SE0950854A1 - Method and arrangement for securing information - Google Patents

Method and arrangement for securing information

Info

Publication number
SE0950854A1
SE0950854A1 SE0950854A SE0950854A SE0950854A1 SE 0950854 A1 SE0950854 A1 SE 0950854A1 SE 0950854 A SE0950854 A SE 0950854A SE 0950854 A SE0950854 A SE 0950854A SE 0950854 A1 SE0950854 A1 SE 0950854A1
Authority
SE
Sweden
Prior art keywords
user
memory
memory arrangement
data
secure
Prior art date
Application number
SE0950854A
Other languages
Swedish (sv)
Inventor
Anders Hansson
Peter Davin
Original Assignee
Cryptzone Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cryptzone Ab filed Critical Cryptzone Ab
Priority to SE0950854A priority Critical patent/SE0950854A1/en
Priority to PCT/SE2010/051246 priority patent/WO2011059390A1/en
Publication of SE0950854A1 publication Critical patent/SE0950854A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2131Lost password, e.g. recovery of lost or forgotten passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Föreliggande uppfinning avser till ett minnesarrangemang (70, 80, 90) bestående av en säkerhets drivrutinsapplikation (71, 901) och en lagrings (72, 902), varvid nämnda drivrutinsapplikation (71) är konfigurerad att, vid förfrågan, autentisera en användare med hjälp av ett autentiseringsförfarande och säkra och/eller osäkra data på nämnda lagringsdel. Drivrutinsapplikationen är vidare konfigurerad för att tillhandahålla eller neka tillgång till nämnd data eller radera nämnd data som lagrats i minnesarrangemanget.(Fig. 9)The present invention relates to a memory arrangement (70, 80, 90) consisting of a security driver application (71, 901) and a storage (72, 902), wherein said driver application (71) is configured to, upon request, authenticate a user using of an authentication procedure and secure and/or insecure data on said storage part. The driver application is further configured to provide or deny access to said data or delete said data stored in the memory arrangement. (Fig. 9)

Description

10 15 20 25 Vanliga USB-minnen lagrar data utan kryptering, vilket ger enkel åtkomst till den lagrade datan, t.ex. om USB-minnet förloras. 10 15 20 25 Standard USB sticks store data without encryption, providing easy access to the stored data, for example if the USB memory is lost.

För närvarande är säkra USBn utformade för att fungera med användare som säkrar sina egna minnen. Vissa företag, vill exempelvis kanske bara deras IT-administratörer kunna säkra minnen och sedan distribuera till sina användare, så att användarna inte behöver göra säkringsprocessen.Currently, secure USBs are designed to work with users who secure their own memories. Some companies, for example, may just want their IT administrators to be able to secure memories and then distribute to their users, so that users do not have to do the securing process.

När ett USB-minne är säkrat och tillgängligt för första gången, kan USB vara registrerad i en server som tillhör den användare som säkrade den. Minnet är försett med viss privat information som hör till användaren (som kallas en USB-token) och denna information skickas till servern för att kontrollera att minnet faktiskt skapats av användaren.When a USB memory is secured and available for the first time, USB can be registered in one server belonging to the user who secured it. The memory is provided with some private information belonging to the user (called a USB token) and this information is sent to the server to verify that the memory was actually created by the user.

Det finns alltså ett behov för ett förfarande att ge fördelarna med USB eller annan liknande minnestyps anslutningsmöjligheter, samtidigt som möjliggör ökad säkerhet.There is thus a need for a procedure to provide the benefits of USB or the like memory type connection options, while enabling increased security.

SAMMANFATTNING Fördelar av uppfinningen är: - Tillåta användaren att säkra/osäkra data till ett minnesenhet, - Driftsättas av klienten (datorn som tar emot minnet) baserad på policyinställningar, - Krypteringsmetod kontrolleras genom policyinställning, - Förmåga att övervaka driftsättningsprocessen centralt, - Förmåga att centralt konfigurera metoden för säkring av minnesenheten - Möjlighet att följa olika skyddsmetoder för som passar användarens arbetsmetoder. Förmåga att utnyttja krypterings och dekrypteringslogiken på vilken dator som helst, utan behov för extra drivrutiner, - Enkel användbarhet, guidad driftssättning - Tillåter en administratör och/eller en användare att använda säkringsprocessen - Tillåter loggning av användarinteraktioner, och spårar innehållsrevisionshistorik, 10 15 20 25 30 - Verkställa kryptering på allt som placeras i minnesenheten, - Central kontroll över den lagrade informationen.SUMMARY Advantages of the invention are: - Allow the user to secure / unsecure data to a memory device, - Operated by the client (the computer that receives the memory) based on policy settings, - Encryption method is controlled by policy setting, - Ability to monitor the commissioning process centrally, Ability to centrally configure the method for securing the memory device Opportunity to follow different protection methods that suit the user's working methods. Ability to utilize the encryption and decryption logic on any computer, without the need for extra drivers, - Easy usability, guided commissioning - Allows an administrator and / or a user to use the security process - Allows logging of user interactions, and tracks content revision history, 10 15 20 25 30 Apply encryption to everything placed in the memory device, - Central control over the stored information.

Av dessa och andra skäl som nämns nedan, tillhandahålles ett minnesarrangemang innefattande en drivrutinsapplikation för säkerhet och en lagringsdel. Drivrutinsapplikationen är konfigurerad för att, när den öppnas, att autentisera en användare med hjälp av ett autentiseringsförfarande och säkra och/eller osäkra data på nämnda lagringsarrangemang.For these and other reasons mentioned below, a memory arrangement is provided including a driver application for security and a storage component. The driver application is configured to, when opened, authenticate a user using a authentication procedure and secure and / or insecure data on said storage arrangement.

Drivrutinsapplikationen är vidare konfigurerad att tillåta eller neka tillgång till nämnda uppgifter eller radera nämnd data som lagrats i nämnda minnesarrangemang.The driver application is further configured to allow or deny access to said data or delete said data stored in said memory arrangement.

Mlnnesätkomstsarrangemanget kan innefatta slutanvändarbearbetningskommandon som används för att få åtkomst till nämnd data. Med fördel är minnesarrangemanget en av USB (Universal Serial Bus) minnesenhet, digitalkamera, digital videokamera, Personal Digital Assistant (PDA) eller en mobiltelefon. Minnesarrangemanget kan konfigureras att anslutas till en värd med hjälp av en eller flera av en USB-buss, FireWire (IEEE 1394), Human Interface Devices (HID), PCMCIA, Bluetooth eller IR. Minnesarrangemanget kan använda en applikation på en värd konfigurerad för att vägleda användaren och fungera som en länk mellan användaren och minnesarrangemanget. Applikationen får vara en del av minneskrypteringspolicyn och tillämpas på användaren centralt. I ett utförande omfattar en användardriftssättningskonfiguration en av: säkra minnesarrangemanget manuellt, fråga att säkra minnesarrangemanget varje gång för varje enhet, fråga att säkra minnesarrangemanget varje gång en osäker enhet används. Minnesarrangemanget är ytterligare konfigurerat att blockera nämnda data om en synkroniseringsprocess i frånvaro av en synkroniseringsprocess inom en angiven tidsperiod.The coin access arrangement may include end-user processing commands such as is used to access said data. Advantageously, the memory arrangement is one of USB (Universal Serial Bus) memory device, digital camera, digital video camera, Personal Digital Assistant (PDA) or a mobile phone. The memory arrangement can be configured to connect to one hosted using one or fl era of a USB bus, FireWire (IEEE 1394), Human Interface Devices (HID), PCMCIA, Bluetooth or IR. The memory arrangement can use an application on a host configured to guide the user and act as a link between the user and the memory arrangement. The application may be part of memory encryption policy and applied to the user centrally. In one embodiment, one comprises user deployment configuration one of: secure the memory arrangement manually, ask that secure the memory arrangement each time for each device, ask to secure the memory arrangement each time an insecure device is used. The memory arrangement is further configured to block said data on a synchronization process in the absence of a synchronization process within a specified period of time.

