JP6938602B2 - Data security system with encryption - Google Patents
Data security system with encryption Download PDFInfo
- Publication number
- JP6938602B2 JP6938602B2 JP2019223413A JP2019223413A JP6938602B2 JP 6938602 B2 JP6938602 B2 JP 6938602B2 JP 2019223413 A JP2019223413 A JP 2019223413A JP 2019223413 A JP2019223413 A JP 2019223413A JP 6938602 B2 JP6938602 B2 JP 6938602B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- mobile device
- self
- data
- data security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/021—Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- Lock And Its Accessories (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Alarm Systems (AREA)
Description
本発明は、一般に電子装置に関し、より詳細にはメモリ装置に関する。 The present invention relates generally to electronic devices, and more specifically to memory devices.
セキュリティは、コンピュータの使用におけるほぼあらゆる面で重要な問題である。コンピュータに接続されるハードディスクドライブなどの記憶媒体には、データ盗難リスクのある貴重な情報が含まれている。個人情報、企業情報、および政府のセキュリティ情報を保護するために多額の資金と努力が払われている。 Security is an important issue in almost every aspect of computer use. Storage media, such as hard disk drives, that are connected to your computer contain valuable information that poses a risk of data theft. A great deal of money and effort has been put into protecting personal, corporate and government security information.
ポータブルメモリストレージ装置は、小型になり、紛失し易くなり、一層ユビキタス化し、安価になり、その上、メモリ容量が増えてきているので、セキュリティ上の問題が顕著になっている。ユニバーサルシリアルバスフラッシュドライブおよびマイクロドライブ、携帯電話、ビデオカメラ、デジタルカメラ、iPOD、MP3/4プレーヤー、スマートフォン、パームコンピュータ、ラップトップコンピュータ、ゲーム機器、オーセンティケータ、トークン(メモリを含む)等のポータブルメモリストレージ装置、一般には大容量ストレージ装置(MSD)に、大量の情報を秘密裏にダウンロードすることが可能である。 Portable memory storage devices are becoming smaller, easier to lose, more ubiquitous, cheaper, and have more memory capacity, making security issues more prominent. Universal serial bus Portable such as flash drive and microdrive, mobile phone, video camera, digital camera, iPOD, MP3 / 4 player, smartphone, palm computer, laptop computer, game device, authenticator, token (including memory) A large amount of information can be secretly downloaded to a memory storage device, generally a large capacity storage device (MSD).
具体的には、コンピュータから情報を簡単にダウンロードして持ち去ることのできる、バックアップ用、転送用、中間記憶用、および主記憶用の様々なMSDがある。どんなMSDであってもその主目的は、「ポータブルコンテンツ」つまり特定のコンピュータではなく特定の所有者に紐付けられたデータ及び情報を格納して取り出すことである。 Specifically, there are various MSDs for backup, transfer, intermediate storage, and main memory that allow you to easily download and take away information from your computer. The main purpose of any MSD is to store and retrieve "portable content", that is, data and information associated with a particular owner rather than a particular computer.
最も一般的なストレージセキュリティ提供手段は、コンピュータに入力したパスワードでユーザを認証することである。パスワードは、MSD格納値に対して検証され、一致した場合、ドライブが開かれることとなる。あるいは、パスワード自体がMSDに格納されたデータを暗号化・復号化するための暗号鍵として使用される。 The most common storage security provider is to authenticate a user with a password entered into a computer. The password is validated against the MSD stored value and if it matches, the drive will be opened. Alternatively, the password itself is used as an encryption key for encrypting / decrypting the data stored in the MSD.
オンザフライ暗号化をサポートするドライブの場合、暗号鍵は暗号化された形式で記憶媒体に保存されることもある。暗号鍵は記憶媒体に格納されるので、標準インターフェースを迂回して記憶媒体を直接読み取りたい者がそれをすぐに利用できるようになる。したがって、暗号鍵を暗号化するための鍵としてパスワードが使用される。 For drives that support on-the-fly encryption, the encryption key may be stored on a storage medium in encrypted form. The encryption key is stored on the storage medium so that anyone who wants to bypass the standard interface and read the storage medium directly can use it immediately. Therefore, the password is used as the key to encrypt the encryption key.
自己認証ドライブの場合、それらの認証サブシステムがセキュリティ維持の責任を担い、その接続先のホストコンピュータに依存することはない。したがって、MSDをアンロックするためにホストからパスワードは送信され得ない(その必要がない)。実際、記憶媒体に暗号鍵を保存する必要は最早なくなっており、認証サブシステムは、暗号鍵を管理する手段になっている。 In the case of self-authenticated drives, those authentication subsystems are responsible for maintaining security and do not depend on the host computer to which they are connected. Therefore, the host cannot (and does not need to) send a password to unlock the MSD. In fact, it is no longer necessary to store cryptographic keys on storage media, and authentication subsystems have become a means of managing cryptographic keys.
したがって、セキュリティ向上が依然として必要とされている。消費者の期待の高まりと、市場における有意な製品差別化の機会の薄れとともに、商業的競争圧力がいっそう高まっていることを鑑みると、これらの問題の解決策を見出すことが重要である。さらに、コストを削減し、効率とパフォーマンスを向上させ、競争圧力に対応する必要性によって、これらの問題に対する解決策を見出すための緊急性がさらに高まっている。 Therefore, security improvements are still needed. Given rising consumer expectations and diminishing opportunities for significant product differentiation in the market, as well as increasing commercial competitive pressure, it is important to find solutions to these problems. In addition, the need to reduce costs, improve efficiency and performance, and respond to competitive pressures further increases the urgency to find solutions to these problems.
これらの問題の解決策は長い間求められてきたが、先の開発は何ら解決策を教示も示唆もしておらず、したがってこれらの問題に対する解決策は長きにわたって当業者に見つけられずにいる。 Solutions to these problems have long been sought, but previous developments have neither taught nor suggested any solutions, and therefore solutions to these problems have long been unseen by those skilled in the art.
本発明は、データセキュリティシステムの動作方法を提供するものであり、その方法は、モバイル装置にデータセキュリティシステムとの接続のためのデータセキュリティシステムアプリケーションを提供する工程と、データセキュリティシステムアプリケーションを起動する工程と、データセキュリティシステムとモバイル装置との接続状態を維持する工程とを含む。 The present invention provides a method of operating a data security system, the method of providing a data security system application for connecting to a data security system to a mobile device and invoking the data security system application. It includes a process and a process of maintaining a connection between the data security system and the mobile device.
本発明は、データセキュリティ送受信器または受信器と、前記データセキュリティ送受信器または受信器に動作可能に接続された認証サブシステムと、前記認証サブシステムに接続されたストレージサブシステムとを備えるデータセキュリティシステムを提供する。 The present invention comprises a data security transceiver or receiver, an authentication subsystem operably connected to the data security transmitter / receiver or receiver, and a storage subsystem connected to the authentication subsystem. I will provide a.
本発明の特定の実施形態は、上記の態様に加えてまたはその代わりに他の態様を有する。それら態様は、添付図面を参照して以下の詳細な説明を読むことにより、当業者に明らかになるであろう。 Certain embodiments of the invention have other aspects in addition to or in place of the above aspects. Those aspects will become apparent to those skilled in the art by reading the detailed description below with reference to the accompanying drawings.
以下の実施形態は、当業者が本発明を実施し使用することができるように十分に詳細に記載されている。本開示に基づく他の実施形態が明らかであり、本発明の範囲から逸脱することなくシステム、プロセス、または機械的変更を行い得ると理解されたい。 The following embodiments are described in sufficient detail so that those skilled in the art can practice and use the present invention. It is to be understood that other embodiments under this disclosure are obvious and that system, process, or mechanical modifications can be made without departing from the scope of the invention.
