2,264,374 (Nolan) presenterer en annen innretning som kobles inn mellom vertsdatamaskinen og en masselagerenhet. Data flyter mellom flere databuffere, noe som kan være akseptabelt i et lavhastighets båndopptaksystem, men strukturen på innretningen kan ikke tilfredsstille kravene i moderne høyhastighets harddisker. I tillegg avhenger krypteringen/dekrypteringen av organiseringen av datablokker i lageret, noe som gjør at krypterings/dekrypterings-innretningen må tilpasses de enkelte datasystemer. Imidlertid presenterer beskrivelsen en separat terminal hvor operatøren kan legge inn krypterings/dekrypterings-nøkler direkte til krypterings/dekrypterings-enheten uten å involvere prosessorenheten i datasystemet. Selv ved bruk av en separat kanal for tilføring av nøkler fra et separat nøkkellagringsmedium, som for eksempel et smartkort, kan dataflyten bli avdekket og/eller manipulert.
Europeisk patentsøknad nummer EP 0471538 A2 viser et datasikkerhetssystem hvor en hardware basert krypteringskrets er inkorporert i diskkontrolleren som en vertsdatamaskin får aksess til en disk gjennom.
Europeisk patentsøknad nummer EP 0950941 A2 viser en annen fremgangsmåte til et apparat for beskyttelse av data på et lagringsmedium ved å kryptere dataene på et lagringsmedium med et passord.
US patentsøknad nummer US 6158004 viser et annet sikkerhetssystem for et informasjonsmedium som er slik sammensatt at bare fildata som inkluderer hemmelig individuell informasjon er kryptert av en krypteringskrets. Kjent fil-administrasjonsdata skrives til en minneenhet i klar tekst.
En stor ulempe med de nevnte innretninger er at alle fremgangsmåter så langt tar i bruk en algoritme og en nøkkel for hele innholdet på lagringsmediet. Like datasett vil bli kryptert med samme mønster, som kan bli brukt til å knekke nøkkelen og krypteringsfremgangsmåten som brukes. Et enkelt eksempel, som illustrerer dette bra er det engelske ordet "IS" som er kryptert til, for eksempel, "CE". Siden "IS" er en hyppig brukt frase i det engelske språk, og ved at denne bokstavkombinasjonen svært ofte er den andre frasen i en setning, kan man ved hjelp av denne observasjonen knekke koden som har blitt brukt.
Oppfinnelsen det gjøres krav på i de vedlagte patent krav og i viste eksempler på utførelse av oppfinnelsen, viser en forbedret fremgangsmåte og enhet for lagring og henting/lesing av kryptert/dekryptert data til/fra et medium for masselagring i et datasystem eller lignende systemer.
Oppfinnelsen beskriver en fremgangsmåte og en enhet som kan kryptere/dekryptere data lokalisert i adresserbare områder på et medium for masselagring gjennom bruk av en av flere krypterings/dekrypterings-algoritmer og nøkler, hvor utvelgelsen av gjeldende algoritme og nøkkel som skal anvendes på valgte dataelement i det adresserbare området, er basert på fysiske adresser til nedre og øvre adressebegrensning som favner over nevnte adresserbare område på masselagringsmediet.
Anordningen av en enhet i henhold til et eksempel på utførelse av den beskrevne oppfinnelsen kan bli brukt til å kryptere/dekryptere e-post eller andre former for elektroniske meldinger fortløpende. Nøkkelen og den assosierte krypteringsalgoritmen kan være et system som fremskaffer en offentlig nøkkel ("public key") og en privat nøkkel ("private key"). På denne måten kan personer som kommuniserer via e-post bruke sine private nøkler til å etablere en sikker kanal for utveksling av meldinger, og gjennom disse utveksle informasjon om hvilke offentlige nøkler og algoritmer beskjeden har blitt kryptert med.
I en foretrukket utførelse av den beskrevne oppfinnelsen er en fremgangsmåte og enhet som tillater ulike operativsystemer å være totalt uavhengige og isolerte, selv når systemene er lagret på samme masselagringsmedium, og som kun blir lastet inn i datasystemet når korrekt nøkkel settes inn i en enhet, i henhold til den beskrevne oppfinnelse, for denne operative konfigurasjonen. I en annen utførelse av den beskrevne oppfinnelsen vil en bruker eller administrator av et datasystem ha sin egen nøkkel lagret kryptert på en nøkkelbærer som overfører nøkkelen til krypterings/dekrypterings-enheten via en sikker kanal. Denne løsningen gir brukeren eller administratoren adgang til egne filer og gyldig operativ konfigurasjon. Når en slik nøkkel blir fjernet fra enheten vil mulige handlinger være, i henhold til foretrukket utførelse av den beskrevne oppfinnelsen, en av følgende: driftsstans, stans av aktive program i datamaskinen, stans av programmer etter en forhåndsdefinert tidsperiode, eller fortsatt drift av datamaskinen frem til datasystemet blir startet på nytt. På dette stadiet vil igjen nøkkelen kreves ved oppstart av maskinen. Fremgangsmåten og enheten i henhold til denne utførelsen av den beskrevne oppfinnelse representerer en stor forbedring av datasikkerheten i et dataserversystem sammenlignet med tidligere løsninger.
Et aspekt ved den beskrevne oppfinnelsen er å tilby en sikker og ikke-manipulerbar fremgangsmåte og enhet for overføring av nøkkel for en
krypterings/dekrypteringsalgoritme opererende i en utførelse av den beskrevne oppfinnelsen.
Figur 1 illustrerer skjematisk en oversikt over et eksempel på en utførelse av foreliggende oppfinnelse. Figur 2 illustrerer skjematisk en oversikt over en sikker kanal som overfører en krypterings/dekrypterings-nøkkel fra et smartkort, eller en annen form for nøkkelbærer, til en enhet i henhold til foreliggende oppfinnelse. Figur 3 illustrerer skjematisk utlegg og sammenkoblinger av funksjonelle enheter i en elektronisk innretning i henhold til en foretrukket utførelse av foreliggende oppfinnelse. Figur 4 er en illustrasjon av en krypteringsprosess i henhold til et eksempel på en utførelse av foreliggende oppfinnelse. Figur 5 er en illustrasjon av en krypteringsprosess i henhold til et eksempel på en utførelse av foreliggende oppfinnelse. Figur 6 er en illustrasjon av en foretrukket utførelse av en krypteringsprosess i henhold til foreliggende oppfinnelse. Figur 7 illustrerer skjematisk et komparatorsystem i henhold til eksempelet på utførelse vist i Figur 3. Figur 8 illustrerer et system, i henhold til foreliggende oppfinnelse, hvor "Master Boot Record" til et disksystem kan byttes om.
En masselagerenhet er koblet til et datasystem gjennom en masselagringsbuss (for eksempel en kabel, kopper eller fiber osv.) som sørger for overføringen av data, kontrollkoder, og statuskoder mellom masselagerenheten og datasystemet.
Det eksisterer flere typer databuss-systemer og protokoller for denne oppgaven, for eksempel SCSI, IDE, AT, ATA, USB, FireWire, FiberChannel med flere. For en fagmann er samtlige av de nevnte databusstyper velkjente.
Den beskrevne oppfinnelsen kan ta i bruk en eller flere av disse databussprotokollene.
En elektronisk enhet 13, i henhold til et eksempel på utførelse av foreliggende oppfinnelse, er illustrert i Figur 1. En masselagerenhet kommuniserer med en datamaskin gjennom enhet 13 som har en side ("host side") 12 som kommuniserer med datamaskinen 10 via
databuss 11, og en annen side ("device side") 14 som kommuniserer med en masselagirngsenhet 16 via databuss 15. Databuss 15 bruker typisk en standard databussprotokoll for masselagring, som kjent for en fagmann. Databuss 11 kan bruke samme protokoll som databuss 15, men kan også være forskjellig, for eksempel en seriell databuss, mens databuss 15 er en parallell databuss. Enheten 13 vil uansett motta data eller sende data til/fra begge ender som knytter sammen datasystemet 10 med
masselagerenheten 16. Data kommunisert fra datasystemet 10 via databuss 11 blir fortløpende kryptert i enheten 13, mens data kommunisert fra masselagerenheten 16 via databuss 15 til datasystemet 10 blir fortløpende dekryptert i samme enhet 13.1 en utførelse av foreliggende oppfinnelse, hvor databuss 11 og databuss 15 tar i bruk forskjellige databussprotokoller, vil enheten 13 også fungere som oversetter mellom de to protokollene mens den samtidig krypterer og dekrypterer data fortløpende.
I henhold til foreliggende oppfinnelse kan enheten 13 organiseres på ulike måter. For eksempel kan de funksjonelle enhetene presentert i Figur 3 organiseres som en integrert del av en harddiskkontroller. I dette tilfellet er databuss 11 typisk en databuss for masselagring. Databuss 15 vil være en intern databussdefinisjon som er direkte knyttet til hardisk-driver systemet.
I et annet eksempel på utførelse av foreliggende oppfinnelse, kan enheten 13 være en krets designet til å være en del av et datasystems hovedkretskort. Databuss 11 vil da typisk være i henhold til den interne databussdefinisjonen for hovedkretskortet, eller skreddersydd til å kommunisere med en programmerbar inn/ut port på hovedkretskortet, for eksempel en "Direct Memory Access" kanal. Databuss 15 vil da være en databuss for masselagring.
Data overført mellom datasystemet og masselagerenheten kan deles inn i to kategorier: kommando/styrings-koder og brukerdata. Kommando/styrings-koder inneholder all informasjon om kommandoer og kontroll av masselagerenheten, det være seg statuskoder, formateringskoder, og koder som spesifiserer data organisering i masselagerenheten, hvilke operasjoner som skal utføres, hvilket adresseområde av mediet som skal brukes, osv.
Kommando/styrings-koder leses via den ene siden ("host side") 12 på enheten 13 fra databuss 11, for så å bli skrevet av enheten 13 til den andre siden ("device side") 14 og ut til databuss 15 uten å bli kryptert eller dekryptert (i noen tilfeller kan endring av koder bli utført). Styreenheten til masselagerenheten vil operere på kommando/styrings-kodene i henhold til produsentens spesifikasjoner av masselagerenheten. Denne fremgangsmåten for selektiv identifisering av kommando/styrings-koder eller data brukes for å sende utvidede kontrollkoder som styrer enheten 13 i utvelgelse av krypteringsnøkler, algoritmer, og andre interne operative funksjoner og egenskaper i enheten 13.
