TWI578189B - A virtual disk management system using a secure encryption device - Google Patents
A virtual disk management system using a secure encryption device Download PDFInfo
- Publication number
- TWI578189B TWI578189B TW104111056A TW104111056A TWI578189B TW I578189 B TWI578189 B TW I578189B TW 104111056 A TW104111056 A TW 104111056A TW 104111056 A TW104111056 A TW 104111056A TW I578189 B TWI578189 B TW I578189B
- Authority
- TW
- Taiwan
- Prior art keywords
- card
- key
- encryption
- file
- disk
- Prior art date
Links
Description
本發明係關於一種使用安全加密裝置之虛擬磁碟管理系統,特別為一種利用遠端金鑰管理伺服器產製與存取加密檔案之秘密金鑰,與IC卡進行身分認證與加密,達到虛擬磁碟管理系統之安全性,並同時具備金鑰備份與存取之方便性。
一般習知之磁碟加密應用程式係根據使用者宣告之密碼將檔案空間進行加密,並掛載為虛擬磁碟,因使用單一密碼加密檔案,一旦使用者密碼被破解,加密檔案即可被他人存取,軟體式的佈署也讓虛擬磁碟被破解之機率大增。在下列先前的專利技術中有提及類似的概念:I411934;另一方面習知之磁碟加密應用程式有針對權限控管之設計,不同使用者擁有其人為定義之代碼,但因建構於上述概念之上,仍存在虛擬磁碟被破解之安全風險。在下列先前的專利技術中有提及類似的概念:I343014。
由此可見,上述習用方式仍有諸多缺失,實非一良善之設計,而亟待加以改良。
本案發明人鑑於上述習用方式所衍生的各項缺點,乃亟思加以改良創新,並經苦心孤詣潛心研究後,終於成功研發完成本件使用安全加密裝置之虛擬磁碟管理系統。
本發明之目的即在於提供一種使用安全加密裝置之虛擬磁碟管理系統,係利用遠端金鑰管理伺服器與IC卡進行授權與身分認證,進而註冊與掛載加密檔案為虛擬磁碟之管理系統。加密檔案之秘密金鑰儲存於具備儲存安全之遠端金鑰管理伺服器中,此秘密金鑰並透過IC卡加密儲存於加密檔案中,透過IC卡可解密取得秘密金鑰掛載加密檔案為虛擬磁碟,而IC卡之備份還原功能則可透過加密傳輸通道存取遠端金鑰管理伺服器中之秘密金鑰,並重新加密儲存於加密檔案中,同時具備金鑰存取之方便性與安全性。
達成上述發明目的之使用安全加密裝置之虛擬磁碟管理系統,其加密檔案之註冊方法係由使用者登入遠端金鑰管理伺服器之後,取得由金鑰管理伺服器產生之一秘密金鑰,採用秘密金鑰對檔案進行加密,並將此秘密金鑰經由IC卡中的金鑰加密後,儲存此IC卡加密金鑰於加密檔案中,完成建立加密檔案。而加密檔案之掛載方法係採用IC卡作為使用者身分識別依據,經由IC卡登入確認身分後,解密加密檔案中儲存之加密秘密金鑰,確認金鑰正確,將加密檔案掛載為虛擬磁碟。本發明之另一功能為IC卡之備份還原機制,當舊有IC卡遺失、損毀或無法存取時,使用者經由加密傳輸通道遠端登入金鑰管理伺服器取得秘密金鑰,經IC卡登入確認身分後加密秘密金鑰為新IC卡加密金鑰,從而取代原本儲存於加密檔案的IC卡加密金鑰,實現IC卡之備份還原機制。
本發明所提出之虛擬磁碟管理系統使用安全加密裝置之組成包括有(一)磁碟加密應用程式、(二)用於身分認證之IC卡以及(三)金鑰管理伺服器,係使用者透過磁碟加密應用程式提出建立或掛載虛擬磁碟之需求,根據遠端金
鑰管理伺服器提供之秘密金鑰並經由IC卡授權加解密後存取加密檔案為虛擬磁碟。
102‧‧‧磁碟加密應用程式
104‧‧‧IC卡
106‧‧‧金鑰管理伺服器
108‧‧‧密碼模組
110‧‧‧儲存裝置
202‧‧‧是否插入IC卡
204‧‧‧使用者輸入IC卡密碼
206‧‧‧IC卡密碼認證成功
208‧‧‧磁碟加密應用程式傳送IC卡憑證資訊予金鑰管理伺服器
210‧‧‧金鑰管理伺服器透過憑證管理中心驗證卡片憑證確認身分
212‧‧‧金鑰管理伺服器透過加密傳輸通道回傳秘密金鑰予磁碟加密應用程式
214‧‧‧使用秘密金鑰對檔案進行加密
216‧‧‧IC卡內部金鑰加密秘密金鑰為IC卡加密金鑰儲存於加密檔案
302‧‧‧是否插入IC卡
304‧‧‧使用者輸入IC卡密碼
306‧‧‧IC卡密碼認證成功
308‧‧‧採用IC卡內部金鑰解密儲存於加密檔案之IC卡加密金鑰為秘密金鑰
310‧‧‧使用秘密金鑰對檔案進行解密並掛載檔案
312‧‧‧IC卡脫離讀卡機插槽
402‧‧‧是否插入IC卡
404‧‧‧使用者輸入新IC卡密碼
406‧‧‧新IC卡密碼認證成功
408‧‧‧磁碟加密應用程式傳送新IC卡憑證資訊予金鑰管理伺服器
410‧‧‧金鑰管理伺服器透過憑證管理中心驗證卡片憑證確認身分
412‧‧‧金鑰管理伺服器透過加密傳輸通道回傳秘密金鑰予磁碟加密應用程式
