TWI735208B - 資料防護系統及方法 - Google Patents

資料防護系統及方法 Download PDF

Info

Publication number
TWI735208B
TWI735208B TW109113224A TW109113224A TWI735208B TW I735208 B TWI735208 B TW I735208B TW 109113224 A TW109113224 A TW 109113224A TW 109113224 A TW109113224 A TW 109113224A TW I735208 B TWI735208 B TW I735208B
Authority
TW
Taiwan
Prior art keywords
data storage
storage device
management platform
cloud management
address
Prior art date
Application number
TW109113224A
Other languages
English (en)
Other versions
TW202141313A (zh
Inventor
郭進忠
Original Assignee
宜鼎國際股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 宜鼎國際股份有限公司 filed Critical 宜鼎國際股份有限公司
Priority to TW109113224A priority Critical patent/TWI735208B/zh
Priority to US17/038,596 priority patent/US11238183B2/en
Application granted granted Critical
Publication of TWI735208B publication Critical patent/TWI735208B/zh
Priority to US17/483,310 priority patent/US11768969B2/en
Publication of TW202141313A publication Critical patent/TW202141313A/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

本發明提供一種資料防護系統,包括一雲端管理平台及至少一資料儲存裝置,雲端管理平台包括一資料庫,資料庫儲存至少一金鑰,資料儲存裝置包括一資料儲存單元、一微處理器及一網路通訊元件,微處理器以網路通訊元件網路連線雲端管理平台,資料儲存單元包括一控制器及複數個快閃記憶體,快閃記憶體儲存複數個被加密的資料,微處理器發出一包含一唯一碼的金鑰提取請求至雲端管理平台,雲端管理平台根據金鑰提取請求中的唯一碼從資料庫中挑選出匹配的金鑰且將挑選出的金鑰傳輸至資料儲存裝置,資料儲存裝置的控制器利用金鑰解密被加密的資料。