Uppfinningen avser också en metod för policybaserad säker driftssättning för ett minnesarrangemang, genom att använda en första operationsnivå, en andra policynivå och en tredje komponentlogiknivå, varvid en administratör administrerar nämnda driftssättningspolicy av den andra nivån, varvid säkerhetsdriftssättningen överförs till nämnda tredje nivå, där en server kommunicerar med en klient, som är avsedd att ta emot nämnda minnesarrangemang, och när nämnt minnesarrangemang är emottaget, överförs säkerhetsregler till det, varvid vid mottagand enligt ett kommando fràn servern av minnesarrangemanget på nämnda komponentlogiknivån, nämnda minne är anordnad för att ge åtkomst till eller neka åtkomst till eller ta bort data på nämnda minnesarrangemang. Företrädesvis, när data säkras är den 10 15 20 25 krypterad med lämplig krypteringsmetod. Metoden kan ytterligare omfatta ett funktionstidlås för att låsa arrangemanget efter en förutbestämd tidsperiod. Metoden kan innefatta ett återställningsförfarande som fungerar som ett andra privat lösenord. Återställningslösenordet fungerar genom att: - Tilldela en id till en nyckelplats som har en nyckel som används för att säkra arrangemanget - Lagring av en centralt administrerad användar-ID i en användarprofilsdatabas, - Använda användarens àterställningslösenord som àterställningsfrö, -tillhandahålla en nyckel som används för att kryptera nämnda arrangemang som en hash, - Om lösenordet förloras: - Autentisera användaren och ta emot en àterställning data, - Använda nämnda àterställning data och användaren som är ägare till återställningsdata som används vid kryptering, - autentisera användaren och använda àterställningslösenordet för att osäkra ett visst innehåll.The invention also refers to a method for policy-based safe deployment for one memory arrangements, using a first level of operation, a second level of policy and a third component logic level, wherein an administrator administers said deployment policy of the second level, whereby the safety commissioning is transferred to said third level, where a server communicates with a client, which is intended to receive said memory arrangement, and when said memory arrangement is received, security rules are transferred to it, wherein at receiving according to a command from the server of the memory arrangement on said component logic level, said memory is arranged to provide access to or deny access to or delete data on said memory arrangement. Preferably, when data is secured, it is 10 15 20 25 encrypted using the appropriate encryption method. The method may further comprise a function time lock for to lock the arrangement after a predetermined period of time. The method may include one recovery procedure that acts as a second private password. The reset password works by: Assign an ID to a key location that has a key used to secure the event - Storage of a centrally administered user ID in a user profile database, - Use the user's reset password as the reset seed, providing a key used to encrypt said arrangement as a hash, - If the password is lost: - Authenticate the user and receive a data recovery, Use the said recovery data and the user who owns the recovery data used in encryption, authenticate the user and use the reset password to secure a certain content.

I ett utförande, består hash av en nyckelidentifierare, användaridentifierare och àterställningsfrö kombinerade. Återställningsdatan kan vara användaridentifierare i kombination med nyckelidentifieraren. En slutlig återställningsnyckel genereras med hjälp av: användaridentifierare, nyckelidentifierare och àterställningsfrö.In one embodiment, hash consists of a key identifier, user identifier and recovery seed. combined. The recovery data can be user identifier in combination with the key identifier. A final recovery key is generated using: user identifier, key identifier and recovery seed.

KORT BESKRIVNING AV RITNINGAR l följande beskrivs uppfinningen med hänvisning till ett antal icke-begränsande exemplariska utföranden illustrerade schematiska i bifogade ritningar, där: Fig. 1 visar ett blockschema som visar skyddsnivåer enligt uppfinningen, Fig. 2 visar ett blockschema som visar nyckelhanteringen enligt uppfinningen, Fig. 3 är ett blockschema som visar stegen för att generera återställningsnycklar enligt uppfinningen, Fig. 4 visar ett blockschema för hantering av återställningsnycklar enligt uppfinningen, 10 15 20 25 Fig. 5 visar ett blockschema som visar förfrågans- och svarslogik enligt uppfinningen, Fig. 6 är ett blockdiagram över metoden för uppfinningen, Fig. 7 är ett blockdiagram som visar en USB/dator enligt uppfinningen, Fig. 8 är ett blockdiagram som visar ett minne/datoranslutning enligt uppfinningen, och Fig. 9 visar ett blockdiagram som visar principerna för uppfinningen.BRIEF DESCRIPTION OF DRAWINGS In the following, the invention is described with reference to a number of non-limiting exemplary embodiments illustrated schematically in the accompanying drawings, in which: Fig. 1 shows a block diagram showing protection levels according to the invention, Fig. 2 shows a block diagram showing the key management according to the invention, Fig. 3 is a block diagram showing the steps for generating recovery keys according to the invention, Fig. 4 shows a block diagram for handling recovery keys according to the invention, 10 15 20 25 Fig. 5 shows a block diagram showing inquiry and response logic according to the invention, Fig. 6 is a block diagram of the method of invention, Fig. 7 is a block diagram showing a USB / computer according to the invention, Fig. 8 is a block diagram showing a memory / computer connection according to the invention, and Fig. 9 shows a block diagram showing the principles of the invention.

BESKRIVNING l det följande beskrives uppfinningen med hänvisning till ett önskat utförande av en USB (Universal Serial Bus) minnesenhet (Memory Stick). Det är dock självklart för en fackman att uppfinningens läror kan genomföras på alla typer av minnesenheter som kan anslutas till en dator, till exempel omfattar minnesenheter minnen, digitalkameror, digitala videokameror, Personal Digital Assistant (PDA), mobiltelefoner, etc., som kan anslutas till en värd till exempel en dator via en USB-buss, FireWire (IEEE 1394), Human Interface Devices (HlD), PCMCIA, Bluetooth, IR mm.DESCRIPTION In the following, the invention is described with reference to a desired embodiment of a USB (Universal Serial Bus) Memory Stick. However, it is obvious to a person skilled in the art that the teachings of the invention can be implemented on all types of memory devices that can be connected to one computer, for example, memory devices include memories, digital cameras, digital video cameras, Personal Digital Assistant (PDA), mobile phones, etc., which can be connected to a host for example a computer via a USB bus, FireWire (IEEE 1394), Human Interface Devices (HlD), PCMCIA, Bluetooth, IR mm.

Fig. 9 visar schematiskt principerna för uppfinningen. Ett exemplariskt system kan bestå av en minnesenhet 90, enligt föreliggande uppfinning, en användardator 95, och en server 92 som kommunicerar via ett nätverk 93.Fig. 9 schematically shows the principles of the invention. An exemplary system may consist of one memory device 90, according to the present invention, a user computer 95, and a server 92 which communicates via a network 93.

Minnesenheten 90 består av ett lager av körbara instruktionsuppsättningar, dvs. drivrutinsapplikation, 901 och lagras i en del av minnet 902, är lagringsdataområdet 9021 med användarprofildata 9022 och säkrad (krypterad) minnesomràde 9023. Drivrutinsdelen kan omfatta instruktioner för kryptering/dekryptering av data och kommunikation med servern 92.The memory unit 90 consists of a layer of executable instruction sets, i.e. driver application, 901 and stored in a portion of the memory 902, the storage data area 9021 is user profile data 9022 and secured (encrypted) memory area 9023. The driver part can include instructions for encrypting / decrypting data and communicating with the server 92.

Kryptering/dekryptering, användarnamn och setup hanteras är helt drivrutinen 901.Encryption / decryption, username and setup managed is entirely the 901 driver.

