WO2018204961A1 - Access control unit for controlling the access to encrypted data stored in a data memory unit - Google Patents

Access control unit for controlling the access to encrypted data stored in a data memory unit Download PDF

Info

Publication number
WO2018204961A1
WO2018204961A1 PCT/AT2018/060089 AT2018060089W WO2018204961A1 WO 2018204961 A1 WO2018204961 A1 WO 2018204961A1 AT 2018060089 W AT2018060089 W AT 2018060089W WO 2018204961 A1 WO2018204961 A1 WO 2018204961A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
control unit
access control
key
physical interface
Prior art date
Application number
PCT/AT2018/060089
Other languages
German (de)
French (fr)
Inventor
Christian Kollmitzer
Original Assignee
Pronextor Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pronextor Gmbh filed Critical Pronextor Gmbh
Publication of WO2018204961A1 publication Critical patent/WO2018204961A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/145Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being virtual, e.g. for virtual blocks or segments before a translation mechanism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • G06F21/725Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits operating on a secure reference time value
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0888Throughput
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Definitions

  • An access control unit for controlling access to encrypted data stored in a data memory
  • the invention relates to a device according to the preamble of patent claim 1 and a method according to claim 9.
  • Methods for encrypting data in a data memory are known from the prior art. For example, such methods create virtual disks that are encrypted with a selected key and accessible only after an assigned key has been entered. In this way, individual directories, external storage media or hard disks can be secured.
  • the object of the present invention is to provide a device and a method of the type mentioned above, which enable a reliable control of the access to encrypted data in a data memory.
  • the first physical interface is designed to access at least one container stored on at least one data memory, - wherein the access control unit is adapted to grant access to a virtual drive via the second physical interface according to a predetermined protocol,
  • the key input unit is configured to input a key by a user
  • the processor is adapted to provide an access request to the first physical interface in the presence of a read request at the second physical interface and to access the data stored in at least one container on the at least one data memory via the second physical interface and to read the content of the second physical interface Containers with the key to decrypt and deploy to the second physical interface.
  • the advantage here is the hardware separation of the key from the stored data.
  • an attack on a system created by means of the device according to the invention can only succeed if both the system and the device are under the control of the attacker.
  • the processor is designed to encrypt in the presence of a write request the data to be written and store in the container on the data memory.
  • the processor is designed to monitor the data traffic via the second interface and to generate an alert when the data transfer rate or the rate of files transmitted per unit time exceeds a predetermined first limit , and
  • the access control unit comprises a display unit for displaying such an alarm and the processor is adapted to allow the user in this case the possibility of manually interrupting the data transmission, and / or
  • That the processor is adapted to interrupt the data transmission when a predetermined second limit value exceeding the first limit value is exceeded.
  • the first physical interface is designed to access a plurality of containers stored on a data memory, wherein the data stored in the respective containers are preferably encrypted with different keys and the key input unit enables the input of a plurality of keys and wherein the processor enables the assignment of the keys to the associated encrypted data.
  • the possibility of simultaneously being able to connect a plurality of data memories to the access control unit is advantageously provided by the fact that at least one further physical interface is provided for connection to at least one further data memory and for access to at least one further container on the data memory.
  • a higher reliability is advantageously achieved by the first physical interface is designed to access a stored on multiple data storage container stored, wherein the processor is designed according to the predetermined for the distributed storage logical assignment
  • the key input unit to input or capture a key S of at least one of the following types:
  • Secure storage of encrypted data in a data memory is ensured by a memory unit comprising an access control unit according to one of the preceding claims and at least one data memory, wherein the data memory is connected to the access control unit via the first physical interface.
  • Secure access to encrypted data in a data memory is ensured by a system comprising a memory unit according to claim 8 and a computer, wherein the computer is connected via the second physical interface to the access control unit.
  • the access control unit determines a key entered by a user
  • the access control unit forwards the read request to the data store according to a predetermined protocol
  • the data store transmits the encrypted data corresponding to the read request to the access control unit
  • the access control unit decrypts the encrypted data transmitted from the data store with the key
  • the access control unit transmits the decrypted data via the second physical interface to the computer.
  • the computer transmits a write request and data to be stored on the data memory to the access control unit via the second physical interface
  • the access control unit encrypts the data transmitted by the computer with the key
  • the access control unit transmits the encrypted data and the write request via the first physical interface to the data memory according to a predetermined protocol.
  • the encrypted data is stored in a container on the data store.
  • the access control unit monitors the data traffic via the second interface
  • an alarm indication is generated by the access control unit and displayed the user is offered the opportunity to interrupt the traffic through the first interface and / or
  • the first and / or second limit of the data transmission rate is specified as a maximum amount of data per unit time and / or a number of files per unit time, in particular
  • the first and / or second limit value is specified depending on a time.
  • the access control unit accesses a container distributed over a plurality of data memories.
  • the key is kept permanently in accordance with predetermined criteria, in particular for a number of accesses and / or a period of time.
  • FIG. 1 shows a preferred embodiment of an access control unit according to the invention and the procedure for reading out encrypted data according to a preferred variant of the invention.
  • FIG. 2 shows the writing of encrypted data according to a preferred variant of the invention in the access control unit illustrated in FIG. 3 shows a memory unit with an access control unit according to the invention.
  • 4 shows a preferred embodiment of an access control unit according to the invention with a multiplicity of connected storage units.
  • FIG. 1 shows a system 6 comprising a memory unit 5, which includes an access control unit 1 and a data memory 2, and a computer 3, wherein on the data memory 2 in a container C encrypted data DV are stored.
  • the access control unit 1 comprises a first physical interface 11, a second physical interface 12, a key input unit 13, a processor 14 and a display unit 15.
  • the display unit 15 comprises an LED and a display.
  • the data memory 2 is connected to the access control unit 1 via the first physical interface 11.
  • the computer 3 is connected to the access control unit 1 via the second physical interface 12.
  • the data connection of the access control unit 1 with the computer 3 or the data memory 2 can be made for example by cable, in particular via a USB cable.
  • a data connection by radio is technically possible, but a connection by cable regularly provides greater protection against unwanted access.
  • the access control unit 1 grants computer 3 connected to the access control unit 1 via the second physical interface 12 access to a virtual drive managed by the access control unit 1 according to a predetermined protocol.
  • a protocol for the data exchange between the access control unit 1 and the computer 3 for example, the protocol used for USB data carriers can be used.
  • the processor 14 of the access control unit 1 determines the key S.
  • the key S is kept permanently for a defined number of read and write requests based on configurable parameters such as the time span or the number of accesses.
  • the key S can be removed by operating the key input unit 13 accordingly.
  • a concrete container C on the data carrier 2 can be selected via the display unit 15, which is to be accessed by means of the key S.
  • the processor 14 In the presence of a read request L transmitted to the access control unit 1 from the computer 3 at the second physical interface 12, the processor 14 provides the access control unit 1 with a corresponding access request Z at the first physical interface 11 according to a predetermined protocol.
  • the access request Z is transmitted to the data memory 2 via the first physical interface 11, whereby the processor 14 can access the data DV stored in a container C on the data memory 2 and determine the encrypted data DV in the container C corresponding to the access request Z.
  • the processor 14 determines one or more memory locations within the container C that are required to determine the value of the particular memory location requested by the computer.
  • the determined encrypted data DV are provided at the first physical interface 11 and decrypted by the processor 14 using the determined key S. Subsequently, the decrypted data D are provided by the processor 14 to the second physical interface 12 of the access control unit 1 according to a predetermined protocol, from where the decrypted data D are transmitted to the computer 2.
  • the key S is kept permanently for a defined number of read accesses based on configurable parameters such as the time span or the number of accesses.
  • Such a method reliably prevents unwanted reading out of the encrypted data DV, since the key S needed to decrypt the encrypted data DV is not stored in the computer 3 but is physically input from the computer 3 via the key input unit 14 of the access control unit 1. If the access control unit 1 is not in turn corrupted, the computer 3 receives neither access to the key nor to the encrypted data stored on the data carrier 2. If an incorrect key S is input, the processor 14 of the access control unit 1, although a read request L from the computer 3 at the second physical interface 12 a corresponding access request Z at the first physical interface 1 1 ready, causing the access request Z to the data memory is transmitted and the access request Z corresponding encrypted data DV at the first physical interface 1 1 are provided.
  • the processor 14 provides data to the second physical interface 12 and transmits it to the computer 3, which does not even allow mounting of a virtual disk. There arrive at the computer 3 meaningless data whose meaning without the corresponding key S is not detectable, whereby an unwanted readout is reliably prevented.
  • FIG. 2 schematically shows the storage of data according to an advantageous embodiment of the invention.
  • the processor 14 of the access control unit 1 encrypts the unencrypted data D to be stored with the determined key S and provides the encrypted data DV together with a write request Z 'created according to a given protocol at the first physical interface 11.
  • storing the encrypted data may also be preceded by reading steps on the data carrier. Likewise, it may be specified by the protocol in question that the individual positions are still to be determined before storing, in which the encrypted data are stored.
  • FIG. 3 shows a memory unit 5, which comprises an access control unit 1 and a data memory 2, as well as a computer 3 for processing the data made available by the memory unit 5.
  • the access control unit 1 comprises in the illustrated embodiment, a first physical interface 1 1, a second physical interface 12, a key input unit 13, a processor 14 and a display unit 15 with an LED and a display.
  • the data memory 2 is connected to the access control unit 1 via the first physical interface 11, and the computer 3 is connected to the access control unit 1 via the second physical interface 12.
  • the access control unit 1 grants computer 2 connected to the access control unit 1 via the second physical interface 12 access to a virtual drive in accordance with a predetermined protocol.
  • the processor 14 monitors the data traffic between computer 3 and access control unit 1 and generates an alert when a predetermined limit of the data transmission rate is exceeded, since a high data transmission rate indicates a possibly unwanted transfer of large amounts of data. This can be done for example by activating an LED.
  • the alarm indication is displayed by the access control unit 1, alternatively it can also emit an audible warning signal via a loudspeaker.
  • the access control unit 1 advantageously also offers the user the possibility of interrupting the data transmission when a high data transmission rate is indicated by the LED of the display unit 15. This can be done for example via a touch input via a graphical user interface on the display of the display unit 15. As a simpler embodiment, for example, an actuation of a push button of the display unit 15 for interrupting the data transfer is conceivable.
  • a maximum amount of data per unit of time and / or a number of files per unit time is specified as the limit of the data transmission rate and the access control unit 1 automatically terminates the data transmission when the predetermined parameters are exceeded. At most, this limit can also be specified depending on a time.
  • This limit value can alternatively or additionally also be specified in steps, so that when an initial predetermined limit value of the data transmission rate is exceeded an alarm indication is first displayed by the access control unit 1 and if the second limit value is exceeded above the first limit value, the access control unit 1 automatically terminates the data transmission.
  • the key input unit 13 is configured to input or detect a key S of one of the following types:
  • Reading in the two-dimensional code containing the key S for example a barcode or QR code, by means of an optical reading unit,
  • the key input unit 13 of the access control unit 1 also enables the input or detection of different types of keys S.
  • a key S can be used for all containers d, C 2 ,...
  • the encrypted data DV 1 5 DV 2 ,... Stored in different containers d, C 2 ,. .. with different keys S 1 5 S 2 , ... are encrypted.
  • the key input unit 14 in this case allows the input of several different keys S 1 5 S 2 , ..., wherein the processor 14, the keys S 1 5 S 2 , ..., the stored encrypted data DV 1 5 DV 2 , .. assigns.
  • the computer 3 can now access each of the individual virtual drives via the second interface 12.
  • further configurations such as read and write permissions and other permissions that can be made separately for each individual container C.
  • the first physical interface 1 1 of the access control unit 1 can access a container C distributed to a plurality of data memories 2, 2 a,...,
  • the encrypted data DV stored in the container C being stored multiple times on the various data memories 2, 2. 2a, ... can occur.
  • Such an organization of the container C and the encrypted data DV stored thereon advantageously ensures a higher reliability and / or a higher data throughput than when a single physical data memory 2 is used.
  • the data to be written is encrypted with the key.
  • the encryption results determined in this way are written to individual data stores (2, 2a) relating to the same container (C).
  • the access control unit 1 is provided with at least one further physical interface 11a for connection to a further data memory 2a, which enables access to at least one further container C on the data memory 2a (FIG. 4).

Abstract

The invention relates to an access control unit (1) for controlling the access to encrypted data (DV) stored in a data memory unit (2), comprising a first physical interface (11) for connecting to at least one data memory unit (2), a second physical interface (12) for connecting to a computer (3), a key input unit (13), and a processor (14), wherein - the first physical interface (11) is designed to access at least one container (C) stored on at least one data memory unit (2), - the access control unit (1) is designed to protect access to a virtual drive via the second physical interface (12) according to a specified protocol, - the key input unit (13) is designed to input a key (S) by a user, and - when a read request (L) is present at the second physical interface (12), the processor (14) is designed to provide an access request relating to the read request to the first physical interface (11), access the data (DV) stored in at least one container (C) on the at least one data memory unit (2) via the second physical interface (12), decrypt the contents of the container (C) using the key (S), and provide said contents to the second physical interface (12).

Description

Zugriffssteuerungseinheit zur Steuerung des Zugriffs auf in einem Datenspeicher gespeicherte verschlüsselte Daten  An access control unit for controlling access to encrypted data stored in a data memory
Die Erfindung betrifft eine Vorrichtung gemäß dem Oberbegriff des Patentanspruchs 1 sowie ein Verfahren gemäß dem Patentanspruch 9. The invention relates to a device according to the preamble of patent claim 1 and a method according to claim 9.
Aus dem Stand der Technik sind Verfahren zur Verschlüsselung von Daten in einem Datenspeicher bekannt. Derartige Verfahren erstellen beispielsweise virtuelle Laufwerke, die mit einem ausgewählten Schlüssel verschlüsselt werden und nur nach Eingabe eines zugeteilten Schlüssels zugänglich sind. Auf diese Weise lassen sich einzelne Verzeichnisse, externe Speichermedien oder Festplatten sichern. Methods for encrypting data in a data memory are known from the prior art. For example, such methods create virtual disks that are encrypted with a selected key and accessible only after an assigned key has been entered. In this way, individual directories, external storage media or hard disks can be secured.
Nachteil bei derartigen Verfahren ist allerdings, dass der zum Entschlüsseln benötigte Schlüssel ständig im Arbeitsspeicher des Rechners, der auf das verschlüsselte Laufwerk zugreift, gespeichert sein muss, um einen dauerhaften Zugriff auf die betreffenden Daten zu gewährleisten. Durch Schadsoftware oder hardwareseitig Kompromittierung des Systems kann der benötigte Schlüssel ermittelt werden, sodass ein unerwünschter Zugriff und eine Entschlüsselung der gespeicherten Daten erfolgen können. The disadvantage of such methods, however, is that the key required for decryption must be permanently stored in the main memory of the computer which accesses the encrypted drive in order to ensure permanent access to the relevant data. By malicious software or hardware compromise of the system, the required key can be determined, so that an unwanted access and a decryption of the stored data can be done.
Durch das Speichern des Schlüssels im Arbeitsspeicher des Rechners ergibt sich ein weiterer Nachteil bekannter Verfahren: Wenn der Rechner in den Hibernation-Modus, also den Ruhezustand, wechselt, wird der Inhalt des Arbeitsspeichers auf die Festplatte geschrieben und alle Systemkomponenten werden ausgeschaltet, damit bei Einschalten des Rechners das auf der Festplatte gespeicherte Abbild wieder in den Arbeitsspeicher geladen werden kann. Wenn ein tragbarer Rechner beispielsweise entwendet wird, und durch Schließen in den Hibernation-Modus gebracht wird, kann dadurch der Zugriff auf gespeicherte Daten erfolgen. By storing the key in the main memory of the computer, another disadvantage of known methods: When the computer in the hibernation mode, ie the idle state, changes, the contents of the main memory is written to the hard drive and all system components are turned off, so at power the computer stored on the hard disk image can be loaded back into the main memory. For example, if a portable computer is stolen and brought into hibernation mode by closing it, access to stored data may occur.
Aufgabe der vorliegenden Erfindung ist es, eine Vorrichtung und ein Verfahren der eingangs genannten Art zu schaffen, die eine zuverlässige Steuerung des Zugriffs auf verschlüsselte Daten in einem Datenspeicher zu ermöglichen. The object of the present invention is to provide a device and a method of the type mentioned above, which enable a reliable control of the access to encrypted data in a data memory.
Diese Ziele werden mit den kennzeichnenden Merkmalen des Anspruchs 1 erreicht. Erfindungsgemäß ist vorgesehen, dass These objects are achieved with the characterizing features of claim 1. According to the invention, it is provided that
- die erste physikalische Schnittstelle zum Zugriff auf zumindest einen auf zumindest einem Datenspeicher abgespeicherten Container ausgebildet ist, - wobei die Zugriffssteuerungseinheit dazu ausgebildet ist, über die zweite physikalische Schnittstelle nach einem vorgegebenen Protokoll Zugriff auf ein virtuelles Laufwerk zu gewähren, the first physical interface is designed to access at least one container stored on at least one data memory, - wherein the access control unit is adapted to grant access to a virtual drive via the second physical interface according to a predetermined protocol,
- wobei die Schlüsseleingabeeinheit zur Eingabe eines Schlüssels durch einen Benutzer ausgebildet ist,  wherein the key input unit is configured to input a key by a user,
- wobei der Prozessor dazu ausgebildet ist, bei Vorliegen einer Leseanfrage an der zweiten physikalischen Schnittstelle eine diesbezügliche Zugriffsanfrage an der ersten physikalischen Schnittstelle bereitzustellen und über die zweite physikalische Schnittstelle auf die in zumindest einem Container auf dem zumindest einen Datenspeicher gespeicherten Daten zuzugreifen und den Inhalt des Containers mit dem Schlüssel zu entschlüsseln und an der zweiten physikalischen Schnittstelle bereitzustellen.  wherein the processor is adapted to provide an access request to the first physical interface in the presence of a read request at the second physical interface and to access the data stored in at least one container on the at least one data memory via the second physical interface and to read the content of the second physical interface Containers with the key to decrypt and deploy to the second physical interface.
Von Vorteil ist dabei die hardwaremäßige Trennung des Schlüssels von den gespeicherten Daten. Insbesondere kann ein Angriff auf ein mittels der erfindungsgemäßen Vorrichtung erstelltes System nur dann erfolgreich sein, wenn sowohl das System als auch die Vorrichtung unter Kontrolle des Angreifers ist. The advantage here is the hardware separation of the key from the stored data. In particular, an attack on a system created by means of the device according to the invention can only succeed if both the system and the device are under the control of the attacker.
Zum sicheren Speichern von Daten auf einem Datenspeicher ist vorteilhafterweise vorgesehen, dass der Prozessor dazu ausgebildet ist, bei Vorliegen eines Schreibanfrage die zu schreibenden Daten zu verschlüsseln und im Container auf dem Datenspeicher abzuspeichern. For secure storage of data on a data memory is advantageously provided that the processor is designed to encrypt in the presence of a write request the data to be written and store in the container on the data memory.
Um ein unerwünschtes Übertragen großer Datenmengen zu erkennen und zu unterbrechen, ist vorgesehen, dass der Prozessor zur Überwachung des Datenverkehrs über die zweite Schnittstelle und zur Erstellung eines Alarmhinweises ausgebildet ist, wenn die Datenübertragungsrate oder die Rate der pro Zeiteinheit übertragenen Dateien einen vorgegebenen ersten Grenzwert überschreitet, und In order to detect and interrupt an unwanted transfer of large amounts of data, it is provided that the processor is designed to monitor the data traffic via the second interface and to generate an alert when the data transfer rate or the rate of files transmitted per unit time exceeds a predetermined first limit , and
- dass die Zugriffssteuerungseinheit eine Anzeigeeinheit zur Anzeige eines solchen Alarmhinweises umfasst und der Prozessor dazu ausgebildet ist, in diesem Fall dem Benutzer die Möglichkeit zum manuellen Unterbrechung der Datenübertragung zu ermöglichen, und/oder  - That the access control unit comprises a display unit for displaying such an alarm and the processor is adapted to allow the user in this case the possibility of manually interrupting the data transmission, and / or
- dass der Prozessor dazu ausgebildet ist, bei Überschreiten eines den ersten Grenzwert übersteigenden vorgegebenen zweiten Grenzwerts die Datenübertragung zu unterbrechen.  - That the processor is adapted to interrupt the data transmission when a predetermined second limit value exceeding the first limit value is exceeded.
Vorteilhafterweise ist auch vorgesehen, dass die erste physikalische Schnittstelle zum Zugriff auf mehrere auf einem Datenspeicher abgespeicherten Container ausgebildet ist, wobei die in den jeweiligen Containern gespeicherten Daten vorzugsweise mit verschiedenen Schlüsseln verschlüsselt sind und die Schlüsseleingabeeinheit die Eingabe mehrerer Schlüssel ermöglicht und wobei der Prozessor die Zuordnung der Schlüssel zu den zugehörigen verschlüsselten Daten ermöglicht. Advantageously, it is also provided that the first physical interface is designed to access a plurality of containers stored on a data memory, wherein the data stored in the respective containers are preferably encrypted with different keys and the key input unit enables the input of a plurality of keys and wherein the processor enables the assignment of the keys to the associated encrypted data.
Die Möglichkeit, auch mehrere Datenspeicher gleichzeitig an die Zugriffssteuerungseinheit anschließen zu können, ist vorteilhafterweise gegeben dadurch, dass zumindest eine weitere physikalische Schnittstelle zum Anschluss an zumindest einen weiteren Datenspeicher sowie zum Zugriff auf zumindest einen weiteren Container auf dem Datenspeicher vorgesehen ist. The possibility of simultaneously being able to connect a plurality of data memories to the access control unit is advantageously provided by the fact that at least one further physical interface is provided for connection to at least one further data memory and for access to at least one further container on the data memory.
Eine höhere Ausfallsicherheit wird vorteilhafterweise erzielt, indem die erste physikalische Schnittstelle zum Zugriff auf einen auf mehrere Datenspeicher verteilt gespeicherten Container ausgebildet ist, wobei der Prozessor dazu ausgebildet ist, entsprechend der für die verteilte Speicherung vorgegebenen logische Zuordnung A higher reliability is advantageously achieved by the first physical interface is designed to access a stored on multiple data storage container stored, wherein the processor is designed according to the predetermined for the distributed storage logical assignment
bei Vorliegen einer Leseanfrage einzelne denselben Container betreffende Datenspeicher auszulesen und die so erhaltenen Speicherwerte aufgrund des Schlüssels zu entschlüsseln und an die zweite Schnittstelle weiterzuleiten, und in the presence of a read request, to read out individual data stores relating to the same container and to decrypt the memory values thus obtained on the basis of the key and forward them to the second interface, and
insbesondere bei Vorliegen einer Schreibanfrage die zu schreibenden Daten mit dem Schlüssel zu verschlüsseln und die derart ermittelten Verschlüsselungsergebnisse auf einzelne denselben Container betreffende Datenspeicher zu schreiben. in particular, in the presence of a write request to encrypt the data to be written with the key and to write the encryption results determined in this way to individual data storage relating to the same container.
Dass der zum Verschlüsseln und Entschlüsseln der Daten notwenige Schlüssel nicht im Arbeitsspeicher des Rechners, der auf das verschlüsselte Laufwerk zugreift, gespeichert sein muss, wird erzielt, indem die Schlüsseleingabeeinheit zur Eingabe oder Erfassung eines Schlüssels S zumindest einer der folgenden Arten ausgebildet ist: The fact that the key necessary for encrypting and decrypting the data need not be stored in the main memory of the computer accessing the encrypted drive is achieved by designing the key input unit to input or capture a key S of at least one of the following types:
- Einlesen des den Schlüssel enthaltenden zweidimensionalen Codes, insbesondere Barcodes oder QR-Codes, mittels einer optischen Leseeinheit,  Reading in the two-dimensional code containing the key, in particular barcodes or QR codes, by means of an optical reading unit,
- Einlesen eines Schlüssels von einem Datenträger, z. B. von einem USB-Stick,  - reading a key from a disk, eg. From a USB stick,
- Einlesen des Schlüssels von einem NFC-fähigen Hardware-Item mittels NFC,  - reading the key from an NFC-enabled hardware item using NFC,
- Manuelle Eingabe des Schlüssels durch einen Benutzer.  - Manual entry of the key by a user.
Sicheres Speichern von verschlüsselten Daten in einem Datenspeicher wird gewährleistet durch eine Speichereinheit umfassend eine Zugriffssteuerungseinheit nach einem der vorangehenden Ansprüche sowie zumindest einen Datenspeicher, wobei der Datenspeicher über die erste physikalische Schnittstelle an die Zugriffssteuerungseinheit angeschlossen ist. Sicheres Zugreifen auf verschlüsselten Daten in einem Datenspeicher wird gewährleistet durch ein System umfassend eine Speichereinheit nach Anspruch 8 sowie einen Rechner, wobei der Rechner über die zweite physikalische Schnittstelle an die Zugriffssteuerungseinheit angeschlossen ist. Secure storage of encrypted data in a data memory is ensured by a memory unit comprising an access control unit according to one of the preceding claims and at least one data memory, wherein the data memory is connected to the access control unit via the first physical interface. Secure access to encrypted data in a data memory is ensured by a system comprising a memory unit according to claim 8 and a computer, wherein the computer is connected via the second physical interface to the access control unit.
Zum sicheren Zugriff auf verschlüsselte Daten in einem Datenspeicher ist vorgesehen,For secure access to encrypted data in a data memory is provided
- dass die Zugriffssteuerungseinheit einen durch einen Benutzer eingegebenen Schlüssel ermittelt, the access control unit determines a key entered by a user,
- wobei der Rechner eine Leseanfrage über die zweite physikalische Schnittstelle an die Zugriffssteuerungseinheit übermittelt,  wherein the computer transmits a read request to the access control unit via the second physical interface,
- wobei die Zugriffssteuerungseinheit nach einem vorgegebenen Protokoll die Leseanfrage an den Datenspeicher weiterleitet,  the access control unit forwards the read request to the data store according to a predetermined protocol,
- wobei der Datenspeicher die der Leseanfrage entsprechenden verschlüsselten Daten an die Zugriffssteuerungseinheit übermittelt,  wherein the data store transmits the encrypted data corresponding to the read request to the access control unit,
- wobei die Zugriffssteuerungseinheit die vom Datenspeicher übermittelten verschlüsselten Daten mit dem Schlüssel entschlüsselt,  wherein the access control unit decrypts the encrypted data transmitted from the data store with the key,
- wobei die Zugriffssteuerungseinheit die entschlüsselten Daten über die zweite physikalische Schnittstelle an den Rechner übermittelt.  - The access control unit transmits the decrypted data via the second physical interface to the computer.
Zum sicheren Speichern von Daten in einem Datenspeicher ist vorgesehen, dass der Rechner eine Schreibanfrage und auf den Datenspeicher zu speichernde Daten über die zweite physikalische Schnittstelle an die Zugriffssteuerungseinheit übermittelt, For secure storage of data in a data memory, it is provided that the computer transmits a write request and data to be stored on the data memory to the access control unit via the second physical interface,
- wobei die Zugriffssteuerungseinheit die vom Rechner übermittelten Daten mit dem Schlüssel verschlüsselt,  the access control unit encrypts the data transmitted by the computer with the key,
- wobei die Zugriffssteuerungseinheit nach einem vorgegebenen Protokoll die verschlüsselten Daten und die Schreibanfrage über die erste physikalische Schnittstelle an den Datenspeicher übermittelt.  - The access control unit transmits the encrypted data and the write request via the first physical interface to the data memory according to a predetermined protocol.
- wobei die verschlüsselten Daten in einem Container auf dem Datenspeicher gespeichert werden.  - The encrypted data is stored in a container on the data store.
Zum verbesserten Schutz vor unerwünschten Zugriffen auf Daten in einem Datenspeicher ist vorgesehen, dass die Zugriffssteuerungseinheit der Datenverkehr über die zweite Schnittstelle überwacht, For improved protection against unwanted access to data in a data memory, it is provided that the access control unit monitors the data traffic via the second interface,
- wobei bei Überschreiten eines vorgegebenen ersten Grenzwerts der Datenübertragungsrate ein Alarmhinweis von der Zugriffssteuerungseinheit erzeugt und angezeigt wird dem Benutzer die Möglichkeit zur Unterbrechung des Datenverkehrs über die erste Schnittstelle geboten wird und/oder - When a predetermined first limit value of the data transmission rate is exceeded, an alarm indication is generated by the access control unit and displayed the user is offered the opportunity to interrupt the traffic through the first interface and / or
- wobei die Datenübertragung über die zweite Schnittstelle bei Überschreiten eines vorgegebenen den ersten Grenzwert überschreitenden zweiten Grenzwerts die , insbesondere ohne erforderliche Benutzerinteraktion, unterbrochen wird.  - Wherein the data transmission over the second interface at a predetermined threshold exceeding the first threshold second threshold, the, in particular without required user interaction, is interrupted.
Um einen unerwünschten Zugriff auf Daten in einem Datenspeicher effektiv zu verhindern, ist vorgesehen, dass der erste und/oder zweite Grenzwert der Datenübertragungsrate vorgegeben wird als eine maximale Datenmenge pro Zeiteinheit und/oder eine Anzahl von Dateien pro Zeiteinheit, wobei insbesondere In order to effectively prevent unwanted access to data in a data memory, it is provided that the first and / or second limit of the data transmission rate is specified as a maximum amount of data per unit time and / or a number of files per unit time, in particular
- der erste und/oder zweite Grenzwert abhängig von einer Uhrzeit vorgegeben wird.  - The first and / or second limit value is specified depending on a time.
Um eine höhere Ausfallsicherheit und einen größeren Datendurchsatz durch Verwendung mehrerer Datenspeicher ausnutzen zu können, ist vorteilhafterweise vorgesehen, dass die Zugriffssteuerungseinheit auf einen auf mehrere Datenspeicher verteilten Container zugreift. To be able to exploit a higher reliability and a greater data throughput by using a plurality of data storage, it is advantageously provided that the access control unit accesses a container distributed over a plurality of data memories.
Weiters ist vorteilhafterweise vorgesehen, dass der Schlüssel entsprechend vorgegebener Kriterien permanent gehalten wird, insbesondere für eine Anzahl von Zugriffen und/oder eine Zeitspanne. Furthermore, it is advantageously provided that the key is kept permanently in accordance with predetermined criteria, in particular for a number of accesses and / or a period of time.
Die Erfindung ist im Folgenden anhand von besonders vorteilhaften, aber nicht einschränkend zu verstehenden, Ausführungsbeispielen in den Zeichnungen schematisch dargestellt und wird unter Bezugnahme auf die Zeichnungen beispielhaft beschrieben: The invention is illustrated schematically below with reference to particularly advantageous, but not limiting, embodiments in the drawings and will be described with reference to the drawings by way of example:
Fig. 1 zeigt eine bevorzugte Ausführungsform einer erfindungsgemäßen Zugriffssteuerungseinheit sowie das Vorgehen beim Auslesen von verschlüsselten Daten gemäß einer bevorzugten Variante der Erfindung. Fig. 2 das Schreiben von verschlüsselten Daten gemäß einer bevorzugten Variante der Erfindung bei der in Fig. 1 dargestellten Zugriffssteuerungseinheit. Fig. 3 zeigt eine Speichereinheit mit einer erfindungsgemäßen Zugriffssteuerungseinheit. Fig. 4 zeigt eine bevorzugte Ausführungsform einer erfindungsgemäßen Zugriffssteuerungseinheit mit einer Vielzahl von angeschlossenen Speichereinheiten. 1 shows a preferred embodiment of an access control unit according to the invention and the procedure for reading out encrypted data according to a preferred variant of the invention. FIG. 2 shows the writing of encrypted data according to a preferred variant of the invention in the access control unit illustrated in FIG. 3 shows a memory unit with an access control unit according to the invention. 4 shows a preferred embodiment of an access control unit according to the invention with a multiplicity of connected storage units.
In Fig. 1 sind eine mögliche Ausführungsform einer erfindungsgemäßen Zugriffssteuerungseinheit 1 und der Ablauf einer Variante eines erfindungsgemäßen Verfahrens zum Zugriff eines Rechners 3 auf in einem Datenspeicher 2 gespeicherte verschlüsselte Daten DV mittels der Zugriffssteuerungseinheit 1 schematisch dargestellt. Fig. 1 zeigt ein System 6 umfassend eine Speichereinheit 5, welche eine Zugriffssteuerungseinheit 1 und einen Datenspeicher 2 beinhaltet, und einen Rechner 3, wobei auf dem Datenspeicher 2 in einem Container C verschlüsselte Daten DV gespeichert sind. In Fig. 1, a possible embodiment of an access control unit 1 according to the invention and the sequence of a variant of an inventive Method for accessing a computer 3 to encrypted data DV stored in a data memory 2 by means of the access control unit 1 shown schematically. Fig. 1 shows a system 6 comprising a memory unit 5, which includes an access control unit 1 and a data memory 2, and a computer 3, wherein on the data memory 2 in a container C encrypted data DV are stored.
Die Zugriffssteuerungseinheit 1 umfasst im gezeigten Ausführungsbeispiel eine erste physikalische Schnittstelle 1 1 , eine zweite physikalischen Schnittstelle 12, eine Schlüsseleingabeeinheit 13, einen Prozessor 14 und eine Anzeigeeinheit 15. Die Anzeigeeinheit 15 umfasst im Ausführungsbeispiel eine LED und ein Display. In the exemplary embodiment shown, the access control unit 1 comprises a first physical interface 11, a second physical interface 12, a key input unit 13, a processor 14 and a display unit 15. In the exemplary embodiment, the display unit 15 comprises an LED and a display.
Der Datenspeicher 2 ist über die erste physikalische Schnittstelle 1 1 an die Zugriffssteuerungseinheit 1 angeschlossen. Der Rechner 3 ist über die zweite physikalische Schnittstelle 12 an die Zugriffssteuerungseinheit 1 angeschlossen. Die Datenverbindung der Zugriffssteuerungseinheit 1 mit dem Rechner 3 oder dem Datenspeicher 2 kann beispielsweise per Kabel, insbesondere über ein USB-Kabel hergestellt werden. Bei der Erfindung ist auch eine Datenverbindung per Funk technisch möglich, wobei jedoch eine Verbindung per Kabel regelmäßig einen höheren Schutz vor unerwünschten Zugriffen bietet. The data memory 2 is connected to the access control unit 1 via the first physical interface 11. The computer 3 is connected to the access control unit 1 via the second physical interface 12. The data connection of the access control unit 1 with the computer 3 or the data memory 2 can be made for example by cable, in particular via a USB cable. In the invention, a data connection by radio is technically possible, but a connection by cable regularly provides greater protection against unwanted access.
Die Zugriffssteuerungseinheit 1 gewährt einem über die zweite physikalische Schnittstelle 12 an die Zugriffssteuerungseinheit 1 angeschlossenen Rechner 3 nach einem vorgegebenen Protokoll Zugriff auf ein von der Zugriffssteuerungseinheit 1 verwaltetes virtuelles Laufwerk. Als Protokoll für den Datenaustausch zwischen der Zugriffssteuerungseinheit 1 und dem Rechner 3 kann dabei beispielsweise das für USB- Datenträger verwendete Protokoll verwendet werden. The access control unit 1 grants computer 3 connected to the access control unit 1 via the second physical interface 12 access to a virtual drive managed by the access control unit 1 according to a predetermined protocol. As a protocol for the data exchange between the access control unit 1 and the computer 3, for example, the protocol used for USB data carriers can be used.
Bei Eingabe eines Schlüssels S über die Schlüsseleingabeeinheit 13 durch einen Benutzer ermittelt der Prozessor 14 der Zugriffssteuerungseinheit 1 den Schlüssel S ermittelt. Der Schlüssel S wird dabei für eine definierte Anzahl an Lese- und Schreibanfragen basierend auf konfigurierbaren Parametern wie beispielsweise der Zeitspanne oder der Anzahl an Zugriffen permanent gehalten. Der Schlüssel S kann durch diesbezügliche Betätigung der Schlüsseleingabeeinheit 13 entfernt werden. Weiters kann auch vorgesehen sein, dass über die Anzeigeeinheit 15 ein konkreter Container C auf dem Datenträger 2 ausgewählt werden kann, auf den mittels des Schlüssels S zugegriffen werden soll. When a key S is input via the key input unit 13 by a user, the processor 14 of the access control unit 1 determines the key S. The key S is kept permanently for a defined number of read and write requests based on configurable parameters such as the time span or the number of accesses. The key S can be removed by operating the key input unit 13 accordingly. Furthermore, it can also be provided that a concrete container C on the data carrier 2 can be selected via the display unit 15, which is to be accessed by means of the key S.
Bei Vorliegen einer vom Rechner 3 an die Zugriffssteuerungseinheit 1 übermittelten Leseanfrage L an der zweiten physikalischen Schnittstelle 12, stellt der Prozessor 14 der Zugriffssteuerungseinheit 1 nach einem vorgegebenen Protokoll eine diesbezügliche Zugriffsanfrage Z an der ersten physikalischen Schnittstelle 1 1 bereit. Die Zugriffsanfrage Z wird über die erste physikalische Schnittstelle 1 1 an den Datenspeicher 2 übermittelt, wodurch der Prozessor 14 auf die in einem Container C auf dem Datenspeicher 2 gespeicherten Daten DV zugreifen und die der Zugriffsanfrage Z entsprechenden verschlüsselten Daten DV im Container C ermitteln kann. In the presence of a read request L transmitted to the access control unit 1 from the computer 3 at the second physical interface 12, the processor 14 provides the access control unit 1 with a corresponding access request Z at the first physical interface 11 according to a predetermined protocol. The access request Z is transmitted to the data memory 2 via the first physical interface 11, whereby the processor 14 can access the data DV stored in a container C on the data memory 2 and determine the encrypted data DV in the container C corresponding to the access request Z.
Bei einigen Verschlüsselungsverfahren ist es auch erforderlich, dass zum Auslesen des Speichers an einer bestimmten Speicherstelle entsprechend dem verwendeten Schlüssel unterschiedliche Speicherpositionen innerhalb des Containers C ausgelesen werden müssen. In diesem Fall ermittelt der Prozessor 14 eine oder mehrere Speicherpositionen innerhalb des Containers C, die für die Bestimmung des Werts der vom Rechner abgefragten, insbesondere virtuellen, Speicherposition erforderlich sind. In some encryption methods, it is also necessary that to read out the memory at a particular memory location according to the key used different memory positions within the container C must be read. In this case, the processor 14 determines one or more memory locations within the container C that are required to determine the value of the particular memory location requested by the computer.
Die ermittelten verschlüsselten Daten DV werden an der ersten physikalischen Schnittstelle 1 1 bereitgestellt und vom Prozessor 14 mithilfe des ermittelten Schlüssels S entschlüsselt. Anschließend werden die entschlüsselten Daten D vom Prozessor 14 an der zweiten physikalischen Schnittstelle 12 der Zugriffssteuerungseinheit 1 nach einem vorgegebenen Protokoll bereitgestellt, von wo aus die entschlüsselten Daten D an den Rechner 2 übermittelt werden. Der Schlüssel S wird dabei für eine definierte Anzahl an Lesezugriffen basierend auf konfigurierbaren Parametern wie beispielsweise der Zeitspanne oder der Anzahl an Zugriffen permanent gehalten. The determined encrypted data DV are provided at the first physical interface 11 and decrypted by the processor 14 using the determined key S. Subsequently, the decrypted data D are provided by the processor 14 to the second physical interface 12 of the access control unit 1 according to a predetermined protocol, from where the decrypted data D are transmitted to the computer 2. The key S is kept permanently for a defined number of read accesses based on configurable parameters such as the time span or the number of accesses.
Ein derartiges Verfahren verhindert zuverlässig ein unerwünschtes Auslesen der verschlüsselten Daten DV, da der zum Entschlüsseln der verschlüsselten Daten DV benötigte Schlüssel S nicht im Rechner 3 gespeichert ist, sondern physikalisch vom Rechner 3 getrennt über die Schlüsseleingabeeinheit 14 der Zugriffssteuerungseinheit 1 eingegeben wird. Sofern die Zugriffssteuerungseinheit 1 nicht ihrerseits korrumpiert ist, erhält der Rechner 3 weder Zugriff auf den Schlüssel, noch auf die auf dem Datenträger 2 abgespeicherten verschlüsselten Daten. Wird ein falscher Schlüssel S eingegeben, stellt der Prozessor 14 der Zugriffssteuerungseinheit 1 zwar bei Vorliegen einer Leseanfrage L vom Rechner 3 an der zweiten physikalischen Schnittstelle 12 eine diesbezügliche Zugriffsanfrage Z an der ersten physikalischen Schnittstelle 1 1 bereit, wodurch die Zugriffsanfrage Z an den Datenspeicher 2 übermittelt wird und die der Zugriffsanfrage Z entsprechenden verschlüsselten Daten DV an der ersten physikalischen Schnittstelle 1 1 bereitgestellt werden. Da der Schlüssel jedoch nicht korrekt ist und nicht dem für die Entschlüsselung erforderlichen Schlüssel entspricht, werden vom Prozessor 14 Daten an der zweiten physikalischen Schnittstelle 12 bereitgestellt und an den Rechner 3 übermittelt, die idR nicht einmal das Mounten bzw. Einhängen eines virtuellen Laufwerks erlauben. Es kommen am Rechner 3 bedeutungslose Daten an, deren Bedeutung ohne den entsprechenden Schlüssel S nicht erfassbar ist, wodurch ein unerwünschtes Auslesen zuverlässig verhindert wird. Such a method reliably prevents unwanted reading out of the encrypted data DV, since the key S needed to decrypt the encrypted data DV is not stored in the computer 3 but is physically input from the computer 3 via the key input unit 14 of the access control unit 1. If the access control unit 1 is not in turn corrupted, the computer 3 receives neither access to the key nor to the encrypted data stored on the data carrier 2. If an incorrect key S is input, the processor 14 of the access control unit 1, although a read request L from the computer 3 at the second physical interface 12 a corresponding access request Z at the first physical interface 1 1 ready, causing the access request Z to the data memory is transmitted and the access request Z corresponding encrypted data DV at the first physical interface 1 1 are provided. However, since the key is incorrect and does not correspond to the key required for decryption, the processor 14 provides data to the second physical interface 12 and transmits it to the computer 3, which does not even allow mounting of a virtual disk. There arrive at the computer 3 meaningless data whose meaning without the corresponding key S is not detectable, whereby an unwanted readout is reliably prevented.
In Fig. 2 ist schematisch das Speichern von Daten gemäß einer vorteilhaften Ausführungsform der Erfindung dargestellt. Bei Vorliegen einer vom Rechner 3 an die Zugriffssteuerungseinheit 1 übermittelten Schreibanfrage W umfassend die unverschlüsselten zu speichernden Daten D sowie die betreffende Speicherposition an der zweiten physikalischen Schnittstelle 12, verschlüsselt der Prozessor 14 der Zugriffssteuerungseinheit 1 die unverschlüsselten zu speichernden Daten D mit dem ermittelten Schlüssel S und stellt die verschlüsselten Daten DV gemeinsam mit einer nach einem vorgegebenen Protokoll erstellten diesbezüglichen Schreibanfrage Z' an der ersten physikalischen Schnittstelle 1 1 bereit. FIG. 2 schematically shows the storage of data according to an advantageous embodiment of the invention. In the presence of a write request W transmitted from the computer 3 to the access control unit 1, comprising the unencrypted data D to be stored and the relevant storage position at the second physical interface 12, the processor 14 of the access control unit 1 encrypts the unencrypted data D to be stored with the determined key S and provides the encrypted data DV together with a write request Z 'created according to a given protocol at the first physical interface 11.
Sofern es nach dem betreffenden Verschlüsselungsprotokoll erforderlich ist, können dem Abspeichern der verschlüsselten Daten auch noch Leseschritte auf dem Datenträger vorangehen. Ebenso kann es durch das betreffende Protokoll vorgegeben sein, dass vor dem Abspeichern noch die einzelnen Positionen ermittelt werden, an denen die verschlüsselten Daten abgespeichert werden. If it is necessary according to the relevant encryption protocol, storing the encrypted data may also be preceded by reading steps on the data carrier. Likewise, it may be specified by the protocol in question that the individual positions are still to be determined before storing, in which the encrypted data are stored.
Die verschlüsselten Daten DV und die Schreibanfrage Z' werden über die erste physikalische Schnittstelle 1 1 an den Datenspeicher 2 übermittelt und die verschlüsselten Daten DV werden entsprechend der Schreibanfrage 71 in einem Container C auf dem Datenspeicher 2 gespeichert. In Fig. 3 ist eine Speichereinheit 5 dargestellt, die eine Zugriffssteuerungseinheit 1 und einen Datenspeicher 2 umfasst, sowie weiters ein Rechner 3 zum Verarbeiten der von der Speichereinheit 5 zur Verfügung gestellten Daten. The encrypted data DV and the write request Z 'are transmitted to the data memory 2 via the first physical interface 11 and the encrypted data DV are stored in a container C on the data memory 2 in accordance with the write request 71. FIG. 3 shows a memory unit 5, which comprises an access control unit 1 and a data memory 2, as well as a computer 3 for processing the data made available by the memory unit 5.
Die Zugriffssteuerungseinheit 1 umfasst im dargestellten Ausführungsbeispiel eine erste physikalischen Schnittstelle 1 1 , eine zweite physikalische Schnittstelle 12, eine Schlüsseleingabeeinheit 13 einen Prozessor 14 und eine Anzeigeeinheit 15 mit einer LED und einem Display. Der Datenspeicher 2 ist über die erste physikalische Schnittstelle 1 1 an die Zugriffssteuerungseinheit 1 angeschlossen und der Rechner 3 ist über die zweite physikalische Schnittstelle 12 an die Zugriffssteuerungseinheit 1 angeschlossen. Die Zugriffssteuerungseinheit 1 gewährt einem über die zweite physikalische Schnittstelle 12 an die Zugriffssteuerungseinheit 1 angeschlossenen Rechner 2 nach einem vorgegebenen Protokoll Zugriff auf ein virtuelles Laufwerk. The access control unit 1 comprises in the illustrated embodiment, a first physical interface 1 1, a second physical interface 12, a key input unit 13, a processor 14 and a display unit 15 with an LED and a display. The data memory 2 is connected to the access control unit 1 via the first physical interface 11, and the computer 3 is connected to the access control unit 1 via the second physical interface 12. The access control unit 1 grants computer 2 connected to the access control unit 1 via the second physical interface 12 access to a virtual drive in accordance with a predetermined protocol.
Bei allen voranstehend beschriebenen Varianten eines erfindungsgemäßen Verfahrens bzw. allen Ausführungsformen einer Zugriffssteuerungseinheit 1 kann vorteilhafterweise vorgesehen sein, dass der Prozessor 14 den Datenverkehr zwischen Rechner 3 und Zugriffssteuerungseinheit 1 überwacht wird und bei Überschreiten eines vorgegebenen Grenzwerts der Datenübertragungsrate einen Alarmhinweis erzeugt, da eine hohe Datenübertragungsrate auf ein möglicherweise unerwünschtes Übertragen großer Datenmengen hindeutet. Dies kann beispielsweise durch Aktivierung einer LED erfolgen. Der Alarmhinweis wird von der Zugriffssteuerungseinheit 1 angezeigt, alternativ kann diese auch über einen Lautsprecher ein akustisches Warnsignal abgeben. In all of the above-described variants of a method according to the invention or all embodiments of an access control unit 1, it can advantageously be provided that the processor 14 monitors the data traffic between computer 3 and access control unit 1 and generates an alert when a predetermined limit of the data transmission rate is exceeded, since a high data transmission rate indicates a possibly unwanted transfer of large amounts of data. This can be done for example by activating an LED. The alarm indication is displayed by the access control unit 1, alternatively it can also emit an audible warning signal via a loudspeaker.
Die Zugriffssteuerungseinheit 1 bietet dem Benutzer vorteilhafterweise auch die Möglichkeit, die Datenübertragung bei Anzeige einer hohen Datenübertragungsrate durch die LED der Anzeigeeinheit 15 zu unterbrechen. Dies kann beispielsweise über eine Berührungs-Eingabe über eine graphische Benutzeroberfläche auf dem Display der Anzeigeeinheit 15 erfolgen. Als einfachere Ausführungsvariante ist beispielsweise auch ein Betätigen eines Drückknopfes der Anzeigeeinheit 15 zur Unterbrechung der Datenübertragung denkbar. The access control unit 1 advantageously also offers the user the possibility of interrupting the data transmission when a high data transmission rate is indicated by the LED of the display unit 15. This can be done for example via a touch input via a graphical user interface on the display of the display unit 15. As a simpler embodiment, for example, an actuation of a push button of the display unit 15 for interrupting the data transfer is conceivable.
Alternativ kann vorgesehen sein, dass eine maximale Datenmenge pro Zeiteinheit und/oder eine Anzahl von Dateien pro Zeiteinheit als Grenzwert der Datenübertragungsrate vorgegeben wird und die Zugriffssteuerungseinheit 1 die Datenübertragung bei Überschreiten der vorgegebenen Parameter automatisch abbricht. Allenfalls kann dieser Grenzwert auch in Abhängigkeit von einer Uhrzeit vorgegeben werden. Alternatively it can be provided that a maximum amount of data per unit of time and / or a number of files per unit time is specified as the limit of the data transmission rate and the access control unit 1 automatically terminates the data transmission when the predetermined parameters are exceeded. At most, this limit can also be specified depending on a time.
Dieser Grenzwert kann alternativ oder zusätzlich auch stufenweise vorgegeben werden, sodass bei Überschreitung eines ersten vorgegebenen Grenzwerts der Datenübertragungsrate zuerst ein Alarmhinweis von der Zugriffssteuerungseinheit 1 angezeigt wird und bei Überschreitung eines über dem ersten Grenzwert liegenden zweiten Grenzwerts die Zugriffssteuerungseinheit 1 die Datenübertragung automatisch abbricht. This limit value can alternatively or additionally also be specified in steps, so that when an initial predetermined limit value of the data transmission rate is exceeded an alarm indication is first displayed by the access control unit 1 and if the second limit value is exceeded above the first limit value, the access control unit 1 automatically terminates the data transmission.
Weiters gilt für alle Ausführungsformen, dass die Schlüsseleingabeeinheit 13 zur Eingabe oder Erfassung eines Schlüssels S einer der folgenden Arten ausgebildet ist: Furthermore, for all embodiments, the key input unit 13 is configured to input or detect a key S of one of the following types:
- Einlesen des den Schlüssel S enthaltenden zweidimensionalen Codes, beispielsweise eines Barcodes oder QR-Codes, mittels einer optischen Leseeinheit,  Reading in the two-dimensional code containing the key S, for example a barcode or QR code, by means of an optical reading unit,
- Einlesen eines Schlüssels S von einem Datenträger, z. B. von einem USB-Stick, - Importing a key S from a disk, for. From a USB stick,
- Einlesen des Schlüssels S von einem NFC-fähigen Hardware-Item mittels NFC, Reading the key S from an NFC-enabled hardware item by means of NFC,
- Manuelle Eingabe des Schlüssels S durch einen Benutzer.  - Manual entry of the key S by a user.
Es kann vorteilhafterweise auch vorgesehen sein, dass die Schlüsseleingabeeinheit 13 der Zugriffssteuerungseinheit 1 auch die Eingabe oder Erfassung verschiedener Arten von Schlüsseln S ermöglicht.  It may also be advantageously provided that the key input unit 13 of the access control unit 1 also enables the input or detection of different types of keys S.
Alternativ kann bei allen voranstehend beschriebenen Varianten, wie in Fig. 4 dargestellt, auch vorgesehen sein, dass die erste physikalische Schnittstelle 1 1 der Zugriffssteuerungseinheit 1 auf mehrere auf einem Datenspeicher 2 abgespeicherte Container C zugreifen kann. Dabei kann für alle Container d , C2,... ein Schlüssel S verwendet werden, es kann aber vorteilhafterweise auch vorgesehen sein, dass die in verschiedenen Containern d , C2,... gespeicherten verschlüsselten Daten DV1 5 DV2,... mit verschiedenen Schlüsseln S1 5 S2,... verschlüsselt sind. Die Schlüsseleingabeeinheit 14 ermöglicht in diesem Fall die Eingabe mehrerer verschiedener Schlüssel S1 5 S2,..., wobei der Prozessor 14 die Schlüssel S1 5 S2,..., den gespeicherten verschlüsselten Daten DV1 5 DV2,... zuordnet. Der Rechner 3 kann nun auf jedes der einzelnen virtuellen Laufwerke über die zweite Schnittstelle 12 zugreifen. Dabei besteht die Möglichkeit weiterer Konfigurationen, beispielsweise von Schreib- und Leserechten und anderen Berechtigungen, die für jeden einzelnen Container C separat vorgenommen werden können. Alternativ kann auch vorgesehen sein, dass die erste physikalische Schnittstelle 1 1 der Zugriffssteuerungseinheit 1 auf einen auf mehrere Datenspeicher 2, 2a, ... verteilten Container C zugreifen kann, wobei die im Container C gespeicherten verschlüsselten Daten DV mehrfach auf den verschiedenen Datenspeichern 2, 2a, ... vorkommen können. Eine derartige Organisation des Containers C und der darauf gespeicherten verschlüsselten Daten DV gewährleistet vorteilhafterweise eine höhere Ausfallsicherheit und/oder einen größeren Datendurchsatz als bei Verwendung eines einzelnen physischen Datenspeichers 2. Alternatively, in all the variants described above, as shown in FIG. 4, provision can also be made for the first physical interface 11 of the access control unit 1 to be able to access a plurality of containers C stored on a data memory 2. In this case, a key S can be used for all containers d, C 2 ,... But it can also advantageously be provided that the encrypted data DV 1 5 DV 2 ,... Stored in different containers d, C 2 ,. .. with different keys S 1 5 S 2 , ... are encrypted. The key input unit 14 in this case allows the input of several different keys S 1 5 S 2 , ..., wherein the processor 14, the keys S 1 5 S 2 , ..., the stored encrypted data DV 1 5 DV 2 , .. assigns. The computer 3 can now access each of the individual virtual drives via the second interface 12. There is the possibility of further configurations, such as read and write permissions and other permissions that can be made separately for each individual container C. Alternatively, it can also be provided that the first physical interface 1 1 of the access control unit 1 can access a container C distributed to a plurality of data memories 2, 2 a,..., The encrypted data DV stored in the container C being stored multiple times on the various data memories 2, 2. 2a, ... can occur. Such an organization of the container C and the encrypted data DV stored thereon advantageously ensures a higher reliability and / or a higher data throughput than when a single physical data memory 2 is used.
Bei Vorliegen einer Leseanfrage werden einzelne denselben Container C betreffende Datenspeicher 2, 2a ausgelesen, die sich auf die in der Leseanfrage genannten Daten beziehen. Dies wird entsprechend der für die verteilte Speicherung vorgegebenen logischen Zuordnung vorgenommen. Die so erhaltenen Speicherwerte werden aufgrund des Schlüssels zu entschlüsselt und an die zweite Schnittstelle weitergeleitet. If there is a read request, individual data stores 2, 2a relating to the same container C are read out, which relate to the data mentioned in the read request. This is done according to the logical allocation specified for the distributed storage. The memory values thus obtained are decrypted on the basis of the key and forwarded to the second interface.
Bei Vorliegen einer Schreibanfrage werden die zu schreibenden Daten mit dem Schlüssel verschlüsselt. Die derart ermittelten Verschlüsselungsergebnisse werden auf einzelne denselben Container (C) betreffende Datenspeicher (2, 2a) geschrieben. If there is a write request, the data to be written is encrypted with the key. The encryption results determined in this way are written to individual data stores (2, 2a) relating to the same container (C).
Bei allen Ausführungsformen kann alternativ auch vorgesehen sein, dass die Zugriffssteuerungseinheit 1 zumindest eine weitere physikalische Schnittstelle 1 1 a zum Anschluss an einen weiteren Datenspeicher 2a vorgesehen ist, die den Zugriff auf zumindest einen weiteren Container C auf dem Datenspeicher 2a ermöglicht (Fig. 4). In all embodiments, it can alternatively also be provided that the access control unit 1 is provided with at least one further physical interface 11a for connection to a further data memory 2a, which enables access to at least one further container C on the data memory 2a (FIG. 4). ,

Claims

Patentansprüche claims
1 . Zugriffssteuerungseinheit (1 ) zur Steuerung des Zugriffs auf in einem Datenspeicher (2) gespeicherte verschlüsselte Daten (DV), umfassend eine erste physikalische Schnittstelle (1 1 ) zum Anschluss an zumindest einen Datenspeicher (2), eine zweite physikalische Schnittstelle (1 2) zum Anschluss an einen Rechner (3), eine Schlüsseleingabeeinheit (13) und einen Prozessor (14) 1 . Access control unit (1) for controlling access to encrypted data (DV) stored in a data memory (2), comprising a first physical interface (1 1) for connection to at least one data memory (2), a second physical interface (1 2) to Connection to a computer (3), a key input unit (13) and a processor (14)
- wobei die erste physikalische Schnittstelle (1 1 ) zum Zugriff auf zumindest einen auf zumindest einem Datenspeicher (2) abgespeicherten Container (C) ausgebildet ist, - wherein the first physical interface (1 1) is designed to access at least one container (C) stored on at least one data memory (2),
- wobei die Zugriffssteuerungseinheit (1 ) dazu ausgebildet ist, über die zweite physikalische Schnittstelle (1 2) nach einem vorgegebenen Protokoll Zugriff auf ein virtuelles Laufwerk zu gewähren, - wherein the access control unit (1) is adapted to grant access to a virtual drive via the second physical interface (1 2) according to a predetermined protocol,
- wobei die Schlüsseleingabeeinheit (1 3) zur Eingabe eines Schlüssels (S) durch einen Benutzer ausgebildet ist,  - wherein the key input unit (1 3) is adapted to input a key (S) by a user,
- wobei der Prozessor (14) dazu ausgebildet ist, bei Vorliegen einer Leseanfrage (L) an der zweiten physikalischen Schnittstelle (1 2) eine diesbezügliche Zugriffsanfrage an der ersten physikalischen Schnittstelle (1 1 ) bereitzustellen und über die zweite physikalische Schnittstelle (12) auf die in zumindest einem Container (C) auf dem zumindest einen Datenspeicher (2) gespeicherten Daten (DV) zuzugreifen und den Inhalt des Containers (C) mit dem Schlüssel (S) zu entschlüsseln und an der zweiten physikalischen Schnittstelle (12) bereitzustellen.  - wherein the processor (14) is adapted to provide in the presence of a read request (L) on the second physical interface (1 2) a related access request to the first physical interface (1 1) and the second physical interface (12) to access the data (DV) stored in at least one container (C) on the at least one data memory (2) and to decrypt the content of the container (C) with the key (S) and to provide it to the second physical interface (12).
2. Zugriffssteuerungseinheit (1 ) nach Anspruch 1 dadurch gekennzeichnet, dass der Prozessor (14) dazu ausgebildet ist, bei Vorliegen eines Schreibanfrage (W) die zu schreibenden Daten (D D2,...) zu verschlüsseln und im Container (C) auf dem Datenspeicher (2) abzuspeichern. 2. Access control unit (1) according to claim 1, characterized in that the processor (14) is adapted to encrypt in the presence of a write request (W) the data to be written (DD 2 , ...) and in the container (C) to save the data memory (2).
3. Zugriffssteuerungseinheit (1 ) nach Anspruch 1 oder 2 dadurch gekennzeichnet, dass der Prozessor (14) zur Überwachung des Datenverkehrs über die zweite Schnittstelle und zur Erstellung eines Alarmhinweises ausgebildet ist, wenn die Datenübertragungsrate oder die Rate der pro Zeiteinheit übertragenen Dateien einen vorgegebenen ersten Grenzwert überschreitet, und Access control unit (1) according to claim 1 or 2, characterized in that the processor (14) is designed for monitoring the data traffic via the second interface and for generating an alarm indication when the data transmission rate or the rate of the files transmitted per unit of time a predetermined first Exceeds limit, and
- dass die Zugriffssteuerungseinheit eine Anzeigeeinheit (15) zur Anzeige eines solchen Alarmhinweises umfasst und der Prozessor (14) dazu ausgebildet ist, in diesem Fall dem Benutzer die Möglichkeit zum manuellen Unterbrechung der Datenübertragung zu ermöglichen, und/oder - dass der Prozessor (14) dazu ausgebildet ist, bei Überschreiten eines den ersten Grenzwert übersteigenden vorgegebenen zweiten Grenzwerts die Datenübertragung zu unterbrechen. - That the access control unit comprises a display unit (15) for displaying such an alarm indication and the processor (14) is adapted to allow the user in this case the possibility of manually interrupting the data transmission, and / or - That the processor (14) is adapted to interrupt the data transmission when a predetermined second limit value exceeding the first limit value is exceeded.
4. Zugriffssteuerungseinheit (1 ) nach einem der vorangehenden Ansprüche dadurch gekennzeichnet, dass die erste physikalische Schnittstelle (1 1 ) zum Zugriff auf mehrere auf einem Datenspeicher (2) abgespeicherten Container (d , C2,...) ausgebildet ist, wobei die in den jeweiligen Containern (d , C2,...) gespeicherten Daten (DV1 5 DV2,...) vorzugsweise mit verschiedenen Schlüsseln (S S2,...) verschlüsselt sind und die Schlüsseleingabeeinheit (13) die Eingabe mehrerer Schlüssel (S S2,...) ermöglicht und wobei der Prozessor (14) die Zuordnung der Schlüssel (S S2,...) zu den zugehörigen verschlüsselten Daten (DV1 5 DV2,...) ermöglicht. 4. access control unit (1) according to one of the preceding claims, characterized in that the first physical interface (1 1) for accessing a plurality of stored on a data memory (2) container (d, C 2 , ...) is formed, wherein the in the respective containers (d, C 2 , ...) stored data (DV 1 5 DV 2 , ...) preferably with different keys (SS 2 , ...) are encrypted and the key input unit (13) the input of several Key (SS 2 , ...) allows and wherein the processor (14) allows the assignment of the keys (SS 2 , ...) to the associated encrypted data (DV 1 5 DV 2 , ...).
5. Zugriffssteuerungseinheit (1 ) nach einem der vorangehenden Ansprüche dadurch gekennzeichnet, dass zumindest eine weitere physikalische Schnittstelle (1 1 a) zum Anschluss an zumindest einen weiteren Datenspeicher (2a) sowie zum Zugriff auf zumindest einen weiteren Container (C) auf dem Datenspeicher (2a) vorgesehen ist. 5. access control unit (1) according to one of the preceding claims, characterized in that at least one further physical interface (1 1 a) for connection to at least one further data memory (2a) and to access at least one further container (C) on the data memory ( 2a) is provided.
6. Zugriffssteuerungseinheit (1 ) nach einem der vorangehenden Ansprüche dadurch gekennzeichnet, dass die erste physikalische Schnittstelle (1 1 ) zum Zugriff auf einen auf mehrere Datenspeicher (2, 2a,...) verteilt gespeicherten Container (C) ausgebildet ist, wobei der Prozessor (14) dazu ausgebildet ist, entsprechend der für die verteilte Speicherung vorgegebenen logische Zuordnung 6. access control unit (1) according to one of the preceding claims, characterized in that the first physical interface (1 1) for access to a plurality of data memory (2, 2a, ...) distributed container (C) is formed, wherein the Processor (14) is designed according to the predetermined for the distributed storage logical assignment
bei Vorliegen einer Leseanfrage einzelne denselben Container (C) betreffende Datenspeicher (2, 2a) auszulesen und die so erhaltenen Speicherwerte aufgrund des Schlüssels zu entschlüsseln und an die zweite Schnittstelle weiterzuleiten, und in the presence of a read request, read out data stores (2, 2a) concerning the same container (C) and decrypt the memory values thus obtained on the basis of the key and forward them to the second interface, and
insbesondere bei Vorliegen einer Schreibanfrage die zu schreibenden Daten mit dem Schlüssel zu verschlüsseln und die derart ermittelten Verschlüsselungsergebnisse auf einzelne denselben Container (C) betreffende Datenspeicher (2, 2a) zu schreiben. in particular in the presence of a write request to encrypt the data to be written with the key and to write the encryption results determined in this way to individual data storage (2, 2a) relating to the same container (C).
7. Zugriffssteuerungseinheit (1 ) nach einem der vorangehenden Ansprüche dadurch gekennzeichnet, dass die Schlüsseleingabeeinheit (13) zur Eingabe oder Erfassung eines Schlüssels S zumindest einer der folgenden Arten ausgebildet ist: 7. Access control unit (1) according to one of the preceding claims, characterized in that the key input unit (13) is designed to input or detect a key S of at least one of the following types:
- Einlesen des den Schlüssel (S) enthaltenden zweidimensionalen Codes, insbesondere Barcodes oder QR-Codes, mittels einer optischen Leseeinheit,  Reading the key (S) containing two-dimensional codes, in particular barcodes or QR codes, by means of an optical reading unit,
- Einlesen eines Schlüssels (S) von einem Datenträger, z. B. von einem USB-Stick, - Einlesen des Schlüssels (S) von einem NFC-fähigen Hardware-Item mittels NFC,- Importing a key (S) from a disk, eg. From a USB stick, Reading the key (S) from an NFC-capable hardware item by means of NFC,
- Manuelle Eingabe des Schlüssels (S) durch einen Benutzer. - Manual entry of the key (S) by a user.
8. Speichereinheit (5) umfassend eine Zugriffssteuerungseinheit (1 ) nach einem der vorangehenden Ansprüche sowie zumindest einen Datenspeicher (2), wobei der Datenspeicher (2) über die erste physikalische Schnittstelle (1 1 ) an die Zugriffssteuerungseinheit (1 ) angeschlossen ist. 8. memory unit (5) comprising an access control unit (1) according to one of the preceding claims and at least one data memory (2), wherein the data memory (2) via the first physical interface (1 1) to the access control unit (1) is connected.
9. System (6) umfassend eine Speichereinheit (5) nach Anspruch 8 sowie einen Rechner (3), wobei der Rechner (3) über die zweite physikalische Schnittstelle (12) an die Zugriffssteuerungseinheit (1 ) angeschlossen ist. 9. System (6) comprising a memory unit (5) according to claim 8 and a computer (3), wherein the computer (3) via the second physical interface (12) to the access control unit (1) is connected.
10. Verfahren für ein System (6) nach Anspruch 9 zum Zugriff eines Rechners (3) auf in einem Datenspeicher (2) gespeicherte verschlüsselte Daten (DV) mittels einer Zugriffssteuerungseinheit (1 ), 10. Method for a system (6) according to claim 9 for accessing a computer (3) to encrypted data (DV) stored in a data memory (2) by means of an access control unit (1),
- wobei die Zugriffssteuerungseinheit (1 ) einen durch einen Benutzer eingegebenen Schlüssel (S) ermittelt,  the access control unit (1) determines a key (S) entered by a user,
- wobei der Rechner (3) eine Leseanfrage (L) über die zweite physikalische Schnittstelle (12) an die Zugriffssteuerungseinheit (1 ) übermittelt,  - wherein the computer (3) transmits a read request (L) via the second physical interface (12) to the access control unit (1),
- wobei die Zugriffssteuerungseinheit (1 ) nach einem vorgegebenen Protokoll die Leseanfrage (Z) an den Datenspeicher (2) weiterleitet,  wherein the access control unit (1) forwards the read request (Z) to the data memory (2) according to a predetermined protocol,
- wobei der Datenspeicher (2) die der Leseanfrage (Z) entsprechenden verschlüsselten Daten (DV) an die Zugriffssteuerungseinheit (1 ) übermittelt,  wherein the data memory (2) transmits the encrypted data (DV) corresponding to the read request (Z) to the access control unit (1),
- wobei die Zugriffssteuerungseinheit (1 ) die vom Datenspeicher (2) übermittelten verschlüsselten Daten (DV) mit dem Schlüssel (S) entschlüsselt,  - wherein the access control unit (1) decrypts the encrypted data (DV) transmitted by the data memory (2) with the key (S),
- wobei die Zugriffssteuerungseinheit (1 ) die entschlüsselten Daten (D) über die zweite physikalische Schnittstelle (12) an den Rechner (3) übermittelt.  - wherein the access control unit (1) transmits the decrypted data (D) via the second physical interface (12) to the computer (3).
1 1 . Verfahren nach Anspruch 10, wobei der Rechner (3) eine Schreibanfrage (W) und auf den Datenspeicher (2) zu speichernde Daten (D) über die zweite physikalische Schnittstelle (12) an die Zugriffssteuerungseinheit (1 ) übermittelt, 1 1. Method according to claim 10, wherein the computer (3) transmits a write request (W) and data (D) to be stored on the data memory (2) to the access control unit (1) via the second physical interface (12),
- wobei die Zugriffssteuerungseinheit (1 ) die vom Rechner (3) übermittelten Daten (D) mit dem Schlüssel (S) verschlüsselt,  - wherein the access control unit (1) encodes the data (D) transmitted by the computer (3) with the key (S),
- wobei die Zugriffssteuerungseinheit (1 ) nach einem vorgegebenen Protokoll die verschlüsselten Daten (DV) und die Schreibanfrage (Ζ') über die erste physikalische Schnittstelle (1 1 ) an den Datenspeicher (2) übermittelt. - wobei die verschlüsselten Daten (DV) in einem Container (C) auf dem Datenspeicher (2) gespeichert werden. - The access control unit (1) according to a predetermined protocol the encrypted data (DV) and the write request (Ζ ') via the first physical interface (1 1) to the data memory (2). - Wherein the encrypted data (DV) are stored in a container (C) on the data memory (2).
12. Verfahren nach Anspruch 10 oder 1 1 dadurch gekennzeichnet, dass die Zugriffssteuerungseinheit (1 ) der Datenverkehr über die zweite Schnittstelle überwacht,12. The method of claim 10 or 1 1, characterized in that the access control unit (1) monitors the data traffic via the second interface,
- wobei bei Überschreiten eines vorgegebenen ersten Grenzwerts der Datenübertragungsrate ein Alarmhinweis von der Zugriffssteuerungseinheit (1 ) erzeugt und angezeigt wird dem Benutzer die Möglichkeit zur Unterbrechung des Datenverkehrs über die erste Schnittstelle geboten wird und/oder wherein, when a predetermined first limit of the data transmission rate is exceeded, an alarm indication is generated and displayed by the access control unit (1), the user is offered the option of interrupting the data traffic via the first interface and / or
- wobei die Datenübertragung über die zweite Schnittstelle bei Überschreiten eines vorgegebenen den ersten Grenzwert überschreitenden zweiten Grenzwerts die , insbesondere ohne erforderliche Benutzerinteraktion, unterbrochen wird.  - Wherein the data transmission over the second interface at a predetermined threshold exceeding the first threshold second threshold, the, in particular without required user interaction, is interrupted.
13. Verfahren nach einem der Ansprüche 10 bis 12 dadurch gekennzeichnet, dass der erste und/oder zweite Grenzwert der Datenübertragungsrate vorgegeben wird als eine maximale Datenmenge pro Zeiteinheit und/oder eine Anzahl von Dateien pro Zeiteinheit, wobei insbesondere 13. The method according to any one of claims 10 to 12, characterized in that the first and / or second limit of the data transmission rate is specified as a maximum amount of data per unit time and / or a number of files per unit time, in particular
- der erste und/oder zweite Grenzwert abhängig von einer Uhrzeit vorgegeben wird.  - The first and / or second limit value is specified depending on a time.
14. Verfahren nach einem der Ansprüche 10 bis 13 dadurch gekennzeichnet, dass die Zugriffssteuerungseinheit (1 ) auf einen auf mehrere Datenspeicher (2, 2a,...) verteilten Container (C) zugreift. 14. The method according to any one of claims 10 to 13, characterized in that the access control unit (1) accesses a plurality of data memory (2, 2a, ...) distributed container (C).
15. Verfahren nach einem der Ansprüche 10 bis 14 dadurch gekennzeichnet, dass der Schlüssel entsprechend vorgegebener Kriterien permanent gehalten wird, insbesondere für eine Anzahl von Zugriffen und/oder eine Zeitspanne. 15. The method according to any one of claims 10 to 14, characterized in that the key is kept permanently according to predetermined criteria, in particular for a number of accesses and / or a period of time.
PCT/AT2018/060089 2017-05-10 2018-05-09 Access control unit for controlling the access to encrypted data stored in a data memory unit WO2018204961A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
ATA50384/2017 2017-05-10
ATA50384/2017A AT520029B1 (en) 2017-05-10 2017-05-10 An access control unit for controlling access to encrypted data stored in a data memory

Publications (1)

Publication Number Publication Date
WO2018204961A1 true WO2018204961A1 (en) 2018-11-15

Family

ID=62245101

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/AT2018/060089 WO2018204961A1 (en) 2017-05-10 2018-05-09 Access control unit for controlling the access to encrypted data stored in a data memory unit

Country Status (2)

Country Link
AT (1) AT520029B1 (en)
WO (1) WO2018204961A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070180239A1 (en) * 2005-07-21 2007-08-02 Akira Fujibayashi Storage system for data encryption
US20090055556A1 (en) * 2007-08-20 2009-02-26 Ntt Docomo, Inc. External storage medium adapter
US20100205454A1 (en) * 2009-02-09 2010-08-12 Victor Chuan-Chen Wu Cipher data box
EP3107333A1 (en) * 2014-03-14 2016-12-21 Huawei Technologies Co., Ltd Data transmission method, user equipment and base station

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8577043B2 (en) * 2009-01-09 2013-11-05 International Business Machines Corporation System and service to facilitate encryption in data storage devices
US8819383B1 (en) * 2012-02-17 2014-08-26 Netapp, Inc. Non-disruptive realignment of virtual data
US8930619B2 (en) * 2012-05-29 2015-01-06 Dot Hill Systems Corporation Method and apparatus for efficiently destaging sequential I/O streams
CN104461946A (en) * 2013-09-17 2015-03-25 天津市方远达科技发展有限公司 Data storage device with USB encryption interface
CN105825136B (en) * 2016-03-24 2020-04-03 珠海泰坦软件系统有限公司 Method and device for realizing safe transmission of electronic file by combining software and hardware

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070180239A1 (en) * 2005-07-21 2007-08-02 Akira Fujibayashi Storage system for data encryption
US20090055556A1 (en) * 2007-08-20 2009-02-26 Ntt Docomo, Inc. External storage medium adapter
US20100205454A1 (en) * 2009-02-09 2010-08-12 Victor Chuan-Chen Wu Cipher data box
EP3107333A1 (en) * 2014-03-14 2016-12-21 Huawei Technologies Co., Ltd Data transmission method, user equipment and base station

Also Published As

Publication number Publication date
AT520029A1 (en) 2018-12-15
AT520029B1 (en) 2019-04-15

Similar Documents

Publication Publication Date Title
DE19781707B4 (en) Device and method for re-encrypting data
DE102014113300A1 (en) Data storage in persistent storage
CN1592877A (en) Method and device for encryption/decryption of data on mass storage device
DE10297238T5 (en) Method and device for protecting content at an interface
CN103020537A (en) Data encrypting method, data encrypting device, data deciphering method and data deciphering device
DE102005009621A1 (en) Circuit, apparatus and method for receiving, conditional access and copy protection of digital video transmission signals
EP2425368B1 (en) Storage medium with encryption unit
DE69910786T2 (en) Methods of distributing keys to a number of secured devices, methods of communication between a number of secured devices, security system, and set of secured devices
EP2510475B1 (en) Hardware device
DE60029020T2 (en) ENCRYPTION AND DECOMPOSITION METHOD OF ELECTRONIC INFORMATION USING INCIDENTIAL PERMUTATIONS
DE60101758T2 (en) decryption device
WO2005081089A1 (en) Method for protecting confidential data
AT520029B1 (en) An access control unit for controlling access to encrypted data stored in a data memory
DE102015000895B3 (en) Distributed editing of centrally encrypted data
EP3345366B1 (en) Method for securely and efficiently accessing connection data
EP3314844B1 (en) Data processing device and method for operating same
DE102015103251A1 (en) Method and system for managing user data of a user terminal
EP2915091A1 (en) Method for the protected deposit of event protocol data of a computer system, computer programme product and computer system
WO2015135579A1 (en) Key device, encryption and decryption method
EP1676191A1 (en) Device and method for securing and monitoring protected data
DE102021108961A1 (en) ENCRYPTION KEYS OF STORAGE SYSTEMS
EP3422234B1 (en) Container image, computer program product and method
CN110447034B (en) Method for securely accessing data
DE102017204427B3 (en) Method for managing data and data management system
WO2017133939A1 (en) Encrypting the memory content of a memory in an embedded system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18727131

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18727131

Country of ref document: EP

Kind code of ref document: A1