Description

資料防護系統及方法
本發明有關於一種資料防護系統及方法,尤指一種採用雲端提供金鑰的方式以對於一資料儲存裝置實行資料防護的系統及方法。
隨著資料儲存的需求,資料儲存裝置,如固態硬碟(SSD)、記憶卡或隨身碟,常被應用於儲存重要的資料。為了避免資料儲存裝置所儲存的重要資料被隨意竊取或複製,通常在資料儲存裝置中加入一資料加密的機制,例如:利用一128位元或256位元的金鑰(如AES金鑰)加密資料儲存裝置所儲存的資料或解密從資料儲存裝置所讀出的資料。
以往AES金鑰係可以存放在資料儲存裝置的快閃記憶體的一特定資料區塊中或存放在資料儲存裝置的一特定晶片(如EEPROM)中。在對於資料的加解密的過程中,資料儲存裝置的控制器將從特定資料區塊或特定晶片中提取AES金鑰。或者,AES金鑰也可以選擇存放在一軟體加密設備(如Software Dongle)中。當軟體加密設備插入至一電腦主機的連接埠(如USB連接埠)時,設置在電腦主機中的資料儲存裝置其控制器將會從軟體加密設備提取AES金鑰,以透過提取出的AES金鑰對於存取的資料加解密。
上述三種AES金鑰的存放方式,任意第三人只要將資料儲存裝置或軟體加密設備從主機上取走,即可以輕易地存取資料儲存裝置中所儲存的重要資料,其對於資料的防護是存在漏洞的;再者,存放有金鑰的特定資料區塊、特定晶片產生毀損或存放有金鑰的軟體加密設備遺失,則,資料儲存裝置中的資料將無法被使用。
本發明的一目的,在於提出一種資料防護系統,其包括一雲端管理平台及一資料儲存裝置,資料儲存裝置所儲存的資料將會透過一加密機制進行防護,且將解密的金鑰存放在雲端管理平台上,資料儲存裝置網路連線雲端管理平台以提取金鑰,則,金鑰存放在雲端上,將可避免金鑰的遺失而造成資料儲存裝置無法被使用的窘境。
本發明又一目的,在於提出一種資料防護系統,其資料儲存裝置網路連線雲端管理平台時,雲端管理平台將會判斷資料儲存裝置的連線IP位址是否為一正式登記的IP位址,若資料儲存裝置的連線IP位址為正式登記的IP位址,雲端管理平台將金鑰傳送至資料儲存裝置,若資料儲存裝置的連線IP位址為一未知的IP位址,雲端管理平台將禁止傳送金鑰至資料儲存裝置。
本發明又一目的,在於提出一種資料防護系統,其雲端管理平台透過追蹤資料儲存裝置連線的IP位址,不僅可以定位資料儲存裝置的使用位置,且禁止資料儲存裝置在未知的地點被使用,以提升資料防護的安全性。
本發明又一目的,在於提出一種資料防護系統,其雲端管理平台追蹤到資料儲存裝置連線的IP位址為一未知的IP位址,將發出一防存取指令或一實體銷毀指令至資料儲存裝置,以禁止資料儲存裝置的存取或燒毀掉資料儲存裝置的記憶元件,致使避免資料儲存裝置所儲存的資料被他人竊取。
為達成上述目的,本發明提供一種資料防護系統,包括:一雲端管理平台,包括一資料庫,資料庫儲存有至少一金鑰;及至少一資料儲存裝置,每一資料儲存裝置配置一唯一碼且包括一資料儲存單元、一微處理器及一網路通訊元件,微處理器連接資料儲存單元且透過網路通訊元件網路連線雲端管理平台,資料儲存單元包括一控制器及複數個快閃記憶體,控制器連接快閃記憶體,快閃記憶體儲存有複數個被加密的資料;其中,微處理器透過網路通訊元件發出一包含有唯一碼的金鑰提取請求至雲端管理平台,雲端管理平台根據於金鑰提取請求中的唯一碼從資料庫中挑選出匹配的金鑰,並將所挑選出的金鑰傳輸至資料儲存裝置,資料儲存裝置的控制器利用金鑰解密被加密的資料。
本發明一實施例中,雲端管理平台的資料庫登記有複數個IP位址,當資料儲存裝置的網路通訊元件利用一實體IP位址連網時,資料儲存裝置的微處理器嵌入實體IP位址至金鑰提取請求之中且發出金鑰提取請求至雲端管理平台;雲端管理平台收到金鑰提取請求時,判斷金鑰提取請求中的實體IP位址是否登記在資料庫中以決定是否傳輸金鑰至資料儲存裝置。
本發明一實施例中,雲端管理平台的資料庫登記有複數個IP位址且儲存每一IP位址所對應的一地理位置,當資料儲存裝置的網路通訊元件利用一實體IP位址連網時,資料儲存裝置的微處理器嵌入實體IP位址至金鑰提取請求之中且發出具有唯一碼及實體IP位址之金鑰提取請求至雲端管理平台;當雲端管理平台收到金鑰提取請求時,若雲端管理平台判斷出金鑰提取請求中的實體IP位址登記在資料庫中,將從資料庫中查詢出實體IP位址所對應的地理位置。