System for gjenkjennelse av slike kommando/styrings-koder er normalt spesifisert i dataprotokollen til masselagerenheten.
For noen masselagerenheters dataprotokoller derimot, vil det ikke være mulig å utvide kommando/styrings-kodene til iverksettelse av operasjoner i enheten 13.1 et annet eksempel på utførelse av foreliggende oppfinnelse, vil det være mulig å "låne" enkelte datablokker på et ubrukt område av masselagringsmediet, normalt et område utenfor lagringsenhetens grense (usynlig område). Enheten 13 kan bruke et slikt område som kommunikasjonsvindu til datamaskinen, og kan, av en fagmann, bli brukt på samme måte som når kommando/styirngs-kodene var utvidede. Datasystemet og enheten 13 kan lese og skrive meldinger (kommandoer, instruksjoner, data, osv.) til hverandre gjennom dette vinduet.
Med referanse til Figur 3, defineres brukerdata som dataene som skal lagres på masselagringsmediet. BCryptering/dekryptering blir gjennomført ved å sende brukerdata som inndata til godt dokumenterte krypteringsalgoritmer som DES, AES, osv. Krypterings/dekrypterings-enheten 13 har, i henhold til foreliggende oppfinnelse, en intern krypto-buss 32 som kobler ulike hardwaremoduler 41a, 41b...41n i enheten 13, som kjører spesifikke krypterings/dekrypterings-algoritmer som hver er tilknyttet strømmen av brukers inndata, som går til/fra en side ("host side") 12 og en annen side ("device side") 14 via de interne databussene i enheten 13, og under overvåkning av styringsenheten 30. For en fagmann er det gitt at 41a, 41b...41n kan implementere en hvilken som helst kjent algoritme, for eksempel gjennom et prosessorsystem for hver algoritme i hardware, for å oppnå maksimal hastighet, men også spesifikt utviklede løsninger for spesifikke krav for militært bruk, satellittkommunikasjon linker osv. (for eksempel algoritmer for scrambling) kan implementeres.
I nok en utførelse av foreliggende oppfinnelse kan algoritmene bli utført i en mikrokontroller anordning, hvor utvelgelsen av spesifikke algoritmer er gjennomført ved å laste forskjellig programtellerinnhold i mikrokontrolleren. Programtellerinnholdet korresponderer med start adressen til hver algoritme lagret i et vanlig program minne. Program minnet kan være et ikke-flyktig minne eller direkteminne initialisert ved oppstart, for eksempel av datasystemet 10. Slike overførsler kan også bli kryptert og/eller være gjenstand for rigide autentifiseringsprosedyrer, velkjente for en fagmann.
Store masselagerenheter må organisere data slik at det er håndterlig for et datasystem å tilby et funksjonelt filsystem for en bruker eller et applikasjonsprogram. Grunnleggende formattering vil være en blokk/sektorinndeling av mediet. Generelt vil det være nødvendig å ha adresserbare områder med underadresserbare enheter innad i området av et masselagringsmedium for å opprette funksjonelle masselagringsløsninger, som for eksempel filsystemer. Et adresserbart område i et masselagringsmedium er vanligvis et sekvensielt, fysisk, adresserbart området av mediet, begrenset av en nedre og øvre adresse som definerer ytterpunktene av det adresserbare området. Masselagringssystemer arrangeres vanligvis i et hierarki av logiske lag som definerer ulike typer av, for eksempel, lagringsområder og systemer. Et eksempel er RAID disksystem-definisjonene. En adresse til et slikt område er vanligvis referert til som en logisk adresse. I den beskrevne oppfinnelsen vil samtlige referanser være på det laveste nivået for adressering-mediets fysiske adresse. Utøvelsen av eksemplene på foreliggende oppfinnelse kan brukes sammen med alle typer logiske lagringsfremgangsmåter og systemer som legges på det fysiske mediet.
I henhold til en foretrukket utførelse av foreliggende oppfinnelse kan slike adresserbare områder (blokker/sektorer) bli individuelt kryptert med egen krypteringsnøkkel og/eller algoritme. Blokken 40 i enheten 13 mottar adressen til et område som for eksempel et blokk/sektor nummer og velger en av algoritmene for eksekvering i modulene 41a, 41b...4ln basert på en sammenligning av dette nummeret med adressen (underadressen innad i det området) assosiert med dataelementet for å bli lagret eller lest fra masselagerenheten 16. Figur 7 illustrerer en komparatorblokk 40. Start adressen og slutt adressen for en datablokk (avgrensningene av et adresserbart område av mediet) blir lagret i komparatoren 40 som henholdsvis "Start Block" og "Stop Block". Når adressen til et brukerdataelement (underadresse innad i området) er mottatt, blir adressen til brukerdataelementet sammenlignet med de tidligere nevnte "Start Block" og "Stop Block" adressene. Dersom adressen til brukerdataelementet er større enn eller lik "Start Block" adressen og adressen til brukerdataelementet er mindre enn eller lik "Stop Block" adressen, vil en Boolsk operasjon AND i komparatoren 40 oppdage dette vilkåret og sende et "is mine" signal til den av algoritme modulene 41a, 41b...41n som dette spesifikke "is mine" signalet er knyttet til, og aktivere algoritmen dersom påvist sant. Dersom dette ikke er tilfelle er signalet usant og forhindrer bruk av den tidligere nevnte algoritme.
I en utførelse av foreliggende oppfinnelse, vil alle prosessor algoritme-modulene i hardware 41a, 41b...41n inneholde et lagringsområde med samme antall minneceller som antall algoritmemoduler. Linken av et "is mine" signal til en spesifikk algoritme modul blir da fullbyrdet ved å legge inn logikken "1" i den cellen med adresse lik nummeret på algoritmemodulen, i motsatt fall "0". Ved å kombinere hvert "is mine" signal fra hver komparator med samtlige celler som har adresse som korresponderer med nummeret på "is mine" signalet, vil utvelgelsen av en algoritme være programmerbar og utbyttbar.
I en implementering av algoritmemodulene i en mikrokontroller kan assosiert korrekt innhold av programtelleren sammen med det assosierte "is mine" signalet foreta utvelgelsen og den utbyttbare programmeringen.
Sammenligningsarrangementet blir repetert "n" ganger i komparator blokken 40, en gang for hver av de "n" seksjonene som kjører en algoritme. Figur 4 illustrerer et eksempel på kryptering av dataelementer (blokker/sektorer eller adresserbare områder) hvor dataene er forskjellige, men hvor den samme nøkkelen brukes. Figur 5 illustrerer den samme krypteringsstrukturen som i Figur 4, men i denne presentasjonen er to av dataelementene like mens den samme nøkkelen brukes. De krypterte dataelementene vil derfor være like, og utgjøre et mønster som kan presentere en sikkerhetsrisiko.
I en foretrukket utførelse av foreliggende oppfinnelse brukes nummerinformasjonen fra en blokk/sektor i en kommando/styrings-kode, eller informasjonen om et adresserbart område gitt i en kommando for det spesifiserte adresserbare området, til å velge en nøkkel, sammen med et tilleggsgenerert nummer unikt for dette blokk/sektor/adresserbare området (en kombinasjon av blokk/sektor/adresserbart område nummer og en tilfeldig generert tabell, hvor kombinasjonen kan utgjøres som en sammensetting dersom nøkkelen er symboler, for eksempel addisjon og subtraksjon osv., dersom nøkkelen er et tall osv.). Denne strukturen er illustrert i Figur 6.
Det valgfritt genererte nummeret brukes til å forhindre at to identiske datablokker (eller datasekvenser) blir identisk kryptert, som presentert i Figur 5. De tilfeldige numrene genereres og lagres i en tabell i enheten 13, adressert gjennom blokk/sektor/adresserbart område nummeret. I en utførelse av den beskrevne oppfinnelsen kan det eksistere flere tabeller som adresseres i to steg, først ved det utvalgte "is mine" signalet generert i komparatoren 40, deretter nummeret fra blokk/sektor/adresserbart område. Denne operasjonen velger det samme tilfeldige nummeret for det samme blokk/sektor/adresserbare området og dermed forsikrer korrekt kryptering/dekryptering av de samme dataelementene, mens den samtidig fremskaffer totalt tilfeldig utvalgte mønstre i flyten av kryptert data, selv om de samme dataelementer dukker opp og de samme nøklene brukes, som illustrert i Figur 6. Tabellens innhold kan genereres innad i enheten 13i en mikrokontroller 51, for eksempel.
Med referanse til Figur 3, for å skrive en datablokk (datasekvens) til et masselager, må datamaskinen fortelle styreenheten for masselageret hvor dataene skal skrives gjennom et blokk/sektor nummer. Krypterings/dekrypterings-enheten vil motta kommandoen med blokk/sektor/adresserbart område nummeret via del 12 av enheten 13. Protokollen som tolker del 30 av enheten 13 vil gjenkjenne dette som en kommando og tilføre den gjennom sin indre dataveg til del 14 av enheten 13. Protokoll delen 30 vil også lagre denne informasjonen og tilføre det til komparatorene 40 i enheten 13 som tidligere beskrevet ("Start Block" og "Stop Block" adresser, adressen til en brukerdataenhet osv.).
Når datamaskinen sender skrive kommandoen, vil protokoll delen 30 sende skrive kommandoen til del 14, og sette protokoll delen 30 klar til å foreta dataoverføringer. Så begynner datamaskinen å sende data. Protokoll delen 30 vil samle inn data fra delen 12 via databussen 11, samle dem til 32 bits størrelser (som er størrelsen på den interne krypto-bussen 32, men som ikke er begrenset til denne størrelsen), og sende dataene til krypto-bussen 32. Komparatoren 40 aktiviserer den rette algoritmemodulen og den assosierte nøkkelen, og lar dataene, på krypto-bussen 32, transporteres gjennom den korrekte algoritme-modulen 41a, 41b...41 n.
Når data leses fra masselagerenheten 16, sender datamaskinen en lesekommando, og protokoll delen 30 vil arrangere dataflyten slik at dataene leses fra masselagerenheten til datamaskinen via den korrekte dekrypteringsfunksjonen innad i enheten 13, på en tilsvarende måte som beskrevet ovenfor.