414‧‧‧新IC卡內部金鑰加密秘密金鑰為新IC卡加密金鑰取代原來儲存於加密檔案之原IC卡加密金鑰
圖一 為本發明使用安全加密裝置之虛擬磁碟管理系統之系統架構圖;圖二 為該使用安全加密裝置之虛擬磁碟管理系統之加密檔案註冊方法流程圖;圖三 為該使用安全加密裝置之虛擬磁碟管理系統之加密檔案掛載方法流程圖以及圖四 為該使用安全加密裝置之虛擬磁碟管理系統之IC卡備份還原方法流程圖。
本發明係針對虛擬磁碟使用安全加密裝置所設計之管理系統。現廣被使用之虛擬磁碟系統之運作方式為讓使用者輸入密碼用以建立加密檔案,但因僅輸入密碼之安全強度不足,造成易被破解之危機。本發明提供一具備權限控管功能之虛擬磁碟管理系統,以IC卡作為身分識別依據並用以建立加密檔案,搭配遠端金鑰管理伺服器提供金鑰之安全儲存環境,達到虛擬磁碟使用之安全性。
請參閱圖1所示,為本發明虛擬磁碟管理系統使用安全加密裝置之架構圖,本系統分為三個模組:磁碟加密應用程式102、IC卡104與金鑰管理伺服器106,磁碟加密應用程式102用於控管虛擬磁碟之加密流程,IC卡104用於身分識別與加密功能,同一時間對同一加密檔案僅有單一卡有效,金鑰管理伺
服器106包含密碼模組108與儲存裝置110,金鑰管理伺服器106用於控管金鑰產製與輸出流程,密碼模組108用於加解密儲存裝置110之加密金鑰。若磁碟加密應用程式102收到使用者註冊加密檔案之需求,要求插入IC卡104並輸入IC卡密碼認證身分,磁碟加密應用程式102確認身分後,發出回傳秘密金鑰之請求至金鑰管理伺服器106取得秘密金鑰,經IC卡104內金鑰加密秘密金鑰儲存於加密檔案中;若磁碟加密應用程式102收到使用者掛載加密檔案之需求,要求插入IC卡104並輸入IC卡密碼認證身分,磁碟加密應用程式102確認身分後,將相對應之加密檔案取出,由IC卡104內部金鑰解密已加密之秘密金鑰,用此秘密金鑰掛載檔案;若磁碟加密應用程式102收到使用者備份還原IC卡104之需求,發出回傳秘密金鑰之請求至金鑰管理伺服器106取得秘密金鑰,由新IC卡104內金鑰重新加密秘密金鑰儲存於加密檔案中。磁碟加密應用程式102依使用者需求與儲存裝置之限制決定加密檔案之大小,並可依不同使用者產生不同數量之加密檔案。以下分別說明使用安全加密裝置之虛擬磁碟管理系統之註冊與掛載以及運用IC卡備份還原之詳細流程。
請參閱圖2所示,為本發明使用安全加密裝置之虛擬磁碟管理系統之註冊加密檔案之方法流程圖。系統運行初期使用者需先註冊一加密檔案為虛擬磁碟,透過磁碟加密應用程式註冊一加密檔案,磁碟加密應用程式判斷是否插入IC卡202,若IC卡存在,磁碟加密應用程式要求輸入IC卡密碼204,IC卡密碼認證成功206之後,而後磁碟加密應用程式傳送IC卡憑證資訊予金鑰管理伺服器208,透過憑證管理中心驗證卡片憑證確認身分210,由金鑰管理伺服器經加密傳輸通道回傳秘密金鑰予磁碟加密應用程式212,將秘密金鑰對檔案進行加密214,並將此秘密金鑰經由IC卡內部金鑰加密為IC卡加密金鑰後,儲存於加密
檔案中216,完成本發明使用安全加密裝置之虛擬磁碟管理系統之註冊加密檔案之方法流程。
請參閱圖3,為本發明使用安全加密裝置之虛擬磁碟管理系統之掛載方法流程圖。磁碟加密應用程式收到掛載加密檔案為虛擬磁碟之需求,磁碟加密應用程式判斷是否插入IC卡302,若IC卡存在,磁碟加密應用程式要求輸入IC卡密碼304,IC卡密碼認證成功306之後,取得IC卡內部金鑰解密儲存於加密檔案之IC卡加密金鑰為秘密金鑰308,最後使用秘密金鑰對檔案進行解密並掛載檔案310,若掛載檔案後IC卡脫離讀卡機插槽312時,磁碟加密應用程式完成當前執行中之存取工作之後即卸載虛擬磁碟結束工作,完成本發明使用安全加密裝置之虛擬磁碟管理系統之掛載方法流程。
請參閱圖4,為本發明使用安全加密裝置之虛擬磁碟管理系統之IC卡備份還原方法流程圖。當註冊加密檔案之原IC卡遺失且網路允許情況下,磁碟加密應用程式判斷是否插入IC卡402,若IC卡存在,磁碟加密應用程式要求輸入IC卡密碼404,IC卡密碼認證成功406之後,磁碟加密應用程式傳送IC卡憑證資訊予金鑰管理伺服器408,透過憑證管理中心驗證卡片憑證確認身分410,由金鑰管理伺服器經加密傳輸通道回傳秘密金鑰予磁碟加密應用程式412,最後新IC卡內部金鑰加密秘密金鑰為新IC卡加密金鑰取代原來儲存於加密檔案之原IC卡加密金鑰414,完成本發明使用安全加密裝置之虛擬磁碟管理系統之IC卡備份還原方法流程。
本發明所提供之使用安全加密裝置之虛擬磁碟管理系統,與其他習用技術相互比較時,更具備下列優點:
1.本發明利用金鑰管理伺服器與IC卡之安全加密裝置提供一具備權限控管之
虛擬磁碟管理系統,由金鑰管理伺服器註冊後提供秘密金鑰用以產生加密檔案,並經由IC卡授權加密此秘密金鑰,有別於以往僅依據使用者設定之單一密碼進行加密,易被破解之方式。
2.本發明提供IC卡進行身分認證即可經由IC卡內部金鑰解密掛載檔案之設計,並設計一旦IC卡脫離讀卡機插槽,即將虛擬磁碟關閉,考量使用者之方便性前提下,有效提升原有僅依據使用者設定單一密碼之虛擬磁碟架構之安全性。
3.本發明應用遠端金鑰管理伺服器進行IC卡之備份還原機制,提供IC卡遺失、
損毀或無法存取時之備援方式,避免竊取資料與資料遺失之可能性。