本發明一實施例中,當雲端管理平台收到金鑰提取請求時,若判斷出金鑰提取請求中的實體IP位址未登記在資料庫中,發出一防存取指令至資料儲存裝置,資料儲存裝置的微處理器根據於防存取指令以要求控制器對於快閃記憶體執行一分區鎖定的程序,以鎖住快閃記憶體的一分區而禁止分區中的資料被存取。
本發明一實施例中,當雲端管理平台收到金鑰提取請求時,若判斷出金鑰提取請求中的實體IP位址未登記在資料庫中,發出一實體銷毀指令至資料儲存裝置,資料儲存裝置的微處理器根據於實體銷毀指令致能一高壓電路輸出一高壓至快閃記憶體,快閃記憶體將被高壓所燒毀。
本發明一實施例中,唯一碼為一網路通訊元件的一實體位址、資料儲存裝置的一內部晶片的序號或資料儲存裝置的一產品序號。
本發明一實施例中,網路通訊元件內建在微處理器中。
本發明又提供一種資料防護方法,其應用在一資料防護系統中,資料防護系統包括一雲端管理平台及至少一資料儲存裝置,雲端管理平台包括一資料庫,資料庫儲存有至少一金鑰,資料儲存裝置配置一唯一碼且包括一資料儲存單元、一微處理器及一網路通訊元件,微處理器透過網路通訊元件網路連線雲端管理平台,資料儲存單元包括一控制器及複數個快閃記憶體,快閃記憶體儲存有複數個被加密的資料,資料防護方法的步驟包括有:令微處理器發出一包含有唯一碼的金鑰提取請求至雲端管理平台;令雲端管理平台根據於金鑰提取請求中的唯一碼從資料庫中挑選出匹配的金鑰;令雲端管理平台將挑選出的金鑰傳輸至資料儲存裝置;及令資料儲存裝置的控制器利用金鑰解密被加密的資料。
本發明一實施例中,雲端管理平台的資料庫登記有複數個IP位址,當資料儲存裝置的網路通訊元件利用一實體IP位址連網時,資料防護方法的步驟更包括有:令微處理器嵌入實體IP位址至金鑰提取請求中且發送金鑰提取請求至雲端管理平台;及令雲端管理平台收到金鑰提取請求時判斷金鑰提取請求中的實體IP位址是否登記在資料庫中,若金鑰提取請求中的實體IP位址登記在資料庫中,雲端管理平台傳輸金鑰至資料儲存裝置,若金鑰提取請求中的實體IP位址未登記在資料庫中,雲端管理平台禁止傳輸金鑰至資料儲存裝置。
本發明一實施例中,其中雲端管理平台的資料庫登記有複數個IP位址且儲存每一IP位址所對應的一地理位置,當資料儲存裝置的網路通訊元件利用一實體IP位址連網時,資料防護方法的步驟更包括有:令微處理器嵌入實體IP位址至金鑰提取請求中且發送具有唯一碼及實體IP位址之金鑰提取請求至雲端管理平台;及令雲端管理平台收到金鑰提取請求時若判斷出金鑰提取請求中的實體IP位址登記在資料庫中將從資料庫中查詢出實體IP位址所對應的地理位置。
本發明一實施例中,更包括下列步驟:令雲端管理平台判斷出金鑰提取請求中的實體IP位址未登記在資料庫中時發出一防存取指令至資料儲存裝置;及令資料儲存裝置的微處理器根據於防存取指令以要求控制器對於快閃記憶體執行一分區鎖定的程序以鎖住快閃記憶體的一分區而禁止分區中的資料被存取。
本發明一實施例中,更包括下列步驟:令雲端管理平台判斷出金鑰提取請求中的實體IP位址未登記在資料庫中時發出一實體銷毀指令至資料儲存裝置;及令資料儲存裝置的微處理器根據於實體銷毀指令以致能一高壓電路輸出一高壓至快閃記憶體。
請參閱第1圖,分別為本發明資料防護系統一實施例的架構圖。如第1圖所示,資料防護系統100包括一雲端管理平台10及至少一資料儲存裝置20。資料儲存裝置20亦可為一固態硬碟、記憶卡或隨身碟,其包括有一微處理器21、一網路通訊元件23及一資料儲存單元25。微處理器21連接資料儲存單元25且透過網路通訊元件23網路連線雲端管理平台10。網路通訊元件23亦可為一WiFi通訊元件、一乙太網路通訊元件或一4G或5G通訊元件。微處理器21及網路通訊元件23分別為一獨立的晶片;或者,網路通訊元件23亦可整合在微處理器21中成為一整合型的晶片。資料儲存單元25包括一控制器251及複數個快閃記憶體253。控制器251連接快閃記憶體253。在本發明中,控制器251包括有一加密引擎252。快閃記憶體253儲存有複數個資料,控制器251利用加密引擎252對於快閃記憶體253所儲存的資料進行加密的防護。
