RU2298824C2 - Способ и устройство для шифрования/дешифрования данных в запоминающем устройстве большой емкости - Google Patents

Способ и устройство для шифрования/дешифрования данных в запоминающем устройстве большой емкости Download PDF

Info

Publication number
RU2298824C2
RU2298824C2 RU2004113090/09A RU2004113090A RU2298824C2 RU 2298824 C2 RU2298824 C2 RU 2298824C2 RU 2004113090/09 A RU2004113090/09 A RU 2004113090/09A RU 2004113090 A RU2004113090 A RU 2004113090A RU 2298824 C2 RU2298824 C2 RU 2298824C2
Authority
RU
Russia
Prior art keywords
key
encryption
data
decryption
algorithms
Prior art date
Application number
RU2004113090/09A
Other languages
English (en)
Other versions
RU2004113090A (ru
Inventor
Кай Вильхельм НЕССЛЕР (NO)
Кай Вильхельм НЕССЛЕР
Original Assignee
Хай Денсити Дивайсез Ас
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Хай Денсити Дивайсез Ас filed Critical Хай Денсити Дивайсез Ас
Publication of RU2004113090A publication Critical patent/RU2004113090A/ru
Application granted granted Critical
Publication of RU2298824C2 publication Critical patent/RU2298824C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение касается способа и устройства, осуществляющих шифрование/дешифрование данных при записи или считывании из запоминающего устройства. Сущность изобретения состоит в обеспечении множества различных алгоритмов шифрования/дешифрования со взаимодействующими ключами, причем выбирают и используют один из множества различных алгоритмов шифрования/дешифрования со взаимодействующими ключами в элементе данных, подлежащих перенесению в адрес на носителе памяти или из него, причем при выборе алгоритма и взаимодействующего ключа используют, по меньшей мере, два физических адреса, определяющих верхний и нижний предел адресов адресуемой области, включающий адрес элемента данных на носителе. Технический результат, достигаемый при осуществлении изобретения, состоит в повышении защиты запоминающего устройства путем шифрования/дешифрования данных, хранящихся на адресуемых участках носителя памяти большой емкости, с помощью различных алгоритмов и ключей шифрования/дешифрования. 2 н. и 34 з.п. ф-лы, 8 ил.