Profildelen 9022 kan omfatta skyddsmetoder för en eller flera användare av minnesenheten.The component 9022 may include protection methods for one or more users of the memory device.

Skyddsmetoderna kan vara: - Anpassad, - Privat, - Master, 10 15 20 25 - Återställning, - Säker grupper, - Företagsskydd.The protection methods can be: - Customized, - Private, - Master, 10 15 20 25 - Restoration, - Safe groups, - Corporate security.

Dessa metoder beskrivs mer detaljerade nedan.These methods are described in more detail below.

Servern 92, som kan kommunicera med minnesenheten via nätverket 93, när som en kommunikation är etablerad, kan innehålla en databas 920 för användaridentiteterna, användarprofilerna, användargrupper, huvudlösenord, återställningslösenord, etc.The server 92, which can communicate with the memory device via the network 93, at any time communication is established, may contain a database 920 for the user identities, user passwords, user groups, master passwords, reset passwords, etc.

Huvudlösenord för kryptering, dekryptering av minnesenheten satt av användaren är dock lagrat pà minnesenheten i sig.However, the master password for encryption, decryption of the memory device set by the user is stored on the memory device itself.

Det följande beskriver parametrar inblandade när en användare 96 går från att ha en oskyddad minnesenhet till en skyddad minnesenhet. I grunden är klientprogrammet (klient) konfigurerad hur den ska vägleda användaren i driftssättningsprocessen. Här avses med "klient" det som program körs på datorn 95, som tar emot minnesenheten 90. Väl installerat kan klientprogrammet fungera som en länk mellan användaren 96 och minnesenheten. Detta kommer att vara en del av minneskrypteringspolicyn placerad i användarens profildatabas (som förvaltas av klienten), och kan tillämpas för användaren centralt.The following describes parameters involved when a user 96 goes from having an unprotected one memory device to a protected memory device. Basically, the client program (client) is configured how to guide the user in the deployment process. Here, "client" refers to what programs run on the computer 95, which receives the memory device 90. Well installed can the client program acts as a link between the user 96 and the memory device. This will be part of the memory encryption policy located in the user's profile database (as managed by the client), and can be applied to the user centrally.

Klientdriftssättningskonfigurationen kan omfatta en eller flera av följande (i följande USB- minnesenheten används för minnesenhet): ~ Säkra USB-minnen manuellt - Be att säkra USB-minnen en gång för varje enhet - Be att säkra USB-minnen varje gång en osäker enhet anslutes.The client deployment configuration may include one or more of the following (in the following USB the memory device is used for memory device): ~ Secure USB sticks manually - Ask to secure USB sticks once for each device - Ask to secure USB sticks each time an insecure device is connected.

- Automatiskt säkra alla oprioriterade minne som anslutes.- Automatically secure all non-priority memory connected.

Enligt ett utförande kan USB-minnet konfigureras för manuellt driftssättning, och användaren måste säkra USB-minnet manuellt. Ett andra alternativ äri inställningarna, där användaren kan välja "säkra USB-minnet omedelbart".According to one embodiment, the USB memory can be configured for manual commissioning, and the user must secure the USB memory manually. A second option is the settings, where the user can select "secure USB memory immediately".

Metoden kan tillåta flera alternativ för att säkra USB-minnen. Om konfigurerad för att bli ombedd att säkra en USB-minnesenhet en gång för varje enhet, kommer klienten att uppmana användaren om han vill säkra en USB-minnesenhet så snart han ansluter en minnesenhet i 10 15 20 25 30 hans dator. Det kommer bara göras en gång för varje enhet, eftersom klienten kommer att hålla reda på vilka USB- minnesenheter är anslutna.The method can allow several options to secure USB sticks. If configured to be prompted to secure a USB memory device once for each device, the client will prompt the user if he wants to secure a USB memory device as soon as he connects a memory device in 10 15 20 25 30 his computer. It will only be done once for each device, as the client will hold find out which USB memory devices are connected.

Om konflgurerad för att bli tillfrågad varje gång en osäker USB-minnesenhet ansluts kommer klienten att uppmana användaren att säkra enheten varje gång han sätter kopplar den till sin dator. Detta inträffar bara om USB-minnet saknar ett säkert område.If configured to be prompted each time an insecure USB memory device is connected the client to prompt the user to secure the device every time he plugs it into his computer. This only happens if the USB memory does not have a secure area.

Företrädesvis är processen för att säkra ett USB-minne en guidad process, för att vara så användarvänligt som möjligt. Detta innebär att ett applikatlonsprogram hjälper användaren att köra driftssättningsförfarandet steg för steg.Preferably, the process of securing a USB memory is a guided process, if so user-friendly as possible. This means that an application program helps the user to run the commissioning procedure step by step.

Fig. 1 illustrerar en policybaserad driftssättningsförfarande. Förfarandet består av tre nivåer: första driftslagret 10, andra policy och regelverk 11 och tredje komponentlogiken 12. I driftslagret 10, en administratör 101 administrerar säkerhetspolicyn och säkerhetsdriftssättningspolicyn av den andra nivån. Säkerhets- och policydriftssättning överförs till nivå 3 med till exempel en företagsserver 121 (eller en server som är avsedd för sådana funktioner). Företagsservern 121 kommunicerar med en klient 122 (operativsystemsbaserad drivrutin eller drivrutinsapplikation) som avses ta emot minnesenhet 123. När minnesenheten 123 anslutes, överföres säkerhetspolicyn till den. Säkerhetspolicyn tillhandahålles även en användare 102.Fig. 1 illustrates a policy-based commissioning procedure. The procedure consists of three levels: first operational layer 10, second policy and regulations 11 and third component logic 12. I the operating warehouse 10, an administrator 101 administers the security policy and security deployment policy of the second level. Security and policy deployment are transferred to level 3 with, for example, a corporate server 121 (or a server designed for such functions). The enterprise server 121 communicates with a client 122 (operating system based) driver or driver application) intended to receive the memory device 123. When the memory device 123 is connected, the security policy is transferred to it. The security policy is also provided users 102.

Fig. 6 illustrerar ett exemplariskt utförande av metoden för uppfinningen. När en minnesenhet är ansluten 601 till en dator, kommer ett program (som t ex Single Encryption Platform (SEP) som utvecklats av Cryptzone) installeras på datorn att kontrollera 602 om minnesenheten är säkrad, dvs. krypterad, om minnesenheten inte är säkrad kommer det att be 603 om användaren vill säkra den. Om minnet är redan säkrat, får drivrutinen på minnesenheten försöka att ta reda på 604 om datorn är ansluten till ett nätverk kan det kontakta en server som innehåller information om det säkra minnet. Servern kan vara företagets server eller en säkerhetsleverantörs server som innehåller information om det säkra minnet. Resultat enligt kommunikationen med servern kan resultera i olika åtgärder som kommer att beskrivas i mer detalj nedan.Fig. 6 illustrates an exemplary embodiment of the method for the invention. When a memory device is connected 601 to a computer, a program (such as the Single Encryption Platform (SEP) such as developed by Cryptzone) is installed on the computer to check 602 if the memory device is secured, i.e. encrypted, if the memory device is not secured it will ask 603 if the user wants secure it. If the memory is already secured, the driver of the memory device may try to find out 604 if the computer is connected to a network, it can contact a server that contains information about the secure memory. The server can be the company's server or a security provider's server which contains information about the secure memory. Results according to the communication with the server may result in various actions which will be described in more detail below.

Ovanstående steg kan ordnas beroende på tillämpning.The above steps can be arranged depending on the application.