接續,資料儲存裝置20配置有一唯一碼22,唯一碼22亦可為網路通訊元件23的MAC位址(Media Access Control Address)、資料儲存裝置20的一內部晶片序號或資料儲存裝置20的一產品序號。雲端管理平台10包括一資料庫11,資料庫11儲存有至少一金鑰111,如進階加密標準(Advanced Encryption Standard,AES)金鑰。每一資料儲存裝置20的唯一碼22係分別匹配於單一金鑰111。
當資料儲存裝置20上電時,微處理器21將會透過網路通訊元件23主動發出一包含有唯一碼22的金鑰提取請求211至雲端管理平台10。雲端管理平台10收到金鑰提取請求211後,根據於金鑰提取請求211中的唯一碼22從資料庫11中挑選出匹配的金鑰111,且將挑選出的金鑰111傳送至資料儲存裝置20。微處理器21透過網路通訊元件23接收金鑰111後,進一步將金鑰111傳送至控制器251。控制器251的加密引擎252利用金鑰111以解密快閃記憶體253中加密的資料,而使快閃記憶體253中的資料能夠被正常存取。當雲端管理平台10收到資料儲存裝置20的唯一碼22時,將可知道資料儲存裝置20被啟動,而記錄資料儲存裝置20的使用情況。
接續,雲端管理平台10的資料庫11中進一步登記有複數個IP位址113。當資料儲存裝置20的網路通訊元件23利用一實體IP位址(如固定的實體IP位址或浮動的實體IP位址)231連網時,資料儲存裝置20的微處理器21將連網的實體IP位址231嵌入至金鑰提取請求211之中且發出具有唯一碼22及實體IP位址231之金鑰提取請求211至雲端管理平台10。雲端管理平台10收到金鑰提取請求211後,判斷金鑰提取請求211中的實體IP位址231是否登記在資料庫11中以決定是否傳送金鑰111至資料儲存裝置20。若資料儲存裝置20的實體IP位址231登記在資料庫11中,雲端管理平台10傳送金鑰111至資料儲存裝置20;反之,若資料儲存裝置20的實體IP位址231未登記在資料庫中11中,雲端管理平台10禁止傳送金鑰111至資料儲存裝置20。換言之,當資料儲存裝置20使用一被認可的實體IP位址231連網時,雲端管理平台10將發出金鑰111至資料儲存裝置20;反之,當資料儲存裝置20使用一未知的實體IP位址231連網時,雲端管理平台10將不會發出金鑰111至資料儲存裝置20。
進一步地,雲端管理平台10的資料庫11中儲存每一IP位址113所對應的一地理位置1131。當資料儲存裝置20的微處理器21發出金鑰提取請求211至雲端管理平台10時,雲端管理平台10判斷金鑰提取請求211中的實體IP位址231是否登記在資料庫11中,若判斷出實體IP位址231登記在資料庫11,將可以透過實體IP位址231查詢出所對應的地理位置1131。如此,雲端管理平台10經由追蹤資料儲存裝置20連網的實體IP位址231,以得知資料儲存裝置20所使用的地點。
本發明又一實施例中,當雲端管理平台10收到金鑰提取請求211時,若判斷出金鑰提取請求211中的實體IP位址231未登記在資料庫11中,將透過一程式化的管理介面13發出一防存取指令131至資料儲存裝置20。資料儲存裝置20的微處理器21根據於防存取指令131以要求控制器21對於快閃記憶體253執行一分區鎖定的程序,以鎖住快閃記憶體253的分區(partition)而禁止分區中的資料被存取。
再或者,本發明又一實施例中,資料儲存裝置20更包括有一高壓電路27。高壓電路27連接微處理器21及資料儲存單元25。當雲端管理平台10收到金鑰提取請求211時,若判斷出金鑰提取請求211中的實體IP位址231未登記在資料庫11中,將透過管理介面13發出一實體銷毀指令133至資料儲存裝置20。資料儲存裝置20的微處理器21根據於實體銷毀指令133致能高壓電路27輸出一高壓至控制器251及快閃記憶體253,控制器251及快閃記憶體253將被高壓所燒毀。於此,當資料儲存裝置20利用未被認可的實體IP位址231上網並因此在不允許的地理位置使用資料儲存裝置20時,雲端管理平台10的管理者能夠在遠端對於資料儲存裝置20的快閃記憶體253進行防存取的動作或實體銷毀的動作,以避免快閃記憶體253所儲存的資料被他人竊取。