Når lese/skrive trafikken starter, vil komparatormodulen 40, som inneholder det settet med komparatorer som beskriver de adresserbare områdene på masselagringsmediet som er kryptert med ulike algoritmer ("Start Block" og "Stop Block" adresser), sende signalet "is mine" som korresponderer med den aktuelle sektoren, og dermed velge korrekt algoritmemodul 41a, 41b...41nog assosiert nøkkel.
Krypterings/dekrypterings-algoritmene 41a, 41b...41n vil begynne å samle inn data og organisere dem i henhold til bit størrelsen algoritmen bruker. Når korrekt antall bits er samlet inn, vil data bli sendt gjennom gjeldende algoritmemodul 41a, 41b...41n som utvalgt av komparatoren 40. Etter kryptering/dekryptering vil data bli delt opp i krypto-bussens bit størrelse og sendt fra gjeldende algoritme 41a, 41b...41n tilbake til krypto-bussen 32, ned til protokoll delen 30, som deler dataene til bit størrelsen på databuss 15 eller 11, og videresendes til enten datamaskinen 10 (dekryptering) eller til masselagerenheten 16 (kryptering). Krypteringsmodulene 41a, 41b...41n får også informasjon fra komparatoren når en ny datablokk starter, for å ha muligheten til å ta i bruk CBC eller andre kodingsfunksjoner for å utvide sikkerheten.
Protokoll delen 30 utgir også de nødvendige "hand shake" signaler som utgjør deler av databussene 11 og 15.
Fremgangsmåten og enheten i henhold til den beskrevne oppfinnelsen er ikke begrenset, som beskrevet, til en bestemt krypterings/dekrypterings-algoritme. Modulene 41a, 41b...4ln kan samtlige implementere enhver type algoritme eller scrambling av data. I en foretrukket utførelse av foreliggende oppfinnelse vil hver modul 41a, 41b...41nha lagringsplass for en assosiert nøkkel med den spesifikke algoritmen.
I en "best mode" utførelse av den beskrevne oppfinnelsen er en enhet, som presentert i
Figur 1 og Figur 2, implementert med vekslende og erstattelige nøkler arrangert i hver modul 41a, 41b...41n]i dertil allokert minne, utvalgt av komparatorsystemet, Figur 7, når signalet "is mine" velger en modul 41a, 41b...41n som kjører den aktuelle algoritme valgt av komparatoren 40.
Initiering av krypterings/dekrypterings-systemet i henhold til den foretrukne utførelsen av foreliggende oppfinnelse inkluderer tilføring av en start blokk adresse, en stopp blokk adresse, en nøkkel, og en indikator på hvilken algoritme-modul 41a, 41b...41n som skal tas i bruk for de ulike blokkene/sektorene eller adresserbare delene av et lagringsmedium. Figur 2 presenterer et system med en smartkortleser 61a for lesing av smartkort 63a (nøkkelbærer) som inneholder start blokk adressen, stopp blokk adressen, nøkkelen, og algoritmeindikatoren. Andre måter å bringe denne informasjonen til enheten 13, slik som en infrarød kommunikasjonslink eller radiolink 62b osv., kan brukes i henhold til foreliggende oppfinnelse.
Når enheten 13 er startet, vil den interne mikrokontrolleren 51 hente nøkler fra nøkkelbæreren 63 a. Mikrokontrolleren vil sende nøkler til den korrekte krypteringsmodulen via en sikkerhetsmodul 42. Sikkerhetsmodulen forhindrer ødeleggelse av nøkler dersom mikrokontrolleren 51 skulle kjøre en kode med feil. Mikrokontrolleren vil også legge inn komparatorverdiene.
Det interne RAM 31 ("Random Access Memory") er ordnet på samme måte som en adresserbar del av en masselagerenhet. Det vil si, alle vanlige funksjoner til enheten 13, i henhold til foreliggende oppfinnelse, kan anvendes på innholdet til denneRAM.
For å bruke denne funksjonaliteten kan utvidede koder, som beskrevet ovenfor, bli tatt i bruk for å overføre en datablokk til/fra ram 31, enten til/fra datasystemet 10 via databuss 11, eller til/fra masselagerenheten 16 via databuss 15. En annen fremgangsmåte for tilgang til RAM 31, er å bruke det som en minnelokalitet utenfor diskens avgrensning, og deretter aksessere minnet som om det var en del av disksystemet, om enn skjult. Disse handlingene blir kontrollert av protokoll delen 30.
En oppgave RAM 31 kan utføre er å sende et avbrudd til den interne mikrokontrolleren 51, når for eksempel RAM 31 er full. Mikrokontrolleren 51 kan da lese data fra RAM 31 og foreta prosessering av dataene. Mikrokontrolleren kan også skrive til RAM 31. Datasystemet 10 kan også lese data fra RAM 31. Ved å opprette en enkel kommunikasjonsprotokoll kan datamaskinen kommunisere med mikrokontrolleren 51.1 en utførelse av foreliggende oppfinnelse er en slik protokoll iverksatt, i tillegg til en protokoll hvor mikrokontrolleren 51 kan videresende denne informasjonen til nøkkelbæreren 63,65. På denne måten har vi en kommunikasjonskanal både til mikrokontrolleren og til nøkkelbæreren 63, 65 via datasystemet 10, og direkte internt innad i enheten 13. Disse kommunikasjonskanalene brukes til å laste nøkler til nøkkelbæreren 63, 65 i tillegg til å laste nøkler til algoritme-modulene 41a, 41b...41n.
Uansett implementering kan RAM 31 brukes i flere nyttige applikasjoner. I en av eksemplene på utførelse av foreliggende oppfinnele brukes RAM til å laste e-post og andre typer elektronisk data, slik som filer, nettverkstrafikk osv., til RAM 31, kryptere innholdet av RAM i en utvalgt modul 41a, 41b...41n, for så å lese de krypterte dataene tilbake til datasystemet 10 hvor videre behandling av dataene blir gjennomført. Dersom lengden på dataene overgår størrelsen på RAM 31, vil kommunikasjonsprotokollen dele opp dataene og i en sløyfe sende de ulike datablokkene gjennom prosessen, som beskrevet ovenfor, til det er slutt på data.
Når for eksempel en kryptert e-post eller annen type data skal dekrypteres, må brukeren av datasystemet 10 laste e-posten eller dataene til RAM 31. Enheten 13 kjører da den respektive algoritmen, og den dekrypterte e-posten tilbakeføres til datasystemet 10. Nøkler for denne operasjonen kan være offentlig/privat nøkkelsystem som sørger for et sikkert system hvor nøklene aldri blir eksponert når de transporteres kryptert, i henhold til foreliggende oppfinnelse, til enheten 13 som beskrevet ovenfor.
Et viktig aspekt ved foreliggende oppfinnelse, er å sørge for sikker behandling av krypteringsnøkler. I en foretrukket utførelse av foreliggende oppfinnelse blir en nøkkel først overført til mikrokontrolleren fra datasystemet 10. Deretter kan enheten 13 gjennomføre en utvalgt kryptering av nøkkelen, og mikrokontrolleren 51 overføre og laste den krypterte nøkkelen til nøkkelbæreren 63, 65, for eksempel et smartkort. På denne enkle måten sørger fremgangsmåten og enheten i henhold til foreliggende oppfinnelse, for en sikker kanal for overførsel av krypterte krypteringsnøkler til bruk i systemet.
Et viktig aspekt ved foreliggende oppfinnelse er å bruke nøkler kryptert på nøkkelbærere, slik som smartkort. Nøkkelbærerteknologien tillater å "gjemme" datainnhold i bæreren. Denne egenskapen øker sikkerheten til en nøkkel. Et enda viktigere aspekt ved nøkkelbærerteknologien er at det er mulig å la nøkkelbæreren selv generere en tilfeldig krypteringsnøkkel for en sesjon. På denne måten foregår hele nøkkelprosessen uten menneskelig innblanding, noe som ytterligere øker sikkerheten til nøklene.
Nøkkelbæreren 63, 65 som bærer nøklene, er koblet direkte til enheten 13 via kommunikasjonskanalen 60. Nøkkelenhetens grensesnitt 61 kan for eksempel være en egen smartkortleser. For andre typer nøkkelbærere kan det være en IR sender/mottaker, radiosender/mottaker, eller andre lignende innretninger.
Nøklene lagres i eksterne enheter 63, 65. Det finnes også fremgangsmåter for lagring av nøkkeldata internt i enheten 13, i ikke-flyktig minne 52, 53 hvor brukeren må ta i bruk autentifiseringsfremgangsmåter for å bruke nøklene (dette er en prosedyre som kan opereres sammen med andre sikkerhetsprodukter).
Foreliggende oppfinnelse beskytter lastingen av eksterne nøkler ved å kryptere data til/fra nøkkelbæreren 63, 65.1 henhold til foreliggende oppfinnelse vil enheten 13 sende en offentlig nøkkel til nøkkelbæreren 63, 65 etter gjenkjenning av en nøkkelbærer 63, 65. Nøkkelbæreren 63, 65 vil deretter kryptere, ved bruk av offentlig nøkkel, en "sesjonsnøkkel" til enheten 13, og deretter kan enheten 13 og nøkkelbæreren 63, 65 begynne å kommunisere. En alternativ måte er å bruke en nøkkelutvekslingsfremgangsmåte (for eksempel Diffie-Hellman nøkkelutveksling) til å definere "sesjonsnøkler". "Sesjonsnøkkelen" vil kryptere alle data i kommunikasjonskanalen 60. Foreliggende oppfinnelse vil sende kontrollmeldinger til nøkkelbæreren 63,65 for å forsikre at nøkkelbæreren 63, 65 og nøkkelenhetens grensesnitt 61 fortsatt er aktiv. Disse kontrollmeldingene vil bli sendt ved tilfeldige tidsintervaller med nok data til å forsikre at nøkkelenhetens grensesnitt 61, nøkkelbæreren 63, 65, og enheten 13, kan autentifisere hverandre. Dersom nøkkelbæreren 63,65 oppdager uregelmessigheter vil den stoppes. Dersom enheten 13 oppdager uregelmessigheter vil den stoppes. Et unntak til denne operasjonen er at nøklene kan ha en levetidsparameter. Denne parameteren forteller enheten 13 hvor lang levetid nøklene skal ha i enheten 13 etter at en nøkkelenhet er fjernet. Dersom nøkkelen fjernes vil enheten 13, i henhold til foreliggende oppfinnelse, ikke stanse driften av nøkkelen før levetiden har nådd den predefinerte tidsperioden. All annen merkbar "tukling" med nøkkelen eller nøkkelenhetens grensesnitt 61 vil føre til at enheten 13 stopper driften av alle nøkler. Driftsstans innebærer at nøklene er påviselig fjernet fra enheten 13 og at enheten ikke lengre vil ha tilgang til det beskyttede området definert av nøkkelen.