Om användarens minnesenhet inte är skyddad och användaren inte vill säkra minnesenheten avslutas förfarandet 605. Men om användaren vill säkra minnesenheten, frågar applikationsprogrammet 606 efter en nyckel eller ett lösenord som har använts för att säkra minnet. Men om minnet är säkrat drivrutinen redan installerad på minnet kommer att be om 10 15 20 25 30 nyckeln eller lösenordet. I ett utförande kan användaren eller en administratör ha gett eller sätta upp en profil (uppsättning av regler) för att hantera minnesenheten. Baserad på dessa regler får olika skyddsmetoder 607 tillämpas för hantering av minnet. Dessa beskrivs nedan. Om det finns en anslutning till servern kan information så som loggar, revisionshistoria, behörigheter osv., överföras 608 till servern.If the user's memory device is not protected and the user does not want to secure the memory device procedure 605 is terminated. But if the user wants to secure the memory device, ask application program 606 for a key or password that has been used to secure the memory. But if the memory is secured the driver already installed on the memory will ask 10 15 20 25 30 the key or password. In one embodiment, the user or an administrator may have given or put up a pro fi l (set of rules) to manage the memory device. Based on these rules may various protection methods 607 are applied for memory management. These are described below. If any a connection to the server can include information such as logs, audit history, permissions, etc. transmitted 608 to the server.

Beroende av profilen, fått information från servern och nyckeln eller lösenordet minnesenheten hanteras 609, dvs krypterad, dekrypteras, åtkomst nekad eller innehåll raderas.Depending on the proe, received information from the server and the key or password memory device handled 609, ie encrypted, decrypted, access denied or content deleted.

När säkra data på minnesenhet, kan olika skydd metoder användas som nämnts tidigare. Under aktiveringen fasen ärver minnesenhet inställningarna för användaren när det gäller säkerhet attribut, såsom skyddet metoder. Dessa inställningar år inbäddade i profilen databasen 9022 (Fig. 9). Andra attribut som kan ta påverka är: loggningsalternativ session alternativ timeout och olika minnesalternativ beteende. Dessa kan vara en del av säkerhetspolicyn, och kan tillämpas för användaren centralt.When securing data on memory device, various protection methods can be used as mentioned earlier. During The activation phase inherits the memory device settings for the user in terms of security attributes, such as protection methods. These settings are embedded in the profile database 9022 (Fig. 9). Other attributes that can take effect are: logging options session timeout options and different memory behaviors. These can be part of the security policy, and can be applied for the user centrally.

Under aktiveringen fasen är minnet 902 som utarbetats av den aktiverande komponent (som kan vara klienten 122 på användarens skrivbord eller föraren själv 901 i ett senare skede) fastställa den kryptering policy aktivera användaren.During the activation phase, the memory 902 prepared by the activating component (as may be the client 122 on the user's desktop or the driver 901 at a later stage) establish the encryption policy enable the user.

När tillträde till säkrade content9023 inom minnesenheten kan användaren måste ange ett lösenord manuellt varje gång han hon vill få tillgång till informationen. Anledningen till detta är att minnesenhetslogiken inte behöver hålla någon logik server-anslutning eller någon koppling till användarens profil databas på klienten programmet 122 på datorn.When accessing secured content9023 within the memory device, the user may need to enter one password manually every time he she wants to access the information. The reason for this is that the memory device logic does not need to hold any logic server connection or any connection to the user's pro fi l database on the client program 122 on the computer.

Tekniskt sett när data säkras, det är krypterat, t.ex. med AES256 med starkt randomiserad 256 bitars nyckel eller något annat lämpligt kryptera algoritm. I detta fall är nyckeln placeras i en så kallad "nycke|-innehavaren slots", dvs. i en säker data huvud. Varje nyckel-slot är sedan krypterat med nämnda AES256 eller någon annan lämplig algoritm krypterar med nyckeln relaterade till ett särskilt skydd metod. Nyckeln är en hashad version av den faktiska lösenord, för att förhindra brute-force förfaranden. Se figur. 2.Technically, when data is secured, it is encrypted, e.g. with AES256 with strongly randomized 256 bit key or any other suitable encrypting algorithm. In this case, the key is placed in a so called "key | holder slots", i.e. in a secure data header. Each key slot is then encrypted with the AES256 or any other suitable algorithm encrypts with the key related to a special protection method. The key is a hashad version of the actual password, to prevent brute-force procedures. Se fi gur. 2.

En tidslåsfunktion kan också vara tillgängliga för minnesenhet, som används för att låsa enheten efter en förutbestämd period.A time-lock function may also be available for the memory device used for locking the device after a predetermined period.

Skyddet metoder som tidigare nämnts får tillämpas en och en eller i kombinationer och beskrivs i följande: 10 15 20 25 I anpassat metoden, anger användaren ett lösenord.The protection methods previously mentioned may be applied one by one or in combinations and described in the following: 10 15 20 25 In the custom method, the user enters a password.

I den privata lösenord metoden är ett lösenord som användaren (ägare) av minnet enhet som är upp när USB-minnet är krypterad för första gången.In the private password method, a password is the user (owner) of the memory device that is up when the USB memory is encrypted for the first time.

I huvudlösenordsmetoden fungerar lösenord som ett andra lösenord, och kan ges när av en administratör av exempelvis ett företag eller av användaren. Huvudlösenordet kan överskugga andra lösenord och hanteras av en administratör. Huvudlösenordet får tillämpas på varje användare.In the master password method, the password acts as a second password, and can be given when by one administrator of, for example, a company or of the user. The master password can overshadow other passwords and managed by an administrator. The master password may be applied to each user.

I säkergrupp metod, är en säker grupp lösenord som tillhandahålls av en administratör och tilldelas medlemmar i en grupp att ge tillgång till USB-minnet eller delar av minn enligt enheten genom att dessa medlemmar.In secure group method, a secure group password is provided by an administrator and assigned to members of a group to provide access to the USB memory or parts of memory according to the device by these members.

I företagslösenord genereras slumpmässigt av klienten eller föraren 901 när den används.In company passwords are randomly generated by the client or driver 901 when used.

Lösenordet lämnas till servern, tillsammans med meta-information som beskriver vilka användare som ska ha tillgång till nyckeln och vilken roll de ska ha när nyckeln används för att komma skyddat material. Möjliga roller kan vara: - Ingen tillgång: Ingen tillgång är tillåtet, - Läs: Endast läsning av innehållet i minnet tillstånd, - Bidra: Läs-och skrivrättigheter, - Manger: läsa och skriva och behörighet att ändra "tillstånd", - Admin: administratörsrättigheter.The password is provided to the server, along with meta-information describing which ones users who should have access to the key and what role they should have when the key is used to come protected material. Possible roles can be: - No access: No access is allowed, - Read: Only reading the contents of the memory state, - Contribute: Read and write rights, - Manger: read and write and authority to change "state", - Admin: administrator rights.

I ett utförande, när en säkradUSB-minne är konfigurerad att använda företaget lösenordsskydd metod, och en användare försöker komma åt minnet, försöker föraren logik på minnesenheten hitta servern. Om servern är placerad, kan användaren automatiskt verifieras, exempelvis med hjälp operativa systemet (som t.ex. Windows, Linux, Mac OS etc.) inbyggda autentiseringsmekanismer för att ge referenser manuellt, t.ex. med en inloggning dialogrutan.In one embodiment, when a secured USB memory is configured to use the company password protection method, and a user tries to access the memory, the driver tries logic on the memory device find the server. If the server is located, the user can be automatically verified, for example with help the operating system (such as Windows, Linux, Mac OS, etc.) built-in authentication mechanisms to provide references manually, e.g. with a login dialog.