承上所述,本發明資料防護系統100將金鑰111存放在雲端上,將可避免金鑰111的遺失而造成資料儲存裝置20無法被使用的窘境。再者,經由追蹤資料儲存裝置20連線的實體IP位址231,不僅可定位資料儲存裝置20的使用位置,且禁止資料儲存裝置20在未知的地點被使用,以提升資料防護的安全性。
請參閱第2圖,分別為本發明資料防護方法一實施例的流程圖,且同時參閱第1圖。如第2圖所示,首先,步驟S31,資料儲存裝置20的微處理器21透過網路通訊元件23發出一包含有唯一碼22的金鑰提取請求211至雲端管理平台10。步驟S33,雲端管理平台10根據於金鑰提取請求211中的唯一碼22從資料庫11中挑選出一匹配的金鑰111。步驟S35,雲端管理平台10將挑選出的金鑰111傳輸至資料儲存裝置20。步驟S37,資料儲存裝置20的微處理器21透過網路通訊元件23收到金鑰111後,進一步傳送金鑰111至資料儲存單元25的控制器251,則,控制器251利用金鑰111解密被加密的資料,以使資料儲存裝置20能夠被正常使用。
請參閱第3圖,分別為本發明資料防護方法一實施例的流程圖,且同時參閱第1圖。如第3圖所示,首先,步驟S41,資料儲存裝置20的網路通訊元件23利用一實體IP位址231連網。步驟S42,資料儲存裝置20的微處理器21透過網路通訊元件23發出一包含有唯一碼22及實體IP位址231的金鑰提取請求211至雲端管理平台10。步驟S43,雲端管理平台10收到金鑰提取請求211後,判斷金鑰提取請求211中的實體IP位址231是否登記在資料庫11中,若金鑰提取請求211中的實體IP位址231登記在資料庫11中,繼續執行步驟S44、S45、S46,雲端管理平台10根據於金鑰提取請求211中的唯一碼22從資料庫11中挑選出一匹配的金鑰111,雲端管理平台10將挑選出的金鑰111傳輸至資料儲存裝置20,控制器251利用金鑰111解密被加密的資料。再者,進一步地,在步驟S44中,雲端管理平台10根據於金鑰提取請求211中的實體IP位址231,以從資料庫11查詢出與實體IP位址231對應的一地理位置1131。
回到步驟S43,若雲端管理平台10判斷出金鑰提取請求211中的實體IP位址231未登記在資料庫11中,繼續執行步驟S47及S48,雲端管理平台10禁止傳輸金鑰111至資料儲存裝置20且發出一防存取指令131至資料儲存裝置20,資料儲存裝置20的微處理器21根據於防存取指令131以要求控制器251對於快閃記憶體253執行一分區鎖定的程序以鎖住快閃記憶體253的一分區而禁止分區中的資料被存取;或者,雲端管理平台10禁止傳輸金鑰111至資料儲存裝置20且發出一實體銷毀指令133至資料儲存裝置20,資料儲存裝置20的微處理器21根據於實體銷毀指令133以致能一高壓電路27輸出一高壓至控制器251及快閃記憶體253,控制器251及快閃記憶體253將被高壓所燒毀。
以上所述者,僅為本發明之一較佳實施例而已,並非用來限定本發明實施之範圍,即凡依本發明申請專利範圍所述之形狀、構造、特徵及精神所為之均等變化與修飾,均應包括於本發明之申請專利範圍內。
100:資料防護系統
10:雲端管理平台
11:資料庫
111:金鑰
113:IP位址
1131:地理位置
13:管理介面
131:防存取指令
133:實體銷毀指令
20:資料儲存裝置
21:微處理器
211:金鑰提取請求
22:唯一碼
23:網路通訊元件
231:實體IP位址
25:資料儲存單元
251:控制器
252:加密引擎
253:快閃記憶體
27:高壓電路
第1圖:本發明資料防護系統一實施例的架構圖。
第2圖:本發明資料防護方法一實施例的流程圖。
第3圖:本發明資料防護方法又一實施例的流程圖。
100:資料防護系統
10:雲端管理平台
11:資料庫
111:金鑰
113:IP位址
1131:地理位置
13:管理介面
131:防存取指令
133:實體銷毀指令
20:資料儲存裝置
21:微處理器
211:金鑰提取請求
22:唯一碼
23:網路通訊元件
231:實體IP位址
25:資料儲存單元
251:控制器
252:加密引擎
253:快閃記憶體
27:高壓電路