Med referanse til Figur 8 kan foreliggende oppfinnelse også gjennomføre en dataavskjæringsfunksjon, det vil si den kan merke en sektor/blokk og lagre innholdet internt i RAM 31, modifisere eller endre innholdet, for så å sende det til vertsdatasystemet 10. Med denne funksjonen kan man endre partisjonstabeller på et disksystem og/eller endre partisjonstabeller til å samsvare med et nøkkelsett, for eksempel at forskjellige nøkkelsett kan starte opp systemet med forskjellige operativsystemer. En nøkkelenhet kan starte operativsystem 1, en annen nøkkelenhet kan starte operativsystem 2, hvor operativsystemene 1 og 2 er isolert fra hverandre på harddiskstasjonen.
Dette er en verdifull funksjon for datamaskiner i hjemmekontor, og andre datamaskiner hvor mer enn en bruker har behov for eksklusiv tilgang og beskyttelse av data.
Som vist i Figur 8 kan en harddiskenhet 16 splittes i flere uavhengige, isolerte, lagringsområder. En "Master Boot Record "(MBR) inneholder den nødvendige informasjon et datasystem først laster ved oppstart. Innholdet i en MBR forteller datasystemet hvor/hvordan operativsystemet lastes fra harddiskstasjonen. MBR for forskjellige operativsystem på samme harddiskstasjon kan lagres sammen med en krypteringsnøkkel på for eksempel et smartkort, i henhold til en utførelse av foreliggende oppfinnelse. Som beskrevet ovenfor kan MBR på smartkortet lastes til RAM 31, bli dekryptert og så brukes som MBR til harddiskstasjonen 16 koblet til enheten 13.
Den beskrevne oppfinnelsen inneholder også en to-stegs oppstartsfremgangsmåte for et datasystem. Først sendes et programkodesegment (lagret i enheten 13 i det ikke-flyktige minnet 52, eller i en nøkkelbærer, slik som et smartkort) til vertsdatasystemet 10 som forsyner brukeren/administratoren med en autentifiseringsfremgangsmåte. Deretter, etter suksessfull autentifisering, lastes "Master Boot Record" fra harddiskstasjonen til datamaskinen.
Foreliggende oppfinnelse øker sikkerheten til en masselagerenhet ved å tilby en fremgangsmåte og en enhet for kryptering/dekryptering av data lagret på adresserbare deler av et masselagringsmedium ved bruk av forskjellige algoritmer og krypterings/dekrypterings-nøkler.
Et aspekt ved foreliggende oppfinnelse er å tilføre en nøkkel og en algoritme for en bestemt adresserbar del av lagringsmediet.
Nok et aspekt av foreliggende oppfinnelse er å sørge for økt sikkerhet under kryptering av en slik adresserbar del av et lagringsmedium med den spesifikke nøkkelen og algoritmen ved å fremskaffe et tilfeldig utvalgt tall sammen med nøkkelen for randomisering av de mønstrene som blir dannet på mediet etter kryptering, selv om suksessive dataposter er like og kryptert med samme nøkkel og algoritme. De randomiserte tallene lagres i en tabell, noe som tillater gjenoppretting av et spesifikt tilfeldig tall brukt til dekryptering av dataene kryptert med dette tilfeldige tallet, utvalgt av informasjonen om blokk/sektor nummeret eller adressen til den adresserbare delen av mediet.
Foreliggende oppfinnelse utgjør også et system for å sikre nedlastningen av et spesifikt operativsystem og driftsforhold fra en harddiskstasjon til et datasystem, og sørger også for fullstendig fysisk og logisk isolasjon mellom datafilene til de ulike operativsystemene og til brukerne av datasystemet. Foreliggende oppfinnelse innebærer også en krypterings/dekrypterings-fremgangsmåte og innretning som forhindrer tilgang til data på en server harddisk, for eksempel når disksystemet på serveren blir stjålet eller fjernet og flyttet til et annet datasystem.
Et annet aspekt ved foreliggende oppfinnelse er å tilby en kryptert kommunikasjonskanal for transport av nøkler mellom nøkkelbærere og en innretning i henhold til foreliggende oppfinnelse.
Claims (36)
1.
Fremgangsmåte for kryptering (skifrering, scrambling)/dekryptering (deskifrering, avscrambling) av dataelementer overført til eller fra et masselagringsmedium, hvor masselagringsmediet innbefatter fysisk adresserbare områder,karakterisert vedtrinnene: å tilveiebringe et mangfold av kryptering/dekrypteringalgoritmer med assosierte krypterings-/dekrypteringsnøkler, å velge en og bruke denne ene av mangfoldet av krypterings-/dekrypteringsalgoritmene med den assosierte nøkkelen på et dataelement som blir overført til eller fra en adresse på masselagringsmedier, hvor valget av algoritmen og den assosierte nøkkelen er basert på i det minste to fysiske adresser som definerer en øvre og lavere adressegrense av en variasjonsbredde av adresserbart område som omfavner adressen til dataelementet på mediet.
2.
Fremgangsmåte i henhold til krav 1,karakterisert vedat trinnet med å velge krypterings-/depkrypteringsalgoritmen med den assosierte nøkkelen videre innbefatter trinnet med å kombinere nøkkelen med et tilfeldig generert tall, ved sammenkjeding, subtraksjon eller addisjon eller kombinasjon av disse operasjonene eller ved andre aritmetiske eller logiske operasjoner på de to elementene som er dannet av det tilfeldige tallet og nøkkelen.
3.
Fremgangsmåte i henhold til krav log2,karakterisertv e d at det tilfeldig genererte tallet blir lagret i tabell hvor adressen til tabellen er basert på to fysiske adresser innenfor den valgte variasjonsbredden for det adresserbare området på mediet.
4.
Fremgangsmåte i henhold til krav 1,2 og 3,karakterisertv e d at adressen til tabellen er en indeks dannet av i det minste en del av adressen for dataelementet.
5.
Fremgangsmåte i henhold til krav 3 og 4,karakterisertved at i det minste deler av innholdet i tabellen som lagrer de tilfeldig genererte tall er statisk eller dynamisk erstattbare lagret i tabellen.
6.
Fremgangsmåte i henhold til krav 1,karakterisert vedat trinnet med å velge algoritmen og den assosierte nøkkelen innbefatter trinnene: å tilveiebringe en samling av variasjonsbredder av adresserbare områder ved å liste de øvre og nedre adressegrensene i par, å tilveiebringe en linking slik at en oppføring i samlingen av de adresserbare variasjonsbreddene for områdene er linket til bare en av algoritmene uten å ekskludere muligheten for at en av algoritmene kan være linket til et mangfold av variasjonsbredder av adresserbare områder i den betydningen at en algoritme kan bli brukt i mer enn en variasjonsbredde av adresserbart område på masselagringsmediet, å bruke adressen til et dataelement ved å sammenligne den med alle de øvre og nedre adressegrensene i samlingen, for derved detekterbart å finne paret med lavere og øvre adressegrense som slutter om adressen til dataelementet, og å sende ut et signal eller melding inneholdende informasjon om denne omslutningen av dataelementadressene for derved å identifisere den korrekte av krypterings-/dekrypteringsalgoritmene ved å bruke denne linkingen av algoritmene og variasjonsbredde av adresserbart område.
7.
Fremgangsmåte i henhold til et av kravene 1 til 6,karakterisert vedat linkingen av et øvre og nedre adressepar med en krypterings- /dekrypteringsalgoritme og assosierte nøkkel enten er en forhåndsdefinert, statisk linking eller en dynamisk linging.
8.
Fremgangsmåte i henhold til krav 1,karakterisert vedat nøklene assosiert med algoritmene er overført fra en bærer av en nøkkel til algoritmene over en sikker kryptert kommunikasjonskanal ved å lagre nøkkelen på et lagringselement lesbart koblet til algoritmen.
9.
Fremgangsmåte i henhold til krav 8,karakterisert vedat overføringen av nøkkelen blir gjort ved en sikker utvekslingsplan (Diffie-Hellman nøkkelutvekslingsplan) eller med en offentlig privat nøkkelplan.
10.
Fremgangsmåte i henhold til krav 8,karakterisert vedat overføringen av nøklene blir gjort med en autentiseringsprosess.
11.
Fremgangsmåte i henhold til krav 8,karakterisert vedat nøkkelbæreren er en innretning innbefattende prosesseringselementer og ikke-flyktig hukommelse.
12.
Fremgangsmåte i henhold til krav 8,karakterisert vedat den sikre kommunikasjonskanalen er dannet mellom et nøkkelinnretningsgrensesnitt, mottagbart koblet til bæreren av en nøkkel, og en krypterings-/dekrypteringsalgoritme.
13.
Fremgangsmåte i henhold til krav 12,karakterisertv e d at den dannede sikre kanalen er en optiske og/eller fiberkommunikasjonskanal.
14.
Fremgangsmåte i henhold til krav 12,karakterisertv e d at den dannede sikre kanalen er en trådløs radiokommunikasjonskanal.
15.
Fremgangsmåte i henhold til krav 12,karakterisertv e d at den dannede sikre kanalen er en trådbasert kommunikasjonskanal.
16.
Fremgangsmåte i henhold til krav 11,karakterisertv e d at nøkkelbæreren genererer en krypterings-/dekrypteringsnøkkel i prosesseringselementene.
17.
Fremgangsmåte i henhold til et av kravene 1-16,karakterisertved trinnene: å tilveiebringe en master boot record for et harddisksystem kryptert med en av mangfoldet av krypterings-/dekrypteringsalgorimene med assosiert nøkkel på et smartkort, å lese innholdet av smartkortet for derved å muliggjøre en dekryptering av den nevnte master boot record i den identifiserbare dekrypteringsalgoritmen med den assosierte nøkkelen, å overføre det dekrypterte innholdet av nevnte master boot record til et datamaskinsystem koblet til harddiskdrivesystemet for derved å muliggjøre oppstart av et datamaskinoperativsystem og/eller en viss del av et filsystem og/eller et system/brukermiljø og/eller annen type av partisjon og/eller informasjon lagret kryptert på harddiskdrivesystemet til datamaskinsystemet.