När verifierats, föraren kommer förfrågningar till servern för nyckeln som används för att säkra området. Detta innebär att servern fungerar som en port för att komma åt information om det säkra området. Servern utvärderar de meta-data i förhållande till viktiga att utvärdera om den autentiserade användaren ska ha tillgång till det, eller inte. Om tillgång beviljas, är nyckeln delas ut och användaren kan få tillgång till krypterade minnesenhet. 10 15 20 25 10 Återställningslösenord metoden genereras av klienten när de appliceras på säkrade minnet 902.Once verified, the driver will make requests to the server for the key used to secure it the area. This means that the server acts as a port to access information about it secure the area. The server evaluates the meta-data in relation to important to re-evaluate it authenticated user should have access to it, or not. If access is granted, the key is shared out and the user can access the encrypted memory device. 10 15 20 25 10 The password recovery method is generated by the client when applied to the secured memory 902.

Nyckelgenerareringen bygger på ett frö som ges till varje användare av servern på servern initiering. Varje användare i företaget har vanligtvis ett unikt frö för detta ändamål. Detta betyder indirekt att varje användares återställning lösenord kommer att skapas på olika sätt för varje användare. Nyckelgenereringslogiken använder också en slumpmässig faktor som i sin tur säkerställer att alla tangenter på en användare är unika per säkrade minne 902 (eller delar av den). Återställningslösenord fungerar på följande sätt, se bild. 3: 1. En fil eller ett USB-minne är säkrad. Ett lD kommer att tilldelas nyckelöpnning som har nyckeln som används för att säkra denna enhet. Detta ID kallas nyckeln identifierare (i figuren markerad som innehålls-ID). 2. Företag (centralt administrerade) användar-ID betraktas som användare, t.ex. "lagras i användarprofilen databas 30. Företag är ett allmänt begrepp som inbegriper komponenter såsom servern, ett administrationsverktyg och klienten. 3. Den användarens återställning lösenord (t.ex. värd en Företagsserver 32) betraktas som återställning frö 31. 4. Nyckeln som ska användas för att kryptera filen eller USB-minnesenheten kommer att bli en hash, till exempel med hjälp av faktorerna nyckelidentifierare, användaridentifikation och återställning frö kombineras. 5. Om lösenordet är förloras: 6. Valfritt kommer alla användare få information om hur du kontaktar ett stöd i fall av förlorade lösenord, när han försöker komma åt filen. Användaren följer instruktionerna och kontaktar support. 7. Supporten genom att använda ett Adminverktyg gär igenom en "förlorad lösenord & återstäl|ningslösenordet" rutin. 8. En gång autentiserade användaren anger en "återstälIning biljett", som är den användaridentifikation kombination med nyckel, t.ex. "avgränsas med ett tecken (t.ex. "-").The key generation is based on a seed given to each user by the server on the server initiation. Each user in the company usually has a unique seed for this purpose. This means indirectly that each user's recovery password will be created differently for each user. The key generation logic also uses a random factor as in turn ensures that all keys on a user are unique per secured memory 902 (or parts of the). Reset password works as follows, see picture. 3: 1. An fi l or a USB memory is secured. An lD will be assigned key opening that has the key used to secure this device. This ID is called the key identifier (in fi guren marked as Content ID). 2. Company (centrally administered) user ID is considered a user, e.g. "stored in user profile database 30. Business is a general term that includes components such as the server, an administration tool and the client. 3. The user's recovery password (for example, hosting a Business Server 32) is considered as seed restoration 31. 4. The key to be used to encrypt the file or USB memory device will be a hash, for example, using the key identifier, user identification and seed recovery combined. 5. If the password is lost: 6. Optionally, all users will receive information on how to contact a support in case of lost password, when trying to access the file. The user follows the instructions and contact support. 7. Support by using an Admin tool goes through a "lost password & recovery password "routine. 8. Once authenticated the user enters a "reset ticket", which is it user identification combination with key, e.g. "is delimited by a character (eg" - ").

Användaren kommer att kunna se denna information bland information om vad som ska göra 10 15 20 25 11 om lösenordet är förlorat. Till exempel kan återställningen biljetten vara "3243-AA443210" - där 3243 är den användaridentifikation och AA443210 är nyckeln identifierare. 9. Support anger återställningsbiljetten i adminverktygsguiden, och användaren som ägaren till återställning lösenord som används vid kryptering visas. 10. Supporten autentiserar (muntligt eller skriftligt) användaren som ringer in, och om de är nöjda med autentisering han eller hon klickar nästa. 11. Återställningslösenord som används för det specifika innehållet kommer att visas på stöd skrivbord skärm, medan den kommuniceras till användaren.The user will be able to see this information among information on what to do 10 15 20 25 11 if the password is lost. For example, the reset ticket may be "3243-AA443210" - there 3243 is the user identification and AA443210 is the key identifier. 9. Support indicates the recovery ticket in the admin tool guide, and the user as the owner of the password reset used for encryption is displayed. 10. The support authenticates (orally or in writing) the calling user, and if they are happy with authentication he or she clicks next. 11. Reset passwords used for the specific content will be displayed on support desktop screen, while communicating to the user.

Enligt en föredragen utformning kan det finnas tre komponenter till ett återställningslösenord: Användar ID: (t.ex. 32 bitar) ID för användaren på företagsserver Nyckelidentifierare: (t.ex. 32 bitar) ID för nyckel-slot som har nyckeln att låsa upp säkrad fil/mapp/USB-minne Återställningsfrö: (t.ex. 128 bitar (variabel)) Den faktiska frö som kommer att genereras och lagras av servern. Återställningsbiljett: En sträng värde som är en sammansatt sträng följd av användaridentifikation och nyckeln identifierare (till exempel "00078-FEAB0002").According to a preferred design, there can be three components to a recovery password: User ID: (eg 32 bits) ID of the user on the enterprise server Key identifier: (eg 32 bits) ID of the key slot that has the key to unlock secured file / folder / USB memory Reset Seed: (eg 128 bits (variable)) The actual seed that will be generated and stored by the server. Recovery ticket: A strict value that is a compound strict consequence of user identification and key identifier (for example "00078-FEAB0002").

Den slutliga återställningen nyckel genereras påföljande sätt: SHA1 (användaridentifieraren | | Nyckelidentifieraren | | återställningsfrö), vilket kommer att resultera i exempelvis 160 bitar data. Återställningen biljett kommer att kodas på ett sätt så att den är användarvänlig läsbar och kommuniceras enkelt i skriftlig eller muntlig form. Se figur. 4.The final recovery key is generated as follows: SHA1 (user identifier | | key identifier | | reset seed), which will result in, for example, 160 bits of data. The reset ticket will be coded in such a way that it is user-friendly readable and easily communicated in written or oral form. Se fi gur. 4.

När servern processer återställningen biljetten, kommer det att hämta ID för användaren (Användar ID) och nyckelidentifierare. Med hjälp av användar-ID, kommer servern att hämta återställningen frö som använts. Servern kommer sedan att bearbeta användar-ID, centrala identifierare och återställningen frö på samma sätt som nämnts ovan med t.ex. SHA1, att återskapa återställningslösenordet.When the server processes the recovery ticket, it will retrieve the ID of the user (User ID) and key identifier. Using the user ID, the server will retrieve the recovery seed used. The server will then process the user ID, central identifier and the recovery of the seed in the same way as mentioned above with e.g. SHA1, att recover the recovery password.

Enligt en utföringsform av uppfinningen, är det möjligt att verifiera användaren mot servern för att få tillgång till en nyckel för att kunna få tillgång till enheten, vilket öppnar Single Sign-On (SSO) värden. 10 15 20 25 12 Varje åtgärd som utförs med det säkrade området på USB-minnesheten kan loggas in i säkert område, se bild. 5. Detta inkluderar, radering av filer, osäkra filer, säkra filer, ändra lösenord etc.According to one embodiment of the invention, it is possible to verify the user against the server for to access a key to access the device, which opens Single Sign-On (SSO) values. 10 15 20 25 12 Any action performed with the secured area of the USB memory device can be logged in securely area, see picture. 5. This includes, deleting files, insecure files, secure files, changing passwords, etc.