Claims (12)

  1. 一種資料防護系統,包括: 一雲端管理平台,包括一資料庫,該資料庫儲存有至少一金鑰;及 至少一資料儲存裝置,每一該資料儲存裝置配置一唯一碼且包括一資料儲存單元、一微處理器及一網路通訊元件,該微處理器連接該資料儲存單元且透過該網路通訊元件網路連線該雲端管理平台,該資料儲存單元包括一控制器及複數個快閃記憶體,該控制器連接該快閃記憶體,該快閃記憶體儲存有複數個被加密的資料; 其中,該微處理器透過該網路通訊元件發出一包含有該唯一碼的金鑰提取請求至該雲端管理平台,該雲端管理平台根據於該金鑰提取請求中的該唯一碼從該資料庫中挑選出匹配的該金鑰,並將所挑選出的該金鑰傳輸至該資料儲存裝置,該資料儲存裝置的該控制器利用該金鑰解密該被加密的資料。
  2. 如申請專利範圍第1項所述的資料防護系統,其中該雲端管理平台的該資料庫登記有複數個IP位址;當該資料儲存裝置的該網路通訊元件利用一實體IP位址連網時,該資料儲存裝置的該微處理器嵌入該實體IP位址至該金鑰提取請求之中且發出該具有該唯一碼及該實體IP位址之金鑰提取請求至該雲端管理平台;該雲端管理平台收到該金鑰提取請求時,判斷該金鑰提取請求中的該實體IP位址是否登記在該資料庫中以決定是否傳輸該金鑰至該資料儲存裝置。
  3. 如申請專利範圍第1項所述的資料防護系統,其中該雲端管理平台的該資料庫登記有複數個IP位址且儲存每一該IP位址所對應的一地理位置;當該資料儲存裝置的該網路通訊元件利用一實體IP位址連網時,該資料儲存裝置的該微處理器嵌入該實體IP位址至該金鑰提取請求之中且發出該具有該唯一碼及該實體IP位址之金鑰提取請求至該雲端管理平台;當該雲端管理平台收到該金鑰提取請求時,若該雲端管理平台判斷出該金鑰提取請求中的該實體IP位址登記在該資料庫中,將從該資料庫中查詢出該實體IP位址所對應的該地理位置。
  4. 如申請專利範圍第2項所述的資料防護系統,其中當該雲端管理平台收到該金鑰提取請求時,若判斷出該金鑰提取請求中的該實體IP位址未登記在該資料庫中,發出一防存取指令至該資料儲存裝置,該資料儲存裝置的該微處理器根據於該防存取指令以要求該控制器對於該快閃記憶體執行一分區鎖定的程序,以鎖住該快閃記憶體的一分區而禁止該分區中的資料被存取。
  5. 如申請專利範圍第2項所述的資料防護系統,其中當該雲端管理平台收到該金鑰提取請求時,若判斷出該金鑰提取請求中的該實體IP位址未登記在該資料庫中,發出一實體銷毀指令至該資料儲存裝置,該資料儲存裝置的該微處理器根據於該實體銷毀指令致能一高壓電路輸出一高壓至該快閃記憶體,該快閃記憶體將被該高壓所燒毀。
  6. 如申請專利範圍第1項所述的資料防護系統,其中該唯一碼為一網路通訊元件的一實體位址、該資料儲存裝置的一內部晶片的序號或該資料儲存裝置的一產品序號。
  7. 如申請專利範圍第1項所述的資料防護系統,其中該網路通訊元件內建在該微處理器中。
  8. 一種資料防護方法,其應用在一資料防護系統中,該資料防護系統包括一雲端管理平台及至少一資料儲存裝置,該雲端管理平台包括一資料庫,該資料庫儲存有至少一金鑰,該資料儲存裝置配置一唯一碼且包括一資料儲存單元、一微處理器及一網路通訊元件,該微處理器透過該網路通訊元件網路連線該雲端管理平台,該資料儲存單元包括一控制器及複數個快閃記憶體,該快閃記憶體儲存有複數個被加密的資料,該資料防護方法的步驟包括有: 令該微處理器發出一包含有該唯一碼的金鑰提取請求至該雲端管理平台; 令該雲端管理平台根據於該金鑰提取請求中的該唯一碼從該資料庫中挑選出匹配的該金鑰; 令該雲端管理平台將挑選出的該金鑰傳輸至該資料儲存裝置;及 令該資料儲存裝置的該控制器利用該金鑰解密該被加密的資料。