18.
Fremgangsmåte i henhold til krav 17,karakterisertv e d at smartkortet innbefatter en av et mangfold av master boot records og krypterings-/dekrypteringsnøkler.
19.
Innretning (13) for kryptering (skifrering, scrambling)/dekryptering (deskifrering, descrambling) av dataelementer overført til eller fra et masselagringsmedium, der masselagringsmediet innbefatter fysisk adresserbare områder,karakterisert vedat innretningen innbefatter: et mangfold av elektronisk krypterings-/dekrypteringsseksjoner (41a, 41b 41n) med et mottagbart koblet hukommelsesområde for assosierte krypterings-/dekrypteringsnøkler, en komparatorkrets (40) oppdelt i et mangfold av seksjoner innbefattende i hver seksjon to skrivbare/lesbare hukommelseslokasjoner (100,101), to elektroniske komparatorenheter( 102,103) og en logisk port AND (104) koblet sammen slik at hukommelseslokasjonen (100) blir sammenlignet med innholdet av et adresseelement (105) i komparatorenheten (102) for å bestemme om adresseelementet (105) er større eller lik hukommelseslokasjonen (100), og på samme tid å sammenligne adresseelementet (105) med innholdet i hukommelseslokasjonen (101) i komparatorenheten (103) for å bestemme om adresseelementet (105) er mindre eller lik innholdet av hukommelseslokasjonen (101), hvorved utgangen av porten (104) genererer et muliggjøringssignal, i hver partisjon av komparatoren (40) der hvert muliggjøringssignal er koblet til en av mangfoldet av elektronisk krypterings-/dekrypteringsseksjoner (41a, 41b,...41n).
20.
Innretning i henhold til krav 19,karakterisert vedat det er en skrivbar/lesbar tabell i innretningen (13) med tilfeldig genererte tall, hvorved den assosierte nøkkelen med en av de valgte algoritmene, ved hjelp av muliggjøringssignalet, blir kombinert med det tilfeldige tallet med en logisk eller aritmetisk operasjon.
21.
Innretning i henhold til krav 20,karakterisert vedat innholdet av tabellen er forhåndsdefinert og anordnet i et mangfold av innretninger (13).
22.
Innretning i henhold til krav 19,karakterisert vedat nøklene assosiert med algoritmene blir overført fira en bærer (63, 65) av en nøkkel til algoritmeseksjonene (41a, 41b,...41n) over en sikker kryptert kommunikasjonskanal (60) til mikrokontroller (51) i innretningen (13).
23.
Innretning i henhold til krav 22,karakterisert vedat overføringen av nøklene blir gjort med en Diffie-Hellman nøkkelutvekslingsplan eller med en offentlig privat nøkkelplan.
24.
Innretning i henhold til krav 22,karakterisert vedat overføringen av nøklene blir gjort med en autentiseringsprosess.
25.
Innretning i henhold til krav 22,karakterisert vedat nøkkelbæreren (63, 65) er en innretning innbefattende prosesselementer og ikke-flyktig hukommelse.
26.
Innretning i henhold til krav 22,karakterisert vedat den sikre kommunikasjonskanalen (60) er etablert mellom nøkkelbæreren (63, 65) mottagbart koblet til nøkkelinnretningsgrensesnittet (61), og en krypterings-/dekrypteirngsseksjon (41a, 41b,...41n) via mikrokontrolleren (51) og en elektronisk sikker enhet (42).
27.
Innretning i henhold til krav 26,karakterisert vedat nøkkelinnretningsgrensesnittet (61) er en smartkortleser.
28.
Innretning i henhold til krav 22,karakterisert vedat den sikre kanalen (60) er en optisk og/eller fiberkommunikasjonskanal.
29.
Innretning i henhold til krav 22,karakterisert vedat den sikre kanalen (60) er en trådløs radiokommunikasjonskanal.
30.
Innretning i henhold til krav 22,karakterisert vedat den sikre kanalen (60) er en trådbasert kommunikasjonskanal.
31.
Innretning i henhold til krav 19,karakterisert vedat inngang og utgang fra mangfoldet av elektronisk krypterings-/dekrypteringskretsseksjonene (41a, 41b,...41n) er gjort over en kryptobuss (32).
32.
Innretning i henhold til et av kravene 18 til 30,karakterisertv e d at den interne hukommelsen (31) er koblet til kryptobussen (32) via en kretskontroller (30).
33.
Innretning i henhold til et av kravene 19 til 33,karakterisertved at en inngangs-/utgangsbuss (11) og/eller inngangs-/utgangsbuss (15) i innretningen (139 kan være en av følgende valg, men ikke begrense til: SCSI, IDE, AT, ATA, USB, FireWire, FiberChannel.
34.
Innretning i henhold til et av kravene 19 til 33,karakterisertv e d at inngangs-/utgangsbussen (11) og inngangs-/utgangsbussen (15) kan være forskjellig i hvilket tilfelle innretningskontrolleren (30) eksekverer en protokolloversettelse mellom de to inngangs-Aitgangsbussene (11,15).
35.
Innretning i henhold til et av kravene 19, til 34,karakterisertved at: en master boot record til et harddisksystem kryptert med en av mangfoldet av krypterings-/dekrypteringsalgoritmene i de elektroniske krypterings-/dekrypteringsseksjonene (41a, 41b,...41n) med assosiert nøkkel er lagret på en nøkkelbærer (63, 65), mikrokontrolleren (51) leser og overfører den nevnte master boot record for lagring i hukommelsen (31), et koblet datamaskinssystem (10) kan så bli startet opp i henhold til innholdet av hukommelsen (31) via innretningskontrolleren (30) og den mellomkoblede bussen (11).
36.
Innretning i henhold til et av kravene 19 til 35,karakterisertv e d at enhver e-mail eller annen type av elektroniske data som for eksempel nettverkstrafikk kan bli overført fra datamaskinsytemet (10) via bussen (11) og innretningskontrolleren (30) til hukommelsen (31), og bli kryptert/dekryptert over kryptobussen (32), og så bli lest tilbake til datamaskinssystemet (10) for videre handlinger.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US32516801P | 2001-09-28 | 2001-09-28 | |
PCT/NO2002/000342 WO2003027816A1 (en) | 2001-09-28 | 2002-09-25 | Method and device for encryption/decryption of data on mass storage device |
Publications (2)
Publication Number | Publication Date |
---|---|
NO20041110L NO20041110L (no) | 2004-06-16 |
NO331504B1 true NO331504B1 (no) | 2012-01-16 |
Family
ID=23266727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
NO20041110A NO331504B1 (no) | 2001-09-28 | 2004-03-17 | Fremgangsmate og innretning for kryptering/dekryptering av data pa masselagringsinnretning. |
Country Status (14)
Country | Link |
---|---|
US (1) | US7434069B2 (no) |
EP (1) | EP1442349A1 (no) |
JP (2) | JP4734585B2 (no) |
KR (1) | KR100692425B1 (no) |
CN (1) | CN1592877B (no) |
AU (1) | AU2002326226B2 (no) |
BR (1) | BR0212873A (no) |
CA (1) | CA2461408C (no) |
HK (1) | HK1075945A1 (no) |
IL (2) | IL161027A0 (no) |
NO (1) | NO331504B1 (no) |
RU (1) | RU2298824C2 (no) |
WO (1) | WO2003027816A1 (no) |
ZA (1) | ZA200402355B (no) |
Families Citing this family (145)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003110544A (ja) * | 2001-09-28 | 2003-04-11 | Toshiba Corp | 暗復号装置及び方法 |
US7865440B2 (en) * | 2001-10-11 | 2011-01-04 | International Business Machines Corporation | Method, system, and program for securely providing keys to encode and decode data in a storage cartridge |
US20040088481A1 (en) * | 2002-11-04 | 2004-05-06 | Garney John I. | Using non-volatile memories for disk caching |
GB0301448D0 (en) * | 2003-01-22 | 2003-02-19 | Falanx Microsystems As | Microprocessor systems |
KR100524952B1 (ko) * | 2003-03-07 | 2005-11-01 | 삼성전자주식회사 | 기록 매체의 데이터 보호 방법 및 이를 이용한 디스크드라이브 |
DE10310351A1 (de) * | 2003-03-10 | 2004-09-23 | Giesecke & Devrient Gmbh | Laden von Mediendaten in einen tragbaren Datenträger |
KR100712498B1 (ko) | 2003-06-21 | 2007-04-27 | 삼성전자주식회사 | 하드디스크 드라이브의 난수 발생 방법 |
GB2405958A (en) * | 2003-08-20 | 2005-03-16 | Macrovision Europ Ltd | Code obfuscation and controlling a processor by emulation |
JP2005128996A (ja) * | 2003-09-30 | 2005-05-19 | Dainippon Printing Co Ltd | 情報処理装置、情報処理システム及びプログラム |
JP4998518B2 (ja) * | 2003-09-30 | 2012-08-15 | 大日本印刷株式会社 | 情報処理装置、情報処理システム及びプログラム |
US7562230B2 (en) * | 2003-10-14 | 2009-07-14 | Intel Corporation | Data security |
JP2005130059A (ja) * | 2003-10-22 | 2005-05-19 | Fuji Xerox Co Ltd | 画像形成装置および交換部品 |
US7558911B2 (en) * | 2003-12-18 | 2009-07-07 | Intel Corporation | Maintaining disk cache coherency in multiple operating system environment |
EP1578051B1 (en) * | 2004-03-18 | 2008-10-29 | STMicroelectronics (Research & Development) Limited | Apparatus comprising a key selector and a key update mechanism for encrypting/decrypting data to be written/read in a store |
WO2005099342A2 (en) | 2004-04-19 | 2005-10-27 | Securewave S.A. | A generic framework for runtime interception and execution control of interpreted languages |