Description

Область техники, к которой относится изобретение
Настоящее изобретение касается способа и устройства для надежного шифрования (кодирования), скремблирования, дешифрования (декодирования) и дескремблирования данных, и более конкретно, способа и устройства для надежного шифрования и дешифрования данных при записи или считывании из запоминающего устройства большой емкости типа дискового устройства, запоминающего устройства на ленте или другого электронного/механического/оптического носителя памяти большой емкости (называемого памятью большой емкости), связанного с компьютером или другим электронным оборудованием типа цифровой камеры, устройств цифровой звуковой/видеозаписи (называемых компьютерными системами), с помощью шины памяти большой емкости.
Предпосылки создания изобретения
Компьютерные системы хранят программы и данные в запоминающих устройствах большой емкости. Несанкционированный доступ к хранящимся таким образом данным является известной и возрастающей угрозой. Обычный способ защиты такой хранящейся информации заключается в требовании имени пользователя и пароля от пользователя компьютерной системы, избегая таким образом несанкционированного доступа к данным.
Немногие осознают, что лицо, не обладающее полномочиями, может получить доступ к любой части информации, хранящейся в запоминающем устройстве большой емкости, без стандартного способа идентификации пользователя; лицо, не обладающее полномочиями, может удалять запоминающее устройство из компьютера (в некоторых системах с внешними модулями памяти большой емкости это чрезвычайно просто), вставлять запоминающее устройство в другую компьютерную систему и считывать/использовать информацию, хранящуюся в модуле памяти большой емкости, и даже изменять данные, если пожелает (мошенничество). Хищение данных из памяти большой емкости представляет существенно увеличивающуюся угрозу.
Известно обеспечение защиты информации посредством шифрования прежде, чем сохранять ее на носителях памяти большой емкости. Зашифрованные файлы или сегменты данных должны быть дешифрованы прежде, чем их можно использовать. Когда данные записываются обратно в запоминающее устройство, данные должны быть повторно зашифрованы. Этот процесс включает в себя дополнительную обработку процесса для пользователя, и это часто является причиной того, почему такие предосторожности редко эффективны в использовании.
Большинство компьютерных операционных систем также создано для использования рабочих файлов (файлов подкачки, временных файлов) информации, обрабатываемых в данный момент времени. В рабочих файлах могут оставаться доступными уязвимые данные. Даже если пользователь полагает, что задание выполнено, и данные записаны в зашифрованном виде и находятся в безопасности на диске, специалист в данной области техники сможет извлечь данные и документы из рабочих файлов.
Даже когда эти рабочие копии удалены, они все еще являются восстановимыми, поскольку удаление обычно только отмечает область на носителях памяти большой емкости, как свободную для использования, и не стирает данные. Чтобы убедиться, что данные стерты, носители должны быть записаны много раз случайными данными для гарантирования, что никакая информация на удаленной части носителя памяти большой емкости не располагается. Эта процедура является зависимой от носителя данных. Приведенный выше пример типичен для магнитного типа носителей и будет различаться для электронных/механических/оптических носителей. Вы не можете выполнять запись обратно на перепрограммируемых носителях слишком много раз, поскольку запись резко сокращает срок службы носителей.
Эти процедуры включают в себя большой объем компьютерной обработки и используют специально разработанное программное обеспечение.
Использование программ шифрования программного обеспечения раскрывает распределенные ключи шифрования, когда они обрабатываются. Лица, не обладающие полномочиями, вирусные программы, шпионские программы и т.д. могут использовать эти раскрытые ключи для дешифровки хранящихся данных.
Чтобы избежать некоторых из упомянутых выше недостатков обеспечения защиты данных памяти большой емкости, известно, что можно зашифровывать все хранящиеся данные на запоминающем устройстве большой емкости и дешифровывать все считываемые данные с такого запоминающего устройства большой емкости.
Одно преимущество этой схемы заключается в том, что все данные в запоминающем устройстве большой емкости всегда зашифрованы. Это достигается благодаря обеспечению специализированной программы, которая выполняется посредством обрабатывания потока данных в запоминающее устройство большой емкости и из него.
Однако вышеупомянутая программа не может храниться зашифрованной, потому что компьютерная система должна иметь возможность считывать и запускать выполнение программы для обеспечения возможности дешифрования информации, хранящейся в запоминающем устройстве большой емкости. Если вся информация, хранящаяся в запоминающем устройстве большой емкости, подлежит шифрованию, программа должна храниться во втором запоминающем устройстве без шифрования данных, хранящихся в нем. Другим очевидным недостатком в такой системе является требование ресурсов компьютера для процесса шифрования/дешифрования, оставляя намного меньше ресурсов процессора для пользователя компьютерной системы, и ключи шифрования все еще могут быть раскрыты при их использовании.
В патенте США № 5513262 (van Rumpt и др.) раскрыто электронное устройство для кодирования и декодирования данных, посылаемых в запоминающее устройство большой емкости в компьютерной системе и из него, посредством введения электронного устройства в шину, соединяющую компьютерную систему и запоминающее устройство большой емкости.
Соединяющая шина передает коды команд, например, для контроллера жесткого диска. Команды распознаются электронным устройством, и оно пропускает команды неизменяемыми, в то время как данные кодируются/декодируются на ходу, когда они проходят по шине к запоминающему устройству большой емкости и от него через электронное устройство.
Кодирования/декодирования достигают, применяя алгоритмы шифрования/дешифрования (СШД (стандарт шифрования данных)) и ключ шифрования/дешифрования в потоке данных, проходящем через электронное устройство. Однако раскрытие не предлагает, как надежным способом передавать ключ в устройство шифрования/дешифрования.
Одно возможное решение заключается в том, чтобы ключ жестко закодировать в модуль, но заменяемый ключ является более привлекательным, если, например, используемый ключ случайно раскрыт. При изготовлении устройства шифрования/дешифрования требуется также следить за всеми используемыми кодами, если, например, используемое электронное устройство разрушится, его следует заменить, чтобы получить доступ к хранящимся данным. Поэтому там должен существовать индекс, связывающий жестко закодированные ключи с конкретными устройствами, что само по себе представляет риск для защиты.
Замена ключа может подразумевать пересылку ключа от компьютерной системы в электронное устройство по шине соединения между компьютером и запоминающим устройством большой емкости, что означает включение центрального процессора в компьютерную систему. Враждебное программное обеспечение, установленное в компьютерной системе типа вируса, самораспространяющейся программы или кода "Троянский конь", может похитить ключ при перенесении, и шифрование может быть дискредитировано.
В заявке на патент Великобритании GB 2264374 (Nolan) раскрыто другое устройство, которое подлежит введению между главным компьютером и запоминающим устройством большой емкости. Данные проходят между несколькими буферами данных, что может быть приемлемым для системы записи на магнитную ленту низкого быстродействия, но структура устройства не может обслуживать современный быстродействующий накопитель на жестких дисках. Кроме того, шифрование/дешифрование зависит от организации блоков данных при хранении, что делает компьютерную систему устройства шифрования/дешифрования зависимой. Однако патент раскрывает отдельный терминал, где оператор может вводить ключи шифрования/дешифрования непосредственно в устройство шифрования/дешифрования без включения центрального процессора в компьютерную систему. Даже при использовании отдельного канала, поставляющего ключи от отдельного носителя данных ключей подобно интеллектуальной карте, поток данных может быть дискредитированным и/или манипулируемым.
Один большой недостаток известного уровня техники состоит в том, что все способы, известные до сих пор, используют один алгоритм и один ключ для всего содержимого на носителе данных. Равные наборы данных будут зашифрованы с помощью одной и той же кодовой комбинации, которую можно использовать для взламывания используемого ключа и способа шифрования. Простой пример, иллюстрирующий этот сценарий, может заключаться в том, что английское слово "is" (является) может быть зашифровано, например, как "ce". Понимая, что "is" является очень часто встречающейся фразой в английском тексте, и что эта комбинация из двух символов довольно часто является второй фразой в предложении, это наблюдение и кодовая комбинация могут помочь взломать используемый код.
Краткое изложение сущности изобретения
Настоящее изобретение, как заявлено в прилагаемой формуле изобретения и раскрыто в примерах вариантов осуществления изобретения, обеспечивает улучшенный способ и устройство для предоставления возможности хранения и извлечения зашифрованных/дешифрованных данных на/из носителей памяти большой емкости в компьютерной системе или подобной системной среде.
Настоящее изобретение обеспечивает способ и устройство, которые могут шифровать и дешифровать данные, расположенные в адресуемых областях на носителях памяти большой емкости, с помощью одного из множества алгоритмов и ключей шифрования/дешифрования, где выбор текущего алгоритма и ключа, используемых в текущем элементе данных в пределах адресуемой области, основан на физических адресах нижнего и верхнего пределов адресов, которые охватывают упомянутую адресуемую область на носителе памяти большой емкости.
Компоновку устройства согласно варианту осуществления настоящего изобретения можно использовать для шифрования/дешифрования электронной почты или других типов электронных сообщений на ходу. Ключ и связанный алгоритм шифрования могут быть системой, которая обеспечивает открытый ключ и секретный ключ. При этом люди, поддерживающие связь с помощью электронной почты, могут устанавливать защищенный канал для сообщений со своими собственными секретными ключами и посредством обмена информацией, в которой сообщение было зашифровано открытым ключом и алгоритмом.
В предпочтительном варианте осуществления настоящего изобретения обеспечены способ и устройство, которые позволяют различным операционным системам быть полностью независимыми и изолированными, даже когда они хранятся на одних и тех же носителях памяти большой емкости, и загружать их в компьютерную систему только когда в устройство введен надлежащий ключ в соответствии с настоящим изобретением для этих условий эксплуатации. В одном варианте осуществления изобретения, пользователь/администратор компьютерной системы будет иметь свой собственный ключ, хранящийся зашифрованным на носителе ключей, который передает ключ устройству шифрования/дешифрования по защищенному каналу. Эта компоновка позволяет пользователю/администратору обращаться к собственным файлам данных и разрешенным условиям эксплуатации. Когда такой ключ удален из устройства, выполняемое возможное действие, согласно предпочтительному варианту осуществления изобретения, может быть одним из следующих: завершение работы компьютера, просто останавливая выполнение программ в компьютере, останавливая выполнение программ после прохождения предварительно определенного периода времени или просто оставляя компьютер работающим, пока компьютерная система не перезагрузится. Здесь, ключ может потребоваться, когда загрузка запускается снова. Способ и устройство согласно этому конкретному варианту осуществления изобретения обеспечивают существенное улучшение безопасности данных в серверной системе компьютера по сравнению с известным уровнем техники.
Аспект настоящего изобретения заключается в обеспечении безопасного и свободного от тайного действия способа и устройства для обеспечения ключа для выполнения алгоритма шифрования/дешифрования в варианте осуществления изобретения.
Фиг.1 изображает схематический вид примера варианта осуществления настоящего изобретения.
Фиг.2 изображает схематический вид защищенного канала, передающего в устройство ключ шифрования/дешифрования от интеллектуальной карты или другого типа носителя ключей в соответствии с настоящим изобретением.
Фиг.3 изображает схематическую разбивку и взаимосвязи функциональных блоков в электронном устройстве в соответствии с предпочтительным вариантом осуществления настоящего изобретения.
Фиг.4 представляет иллюстрацию процесса шифрования согласно примеру варианта осуществления настоящего изобретения.
Фиг.5 представляет иллюстрацию процесса шифрования согласно примеру варианта осуществления настоящего изобретения.
Фиг.6 представляет иллюстрацию предпочтительного варианта осуществления процесса шифрования в соответствии с настоящим изобретением.
Фиг.7 изображает схематический вид системы компаратора согласно варианту осуществления изобретения, изображенному на фиг.3.
Фиг.8 изображает систему в соответствии с настоящим изобретением, где головная запись загрузки системы дисков является заменяемой.
Запоминающее устройство большой емкости связано с компьютерной системой магистральной шиной памяти большой емкости (типа кабеля, медного кабеля или волоконно-оптического кабеля и т.д.), которая обеспечивает передачу данных, управляющих кодов и кодов состояния между запоминающим устройством большой емкости и компьютерной системой.
Есть несколько типов таких магистральных систем и протоколов, используемых для этой цели. Примерами являются ИМВС (интерфейс малых вычислительных систем)(SCSI), ВИН (встроенный интерфейс накопителя) (интерфейс IDE), ПТ (продвинутая технология)(AT), УТП (усовершенствованная технология подсоединения)(ATA), УПШ (универсальная последовательная шина)(USB), FireWire (высокоскоростная локальная шина), волоконно-оптический канал и другие. Эти типы шин специалистам в данной области техники известны.
Настоящее изобретение может использовать один или больше из этих шинных протоколов.