上列詳細說明乃針對本發明之一可行實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統方法所不及之上述多項功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請 貴局核准本件發明專利申請案,以勵發明,至感德便。
102‧‧‧磁碟加密應用程式
104‧‧‧IC卡
106‧‧‧金鑰管理伺服器
108‧‧‧密碼模組
110‧‧‧儲存裝置
Claims (2)
- 一種使用安全加密裝置之虛擬磁碟管理系統,利用安全加密裝置作為權限控管與備份還原金鑰之依據,其主要包括:磁碟加密應用程式,用於進行註冊或掛載加密檔案為虛擬磁碟,或執行IC卡備份還原動作;IC卡,用以在磁碟加密應用程式開啟註冊或掛載加密檔案為虛擬磁碟,需進行身分認證時,作為加解密虛擬磁碟加密檔案之秘密金鑰;金鑰管理伺服器,包含密碼模組與儲存裝置,當磁碟加密應用程式進行註冊加密檔案為虛擬磁碟或備份還原IC卡之流程時,用於產製與存取虛擬磁碟加密檔案之秘密金鑰,作為加解密加密檔案之用;以及其中透過磁碟加密應用程式進行註冊,係利用磁碟加密應用程式開啟註冊一加密檔案之流程並要求插入IC卡認證IC卡密碼,於IC卡認證成功之後,由金鑰管理伺服器透過憑證管理中心驗證卡片憑證確認身分,金鑰管理伺服器依據使用者資訊透過加密傳輸通道回傳秘密金鑰予磁碟加密應用程式,由磁碟加密應用程式使用秘密金鑰對檔案進行加密,同時IC卡內部金鑰加密秘密金鑰為IC卡加密金鑰儲存於加密檔案,以完成加密檔案註冊。
- 如請求項1所述之使用安全加密裝置之虛擬磁碟管理系統,其中透過磁碟加密應用程式掛載加密檔案係利用IC卡授權確認身分後,使用IC卡內部金鑰解密加密檔案內之IC卡加密金鑰取得秘密金鑰,從而掛載加密檔案為虛擬磁碟,其步驟包括:a. 磁碟加密應用程式開啟掛載一加密檔案之流程並要求插入IC卡認證IC卡密碼; b. IC卡密碼認證成功之後,採用IC卡內部金鑰解密儲存於加密檔案之IC卡加密金鑰為秘密金鑰;c. 磁碟加密應用程式使用秘密金鑰對檔案進行解密並掛載檔案,完成加密檔案掛載。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW104111056A TWI578189B (zh) | 2015-04-07 | 2015-04-07 | A virtual disk management system using a secure encryption device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW104111056A TWI578189B (zh) | 2015-04-07 | 2015-04-07 | A virtual disk management system using a secure encryption device |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201636895A TW201636895A (zh) | 2016-10-16 |
TWI578189B true TWI578189B (zh) | 2017-04-11 |
Family
ID=57847667
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104111056A TWI578189B (zh) | 2015-04-07 | 2015-04-07 | A virtual disk management system using a secure encryption device |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI578189B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW200534660A (en) * | 2004-04-13 | 2005-10-16 | Hitachi Ltd | Method for encryption backup and method for decryption restoration |
TW201216663A (en) * | 2010-10-06 | 2012-04-16 | Chunghwa Telecom Co Ltd | Secure key recovery system and method |
US20120108204A1 (en) * | 2010-10-28 | 2012-05-03 | Schell Stephan V | Management systems for multiple access control entities |
TW201245956A (en) * | 2011-05-04 | 2012-11-16 | Chien-Kang Yang | Memory card and its access, data encryption, golden key generation and changing method |
-
2015