  9. 如申請專利範圍第8項所述的資料防護方法,其中該雲端管理平台的該資料庫登記有複數個IP位址,當該資料儲存裝置的該網路通訊元件利用一實體IP位址連網時,該資料防護方法的步驟更包括有: 令該微處理器嵌入該實體IP位址至該金鑰提取請求中且發送該具有該唯一碼及該實體IP位址之金鑰提取請求至該雲端管理平台;及 令該雲端管理平台收到該金鑰提取請求時判斷該金鑰提取請求中的該實體IP位址是否登記在該資料庫中,若該金鑰提取請求中的該實體IP位址登記在該資料庫中,該雲端管理平台傳輸該金鑰至該資料儲存裝置,若該金鑰提取請求中的該實體IP位址未登記在該資料庫中,該雲端管理平台禁止傳輸該金鑰至該資料儲存裝置。
  10. 如申請專利範圍第8項所述的資料防護方法,其中該雲端管理平台的該資料庫登記有複數個IP位址且儲存每一該IP位址所對應的一地理位置,當該資料儲存裝置的該網路通訊元件利用一實體IP位址連網時,該資料防護方法的步驟更包括有: 令該微處理器嵌入該實體IP位址至該金鑰提取請求中且發送該具有該唯一碼及該實體IP位址之金鑰提取請求至該雲端管理平台;及 令該雲端管理平台收到該金鑰提取請求時若判斷出該金鑰提取請求中的該實體IP位址登記在該資料庫中將從該資料庫中查詢出該實體IP位址所對應的該地理位置。
  11. 如申請專利範圍第9項所述的資料防護方法,更包括下列步驟: 令該雲端管理平台判斷出該金鑰提取請求中的該實體IP位址未登記在該資料庫中時發出一防存取指令至該資料儲存裝置;及 令該資料儲存裝置的該微處理器根據於該防存取指令以要求該控制器對於該快閃記憶體執行一分區鎖定的程序以鎖住該快閃記憶體的一分區而禁止該分區中的資料被存取。
  12. 如申請專利範圍第9項所述的資料防護方法,更包括下列步驟: 令該雲端管理平台判斷出該金鑰提取請求中的該實體IP位址未登記在該資料庫中時發出一實體銷毀指令至該資料儲存裝置;及 令該資料儲存裝置的該微處理器根據於該實體銷毀指令以致能一高壓電路輸出一高壓至該快閃記憶體。
TW109113224A 2020-04-20 2020-04-20 資料防護系統及方法 TWI735208B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW109113224A TWI735208B (zh) 2020-04-20 2020-04-20 資料防護系統及方法
US17/038,596 US11238183B2 (en) 2020-04-20 2020-09-30 Data protection system and method
US17/483,310 US11768969B2 (en) 2020-04-20 2021-09-23 Data protection system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109113224A TWI735208B (zh) 2020-04-20 2020-04-20 資料防護系統及方法

Publications (2)

Publication Number Publication Date
TWI735208B true TWI735208B (zh) 2021-08-01
TW202141313A TW202141313A (zh) 2021-11-01

Family

ID=78081916

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109113224A TWI735208B (zh) 2020-04-20 2020-04-20 資料防護系統及方法

Country Status (2)

Country Link
US (2) US11238183B2 (zh)
TW (1) TWI735208B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI735208B (zh) * 2020-04-20 2021-08-01 宜鼎國際股份有限公司 資料防護系統及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101951315A (zh) * 2010-09-10 2011-01-19 中国联合网络通信集团有限公司 密钥处理方法及装置
CN105359159A (zh) * 2013-03-13 2016-02-24 詹普托媒体公司 加密的网络存储空间
TW201715431A (zh) * 2015-10-29 2017-05-01 宇瞻科技股份有限公司 具網路認證功能之硬碟管理系統及其方法
TWI602077B (zh) * 2017-02-06 2017-10-11 蓋特資訊系統股份有限公司 資料保護方法與系統
TW201826162A (zh) * 2016-12-16 2018-07-16 美商波音公司 用於藉由位元混合器來產生保密器回合金鑰的方法和系統

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090214044A1 (en) * 2008-02-21 2009-08-27 Hitachi, Ltd. Data archiving technique for encrypted data
US8826013B1 (en) * 2009-09-23 2014-09-02 Trend Micro Incorporated Protection of customer data in cloud virtual machines using a central management server
US8694777B2 (en) * 2010-08-13 2014-04-08 International Business Machines Corporation Securely identifying host systems
US20140108793A1 (en) * 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US8987031B2 (en) 2013-05-03 2015-03-24 International Business Machines Corporation Fabricating a small-scale radiation detector
CN106357631A (zh) 2016-08-31 2017-01-25 上海卓易科技股份有限公司 一种密钥信息的管理方法和云端服务器
TWI602058B (zh) * 2016-09-08 2017-10-11 宜鼎國際股份有限公司 具備實體銷毀功能之快閃記憶體裝置
US10607018B2 (en) * 2016-10-11 2020-03-31 Xitore, Inc. Apparatus, system, and method of securitization of memory modules against malicious acts
US10528769B2 (en) * 2017-07-23 2020-01-07 Albert C. Abnett Method and apparatus for destroying nonvolatile computer memory
CN109753821B (zh) * 2017-11-01 2022-03-15 瑞昱半导体股份有限公司 数据存取装置及方法
US11113429B2 (en) * 2018-02-26 2021-09-07 Jpmorgan Chase Bank, N.A. Solid state storage data destruction
US10824771B2 (en) * 2018-05-23 2020-11-03 Aeromove Europe S.M. P.C. Robot for data logging pertaining to tampering protection and physical handling of portable server seriously massive storage system
US11222117B2 (en) * 2018-09-27 2022-01-11 International Business Machines Corporation HSM self-destruction in a hybrid cloud KMS solution
US10884951B2 (en) * 2018-11-29 2021-01-05 Micron Technology, Inc. Memory disablement for data security
US20200193011A1 (en) * 2018-12-18 2020-06-18 Seagate Technology Llc 2-way dual authentication of self encrypted storage drives
TWI808229B (zh) * 2019-07-29 2023-07-11 宜鼎國際股份有限公司 可遠端控制電子設備執行程序的系統及方法
TWI735208B (zh) * 2020-04-20 2021-08-01 宜鼎國際股份有限公司 資料防護系統及方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101951315A (zh) * 2010-09-10 2011-01-19 中国联合网络通信集团有限公司 密钥处理方法及装置
CN105359159A (zh) * 2013-03-13 2016-02-24 詹普托媒体公司 加密的网络存储空间
TW201715431A (zh) * 2015-10-29 2017-05-01 宇瞻科技股份有限公司 具網路認證功能之硬碟管理系統及其方法
TW201826162A (zh) * 2016-12-16 2018-07-16 美商波音公司 用於藉由位元混合器來產生保密器回合金鑰的方法和系統
TWI602077B (zh) * 2017-02-06 2017-10-11 蓋特資訊系統股份有限公司 資料保護方法與系統

Also Published As

Publication number Publication date
US11238183B2 (en) 2022-02-01
TW202141313A (zh) 2021-11-01
US20210326491A1 (en) 2021-10-21
US20220012375A1 (en) 2022-01-13
US11768969B2 (en) 2023-09-26

Similar Documents

Publication Publication Date Title
US7631195B1 (en) System and method for providing security to a portable storage device
US8761403B2 (en) Method and system of secured data storage and recovery
EP3355232B1 (en) Input/output data encryption
US20220197825A1 (en) System, method and apparatus for total storage encryption
US8972723B2 (en) Storage device and method for providing a partially-encrypted content file to a host device
US9443111B2 (en) Device security using an encrypted keystore data structure
US20040172538A1 (en) Information processing with data storage
US20080285747A1 (en) Encryption-based security protection method for processor and apparatus thereof
KR102024339B1 (ko) 메모리 시스템 및 그것과 호스트 사이의 바인딩 방법
JP2005534104A5 (zh)
CN104392188A (zh) 一种安全数据存储方法和系统
JP2007004522A (ja) 記憶装置
CA2537299A1 (en) On-chip storage, creation, and manipulation of an encryption key
US8843768B2 (en) Security-enabled storage controller
JP2007510201A (ja) データセキュリティ
US20110022850A1 (en) Access control for secure portable storage device
US20090086965A1 (en) Secure, two-stage storage system
TWI644229B (zh) 採加密技術之數據中心與數據中心操作方法
WO2006031030A1 (en) Method and apparatus for searching for rights objects stored in portable storage device using object identifier
US11861027B2 (en) Enhanced securing of data at rest
US11423182B2 (en) Storage device providing function of securely discarding data and operating method thereof
KR20070039157A (ko) 키 암호화 키 방식을 사용하여 암호화된 네트워크 콘텐츠를제공 및 복호화하는 장치 및 방법
CN113383335A (zh) 数据存储设备事件的安全日志记录
TWI735208B (zh) 資料防護系統及方法
TW202042092A (zh) 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法