На фиг.1 показано электронное устройство 13 в соответствии с вариантом осуществления изобретения. Запоминающее устройство большой емкости осуществляет связь с компьютером через устройство 13, которое обеспечивает первый конец 12, связанный с компьютером 10 через сегмент 11 шины, и второй конец 14, связанный с шинным запоминающим устройством 16 большой емкости через сегмент 15 шины. В сегменте 15 шины обычно используется стандартный шинный протокол памяти большой емкости, как известно специалистам в данной области техники. В сегменте 11 шины может использоваться тот же протокол, что и в сегменте 15, но может использоваться другой протокол, например последовательная шина, в то время как сегмент 15 представляет собой параллельную шину. Во всяком случае устройство 13 принимает данные или передает данные к обоим концам и с обоих концов, связывающих компьютерную систему 10 с запоминающим устройством 16 большой емкости. Данные, посылаемые от компьютерной системы 10 через сегмент 11, шифруются на ходу в устройстве 13, в то время как данные, посылаемые из запоминающего устройства 16 большой емкости через сегмент 15 в компьютерную систему 10, дешифруются на ходу в том же устройстве 13. В варианте осуществления настоящего изобретения, где сегмент 11 и сегмент 15 используют различные шинные протоколы, устройство 13 также служит в качестве преобразователя между двумя протоколами, в то же время одновременно обеспечивая на ходу шифрование/дешифрование данных пользователя.
В соответствии с настоящим изобретением, устройство 13 можно компоновать различными способами. Например, функциональные блоки, как изображено на фиг.3, можно компоновать как неотъемлемую часть контроллера жесткого диска. В этом случае сегмент 11 шины обычно представляет собой шину памяти большой емкости. Сегмент 15 шины обычно является внутренним определением шины, которая подключена прямо к системе накопителя на жестких дисках.
Еще в одном примере варианта осуществления настоящего изобретения, устройство 13 является схемой, разработанной как часть материнской платы компьютерной системы. Как правило, сегмент 11 шины осуществлен в соответствии с внутренним определением шины материнской платы, или он специально приспособлен для обеспечения связи с программируемым устройством ввода/вывода на материнской плате, например, каналом прямого доступа к памяти. Сегмент 15 шины является шиной памяти большой емкости.
Данные, передаваемые между компьютерной системой и запоминающим устройством большой емкости, могут быть разделены на две категории: коды команды/управления и данные пользователя. Коды команды/управления представляют всю информацию относительно команды/управления запоминающего устройства большой емкости, включая коды состояния, коды форматирования и коды, которые определяют организацию данных носителей памяти большой емкости, какую операцию исполнить, которое местоположение использовать на носителях и т.д.
Коды команды/управления считываются через первый конец 12 устройства 13 с сегмента 11 шины и затем записываются устройством 13 на второй стороне 14 на сегмент 15 шины без шифрования или дешифрования (однако, в некоторых случаях там может выполняться перемежение). Контроллер запоминающего устройства большой емкости будет действовать на основании этих команд/управлений согласно спецификациям обработки запоминающего устройства большой емкости. Эта компоновка выборочной идентификации команд/кодов или данных используется, чтобы посылать расширенные управления/коды, которые воздействуют на устройство 13 для выбора ключей шифрования, алгоритмов и других операционных функций и характеристик внутри устройства 13.
Схема относительно того, как распознавать такие коды команды/управления, обычно определяется в шинном протоколе памяти большой емкости.
Однако, в некоторых шинных протоколах памяти большой емкости нет возможности расширять коды команды/управления, чтобы достичь действий в устройстве 13. В другом примере варианта осуществления настоящего изобретения возможно "заимствовать" некоторые блоки данных на неиспользуемой области на носителе памяти большой емкости, обычно области за пределом запоминающего устройства (скрытая область). Устройство 13 может использовать такую область, как окно связи с компьютером, и она может использоваться таким же образом, как известно специалистам в данной области техники, как в случае, когда коды команды/управления расширены. Компьютерная система и устройство 13 могут считывать и записывать сообщения (команды, инструкции, данные и т.д.) друг для друга через это окно.
Рассмотрим теперь фиг.3, на которой данные пользователя представляют собой данные, подлежащие хранению на носителе памяти большой емкости. Шифрование и дешифрование выполняются при посылке данных пользователя в качестве входных данных в хорошо описанные в документах алгоритмы шифрования типа СШД (стандарта шифрования данных)(DES), УСШ (усовершенствованного стандарта шифрования)(AES) и т.д. Устройство 13 шифрования/дешифрования, в соответствии с настоящим изобретением, имеет внутреннюю шину 32 шифратора, которая подключает различные секции 41a, 41b, 41n оборудования в устройстве 13, каждая из которых выполняет конкретные алгоритмы, подключенные к потоку ввода данных пользователя, проходящему к первому концу 12 и второму концу 14 и от них через внутренние шины внутри устройства 13 и под контролем управляющей части 30 устройства. Специалистам в данной области техники должно быть понятно, что 41a, 41b, 41n могут воплощать любой из известных алгоритмов, например, в постоянно замонтированной компоновке процессора для каждого алгоритма с учетом максимального быстродействия, но также могут быть воплощены и специально разработанные решения для конкретных потребностей типа военного использования, каналов спутниковой связи и т.д. (например, алгоритмы скремблирования).
Еще в одном варианте осуществления изобретения, алгоритмы могут быть выполнены в компоновке микроконтроллера, где действие выбора конкретного алгоритма выполняется посредством загрузки различного содержимого указателя команд в микроконтроллере. Каждое из упомянутого содержимого указателя команд соответствует начальному адресу каждого алгоритма, хранящегося в общей памяти для хранения программ. Памятью для хранения программ может быть, например, постоянная энергонезависимая память или оперативное запоминающее устройство, инициализируемое в момент включения электропитания от компьютерной системы 10. Таким образом, пересылки также могут шифроваться и/или подвергаться жестким процедурам проверки полномочий, как известно специалистам в данной области техники.
Крупные запоминающие устройства большой емкости должны организовывать данные так, чтобы ими могла управлять компьютерная система, и обеспечивать функциональную файловую систему для пользователя или прикладной программы. Основное форматирование представляет собой деление носителей на блоки/сектора. В общем, необходимо иметь адресуемые области с подадресуемыми модулями внутри области на носителе памяти большой емкости, чтобы составить (основать) функциональные решения памяти большой емкости типа файловых систем. Адресуемая область на носителе памяти большой емкости обычно является последовательной физически адресуемой областью носителя, ограниченной нижним и верхним адресами, определяющими протяженность адресуемой области. Системы памяти большой емкости обычно упорядочиваются в иерархии логических уровней, определяющих различные типы, например, областей и систем памяти. Примером являются определения дисковых систем ИМНД (избыточный массив независимых дисков). Адрес такой области обычно упоминается как логический адрес. В настоящем изобретении все ссылки будут относиться к самому нижнему уровню адреса - физическому адресу на носителе. Варианты осуществления настоящего изобретения можно использовать со всеми видами уровней и систем логической памяти на высоком уровне среды передачи сигнала.
Согласно предпочтительному варианту осуществления настоящего изобретения, такие адресуемые области (блоки/сектора) могут быть индивидуально зашифрованы с помощью своего собственного ключа и/или алгоритма шифрования. Блок 40 в устройстве 13 принимает адрес области типа номера блока/сектора и выбирает один из алгоритмов, подлежащих выполнению в секциях 4la, 41b,.., 41n на базе сравнения этого номера с адресом (подадресом в пределах области), связанным с элементом данных, подлежащим сохранению или считыванию из запоминающего устройства 16 большой емкости. Фиг.7 иллюстрирует блок компаратора 40. Начальный адрес и конечный адрес блока данных (пределы адресуемой области на носителе) хранятся в компараторе 40 как "блок запуска" и "блок останова" соответственно. Когда получен адрес элемента данных пользователя (подадрес в пределах области), адрес элемента данных пользователя сравнивается с вышеупомянутыми адресами "блока запуска" и "блока останова". Если адрес элемента данных пользователя больше или равен адресу "блока запуска", и адрес элемента данных пользователя меньше или равен адресу "блока останова", булева операция и в компараторе 40 определяет это состояние и посылает сигнал "является моим" в одну из секций алгоритма 41a, 41b,..., 41n, так что этот конкретный сигнал "является моим" связывается с предоставлением алгоритма, когда он истинный. В противном случае сигнал является ложным, запрещающим выполнение вышеупомянутого алгоритма.
В варианте осуществления изобретения, все постоянно замонтированные секции 41a, 41b,..., 41n алгоритмов процессора содержат область памяти с таким же количеством ячеек памяти, какое имеется в секциях алгоритмов. Тогда выполняется связывание сигнала "является моим" с конкретной секцией алгоритма с помощью введения логической 1 в ячейке с адресом, равным номеру секции алгоритма, в противном случае нуль. Объединяя каждый сигнал "является моим" от каждого компаратора со всеми ячейками с адресом, соответствующим номеру сигнала "является моим", получают выбор алгоритма, являющийся взаимозаменяемо программируемым.
В варианте осуществления секций алгоритмов с помощью микроконтроллера можно, связывая надлежащее содержимое указателя команд со связанным сигналом "является моим", выполнять выбор и взаимозаменяемое программирование.
Компоновка сравнения в блоке компаратора 40 повторяется n раз, по одному разу для каждой из n секций, выполняющих алгоритм.
Фиг.4 иллюстрирует пример шифрования элементов данных (блоков/секторов или адресуемых областей), где данные являются различными, но используется один и тот же ключ.
Фиг.5 иллюстрирует такую же схему шифрования, как на фиг.4, но в этом примере два из элементов данных являются теми же, и используется один и тот же ключ. Поэтому зашифрованные элементы данных будут составлять такую же кодовую комбинацию, которая может представлять риск для защиты.
В предпочтительном варианте осуществления настоящего изобретения, информация о номере блока/сектора в коде команды/управления или информация об адресуемой области, даваемая в команде для этой конкретной адресуемой области, используется для выбора ключа, вместе с произвольно сгенерированным номером, уникальным для этого блока/сектора/адресуемой области (комбинация номера блока/сектора/адресуемой области и случайной сгенерированной таблицы, где комбинация может быть составлена, как сцепление, если ключ представляет собой символы, например добавление или вычитание и т.д., если ключ представляет собой номер и т.д.). Эта схема иллюстрируется на фиг.6.
Произвольно сгенерированный номер используется для предотвращения ситуации, когда два идентичных блока данных (или последовательности данных) будут зашифрованы идентично, как показано на фиг.5. Случайные номера генерируются и сохраняются в таблице внутри устройства 13, адресуемого номером блока/сектора/адресуемой области. В варианте осуществления настоящего изобретения может быть множество таблиц, которые адресуются в два этапа, сначала сигналом выбора "является моим", генерируемым в компараторе 40, а на втором этапе номером блока/сектора/адресуемой области. Эта компоновка обеспечивает то же самое случайное число для того же самого номера блока/сектора/адресуемой области, таким образом обеспечивая надлежащее шифрование/дешифрование одних и тех же элементов данных, в то же самое время обеспечивая полностью случайные кодовые комбинации в зашифрованном потоке данных, даже если появляются такие же элементы данных, и используются такие же ключи, как показано на фиг.6. Содержимое таблицы может быть сгенерировано внутри, в устройстве 13 в микроконтроллере 51.
Обращаясь теперь к фиг.3, отметим, что для записи блока данных (последовательности данных) на диск, компьютер должен сообщить контроллеру диска через номер блока/сектора, где записать данные. Устройство шифрования/дешифрования принимает команду с номером блока/сектора/адресуемой области через конец 12 устройства 13. Интерпретирующая протокол часть 30 устройства 13 распознает ее, как команду, и посылает ее по своему внутреннему тракту передачи данных к концу 14 устройства 13. Часть 30 протокола также сохраняет эту информацию и передает ее в компараторы 40 внутри устройства 13, как описано выше (адреса "блока запуска" и "блока останова", адрес элемента данных пользователя и т.д.).
Когда компьютер посылает команду записи, часть 30 протокола посылает команду записи в конце 14 и устанавливает часть 30 протокола в состояние готовности выполнять передачи данных. Тогда компьютер запускает посылку данных. Часть 30 протокола собирает данные из конца 12 через сегмент 11 шины, устанавливая размеры их в 32 бита (который является размером внутренней шины 32 шифратора, но не ограничиваясь этим размером), и передавая данные в шину 32 шифратора. Компаратор 40 разблокирует надлежащую секцию алгоритма и связанный ключ и позволяет данным, по шине 32 шифратора, проходить через надлежащую секцию алгоритма 4la, 41b,..., и 41n.
Когда данные считываются из запоминающего устройства 16 большой емкости, компьютер посылает команду считывания, и часть 30 протокола упорядочивает поток данных так, что данные считываются из запоминающего устройства большой емкости в компьютер через надлежащую функцию дешифрования внутри устройства 13 способом, подобным описанному выше.