Loggförfarande som även kan innehålla en översyn innehåll, loggar alla transaktioner, dvs kopiera, ta bort, lägga till, göra ändringar osv. på minnesenheten enhet användaren dator och/eller servern. Alla transaktioner är försedda med ett serienummer eller ID. Stockarna är vanligtvis men inte uteslutande överförs och lagras på servern när det är möjligt med hjälp av föraren av minnesenheten.Logging procedure that can also include a review content, logs all transactions, ie copy, delete, add, make changes, etc. on the memory device device user computer and / or the server. All transactions are provided with a serial number or ID. The logs are usually but not exclusively transmitted and stored on the server whenever possible using the driver of the memory device.

Loggarna är tillgängliga för läsning om man har tillgång till det säkra området eller servern (efter synk-bearbetning). Det görs genom att öppna säkrade området i webbläsaren läge, gå till huvudmenyn och välj, dvs. visa loggwebbläsare.The logs are available for reading if you have access to the secure area or the server (after sync processing). This is done by opening the secured area in the browser mode, go to main menu and select, ie. view log browser.

Detta gör det möjligt att avgöra till exempel om en specifik fil (som data) fanns på ett minne vid en viss tidpunkt.This makes it possible to determine, for example, whether a specific file (such as data) was on a memory at a certain time.

Föreliggande uppfinning kan verkställa kryptering på alla uppgifter som läggs på USB-enheten.The present invention can perform encryption on all data loaded on the USB device.

Målet för detta är att skapa ett sätt så att data inte kan lagras som vanlig text på en USB-enhet som har ett säkert område. Denna funktion kan vara policy kontrolleras genom inställningar: - Tillåt användaren att lagra osäkra data på USB-minnet - Automatisk identifiering om oprioriterade data existerar utanför det säkra området, och be användaren att säkra den.The goal of this is to create a way so that data can not be stored as plain text on a USB device which has a safe area. This feature can be policy controlled through settings: - Allow the user to store insecure data on the USB memory - Automatic identification if non-priority data exists outside the secure area, and ask the user to secure it.

- Låt inte användaren lagra osäkrad data på USB-minnet En aspekt av uppfinningen kan innebära en policy som kan beslutas centralt. En policy innehåller inställningar. En policy kan innehålla en eller flera inställningar. En eller flera policy kan tillämpas på en användare eller en grupp av användare. Sammanfoga regler används för att definiera de slutliga inställningarna som skall tillämpas på en användare. Detta lägger en stor flexibilitet för produkten och ger administratörer möjlighet att konfigurera policy inställningar på det sätt de vill. Således är detta en fördel att policyhanteringen kan centralt ha gemensam policy tillämpas på ett enda användare eller grupp, eller flera användare och/eller grupper samt flera 10 15 20 25 30 13 policyområden gälla för en enskild användare eller grupp, eller flera användare och/eller grupper.- Do not allow the user to store unsecured data on the USB memory One aspect of the invention may involve a policy that may be decided centrally. A policy contains settings. A policy can contain one or more settings. One or your policies can be applied to a user or a group of users. Merge rules are used for to define the final settings to be applied to a user. This adds a big flexibility for the product and allows administrators to configure policy settings on the way they want. Thus, this is an advantage that policy management can centrally have a common policy applied to a single user or group, or fl your users and / or groups and more 10 15 20 25 30 13 policy areas apply to an individual user or group, or several users and / or groups.

Vidare kan en policy bestå av ett enda system inställningar, liksom även många. Dessutom har en inställning att inte vara unikt mellan policy, motstridiga regler. l ett utförande Administratören kan ha möjlighet att välja en "lista" av policyn för användarna och rangordna varje policyområde i listan. Ju högre rang en policy har innebär att det kommer att åsidosätta den policy med lägre rang. Detta är endast fallet om de tvà strategierna har inställningar som krockar med varandra.Furthermore, a policy can consist of a single system settings, as well as many. In addition, an attitude of not being unique between policy, conflicting rules. In an implementation The administrator may have the option to select a "list" of policies for users and rank each policy area in the list. The higher rank a policy has means that it will override the lower rank policy. This is only the case if the two strategies have settings that clash with each other.

Exempel: Policy A har vissa inställningar som definierats för e-post säkra och trygga fil. Policy B har några inställningar som för e-post säkra, lösenord och Adminlås. Användaren tillämpas både policy A och policy B, med policy A som högre rang. Användaren kommer att få inställningarna för e-post från policyn en eftersom den har högre rang än policy B. Men han kommer att få lösenord och Adminlåsinställningar från policyn B eftersom dessa inställningar inte har definierats i trånade i policyn A.Example: Policy A has certain settings that are denoted for e-mail safe and secure. Policy B has some settings such as e-mail secure, password and admin lock. The user applies both policy A and policy B, with policy A as the higher rank. The user will receive the email settings from policy one because it has a higher rank than policy B. But he will get passwords and Admin lock settings from policy B because these settings have not been defined in threaded in policy A.

Fig. 7 åskådliggör kryptering förfarandet för USB-minne 70 enligt uppfinningen. USB-minnet består av en drivrutinsapplikation för säkerhet 71 (901 i fig. 9) och en databas som finns i flashminnsplats 72. Klientapplikationen 76 på den mottagande enheten, t.ex. en dator 75 aktiveras. När drivrutinen ansökan 71 nås, kommer det att verifiera användaren med en lösenord. Slutanvändaren bearbetning kommandon på datorn 75 med det gränssnitt som tillhandahålls av drivrutinsapplikationen 71 kommer då att kunna säkra och osäkra data till och från USB-minne. Den säkrade data lagras på USB-minnet föraren plats 72.Fig. 7 illustrates the encryption procedure for USB memory 70 according to the invention. USB memory consists of a driver application for security 71 (901 in fi g. 9) and a database found in flash memory slot 72. The client application 76 on the receiving device, e.g. a computer 75 activated. When the driver application 71 is accessed, it will be the user with one password. The end user processing commands on the computer 75 with the interface set provided by the driver application 71 will then be able to secure and insecure data to and from USB memory. The secured data is stored on the USB memory driver slot 72.

I ett utförande uppfinningen gör att en användare eller administratör distans blockerar åtkomst till USB-eller radera data på ett säkert USB-minne.In one embodiment, the invention causes a user or administrator to remotely block access to USB or delete data on a secure USB memory.

När en låsning är utfärdad på ett säkert USB, kommer USB blockeras från vidare tillgång till låsning tas bort. När en radering utfärdas på ett säkert USB, kommer alla data på enheten tillsammans med det säkrade USB körbara torkas av och uppgifterna kan återfås.When a lock is issued on a secure USB, USB will be blocked from further access locking is removed. When an erasure is issued on a secure USB, all the data on the device arrives together with the secured USB executable is wiped off and the data can be recovered.

Fig. 8 visar den schematiska detta utförande. När en användare ansluter ett USB-minne 80 till en dator 85 för att komma åt data på USB, drivrutinsapplikation (enligt ovan) på USB-minnet är 10 15 20 25 14 konfigurerat att kontakta en säkerhetsserver 82, t.ex. Företagsserver (enligt ovan), genom ett kommunikationsnät 83, Internet eller intranät. l en livscykel parameter av enheten en Systemadministratör får inleda alternativ för låsning eller ta bort. Dessa lagras i en databas 84 kommunicera med servern. När USB-minne kontakter servern tar det emot kommandot och drivrutinsapplikationen utför kommandot, dvs. dekrypterar data, låser (neka åtkomst till uppgifter) eller ta bort data. Med denna funktion kan ta kontrollen över USB, vilket kan ha gått förlorade när en låsning eller radera kommandot ges för enheten, kan kommandot vara i ett vänteläge tills kommandot har meddelats till enheten. Därefter kan administratören se att kommandot har levererats till enheten.Fig. 8 shows the schematic of this embodiment. When a user connects another 80 USB memory a computer 85 to access data on USB, driver application (as above) on the USB memory is 10 15 20 25 14 configured to contact a security server 82, e.g. Enterprise server (as above), through a communication network 83, Internet or intranet. l a life cycle parameter of the device one System Administrator may initiate lock or uninstall options. These are stored in a database 84 communicate with the server. When USB memory contacts the server, it receives the command and the driver application executes the command, i.e. decrypts data, locks (deny access to data) or delete data. With this feature can take control of USB, which may have gone lost when a lock or delete command is given to the device, the command may be in one standby mode until the command has been notified to the device. Then the administrator can see that the command has been delivered to the device.