EP2267624B1 (en) * | 2004-04-19 | 2017-07-12 | Lumension Security S.A. | A generic framework for runtime interception and execution control of interpreted languages |
US7363510B2 (en) * | 2004-05-26 | 2008-04-22 | Mount Sinai School Of Medicine Of New York University | System and method for presenting copy protected content to a user |
JP2006020253A (ja) * | 2004-07-05 | 2006-01-19 | Ricoh Co Ltd | 情報管理システム、情報管理方法、記録媒体及びプログラム |
US20060036952A1 (en) * | 2004-08-16 | 2006-02-16 | Inventec Corporation | Program-controlled system startup management interface for computer platform |
US20060053282A1 (en) * | 2004-09-03 | 2006-03-09 | Mccown Steven H | Canister-based storage system security |
KR20070052233A (ko) * | 2004-09-21 | 2007-05-21 | 마츠시타 덴끼 산교 가부시키가이샤 | 기밀정보처리방법, 기밀정보처리장치, 및 컨텐츠데이터재생장치 |
US7711965B2 (en) * | 2004-10-20 | 2010-05-04 | Intel Corporation | Data security |
US8332653B2 (en) * | 2004-10-22 | 2012-12-11 | Broadcom Corporation | Secure processing environment |
EP1825470A4 (en) * | 2004-12-13 | 2009-04-29 | Lg Electronics Inc | METHOD AND DEVICE FOR WRITING AND USING KEYS FOR ENCRYPTING / DECALKING A CONTENT AND KEY WRITTEN BY THE PROCESS SAVING THE RECORDING MEDIUM |
EP1825469A4 (en) * | 2004-12-13 | 2009-04-29 | Lg Electronics Inc | METHOD AND DEVICE FOR WRITING AND USING KEYS FOR ENCRYPTING / DECREASING A CONTENT AND KEY WRITING BY THE PROCESS SAVING THE RECORDING MEDIUM |
CN1306357C (zh) * | 2004-12-15 | 2007-03-21 | 中国长城计算机深圳股份有限公司 | 一种保证信息安全的计算机系统 |
US8504849B2 (en) | 2004-12-21 | 2013-08-06 | Sandisk Technologies Inc. | Method for versatile content control |
US8601283B2 (en) | 2004-12-21 | 2013-12-03 | Sandisk Technologies Inc. | Method for versatile content control with partitioning |
US8051052B2 (en) * | 2004-12-21 | 2011-11-01 | Sandisk Technologies Inc. | Method for creating control structure for versatile content control |
US7971070B2 (en) * | 2005-01-11 | 2011-06-28 | International Business Machines Corporation | Read/write media key block |
CN100346302C (zh) * | 2005-02-01 | 2007-10-31 | 苏州超锐微电子有限公司 | 一种通过磁盘主引导记录实现网络功能的方法 |
JP2006217369A (ja) * | 2005-02-04 | 2006-08-17 | Seiko Epson Corp | 暗号化/復号化装置、通信コントローラ及び電子機器 |
US8423788B2 (en) * | 2005-02-07 | 2013-04-16 | Sandisk Technologies Inc. | Secure memory card with life cycle phases |
US8321686B2 (en) * | 2005-02-07 | 2012-11-27 | Sandisk Technologies Inc. | Secure memory card with life cycle phases |
US8108691B2 (en) * | 2005-02-07 | 2012-01-31 | Sandisk Technologies Inc. | Methods used in a secure memory card with life cycle phases |
JP2006229863A (ja) * | 2005-02-21 | 2006-08-31 | Seiko Epson Corp | 暗号化/復号化装置、通信コントローラ及び電子機器 |
JP2006251989A (ja) * | 2005-03-09 | 2006-09-21 | Kwok-Yan Leung | オペレーションシステムでネットワークに対応するデータ保護装置 |
WO2006103679A2 (en) | 2005-04-01 | 2006-10-05 | Ged-I Ltd. | A method for data storage protection and encryption |
US7478220B2 (en) * | 2005-06-23 | 2009-01-13 | International Business Machines Corporation | Method, apparatus, and product for prohibiting unauthorized access of data stored on storage drives |
US7743409B2 (en) * | 2005-07-08 | 2010-06-22 | Sandisk Corporation | Methods used in a mass storage device with automated credentials loading |
GB2429308B (en) * | 2005-07-29 | 2007-08-01 | Hewlett Packard Development Co | Data transfer device |
US7536540B2 (en) * | 2005-09-14 | 2009-05-19 | Sandisk Corporation | Method of hardware driver integrity check of memory card controller firmware |
US20070061597A1 (en) * | 2005-09-14 | 2007-03-15 | Micky Holtzman | Secure yet flexible system architecture for secure devices with flash mass storage memory |
CN100561449C (zh) * | 2005-09-23 | 2009-11-18 | 中国科学院计算技术研究所 | 一种硬盘扇区级数据加密解密方法及系统 |
US20070162626A1 (en) * | 2005-11-02 | 2007-07-12 | Iyer Sree M | System and method for enhancing external storage |
US8001374B2 (en) * | 2005-12-16 | 2011-08-16 | Lsi Corporation | Memory encryption for digital video |
DE102006006489A1 (de) * | 2006-02-10 | 2007-08-16 | Bundesdruckerei Gmbh | Verfahren zur Durchführung eines Schreibzugriffs, Computerprogrammprodukt, Computersystem und Chipkarte |
JP4829632B2 (ja) | 2006-02-10 | 2011-12-07 | 株式会社リコー | データ暗号化装置、データ暗号化方法、データ暗号化プログラム、および記録媒体 |
US8046593B2 (en) * | 2006-06-07 | 2011-10-25 | Microsoft Corporation | Storage device controlled access |
CN100468434C (zh) * | 2006-06-28 | 2009-03-11 | 北京飞天诚信科技有限公司 | 一种实现计算机的开机保护方法及装置 |
US8613103B2 (en) | 2006-07-07 | 2013-12-17 | Sandisk Technologies Inc. | Content control method using versatile control structure |
US8639939B2 (en) | 2006-07-07 | 2014-01-28 | Sandisk Technologies Inc. | Control method using identity objects |
US8140843B2 (en) * | 2006-07-07 | 2012-03-20 | Sandisk Technologies Inc. | Content control method using certificate chains |
US8266711B2 (en) | 2006-07-07 | 2012-09-11 | Sandisk Technologies Inc. | Method for controlling information supplied from memory device |
US8245031B2 (en) * | 2006-07-07 | 2012-08-14 | Sandisk Technologies Inc. | Content control method using certificate revocation lists |
US8806227B2 (en) * | 2006-08-04 | 2014-08-12 | Lsi Corporation | Data shredding RAID mode |
US20080072058A1 (en) * | 2006-08-24 | 2008-03-20 | Yoram Cedar | Methods in a reader for one time password generating device |
US20080052524A1 (en) * | 2006-08-24 | 2008-02-28 | Yoram Cedar | Reader for one time password generating device |
JP4983165B2 (ja) * | 2006-09-05 | 2012-07-25 | ソニー株式会社 | 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体 |
US20080080706A1 (en) * | 2006-09-29 | 2008-04-03 | Fujitsu Limited | Code conversion apparatus, code conversion method, and computer product |
KR100834205B1 (ko) | 2006-10-10 | 2008-05-30 | 김상훈 | 외장형데이터저장장치의 보안시스템 및 그 제어방법 |
JP4877962B2 (ja) * | 2006-10-25 | 2012-02-15 | 株式会社日立製作所 | 暗号化機能を備えたストレージサブシステム |
US7876894B2 (en) * | 2006-11-14 | 2011-01-25 | Mcm Portfolio Llc | Method and system to provide security implementation for storage devices |
US20080141041A1 (en) * | 2006-12-08 | 2008-06-12 | Hitachi Global Storage Technologies Netherlands B.V. | Wireless encryption key integrated HDD |
US8423794B2 (en) * | 2006-12-28 | 2013-04-16 | Sandisk Technologies Inc. | Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications |
US8588421B2 (en) | 2007-01-26 | 2013-11-19 | Microsoft Corporation | Cryptographic key containers on a USB token |
US7711213B2 (en) * | 2007-01-29 | 2010-05-04 | Hewlett-Packard Development Company, L.P. | Nanowire-based modulators |
EP1953668A3 (en) * | 2007-01-30 | 2009-12-16 | MCM Portfolio LLC | System and method of data encryption and data access of a set of storage devices via a hardware key |
US20080288782A1 (en) * | 2007-05-18 | 2008-11-20 | Technology Properties Limited | Method and Apparatus of Providing Security to an External Attachment Device |
US20090046858A1 (en) * | 2007-03-21 | 2009-02-19 | Technology Properties Limited | System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key |
US20080184035A1 (en) * | 2007-01-30 | 2008-07-31 | Technology Properties Limited | System and Method of Storage Device Data Encryption and Data Access |
US20080181406A1 (en) * | 2007-01-30 | 2008-07-31 | Technology Properties Limited | System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key |
DE102007005638B4 (de) * | 2007-02-05 | 2014-10-09 | Siemens Aktiengesellschaft | Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskompente einer technischen Anlage |
ITMI20070369A1 (it) * | 2007-02-27 | 2008-08-28 | Archivist S R L | Apparecchiatura per l'archiviazione e la gestione di documenti elettronici e sistema di archiavizione e gestione di documenti elettronici comprendente una o piu'di dette apparecchiature |
JP4892382B2 (ja) * | 2007-03-27 | 2012-03-07 | 株式会社日立製作所 | 記憶装置及びデータ管理方法 |
KR20080100673A (ko) * | 2007-05-14 | 2008-11-19 | 삼성전자주식회사 | 암호화 기반의 프로세서 보안 방법 및 장치 |
US20080288703A1 (en) * | 2007-05-18 | 2008-11-20 | Technology Properties Limited | Method and Apparatus of Providing Power to an External Attachment Device via a Computing Device |
EP2196911A4 (en) * | 2007-07-20 | 2010-10-06 | Hui Lin | CONSTRUCTION AND METHOD FOR ENCRYPTING A DIGITAL INFORMATION MEMORY CARD |
EP2053568A1 (fr) * | 2007-09-28 | 2009-04-29 | Gemplus | Procédé de génération de masques dans un objet communiquant et objet communiquant correspondant |
IL187043A0 (en) * | 2007-10-30 | 2008-02-09 | Sandisk Il Ltd | Secure pipeline manager |
US8898477B2 (en) * | 2007-11-12 | 2014-11-25 | Gemalto Inc. | System and method for secure firmware update of a secure token having a flash memory controller and a smart card |