Когда запускается трафик считывания/записи данных, секция компаратора 40, которая содержит набор компараторов, описывающих адресуемые области на носителях памяти большой емкости, зашифрованные с помощью различных алгоритмов (адреса "блока запуска" и "блока останова"), посылает выходной сигнал "является моим", который соответствует текущему сектору, таким образом выбирая надлежащую секцию алгоритма 41a, 41b,..., 41n и связанный ключ.
Алгоритмы шифрования/дешифрования, 41a, 41b,..., или 41n запускают сбор данных, упорядочивая их к битовому размеру используемого алгоритма. Когда надлежащее количество битов собрано, данные будут посланы через текущую секцию алгоритма 41a, 41b,..., 41n, выбранную компаратором 40. После шифрования/дешифрования данные будут разбиты на битовый размер шины шифратора и посланы с выхода текущего алгоритма 41a, 41b,..., 41n назад по шине 32 шифратора к части 30 протокола, которая разбивает данные до битового размера сегментов 15 или 11 шины и посылает данные либо в компьютер 10 (дешифрование), либо в запоминающее устройство 16 большой емкости (шифрование). Секции шифрования 41a, 41b,..., 41n также получают информацию от компаратора, когда запускается новый блок данных, чтобы получить возможность использовать ЦЦБ (цепочку цифровых блоков)(CBC) или другие функции шифрования для расширения защиты.
Часть 30 протокола выдает также все необходимые сигналы "квитирования установления связи", являющиеся частью сегментов 11 и 15 шины.
Способ и устройство в соответствии с настоящим изобретением не ограничены, как описано, определенным алгоритмом шифрования/дешифрования. Все секции 41a, 41b,..., 41n могут воплощать любой тип алгоритма или скремблирования данных. В предпочтительном варианте осуществления настоящего изобретения каждая секция 41a, 41b,..., 41n имеет "слоты" памяти для ключа, связанного с этим конкретным алгоритмом.
В лучшем варианте осуществления режима изобретения устройство воплощено, как изображено на фиг.1 и фиг.2, где ключи взаимозаменяемым и заменяемым образом размещены в каждой секции 41a, 41b,..., 41n в распределениях памяти, выбранных системой компаратора, изображенной на фиг.7, когда сигнал "является моим" выбирает секцию 41a, 41b,..., 41n, выполняющую текущий алгоритм, выбранный компаратором 40.
Инициализация системы шифрования/дешифрования согласно предпочтительному варианту осуществления изобретения включает в себя обеспечение адреса блока запуска, адреса блока останова, ключа и индикатора того, которая секция алгоритма 41a, 41b,..., 41n должна использоваться для различных блоков/сектора или адресуемой части носителя данных. Фиг.2 изображает систему со считывающим устройством 61а интеллектуальной карты для считывания с интеллектуальной карты 63а (носителя ключей), содержащей адрес блока запуска, адрес блока останова, ключ и индикатор алгоритма. Согласно изобретению, можно использовать другое средство обеспечения этой информации для устройства 13 типа линии связи в инфракрасном диапазоне или канала 62b радиосвязи и т.д.
Когда устройство 13 запускается, внутренний микроконтроллер 51 собирает ключи с носителя 63a ключей. Микроконтроллер посылает ключи в надлежащую секцию шифрования через секцию 42 защиты. Секция защиты предотвращает разрушение ключей, если микроконтроллер 51 запустил выполнение неисправного кода. Микроконтроллер также загружает значения компаратора.
Внутреннее ОЗУ 31 (оперативное запоминающее устройство)(RAM) устроено таким же образом, как адресуемая часть запоминающего устройства большой емкости. То есть, все общие особенности устройства 13 в соответствии с настоящим изобретением могут применяться к содержимому ОЗУ.
Чтобы использовать эти функциональные возможности, можно использовать расширенные коды, как описано выше, для перемещения блока данных в ОЗУ 31 и из него, или в/из компьютерной системы 10 через сегмент 11 шины, или в/из запоминающего устройства 16 большой емкости через сегмент 15 шины. Другой способ доступа к ОЗУ 31 состоит в том, чтобы использовать его как ячейку памяти вне границы диска, и таким образом, для доступа к памяти, как будто это часть дисковой системы, хотя и скрытая. Эти действия управляются в соответствии с частью 30 протокола.
Одно действие, которое ОЗУ 31 может выполнять, заключается в посылке прерывания во внутренний микроконтроллер 51, когда, например, ОЗУ 31 заполнено. Тогда микроконтроллер 51 может считывать данные из ОЗУ 31 и выполнять обработку данных. Микроконтроллер также может выполнять запись в ОЗУ 31. Компьютерная система 10 также может считывать данные из ОЗУ 31. С помощью формирования простого протокола связи компьютер может осуществлять связь с микроконтроллером 51. Такой протокол воплощен в предпочтительном варианте осуществления настоящего изобретения, а также протокол, где микроконтроллер 51 может ретранслировать эту информацию на носитель 63, 65 ключей. В этом случае мы имеем канал связи и с микроконтроллером, и с носителем 63, 65 ключей через компьютерную систему 10, и непосредственно внутри устройства 13. Эти каналы связи используются для загрузки ключей в носитель 63, 65 ключей так же, как загрузки ключей в секции 41a, 41b,..., 41n алгоритмов.
Каким бы ни было воплощение, ОЗУ 31 можно использовать в нескольких полезных применениях. В одном варианте осуществления настоящего изобретения ОЗУ используется для загрузки электронной почты или других типов электронных данных, таких как файлы, сетевой трафик и т.д., в ОЗУ 31, шифрования содержимого ОЗУ в одной из выбранных секций 41a, 41b,..., 41n и затем считывания зашифрованных данных обратно в компьютерную систему 10, где будут выполнены дальнейшие действия с данными. Если длина данных превышает размер ОЗУ 31, протокол связи разобьет данные, а затем организует цикл через различные секции данных по всему процессу, как описано выше, пока все данные не закончатся.
Когда зашифрованная электронная почта или другие типы данных, например, должны быть дешифрованы, пользователь компьютерной системы 10 должен загрузить электронную почту или данные в ОЗУ 31. Тогда устройство 13 выполняет соответствующий алгоритм, и дешифрованная электронная почта переносится обратно в компьютерную систему 10. Ключами для этой операции могут быть системы открытых/секретных ключей, обеспечивающие защищенную систему, где ключи никогда не раскрываются, когда они передаются зашифрованными, согласно изобретению, в устройство 13, как описано в настоящем раскрытии.
Один важный аспект настоящего изобретения заключается в обеспечении защищенного манипулирования ключами шифрования. В предпочтительном варианте осуществления изобретения ключ сначала переносят в микроконтроллер из компьютерной системы 10. Тогда устройство 13 может выполнять выбранное шифрование ключа, и затем микроконтроллер 51 может перемещать и загружать зашифрованный ключ в носитель 63, 65 ключей, например интеллектуальную карту. Таким простым образом способ и устройство согласно настоящему изобретению обеспечивают защищенный канал и передачу зашифрованных ключей шифрования, используемых в системе.
Один важный аспект настоящего изобретения состоит в использовании ключей, зашифрованных на носителях ключей типа интеллектуальных карт. Технология носителей ключей позволяет "скрывать" содержимое данных внутри носителя информации. Эта особенность усиливает защиту ключа. Еще более важный аспект технологии носителей ключей заключается в том, что является возможным позволить носителю ключей самому генерировать случайный ключ шифрования для сеанса связи. При этом весь ключевой процесс продолжится без какого-либо тайного действия человека, благодаря чему еще больше усилится защита ключей.
Носитель 63, 65 ключей, несущий ключи, подсоединяют непосредственно через канал 60 связи к устройству 13. Интерфейсом 61 ключевого устройства может быть, например, специализированное устройство для считывания с интеллектуальных карт. Для других типов носителей ключей это может быть приемопередатчик инфракрасного диапазона, приемопередатчик радиочастотного диапазона или другое аналогичное устройство.
Ключи хранятся во внешних устройствах 65 или 63. Имеются также способы хранения ключевых данных внутри в устройстве 13, в энергонезависимой памяти 52, 53, где пользователь должен использовать процедуры проверки полномочий, чтобы разблокировать эти ключи (это представляет собой процедуру, которую можно выполнять вместе с другими программами защиты).
Настоящее изобретение предохраняет загрузку внешних ключей посредством шифрования данных на/из носителя 63, 65 ключей. В соответствии с настоящим изобретением, после обнаружения носителя 63, 65 ключей устройство 13 посылает открытый ключ в носитель 63, 65 ключей. Тогда носитель 63, 65 ключей шифрует с помощью открытого ключа ключ сеанса связи для устройства 13, затем устройство 13 и носитель 63, 65 ключей могут запустить обмен информацией. Альтернативный путь состоит в том, чтобы использовать схему обмена ключами (например, обмен ключами Диффи-Хеллмана (Diffie-Hellman)) для определения ключей сеанса связи. Ключ сеанса связи шифрует все данные в канале 60 связи. Изобретение посылает сообщения проверки в носитель 63, 65 ключей с целью гарантирования, что носитель 63, 65 ключей и интерфейс 61 ключевого устройства все еще в оперативном режиме. Эти сообщения проверки посылаются через случайные временные интервалы с достаточными данными для того, чтобы убедиться, что интерфейс 61 ключевого устройства и носитель 63, 65 ключей и устройство 13 могут подтверждать подлинность друг друга. Если носитель 63, 65 ключей выявляет неупорядоченность, он прекратит работу. Если устройство 13 выявляет неупорядоченность, оно прекратит работу. Одним исключением для этой схемы является то, что ключи могут иметь параметр времени существования. Этот параметр сообщает устройству 13, в течение какого периода времени ключи должны "жить" в устройстве 13 после удаления ключа. Если ключ удален, в соответствии с настоящим изобретением устройство 13 не будет завершать операцию с ключом до тех пор, пока время существования не достигнет предварительно определенного периода. Все другие обнаруживаемые "тайные действия" с ключом или интерфейсом 61 ключевого устройства заставят устройство 13 завершать операцию со всеми ключами. Завершение операции означает, что ключи обнаруживаемым образом удаляются из устройства 13, и устройство 13 больше не будет получать доступ к защищенной области, определяемой ключом.
Обратимся теперь к фиг.8, где настоящее изобретение также может выполнять функцию перехвата данных; это означает, что оно может маркировать сектор/блок и сохранять содержимое внутри в ОЗУ 31, затем содержимое может быть модифицировано или изменено и после этого послано в систему главного компьютера 10. С помощью этой функции мы можем частично изменять таблицы на дисковой системе, частично заменять таблицы для согласования с набором ключей; например, можно загружать наборами отличающихся ключей систему с различными операционными системами. Один ключевой модуль может запускать операционную систему 1, другой ключевой модуль может запускать операционную систему 2, где операционные системы 1 и 2 изолированы друг от друга на накопителе на жестких дисках.
Это является полезной функцией в компьютерах домашнего офиса и других компьютерах, где больше чем один пользователь нуждаются в монопольном доступе и защите данных.
Как показано на фиг.8, устройство 16 на жестких дисках может быть разбито на несколько независимых изолированных областей хранения. Когда система выполняет начальную загрузку, сначала компьютерная система загружается ГЗЗ (головной записью загрузки)(MBR), которая содержит необходимую информацию. Содержимое ГЗЗ сообщает компьютерной системе, где и как загрузить операционную систему из накопителя на жестких дисках. ГЗЗ для различных операционных систем на одном и том же накопителе на жестких дисках может храниться вместе с ключом шифрования, например, на интеллектуальной карте, в соответствии с вариантом осуществления изобретения. Как описано выше, ГЗЗ на интеллектуальной карте можно загружать в ОЗУ 31, дешифровать и затем использовать, как ГЗЗ накопителя 16 на жестких дисках, связанного с устройством 13.
Настоящее изобретение обеспечивает также 2-этапный способ выполнения начальной загрузки компьютерной системы. Во-первых, посылает сегмент кода программы (хранящийся в устройстве 13 в энергонезависимой памяти 52, или в носителе ключей типа интеллектуальной карты) в систему главного компьютера 10, который дает пользователю/администратору способ проверки подлинности. Во-вторых, после успешного проведения проверки подлинности с накопителя на жестких дисках в компьютер загружает головной сектор загрузки.
Настоящее изобретение усиливает защиту запоминающего устройства большой емкости посредством обеспечения способа и устройства для шифрования/дешифрования данных, хранящихся на адресуемых участках носителя памяти большой емкости, с помощью различных алгоритмов и ключей шифрования/дешифрования.
Один аспект настоящего изобретения заключается в обеспечении одного ключа и одного алгоритма для конкретного адресуемого участка носителей данных.
Еще один аспект настоящего изобретения заключается в обеспечении усиленной защиты при шифровании такого адресуемого участка носителей данных с помощью этого конкретного ключа и алгоритма посредством обеспечения случайного номера вместе с ключом для рандомизации кодовых комбинаций, представленных на носителе после шифрования, даже если последовательные записи данных подобны и зашифрованы с помощью одного и того же ключа и алгоритма. Случайные номера хранятся в таблице, позволяющей восстанавливать конкретный случайный номер, используемый при дешифровании данных, зашифрованных с помощью этого случайного номера, выбранного посредством информации относительно номера блока/сектора или адреса адресуемой части носителя.
Настоящее изобретение обеспечивает также систему для гарантирования загрузки конкретной операционной системы и условий эксплуатации с накопителя на жестких дисках в компьютерную систему, которая также обеспечивает строгую физическую и логическую изоляцию между файлами данных для различных операционных систем и пользователей компьютерной системы. Настоящее изобретение обеспечивает способ шифрования/дешифрования и устройство, которые предотвращают доступ к данным на жестких дисках сервера, когда, например, дисковая система на сервере захвачена или удалена и перенесена в другую компьютерную систему.
Еще один аспект настоящего изобретения заключается в обеспечении зашифрованного канала связи для переноса ключей между носителями информации для ключей и устройством в соответствии с настоящим изобретением.