Enligt en utförande säkrade USB-minnen som inte har synkroniserats med servern för ett visst antal dagar kan göras oåtkomliga för användaren.According to one embodiment, USB sticks that have not been synchronized with the server secured for a certain number of days can be made inaccessible to the user.

Till exempel kan vissa företag kräva att deras användare synkronisera sina säkrade USB- minnesenheter regelbundet. Detta ger företag att hävda sina anställda för att synkronisera innehållet stockar av sina USB-minnen medserver.For example, some companies may require their users to sync their secure USB devices. memory devices regularly. This allows companies to claim their employees to sync the content logs of its USB sticks with the server.

Detta är möjligt genom en inställning till i den policy redaktören att genomdriva detta beteende.This is possible through an attitude to the policy editor to enforce this behavior.

Ett säkrat USB-minne inte har synkroniserat med servern framgångsrikt för en viss period kommer inte att vara tillgänglig fram till en framgångsrik synkronisering sker.A secured USB memory has not synchronized with the server successfully for a certain period will not be available until successful synchronization occurs.

Detta uppnås på samma sätt som den avstår exempel. En parameter för kraft synkronisering kan satt när USB-minnet är säkrad. Drivrutinsapplikationen styr denna parameter varje gång det säkrade USB-minnet nås.This is achieved in the same way as it gives up examples. A parameter for power synchronization can be set when the USB memory is secured. The driver application controls this parameter each time it secured USB memory is accessed.

När den säkrade USB-minnesenheten inte har synkroniserats under en viss tidsperiod, kan åtkomst till USB-minnesenheten blockeras.When the secured USB memory device has not been synchronized for a certain period of time, access to the USB memory device is blocked.

I ett utförande kan föraren program på den mottagande datorn uppgradera drivrutinen på minnesenheten. När en säker minnesenhet sätts in i datorn där driver122 är installerat, utvärderar föraren 122 innehållet i minnesenheten att avgöra om den föraren på minnet kan uppgraderas till en nyare version. Detta ger en möjlighet att rätta till logiska fel på minnesenheten.In one embodiment, the driver program on the receiving computer can upgrade the driver on the memory device. When a secure memory device is inserted into the computer where driver122 is installed, the driver 122 evaluates the contents of the memory device to determine if the driver on the memory can upgraded to a newer version. This provides an opportunity to correct logical errors the memory device.

I ännu ett utförande, kan en integritetskontroll mekanism tillämpas som grundar sig på revideringen och logga nämnts tidigare en pinne kan hittas "skadade" och bli reparerad. 10 15 Det bör noteras att ordet "innefattande" inte utesluter förekomsten av andra delar eller steg än de som anges och orden "en" eller "ett" före ett element utesluter inte förekomsten av en mångfald av sådana faktorer. Det bör dessutom noteras att en hänvisning tecken inte begränsa de fordringar, att uppfinningen kan genomföras åtminstone delvis med hjälp av både hårdvara och mjukvara, och att flera "betyder", "enheter" eller "enheter" får företrädas av samma objekt av hårdvara.In yet another embodiment, an integrity check mechanism may be applied which is based on the revision and log mentioned earlier a stick can be found "damaged" and be repaired. 10 15 It should be noted that the word "comprising" does not exclude the existence of parts or steps other than those specified and the words "one" or "one" before an element do not exclude the presence of a diversity of such factors. It should also be noted that a reference sign does not restrict the requirements that the invention can be carried out at least in part with the help of both hardware and software, and that multiple "means", "devices" or "devices" may be represented by the same object of hardware.

De ovan nämnda och beskrivna utformningar ges endast som exempel och bör inte begränsas till denna uppfinning. Andra lösningar, använder, mål och funktioner inom ramen för uppfinningen såsom görs gällande i nedan beskrivna patentkraven borde vara uppenbart för den som skicklig i konsten.The above mentioned and described designs are given by way of example only and should not be limited to this achievement. Other solutions, uses, goals and functions within the framework of the invention as claimed in the claims described below should be apparent to the one who is skilled in the arts.

Claims (15)