US8307131B2 (en) * | 2007-11-12 | 2012-11-06 | Gemalto Sa | System and method for drive resizing and partition size exchange between a flash memory controller and a smart card |
US7995754B2 (en) * | 2007-11-30 | 2011-08-09 | Microsoft Corporation | Recordation of encrypted data to a recordable medium |
US9251382B2 (en) * | 2007-12-20 | 2016-02-02 | International Business Machines Corporation | Mapping encrypted and decrypted data via key management system |
US7958372B1 (en) * | 2007-12-26 | 2011-06-07 | Emc (Benelux) B.V., S.A.R.L. | Method and apparatus to convert a logical unit from a first encryption state to a second encryption state using a journal in a continuous data protection environment |
US9262594B2 (en) * | 2008-01-18 | 2016-02-16 | Microsoft Technology Licensing, Llc | Tamper evidence per device protected identity |
US20100031057A1 (en) * | 2008-02-01 | 2010-02-04 | Seagate Technology Llc | Traffic analysis resistant storage encryption using implicit and explicit data |
US20090196417A1 (en) * | 2008-02-01 | 2009-08-06 | Seagate Technology Llc | Secure disposal of storage data |
US8103844B2 (en) | 2008-02-01 | 2012-01-24 | Donald Rozinak Beaver | Secure direct platter access |
US8108928B2 (en) * | 2008-06-20 | 2012-01-31 | International Business Machines Corporation | Adaptive traitor tracing |
US8122501B2 (en) * | 2008-06-20 | 2012-02-21 | International Business Machines Corporation | Traitor detection for multilevel assignment |
US8422684B2 (en) * | 2008-08-15 | 2013-04-16 | International Business Machines Corporation | Security classes in a media key block |
US8341430B2 (en) * | 2008-10-03 | 2012-12-25 | Microsoft Corporation | External encryption and recovery management with hardware encrypted storage devices |
US9104618B2 (en) | 2008-12-18 | 2015-08-11 | Sandisk Technologies Inc. | Managing access to an address range in a storage device |
US8571209B2 (en) | 2009-01-19 | 2013-10-29 | International Business Machines | Recording keys in a broadcast-encryption-based system |
US20100185843A1 (en) * | 2009-01-20 | 2010-07-22 | Microsoft Corporation | Hardware encrypting storage device with physically separable key storage device |
GB2481161B (en) | 2009-03-23 | 2014-08-13 | Hewlett Packard Development Co | System and method for securely storing data in an electronic device |
US9330282B2 (en) * | 2009-06-10 | 2016-05-03 | Microsoft Technology Licensing, Llc | Instruction cards for storage devices |
US8321956B2 (en) | 2009-06-17 | 2012-11-27 | Microsoft Corporation | Remote access control of storage devices |
EP2375355A1 (en) * | 2010-04-09 | 2011-10-12 | ST-Ericsson SA | Method and device for protecting memory content |
US20120079281A1 (en) * | 2010-06-28 | 2012-03-29 | Lionstone Capital Corporation | Systems and methods for diversification of encryption algorithms and obfuscation symbols, symbol spaces and/or schemas |
KR101026647B1 (ko) | 2010-07-26 | 2011-04-04 | 주식회사 유비즈코아 | 통신 보안 시스템 및 그 방법과 이에 적용되는 키 유도 암호알고리즘 |
SE1050902A1 (sv) * | 2010-09-02 | 2012-03-03 | Business Security Ol Ab | Elektronisk krypteringsapparat och metod |
US8650654B2 (en) * | 2010-09-17 | 2014-02-11 | Kabushiki Kaisha Toshiba | Memory device, memory system, and authentication method |
US20120159042A1 (en) * | 2010-12-21 | 2012-06-21 | Western Digital Technologies, Inc. | Data storage device executing a unitary command comprising two cipher keys to access a sector spanning two encryption zones |
KR101824044B1 (ko) * | 2011-05-17 | 2018-01-31 | 삼성전자주식회사 | 부호화 출력 기능을 구비한 데이터 저장 장치 및 시스템 |
FR2980285B1 (fr) * | 2011-09-15 | 2013-11-15 | Maxim Integrated Products | Systemes et procedes de gestion de cles cryptographiques dans un microcontroleur securise |
JP2013069250A (ja) * | 2011-09-26 | 2013-04-18 | Toshiba Corp | 記憶装置および書き込み装置 |
KR101240552B1 (ko) * | 2011-09-26 | 2013-03-11 | 삼성에스디에스 주식회사 | 미디어 키 관리 및 상기 미디어 키를 이용한 피어-투-피어 메시지 송수신 시스템 및 방법 |
KR101236991B1 (ko) | 2011-10-24 | 2013-02-25 | 한국전자통신연구원 | 하드디스크 암호화를 위한 장치 및 방법 |
US8539601B2 (en) | 2012-01-17 | 2013-09-17 | Lockheed Martin Corporation | Secure data storage and retrieval |
US8819443B2 (en) | 2012-02-14 | 2014-08-26 | Western Digital Technologies, Inc. | Methods and devices for authentication and data encryption |
RU2494471C1 (ru) * | 2012-04-10 | 2013-09-27 | Закрытое акционерное общество "Современные беспроводные технологии" | Устройство шифрования данных по стандартам гост 28147-89 и aes |
KR101326243B1 (ko) * | 2012-06-04 | 2013-11-11 | 순천향대학교 산학협력단 | 사용자 인증 방법 |
DE102012015348A1 (de) * | 2012-08-06 | 2014-02-06 | Giesecke & Devrient Gmbh | Verfahren zum Schreiben und Lesen von Daten auf einem blockorientierten Speichermedium |
US11044076B2 (en) * | 2013-02-25 | 2021-06-22 | Hecusys, LLC | Encrypted data processing |
US9215067B2 (en) * | 2013-04-05 | 2015-12-15 | International Business Machines Corporation | Achieving storage efficiency in presence of end-to-end encryption using downstream decrypters |
US9058295B2 (en) | 2013-04-25 | 2015-06-16 | Hewlett-Packard Development Company, L.P. | Encrypt data of storage device |
DE102013212525A1 (de) | 2013-06-27 | 2014-12-31 | Siemens Aktiengesellschaft | Datenspeichervorrichtung zum geschützten Datenaustausch zwischen verschiedenen Sicherheitszonen |
RU2559728C2 (ru) * | 2013-10-24 | 2015-08-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ копирования файлов с зашифрованного диска |
KR101428649B1 (ko) * | 2014-03-07 | 2014-08-13 | (주)케이사인 | 맵 리듀스 기반의 대용량 개인정보 암호화 시스템 및 그의 동작 방법 |
US10326803B1 (en) | 2014-07-30 | 2019-06-18 | The University Of Tulsa | System, method and apparatus for network security monitoring, information sharing, and collective intelligence |
US9298647B2 (en) | 2014-08-25 | 2016-03-29 | HGST Netherlands B.V. | Method and apparatus to generate zero content over garbage data when encryption parameters are changed |
JP6613568B2 (ja) * | 2015-01-19 | 2019-12-04 | 富士通株式会社 | 処理プログラム、処理装置および処理方法 |
US10013363B2 (en) * | 2015-02-09 | 2018-07-03 | Honeywell International Inc. | Encryption using entropy-based key derivation |
US9779262B2 (en) * | 2015-04-20 | 2017-10-03 | Qualcomm Incorporated | Apparatus and method to decrypt file segments in parallel |
US9954681B2 (en) | 2015-06-10 | 2018-04-24 | Nxp Usa, Inc. | Systems and methods for data encryption |
US9514205B1 (en) * | 2015-09-04 | 2016-12-06 | Palantir Technologies Inc. | Systems and methods for importing data from electronic data files |
US10013561B2 (en) * | 2015-10-30 | 2018-07-03 | Ncr Corporation | Dynamic pre-boot storage encryption key |
MD4511C1 (ro) * | 2016-04-20 | 2018-03-31 | Анатолий БАЛАБАНОВ | Dispozitiv şi procedeu de protecţie criptografică a informaţiei binare (variante) |
CN105791434A (zh) * | 2016-04-27 | 2016-07-20 | 深圳市永兴元科技有限公司 | 分布式数据处理方法及数据中心 |
CN106100829B (zh) * | 2016-05-23 | 2020-05-19 | 深圳市硅格半导体有限公司 | 加密存储的方法及装置 |
US10708073B2 (en) | 2016-11-08 | 2020-07-07 | Honeywell International Inc. | Configuration based cryptographic key generation |
DE102017106042A1 (de) * | 2016-12-22 | 2018-06-28 | Fujitsu Technology Solutions Intellectual Property Gmbh | Verfahren zum abgesicherten Hochfahren eines Computersystems, sowie Anordnung, umfassend ein Computersystem und ein an das Computersystem angeschlossenes externes Speichermedium |
CN107516047A (zh) | 2017-08-08 | 2017-12-26 | 杭州中天微系统有限公司 | 一种存储数据加解密装置及方法 |
US11550927B2 (en) | 2017-09-26 | 2023-01-10 | C-Sky Microsystems Co., Ltd. | Storage data encryption/decryption apparatus and method |
CN107590402A (zh) * | 2017-09-26 | 2018-01-16 | 杭州中天微系统有限公司 | 一种存储数据加解密装置及方法 |
US10846412B2 (en) * | 2017-11-14 | 2020-11-24 | Blackberry Limited | Electronic device including display and method of encrypting and decrypting information |
GB2574433B (en) | 2018-06-06 | 2022-11-02 | Istorage Ltd | Dongle for ciphering data |
CN109375875B (zh) * | 2018-10-11 | 2020-03-17 | 北京明朝万达科技股份有限公司 | 文件传输方法和装置 |
US11204986B1 (en) * | 2018-11-28 | 2021-12-21 | American Megatrends International, Llc | Control of a prompt for a credential to unlock a storage device |
CN109670347A (zh) * | 2018-12-05 | 2019-04-23 | 珠海全志科技股份有限公司 | 解密装置、方法及片上系统 |
CN109670344A (zh) * | 2018-12-05 | 2019-04-23 | 珠海全志科技股份有限公司 | 加密装置、方法及片上系统 |
CN109828489B (zh) * | 2018-12-29 | 2020-06-12 | 河南辉煌城轨科技有限公司 | 一种通用型综合监控前置通信控制器软件 |