以下、本発明を完全に理解できるように多くの特定の詳細を説明する。しかしながら、本発明は、これらの特定の詳細なしに実施され得ることは明らかであろう。いくつかの周知の回路、システム構成、および処理工程については、本発明を不明瞭にすることを避けるために詳細に開示していない。 In the following, many specific details will be described so that the present invention can be fully understood. However, it will be clear that the present invention can be practiced without these particular details. Some well-known circuits, system configurations, and processing steps are not disclosed in detail to avoid obscuring the present invention.
同様に、システムの実施形態を示す図面は、半概略図であり、一定の縮尺ではなく、特に、図面の明瞭化目的で大きさを示しており、図面に誇張されて示されている。いくつかの特徴を共通に有する複数の実施形態が開示され記載されている場合、それらの図示、説明、および理解を明瞭にするために、類似または同様の特徴は、通常、類似または同一の参照番号を付して記述する。同様に、説明を容易にするために図面の視点は概して同様の配向で示すが、この図示の仕方は大部分において任意である。一般に、本発明は任意の配向で実施され得る。 Similarly, the drawings showing embodiments of the system are semi-schematics, not at a constant scale, but are shown in size, especially for the purpose of clarifying the drawings, and are exaggerated in the drawings. When multiple embodiments having some features in common are disclosed and described, similar or similar features are usually referred to as similar or identical references in order to clarify their illustration, description, and understanding. Describe with a number. Similarly, the viewpoints of the drawings are generally shown in similar orientations for ease of explanation, but this illustration is largely arbitrary. In general, the invention can be practiced in any orientation.
本明細書で使用される「システム」という用語は、その用語が使用される文脈に応じて、本発明の方法および装置を指し、本発明の方法としておよび装置として定義される。本明細書で使用される「方法」という用語は、装置の動作工程を指し、その動作工程として定義される。 As used herein, the term "system" refers to the methods and devices of the invention, depending on the context in which the term is used, and is defined as the methods and devices of the present invention. As used herein, the term "method" refers to the operating process of an apparatus and is defined as that operating process.
便宜のためであって限定するものではないが、「データ」という用語は、コンピュータによって生成またはコンピュータに格納できる情報として定義される。「データセキュリティシステム」という用語は、記憶媒体を組み込んだ任意の可搬型メモリ装置を意味するものとして定義される。本明細書で使用する「記憶媒体」という用語は、ソリッドステート、NANDフラッシュ、および/または磁気データ記録システムを指し、それらと定義される。「ロックされた」という用語は、記憶媒体にアクセスできない状態のデータセキュリティシステムを指し、「アンロックされた」という用語は、記憶媒体にアクセス可能な状態のデータセキュリティシステムを指す。 For convenience, but not limited to, the term "data" is defined as information that can be generated or stored by a computer. The term "data security system" is defined to mean any portable memory device that incorporates a storage medium. As used herein, the term "storage medium" refers to and is defined as solid state, NAND flash, and / or magnetic data recording systems. The term "locked" refers to a data security system in which the storage medium is inaccessible, and the term "unlocked" refers to a data security system in which the storage medium is accessible.
ストレージ装置を耐改竄性にするには、一般的に2つの方法があり、第1は、構成要素にエポキシを塗布する方法であり、プリント回路基板に塗布されたエポキシ樹脂は、記憶媒体を破壊せずにストレージ装置を分解することを困難にできる。第2は、メモリデータを暗号化する方法であり、データは記憶媒体に書き込まれるときに暗号化され、そのデータを解読(decipher)するためには暗号鍵が必要とされる。 There are generally two ways to make a storage device tamper resistant, the first is to apply epoxy to the components, and the epoxy resin applied to the printed circuit board destroys the storage medium. It can be difficult to disassemble the storage device without doing so. The second is a method of encrypting memory data. The data is encrypted when it is written to a storage medium, and an encryption key is required to decrypt the data.
図1を参照すると、本発明の一実施形態によるデータセキュリティシステム100の概略図が示されている。データセキュリティシステム100は、外部通信チャネル102と、認証サブシステム104と、ストレージサブシステム106とからなる。
Referring to FIG. 1, a schematic diagram of a
ストレージサブシステム106は、インターフェースコントローラ108、暗号化エンジン110、及び記憶媒体112を含む電子回路である。記憶媒体112は、内蔵または外付けのハードディスクドライブ、USBフラッシュドライブ、ソリッドステートドライブ、ハイブリッドドライブ、メモリカード、テープカートリッジ、および光ディスク(例えば、ブルーレイディスク、デジタル多用途ディスクすなわちDVD、およびコンパクトディスクすなわちCD)を含む任意の光学式媒体であってよい。記憶媒体112は、データ保護装置、アーカイブ記憶システム、およびクラウドデータストレージシステムを含むことができる。クラウドストレージシステムは、ブラウザアプリケーションにインストールされたプラグインアプリケーションまたは拡張ソフトウェアを使用して、ホストコンピュータに、または有線のまたはRFのまたは光学式の無線ネットワークを介してホストコンピュータに結合された別のシステムに、またはワールドワイドウェブにアクセスすることができる。
The
インターフェースコントローラ108は、ソフトウェアまたはハードウェアの暗号化エンジン110を備えたマイクロコントローラなどの電子コンポーネントを含むが、暗号化エンジン110は、ストレージサブシステム106内の別個のコントローラ内にあってもよい。
The
認証サブシステム104は、電気的に消去可能なプログラマブルリードオンリーメモリ(EEPROM)などの不揮発性メモリをそれ自身が有することがあるマイクロコントローラのような認証コントローラ114を含む電子回路である。
The
外部通信チャネル102は、ホストコンピュータシステム120とのデータ交換手段を提供する。ユニバーサルシリアルバス(USB)は、データセキュリティシステム100をホストコンピュータシステム120に接続する最も一般的な手段の1つである。外部通信チャネル102の他の例には、Firewire、無線USB、シリアルATA(SATA)、高詳細度マルチメディアインターフェース(HDMI(登録商標))、RS−232(RecommendedStandard232)、および無線周波数無線ネットワークが含まれる。
The
インターフェースコントローラ108は、USBパケットデータを、USBフラッシュドライブ内の記憶媒体112に書き込むことができるデータに変換することができる。
暗号化エンジン110は、インターフェースコントローラ108の一部として実装され、ホストコンピュータシステム120からのクリアテキストおよび/またはデータ(情報)を受け取り、それをMSDまたは記憶媒体112に書き込まれる暗号化された形式に変換する。暗号化エンジン110は、記憶媒体112からの暗号化情報を変換し、それをホストコンピュータシステム120用のクリア情報に復号する。暗号化エンジン110は、通信プロトコル、メモリ、および他の動作条件を管理しながらオンザフライでデータを暗号化/復号化する暗号化機能を有する暗号コントローラと、通信、暗号鍵管理、および暗号化コントローラとの通信を取り扱うための通信/セキュリティコントローラとを有する2つのコントローラサブシステムであってもよい。