PatentkravPatent claims 1. Ett minnesarrangemang (70, 80, 90) bestående av en drivrutinsapplikation för säkerhet (71, 901) och en lagringsdel (72, 902), nämnda drivrutinsapplikation (71) är konfigurerad att, när den tillträdes, att autentisera en användare medelst ett autentiseringsförfarande och säkra och/eller osäkra data i nämnda minnesarrangemang, kännetecknat av att nämnda minnesarrangemanget är konfigurerat att exekvera en applikation som är en del av en minneskrypteringspolicy, vilken appliceras av en central styrenhet och att drivrutinsapplikation är dessutom konfigurerad att baserad på nämnt autentiseringsförfarande ge eller neka tillgång till nämnda data eller radera nämnda data som lagrats i nämnt minnesarrangemang.A memory arrangement (70, 80, 90) consisting of a driver application for security (71, 901) and a storage part (72, 902), said driver application (71) being configured to, when accessed, authenticate a user by means of a authentication method and secure and / or insecure data in said memory arrangement, characterized in that said memory arrangement is configured to execute an application which is part of a memory encryption policy, which is applied by a central control unit and that driver application is further configured based on said authentication method deny access to said data or delete said data stored in said memory arrangement. 2. Minnesarrangemang enligt krav 1, dessutom innefattande ett minnesätkomstsarrangemang (75), vilket bestàr av slutanvändarbearbetningskommandon som används för att få tillgång till nämnd data.The memory arrangement of claim 1, further comprising a memory access arrangement (75), comprising the end-user processing commands used to access said data. 3. Minnesarrangemang enligt krav 1, vari minnesarrangemanget är en USB (Universal Serial Bus) minnesenhet, digitalkamera, digital videokamera, Personal Digital Assistant (PDA) eller en mobiltelefon.The memory arrangement of claim 1, wherein the memory arrangement is a USB (Universal Serial Bus) memory device, digital camera, digital video camera, Personal Digital Assistant (PDA) or a mobile telephone. 4. Minnesarrangemang enligt krav 1, vilket är konfigurerat för att anslutas till en värd med hjälp av en eller flera av en USB-buss, FireWire (IEEE 1394), Human Interface Devices (HID), PCMCIA, Bluetooth eller IR.The memory arrangement of claim 1, which is configured to connect to a host using one or more of a USB bus, FireWire (IEEE 1394), Human Interface Devices (HID), PCMCIA, Bluetooth or IR. 5. Minnesarrangemang enligt krav 1, vilken använder ett program på en värd konfigurerad att vägleda användaren och fungera som en länk mellan användaren och minnesarrangemangetet.The memory arrangement of claim 1, which uses a program on a host configured to guide the user and act as a link between the user and the memory arrangement. 6. Minnesarrangemang enligt krav 1, där en användardriftssättningskonfiguration omfattar en av: säkra minnesarrangemanget manuellt, be att säkra minnesarrangemenaget en gång för varje enhet, be att säkra minnesarrangemanget varje gång en osäker enhet används.The memory arrangement of claim 1, wherein a user deployment configuration comprises one of: securing the memory arrangement manually, requesting to secure the memory arrangement management once for each device, requesting to secure the memory arrangement each time an insecure device is used. 7. Minnesarrangemang enligt krav 1, vari minnesarrangemanget är dessutom konfigurerat att blockera nämnd data om en synkroniseringsprocess i frånvarande av ett synkroniseringsförfarande inom en angiven tidsperiod.The memory arrangement of claim 1, wherein the memory arrangement is further configured to block said data about a synchronization process in the absence of a synchronization method within a specified period of time. 8. En metod för policybaserad säker driftssättning av ett minnesarrangemang enligt något av kraven 1-7, genom att använda en första operationsnivå (10), en andra policynivå (11) och en tredje komponentlogiknivå (12), varvid ett administratörsmedel (101) administrerar nämnda driftssättningspolicyn i den andra nivån, varvid säker driftssättning överförs till den tredje nivån, där en server (121) kommunicerar med en klient (122) som är avsedd att anslutas till nämnda minnesarrangemang (123), och när nämnt minnesarrangemang är anslutet, överföres säkerhetspolicyn till det, varvid vid mottagning av ett kommando från servern av minnesarrangemanget komponentlogiknivån, är minnet anordnat att tillåta eller neka åtkomst till eller ta bort data i minnesarrangemanget.A method for policy-based secure deployment of a memory arrangement according to any one of claims 1-7, using a first operation level (10), a second policy level (11) and a third component logic level (12), wherein an administrator means (101) administers said deployment policy in the second level, whereby secure deployment is transferred to the third level, where a server (121) communicates with a client (122) intended to be connected to said memory arrangement (123), and when said memory arrangement is connected, the security policy is transmitted to that, wherein upon receiving a command from the server of the memory arrangement component logic level, the memory is arranged to allow or deny access to or delete data in the memory arrangement. 9. Metoden enligt krav 8, vari när data säkras krypteras den med lämplig krypteringsmetod.The method of claim 8, wherein when the data is secured, it is encrypted using the appropriate encryption method. 10. Metoden enligt krav 8, dessutom innefattande en tidslåsfunktion för att låsa arrangemanget efter en förutbestämd tidsperiod.The method of claim 8, further comprising a time lock function for locking the arrangement after a predetermined time period. 11. Metoden enligt krav 8, innefattande ett återställningsförfarande fungerande som en sekundär privat lösenord.The method of claim 8, comprising a recovery method operating as a secondary private password. 12. Metoden enligt krav 11, vari nämnt återställningslösenord fungerar: - tilldela en identitet till en nyckelplats som har en nyckel som används för att säkra arrangemanget - lagring av en centralt administrerad användar-lD i en användarprofildatabas (30), - använda användarens àterställningslösenordet som återställning frö (31), - tillhandahålla en nyckel för att kryptera nämnda arrangemang som en hash, - Om lösenordet är förloras: o autentisera användaren och ta emot återställningsdata, o använda nämnda àterställningsdata och användaren som är ägaren till återställning uppgifter som används vid kryptering, o autentisera användaren och o använda återställningslösenord för att osäkra ett specifikt innehåll.The method of claim 11, wherein said reset password operates: - assigning an identity to a key location having a key used to secure the arrangement - storing a centrally managed user ID in a user profile database (30), - using the user's reset password as recovery seed (31), - provide a key to encrypt said arrangement as a hash, - If the password is lost: o authenticate the user and receive recovery data, o use said recovery data and the user who is the owner of the recovery data used in encryption, o authenticate the user and o use recovery passwords to secure a specific content. 13. Metoden enligt krav 12, vari nämnd hash består av en kombination av nyckelidentifierare, användaridentifierare och återställningsfrö.The method of claim 12, wherein said hash consists of a combination of key identifier, user identifier and recovery seed. 14. Metoden enligt krav 13, vari nämnd àterställningsdata är användaridentifierare kombinerad med nyckelidentifierare.The method of claim 13, wherein said reset data is user identifier combined with key identifier. 15. Metoden enligt krav 14, vari en slutgiltig àterställningsnyckel genereras med hjälp av: användaridentifieraren, nyckelidentifieraren och âterställningsfröet.The method of claim 14, wherein a final reset key is generated using: the user identifier, the key identifier and the reset seed.
SE0950854A 2009-11-12 2009-11-12 Method and arrangement for securing information SE0950854A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SE0950854A SE0950854A1 (en) 2009-11-12 2009-11-12 Method and arrangement for securing information
PCT/SE2010/051246 WO2011059390A1 (en) 2009-11-12 2010-11-12 Method and arrangement relating to securing information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE0950854A SE0950854A1 (en) 2009-11-12 2009-11-12 Method and arrangement for securing information

Publications (1)

Publication Number Publication Date
SE0950854A1 true SE0950854A1 (en) 2011-05-13

Family

ID=43991847

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0950854A SE0950854A1 (en) 2009-11-12 2009-11-12 Method and arrangement for securing information

Country Status (2)

Country Link
SE (1) SE0950854A1 (en)
WO (1) WO2011059390A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2481632C1 (en) * 2011-12-28 2013-05-10 Закрытое акционерное общество "Лаборатория Касперского" System and method of recovering password and encrypted data on mobile devices

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2386226B (en) * 2000-02-21 2004-09-22 Trek Technology A portable data storage device
DE10057697A1 (en) * 2000-11-21 2002-05-29 Fujitsu Siemens Computers Gmbh storage medium
EP1659474A1 (en) * 2004-11-15 2006-05-24 Thomson Licensing Method and USB flash drive for protecting private content stored in the USB flash drive
WO2008097164A2 (en) * 2007-02-06 2008-08-14 Cryptzone Ab Method and arrangement relating to encryption/decryption of a memory unit

Also Published As

Publication number Publication date
WO2011059390A1 (en) 2011-05-19

Similar Documents

Publication Publication Date Title
US8938790B2 (en) System and method for providing secure access to a remote file
US20080184035A1 (en) System and Method of Storage Device Data Encryption and Data Access
EP1953669A2 (en) System and method of storage device data encryption and data access via a hardware key
CN101771689B (en) Method and system for enterprise network single-sign-on by a manageability engine
US8045714B2 (en) Systems and methods for managing multiple keys for file encryption and decryption
US8103883B2 (en) Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption
US9934382B2 (en) Virtual machine image encryption
US8533469B2 (en) Method and apparatus for sharing documents
JP5783650B2 (en) Method, device, system and computer program product for securely managing files
US20150052353A1 (en) System and Method For Synchronizing An Encrypted File With A Remote Storage
JP2009510808A (en) Intelligence-based security systems and methods
KR20100133953A (en) System and method for securing data
US20110119495A1 (en) Method and arrangement relating to encryption/decryption of a memory unit
RU2618684C2 (en) System and method of automatic deployment of the encryption system for users who previously worked on pc
US20080010453A1 (en) Method and apparatus for one time password access to portable credential entry and memory storage devices
EA012863B1 (en) Computer session management device and system
KR20110096554A (en) Client computer for protecting confidential file, server computer therefor, method therefor, and computer program
JP6610639B2 (en) Software management system, software update apparatus, software update method, and software update program
US20120173884A1 (en) Method for remotely controlling and monitoring the data produced on desktop on desktop software
CA2982539A1 (en) Method of operating a computing device, computing device and computer program
US20130014252A1 (en) Portable computer accounts
KR20210068388A (en) Ransomware or phishing attack blocking method and system
SE0950854A1 (en) Method and arrangement for securing information
US20150293818A1 (en) Method of protected recovery of data, computer program product and computer system
CN116127501A (en) User private data protection method, system and medium based on user private container

Legal Events

Date Code Title Description
NAV Patent application has lapsed