Claims (36)

1. Способ шифрования (кодирования, скремблирования)/дешифрования (декодирования, дескремблирования) элементов данных, переносимых на носитель памяти, который содержит физически адресуемые области, отличающийся тем, что способ содержит этапы:
обеспечения множества алгоритмов шифрования/дешифрования со взаимодействующими ключами шифрования/дешифрования;
выбора одного и использование этого одного из упомянутого множества алгоритмов шифрования/дешифрования со взаимодействующим ключом в элементе данных, подлежащих перенесению в адрес на носителе памяти или из него, при этом при выборе алгоритма и взаимодействующего ключа используют по меньшей мере два физических адреса, определяющих верхний и нижний пределы адресов протяженности адресуемой области, включающей адрес элемента данных на носителе.
2. Способ по п.1, отличающийся тем, что этап выбора одного и использование этого одного из множества алгоритмов шифрования/дешифрования со взаимодействующим ключом в элементе данных, подлежащих перенесению, также содержит этап объединения ключа со случайно сгенерированным номером посредством соединения, вычитания или добавления, или комбинации этих операций, или любой другой арифметической или логической операции на этих двух элементах, составляющих упомянутое случайное число и упомянутый ключ.
3. Способ по п.1, отличающийся тем, что случайные числа хранятся в таблицах, при этом адресом этих таблиц является индекс, состоящий из по меньшей мере части упомянутого адреса элемента данных.
4. Способ по п.1, отличающийся тем, что случайные сгенерированные числа хранятся в таблицах, при этом адрес таблиц основан на двух физических адресах в пределах выбранной адресуемой области между верхним и нижним пределами адресов, определяющими адресуемую область.
5. Способ по п.3, отличающийся тем, что, по меньшей мере, части содержимого таблицы, упомянутые случайно сгенерированные числа, статически или динамически заменяемым образом сохраняются в таблице.
6. Способ по п.1, отличающийся тем, что этап выбора алгоритма и взаимодействующего ключа содержит этапы
обеспечения списка совокупности адресуемых областей посредством перечисления нижних и верхних пределов адресов попарно в этом списке,
обеспечения соединения таким образом, что один ввод данных в совокупности адресуемых связывается только с одним из упомянутых алгоритмов, не исключая возможности того, что один из алгоритмов может быть связан с множеством адресуемых областей в том смысле, что один алгоритм может использоваться в более чем одной адресуемой области носителя памяти,
использования адреса элемента данных, сравнивая его со всеми верхними и нижними пределами адресов в упомянутой совокупности адресуемых областей, таким образом выявляя пару нижнего и верхнего пределов адресов, которая заключает адрес элемента данных, и
выдачи сигнала или сообщения, содержащего информацию относительно заключения адреса элемента данных, таким образом идентифицируя надлежащий один из алгоритмов шифрования/дешифрования посредством использования соединения алгоритмов и адресуемых областей.
7. Способ по п.1, отличающийся тем, что соединение пары верхнего и нижнего адресов с алгоритмом шифрования/дешифрования и взаимодействующего ключа представляет собой либо предварительно определенное статическое соединение, либо соединение динамическим образом.
8. Способ по п.1, отличающийся тем, что ключи, соединенные с алгоритмами, пересылаются с носителя ключей в алгоритмы по защищенному зашифрованному каналу связи, сохраняя ключ в элементе памяти соединенным для чтения с алгоритмом.
9. Способ по п.8, отличающийся тем, что пересылка ключей выполняется с помощью защищенной схемы обмена (схема обмена ключами Диффи-Хеллмана (Diffie-Hellman)) или с помощью открытой схемы секретных ключей.
10. Способ по п.8, отличающийся тем, что пересылка ключей выполняется с помощью процесса проверки подлинности.
11. Способ по п.8, отличающийся тем, что носителем ключей является устройство, содержащее обрабатывающий элемент (элементы) и энергонезависимую память.
12. Способ по п.8, отличающийся тем, что защищенный канал связи образован между интерфейсом ключевого устройства, принимаемым образом связанным с носителем ключей, и алгоритмом шифрования/дешифрования.
13. Способ по п.12, отличающийся тем, что образованный защищенный канал представляет собой оптический и/или волоконно-оптический канал связи.
14. Способ по п.12, отличающийся тем, что образованный защищенный канал представляет собой канал беспроводной радиосвязи.
15. Способ по п.12, отличающийся тем, что образованный защищенный канал представляет собой канал проводной связи.
16. Способ по п.11, отличающийся тем, что носитель ключей генерирует ключ шифрования/дешифрования во встроенном процессоре.
17. Способ по п.1, отличающийся тем, что обеспечивает следующие этапы:
головную запись загрузки системы жестких дисков, зашифрованной с помощью одного из множества алгоритмов шифрования/дешифрования со связанным ключом на носителе ключей,
считывание содержимого интеллектуальной карты, таким образом допуская дешифрование головной записи загрузки в идентифицируемом алгоритме дешифрования со связанным ключом,
пересылку дешифрованного содержимого головной записи загрузки в компьютерную систему, связанную с системой накопителя на жестких дисках, таким образом допуская выполнение начальной загрузки операционной системы компьютера, и/или некоторой части файловой системы, и/или системного/пользовательского окружения, и/или другого типа разбиения, и/или информации, хранящейся зашифрованной в системе накопителя на жестких дисках, в компьютерную систему.
18. Способ по п.17, отличающийся тем, что носитель ключей содержит одну из множества головных записей загрузки и ключей шифрования/дешифрования.
19. Устройство (13) для шифрования (кодирования, скремблирования)/дешифрования (декодирования, дескремблирования) элементов данных, пересылаемых на носитель памяти или с него, при этом носитель памяти содержит физически адресуемые области, отличающееся тем, что устройство содержит
множество секций (41а, 41b, ..., 41n) электрических схем электронного шифрования/дешифрования, содержащих соединенное пространством памяти для взаимодействующих ключей шифрования/дешифрования,
электрические схемы компаратора (40), разбитые на множество секций, содержащие в каждой секции две доступные для записи/доступные для считывания ячейки (100, 101) памяти, два электронных модуля (102, 103) компаратора и логический элемент И (104), связанные так, что ячейка (100) памяти сравнивается с содержимым адресного элемента (105) в модуле (102) компаратора для определения, превышает ли адресный элемент (105) ячейку (100) памяти или равен ей, и в то же самое время сравнивая адресный элемент (105) с содержимым ячейки (101) памяти в модуле (103) компаратора для определения, является ли адресный элемент (105) меньше содержимого ячейки (101) памяти или равен ему, посредством чего выходной сигнал логического элемента (104) производит разрешающий сигнал в каждом разбиении компаратора (40), при этом каждый разрешающий сигнал подается на одну из множества секций (41а, 41b, ..., 41n) электрических схем электронного шифрования/дешифрования.
20. Устройство по п.19, отличающееся тем, что в устройстве (13) случайных генерируемых чисел имеется доступная для записи/доступная для считывания таблица, благодаря чему взаимодействующий ключ с одним из выбранных алгоритмов с помощью разрешающего сигнала объединяется со случайным числом посредством логической или арифметической операции.
21. Устройство по п.20, отличающееся тем, что содержимое таблицы предварительно определено и размещено в множестве устройств (13).
22. Устройство по п.19, отличающееся тем, что ключи, связанные с алгоритмами, пересылаются из носителя (63, 65) ключа в секции (41а, 41b, ..., 41n) алгоритмов по защищенному зашифрованному каналу (60) связи в микроконтроллер (51) в устройстве (13).
23. Устройство по п.22, отличающееся тем, что пересылка ключей выполняется с помощью схемы обмена ключами Диффи-Хеллмана или с помощью открытой схемы секретных ключей.
24. Устройство по п.22, отличающееся тем, что пересылка ключей выполняется с помощью процесса проверки полномочий.
25. Устройство по п.22, отличающееся тем, что носитель (63, 65) ключей является устройством, содержащим обрабатывающий элемент (элементы) и энергонезависимую память.
26. Устройство по п.22, отличающееся тем, что защищенный канал (60) связи устанавливается между носителем (63, 65) ключей, доступным для считывания образом, связанным с интерфейсом (61) ключевого устройства, и секцией (41а, 41b, ..., 41n) шифрования/дешифрования через микроконтроллер (51) и электронный модуль (42) защиты.
27. Устройство по п.26, отличающееся тем, что интерфейс (61) ключевого устройства представляет собой устройство для считывания с интеллектуальной карты.
28. Устройство по п.22, отличающееся тем, что защищенный канал (60) представляет собой оптический и/или волоконно-оптический канал связи.
29. Устройство по п.22, отличающееся тем, что защищенный канал (60) представляет собой канал беспроводной радиосвязи.
30. Устройство по п.22, отличающееся тем, что защищенный канал (60) представляет собой канал проводной связи.
31. Устройство по п.19, отличающееся тем, что ввод и вывод из множества секций (41а, 41b..., 41n) электрических схем электронного шифрования/дешифрования выполняются через шину (32) шифратора.
32. Устройство по п.19, отличающееся тем, что внутреннее оперативное запоминающее устройство (31) подсоединено к шине (32) шифратора через контроллер (30) схемы.
33. Устройство по п.19, отличающееся тем, что шина (11) ввода/вывода и/или шина (15) ввода/вывода в устройстве (13) может быть одной из следующего выбора, но не ограничена этим: ИМВС (интерфейс малых вычислительных систем), ВИН (встроенный интерфейс накопителя) (интерфейс IDE), ПТ (продвинутая технология), УТП (усовершенствованная технология подсоединения), УПШ (универсальная последовательная шина), FireWire (высокоскоростная локальная шина), волоконно-оптический канал.
34. Устройство по п.19, отличающееся тем, что шина (11) ввода/вывода и шина (15) ввода/вывода могут быть разными и в этом случае контроллер (30) устройства выполняет преобразование протоколов между двумя шинами (11, 15) ввода/вывода.
35. Устройство по п.19, отличающееся тем, что головная запись загрузки системы жестких дисков, зашифрованная с помощью одного из множества алгоритмов шифрования/дешифрования в секциях (41а, 41b, ..., 41n) электронного шифрования/дешифрования со связанным ключом, хранится на носителе (63, 65) ключей, а микроконтроллер (51) считывает и пересылает головную запись загрузки для хранения в ОЗУ (31), тогда в связанной компьютерной системе (10) может быть произведена начальная загрузка согласно содержимому ОЗУ (31) через контроллер (30) устройства и соединительную шину (11).
36. Устройство по п.19, отличающееся тем, что любая электронная почта или любой тип электронных данных, например трафик передачи данных по сети, могут пересылаться из компьютерной системы (10) через шину (11) и контроллер (30) устройства в ОЗУ (31) и шифроваться/дешифроваться при прохождении шины (32) шифратора и затем считываться обратно в компьютерную систему (10) для дальнейших действий.
RU2004113090/09A 2001-09-28 2002-09-25 Способ и устройство для шифрования/дешифрования данных в запоминающем устройстве большой емкости RU2298824C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US32516801P 2001-09-28 2001-09-28
US60/325,168 2001-09-28