CN113704145B (zh) * | 2020-05-20 | 2024-02-09 | 慧荣科技股份有限公司 | 加密和解密物理地址信息的方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0471538A2 (en) * | 1990-08-13 | 1992-02-19 | Gec-Marconi (Holdings) Limited | Data security system |
EP0950941A2 (en) * | 1998-03-18 | 1999-10-20 | Fujitsu Limited | Method of and apparatus for protecting data on storage medium and storage medium |
US6158004A (en) * | 1997-06-10 | 2000-12-05 | Mitsubishi Denki Kabushiki Kaisha | Information storage medium and security method thereof |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS63184853A (ja) * | 1987-01-28 | 1988-07-30 | Toshiba Corp | 携帯可能電子装置 |
JPH04256113A (ja) * | 1991-02-08 | 1992-09-10 | Toshiba Corp | コンピュータシステムのセキュリティ管理方式 |
JP2862030B2 (ja) * | 1991-06-13 | 1999-02-24 | 三菱電機株式会社 | 暗号化方式 |
US5179591A (en) * | 1991-10-16 | 1993-01-12 | Motorola, Inc. | Method for algorithm independent cryptographic key management |
NL9200296A (nl) | 1992-02-18 | 1993-09-16 | Tulip Computers International | Inrichting voor het door middel van het des algoritme vercijferen en ontcijferen van data naar en van een harde geheugenschijf. |
GB2264374A (en) | 1992-02-24 | 1993-08-25 | Systems Limited Kk | Programmable protocol converter. |
US5483596A (en) * | 1994-01-24 | 1996-01-09 | Paralon Technologies, Inc. | Apparatus and method for controlling access to and interconnection of computer system resources |
US5659614A (en) * | 1994-11-28 | 1997-08-19 | Bailey, Iii; John E. | Method and system for creating and storing a backup copy of file data stored on a computer |
JP2812312B2 (ja) * | 1996-01-12 | 1998-10-22 | 三菱電機株式会社 | 暗号化システム |
JP3747520B2 (ja) * | 1996-01-30 | 2006-02-22 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理方法 |
GB2319705B (en) * | 1996-11-21 | 2001-01-24 | Motorola Ltd | Arrangement for encryption/decryption of data and data carrier incorporating same |
GB2321728B (en) * | 1997-01-30 | 2001-12-19 | Motorola Inc | Apparatus and method for accessing secured data stored in a portable data carrier |
JP3548529B2 (ja) * | 1997-08-20 | 2004-07-28 | パワークエスト・コーポレーション | イメージ形成中のコンピュータ・パーティション操作 |
US6157722A (en) * | 1998-03-23 | 2000-12-05 | Interlok Technologies, Llc | Encryption key management system and method |
WO2000004681A1 (en) * | 1998-07-16 | 2000-01-27 | Francis Lambert | Method for secure data transmission and storage |
JP3625658B2 (ja) * | 1998-09-18 | 2005-03-02 | 富士通エフ・アイ・ピー株式会社 | 暗号化方式および記録媒体 |
US6519762B1 (en) * | 1998-12-15 | 2003-02-11 | Dell Usa, L.P. | Method and apparatus for restoration of a computer system hard drive |
GB2353191A (en) * | 1999-07-09 | 2001-02-14 | Hw Comm Ltd | Packet data encryption/decryption |
WO2001048755A1 (fr) * | 1999-12-28 | 2001-07-05 | Matsushita Electric Industrial Co., Ltd. | Appareil d'enregistrement, appareil de reproduction, appareil de traitement de donnees, appareil d'enregistrement/de reproduction et appareil de transmission de donnees |
US7270193B2 (en) * | 2000-02-14 | 2007-09-18 | Kabushiki Kaisha Toshiba | Method and system for distributing programs using tamper resistant processor |
JP3801833B2 (ja) * | 2000-02-14 | 2006-07-26 | 株式会社東芝 | マイクロプロセッサ |
AU2002239252A1 (en) * | 2000-11-15 | 2002-05-27 | Netcharge.Com, Inc. | Method and system for transmitting data with enhanced security that conforms to a network protocol |
US20030156715A1 (en) * | 2001-06-12 | 2003-08-21 | Reeds James Alexander | Apparatus, system and method for validating integrity of transmitted data |
US7233669B2 (en) * | 2002-01-02 | 2007-06-19 | Sony Corporation | Selective encryption to enable multiple decryption keys |
US8818896B2 (en) * | 2002-09-09 | 2014-08-26 | Sony Corporation | Selective encryption with coverage encryption |
US20050177749A1 (en) * | 2004-02-09 | 2005-08-11 | Shlomo Ovadia | Method and architecture for security key generation and distribution within optical switched networks |
US20080084995A1 (en) * | 2006-10-06 | 2008-04-10 | Stephane Rodgers | Method and system for variable and changing keys in a code encryption system |
-
2002
- 2002-09-25 KR KR1020047004681A patent/KR100692425B1/ko not_active IP Right Cessation
- 2002-09-25 CA CA2461408A patent/CA2461408C/en not_active Expired - Fee Related
- 2002-09-25 BR BR0212873-0A patent/BR0212873A/pt not_active Application Discontinuation
- 2002-09-25 JP JP2003531293A patent/JP4734585B2/ja not_active Expired - Fee Related
- 2002-09-25 RU RU2004113090/09A patent/RU2298824C2/ru not_active IP Right Cessation
- 2002-09-25 AU AU2002326226A patent/AU2002326226B2/en not_active Ceased
- 2002-09-25 IL IL16102702A patent/IL161027A0/xx unknown
- 2002-09-25 WO PCT/NO2002/000342 patent/WO2003027816A1/en active Application Filing
- 2002-09-25 EP EP02760908A patent/EP1442349A1/en not_active Withdrawn
- 2002-09-25 CN CN028233492A patent/CN1592877B/zh not_active Expired - Fee Related
- 2002-09-30 US US10/259,733 patent/US7434069B2/en not_active Expired - Fee Related
-
2004
- 2004-03-17 NO NO20041110A patent/NO331504B1/no not_active IP Right Cessation
- 2004-03-23 IL IL161027A patent/IL161027A/en not_active IP Right Cessation
- 2004-03-25 ZA ZA2004/02355A patent/ZA200402355B/en unknown
-
2005
- 2005-09-07 HK HK05107868.9A patent/HK1075945A1/xx not_active IP Right Cessation
-
2011
- 2011-02-14 JP JP2011028383A patent/JP2011141883A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0471538A2 (en) * | 1990-08-13 | 1992-02-19 | Gec-Marconi (Holdings) Limited | Data security system |
US6158004A (en) * | 1997-06-10 | 2000-12-05 | Mitsubishi Denki Kabushiki Kaisha | Information storage medium and security method thereof |
EP0950941A2 (en) * | 1998-03-18 | 1999-10-20 | Fujitsu Limited | Method of and apparatus for protecting data on storage medium and storage medium |
Also Published As
Publication number | Publication date |
---|---|
NO20041110L (no) | 2004-06-16 |
KR20040041642A (ko) | 2004-05-17 |
WO2003027816A1 (en) | 2003-04-03 |
CA2461408C (en) | 2012-06-05 |
EP1442349A1 (en) | 2004-08-04 |
US20030070083A1 (en) | 2003-04-10 |
BR0212873A (pt) | 2004-09-14 |
JP2011141883A (ja) | 2011-07-21 |
CN1592877A (zh) | 2005-03-09 |
RU2004113090A (ru) | 2005-10-27 |
IL161027A0 (en) | 2004-08-31 |
RU2298824C2 (ru) | 2007-05-10 |
CA2461408A1 (en) | 2003-04-03 |
US7434069B2 (en) | 2008-10-07 |
HK1075945A1 (en) | 2005-12-30 |
ZA200402355B (en) | 2005-06-29 |
IL161027A (en) | 2009-06-15 |
JP2005504373A (ja) | 2005-02-10 |
JP4734585B2 (ja) | 2011-07-27 |
CN1592877B (zh) | 2010-05-26 |
AU2002326226B2 (en) | 2008-06-12 |
KR100692425B1 (ko) | 2007-03-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
NO331504B1 (no) | Fremgangsmate og innretning for kryptering/dekryptering av data pa masselagringsinnretning. | |
AU2002326226A1 (en) | Method and device for encryption/decryption of data on mass storage device | |
US20040172538A1 (en) | Information processing with data storage | |
US8370645B2 (en) | Protection of security parameters in storage devices | |
US8103882B2 (en) | Apparatus and method for securing data on a portable storage device | |
US7406604B2 (en) | Method for protecting a memory card, and a memory card | |
US20120237024A1 (en) | Security System Using Physical Key for Cryptographic Processes | |
TW200949543A (en) | Secure disposal of storage data | |
JP2010509662A (ja) | 外部不揮発性メモリに記憶された情報の暗号化のための方法およびシステム | |
CN101256609B (zh) | 存储卡及其安全方法 | |
CN101246530A (zh) | 对一组存储设备进行数据加密和数据访问的系统和方法 | |
CN102023935A (zh) | 具有密钥的数据存储设备及其方法 | |
US20080076355A1 (en) | Method for Protecting Security Accounts Manager (SAM) Files Within Windows Operating Systems | |
US20090086965A1 (en) | Secure, two-stage storage system | |
RU2560827C1 (ru) | Способ защиты информации и портативное многофункциональное устройство для защиты информации | |
JP2023081374A (ja) | データ記憶システムに対するセッションベースのセキュアなアクセス制御のための方法およびシステム | |
CN104573564A (zh) | 一种bios管理员密码的系统下管理方法 | |
TWI509457B (zh) | 資料儲存裝置以及其資料保護方法 | |
KR102305680B1 (ko) | 복수의 스토리지를 이용한 보안정보 저장 시스템 | |
JP2021149547A (ja) | 記憶装置および制御方法 | |
CN115935382A (zh) | 一种基于随机数的eMMC控制器的加解密方法 | |
JPH1145202A (ja) | ファイル消去防止装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
CHAD | Change of the owner's name or address (par. 44 patent law, par. patentforskriften) |
Owner name: HIDDN TECHNOLOGY AS, NO |
|
CREP | Change of representative | ||
CHAD | Change of the owner's name or address (par. 44 patent law, par. patentforskriften) |
Owner name: HIDDN TECHNOLOGY AS, LYSAKER TORG 8, 1366 LYSAKER, NORGE MELDING INNKOMMET PATENTSTYRET: 2020.08.17 |
|
MM1K | Lapsed by not paying the annual fees |