The
The
暗号化エンジン110は、情報を暗号化/復号化するために暗号鍵116を必要とする。暗号鍵116は、データを判読不能にまたは判読可能にするためにデータを暗号化アルゴリズムで暗号化/復号化するアルゴリズム(例えば、256ビットの高度暗号化規格(AES)暗号化)において使用される。暗号鍵116は、認証コントローラ114の内部または外部のいずれかに格納することができる。
The
識別番号または鍵を有するユーザ122が認証鍵118に対して確認されると、暗号鍵116が認証サブシステム104によって暗号化エンジン110に送信される。
本発明の様々な実施形態の可搬型メモリストレージ装置は、認証鍵118および暗号鍵116を使用することによって、以前はそのような装置では利用できなかった極めて高いレベルのセキュリティを提供できることが分かった。
When the
It has been found that the portable memory storage devices of various embodiments of the present invention can provide an extremely high level of security that was not previously available in such devices by using the
データセキュリティシステム100がロックされると、認証鍵118は認証サブシステム104の内部に残り、外部からは読み取ることができない。認証鍵118を隠す一つの方法は、認証鍵118を認証サブシステム104内の認証コントローラ114に格納することである。認証制御部114の安全ヒューズを設定することにより、ユーザ122が確認されて認証制御部114が取り出しを許可しない限り、認証鍵118にアクセスすることを不可能にする。多くのマイクロコントローラには、安全ヒューズが装備されており、その安全ヒューズが飛ぶと内部メモリにアクセスできなくなる。これは公知で広く使用されているセキュリティ機能である。このようなマイクロコントローラを認証コントローラ114に使用できる。認証コントローラ114は、マイクロコントローラまたはマイクロプロセッサとすることができる。
When the
認証鍵118は、いくつかの機能において使用することができ、1…情報を直接暗号化/復号化するための暗号鍵116として使用でき、2…インターフェースコントローラ108によってアクセスすることができるデータセキュリティシステム100に記憶された暗号鍵116を回復するための鍵として使用でき、3…外部通信チャネル102を起動するためにインターフェースコントローラ108によって直接比較するために使用できる。
The
図2を参照すると、データセキュリティシステム100を用いて使用される認証鍵配信方法が示されている。この図では、認証鍵118と暗号鍵116は同一である。暗号化エンジン110は、暗号鍵116として認証鍵118を用いる。
With reference to FIG. 2, an authentication key distribution method used by using the
ユーザ122は、ユーザ識別情報202(番号または鍵)を認証サブシステム104に提供することによって、認証サブシステム104と対話しなければならない。認証サブシステム104は、ユーザ122を認証鍵118に対して認証する。次に、認証サブシステム104は、暗号鍵116として認証鍵118をインターフェースコントローラ108に送信する。
The
インターフェースコントローラ108内の暗号化エンジン110は、チャネル206に沿ってクリア情報を暗号化情報に変換したり暗号化情報をクリア情報に変換するのにその認証鍵118を使用する。暗号鍵116なしで記憶媒体112から暗号化情報を読み取ろうとする試みは、どんなコンピュータによっても使用できない情報をもたらすだけであろう。
The
図3を参照すると、ユーザ122がデータセキュリティシステム300と対話するための別のシステムが図示されている。この対話は、物理的接触、有線接続、または携帯電話、スマートフォン、スマートウォッチ、ウェアラブル機器、または他のワイヤレス装置からの無線接続によるものであり得る、通信コンビネーション301によって行うことができる。
With reference to FIG. 3, another system for the
一認証システムでは、モバイル送受信器302を使用して、ユーザ識別情報304を認証サブシステム310内のデータセキュリティ送受信器306に送信する。例示目的で、双方向通信の柔軟性のために複数の送受信器を使用しているが、単方向通信用の送受信機の組み合わせも使用できる。認証サブシステム310は、ストレージサブシステム106内のインターフェースコントローラ108に接続された認証コントローラ114を含む。ユーザ識別情報304は、データセキュリティシステム300のストレージサブシステム106の外部からモバイルトランシーバ302によって認証サブシステム310内のデータセキュリティ送受信器306に供給される。無線通信は、ワイファイ(WiFi)、ブルートゥース(BT(登録商標))、ブルートゥーススマート、近距離通信(NFC)、全地球測位システム(GPS)、光、セルラー通信(例えば、LTE−A)、符号分割多元接続(CDMA)、広帯域符号分割多元接続(WCDMA(登録商標))、ユニバーサル移動体通信システム(UMTS)、無線ブロードバンド(WiBro)、または移動通信用グローバルシステム(GSM(登録商標))等を含むことができる。
In one authentication system, the mobile transmitter / receiver 302 is used to transmit the
認証サブシステム310は、モバイル送受信器302から送信されたコードが認証鍵118に対して照合されたものであることによって、ユーザ122を認証鍵118に対して認証する。次に、認証サブシステム310は、暗号鍵116を通信コンビネーション301を介してインターフェースコントローラ108に送信する。
The
次いで、暗号化エンジン110は、チャネル206に沿ってクリア情報を暗号化情報に変換したり暗号化情報をクリア情報に変換するのに暗号鍵116を使用する。暗号鍵116なしで記憶媒体112から暗号化情報を読み取ろうとしても、ホストコンピュータシステム120によって使用不可能な情報が得られるだけであろう。
The
任意選択の第2の認証機構では、認証サブシステム310が、ユーザ122にバイオメトリックセンサ320を使用させて、そのユーザの身元が認証されたユーザであると確認するためのバイオメトリック入力322を供給させることによって、認証鍵118に対してユーザ122が認証される。生体認証の種類には、指紋、虹彩スキャン、声紋などがある。
In an optional second authentication mechanism, the
任意選択の第3の認証機構では、認証サブシステム310が、ユーザ122に電気機械式入力機構330を使用させて、そのユーザの身元が認証されたユーザであると確認するための固有コード332を供給させることによって、ユーザ122を認証鍵118に対して認証する。固有コード332は、PINなどの、数値、英数字またはアルファベットコードを含むことができる。電気機械式入力機構330は、認証サブシステム310内にある。電気機械式入力機構330は、ユーザ122からの固有コード332をデータセキュリティシステム300の外部から受信する。固有コード332は、データセキュリティシステム300のストレージサブシステム106の外部から認証サブシステム310内の電気機械式入力機構330に供給される。
In the third optional authentication mechanism, the
ユーザ122の照合にどちらの方法を使用するにしても、ユーザ122が認証されるまで、認証鍵118および暗号鍵116は隠されたままである。
図4を参照すると、ユーザ122がホストコンピュータシステム120を使用してデータセキュリティシステム400と対話する方法が示されている。
Whichever method is used to match the
Referring to FIG. 4, a method is shown in which the
ホストコンピュータシステム120は、ホストアプリケーション402を備えている。ホストアプリケーション402は、データセキュリティシステム400の外部通信チャネル102を介して通信するソフトウェアまたはファームウェアである。
The
ホストアプリケーション402は、内部コンポーネント(例えばハードドライブ)の通し番号、ネットワークカードのメディアアクセス制御(MAC)アドレス、ユーザのログイン名、ネットワークインターネットプロトコル(IP)アドレス、データセキュリティシステムによって作成されてホストに保存されたID、データセキュリティシステムによって作成されてネットワークに保存されたIDなどの、環境に関連付けられた、ホスト識別子406を配信する。ホスト識別子406は、データセキュリティシステム400内の認証サブシステム408によって使用される。
The
認証サブシステム408が、ホスト識別子406を検証することによってユーザ122を認証鍵118に対して認証すると、データセキュリティシステム400はアンロックになる。
When the
例えば、ユーザ122は、ロックされているデータセキュリティシステム400をホストコンピュータシステム120に接続する。ホストアプリケーション402は、そのネットワークカードのMACアドレスをデータセキュリティシステム400に送信する。データセキュリティシステム400は、図1のユーザ122にユーザ識別情報を入力させることなしで、このMACアドレスが正当であると認識し、アンロックになる。これは、ユーザ122との対話を必要としない実装例である。この場合、検証されるのはホストコンピュータシステム120およびそれに関連付けられた環境である。
For example,
データセキュリティシステム400は、認証サブシステム104に格納された認証鍵118を提供すること、認証サブシステム104によってホストコンピュータシステム120を検証すること、認証サブシステム104によって暗号鍵116をストレージサブシステム106に提示すること、記憶媒体のコンテンツを解読することによってストレージサブシステム106による記憶媒体112へのアクセスを可能にすることを含む。
The
データセキュリティシステムは、バイオメトリック入力を解釈しユーザ122を検証するための認証サブシステム104をさらに含む。
データセキュリティシステムはさらに、認証鍵118を暗号鍵116として直接使用することを含む。
The data security system further includes an
The data security system further includes using the
データセキュリティシステムはさらに、認証鍵118を使用して、内部コンテンツを解読するのに使用される暗号鍵116を解読及び取り出すことを含む。
データセキュリティシステムは、信号入力の解釈および送信ユニットの検証のための認証サブシステム104をさらに含む。
The data security system further includes using the
The data security system further includes an
データセキュリティシステムは、手動入力された入力の解釈およびユーザ122の検証のための認証サブシステム104をさらに含む。
データセキュリティシステムはさらに、ホストコンピュータシステム120の検証のためのホスト常駐ソフトウェアアプリケーションによって送られた入力を解釈するための認証サブシステム104を含む。
The data security system further includes an
The data security system further includes an
データセキュリティシステムは、インターフェースコントローラ108の外部にある暗号化エンジン110であって、クリアデータをデータセキュリティシステム100をアンロックするための暗号化データに変換する目的で外部通信チャネル102に接続された暗号化エンジン110をさらに含む。
The data security system is an
図5を参照すると、データセキュリティシステム100に対するユーザ検証を用いるデータセキュリティ方法500が示されている。データセキュリティ方法500は、ブロック502において認証鍵に対してユーザを検証する工程と、ブロック504において暗号鍵を取り出すために認証鍵を使用する工程と、ブロック506においてホストコンピュータシステムと記憶媒体との間のストレージサブシステムを介した暗号化されていない通信を可能にするために暗号鍵を使用する工程とを含む。
With reference to FIG. 5, a
図6を参照すると、例示的なデータセキュリティ通信システム600が示されている。例示的なデータセキュリティ通信システム600は、モバイル装置610、データセキュリティシステム(DSS)620、ホストコンピュータ630、およびサーバ/コンソール640を含む。モバイル装置610およびサーバ/コンソール640は、有線接続によって、またはインターネットクラウドであり得るクラウド650を介する無線接続によって接続される。モバイル装置610とデータセキュリティシステム620は、通信コンビネーション301によって接続される。
With reference to FIG. 6, an exemplary data
例示的なデータセキュリティ通信システム600における通信コンビネーション301は、データセキュリティシステム620内のデータセキュリティ送受信器624のアンテナ622と無線通信するアンテナ614を有するモバイル装置610内のモバイル送受信器612を含む。
The
一実施形態では、モバイル装置610は、スマートフォンであってよい。モバイル装置610において、モバイル送受信器612は、従来のモバイル装置コンポーネントと接続されてよく、またデータセキュリティシステム620と共に使用される情報を提供するデータセキュリティシステムSS)アプリケーション618と接続されてよい。
In one embodiment, the
データセキュリティ送受信器624は、セキュリティコントローラ626に接続されているが、このセキュリティコントローラ626には、異なるモバイル装置のものを含めて、データセキュリティシステム620にアクセスすることができる識別情報、パスワード、プロフィール等の情報を保有させることができる。セキュリティコントローラ626は、認証サブシステム310、ストレージサブシステム106(一部の実施形態では、データを暗号化するための暗号を有することができる)、および外部通信チャネル102と同様のサブシステムに接続される。
The data security transmitter /
外部通信チャネル102は、ホストコンピュータ630に接続可能であり、規定状況下でストレージサブシステム106内のデータへのアクセスを可能にする。
データセキュリティシステム620の一実装例では、図3のバイオメトリックセンサ320および電気機械式入力機構330を省略し、スマートフォン等のモバイル装置610への無線リンクのみを有するものとすることができる。この実装例は、データセキュリティシステム620をより安全で有用にできることが分かった。
The
In one implementation example of the
データセキュリティシステムアプリケーション618は、モバイル装置610がモバイル装置610の近くのすべてのデータセキュリティシステムを発見し、それらのステータス(ロック/アンロック/ブランク、ペアあり/ペアなしなど)を示すことを可能にする。
The data
データセキュリティシステムアプリケーション618は、モバイル装置610が接続/ペアリング、ロック、アンロック、名前とパスワードの変更、およびデータセキュリティシステム620上のすべてのデータのリセットをできるようにする。
The data
データセキュリティシステムアプリケーション618は、データセキュリティシステム620が所定長さの非アクティブ期間の後に自動的にロックする非アクティブオートロックモードをモバイル装置610が設定できるようにし、または、予め定められた期間にわたってモバイル装置610が所定の近接範囲内にないときにデータセキュリティシステム620が(信頼性を改善し、信号のデバウンスを回避するために)ロックされるように近接オートロックモードをモバイル装置610が設定できるようにする。
The data
データセキュリティシステムアプリケーション618は、モバイル装置610がパスワードを記憶し、TouchIDおよびAppleWatchを使用することを可能にする(TouchIDおよびAppleWatchの両方が例としてのみ挙げられているが、バイオメトリックセンサおよびウェアラブルを有する多くの他のモバイル装置が存在する同様のモードで使用される)ことで、モバイル装置へのパスワードの再入力なしでデータセキュリティシステム620はアンロックされ得る。
The data
データセキュリティシステムアプリケーション618は、他のモバイル装置ではデータセキュリティシステム620をアンロックできなくするために、モバイル装置610などの特定のモバイル装置があるときにのみ動作するようにモバイル装置610を設定できる(1Phone)。
The data
データセキュリティシステムアプリケーション618は、モバイル装置610がデータセキュリティシステム620を読み取り専用モードに設定することを可能にする。
データセキュリティシステムアプリケーション618は、モバイル装置610がユーザモードまたは管理者モード(管理者モードはユーザ設定を無視する)で動作し、サーバ/コンソール640を使用することを可能にする。サーバ/コンソール640は、コンピュータと、そのコンピュータに情報を入力するためのコンソールとの組み合わせである。
The data
The data
サーバ/コンソール640はユーザ管理データベース642を含み、このユーザ管理データベース642は、モバイル装置610に追加の機能を与えるためにクラウド650を介してモバイル装置610に送信され得る追加の情報を含む。
The server /
ユーザ管理データベース642は、サーバ/コンソール640が、ユーザID(ユーザ名およびパスワード)を使用してユーザを作成および識別し、データセキュリティシステム620のアンロックを禁止/許可し、遠隔ヘルプを提供することを可能にする。
The
ユーザ管理データベース642は、サーバ/コンソール640がデータセキュリティシステム620を遠隔からリセットまたはアンロックすることを可能にする。
ユーザ管理データベース642は、サーバ/コンソール640がデータセキュリティシステムユーザPINを遠隔的に変更することを可能にする。
The
The
ユーザ管理データベース642は、サーバ/コンソール640が(ジオフェンシングの使用によって)特定の場所からデータセキュリティシステム620をアンロックすることを制限/許可することを可能にする。
The user-managed
ユーザ管理データベース642は、サーバ/コンソール640が、データセキュリティシステム620のアンロックを規定時間期間および異なる時間帯に制限/許可することを可能にする。
The
ユーザ管理データベース642は、サーバ/コンソール640が、規定チーム/組織/ネットワーク等の外によるデータセキュリティシステム620のアンロックを制限することを可能にする。
The
図7を参照すると、モバイル装置610とデータセキュリティシステム620との間の動作シーケンスを示す管理者シーケンス図が示されている。
まず、装置とシステムとの相互発見、装置とシステムとのペアリング、および装置とシステムとの接続によって、データセキュリティシステム620とモバイル装置610との接続状態700が確立される。この接続状態700は共有秘密情報の使用によって保護され、その共有秘密情報は、その後の通信セッションの間、データセキュリティシステム620とモバイル装置610との間の通信を保護(暗号化)するために使用される。データセキュリティシステム620上で実行するのに効率的でかつ世界的なセキュリティ規格に承認される標準的な暗号化アルゴリズムが選択される。
Referring to FIG. 7, an administrator sequence diagram showing an operation sequence between the
First, the
データセキュリティシステム620とモバイル装置610とが互いに所定の距離内にある限り、データセキュリティシステムアプリケーション618によってまたはセキュリティコントローラ628によってまたはそれら両者が協働して接続状態700は維持される。その所定の距離から離れた場合、所定の時間期間にわたって接続状態700が維持された後、データセキュリティシステム620はロックされる。
As long as the
モバイル装置610とデータセキュリティシステム620との接続後、モバイル装置610においてデータセキュリティシステム管理者アプリケーション開始動作702が行われる。次に管理者パスワード動作704において管理者がパスワードを設定する。モバイル装置610とデータセキュリティシステム620との接続後、データセキュリティシステム接続、給電、発見可能化動作706において、データセキュリティシステム620は、データセキュリティシステム620内のホストコンピュータ630によって給電されるとともに発見可能となるように図6のホストコンピュータ630に接続される。
After the connection between the
管理者パスワード動作704の後、モバイル装置610は、管理者パスワード設定およびアンロック信号708をデータセキュリティシステム620に送信する。管理者パスワード設定及びアンロック信号708は、データセキュリティシステム620において、管理者パスワード設定及びデータセキュリティシステムアンロック動作716を生じさせる。
After the administrator password operation 704, the
管理者パスワード設定およびデータセキュリティシステムアンロック動作716が完了すると、データセキュリティシステムアンロックの確認信号712がモバイル装置610に送信され、モバイル装置610において管理者動作714としてのデータセキュリティシステムアンロックの確認が実行される。管理者動作714としてのデータセキュリティシステムアンロックの確認があると、モバイル装置610を使用して実行される他の制限の設定動作716が許可される。他の制限の設定動作716があると、管理者制限設定信号718がデータセキュリティシステム620へと送信され、データセキュリティシステム620において管理者制限が設定され、制限設定確認信号720がモバイル装置610に返信される。その後、モバイル装置610およびデータセキュリティシステム620は、完全に動作可能な通信状態である。
When the administrator password setting and the data security system unlock
データセキュリティシステム620と物理的接触を持つことなくデータセキュリティシステム620と通信することが可能なので、データセキュリティシステム620との重要な対話には、データセキュリティシステム620自体に印字されるかまたはデータセキュリティシステム620のパッケージに付属したものであってデータセキュリティシステム620の所有者が容易に利用できるデータセキュリティシステム固有識別子を同伴することが必要とされる。
Since it is possible to communicate with the
この固有識別子(固有ID)は、データセキュリティシステム620のアンロックまたはリセットといったユーザデータに影響を与える動作を要求する際に必要とされる。正しい識別子なしでこれらの動作を実行しようとする試みは無視され、無害化される。この固有識別子は、ユーザがデータセキュリティシステム620上で物理的な制御を持たせるとともにモバイル装置610とデータセキュリティシステム620といった認証済みで先にペアになった装置とシステムとの接続状態700が確立されていることを検証するための方法で、モバイル装置610にデータセキュリティシステム620を識別させるのに使用される。装置のペアになると、共有秘密情報を使用して通信を機密にする。
This unique identifier (unique ID) is required when requesting an operation that affects user data, such as unlocking or resetting the
ペアリングは、モバイル装置とデータセキュリティシステムとが過去のある時点で一意でかつ決められた関係を確立し維持していることを包含する。
固有識別子は、データセキュリティシステムに対する物理的制御がユーザにあるときに、ユーザにデータセキュリティシステムに対する何らかの制御を与える。
Pairing involves establishing and maintaining a unique and defined relationship between a mobile device and a data security system at some point in the past.
The unique identifier gives the user some control over the data security system when the user has physical control over the data security system.
モバイル装置610がスマートフォンである場合にデータセキュリティシステム620との通信のセキュリティを高めるために、ユーザは本実施形態で「1Phone」と呼ぶ機能などの機能の有効化を選択することができる。この機能は、データセキュリティシステム620との重要なユーザ対話を唯一のモバイル装置610だけに限定する。これは、上述したデータセキュリティシステム固有識別子を、データセキュリティシステム620とモバイル装置610との間で安全に共有されるランダム識別子に置き換えることによって行われる。したがって、例えば、ユーザがデータセキュリティシステム620をアンロックするときに、データセキュリティシステム固有識別子を提示する代わりに、1Phone識別子を提示しなければならない。実際には、これにより、ユーザのモバイル装置610が、PINまたはパスワードに加えて、データセキュリティシステム620を使用するための第2の認証因子になる。一例として、「1Phone」として選択されペアになったユーザ電話は、PINなしで使用でき、ユーザ認証単一因子として、および/または、他のユーザ認証因子と組み合わせて、使用することができる。もしこの機能(1Phone)が選択された場合、管理者アンロックが前もって有効にされている場合を除いて、他の電話機でデータセキュリティシステム620を開くことはできない。
In order to enhance the security of communication with the
他の実施形態では、1Phone機能を使用するために、データセキュリティシステム620上で管理者パスワードを要求するようにしてよいことが理解されよう。別の実施形態では、モバイル装置610の1Phoneデータが失われた場合に、サーバ/コンソール640がデータセキュリティシステム620を回復できるようにしてもよい。
It will be appreciated that in other embodiments, an administrator password may be required on the
ユーザは、データセキュリティシステム620の近接自動ロック機能を有効化することができる。通信セッション中に、図6のデータセキュリティ送受信器624がデータセキュリティシステム620にモバイル装置610の信号強度測定値を報告する。モバイル装置610上のデータセキュリティシステムアプリケーション618は、データセキュリティシステム620に、発信元の信号出力レベルと近接範囲の閾値との両方を送信する。
The user can enable the proximity auto-lock function of the
信号強度は送受信器周辺の環境条件によって変化するので、データセキュリティシステム620は、信号強度測定値を数学的に平滑化して、偽陽性の可能性を低減する。データセキュリティシステム620は、受信した信号強度が所定の期間にわたって規定の閾値を下回ったことを検出すると、すぐにデータセキュリティシステム620をロックし、図6のストレージサブシステム106へのアクセスを防止する。
Since the signal strength varies depending on the environmental conditions around the transmitter / receiver, the
データセキュリティシステム620は、3つの異なるモードで使用することができる。すなわち、データセキュリティシステム620の機能をユーザが決定できるユーザモード、管理者が管理者パスワードを設定でき、データセキュリティシステム620に、ユーザでは解除できないいくつかの制限(例えば、所定期間の非活動後の自動ロック、読み取り専用、1Phone)を加えることができる管理者モード、および、サーバ/コンソール640がデータセキュリティシステム620を遠隔からリセットしたり、ユーザパスワードを変更したり、データセキュリティシステム620をアンロックしたりするための管理者役割を設定するサーバモードである。
The
図8を参照すると、モバイル装置610が認証因子である場合のアンロックシーケンス図が示されている。この図は、特定のモバイル装置であるモバイル装置610からのデータセキュリティシステムアプリケーション618によって開始されたデータセキュリティシステム620の自動アンロックプロセスを示す。ユーザは、データセキュリティシステム620と先にペアになった単一のモバイル装置のみを使用することができる。ペアになったモバイル装置610を紛失すると、(図7に示すように管理者パスワードが以前に設定されていない限り)データセキュリティシステム620をアンロックできないであろう。
With reference to FIG. 8, an unlock sequence diagram is shown when the
図7と類似しているが、接続状態700が確立された後にデータセキュリティシステムアプリケーション開始動作800が行われる。データセキュリティシステム接続、給電、発見可能化動作706の後に、モバイル装置610からデータセキュリティシステム620にモバイル装置IDを伴うアンロック要求信号802が送信される。データセキュリティシステムアンロック動作804が行われ、データセキュリティシステムアンロック確認信号712がデータセキュリティシステム620から送信される。データセキュリティシステムアンロック確認動作806の後、モバイル装置610およびデータセキュリティシステム620は、完全に動作可能な通信状態である。
Similar to FIG. 7, but the data security system application start operation 800 is performed after the
PIN(個人用識別番号)が設定されていない場合、ペアになったモバイル装置が1−認証因子として使用される。
図9を参照すると、モバイル装置610からのPINエントリを使用するアンロック動作を示すアンロックシーケンス図が示されている。この図は、モバイル装置610内のデータセキュリティシステムアプリケーション618にPINを入力することによって、データセキュリティシステム620をアンロックするプロセスを示す。正しいPINの入力なしでデータセキュリティシステム620をアンロックすることはできない。
If a PIN (Personal Identification Number) is not set, the paired mobile device is used as the 1-authentication factor.
Referring to FIG. 9, an unlock sequence diagram showing an unlock operation using a PIN entry from the
図7および図8と類似しているが、データセキュリティシステムアプリケーション開始動作800の後に、ユーザ名/パスワード入力動作900が行われる。ユーザ名/パスワード入力動作900の後、モバイル装置610は、サーバ/コンソール640にユーザID検証信号902を送信する。次に、サーバ/コンソール640は、ユーザ名/パスワード適正判定904を行う。
Similar to FIGS. 7 and 8, but after the data security system application start operation 800, the user name / password input operation 900 is performed. After the user name / password input operation 900, the
ユーザ名/パスワード適正判定904がユーザを検証すると、適正ユーザ信号906がモバイル装置610に送信され、モバイル装置610のPIN入力動作908においてユーザに正しいPINを入力させる。次いで、モバイル装置610は、正しいPINがサーバ/コンソール640に入力されたかどうかを判定するために、アンロック検証信号910を送信する。
When the user name / password suitability determination 904 verifies the user, a
サーバ/コンソール640は、ユーザ認証判定912を行い、ユーザが、PINが認可されている特定のデータセキュリティシステム(例えば、データセキュリティシステム620)を使用することが許可されているかどうかを判定する。認証された場合、アンロック許可信号914がモバイル装置610に送信され、モバイル装置610はアンロック要求信号916をデータセキュリティシステム620に渡す。
The server /
データセキュリティシステムアンロック動作804が実行され、データセキュリティシステムアンロック確認信号712がモバイル装置610に送信され、データセキュリティシステムアンロック動作確認806が実行される。
The data security system unlock
図10を参照すると、サーバ/コンソール640を介したPINエントリおよびユーザID/位置/時間の検証を使用するアンロック動作を示すアンロックシーケンス図が示されている。この図は、モバイル装置610からデータセキュリティシステムアプリケーション618にPINを入力し、ユーザID(ユーザ名/パスワード)を使用してサーバ/コンソール640サーバで確認することによって、および特定の場所およびある時間範囲でデータセキュリティシステム620をアンロックするためのジオフェンシング許可を検証することによって、データセキュリティシステム620をアンロックする最もセキュリティの高いプロセスを示す。データセキュリティシステム620は、PIN、ユーザ名およびパスワードの入力と、モバイル装置610が特定の(予め決められた)位置で特定の(予め決められた)時間に存在することとがなければ、アンロックできないであろう。
Referring to FIG. 10, an unlock sequence diagram showing an unlock operation using PIN entry and user ID / position / time verification via server /
図7〜図9と類似しているが、サーバ/コンソール640において、データセキュリティシステム620などの指定データセキュリティシステムが動作するのに必要な条件の設定を可能にするために、指定データセキュリティシステムアンロック動作1000が行われる。例えば、条件は、特定の地理的領域内におよび/または特定の時間枠の範囲内にあることとであってもよい。
Similar to FIGS. 7-9, but in order to allow the server /
モバイル装置610において、位置及び/又は現在時刻取得動作1002のような、現在状態の判定が行われる。この動作は、モバイル装置610がどこに位置しているか、および/または、モバイル装置610が位置している場所での現在時刻を判定するために実行される。モバイル装置610の周りの他の現在状態が判定されるとともに、アンロック検証信号1004によってサーバ/コンソール640に送信されてよく、そのサーバ/コンソール640で条件適合判定1006がなされる。
In the
所望の条件に適合したとき、アンロック許可信号1008がモバイル装置610に送信され、PIN入力動作908を実行させる。PINの入力後、PINと、モバイル装置610に動作可能に近接しているデータセキュリティシステム620の識別情報とともに、アンロック検証信号1010が送信される。検証アンロック信号1010がサーバ/コンソール640によって受信されると、データセキュリティシステム許可判定1012が行われて、認証ユーザによる指定データセキュリティシステムのアンロックが許可されることを判定する。サーバ/コンソール640は、この「特定」ユーザが指定データセキュリティシステムを使用することを認可されていると確認する。
When the desired conditions are met, an unlock permission signal 1008 is transmitted to the
正しい情報が提供されたと判定された後、サーバ/コンソール640は、モバイル装置610にアンロック許可信号914を提供し、モバイル装置610は、アンロック要求信号916を提供する。アンロック要求信号916は、データセキュリティシステム620を動作させる。
After determining that the correct information has been provided, the server /
図11を参照すると、サーバ/コンソール640を使用してデータセキュリティシステム620をリセットする動作を示すリセットシーケンス図が示されている。この図は、サーバ/コンソール640を介してデータセキュリティシステム620を遠隔からリセットできる機能を示す。データセキュリティシステム620は、ワイヤレス接続を介してモバイル装置610からのコマンドのみを受信し得る。しかしながら、サーバ/コンソール640に特定のデータセキュリティシステム(シリアルナンバーを使用)用の「リセット」フラグを設定することにより、モバイル装置610上で動作しているデータセキュリティシステムアプリケーション618は、サーバ/コンソール640にユーザ管理データベース642にある任意のフラグ/保留中要求を問い合わせることとなる。ユーザがデータセキュリティシステム620に接続すると、モバイル装置610上のデータセキュリティシステムアプリケーション618は、「リセット」待ちコマンドを実行することとなる。リセットが成功した後(すべてのユーザデータおよび資格情報が失われた後)、サーバ/コンソール640はリセットフラグを除去するので、モバイル装置610が特定のデータセキュリティシステムに次回接続されたときにリセットは実行されない。
Referring to FIG. 11, a reset sequence diagram showing an operation of resetting the
図7〜図10と類似しているが、モバイル装置610は適正ユーザ信号906に応答して、任意コマンド待ち信号1100をサーバ/コンソール640に送信してリセットコマンド判定1102を行う。リセットコマンドが存在するとき、リセット実行信号1104がモバイル装置610に送信される。
Similar to FIGS. 7 to 10, the
モバイル装置610は、セキュリティシステムリセット信号1106をデータセキュリティシステム620に送信して、データセキュリティシステムリセット動作1108を開始させる。データセキュリティシステムリセット動作1108が完了すると、データセキュリティシステム620は、データセキュリティシステムリセット確認信号1110をモバイル装置610に送信して、データセキュリティシステムリセット確認動作1112を実施させるように設定する。その後、モバイル装置610およびデータセキュリティシステム620は、リセットされたデータセキュリティシステム620と、完全に動作可能な通信状態である。
The
図12を参照すると、サーバ/コンソール640を使用してデータセキュリティシステム620をアンロックする動作を示すアンロックシーケンス図が示されている。この図は、サーバ/コンソール640を介してデータセキュリティシステム620を遠隔からアンロックできる機能を示す。データセキュリティシステム620は、ワイヤレス接続を介してモバイル装置610からのコマンドのみを受信し得る。しかしながら、特定のデータセキュリティシステム(シリアルナンバーを使用)についてサーバ/コンソール640コンソール上に「管理者アンロック」フラグを設定することにより、モバイル装置610上で動作しているデータセキュリティシステムアプリケーション618は、サーバ/コンソール640に任意のフラグ/保留中の要求を問い合わせることとなる。ユーザがデータセキュリティシステム620に接続すると、モバイル装置610上のデータセキュリティシステムアプリケーション618は、「管理者アンロック」待ちコマンドを実行する。管理者アンロックが成功した後、ユーザデータはそのままであるが、ユーザパスワードは削除される(データセキュリティシステム620はユーザによってアンロックされ得ない)。サーバ/コンソール640は、データセキュリティシステム620用のリセットフラグを除去するので、モバイル装置610がデータセキュリティシステム620に次回接続されたときにリセットは実行されない。
Referring to FIG. 12, an unlock sequence diagram showing an operation of unlocking the
図7〜図11と類似しているが、サーバ/コンソール640は、任意のコマンド待ち信号1100を受信した後、管理者パスワードでアンロックするコマンドがある場合にアンロック1200を実行する。管理者パスワード付きアンロック信号1202がモバイル装置610に送信されると、モバイル装置610は管理者パスワード付きアンロック信号1204をデータセキュリティシステム620に提供して、データセキュリティシステムアンロック動作804を開始させる。その後、モバイル装置610およびデータセキュリティシステム620は、完全に動作可能な通信状態である。
Similar to FIGS. 7-11, but the server /
図13を参照すると、サーバ/コンソール640を使用するユーザパスワード変更シーケンス図が示されている。この図は、サーバ/コンソール640を介してデータセキュリティシステム620のユーザパスワードを遠隔から変更できる機能を示す。データセキュリティシステム620が無線接続を介してモバイル装置610からのみコマンドを受信できるが、特定のデータセキュリティシステム(シリアルナンバーを使用)用の「ユーザパスワード変更」フラグをサーバ/コンソール640コンソールにセットすることによって、モバイル装置610上で動作しているデータセキュリティシステムアプリケーション618は、任意のフラグ/保留中の要求をサーバ/コンソール640に問い合わせることとなる。ユーザが自分のデータセキュリティシステム620に接続するとき、モバイル装置610にあるデータセキュリティシステムアプリケーション618は、「ユーザパスワードの変更」待ちコマンドを実行する。アンロックが成功しパスワードが変更された後、ユーザデータはそのままであるが、データセキュリティシステム620は新しいユーザパスワードでアンロックされ得る。サーバ/コンソール640は、このデータセキュリティシステム620用の「ユーザパスワードの変更」フラグを除去するので、モバイル装置610が特定のデータセキュリティシステムに次回接続されたときにユーザパスワード変更は実行されない。
Referring to FIG. 13, a user password change sequence diagram using the server /
図7〜図12と類似しているが、サーバ/コンソール640は、パスワード変更判定1300を行うことによって、任意のコマンド待ち信号1100に応答する。サーバ/コンソール640でパスワード変更があると、ユーザパスワード変更信号1302がモバイル装置610に送信され、モバイル装置610は、ユーザパスワード変更信号1304をデータセキュリティシステム620に送信する。その後、モバイル装置610およびデータセキュリティシステム620は、新しいパスワードで完全に動作可能な通信状態である。
Similar to FIGS. 7-12, the server /
データセキュリティシステムの動作方法は、モバイル装置にデータセキュリティシステムとの接続のためのデータセキュリティシステムアプリケーションを提供する工程と、前記データセキュリティシステムアプリケーションを起動する工程と、前記データセキュリティシステムと前記モバイル装置との接続状態を維持する工程とを備える。 The operation method of the data security system includes a step of providing a data security system application for connecting to the data security system to the mobile device, a step of invoking the data security system application, and the data security system and the mobile device. It is provided with a step of maintaining the connection state of.
上述の方法において、前記接続状態を維持する工程は、前記データセキュリティシステムが前記モバイル装置から所定の近接範囲内にあるときに前記接続状態を維持する。
上述の方法において、前記接続状態を維持する工程は、前記データセキュリティシステムが所定の期間にわたって前記モバイル装置から所定の近接範囲内にあるときに前記接続状態を維持する。
In the above method, the step of maintaining the connected state maintains the connected state when the data security system is within a predetermined proximity range from the mobile device.
In the method described above, the step of maintaining the connected state maintains the connected state when the data security system is within a predetermined proximity range from the mobile device for a predetermined period of time.
上記の方法において、前記接続状態を確立することは、前記データセキュリティシステムと前記モバイル装置との間の双方向通信を使用することを含む。
上記の方法において、前記接続状態を確立することは、前記データセキュリティシステムと前記モバイル装置との間の単方向通信を使用することを含む。
In the above method, establishing the connection state includes using bidirectional communication between the data security system and the mobile device.
In the above method, establishing the connection state includes using unidirectional communication between the data security system and the mobile device.
上記の方法は、前記データセキュリティシステムアプリケーションを有する前記モバイル装置と、ユーザ管理データベースを含むサーバとの間の通信をさらに備える。
上記の方法は、前記データセキュリティシステムのセキュリティコントローラにセキュリティ情報を提供する工程をさらに備える。
The method further comprises communication between the mobile device having the data security system application and a server including a user management database.
The above method further comprises a step of providing security information to the security controller of the data security system.
上記の方法は、指定データセキュリティシステムの識別情報をサーバに提供する工程と、前記データセキュリティシステムに特定識別情報を提供する工程と、前記指定データセキュリティシステムの前記識別情報が前記データセキュリティシステムの前記特定識別情報と同じであるときに前記データセキュリティシステムをアンロックする工程とを更に備える。 The above method includes a step of providing the identification information of the designated data security system to the server, a step of providing the specific identification information to the data security system, and the identification information of the designated data security system is the said of the data security system. It further includes a step of unlocking the data security system when it is the same as the specific identification information.
上記の方法において、モバイル装置に前記データセキュリティシステムアプリケーションを提供する工程は、データセキュリティシステム管理者アプリケーションを提供し、さらに、前記モバイル装置に管理者パスワードを設定することと、前記管理者パスワードを前記モバイル装置から前記データセキュリティシステムに送信することと、前記データセキュリティシステムに前記管理者パスワードを設定し、前記データセキュリティシステムをアンロックすることを含む。 In the above method, the step of providing the data security system application to the mobile device provides the data security system administrator application, further sets an administrator password to the mobile device, and sets the administrator password to the mobile device. It includes transmitting from the mobile device to the data security system, setting the administrator password in the data security system, and unlocking the data security system.
上記方法は、前記モバイル装置から前記データセキュリティシステムにモバイル装置識別情報と共にアンロック要求を提供する工程と、前記データセキュリティシステムにおいて前記アンロック要求を受信し前記データセキュリティシステムをアンロックする工程とをさらに備える。 The method comprises a step of providing an unlock request from the mobile device to the data security system together with mobile device identification information, and a step of receiving the unlock request in the data security system and unlocking the data security system. Further prepare.
上記の方法は、前記モバイル装置にユーザ名またはパスワードを入力する工程と、前記モバイル装置から前記ユーザ名またはパスワードを受信した後に前記ユーザ名またはパスワードがサーバにおいて有効であるときを判定する工程と、前記ユーザ名またはパスワードが有効である場合に、前記サーバから前記モバイル装置に通信する工程と、前記ユーザ名またはパスワードが前記データセキュリティシステムをアンロックするのに有効であるとき、前記モバイル装置から前記データセキュリティシステムに通信する工程とを更に備える。 The above method includes a step of inputting a user name or password into the mobile device, a step of determining when the user name or password is valid in the server after receiving the user name or password from the mobile device, and a step of determining when the user name or password is valid in the server. When the user name or password is valid, the step of communicating from the server to the mobile device, and when the user name or password is effective for unlocking the data security system, the mobile device is said to be said. It also has a process of communicating with the data security system.
前記上述の方法は、前記モバイル装置にユーザ名またはパスワードを入力する工程と、前記モバイル装置から前記ユーザ名またはパスワードを受信した後に前記ユーザ名またはパスワードがサーバにおいて有効であるときを判定する工程と、前記ユーザ名またはパスワードが有効である場合に前記サーバから前記モバイル装置に通信する工程と、前記モバイル装置から識別番号を受信した後に前記識別番号が前記サーバにおいて有効であるときを判定する工程と、前記サーバが前記識別番号が有効であると判定した場合に、前記モバイル装置を介して前記データセキュリティシステムをアンロックする工程とを更に備える。 The above-mentioned method includes a step of inputting a user name or password into the mobile device and a step of determining when the user name or password is valid on the server after receiving the user name or password from the mobile device. , A step of communicating from the server to the mobile device when the user name or password is valid, and a step of determining when the identification number is valid in the server after receiving the identification number from the mobile device. Further, the server further includes a step of unlocking the data security system via the mobile device when the server determines that the identification number is valid.