Publications (2)

Publication Number Publication Date
RU2004113090A RU2004113090A (ru) 2005-10-27
RU2298824C2 true RU2298824C2 (ru) 2007-05-10

Family

ID=23266727

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2004113090/09A RU2298824C2 (ru) 2001-09-28 2002-09-25 Способ и устройство для шифрования/дешифрования данных в запоминающем устройстве большой емкости

Country Status (14)

Country Link
US (1) US7434069B2 (ru)
EP (1) EP1442349A1 (ru)
JP (2) JP4734585B2 (ru)
KR (1) KR100692425B1 (ru)
CN (1) CN1592877B (ru)
AU (1) AU2002326226B2 (ru)
BR (1) BR0212873A (ru)
CA (1) CA2461408C (ru)
HK (1) HK1075945A1 (ru)
IL (2) IL161027A0 (ru)
NO (1) NO331504B1 (ru)
RU (1) RU2298824C2 (ru)
WO (1) WO2003027816A1 (ru)
ZA (1) ZA200402355B (ru)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2494471C1 (ru) * 2012-04-10 2013-09-27 Закрытое акционерное общество "Современные беспроводные технологии" Устройство шифрования данных по стандартам гост 28147-89 и aes
RU2494447C2 (ru) * 2007-07-20 2013-09-27 Хюи ЛИН Способ шифрования карты памяти и сборка для его осуществления
RU2559728C2 (ru) * 2013-10-24 2015-08-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ копирования файлов с зашифрованного диска
MD4511C1 (ru) * 2016-04-20 2018-03-31 Анатолий БАЛАБАНОВ Устройство и способ криптографической защиты двоичной информации (варианты)

Families Citing this family (141)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003110544A (ja) * 2001-09-28 2003-04-11 Toshiba Corp 暗復号装置及び方法
US7865440B2 (en) * 2001-10-11 2011-01-04 International Business Machines Corporation Method, system, and program for securely providing keys to encode and decode data in a storage cartridge
US20040088481A1 (en) * 2002-11-04 2004-05-06 Garney John I. Using non-volatile memories for disk caching
GB0301448D0 (en) * 2003-01-22 2003-02-19 Falanx Microsystems As Microprocessor systems
KR100524952B1 (ko) * 2003-03-07 2005-11-01 삼성전자주식회사 기록 매체의 데이터 보호 방법 및 이를 이용한 디스크드라이브
DE10310351A1 (de) * 2003-03-10 2004-09-23 Giesecke & Devrient Gmbh Laden von Mediendaten in einen tragbaren Datenträger
KR100712498B1 (ko) 2003-06-21 2007-04-27 삼성전자주식회사 하드디스크 드라이브의 난수 발생 방법
GB2405958A (en) * 2003-08-20 2005-03-16 Macrovision Europ Ltd Code obfuscation and controlling a processor by emulation
JP4998518B2 (ja) * 2003-09-30 2012-08-15 大日本印刷株式会社 情報処理装置、情報処理システム及びプログラム
JP2005128996A (ja) * 2003-09-30 2005-05-19 Dainippon Printing Co Ltd 情報処理装置、情報処理システム及びプログラム
US7562230B2 (en) * 2003-10-14 2009-07-14 Intel Corporation Data security
JP2005130059A (ja) * 2003-10-22 2005-05-19 Fuji Xerox Co Ltd 画像形成装置および交換部品
US7558911B2 (en) * 2003-12-18 2009-07-07 Intel Corporation Maintaining disk cache coherency in multiple operating system environment
EP1578051B1 (en) * 2004-03-18 2008-10-29 STMicroelectronics (Research & Development) Limited Apparatus comprising a key selector and a key update mechanism for encrypting/decrypting data to be written/read in a store
WO2005099340A2 (en) * 2004-04-19 2005-10-27 Securewave S.A. On-line centralized and local authorization of executable files
EP2267624B1 (en) * 2004-04-19 2017-07-12 Lumension Security S.A. A generic framework for runtime interception and execution control of interpreted languages
US7363510B2 (en) * 2004-05-26 2008-04-22 Mount Sinai School Of Medicine Of New York University System and method for presenting copy protected content to a user
JP2006020253A (ja) * 2004-07-05 2006-01-19 Ricoh Co Ltd 情報管理システム、情報管理方法、記録媒体及びプログラム
US20060036952A1 (en) * 2004-08-16 2006-02-16 Inventec Corporation Program-controlled system startup management interface for computer platform
US20060053282A1 (en) * 2004-09-03 2006-03-09 Mccown Steven H Canister-based storage system security
TW200629855A (en) * 2004-09-21 2006-08-16 Matsushita Electric Ind Co Ltd Confidential information processing method, confidential information processing device, and contents data reproducing device
US7711965B2 (en) * 2004-10-20 2010-05-04 Intel Corporation Data security
US8332653B2 (en) * 2004-10-22 2012-12-11 Broadcom Corporation Secure processing environment
WO2006065033A1 (en) * 2004-12-13 2006-06-22 Lg Electronics Inc. Method and apparatus for writing and using keys for encrypting/decrypting a content and a recording medium storing keys written by the method
WO2006065034A1 (en) * 2004-12-13 2006-06-22 Lg Electronics Inc. Method and apparatus for writing and using keys for encrypting/decrypting a content and a recording medium storing keys written by the method
CN1306357C (zh) * 2004-12-15 2007-03-21 中国长城计算机深圳股份有限公司 一种保证信息安全的计算机系统
US8601283B2 (en) 2004-12-21 2013-12-03 Sandisk Technologies Inc. Method for versatile content control with partitioning
US8051052B2 (en) * 2004-12-21 2011-11-01 Sandisk Technologies Inc. Method for creating control structure for versatile content control
US8504849B2 (en) 2004-12-21 2013-08-06 Sandisk Technologies Inc. Method for versatile content control
US7971070B2 (en) * 2005-01-11 2011-06-28 International Business Machines Corporation Read/write media key block
CN100346302C (zh) * 2005-02-01 2007-10-31 苏州超锐微电子有限公司 一种通过磁盘主引导记录实现网络功能的方法
JP2006217369A (ja) * 2005-02-04 2006-08-17 Seiko Epson Corp 暗号化/復号化装置、通信コントローラ及び電子機器
US8321686B2 (en) * 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8108691B2 (en) * 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
US8423788B2 (en) * 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
JP2006229863A (ja) * 2005-02-21 2006-08-31 Seiko Epson Corp 暗号化/復号化装置、通信コントローラ及び電子機器
JP2006251989A (ja) * 2005-03-09 2006-09-21 Kwok-Yan Leung オペレーションシステムでネットワークに対応するデータ保護装置
WO2006103679A2 (en) 2005-04-01 2006-10-05 Ged-I Ltd. A method for data storage protection and encryption
US7478220B2 (en) * 2005-06-23 2009-01-13 International Business Machines Corporation Method, apparatus, and product for prohibiting unauthorized access of data stored on storage drives
US7748031B2 (en) 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
GB2429308B (en) * 2005-07-29 2007-08-01 Hewlett Packard Development Co Data transfer device
US7934049B2 (en) * 2005-09-14 2011-04-26 Sandisk Corporation Methods used in a secure yet flexible system architecture for secure devices with flash mass storage memory
US7536540B2 (en) * 2005-09-14 2009-05-19 Sandisk Corporation Method of hardware driver integrity check of memory card controller firmware
CN100561449C (zh) * 2005-09-23 2009-11-18 中国科学院计算技术研究所 一种硬盘扇区级数据加密解密方法及系统
US20070162626A1 (en) * 2005-11-02 2007-07-12 Iyer Sree M System and method for enhancing external storage
US8001374B2 (en) * 2005-12-16 2011-08-16 Lsi Corporation Memory encryption for digital video
DE102006006489A1 (de) 2006-02-10 2007-08-16 Bundesdruckerei Gmbh Verfahren zur Durchführung eines Schreibzugriffs, Computerprogrammprodukt, Computersystem und Chipkarte
JP4829632B2 (ja) 2006-02-10 2011-12-07 株式会社リコー データ暗号化装置、データ暗号化方法、データ暗号化プログラム、および記録媒体
US8046593B2 (en) * 2006-06-07 2011-10-25 Microsoft Corporation Storage device controlled access
CN100468434C (zh) * 2006-06-28 2009-03-11 北京飞天诚信科技有限公司 一种实现计算机的开机保护方法及装置
US8266711B2 (en) 2006-07-07 2012-09-11 Sandisk Technologies Inc. Method for controlling information supplied from memory device
US8639939B2 (en) 2006-07-07 2014-01-28 Sandisk Technologies Inc. Control method using identity objects
US8140843B2 (en) * 2006-07-07 2012-03-20 Sandisk Technologies Inc. Content control method using certificate chains
US8245031B2 (en) * 2006-07-07 2012-08-14 Sandisk Technologies Inc. Content control method using certificate revocation lists
US8613103B2 (en) 2006-07-07 2013-12-17 Sandisk Technologies Inc. Content control method using versatile control structure
US8806227B2 (en) * 2006-08-04 2014-08-12 Lsi Corporation Data shredding RAID mode
US20080072058A1 (en) * 2006-08-24 2008-03-20 Yoram Cedar Methods in a reader for one time password generating device
US20080052524A1 (en) * 2006-08-24 2008-02-28 Yoram Cedar Reader for one time password generating device
JP4983165B2 (ja) * 2006-09-05 2012-07-25 ソニー株式会社 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体
US20080080706A1 (en) * 2006-09-29 2008-04-03 Fujitsu Limited Code conversion apparatus, code conversion method, and computer product
JP5145346B2 (ja) 2006-10-10 2013-02-13 データ ロッカー インターナショナル エルエルシー 外付け型データ格納装置の保安システム及びその制御方法
JP4877962B2 (ja) * 2006-10-25 2012-02-15 株式会社日立製作所 暗号化機能を備えたストレージサブシステム
US7876894B2 (en) * 2006-11-14 2011-01-25 Mcm Portfolio Llc Method and system to provide security implementation for storage devices
US20080141041A1 (en) * 2006-12-08 2008-06-12 Hitachi Global Storage Technologies Netherlands B.V. Wireless encryption key integrated HDD
US8423794B2 (en) * 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications
US8588421B2 (en) 2007-01-26 2013-11-19 Microsoft Corporation Cryptographic key containers on a USB token
US7711213B2 (en) * 2007-01-29 2010-05-04 Hewlett-Packard Development Company, L.P. Nanowire-based modulators
US20080288782A1 (en) * 2007-05-18 2008-11-20 Technology Properties Limited Method and Apparatus of Providing Security to an External Attachment Device
WO2008094839A1 (en) * 2007-01-30 2008-08-07 Mcm Portfolio Llc System and method of data encryption and data access of a set of storage devices via a hardware key
US20090046858A1 (en) * 2007-03-21 2009-02-19 Technology Properties Limited System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key
US20080181406A1 (en) * 2007-01-30 2008-07-31 Technology Properties Limited System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key
US20080184035A1 (en) * 2007-01-30 2008-07-31 Technology Properties Limited System and Method of Storage Device Data Encryption and Data Access
DE102007005638B4 (de) * 2007-02-05 2014-10-09 Siemens Aktiengesellschaft Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskompente einer technischen Anlage
ITMI20070369A1 (it) * 2007-02-27 2008-08-28 Archivist S R L Apparecchiatura per l'archiviazione e la gestione di documenti elettronici e sistema di archiavizione e gestione di documenti elettronici comprendente una o piu'di dette apparecchiature
JP4892382B2 (ja) * 2007-03-27 2012-03-07 株式会社日立製作所 記憶装置及びデータ管理方法
KR20080100673A (ko) * 2007-05-14 2008-11-19 삼성전자주식회사 암호화 기반의 프로세서 보안 방법 및 장치
US20080288703A1 (en) * 2007-05-18 2008-11-20 Technology Properties Limited Method and Apparatus of Providing Power to an External Attachment Device via a Computing Device
EP2053568A1 (fr) * 2007-09-28 2009-04-29 Gemplus Procédé de génération de masques dans un objet communiquant et objet communiquant correspondant
IL187043A0 (en) * 2007-10-30 2008-02-09 Sandisk Il Ltd Secure pipeline manager
US8307131B2 (en) * 2007-11-12 2012-11-06 Gemalto Sa System and method for drive resizing and partition size exchange between a flash memory controller and a smart card
US8898477B2 (en) * 2007-11-12 2014-11-25 Gemalto Inc. System and method for secure firmware update of a secure token having a flash memory controller and a smart card
US7995754B2 (en) * 2007-11-30 2011-08-09 Microsoft Corporation Recordation of encrypted data to a recordable medium
US9251382B2 (en) * 2007-12-20 2016-02-02 International Business Machines Corporation Mapping encrypted and decrypted data via key management system
US7958372B1 (en) * 2007-12-26 2011-06-07 Emc (Benelux) B.V., S.A.R.L. Method and apparatus to convert a logical unit from a first encryption state to a second encryption state using a journal in a continuous data protection environment
US9262594B2 (en) * 2008-01-18 2016-02-16 Microsoft Technology Licensing, Llc Tamper evidence per device protected identity
US20100031057A1 (en) * 2008-02-01 2010-02-04 Seagate Technology Llc Traffic analysis resistant storage encryption using implicit and explicit data
US8103844B2 (en) 2008-02-01 2012-01-24 Donald Rozinak Beaver Secure direct platter access
US20090196417A1 (en) * 2008-02-01 2009-08-06 Seagate Technology Llc Secure disposal of storage data
US8122501B2 (en) * 2008-06-20 2012-02-21 International Business Machines Corporation Traitor detection for multilevel assignment
US8108928B2 (en) * 2008-06-20 2012-01-31 International Business Machines Corporation Adaptive traitor tracing
US8422684B2 (en) * 2008-08-15 2013-04-16 International Business Machines Corporation Security classes in a media key block
US8341430B2 (en) * 2008-10-03 2012-12-25 Microsoft Corporation External encryption and recovery management with hardware encrypted storage devices
US9104618B2 (en) 2008-12-18 2015-08-11 Sandisk Technologies Inc. Managing access to an address range in a storage device
US8571209B2 (en) 2009-01-19 2013-10-29 International Business Machines Recording keys in a broadcast-encryption-based system
US20100185843A1 (en) * 2009-01-20 2010-07-22 Microsoft Corporation Hardware encrypting storage device with physically separable key storage device
US8839000B2 (en) 2009-03-23 2014-09-16 Hewlett-Packard Development Company, L.P. System and method for securely storing data in an electronic device
US9330282B2 (en) * 2009-06-10 2016-05-03 Microsoft Technology Licensing, Llc Instruction cards for storage devices
US8321956B2 (en) 2009-06-17 2012-11-27 Microsoft Corporation Remote access control of storage devices
EP2375355A1 (en) * 2010-04-09 2011-10-12 ST-Ericsson SA Method and device for protecting memory content
US20120079281A1 (en) * 2010-06-28 2012-03-29 Lionstone Capital Corporation Systems and methods for diversification of encryption algorithms and obfuscation symbols, symbol spaces and/or schemas
KR101026647B1 (ko) 2010-07-26 2011-04-04 주식회사 유비즈코아 통신 보안 시스템 및 그 방법과 이에 적용되는 키 유도 암호알고리즘
SE1050902A1 (sv) * 2010-09-02 2012-03-03 Business Security Ol Ab Elektronisk krypteringsapparat och metod
US8650654B2 (en) * 2010-09-17 2014-02-11 Kabushiki Kaisha Toshiba Memory device, memory system, and authentication method
US20120159042A1 (en) * 2010-12-21 2012-06-21 Western Digital Technologies, Inc. Data storage device executing a unitary command comprising two cipher keys to access a sector spanning two encryption zones
KR101824044B1 (ko) * 2011-05-17 2018-01-31 삼성전자주식회사 부호화 출력 기능을 구비한 데이터 저장 장치 및 시스템
FR2980285B1 (fr) * 2011-09-15 2013-11-15 Maxim Integrated Products Systemes et procedes de gestion de cles cryptographiques dans un microcontroleur securise
JP2013069250A (ja) * 2011-09-26 2013-04-18 Toshiba Corp 記憶装置および書き込み装置
KR101240552B1 (ko) * 2011-09-26 2013-03-11 삼성에스디에스 주식회사 미디어 키 관리 및 상기 미디어 키를 이용한 피어-투-피어 메시지 송수신 시스템 및 방법
KR101236991B1 (ko) 2011-10-24 2013-02-25 한국전자통신연구원 하드디스크 암호화를 위한 장치 및 방법
US8539601B2 (en) 2012-01-17 2013-09-17 Lockheed Martin Corporation Secure data storage and retrieval
US8819443B2 (en) 2012-02-14 2014-08-26 Western Digital Technologies, Inc. Methods and devices for authentication and data encryption
KR101326243B1 (ko) * 2012-06-04 2013-11-11 순천향대학교 산학협력단 사용자 인증 방법
DE102012015348A1 (de) * 2012-08-06 2014-02-06 Giesecke & Devrient Gmbh Verfahren zum Schreiben und Lesen von Daten auf einem blockorientierten Speichermedium
US11044076B2 (en) * 2013-02-25 2021-06-22 Hecusys, LLC Encrypted data processing
US9215067B2 (en) * 2013-04-05 2015-12-15 International Business Machines Corporation Achieving storage efficiency in presence of end-to-end encryption using downstream decrypters
US9058295B2 (en) 2013-04-25 2015-06-16 Hewlett-Packard Development Company, L.P. Encrypt data of storage device
DE102013212525A1 (de) * 2013-06-27 2014-12-31 Siemens Aktiengesellschaft Datenspeichervorrichtung zum geschützten Datenaustausch zwischen verschiedenen Sicherheitszonen
KR101428649B1 (ko) * 2014-03-07 2014-08-13 (주)케이사인 맵 리듀스 기반의 대용량 개인정보 암호화 시스템 및 그의 동작 방법
US10326803B1 (en) 2014-07-30 2019-06-18 The University Of Tulsa System, method and apparatus for network security monitoring, information sharing, and collective intelligence
US9298647B2 (en) 2014-08-25 2016-03-29 HGST Netherlands B.V. Method and apparatus to generate zero content over garbage data when encryption parameters are changed
JP6613568B2 (ja) * 2015-01-19 2019-12-04 富士通株式会社 処理プログラム、処理装置および処理方法
US10013363B2 (en) * 2015-02-09 2018-07-03 Honeywell International Inc. Encryption using entropy-based key derivation
US9779262B2 (en) * 2015-04-20 2017-10-03 Qualcomm Incorporated Apparatus and method to decrypt file segments in parallel
US9954681B2 (en) 2015-06-10 2018-04-24 Nxp Usa, Inc. Systems and methods for data encryption
US9514205B1 (en) * 2015-09-04 2016-12-06 Palantir Technologies Inc. Systems and methods for importing data from electronic data files
US10013561B2 (en) 2015-10-30 2018-07-03 Ncr Corporation Dynamic pre-boot storage encryption key
CN105791434A (zh) * 2016-04-27 2016-07-20 深圳市永兴元科技有限公司 分布式数据处理方法及数据中心
CN106100829B (zh) * 2016-05-23 2020-05-19 深圳市硅格半导体有限公司 加密存储的方法及装置
US10708073B2 (en) 2016-11-08 2020-07-07 Honeywell International Inc. Configuration based cryptographic key generation
DE102017106042A1 (de) * 2016-12-22 2018-06-28 Fujitsu Technology Solutions Intellectual Property Gmbh Verfahren zum abgesicherten Hochfahren eines Computersystems, sowie Anordnung, umfassend ein Computersystem und ein an das Computersystem angeschlossenes externes Speichermedium
CN107516047A (zh) 2017-08-08 2017-12-26 杭州中天微系统有限公司 一种存储数据加解密装置及方法
CN107590402A (zh) * 2017-09-26 2018-01-16 杭州中天微系统有限公司 一种存储数据加解密装置及方法
US11550927B2 (en) 2017-09-26 2023-01-10 C-Sky Microsystems Co., Ltd. Storage data encryption/decryption apparatus and method
US10846412B2 (en) * 2017-11-14 2020-11-24 Blackberry Limited Electronic device including display and method of encrypting and decrypting information
GB2574433B (en) 2018-06-06 2022-11-02 Istorage Ltd Dongle for ciphering data
CN109375875B (zh) * 2018-10-11 2020-03-17 北京明朝万达科技股份有限公司 文件传输方法和装置
US11204986B1 (en) * 2018-11-28 2021-12-21 American Megatrends International, Llc Control of a prompt for a credential to unlock a storage device
CN109670347A (zh) * 2018-12-05 2019-04-23 珠海全志科技股份有限公司 解密装置、方法及片上系统
CN109670344A (zh) * 2018-12-05 2019-04-23 珠海全志科技股份有限公司 加密装置、方法及片上系统
CN109828489B (zh) * 2018-12-29 2020-06-12 河南辉煌城轨科技有限公司 一种通用型综合监控前置通信控制器软件
TWI747351B (zh) * 2020-05-20 2021-11-21 慧榮科技股份有限公司 加密和解密實體位址資訊的方法及裝置