- 2015-04-07 TW TW104111056A patent/TWI578189B/zh not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW200534660A (en) * | 2004-04-13 | 2005-10-16 | Hitachi Ltd | Method for encryption backup and method for decryption restoration |
TW201216663A (en) * | 2010-10-06 | 2012-04-16 | Chunghwa Telecom Co Ltd | Secure key recovery system and method |
US20120108204A1 (en) * | 2010-10-28 | 2012-05-03 | Schell Stephan V | Management systems for multiple access control entities |
TW201245956A (en) * | 2011-05-04 | 2012-11-16 | Chien-Kang Yang | Memory card and its access, data encryption, golden key generation and changing method |
Also Published As
Publication number | Publication date |
---|---|
TW201636895A (zh) | 2016-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10397780B2 (en) | Anonymous authentication and remote wireless token access | |
JP4615601B2 (ja) | コンピュータセキュリティシステムおよびコンピュータセキュリティ方法 | |
US9043610B2 (en) | Systems and methods for data security | |
CN113545006A (zh) | 远程授权访问锁定的数据存储设备 | |
JP2008533882A (ja) | 暗号化キーをバックアップ及び復元する方法 | |
EP2628133B1 (en) | Authenticate a fingerprint image | |
CN102271037A (zh) | 基于在线密钥的密钥保护装置 | |
US20100031045A1 (en) | Methods and system and computer medium for loading a set of keys | |
US11606206B2 (en) | Recovery key for unlocking a data storage device | |
US11831752B2 (en) | Initializing a data storage device with a manager device | |
TWI476629B (zh) | Data security and security systems and methods | |
CN113260992A (zh) | 数据存储设备的多设备解锁 | |
US11334677B2 (en) | Multi-role unlocking of a data storage device | |
CN113545021B (zh) | 预先授权设备的注册 | |
KR101295038B1 (ko) | 보안 리더기를 이용한 공인 인증서 사용방법 | |
CN114175574A (zh) | 无线安全协议 | |
KR20170041463A (ko) | 보안 토큰을 효율적으로 사용하기 위한 서명 키 생성방법 | |
CN113316915B (zh) | 解锁数据存储设备 | |
TWI578189B (zh) | A virtual disk management system using a secure encryption device | |
CN113383335A (zh) | 数据存储设备事件的安全日志记录 | |
KR101232860B1 (ko) | 하이브리드 인증 시스템 및 그 제공방법 | |
TW201638826A (zh) | 在行動裝置上以安全信物使相異程式獲得數位憑證簽署之系統及方法 | |
Albahdal et al. | Trusted BWI: Privacy and trust enhanced biometric web identities | |
TWI396425B (zh) | Combining time and place key encryption and decryption system and method | |
TW201828143A (zh) | 實現會話標識同步的方法及裝置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |