WO2022131489A1 - Flash storage system having in-built security function - Google Patents

Flash storage system having in-built security function Download PDF

Info

Publication number
WO2022131489A1
WO2022131489A1 PCT/KR2021/012421 KR2021012421W WO2022131489A1 WO 2022131489 A1 WO2022131489 A1 WO 2022131489A1 KR 2021012421 W KR2021012421 W KR 2021012421W WO 2022131489 A1 WO2022131489 A1 WO 2022131489A1
Authority
WO
WIPO (PCT)
Prior art keywords
security
mode
password
storage system
firmware
Prior art date
Application number
PCT/KR2021/012421
Other languages
French (fr)
Korean (ko)
Inventor
조완호
Original Assignee
조완호
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 조완호 filed Critical 조완호
Publication of WO2022131489A1 publication Critical patent/WO2022131489A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]

Definitions

  • the present invention relates to a flash storage system having a built-in security function and a method for setting the security thereof, and more particularly, to a memory card, a USB memory, and a solid-state drive (SSD) using a NAND flash memory device as a storage medium. It relates to data security technology applied to flash storage systems such as state drive).
  • a flash storage system is a device configured to store data in a NAND flash memory, and may be composed of a NAND flash memory, a controller, and a DRAM, and software for controlling these elements Firmware is built-in.
  • the flash storage system includes an internal type and an external type, and the internal flash storage system is installed inside a device such as a server or a personal computer (PC) and is continuously used.
  • An external flash storage system is connected to the outside of a PC or mobile device, is used temporarily, is easily detached, and is easy to carry and move by a user.
  • Commonly used USB memories, portable SSDs, and memory cards are examples of such external flash storage systems.
  • An external flash storage system is convenient because it is easy to carry, but it is vulnerable to protection of stored data because it has a high risk of loss or theft.
  • SD Secure Digital
  • a biometric sensor such as a fingerprint or iris
  • An object of the present invention is to provide a flash storage system in which data security functions such as read lock and write lock are implemented with only basic components without additional hardware.
  • the present invention is directed to providing a flash storage system with a built-in security function without leaving traces of a security program or the like in the user area of a storage medium included in the flash storage system and without reducing data read/write speed. There is a purpose.
  • a flash storage system with a security function in accordance with the present invention is a flash storage system comprising a NAND flash memory as a storage medium and a controller for processing an operation related to the utilization of the NAND flash memory
  • the NAND flash memory may include: a user area in which a file system is written by a host operating system and utilized as a user's storage space; and a firmware and metadata area in which firmware configured to interpret and execute a command of the host operating system regarding utilization of the user area using the controller, and metadata utilized and managed by the firmware are stored; Including, wherein the firmware interprets at least a part of input when the user inputs a format command through the host operating system as a security mode setting code or password according to a predetermined value, and reads the user area according to the interpretation or to enable and disable a security mode including a write lock mode.
  • the firmware may be configured to recognize the character string input in the volume label input field as the security mode setting code or password when the format command is input.
  • the firmware may be configured to store the security mode setting value or password in the metadata area according to the analysis result.
  • the firmware includes a security control unit that interprets the security mode setting code and performs a security operation according thereto, wherein the security control unit interprets at least a portion of the inputted information as a predetermined security mode setting code and the rest as a password If done, it may be configured to store the set value of the corresponding security mode and the password in the secure storage unit in the metadata area.
  • the security storage unit may include a security mode data structure including at least one mode setting value sector in which a setting value according to a security mode is stored and a password sector in which a password is stored.
  • the security storage unit may include a lookup table including preset code information for each security mode to be referred to when the security control unit interprets the inputted information.
  • the security mode may include: a read or write lock mode in which a data read or write function for the user area is limitedly performed through confirmation of the password; and an allowable mode that can be set by overlapping the read or write lock mode;
  • a read or write lock mode in which a data read or write function for the user area is limitedly performed through confirmation of the password
  • an allowable mode that can be set by overlapping the read or write lock mode
  • the firmware includes a security control unit that interprets the security mode setting code and performs a security operation according thereto, and the security control unit includes at least a part of the inputted information as a predetermined security mode setting code, and the remaining part is When interpreted as a password, the set value of the corresponding security mode and the password are stored in a secure storage unit in the metadata area, and the secure storage unit is a first mode set value sector in which a set value according to the read or write lock mode is stored. , a security mode data structure having a second mode setting value sector in which a setting value according to the permission mode is stored, and a password sector in which a password is stored.
  • a flash storage system with a built-in security function is a flash storage system comprising a NAND flash memory as a storage medium and a controller for processing an operation related to utilization of the NAND flash memory, wherein the NAND flash
  • the memory includes: a user area in which a file system is written by a host operating system and utilized as a user's storage space; and a firmware and metadata area in which firmware configured to interpret and execute a command of the host operating system regarding utilization of the user area using the controller and metadata utilized and managed by the firmware are stored; wherein the firmware and metadata area interprets a user input included in a command of the host operating system as a part of the firmware as a security mode setting code or password according to a predetermined value, and according to the interpretation, the user area a security control unit configured to set and release a security mode for and a security storage unit that is stored and utilized by the security control unit as a part of the metadata, and includes a setting value according to the security mode and the password; is comprised of
  • the security mode may include: a read or write lock mode in which a function of reading or writing data for the user area is limitedly performed through confirmation of the password; and an allowable mode that can be set by overlapping the read or write lock mode; When power is re-applied in the state in which the allow mode is set, the function locked due to the read or write lock mode setting is allowed without password confirmation, and the read or write lock mode is returned when the power is re-applied next time.
  • a read or write lock mode in which a function of reading or writing data for the user area is limitedly performed through confirmation of the password
  • an allowable mode that can be set by overlapping the read or write lock mode
  • a flash storage system in which data security functions such as read lock and write lock are implemented with only basic components without additional hardware.
  • a security function since a security function is built into the flash storage system, no trace of a security program or the like is left in the user area of the storage medium.
  • the security program does not lower the data read/write speed, and a flash storage system configured to perform data security functions not only on Windows-based PCs but also on various devices with various operating systems (OS) such as Linux is provided.
  • OS operating systems
  • FIG. 1 is a block diagram schematically showing the configuration of a flash storage system according to the present invention.
  • FIG. 2 illustrates a security mode setting process of a flash storage system according to an embodiment of the present invention.
  • FIG. 3 shows an example of security mode setting input using a format command input window for a flash storage system according to an embodiment of the present invention.
  • FIG. 4 is a table illustrating a type of security mode of a flash storage system and a setting input system thereof according to an embodiment of the present invention.
  • FIG 5 shows an example of use of a read lock mode in a flash storage system according to an embodiment of the present invention.
  • FIG. 6 shows an example of use of a write lock mode in a flash storage system according to an embodiment of the present invention.
  • FIG 7 shows an example of use of the permission mode in the flash storage system according to an embodiment of the present invention.
  • FIG. 1 is a block diagram schematically showing the configuration of a flash storage system according to the present invention.
  • the flash storage system 100 When the flash storage system 100 is connected to the host 200 through the connector 101 , power is supplied through the power line 104 to turn on/off the power.
  • a controller 102 for processing a host 200 command a NAND flash memory 105 may be provided, and a DRAM (DRAM) 103 may be additionally provided.
  • the NAND flash memory 105 used as a storage medium in the flash storage system 100 has a firmware and metadata area 300 and a user area ( 400), and an additional area 401 for replacement or buffer when a bad block occurs in the NAND flash memory 105 such as the user area 400 is provided.
  • the host 200 may be a PC or a server on which an operating system such as Windows, DOS, or Linux is mounted.
  • These operating systems generally use the Format command to write a file system such as FAT, NTFS, or EXT to the product to use the storage system, and write data or files to the product.
  • the storage system is utilized by writing or reading As such, an area in which the operating system writes a file system and writes or reads data using firmware and metadata among the NAND flash memory area 105 is referred to as a user area 400 .
  • the firmware provided in the firmware and metadata area 300 is software that drives the flash storage system 100 according to a command of the host 200 , and executes the command of the host 200 like firmware of a general flash storage system.
  • HIL 301: Host interface Layer
  • FTL Flash Transition Layer
  • NAND flash memory 105 of the host 200 to operate It is configured by including a Flash Interface Layer (FIL) that converts commands into NAND flash commands.
  • FIL Flash Interface Layer
  • metadata generated by the firmware to use the NAND flash memory 105 may exist in the firmware and metadata area 300 .
  • the flash storage system 100 may initialize upon power-on by such firmware and metadata, and process commands of the operating system such as format, read, write, and delete after initialization.
  • the security control unit 304 is responsible for setting and releasing the security mode according to the commands of the host 200 operating system. is prepared.
  • a secure storage unit 305 that is created, managed, and utilized by the security control unit 304 is provided as part of the metadata.
  • the security control unit 304 interprets the command of the host 200 operating system with respect to the security mode setting for the user area 400 , and stores the security mode setting value and password in the security storage unit 305 accordingly. and may be configured to control a security operation according to a security mode.
  • the security mode may include a write lock mode, a read lock mode, a write and read lock mode, a lock release mode, an allow mode, and the like.
  • the security operation according to the security mode is the same as the name of each mode, and the allow mode is additionally set in a state in which write and/or read lock is set, and when the power of the flash storage system 100 is newly turned off/on , can be configured to allow one-time writes and/or reads until the power is turned off again.
  • the command that the security control unit 304 receives from the operating system of the host 200 may be any one of existing commands transferred from the operating system to the flash storage system, or may be a new command to be added in the future.
  • the command is transmitted from an operating system such as Windows or Linux to the flash storage system according to a user's input without a separate application program.
  • the security control unit 304 of the flash storage system 100 may be configured to recognize a Format command of the operating system as a command related to setting a security mode.
  • FIG. 2 illustrates a security mode setting process of a flash storage system according to an embodiment of the present invention.
  • 3 shows an example of security mode setting input using a format command input window for a flash storage system according to an embodiment of the present invention.
  • the aforementioned security control unit 304 checks whether the currently set security mode is a read or write lock mode (s20). To this end, the security control unit 304 refers to the security mode setting value stored in the security storage unit 305 and performs a predetermined security operation according to the security mode setting value. If the current setting value corresponds to the read or write lock mode, a security operation of blocking the read or write function (s21) is performed accordingly. If the current security mode is not a read or write lock state, it enters a normal state s30 in which read, write, erase, format, etc. can be performed according to an additional input from the user.
  • the user may proceed with the security mode setting input ( s31 ) to the flash storage system 100 using a command input means of the operating system, for example, the Format command input window 341 .
  • the format command input window 341 provides a volume label input box 343 for inputting a volume label to be given to a formatted drive, and the flash storage system 100 according to the present invention ) may be configured to receive a setting code and password for setting the security mode from the user through the volume label input field 343 provided by the operating system.
  • a quick format selection box 342 included in the format command input window 341 may also be utilized for security mode setting input.
  • the security control unit 304 of the flash storage system 100 may secure the security mode setting code if the first part of the character string input by the user into the volume label input field 343 corresponds to a predetermined security mode setting code.
  • the flash storage system 100 is set to read lock mode, write lock mode, read and write It may be configured to enter (s32) a security mode such as a lock mode, unlock mode, and the like.
  • a password may be input through the format command input window to allow reading or writing to the user area 400, and
  • the lock can also be unlocked by inputting a command for unlocking the lock, that is, the unlock mode setting code and password.
  • the character string may include not only narrow characters but also numbers and special characters.
  • the security control unit 304 may be configured to recognize the latter part of the security mode setting code in the character string as a password and store it in the security storage unit 305 .
  • the security storage unit 305 may include a security mode data structure including a security mode setting value sector for storing at least one security mode setting value and a password sector for storing a password.
  • a lookup table LUT stored in advance in the security storage unit 305, for example, a plurality of security It may be configured to refer to the mode setting code and security operation information corresponding to each setting code.
  • FIG. 4 is a table illustrating a type of security mode of a flash storage system and a setting input system thereof according to an embodiment of the present invention.
  • the flash storage system 100 when the user transmits a format command through the operating system of the host, the flash storage system 100 according to the present embodiment is checked in the quick format selection box 342 of the format command input window 341, If the character string input to the volume label input field 343 is '1#1234abcd', the flash storage system 100 recognizes '1#' as a setting command for write and read lock mode and sets the lock, and the rest ' 1234abcd' value can be saved as a password. In other words, the set value of the write and read lock mode and the password may be stored in the security mode data structure of the metadata area.
  • '##1234abcd' is recognized as a setting code for unlock mode, which is a command for unlocking the flash storage system, and the password written thereafter
  • the lock mode may be released by deleting the set value and password of the read or write lock mode of the security storage unit 305 described above.
  • the user uses a format command other than the quick format, that is, by unchecking the quick format check box 342, the file system and data of the user area 400 are the same as in the general format operation. You can also delete it and unlock it.
  • the embodiment described here specifically exemplifies the configuration of inputting a command and password related to security mode setting using the quick format selection field 342 and the volume label input field 343 among the options of the format command input window 341,
  • the configuration of the present invention is not limited thereto.
  • commands such as 0#, 1#, #2, ## can be replaced with other letters, numbers, or symbols, and can consist of only commands input as volume labels without distinction between quick format selection and deselection. It may also be configured to select or combine items such as quick format, format, volume label, file system type, and allocation size, which are components of the format command.
  • the portion (LUT) indicated by the dotted line in this figure is a lookup stored in advance in the security storage unit 305 for reference when the security control unit 304 interprets the command through the volume label input field 343 as described above. It will help you understand the structure of the table.
  • FIG 5 shows an example of use of a read lock mode in a flash storage system according to an embodiment of the present invention.
  • a first response (s11) is provided for device identification of the host 200 .
  • the security control unit 304 compares the security mode setting value stored in the security storage unit 305 with a preset reading lock mode setting value. If the current security mode setting value corresponds to the read lock mode, a second response indicating that the read function is in a restricted state is provided (s211). In this case, a message such as 'Abnormal Format Condition' provided to the operating system may be utilized. If the current security mode is not the read lock mode, it enters a normal state (s30) in which reading, writing, erasing, formatting, etc. can be performed according to an additional input from the user.
  • the security control unit 304 reads the password included in the character string input as the volume label when setting the read lock mode. It is compared with the password stored in the secure storage unit 305 to determine whether it matches (s214). For example, when the user inputs '0#1234abcd' in the volume label input box, the security control unit 304 recognizes '0#' as a command indicating that the string following it is a password, and sets '1234abcd' to the security It may be configured to compare with a password previously stored in the storage unit 305 . Even if a character string is input without a separate code, it may be configured to compare it with a stored password.
  • the count value for counting the number of inconsistencies is increased, and the format command input (s213) is repeated, and the number of inconsistencies is It is determined whether a predetermined number of times (eg, 5) is reached (s215).
  • the count value reaches a predetermined value, for example, the user area 400 may be formatted (s216). This is a measure to ultimately block unauthorized access to the stored data. Alternatively, it may be configured to block further password input and maintain only the read lock state. Meanwhile, the count value (variable) is stored in the secure storage unit 305 and may be included in the above-described secure mode data structure.
  • FIG. 6 shows an example of use of a write lock mode in a flash storage system according to an embodiment of the present invention.
  • a first response (s11) is provided for device identification of the host 200 .
  • the security control unit 304 compares the security mode setting value stored in the security storage unit 305 with a preset setting value of the write lock mode. If the current security mode setting value corresponds to the write lock mode, only a read command from the host operating system is performed (s212) in a state where the write function is restricted, and when there is a write command from the host, a third response indicating that the write lock status is provided can do. If the current security mode is not the write lock mode, the normal state (s30) is entered.
  • FIG 7 shows an example of use of the permission mode in the flash storage system according to an embodiment of the present invention.
  • the permissive mode is one of a plurality of configurable security modes.
  • the flash storage system returns to the same or different It is defined as a security mode in which reads and writes are allowed until the power is turned off, regardless of whether an existing write or read lock is set when power is re-applied after being connected to the host 200 .
  • This permission mode may be configured to be set to overlap with the aforementioned read or write lock mode. In this case, after the use of the flash storage system 100 in the allow mode is finished, that is, after the connection with the host 200 is released or the power is turned off, it may be configured to automatically return to the existing read or write lock mode.
  • a user who uses the flash storage system 100 in a read or write lock mode in a host in which a Windows or Linux operating system is installed typically uses the flash storage system 100 as a mobile device while maintaining the security mode setting state. It can be a useful choice for one-time use on other devices, such as If the permissive mode is used, the flash storage system 100 according to the present invention can be connected and used even to a host having an operating system that does not provide a format command input window including a volume label input box, thereby expanding the range of use.
  • a read or write lock mode and an allow mode may be set (s320).
  • the description of the setting method will be replaced with the description of the security mode setting method with reference to FIGS. 2 to 4 above.
  • the allow mode may be configured to allow the overlapping lock mode once, or it may be subdivided into a read permission mode and a read and write permission mode, and the like.
  • the flash storage system 100 After disconnecting from the host and connecting to the same or different host and re-applying power (s10), the flash storage system 100 provides a first response (s11) for device identification and determines whether to set the read or write lock mode ( s20). If it is not in the read or write lock mode, it will immediately enter a normal state (not shown), and when it is in the read or write lock mode, it is determined again whether to set the allow mode (s25).
  • the security control unit 304 may be configured to check the allowable mode setting value in the security mode data structure stored in advance in the security storage unit 305 .
  • the security mode data structure includes a second mode set value sector that stores the allowable mode set value separately from the first mode set value sector that stores the security mode set value corresponding to the write and/or read lock mode,
  • the write and/or read lock mode and the allow mode may be configured to overlap and be set.
  • the security control unit 304 resets the permissible mode set value of the secure storage unit 305 ( s251 ), and the flash storage system 100 is in an unlocked normal state (s30) is operated. Thereafter, when power is re-applied (s10), it may be configured to return to the write or read lock mode (s21) set separately from the allow mode.
  • DRAM DRAM
  • the present invention can be applied to a flash storage system such as a memory card, a USB memory, and a solid state drive (SSD) using a NAND flash memory device as a storage medium.
  • a flash storage system such as a memory card, a USB memory, and a solid state drive (SSD) using a NAND flash memory device as a storage medium.
  • SSD solid state drive

Abstract

Provided is a flash storage system in which a data security function, such as read lock or write lock, is implemented via only default built-in firmware without additional hardware or application programs. The flash storage system having an in-built security function according to the present invention comprises: a NAND flash memory that is a storage medium; and a controller that processes an operation related to utilization of the NAND flash memory, wherein the NAND flash memory includes: a user area in which a file system is written by a host operating system and which is utilized as a user's storage space; and a firmware and metadata area which stores firmware configured to interpret and execute a command of the host operating system regarding the utilization of the user area by using the controller, and metadata being utilized and managed by the firmware. The firmware is configured to: interpret, as predetermined via a security mode establishment code or password, at least some matters which have been input when the user inputs a format command via the host operating system; and establish and disestablish a security mode including a read or write lock mode for the user area, according to the interpretation.

Description

보안 기능이 내재된 플래시 스토리지 시스템Flash storage system with built-in security
본 발명은 보안 기능이 내재된 플래시 스토리지 시스템 및 그 보안 설정 방법에 관한 것으로, 좀 더 자세하게는, 낸드(NAND) 플래시 메모리(Flash Memory) 소자를 저장 매체로 하는 메모리 카드, USB 메모리, SSD(Solid State Drive) 등의 플래시 스토리지 시스템에 적용되는 데이터 보안 기술에 관한 것이다. The present invention relates to a flash storage system having a built-in security function and a method for setting the security thereof, and more particularly, to a memory card, a USB memory, and a solid-state drive (SSD) using a NAND flash memory device as a storage medium. It relates to data security technology applied to flash storage systems such as state drive).
일반적으로 플래시 스토리지 시스템은 낸드(NAND) 플래시 메모리에 데이터를 저장하도록 구성된 장치로서, 낸드 플래시 메모리, 컨트롤러(Controller), 및 디램(Dram)등으로 구성 될 수 있고, 이러한 구성 요소를 제어하기 위한 소프트웨어인 펌웨어(Firmware)가 내장된다. In general, a flash storage system is a device configured to store data in a NAND flash memory, and may be composed of a NAND flash memory, a controller, and a DRAM, and software for controlling these elements Firmware is built-in.
플래시 스토리지 시스템에는 내장형과 외장형이 있는데, 내장형 플래시 스토리지 시스템은 서버 또는 PC(Personal Computer) 등의 기기 내부에 장착되어 계속적으로 사용된다. 외장형 플래시 스토리지 시스템은 PC나 모바일 기기 등의 외부에 연결되어 일시적으로 사용되고 손쉽게 분리되며, 사용자가 소지하고 이동하기 쉽다. 흔히 사용되는 USB 메모리, 포터블(Portable) SSD와 메모리 카드 등이 이러한 외장형 플래시 스토리지 시스템에 해당된다. 외장형 플래시 스토리지 시스템은 휴대하기가 쉬워서 편리한 반면 분실이나 도난의 위험도 크기 때문에 저장된 데이터의 보호에 취약한 측면이 있다.The flash storage system includes an internal type and an external type, and the internal flash storage system is installed inside a device such as a server or a personal computer (PC) and is continuously used. An external flash storage system is connected to the outside of a PC or mobile device, is used temporarily, is easily detached, and is easy to carry and move by a user. Commonly used USB memories, portable SSDs, and memory cards are examples of such external flash storage systems. An external flash storage system is convenient because it is easy to carry, but it is vulnerable to protection of stored data because it has a high risk of loss or theft.
외장형 플래시 스토리지 시스템의 취약점인 데이터 보호 기능을 보완하기 위해 몇 가지 기술들이 적용되고 있다. 메모리 카드의 일종인 SD(Secure Digital) 카드에는 외부에 쓰기 방지용 스위치가 구비되어 사용자가 원치 않는 쓰기를 방지할 수 있으나, 저장된 데이터의 유출 방지와는 다소 거리가 있다. 근래 들어, 플래시 스토리지 시스템의 외부에 패스워드를 입력할 수 있는 번호 키패드가 설치되거나, 지문이나 홍채 등 생체인식 센서가 구비되어 데이터 유출을 방지하는 외장형 플래시 스토리지 시스템도 제시되고 있다. 또한, 플러그 앤 플레이(Plug and Play) 방식으로 작동하여 플래시 메모리에 저장된 데이터를 보호하는 보안 프로그램이 설치된 제품도 알려져 있다. Several technologies are being applied to complement the data protection function, which is a weakness of the external flash storage system. SD (Secure Digital) card, which is a type of memory card, has an external write-protect switch to prevent unwanted writes by the user, but it is somewhat far from preventing the leakage of stored data. Recently, an external flash storage system in which a number keypad for inputting a password is installed outside the flash storage system or a biometric sensor such as a fingerprint or iris is provided to prevent data leakage has been proposed. In addition, there is also known a product installed with a security program that protects data stored in a flash memory by operating in a Plug and Play manner.
이러한 기술의 적용이 플래시 스토리지 시스템의 보안성을 향상시키는 데에 도움이 되는 것은 사실이나, 키패드나 생체인식 센서 등의 하드웨어가 추가된 제품은 휴대성과 가격 경쟁력이 떨어질 수밖에 없다. 보안 프로그램이 설치된 제품은 특정 OS(Operation System)가 설치된 기기에서만 해당 스토리지 시스템을 사용할 수 있다는 제약이 따른다. 암/복호화 기술 기반의 보안 프로그램은 데이터 읽기 및 쓰기 속도를 저하시키기도 한다. 키패드 등의 하드웨어가 구비된 경우에도 이를 활용하기 위한 보안 프로그램이 필요한데, 이들의 공통적인 문제는 보안 프로그램이 플래시 스토리지 시스템의 사용자 영역(User Area)에 저장된다는 점이다. 사용자에게 제공될 저장 공간을 차지할 뿐만 아니라, 사용자 영역은 연결된 기기로부터 어떤식으로든 접근이 가능하기 때문에 보안상의 약점이 될 수 있다. It is true that the application of these technologies helps to improve the security of the flash storage system, but products with added hardware such as keypads and biometric sensors are inevitably inferior in portability and price competitiveness. A product with a security program installed has a restriction that the storage system can only be used on a device with a specific OS (Operation System) installed. Security programs based on encryption/decryption technology also slow down data reading and writing speed. Even when hardware such as a keypad is provided, a security program is required to utilize it, and a common problem of these is that the security program is stored in a user area of the flash storage system. In addition to taking up storage space to be provided to the user, the user area can be a security weakness as it can be accessed in any way from the connected device.
본 발명은 추가적인 하드웨어 없이 기본적인 구성요소만으로 읽기 잠금, 쓰기 잠금 등의 데이터 보안 기능이 구현되는 플래시 스토리지 시스템을 제공하는 데에 그 목적이 있다. 또한, 본 발명은 플래시 스토리지 시스템에 포함된 저장 매체의 사용자 영역에 보안 프로그램 등의 흔적을 남기지 않고, 데이터 읽기/쓰기 속도를 저하시키지 않으면서도 보안 기능이 내재된 플래시 스토리지 시스템을 제공하는 데에 그 목적이 있다. An object of the present invention is to provide a flash storage system in which data security functions such as read lock and write lock are implemented with only basic components without additional hardware. In addition, the present invention is directed to providing a flash storage system with a built-in security function without leaving traces of a security program or the like in the user area of a storage medium included in the flash storage system and without reducing data read/write speed. There is a purpose.
전술한 과제의 해결을 위하여, 본 발명에 따른 보안 기능이 내재된 플래시 스토리지 시스템은, 저장 매체인 낸드 플래시 메모리와 상기 낸드 플래시 메모리의 활용에 관한 연산을 처리하는 컨트롤러를 포함하는 플래시 스토리지 시스템에 있어서, 상기 낸드 플래시 메모리는, 호스트 운영체제에 의해 파일 시스템이 쓰여지고 사용자의 저장 공간으로 활용되는 사용자 영역; 및 상기 컨트롤러를 이용하여 상기 사용자 영역의 활용에 관한 상기 호스트 운영체제의 명령을 해석하고 수행하도록 구성된 펌웨어(Firmware)와, 상기 펌웨어에 의해 활용 및 관리되는 메타데이터가 저장되는, 펌웨어 및 메타데이터 영역; 을 포함하고, 상기 펌웨어는 사용자가 호스트 운영체제를 통해 포맷 명령을 입력할 때 입력된 사항의 적어도 일부를 미리 정해진 바에 따라 보안 모드 설정 코드 또는 패스워드로 해석하고, 그 해석에 따라 상기 사용자 영역에 대한 읽기 또는 쓰기 잠금 모드를 포함하는 보안 모드를 설정 및 해제하도록 구성된다. In order to solve the above problems, a flash storage system with a security function in accordance with the present invention is a flash storage system comprising a NAND flash memory as a storage medium and a controller for processing an operation related to the utilization of the NAND flash memory, , the NAND flash memory may include: a user area in which a file system is written by a host operating system and utilized as a user's storage space; and a firmware and metadata area in which firmware configured to interpret and execute a command of the host operating system regarding utilization of the user area using the controller, and metadata utilized and managed by the firmware are stored; Including, wherein the firmware interprets at least a part of input when the user inputs a format command through the host operating system as a security mode setting code or password according to a predetermined value, and reads the user area according to the interpretation or to enable and disable a security mode including a write lock mode.
상기 펌웨어는 상기 포맷 명령을 입력할 때 볼륨레이블 입력란에 입력된 문자열을 상기 보안 모드 설정 코드 또는 패스워드로 인식하도록 구성될 수 있다. The firmware may be configured to recognize the character string input in the volume label input field as the security mode setting code or password when the format command is input.
상기 펌웨어는 상기 해석 결과에 따라 보안 모드 설정값 또는 패스워드를 메타데이터 영역에 저장하도록 구성될 수 있다. The firmware may be configured to store the security mode setting value or password in the metadata area according to the analysis result.
상기 펌웨어는 상기 보안 모드 설정 코드를 해석하고 그에 따른 보안 동작을 수행하는 보안 제어부를 포함하고, 상기 보안 제어부는 상기 입력된 사항의 적어도 일부가 미리 정해진 보안 모드 설정 코드로, 나머지 일부가 패스워드로 해석되면, 해당 보안 모드의 설정값과 상기 패스워드를 메타데이터 영역 내의 보안 저장부에 저장하도록 구성될 수 있다. The firmware includes a security control unit that interprets the security mode setting code and performs a security operation according thereto, wherein the security control unit interprets at least a portion of the inputted information as a predetermined security mode setting code and the rest as a password If done, it may be configured to store the set value of the corresponding security mode and the password in the secure storage unit in the metadata area.
이 경우, 상기 보안 저장부는, 보안 모드에 따른 설정값이 저장되는 적어도 하나의 모드 설정값 섹터와 패스워드가 저장되는 패스워드 섹터를 구비한 보안 모드 데이터 구조체를 포함할 수 있다. In this case, the security storage unit may include a security mode data structure including at least one mode setting value sector in which a setting value according to a security mode is stored and a password sector in which a password is stored.
또한, 상기 보안 저장부는, 상기 보안 제어부가 상기 입력된 사항을 해석할 때 참조하도록 보안 모드별로 미리 정해진 설정 코드 정보를 포함하는 룩업테이블을 포함할 수 있다.In addition, the security storage unit may include a lookup table including preset code information for each security mode to be referred to when the security control unit interprets the inputted information.
한편, 상기 보안 모드는, 상기 사용자 영역에 대한 데이터 읽기 또는 쓰기 기능을 상기 패스워드의 확인을 거쳐 제한적으로 수행하는 읽기 또는 쓰기 잠금 모드; 및 상기 읽기 또는 쓰기 잠금 모드와 중첩하여 설정 가능한 허용 모드; 를 포함하고, 상기 허용 모드가 설정된 상태로 전원이 재인가 된 때에는, 상기 읽기 또는 쓰기 잠금 모드 설정으로 인해 잠긴 기능을 패스워드 확인 없이 허용하고, 다음번 전원 재인가 시에 상기 읽기 또는 쓰기 잠금 모드로 복귀하도록 구성될 수 있다. On the other hand, the security mode may include: a read or write lock mode in which a data read or write function for the user area is limitedly performed through confirmation of the password; and an allowable mode that can be set by overlapping the read or write lock mode; When power is re-applied in the state in which the allow mode is set, the function locked due to the read or write lock mode setting is allowed without password confirmation, and the read or write lock mode is returned when the power is re-applied next time. can be configured to
이 경우, 상기 펌웨어는 상기 보안 모드 설정 코드를 해석하고 그에 따른 보안 동작을 수행하는 보안 제어부를 포함하고, 상기 보안 제어부는 상기 입력된 사항의 적어도 일부가 미리 정해진 보안 모드 설정 코드로, 나머지 일부가 패스워드로 해석되면, 해당 보안 모드의 설정값과 상기 패스워드를 메타데이터 영역 내의 보안 저장부에 저장하며, 상기 보안 저장부는, 상기 읽기 또는 쓰기 잠금 모드에 따른 설정값이 저장되는 제1 모드 설정값 섹터, 상기 허용 모드에 따른 설정값이 저장되는 제2 모드 설정값 섹터, 및 패스워드가 저장되는 패스워드 섹터를 구비한 보안 모드 데이터 구조체를 포함하도록 구성될 수 있다. In this case, the firmware includes a security control unit that interprets the security mode setting code and performs a security operation according thereto, and the security control unit includes at least a part of the inputted information as a predetermined security mode setting code, and the remaining part is When interpreted as a password, the set value of the corresponding security mode and the password are stored in a secure storage unit in the metadata area, and the secure storage unit is a first mode set value sector in which a set value according to the read or write lock mode is stored. , a security mode data structure having a second mode setting value sector in which a setting value according to the permission mode is stored, and a password sector in which a password is stored.
본 발명의 한 측면에 따른, 보안 기능이 내재된 플래시 스토리지 시스템은, 저장 매체인 낸드 플래시 메모리와 상기 낸드 플래시 메모리의 활용에 관한 연산을 처리하는 컨트롤러를 포함하는 플래시 스토리지 시스템에 있어서, 상기 낸드 플래시 메모리는, 호스트 운영체제에 의해 파일 시스템이 쓰여지고 사용자의 저장 공간으로 활용되는 사용자 영역; 및 상기 컨트롤러를 이용하여 상기 사용자 영역의 활용에 관한 상기 호스트 운영체제의 명령을 해석하고 수행하도록 구성된 펌웨어(Firmware)와, 상기 펌웨어에 의해 활용 및 관리되는 메타데이터가 저장되는, 펌웨어 및 메타데이터 영역; 을 포함하고, 상기 펌웨어 및 메타데이터 영역은, 상기 펌웨어의 일부로서 상기 호스트 운영체제의 명령에 포함된 사용자 입력 사항을 미리 정해진 바에 따라 보안 모드 설정 코드 또는 패스워드로 해석하고, 그 해석에 따라 상기 사용자 영역에 대한 보안 모드의 설정 및 해제를 실행하는 보안 제어부; 및 상기 메타데이터의 일부로서 상기 보안 제어부에 의해 저장 및 활용되는 것으로 상기 보안 모드에 따른 설정값과 상기 패스워드를 포함하는 보안 저장부; 를 포함하여 구성된다. According to an aspect of the present invention, a flash storage system with a built-in security function is a flash storage system comprising a NAND flash memory as a storage medium and a controller for processing an operation related to utilization of the NAND flash memory, wherein the NAND flash The memory includes: a user area in which a file system is written by a host operating system and utilized as a user's storage space; and a firmware and metadata area in which firmware configured to interpret and execute a command of the host operating system regarding utilization of the user area using the controller and metadata utilized and managed by the firmware are stored; wherein the firmware and metadata area interprets a user input included in a command of the host operating system as a part of the firmware as a security mode setting code or password according to a predetermined value, and according to the interpretation, the user area a security control unit configured to set and release a security mode for and a security storage unit that is stored and utilized by the security control unit as a part of the metadata, and includes a setting value according to the security mode and the password; is comprised of
상기 보안 모드는, 상기 사용자 영역에 대한 데이터 읽기 또는 쓰기 기능을 상기 패스워드의 확인을 거쳐 제한적으로 수행하는 읽기 또는 쓰기 잠금 모드; 및 상기 읽기 또는 쓰기 잠금 모드와 중첩하여 설정 가능한 허용 모드; 를 포함하고, 상기 허용 모드가 설정된 상태로 전원이 재인가 된 때에는, 상기 읽기 또는 쓰기 잠금 모드 설정으로 인해 잠긴 기능을 패스워드 확인 없이 허용하고, 다음번 전원 재인가 시에 상기 읽기 또는 쓰기 잠금 모드로 복귀하도록 구성될 수 있다. The security mode may include: a read or write lock mode in which a function of reading or writing data for the user area is limitedly performed through confirmation of the password; and an allowable mode that can be set by overlapping the read or write lock mode; When power is re-applied in the state in which the allow mode is set, the function locked due to the read or write lock mode setting is allowed without password confirmation, and the read or write lock mode is returned when the power is re-applied next time. can be configured to
본 발명에 따르면, 추가적인 하드웨어 없이 기본적인 구성요소만으로 읽기 잠금, 쓰기 잠금 등의 데이터 보안 기능이 구현되는 플래시 스토리지 시스템이 제공된다. According to the present invention, there is provided a flash storage system in which data security functions such as read lock and write lock are implemented with only basic components without additional hardware.
본 발명에 따르면, 플래시 스토리지 시스템에 보안 기능이 내재되어 있어, 저장 매체의 사용자 영역에 보안 프로그램 등의 흔적을 남기지 않는다. 또한, 보안 프로그램이 데이터 읽기/쓰기 속도를 저하시키지도 않으며, 윈도우(Windows) 기반의 PC뿐만 아니라 리눅스 등 다양한 운영체제(OS)를 갖는 다양한 기기에서도 데이터 보안 기능을 수행할 수 있도록 구성된 플래시 스토리지 시스템이 제공될 수 있다. According to the present invention, since a security function is built into the flash storage system, no trace of a security program or the like is left in the user area of the storage medium. In addition, the security program does not lower the data read/write speed, and a flash storage system configured to perform data security functions not only on Windows-based PCs but also on various devices with various operating systems (OS) such as Linux is provided. can be
도 1은 본 발명에 따른 플래시 스토리지 시스템의 구성을 개략적으로 보이는 블록도이다. 1 is a block diagram schematically showing the configuration of a flash storage system according to the present invention.
도 2는 본 발명의 한 실시예에 따른 플래시 스토리지 시스템의 보안 모드 설정 과정을 보인다. 2 illustrates a security mode setting process of a flash storage system according to an embodiment of the present invention.
도 3은 본 발명의 한 실시예에 따른 플래시 스토리지 시스템에 대한 포맷 명령 입력창을 이용한 보안 모드 설정 입력 예를 보인다.3 shows an example of security mode setting input using a format command input window for a flash storage system according to an embodiment of the present invention.
도 4는 본 발명의 한 실시예에 따른 플래시 스토리지 시스템의 보안 모드 종류 및 그 설정 입력 체계를 예시한 테이블이다. 4 is a table illustrating a type of security mode of a flash storage system and a setting input system thereof according to an embodiment of the present invention.
도 5는 본 발명의 한 실시예에 따른 플래시 스토리지 시스템에서 읽기 잠금 모드의 활용 예를 보인다. 5 shows an example of use of a read lock mode in a flash storage system according to an embodiment of the present invention.
도 6은 본 발명의 한 실시예에 따른 플래시 스토리지 시스템에서 쓰기 잠금 모드의 활용 예를 보인다. 6 shows an example of use of a write lock mode in a flash storage system according to an embodiment of the present invention.
도 7은 본 발명의 한 실시예에 따른 플래시 스토리지 시스템에서 허용 모드의 활용 예를 보인다. 7 shows an example of use of the permission mode in the flash storage system according to an embodiment of the present invention.
이하에서는 도면을 참조하여 본 발명의 다양한 실시예를 설명한다. 실시예를 통해 본 발명의 기술적 사상이 좀 더 명확하게 이해될 수 있을 것이다. 본 발명의 기술적 구성이 이하에 설명된 실시예에 한정되는 것은 아니다. 또한, 장치의 구성에 관한 직접적인 설명뿐만 아니라, 장치를 사용하는 방법 또는 과정에 관한 설명도 장치의 구성에 대한 이해를 돕는 도구로 활용될 수 있을 것이다.Hereinafter, various embodiments of the present invention will be described with reference to the drawings. The technical spirit of the present invention may be more clearly understood through the embodiments. The technical configuration of the present invention is not limited to the embodiments described below. In addition, not only a direct description of the configuration of the device, but also a description of a method or process of using the device may be used as a tool to help understand the configuration of the device.
도 1은 본 발명에 따른 플래시 스토리지 시스템의 구성을 개략적으로 보이는 블록도이다. 1 is a block diagram schematically showing the configuration of a flash storage system according to the present invention.
플래시 스토리지 시스템(100)은 호스트(200)에 커넥터(101)를 통해 연결되면 파워라인(104)을 통해 전력을 공급받아 전원이 On/Off 되도록 구성된다. 호스트(200) 명령을 처리하는 컨트롤러(102), 낸드 플래시 메모리(105)를 구비하고, 추가로 디램(DRAM)(103)을 구비할 수 있다. 플래시 스토리지 시스템(100)에서 저장 매체로 사용되는 낸드 플래시 메모리(105)에는 펌웨어 및 메타데이터 영역(300)과, 호스트(200)의 운영체제(OS)를 통해 사용자의 저장 공간으로 활용되는 사용자 영역(400), 그리고 상기 사용자 영역(400) 등 낸드 플래시 메모리(105) 내에서 배드 블락(Bad Block)이 발생할 경우 교체 또는 버퍼를 위한 추가 영역(401)이 구비된다. When the flash storage system 100 is connected to the host 200 through the connector 101 , power is supplied through the power line 104 to turn on/off the power. A controller 102 for processing a host 200 command, a NAND flash memory 105 may be provided, and a DRAM (DRAM) 103 may be additionally provided. The NAND flash memory 105 used as a storage medium in the flash storage system 100 has a firmware and metadata area 300 and a user area ( 400), and an additional area 401 for replacement or buffer when a bad block occurs in the NAND flash memory 105 such as the user area 400 is provided.
여기서, 상기 호스트(200)는 윈도우(Windows), 도스(DOS) 또는 리눅스(Linux)와 같은 운영체제가 탑재된 PC 또는 서버일 수 있다. 이러한 운영체제는 일반적으로 스토리지 시스템을 사용하기 위해 포맷(Format) 명령을 이용하여 FAT, NTFS 또는 EXT와 같은 파일 시스템(File System)을 제품에 쓰기(Write)하고, 데이터(Data) 또는 파일(File)을 쓰기 또는 읽는 방식으로 스토리지 시스템을 활용한다. 이와 같이, 낸드 플래시 메모리 영역(105) 중 운영체제가 펌웨어 및 메타데이터를 이용하여 파일 시스템을 쓰고, 데이터 쓰기 또는 읽기를 진행하는 영역을 사용자 영역(400)이라 한다. Here, the host 200 may be a PC or a server on which an operating system such as Windows, DOS, or Linux is mounted. These operating systems generally use the Format command to write a file system such as FAT, NTFS, or EXT to the product to use the storage system, and write data or files to the product. The storage system is utilized by writing or reading As such, an area in which the operating system writes a file system and writes or reads data using firmware and metadata among the NAND flash memory area 105 is referred to as a user area 400 .
상기 펌웨어 및 메타데이터 영역(300)에 구비된 펌웨어는, 호스트(200)의 명령에 따라 플래시 스토리지 시스템(100)을 구동하는 소프트웨어로서, 일반적인 플래시 스토리지 시스템의 펌웨어와 마찬가지로 호스트(200)의 명령을 해석하고 처리하는 HIL(301: Host interface Layer)과 Address-Mapping 알고리즘, Wear-leveling 알고리즘 등을 포함한 FTL(302: Flash Transition Layer), 그리고 낸드 플래시 메모리(105)를 동작시키기 위하여 호스트(200)의 명령을 낸드 플래시 명령으로 변환하는 FIL(303: Flash Interface Layer)을 포함하여 구성된다. 또한, 상기 펌웨어 및 메타데이터 영역(300)에는 상기 펌웨어가 낸드 플래시 메모리(105)를 사용하기 위하여 생성된 메타데이터가 존재할 수 있다. 플래시 스토리지 시스템(100)은 이러한 펌웨어와 메타데이터에 의해서 파워 On시 초기화를 진행하고, 초기화 이후 포맷, 읽기, 쓰기, 삭제와 같은 운영체제의 명령을 처리 할 수 있다. The firmware provided in the firmware and metadata area 300 is software that drives the flash storage system 100 according to a command of the host 200 , and executes the command of the host 200 like firmware of a general flash storage system. HIL (301: Host interface Layer) that interprets and processes, FTL (302: Flash Transition Layer) including an address-mapping algorithm, a wear-leveling algorithm, etc., and the NAND flash memory 105 of the host 200 to operate It is configured by including a Flash Interface Layer (FIL) that converts commands into NAND flash commands. Also, metadata generated by the firmware to use the NAND flash memory 105 may exist in the firmware and metadata area 300 . The flash storage system 100 may initialize upon power-on by such firmware and metadata, and process commands of the operating system such as format, read, write, and delete after initialization.
본 발명에 따른 플래시 스토리지 시스템(100)의 상기 펌웨어 및 메타데이터 영역(300)에는 펌웨어의 일부로서 상기 호스트(200) 운영체제의 명령에 따라 보안 모드의 설정, 해제 등을 담당하는 보안 제어부(304)가 마련된다. 또한, 상기 메타데이터의 일부로서 상기 보안 제어부(304)에 의해 생성, 관리, 및 활용되는 보안 저장부(305)가 마련된다. In the firmware and metadata area 300 of the flash storage system 100 according to the present invention, as a part of the firmware, the security control unit 304 is responsible for setting and releasing the security mode according to the commands of the host 200 operating system. is prepared In addition, a secure storage unit 305 that is created, managed, and utilized by the security control unit 304 is provided as part of the metadata.
상기 보안 제어부(304)는 상기 사용자 영역(400)에 대한 보안 모드 설정에 관하여 호스트(200) 운영체제의 명령을 해석하고, 그에 따라 상기 보안 저장부(305)에 보안 모드 설정값 및 패스워드 등을 저장하며, 보안 모드에 따른 보안 동작을 제어하도록 구성될 수 있다. 상기 보안 모드에는 쓰기 잠금 모드, 읽기 잠금 모드, 쓰기 및 읽기 잠금 모드, 잠금 해제 모드, 또는 허용 모드 등이 포함될 수 있다. 상기 보안 모드에 따른 보안 동작은 각 모드의 명칭과 동일한데, 상기 허용 모드는 쓰기 및/또는 읽기 잠금이 설정된 상태에서 추가적으로 설정되는 것으로, 플래시 스토리지 시스템(100)의 전원이 새롭게 Off/On 되었을 때, 전원이 다시 Off 되기 전까지 일회적으로 쓰기 및/또는 읽기가 허용되도록 구성될 수 있다. The security control unit 304 interprets the command of the host 200 operating system with respect to the security mode setting for the user area 400 , and stores the security mode setting value and password in the security storage unit 305 accordingly. and may be configured to control a security operation according to a security mode. The security mode may include a write lock mode, a read lock mode, a write and read lock mode, a lock release mode, an allow mode, and the like. The security operation according to the security mode is the same as the name of each mode, and the allow mode is additionally set in a state in which write and/or read lock is set, and when the power of the flash storage system 100 is newly turned off/on , can be configured to allow one-time writes and/or reads until the power is turned off again.
상기 보안 제어부(304)가 상기 호스트(200)의 운영체제로부터 받는 명령은 운영체제에서 플래시 스토리지 시스템으로 전달되는 기존의 명령들 중 어느 하나일 수도 있고, 향후에 추가될 새로운 명령일 수도 있다. 상기 명령은 별도의 응용프로그램 없이 사용자의 입력에 따라 윈도우, 리눅스 등의 운영체제로부터 플래시 스토리지 시스템으로 전달된다. 일 예로, 본 실시 형태에 따른 플래시 스토리지 시스템(100)의 보안 제어부(304)는 운영체제의 포맷(Format) 명령을 보안 모드 설정에 관한 명령으로 인식하도록 구성될 수 있다. The command that the security control unit 304 receives from the operating system of the host 200 may be any one of existing commands transferred from the operating system to the flash storage system, or may be a new command to be added in the future. The command is transmitted from an operating system such as Windows or Linux to the flash storage system according to a user's input without a separate application program. For example, the security control unit 304 of the flash storage system 100 according to the present embodiment may be configured to recognize a Format command of the operating system as a command related to setting a security mode.
이하에서는 운영체제의 포맷 명령을 보안 설정 명령으로 활용할 수 있도록 한 구성 예에 관하여 상기 도 1을 다른 도면과 함께 참조하여 좀 더 구체적으로 설명하기로 한다. 이를 통해 상기 보안 제어부(304) 및 상기 보안 저장부(305) 등의 구성이 더 명확하게 이해될 수 있을 것이다. Hereinafter, a configuration example in which the format command of the operating system can be used as a security setting command will be described in more detail with reference to FIG. 1 together with other drawings. Through this, the configuration of the security control unit 304 and the security storage unit 305 may be more clearly understood.
도 2는 본 발명의 한 실시예에 따른 플래시 스토리지 시스템의 보안 모드 설정 과정을 보인다. 도 3은 본 발명의 한 실시예에 따른 플래시 스토리지 시스템에 대한 포맷 명령 입력창을 이용한 보안 모드 설정 입력 예를 보인다.2 illustrates a security mode setting process of a flash storage system according to an embodiment of the present invention. 3 shows an example of security mode setting input using a format command input window for a flash storage system according to an embodiment of the present invention.
플래시 스토리지 시스템(100)에 대해 전원 재인가(s10) 시, 즉 사용자가 본 발명에 따른 플래시 스토리지 시스템(100)의 커넥터(101)를 호스트(200)의 커넥터(미도시)에 연결하여 전력이 다시 공급되면, 통상적인 플래시 스토리지 시스템과 마찬가지로 호스트(200)의 디바이스 식별을 위한 제1 응답(s11)을 제공한다. 다음으로 전술한 보안 제어부(304)는 현재 설정된 보안 모드가 읽기 또는 쓰기 잠금 모드인지 확인한다(s20). 이를 위해 상기 보안 제어부(304)는 상기 보안 저장부(305)에 저장된 보안 모드 설정값을 참조하여, 보안 모드 설정값에 따라 미리 정해진 보안 동작을 수행한다. 현재의 설정 값이 읽기 또는 쓰기 잠금 모드에 해당하면, 그에 따라 읽기 또는 쓰기 기능을 차단(s21)하는 보안 동작을 수행한다. 현재의 보안 모드가 읽기 또는 쓰기 잠금 상태가 아니라면, 사용자의 추가적인 입력에 따라 읽기, 쓰기, 지우기, 포맷 등을 수행할 수 있는 정상 상태(s30)로 진입한다. When power is re-applied to the flash storage system 100 (s10), that is, when the user connects the connector 101 of the flash storage system 100 according to the present invention to the connector (not shown) of the host 200, the power is When supplied again, a first response s11 for device identification of the host 200 is provided as in a typical flash storage system. Next, the aforementioned security control unit 304 checks whether the currently set security mode is a read or write lock mode (s20). To this end, the security control unit 304 refers to the security mode setting value stored in the security storage unit 305 and performs a predetermined security operation according to the security mode setting value. If the current setting value corresponds to the read or write lock mode, a security operation of blocking the read or write function (s21) is performed accordingly. If the current security mode is not a read or write lock state, it enters a normal state s30 in which read, write, erase, format, etc. can be performed according to an additional input from the user.
상기 정상 상태(s30)에서 사용자는 운영체제의 명령 입력 수단, 예컨대 포맷(Format) 명령 입력창(341)을 이용하여 플래시 스토리지 시스템(100)에 보안 모드 설정 입력(s31)을 진행할 수 있다. 예를 들어, 윈도우 운영체제에서 포맷 명령 입력창(341)은 포맷된 드라이브에 부여될 볼륨레이블(volume lable)의 입력을 위해 볼륨레이블 입력란(343)을 제공하는데, 본 발명에 따른 플래시 스토리지 시스템(100)은 사용자로부터 운영체제가 제공하는 상기 볼륨레이블 입력란(343)을 통해 보안 모드 설정을 위한 설정 코드와 패스워드 등을 입력 받도록 구성될 수 있다. 상기 포맷 명령 입력창(341)에 포함된 빠른 포맷 선택란(342)도 보안 모드 설정 입력을 위해 활용될 수 있다. In the normal state ( s30 ), the user may proceed with the security mode setting input ( s31 ) to the flash storage system 100 using a command input means of the operating system, for example, the Format command input window 341 . For example, in the Windows operating system, the format command input window 341 provides a volume label input box 343 for inputting a volume label to be given to a formatted drive, and the flash storage system 100 according to the present invention ) may be configured to receive a setting code and password for setting the security mode from the user through the volume label input field 343 provided by the operating system. A quick format selection box 342 included in the format command input window 341 may also be utilized for security mode setting input.
예를 들어, 본 발명에 따른 플래시 스토리지 시스템(100)의 상기 보안 제어부(304)는 사용자가 상기 볼륨레이블 입력란(343)에 입력한 문자열 중 앞부분이 미리 정해진 보안 모드 설정 코드에 해당하면, 이를 보안 모드 설정을 위한 명령으로 해석하고 그 설정 코드에 따라 보안 모드 설정값을 메타데이터 영역의 상기 보안 저장부(305)에 저장함으로써 플래시 스토리지 시스템(100)이 읽기 잠금 모드, 쓰기 잠금 모드, 읽기 및 쓰기 잠금 모드, 잠금 해제 모드, 등과 같은 보안 모드에 진입(s32)하도록 구성될 수 있다. 읽기 또는 쓰기 잠금 모드로 설정된 플래시 스토리지 시스템의 경우 전원 재인가(Off/ON) 시에 포맷 명령 입력창을 통해 패스워드를 입력 받아 상기 사용자 영역(400)에 대하여 읽기 또는 쓰기를 허용 할 수 있고, 또한 잠금을 해제 하기 위한 명령, 즉 잠금 해제 모드 설정 코드 및 패스워드를 입력 받아 잠금을 해제할 수도 있다. 여기서, 문자열은 좁은 의미의 문자뿐만 아니라 숫자 및 특수문자 등을 포함할 수 있다. For example, the security control unit 304 of the flash storage system 100 according to the present invention may secure the security mode setting code if the first part of the character string input by the user into the volume label input field 343 corresponds to a predetermined security mode setting code. By interpreting it as a command for mode setting and storing the security mode setting value in the security storage unit 305 of the metadata area according to the setting code, the flash storage system 100 is set to read lock mode, write lock mode, read and write It may be configured to enter (s32) a security mode such as a lock mode, unlock mode, and the like. In the case of a flash storage system set to a read or write lock mode, when power is re-applied (Off/ON), a password may be input through the format command input window to allow reading or writing to the user area 400, and The lock can also be unlocked by inputting a command for unlocking the lock, that is, the unlock mode setting code and password. Here, the character string may include not only narrow characters but also numbers and special characters.
상기 보안 제어부(304)는 상기 문자열 중 상기 보안 모드 설정 코드의 뒷부분을 패스워드로 인식하고, 이를 상기 보안 저장부(305)에 저장하도록 구성될 수 있다. 상기 보안 저장부(305)는 적어도 하나의 보안 모드 설정값을 저장하는 보안 모드 설정값 섹터과 패스워드를 저장하는 패스워드 섹터를 포함하는 보안 모드 데이터 구조체를 구비할 수 있다. 한편, 상기 보안 제어부(304)가 상기 볼륨레이블 입력란(343)에 입력된 문자열로부터 보안 모드 설정 코드를 식별할 때에는, 상기 보안 저장부(305)에 미리 저장된 룩업테이블(LUT), 예컨대 다수의 보안 모드 설정 코드와 각 설정 코드에 대응되는 보안 동작 정보를 참조하도록 구성될 수 있다. The security control unit 304 may be configured to recognize the latter part of the security mode setting code in the character string as a password and store it in the security storage unit 305 . The security storage unit 305 may include a security mode data structure including a security mode setting value sector for storing at least one security mode setting value and a password sector for storing a password. On the other hand, when the security control unit 304 identifies the security mode setting code from the character string input in the volume label input field 343 , a lookup table (LUT) stored in advance in the security storage unit 305, for example, a plurality of security It may be configured to refer to the mode setting code and security operation information corresponding to each setting code.
도 4는 본 발명의 한 실시예에 따른 플래시 스토리지 시스템의 보안 모드 종류 및 그 설정 입력 체계를 예시한 테이블이다. 4 is a table illustrating a type of security mode of a flash storage system and a setting input system thereof according to an embodiment of the present invention.
좀 더 구체적인 예로서, 사용자가 호스트의 운영체제를 통해 포맷 명령을 전달할 때, 본 실시 형태에 따른 플래시 스토리지 시스템(100)은 상기 포맷 명령 입력창(341)의 빠른 포맷 선택란(342)에 체크되고, 볼륨레이블 입력란(343)에 입력된 문자열이 '1#1234abcd'이면, 상기 플래시 스토리지 시스템(100)은 '1#'에 대하여 쓰기 및 읽기 잠금 모드의 설정 명령으로 인식하여 잠금을 설정하고, 나머지 '1234abcd' 값을 패스워드로 저장할 수 있다. 다시 말해서, 메타데이터 영역의 상기 보안 모드 데이터 구조체에 쓰기 및 읽기 잠금 모드의 설정값과 상기 패스워드를 저장할 수 있다. As a more specific example, when the user transmits a format command through the operating system of the host, the flash storage system 100 according to the present embodiment is checked in the quick format selection box 342 of the format command input window 341, If the character string input to the volume label input field 343 is '1#1234abcd', the flash storage system 100 recognizes '1#' as a setting command for write and read lock mode and sets the lock, and the rest ' 1234abcd' value can be saved as a password. In other words, the set value of the write and read lock mode and the password may be stored in the security mode data structure of the metadata area.
상기 볼륨레이블 입력란(343)에 2# 또는 3#과 패스워드가 입력된 경우 각각 읽기 또는 쓰기 잠금 모드로서, 읽기 또는 쓰기 기능만 상기 패스워드로 잠그는 설정이 가능하고, 사용자가 읽기 또는 쓰기 잠금 모드가 설정된 상태의 플래시 스토리지 시스템을 사용하기 위하여 '0#1234abcd' 또는 '1234abcd' 와 같은 문자열을 입력하면 플래시 스토리지 시스템의 전원이 Off 될 때까지(호스트와의 연결이 해제될 때까지) 읽기 또는 쓰기를 허용하거나, 허용 모드로 전환할 수 있다. 허용 모드에 대해서는 뒤에서 좀 더 자세히 설명하기로 한다. 사용자가 포맷 명령의 볼륨레이블 입력란(343)에 '##1234abcd'를 입력하면, '##'을 플래시 스토리지 시스템의 잠금을 해제하기 위한 명령인 해제 모드의 설정 코드로 인식하고, 그 뒤에 기재된 패스워드가 일치할 경우 전술한 보안 저장부(305)의 읽기 또는 쓰기 잠금 모드의 설정값과 패스워드를 삭제하여 잠금 모드를 해제할 수도 있다. When 2# or 3# and a password are input in the volume label input field 343, it is possible to set a read or write lock mode, which locks only the read or write function with the password, and the user sets the read or write lock mode. If you enter a string such as '0#1234abcd' or '1234abcd' to use the flash storage system in the state, reading or writing is allowed until the flash storage system is powered off (until the host is disconnected). Or, you can switch to permissive mode. The permissive mode will be described in more detail later. When the user inputs '##1234abcd' in the volume label input field 343 of the format command, '##' is recognized as a setting code for unlock mode, which is a command for unlocking the flash storage system, and the password written thereafter When , the lock mode may be released by deleting the set value and password of the read or write lock mode of the security storage unit 305 described above.
사용자가 패스워드를 분실하였을 경우, 사용자는 빠른 포맷이 아닌 포맷 명령을 이용하여, 즉 빠른 포맷 선택란(342)에 대한 체크를 해제함으로써 일반적인 포맷 동작과 동일하게 상기 사용자 영역(400)의 파일 시스템과 데이터를 삭제하고 잠금을 해제할 수도 있다.When the user loses the password, the user uses a format command other than the quick format, that is, by unchecking the quick format check box 342, the file system and data of the user area 400 are the same as in the general format operation. You can also delete it and unlock it.
여기서 설명한 실시예는 포맷 명령 입력창(341)의 옵션 중 빠른 포맷 선택란(342)과 볼륨레이블 입력란(343)을 이용하여 보안 모드 설정에 관한 명령 및 패스워드를 입력하는 구성을 구체적으로 예시한 것이나, 본 발명의 구성이 이 것으로 한정되는 것은 아니다. 예컨대 0#, 1#, #2, ##과 같은 명령(설정 코드)은 다른 문자, 숫자 또는 기호로 대체될 수 있고, 또한 빠른 포맷의 선택과 해제 구분 없이 볼륨레이블로 입력되는 명령만으로 구성될 수도 있으며, 포맷 명령의 구성 요소인 빠른 포맷, 포맷, 볼륨레이블, 파일 시스템의 종류, 할당 크기와 같은 항목 등을 선택 또는 조합하여 사용하도록 구성될 수도 있다. The embodiment described here specifically exemplifies the configuration of inputting a command and password related to security mode setting using the quick format selection field 342 and the volume label input field 343 among the options of the format command input window 341, The configuration of the present invention is not limited thereto. For example, commands (setting codes) such as 0#, 1#, #2, ## can be replaced with other letters, numbers, or symbols, and can consist of only commands input as volume labels without distinction between quick format selection and deselection. It may also be configured to select or combine items such as quick format, format, volume label, file system type, and allocation size, which are components of the format command.
한편, 본 도면에서 점선으로 표시된 부분(LUT)은 앞서 설명된 바와 같이, 보안 제어부(304)가 볼륨레이블 입력란(343)을 통한 명령을 해석할 때 참조하도록 보안 저장부(305)에 미리 저장된 룩업테이블의 구성을 이해하는 데에 도움이 될 것이다. On the other hand, the portion (LUT) indicated by the dotted line in this figure is a lookup stored in advance in the security storage unit 305 for reference when the security control unit 304 interprets the command through the volume label input field 343 as described above. It will help you understand the structure of the table.
도 5는 본 발명의 한 실시예에 따른 플래시 스토리지 시스템에서 읽기 잠금 모드의 활용 예를 보인다. 5 shows an example of use of a read lock mode in a flash storage system according to an embodiment of the present invention.
본 실시예에 따른 플래시 스토리지 시스템(100)에 대해 전원 재인가(s10) 시, 즉 호스트와의 연결이 시작될 때, 호스트(200)의 디바이스 식별을 위해 제1 응답(s11)을 제공한다. 다음으로 현재 설정된 보안 모드가 읽기 잠금 모드인지를 확인한다(s201). 이를 위해 보안 제어부(304)는 보안 저장부(305)에 저장된 보안 모드 설정값을 미리 정해진 읽기 잠금 모드의 설정값과 비교한다. 현재의 보안 모드 설정값이 읽기 잠금 모드에 해당하면, 읽기 기능이 제한된 상태임을 알리는 제2 응답을 제공(s211)한다. 이때, 운영체제에 제공되는 '비정상 포맷 상태(Abnormal Format Condition)'와 같은 메세지를 활용할 수 있다. 현재의 보안 모드가 읽기 잠금 모드가 아니라면, 사용자의 추가적인 입력에 따라 읽기, 쓰기, 지우기, 포맷 등을 수행할 수 있는 정상 상태(s30)로 진입한다. When power is re-applied (s10) to the flash storage system 100 according to the present embodiment, that is, when connection with the host is started, a first response (s11) is provided for device identification of the host 200 . Next, it is checked whether the currently set security mode is the read lock mode (s201). To this end, the security control unit 304 compares the security mode setting value stored in the security storage unit 305 with a preset reading lock mode setting value. If the current security mode setting value corresponds to the read lock mode, a second response indicating that the read function is in a restricted state is provided (s211). In this case, a message such as 'Abnormal Format Condition' provided to the operating system may be utilized. If the current security mode is not the read lock mode, it enters a normal state (s30) in which reading, writing, erasing, formatting, etc. can be performed according to an additional input from the user.
상기 제2 응답에 대응하여, 사용자가 볼륨레이블을 포함하는 포맷 명령을 입력(s213)하면, 상기 보안 제어부(304)는 상기 볼률레이블로서 입력된 문자열에 포함된 패스워드를 읽기 잠금 모드 설정 시에 상기 보안 저장부(305)에 저장된 패스워드와 비교하여 일치 여부를 판단(s214)한다. 예를 들어, 사용자가 볼륨레이블 입력란에 '0#1234abcd'을 입력하면, 상기 보안 제어부(304)는 '0#'을 그 뒤에 따르는 문자열이 패스워드임을 나태내는 명령으로 인식하고 '1234abcd'를 상기 보안 저장부(305)에 미리 저장된 패스워드와 비교하도록 구성될 수 있다. 별도의 코드 없이 문자열이 입력되더라도 이를 저장된 패스워드와 비교하도록 구성될 수도 있다. In response to the second response, when the user inputs a format command including a volume label (s213), the security control unit 304 reads the password included in the character string input as the volume label when setting the read lock mode. It is compared with the password stored in the secure storage unit 305 to determine whether it matches (s214). For example, when the user inputs '0#1234abcd' in the volume label input box, the security control unit 304 recognizes '0#' as a command indicating that the string following it is a password, and sets '1234abcd' to the security It may be configured to compare with a password previously stored in the storage unit 305 . Even if a character string is input without a separate code, it may be configured to compare it with a stored password.
입력된 패스워드가 미리 저장된 것과 일치하면 플래시 스토리지 시스템(100)의 사용자 영역(400)에 대한 읽기 요청을 허용(s221)하고, 상기 정상 상태(s30)로 진입한다. 이와 달리, 사용자에 의해 볼률레이블 입력란에 입력된 패스워드가 상기 보안 저장부(305)에 저장된 것과 불일치하면, 불일치 횟수를 세는 카운트 값을 증가시키고 상기 포맷 명령 입력(s213)을 반복하며 상기 불일치 횟수가 미리 정해진 소정의 횟수(예컨대 5)에 도달하는지를 판단한다(s215). 상기 카운트 값이 소정의 값에 도달하면 예컨대 상기 사용자 영역(400)에 대해 포맷(Format)을 실행(s216)할 수 있다. 이것은 저장된 데이터에 대한 부정한 목적의 접근을 종국적으로 차단하기 위한 조치이다. 이와 달리 더 이상의 패스워드 입력을 차단하고 읽기 잠금 상태만을 유지하도록 구성될 수도 있을 것이다. 한편 상기 카운트 값(변수)은 상기 보안 저장부(305)에 저장되며, 전술한 보안 모드 데이터 구조체에 포함될 수 있다. If the input password matches that previously stored, a read request for the user area 400 of the flash storage system 100 is permitted (s221), and the normal state (s30) is entered. On the other hand, if the password input by the user into the volume label input field does not match that stored in the secure storage unit 305, the count value for counting the number of inconsistencies is increased, and the format command input (s213) is repeated, and the number of inconsistencies is It is determined whether a predetermined number of times (eg, 5) is reached (s215). When the count value reaches a predetermined value, for example, the user area 400 may be formatted (s216). This is a measure to ultimately block unauthorized access to the stored data. Alternatively, it may be configured to block further password input and maintain only the read lock state. Meanwhile, the count value (variable) is stored in the secure storage unit 305 and may be included in the above-described secure mode data structure.
도 6은 본 발명의 한 실시예에 따른 플래시 스토리지 시스템에서 쓰기 잠금 모드의 활용 예를 보인다. 6 shows an example of use of a write lock mode in a flash storage system according to an embodiment of the present invention.
본 실시예에 따른 플래시 스토리지 시스템(100)에 대해 전원 재인가(s10) 시, 즉 호스트와의 연결이 시작될 때, 호스트(200)의 디바이스 식별을 위해 제1 응답(s11)을 제공한다. 다음으로 현재 설정된 보안 모드가 쓰기 잠금 모드인지를 확인한다(s202). 이를 위해 보안 제어부(304)는 보안 저장부(305)에 저장된 보안 모드 설정값을 미리 정해진 쓰기 잠금 모드의 설정값과 비교한다. 현재의 보안 모드 설정값이 쓰기 잠금 모드에 해당하면, 쓰기 기능이 제한된 상태에서 호스트 운영체제로부터의 읽기 명령만 수행(s212)하고, 호스트로부터 쓰기 명령이 있을 때는 쓰기 잠금 상태임을 알리는 제3 응답을 제공할 수 있다. 현재의 보안 모드가 쓰기 잠금 모드가 아니라면 정상 상태(s30)로 진입한다. When power is re-applied (s10) to the flash storage system 100 according to the present embodiment, that is, when connection with the host is started, a first response (s11) is provided for device identification of the host 200 . Next, it is checked whether the currently set security mode is a write lock mode (s202). To this end, the security control unit 304 compares the security mode setting value stored in the security storage unit 305 with a preset setting value of the write lock mode. If the current security mode setting value corresponds to the write lock mode, only a read command from the host operating system is performed (s212) in a state where the write function is restricted, and when there is a write command from the host, a third response indicating that the write lock status is provided can do. If the current security mode is not the write lock mode, the normal state (s30) is entered.
상기 제3 응답에 대응하여, 사용자가 볼륨레이블을 포함하는 포맷 명령을 입력(s213)하면, 그 이후의 과정은 패스워드가 일치할 때 쓰기 기능을 허용(s223)한다는 차이점을 제외하고는 앞서 도 5를 참조하여 설명한 것과 동일하다.In response to the third response, when the user inputs a format command including a volume label (s213), the subsequent process is shown in FIG. 5 above, except for the difference that a write function is allowed when the passwords match (s223). It is the same as described with reference to
도 7은 본 발명의 한 실시예에 따른 플래시 스토리지 시스템에서 허용 모드의 활용 예를 보인다. 7 shows an example of use of the permission mode in the flash storage system according to an embodiment of the present invention.
본 실시예에 따른 플래시 스토리지 시스템(100)에서 허용 모드는 설정 가능한 다수의 보안 모드 중 하나로서, 허용 모드가 설정된 상태로 호스트(200)와의 연결이 해제되었다가 플래시 스토리지 시스템이 이전과 같은 또는 다른 호스트(200)에 연결되어 전원이 재인가 된 때, 기존의 쓰기 또는 읽기 잠금 설정 여부와 상관없이, 전원이 Off 되기 전까지 읽기 및 쓰기가 허용되는 보안 모드로 정의된다. 이러한 허용 모드는 전술한 읽기 또는 쓰기 잠금 모드와 중복해서 설정될 수 있도록 구성될 수 있다. 이 경우 허용 모드에서의 플래시 스토리지 시스템(100) 사용을 마친 뒤에는, 즉 호스트(200)와의 연결이 해제되거나 전원이 Off 된 후에는 자동적으로 기존의 읽기 또는 쓰기 잠금 모드로 복귀되도록 구성될 수 있다. In the flash storage system 100 according to the present embodiment, the permissive mode is one of a plurality of configurable security modes. When the connection with the host 200 is released while the permissive mode is set, the flash storage system returns to the same or different It is defined as a security mode in which reads and writes are allowed until the power is turned off, regardless of whether an existing write or read lock is set when power is re-applied after being connected to the host 200 . This permission mode may be configured to be set to overlap with the aforementioned read or write lock mode. In this case, after the use of the flash storage system 100 in the allow mode is finished, that is, after the connection with the host 200 is released or the power is turned off, it may be configured to automatically return to the existing read or write lock mode.
이와 같은 허용 모드는 통상적으로 윈도우 또는 리눅스 운영체제가 설치된 호스트에서 플래시 스토리지 시스템(100)을 읽기 또는 쓰기 잠금 모드로 사용하는 사용자가 이러한 보안 모드 설정 상태를 유지하면서 해당 플래시 스토리지 시스템(100)을 모바일 디바이스 등의 다른 기기에서 일회성으로 사용하고자 할 때 유용한 선택이 될 수 있다. 허용 모드를 이용하면 볼륨레이블 입력란을 포함한 포맷 명령 입력창을 제공하지 않는 운영체제를 가진 호스트에도 본 발명에 따른 플래시 스토리지 시스템(100)을 연결하여 사용할 수 있게 되어, 그 활용 범위가 확대된다. In such a permissive mode, a user who uses the flash storage system 100 in a read or write lock mode in a host in which a Windows or Linux operating system is installed typically uses the flash storage system 100 as a mobile device while maintaining the security mode setting state. It can be a useful choice for one-time use on other devices, such as If the permissive mode is used, the flash storage system 100 according to the present invention can be connected and used even to a host having an operating system that does not provide a format command input window including a volume label input box, thereby expanding the range of use.
허용 모드의 설정 및 활용 순서는 본 도면에 예시된 바와 같다. 먼저, 전원 재인가(s10) 후의 정상 상태(s30)에서 읽기 또는 쓰기 잠금 모드 및 허용 모드를 설정(s320)할 수 있다. 그 설정 방법에 관한 설명은 앞서 도 2 내지 도 4를 참조한 보안 모드 설정 방법에 관한 설명으로 대신하기로 한다. 여기서, 허용 모드는 중첩하여 설정된 잠금 모드를 일회적으로 허용하도록 구성될 수도 있고, 읽기 허용 모드와 읽기 및 쓰기 허용 모드 등으로 세분화되어 설정될 수도 있을 것이다. The order of setting and using the allow mode is as illustrated in this figure. First, in a normal state (s30) after power re-application (s10), a read or write lock mode and an allow mode may be set (s320). The description of the setting method will be replaced with the description of the security mode setting method with reference to FIGS. 2 to 4 above. Here, the allow mode may be configured to allow the overlapping lock mode once, or it may be subdivided into a read permission mode and a read and write permission mode, and the like.
호스트 연결 해제 후 같은 혹은 다른 호스트에 연결되어 전원 재인가(s10)되면, 플래시 스토리지 시스템(100)은 디바이스 식별을 위한 제1 응답(s11)을 제공하고, 읽기 또는 쓰기 잠금 모드 설정 여부를 판단(s20)한다. 읽기 또는 쓰기 잠금 모드가 아니라면 곧바로 정상 상태(미도시)에 진입하게 될 것이고, 읽기 또는 쓰기 잠금 모드일 때는 다시 허용 모드 설정 여부를 판단(s25)한다. 이를 위해 보안 제어부(304)는 보안 저장부(305)에 미리 저장된 보안 모드 데이터 구조체에서 허용 모드 설정값을 확인하도록 구성될 수 있다. After disconnecting from the host and connecting to the same or different host and re-applying power (s10), the flash storage system 100 provides a first response (s11) for device identification and determines whether to set the read or write lock mode ( s20). If it is not in the read or write lock mode, it will immediately enter a normal state (not shown), and when it is in the read or write lock mode, it is determined again whether to set the allow mode (s25). To this end, the security control unit 304 may be configured to check the allowable mode setting value in the security mode data structure stored in advance in the security storage unit 305 .
이때 상기 보안 모드 데이터 구조체는 쓰기 및/또는 읽기 잠금 모드에 대응되는 보안 모드 설정값을 저장하는 제1 모드 설정값 섹터와 별도로 허용 모드 설정값을 저장하는 제2 모드 설정값 섹터를 포함하여, 전술한 바와 같이 쓰기 및/또는 읽기 잠금 모드와 상기 허용 모드가 중첩하여 설정될 수 있도록 구성될 수 있다. In this case, the security mode data structure includes a second mode set value sector that stores the allowable mode set value separately from the first mode set value sector that stores the security mode set value corresponding to the write and/or read lock mode, As described above, the write and/or read lock mode and the allow mode may be configured to overlap and be set.
허용 모드가 설정되어 있지 않다면 전술한 바와 같이 읽기 또는 쓰기 잠금 모드(s21)에 따른 보안 동작을 수행하게 될 것이다. 허용 모드가 설정되어 있는 경우, 상기 보안 제어부(304)는 상기 보안 저장부(305)의 허용 모드 설정값을 리셋(reset)하고(s251), 플래시 스토리지 시스템(100)은 잠금이 해제된 정상 상태(s30)로 동작하게 된다. 이후, 전원 재인가(s10) 된 때는 상기 허용 모드와 별도로 설정되어 있던 쓰기 또는 읽기 잠금 모드(s21)로 복귀하도록 구성될 수 있다. If the allow mode is not set, as described above, a security operation according to the read or write lock mode s21 will be performed. When the permissive mode is set, the security control unit 304 resets the permissible mode set value of the secure storage unit 305 ( s251 ), and the flash storage system 100 is in an unlocked normal state (s30) is operated. Thereafter, when power is re-applied (s10), it may be configured to return to the write or read lock mode (s21) set separately from the allow mode.
<도면 부호의 설명><Explanation of reference numerals>
100: 플래시 스토리지 시스템100: flash storage system
101: 커넥터 102: 컨트롤러101: connector 102: controller
103: 디램(DRAM) 105: 낸드 플래시 메모리103: DRAM (DRAM) 105: NAND flash memory
200: 호스트 300: 펌웨어 및 메타데이터 영역200: host 300: firmware and metadata area
304: 보안 제어부 305: 보안 저장부304: security control unit 305: secure storage unit
400: 사용자 영역400: user area
본 발명은 낸드(NAND) 플래시 메모리(Flash Memory) 소자를 저장 매체로 하는 메모리 카드, USB 메모리, SSD(Solid State Drive) 등의 플래시 스토리지 시스템에 적용될 수 있다.The present invention can be applied to a flash storage system such as a memory card, a USB memory, and a solid state drive (SSD) using a NAND flash memory device as a storage medium.

Claims (10)

  1. 저장 매체인 낸드 플래시 메모리와 상기 낸드 플래시 메모리의 활용에 관한 연산을 처리하는 컨트롤러를 포함하는 플래시 스토리지 시스템에 있어서,A flash storage system comprising: a NAND flash memory as a storage medium; and a controller for processing an operation related to utilization of the NAND flash memory, the flash storage system comprising:
    상기 낸드 플래시 메모리는,The NAND flash memory,
    호스트 운영체제에 의해 파일 시스템이 쓰여지고 사용자의 저장 공간으로 활용되는 사용자 영역; 및a user area in which a file system is written by the host operating system and used as a user's storage space; and
    상기 컨트롤러를 이용하여 상기 사용자 영역의 활용에 관한 상기 호스트 운영체제의 명령을 해석하고 수행하도록 구성된 펌웨어(Firmware)와, 상기 펌웨어에 의해 활용 및 관리되는 메타데이터가 저장되는, 펌웨어 및 메타데이터 영역; 을 포함하고, a firmware and metadata area in which firmware configured to interpret and execute a command of the host operating system regarding utilization of the user area using the controller and metadata utilized and managed by the firmware are stored; including,
    상기 펌웨어는 사용자가 호스트 운영체제를 통해 포맷 명령을 입력할 때 입력된 사항의 적어도 일부를 미리 정해진 바에 따라 보안 모드 설정 코드 또는 패스워드로 해석하고, 그 해석에 따라 상기 사용자 영역에 대한 읽기 또는 쓰기 잠금 모드를 포함하는 보안 모드를 설정 및 해제하도록 구성된, When the user inputs a format command through the host operating system, the firmware interprets at least a part of the inputted information as a security mode setting code or password as predetermined, and read or write lock mode for the user area according to the interpretation configured to enable and disable security modes that include
    플래시 스토리지 시스템.flash storage system.
  2. 제1항에 있어서,According to claim 1,
    상기 펌웨어는 상기 포맷 명령을 입력할 때 볼륨레이블 입력란에 입력된 문자열을 상기 보안 모드 설정 코드 또는 패스워드로 인식하도록 구성된,The firmware is configured to recognize the string input in the volume label input field as the security mode setting code or password when inputting the format command,
    플래시 스토리지 시스템.flash storage system.
  3. 제1항에 있어서,According to claim 1,
    상기 펌웨어는 상기 해석 결과에 따라 보안 모드 설정값 또는 패스워드를 메타데이터 영역에 저장하도록 구성된,The firmware is configured to store the security mode setting value or password in the metadata area according to the analysis result,
    플래시 스토리지 시스템.flash storage system.
  4. 제1항에 있어서,According to claim 1,
    상기 펌웨어는 상기 보안 모드 설정 코드를 해석하고 그에 따른 보안 동작을 수행하는 보안 제어부를 포함하고,The firmware includes a security control unit that interprets the security mode setting code and performs a security operation accordingly,
    상기 보안 제어부는 상기 입력된 사항의 적어도 일부가 미리 정해진 보안 모드 설정 코드로, 나머지 일부가 패스워드로 해석되면, 해당 보안 모드의 설정값과 상기 패스워드를 메타데이터 영역 내의 보안 저장부에 저장하는,When at least a part of the inputted information is interpreted as a predetermined security mode setting code and the remaining part is interpreted as a password, the security control unit stores the setting value of the corresponding security mode and the password in the security storage unit in the metadata area,
    플래시 스토리지 시스템.flash storage system.
  5. 제4항에 있어서,5. The method of claim 4,
    상기 보안 저장부는, 보안 모드에 따른 설정값이 저장되는 적어도 하나의 모드 설정값 섹터와 패스워드가 저장되는 패스워드 섹터를 구비한 보안 모드 데이터 구조체를 포함하는,The security storage unit includes a security mode data structure having at least one mode setting value sector in which a setting value according to a security mode is stored and a password sector in which a password is stored,
    플래시 스토리지 시스템.flash storage system.
  6. 제4항에 있어서,5. The method of claim 4,
    상기 보안 저장부는, 상기 보안 제어부가 상기 입력된 사항을 해석할 때 참조하도록 보안 모드별로 미리 정해진 설정 코드 정보를 포함하는 룩업테이블을 포함하는,The security storage unit includes a lookup table including preset code information for each security mode to be referred to when the security control unit interprets the inputted information.
    플래시 스토리지 시스템. flash storage system.
  7. 제1항에 있어서,According to claim 1,
    상기 보안 모드는, The security mode is
    상기 사용자 영역에 대한 데이터 읽기 또는 쓰기 기능을 상기 패스워드의 확인을 거쳐 제한적으로 수행하는 읽기 또는 쓰기 잠금 모드; 및 a read or write lock mode in which a function of reading or writing data for the user area is restricted through confirmation of the password; and
    상기 읽기 또는 쓰기 잠금 모드와 중첩하여 설정 가능한 허용 모드; 를 포함하고,an allowable mode that can be set to overlap with the read or write lock mode; including,
    상기 허용 모드가 설정된 상태로 전원이 재인가 된 때에는, 상기 읽기 또는 쓰기 잠금 모드 설정으로 인해 잠긴 기능을 패스워드 확인 없이 허용하고, 다음번 전원 재인가 시에 상기 읽기 또는 쓰기 잠금 모드로 복귀하도록 구성된,configured to allow a function locked due to the read or write lock mode setting without password confirmation when power is re-applied with the allow mode set, and to return to the read or write lock mode when the power is re-applied next time,
    플래시 스토리지 시스템.flash storage system.
  8. 제7항에 있어서,8. The method of claim 7,
    상기 펌웨어는 상기 보안 모드 설정 코드를 해석하고 그에 따른 보안 동작을 수행하는 보안 제어부를 포함하고,The firmware includes a security control unit that interprets the security mode setting code and performs a security operation accordingly,
    상기 보안 제어부는 상기 입력된 사항의 적어도 일부가 미리 정해진 보안 모드 설정 코드로, 나머지 일부가 패스워드로 해석되면, 해당 보안 모드의 설정값과 상기 패스워드를 메타데이터 영역 내의 보안 저장부에 저장하며,When at least a part of the inputted information is interpreted as a predetermined security mode setting code and the remaining part is interpreted as a password, the security control unit stores the setting value of the corresponding security mode and the password in the security storage unit in the metadata area,
    상기 보안 저장부는, 상기 읽기 또는 쓰기 잠금 모드에 따른 설정값이 저장되는 제1 모드 설정값 섹터, 상기 허용 모드에 따른 설정값이 저장되는 제2 모드 설정값 섹터, 및 패스워드가 저장되는 패스워드 섹터를 구비한 보안 모드 데이터 구조체를 포함하는,The security storage unit includes a first mode set value sector in which a set value according to the read or write lock mode is stored, a second mode set value sector in which a set value according to the allow mode is stored, and a password sector in which a password is stored. comprising a secure mode data structure with
    플래시 스토리지 시스템.flash storage system.
  9. 저장 매체인 낸드 플래시 메모리와 상기 낸드 플래시 메모리의 활용에 관한 연산을 처리하는 컨트롤러를 포함하는 플래시 스토리지 시스템에 있어서,A flash storage system comprising: a NAND flash memory as a storage medium; and a controller for processing an operation related to utilization of the NAND flash memory, the flash storage system comprising:
    상기 낸드 플래시 메모리는,The NAND flash memory,
    호스트 운영체제에 의해 파일 시스템이 쓰여지고 사용자의 저장 공간으로 활용되는 사용자 영역; 및a user area in which a file system is written by the host operating system and used as a user's storage space; and
    상기 컨트롤러를 이용하여 상기 사용자 영역의 활용에 관한 상기 호스트 운영체제의 명령을 해석하고 수행하도록 구성된 펌웨어(Firmware)와, 상기 펌웨어에 의해 활용 및 관리되는 메타데이터가 저장되는, 펌웨어 및 메타데이터 영역; 을 포함하고, a firmware and metadata area in which firmware configured to interpret and execute a command of the host operating system regarding utilization of the user area using the controller and metadata utilized and managed by the firmware are stored; including,
    상기 펌웨어 및 메타데이터 영역은,The firmware and metadata area is
    상기 펌웨어의 일부로서 상기 호스트 운영체제의 명령에 포함된 사용자 입력 사항을 미리 정해진 바에 따라 보안 모드 설정 코드 또는 패스워드로 해석하고, 그 해석에 따라 상기 사용자 영역에 대한 보안 모드의 설정 및 해제를 실행하는 보안 제어부; 및Security that interprets a user input included in a command of the host operating system as a part of the firmware as a security mode setting code or password as predetermined, and executes setting and release of the security mode for the user area according to the interpretation control unit; and
    상기 메타데이터의 일부로서 상기 보안 제어부에 의해 저장 및 활용되는 것으로 상기 보안 모드에 따른 설정값과 상기 패스워드를 포함하는 보안 저장부; 를 포함하는, a security storage unit which is stored and utilized by the security control unit as a part of the metadata and includes a setting value according to the security mode and the password; containing,
    플래시 스토리지 시스템.flash storage system.
  10. 제9항에 있어서,10. The method of claim 9,
    상기 보안 모드는, The security mode is
    상기 사용자 영역에 대한 데이터 읽기 또는 쓰기 기능을 상기 패스워드의 확인을 거쳐 제한적으로 수행하는 읽기 또는 쓰기 잠금 모드; 및 a read or write lock mode in which a function of reading or writing data for the user area is restricted through confirmation of the password; and
    상기 읽기 또는 쓰기 잠금 모드와 중첩하여 설정 가능한 허용 모드; 를 포함하고,an allowable mode that can be set to overlap with the read or write lock mode; including,
    상기 허용 모드가 설정된 상태로 전원이 재인가 된 때에는, 상기 읽기 또는 쓰기 잠금 모드 설정으로 인해 잠긴 기능을 패스워드 확인 없이 허용하고, 다음번 전원 재인가 시에 상기 읽기 또는 쓰기 잠금 모드로 복귀하도록 구성된,configured to allow a function locked due to the read or write lock mode setting without password confirmation when power is re-applied with the allow mode set, and to return to the read or write lock mode when the power is re-applied next time,
    플래시 스토리지 시스템.flash storage system.
PCT/KR2021/012421 2020-12-16 2021-09-13 Flash storage system having in-built security function WO2022131489A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2020-0176360 2020-12-16
KR1020200176360A KR102422680B1 (en) 2020-12-16 2020-12-16 Flash Storage System Having Embedded Security Program

Publications (1)

Publication Number Publication Date
WO2022131489A1 true WO2022131489A1 (en) 2022-06-23

Family

ID=82057881

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2021/012421 WO2022131489A1 (en) 2020-12-16 2021-09-13 Flash storage system having in-built security function

Country Status (2)

Country Link
KR (1) KR102422680B1 (en)
WO (1) WO2022131489A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4209773A1 (en) 2021-08-27 2023-07-12 Lg Chem, Ltd. System and method for predicting physical properties of multilayer material

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070021849A (en) * 2005-08-20 2007-02-23 삼성전자주식회사 A method for managing a flash memory and a flash memory system
KR20070105359A (en) * 2005-02-16 2007-10-30 사이프레스 세미컨덕터 코포레이션 Usb secure storage apparatus and method
KR20080111219A (en) * 2007-06-18 2008-12-23 (주)케이티에프테크놀로지스 Method of changing funtion mode in compound usb device and compound usb device using the same
US20120096217A1 (en) * 2010-10-15 2012-04-19 Kyquang Son File system-aware solid-state storage management system
US10656854B1 (en) * 2019-10-22 2020-05-19 Apricorn Method and portable storage device with internal controller that can self-verify the device and self-convert the device from current mode to renewed mode without communicating with host

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070105359A (en) * 2005-02-16 2007-10-30 사이프레스 세미컨덕터 코포레이션 Usb secure storage apparatus and method
KR20070021849A (en) * 2005-08-20 2007-02-23 삼성전자주식회사 A method for managing a flash memory and a flash memory system
KR20080111219A (en) * 2007-06-18 2008-12-23 (주)케이티에프테크놀로지스 Method of changing funtion mode in compound usb device and compound usb device using the same
US20120096217A1 (en) * 2010-10-15 2012-04-19 Kyquang Son File system-aware solid-state storage management system
US10656854B1 (en) * 2019-10-22 2020-05-19 Apricorn Method and portable storage device with internal controller that can self-verify the device and self-convert the device from current mode to renewed mode without communicating with host

Also Published As

Publication number Publication date
KR102422680B1 (en) 2022-07-18
KR20220086165A (en) 2022-06-23

Similar Documents

Publication Publication Date Title
US20080046997A1 (en) Data safe box enforced by a storage device controller on a per-region basis for improved computer security
TWI398792B (en) Method and system of digital key
EP2367135B1 (en) Adapter for portable storage medium and method of disabling data access
WO2018212474A1 (en) Auxiliary memory having independent recovery area, and device applied with same
WO2022131489A1 (en) Flash storage system having in-built security function
US7620994B2 (en) Data recording system and data access method
US20110082993A1 (en) Hard ware data protection device
KR20060119989A (en) Device for secure access to digital media contents, virtual multi-interface driver and system for secure access to digital media contents
CN1235227C (en) Portable readable and writable memory with USB interface and its data management method
US20180239912A1 (en) Data security method and local device with switch(es)
US20050182860A1 (en) Method for operating a peripheral device on a bus system of a computer system
JP3182425B2 (en) Method and apparatus for protecting ROM data
JPH07104882A (en) Portable computer system
CN104361298B (en) The method and apparatus of Information Security
US20080199057A1 (en) Portable storage device with fingerprint identification function
US11947466B2 (en) Storage device, nonvolatile memory system including memory controller, and operating method of the storage device
JP4480513B2 (en) Information leakage prevention device for HDD
US6516999B1 (en) Method of protecting data stored in the memory device of a computer system and equipment to carry out this method
KR101629740B1 (en) Apparatus and Method of Information Storage with Independent Operating System
WO2020246711A1 (en) File system protection apparatus and method in auxiliary storage device
WO2020222453A1 (en) Device and method for managing recovery information of auxiliary storage device
US20240143236A1 (en) Memory system
KR102597220B1 (en) Method and system for sanitizing data
JP2019105940A (en) Storage control device and storage control method
WO2022169017A1 (en) Data protection system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21906794

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21906794

Country of ref document: EP

Kind code of ref document: A1