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63184853A (ja) * 1987-01-28 1988-07-30 Toshiba Corp 携帯可能電子装置
GB9017683D0 (en) 1990-08-13 1990-09-26 Marconi Gec Ltd Data security system
JPH04256113A (ja) * 1991-02-08 1992-09-10 Toshiba Corp コンピュータシステムのセキュリティ管理方式
JP2862030B2 (ja) * 1991-06-13 1999-02-24 三菱電機株式会社 暗号化方式
US5179591A (en) * 1991-10-16 1993-01-12 Motorola, Inc. Method for algorithm independent cryptographic key management
NL9200296A (nl) 1992-02-18 1993-09-16 Tulip Computers International Inrichting voor het door middel van het des algoritme vercijferen en ontcijferen van data naar en van een harde geheugenschijf.
GB2264374A (en) 1992-02-24 1993-08-25 Systems Limited Kk Programmable protocol converter.
US5483596A (en) 1994-01-24 1996-01-09 Paralon Technologies, Inc. Apparatus and method for controlling access to and interconnection of computer system resources
US5659614A (en) * 1994-11-28 1997-08-19 Bailey, Iii; John E. Method and system for creating and storing a backup copy of file data stored on a computer
JP2812312B2 (ja) * 1996-01-12 1998-10-22 三菱電機株式会社 暗号化システム
JP3747520B2 (ja) * 1996-01-30 2006-02-22 富士ゼロックス株式会社 情報処理装置及び情報処理方法
GB2319705B (en) * 1996-11-21 2001-01-24 Motorola Ltd Arrangement for encryption/decryption of data and data carrier incorporating same
GB2321728B (en) * 1997-01-30 2001-12-19 Motorola Inc Apparatus and method for accessing secured data stored in a portable data carrier
JPH113284A (ja) 1997-06-10 1999-01-06 Mitsubishi Electric Corp 情報記憶媒体およびそのセキュリティ方法
EP1025534B1 (en) 1997-08-20 2011-03-16 Powerquest Corporation Computer partition manipulation during imaging
JP4169822B2 (ja) 1998-03-18 2008-10-22 富士通株式会社 記憶媒体のデータ保護方法、その装置及びその記憶媒体
US6157722A (en) * 1998-03-23 2000-12-05 Interlok Technologies, Llc Encryption key management system and method
WO2000004681A1 (en) * 1998-07-16 2000-01-27 Francis Lambert Method for secure data transmission and storage
JP3625658B2 (ja) * 1998-09-18 2005-03-02 富士通エフ・アイ・ピー株式会社 暗号化方式および記録媒体
US6519762B1 (en) * 1998-12-15 2003-02-11 Dell Usa, L.P. Method and apparatus for restoration of a computer system hard drive
GB2353191A (en) * 1999-07-09 2001-02-14 Hw Comm Ltd Packet data encryption/decryption
KR100758077B1 (ko) * 1999-12-28 2007-09-11 마츠시타 덴끼 산교 가부시키가이샤 기록장치, 재생장치, 데이터처리장치, 기록재생장치, 데이터송신장치, lsi
JP3801833B2 (ja) * 2000-02-14 2006-07-26 株式会社東芝 マイクロプロセッサ
US7270193B2 (en) * 2000-02-14 2007-09-18 Kabushiki Kaisha Toshiba Method and system for distributing programs using tamper resistant processor
AU2002239252A1 (en) * 2000-11-15 2002-05-27 Netcharge.Com, Inc. Method and system for transmitting data with enhanced security that conforms to a network protocol
US20030156715A1 (en) * 2001-06-12 2003-08-21 Reeds James Alexander Apparatus, system and method for validating integrity of transmitted data
US7233669B2 (en) * 2002-01-02 2007-06-19 Sony Corporation Selective encryption to enable multiple decryption keys
US8818896B2 (en) * 2002-09-09 2014-08-26 Sony Corporation Selective encryption with coverage encryption
US20050177749A1 (en) * 2004-02-09 2005-08-11 Shlomo Ovadia Method and architecture for security key generation and distribution within optical switched networks
US20080084995A1 (en) * 2006-10-06 2008-04-10 Stephane Rodgers Method and system for variable and changing keys in a code encryption system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2494447C2 (ru) * 2007-07-20 2013-09-27 Хюи ЛИН Способ шифрования карты памяти и сборка для его осуществления
RU2494471C1 (ru) * 2012-04-10 2013-09-27 Закрытое акционерное общество "Современные беспроводные технологии" Устройство шифрования данных по стандартам гост 28147-89 и aes
RU2559728C2 (ru) * 2013-10-24 2015-08-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ копирования файлов с зашифрованного диска
US9286486B2 (en) 2013-10-24 2016-03-15 Kaspersky Lab Ao System and method for copying files between encrypted and unencrypted data storage devices
MD4511C1 (ru) * 2016-04-20 2018-03-31 Анатолий БАЛАБАНОВ Устройство и способ криптографической защиты двоичной информации (варианты)

Also Published As

Publication number Publication date
US20030070083A1 (en) 2003-04-10
ZA200402355B (en) 2005-06-29
WO2003027816A1 (en) 2003-04-03
JP2011141883A (ja) 2011-07-21
KR20040041642A (ko) 2004-05-17
AU2002326226B2 (en) 2008-06-12
US7434069B2 (en) 2008-10-07
CN1592877B (zh) 2010-05-26
CA2461408C (en) 2012-06-05
NO331504B1 (no) 2012-01-16
HK1075945A1 (en) 2005-12-30
IL161027A (en) 2009-06-15
IL161027A0 (en) 2004-08-31
CN1592877A (zh) 2005-03-09
KR100692425B1 (ko) 2007-03-09
JP2005504373A (ja) 2005-02-10
RU2004113090A (ru) 2005-10-27
CA2461408A1 (en) 2003-04-03
NO20041110L (no) 2004-06-16
EP1442349A1 (en) 2004-08-04
JP4734585B2 (ja) 2011-07-27
BR0212873A (pt) 2004-09-14

Similar Documents

Publication Publication Date Title
RU2298824C2 (ru) Способ и устройство для шифрования/дешифрования данных в запоминающем устройстве большой емкости
AU2002326226A1 (en) Method and device for encryption/decryption of data on mass storage device
US7051213B1 (en) Storage medium and method and apparatus for separately protecting data in different areas of the storage medium
US8533856B2 (en) Secure compact flash
US7979720B2 (en) Data security for digital data storage
US8370645B2 (en) Protection of security parameters in storage devices
EP0911738A2 (en) Disk drive with embedded data encryption
US20040172538A1 (en) Information processing with data storage
US7818567B2 (en) Method for protecting security accounts manager (SAM) files within windows operating systems
JP2010509662A (ja) 外部不揮発性メモリに記憶された情報の暗号化のための方法およびシステム
CN102023935A (zh) 具有密钥的数据存储设备及其方法
CN101256609B (zh) 存储卡及其安全方法
CN112199740B (zh) 一种加密锁的实现方法及加密锁
KR101117588B1 (ko) 암호화 표시정보를 갖는 기록매체
JP2000228060A (ja) 可搬型記憶媒体を用いたデータ記録/再生装置
KR100859651B1 (ko) 가변크기 데이터 저장을 위한 데이터구조를 기록한기록매체, 가변크기 데이터 저장방법, 및 가변크기 데이터저장방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한컴퓨터로 읽을 수 있는 기록매체
KR20070076848A (ko) 카드 인증 시스템의 보안레벨을 향상시키는 장치 및 방법
CN113051533A (zh) 一种终端设备的安全管理方法
RU2099779C1 (ru) Устройство защиты информации, храняющейся в персональной эвм
CN118747384A (zh) 一种基于安全芯片实现的数据安全存储设备及存储方法
CN112784321A (zh) 磁盘资安系统
CN113761599A (zh) 固态硬盘加密方法、装置、可读存储介质及电子设备
JPH02188782A (ja) 暗号装置

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20190926