上記の方法は、前記モバイル装置の有効位置をサーバに提供する工程と、前記モバイル装置が前記有効位置にあるときを前記サーバにおいて判定する工程と、前記モバイル装置が前記有効位置にあると前記サーバが判定したときに、前記モバイル装置を介して前記データセキュリティシステムをアンロックする工程とをさらに備える。 The above method includes a step of providing an effective position of the mobile device to a server, a step of determining when the mobile device is in the effective position by the server, and a step of determining when the mobile device is in the effective position of the server. Further includes a step of unlocking the data security system via the mobile device when the determination is made.
上述の方法は、前記モバイル装置における前記データセキュリティシステムに対する動作の現在時刻をサーバに提供する工程と、前記モバイル装置が前記現在時刻内にあるときを前記サーバにおいて判定する工程と、前記モバイル装置が前記現在時刻を有すると前記サーバが判定した場合に、前記モバイル装置を介して前記データセキュリティシステムをアンロックする工程とをさらに備える。 The method described above includes a step of providing the server with a current time of operation of the mobile device for the data security system, a step of determining when the mobile device is within the current time, and a step of determining when the mobile device is within the current time. Further provided is a step of unlocking the data security system via the mobile device when the server determines that the server has the current time.
上記の方法は、サーバにコマンドを設ける工程と、前記モバイル装置からのコマンド待機信号に応答して前記サーバから前記モバイル装置に前記コマンドを提供する工程と、前記コマンドが前記サーバから提供されたときに、前記モバイル装置を介して前記データセキュリティシステムにおいて前記コマンドを実行する工程とをさらに備える。 The above method includes a step of providing a command to the server, a step of providing the command from the server to the mobile device in response to a command standby signal from the mobile device, and a step of providing the command from the server. Further includes a step of executing the command in the data security system via the mobile device.
上記の方法は、サーバにパスワード変更コマンドを設ける工程と、前記モバイル装置からのパスワード変更信号に応答して、前記サーバから前記モバイル装置に前記パスワード変更コマンドを提供する工程と、前記データセキュリティシステム内の変更後パスワードで前記データセキュリティシステムをアンロックする工程とをさらに備える。 The above method includes a step of providing a password change command to the server, a step of providing the password change command from the server to the mobile device in response to a password change signal from the mobile device, and a step of providing the password change command in the data security system. A step of unlocking the data security system with the password after the change of the above is further provided.
上記の方法は、前記データセキュリティシステムを電力のためにホストコンピュータに接続し、前記ホストコンピュータによって発見可能にすることをさらに備える。
データセキュリティシステムは、データセキュリティ送受信器または受信器と、前記データセキュリティ送受信器または受信器に動作可能に接続された認証サブシステムと、前記認証サブシステムに接続されたストレージサブシステムとを備える。
The above method further comprises connecting the data security system to a host computer for power and making it discoverable by the host computer.
The data security system includes a data security transceiver or receiver, an authentication subsystem operably connected to the data security transmitter / receiver or receiver, and a storage subsystem connected to the authentication subsystem.
上記のシステムは、前記データセキュリティ送受信器または受信器および前記認証サブシステムに接続されたセキュリティコントローラをさらに備える。
上記のシステムは、前記データセキュリティシステムがモバイル装置から所定の近接範囲内にあるときに接続状態を維持するために前記セキュリティコントローラと協働するデータセキュリティシステムアプリケーションを有するモバイル装置をさらに備える。
The system further comprises a data security transmitter / receiver or receiver and a security controller connected to the authentication subsystem.
The system further comprises a mobile device having a data security system application that works with the security controller to maintain a connection state when the data security system is within a predetermined proximity range from the mobile device.
上記のシステムは、前記データセキュリティシステムが所定期間にわたってモバイル装置から所定の近接範囲内にあるときに接続状態を維持するために前記セキュリティコントローラと協働するデータセキュリティシステムアプリケーションを有する前記モバイル装置をさらに備える。 The system further comprises the mobile device having a data security system application that works with the security controller to maintain a connection state when the data security system is within a predetermined proximity range from the mobile device for a predetermined period of time. Be prepared.
上記のシステムは、前記データセキュリティシステムとモバイル装置との間の双方向通信を使用することを含む接続状態を維持するためのモバイル送受信器または受信器を有する前記モバイル装置をさらに備える。 The system further comprises said mobile device having a mobile transmitter / receiver or receiver for maintaining a connection state including using bidirectional communication between the data security system and the mobile device.
上記のシステムは、前記データセキュリティシステムとモバイル装置との間の単方向通信を使用することを含む接続状態を維持するためのモバイル送受信器または受信器を有する前記モバイル装置をさらに備える。 The system further comprises said mobile device having a mobile transmitter / receiver or receiver for maintaining a connection state including using unidirectional communication between the data security system and the mobile device.
上記のシステムは、モバイル装置とデータセキュリティシステムアプリケーションを有するモバイル装置とユーザ管理データベースを含むサーバとの間の有線または無線接続通信と、ユーザ管理データベースを含むサーバとをさらに備える。 The above system further comprises wired or wireless connection communication between the mobile device and the mobile device having the data security system application and the server including the user management database, and the server including the user management database.
上記のシステムにおいて、前記データセキュリティシステムはホストコンピュータと接続するための外部通信チャネルを含む。
本発明を特定の最良の形態に関連して説明してきたが、前述の説明に照らして、多くの代替、変更、および変形が当業者には明らかであると理解されるべきである。したがって、添付の特許請求の範囲に入るそのような代替物、変更物および変形物のすべてを包含することが意図される。本明細書に記載されるか、または添付の図面に示されるすべての事項は、例示的かつ非限定的な意味で解釈されるべきである。
In the above system, the data security system includes an external communication channel for connecting to a host computer.
Although the present invention has been described in the context of the particular best mode, it should be understood that many alternatives, modifications, and variations will be apparent to those skilled in the art in the light of the above description. Therefore, it is intended to include all such alternatives, modifications and variants that fall within the appended claims. All matters described herein or shown in the accompanying drawings should be construed in an exemplary and non-limiting sense.
Claims (40)
前記データストレージ装置内にインターフェースコントローラを提供することであって、前記インターフェースコントローラは、通信チャネルに接続されており、前記データストレージ装置は、メモリ、認証情報および暗号鍵を有する認証サブシステム、暗号化エンジン、前記通信チャネル外の無線周波数通信用の無線送受信器を含む、前記提供すること、
前記インターフェースコントローラを介した前記通信チャネルがロックされているときに、前記認証サブシステムが、前記無線送受信器を介してユーザ認証入力を受信すること、
受信されたユーザ認証入力および前記認証サブシステムの認証情報に基づいて、前記認証サブシステムが、前記データストレージ装置の通信チャネルをアンロックすること、
前記通信チャネルがアンロックされているときに、
暗号化されたデータを前記メモリに格納する前に、前記暗号化エンジンが、前記通信チャネルを介して受信したデータを前記暗号鍵で暗号化すること、
復号化されたデータを前記通信チャネルを介して送信する前に、前記暗号化エンジンが、前記メモリから読み取られたデータを暗号鍵で復号化すること、を備える方法。 A method for data storage devices
The method comprising: providing an interface controller to the data-storage device, the interface controller is connected to a communication channel, wherein the data storage device, the authentication subsystem having a memory, the authentication information and encryption key, encryption Provided , including a cryptographic engine, a radio transmitter / receiver for radio frequency communication outside the communication channel.
When the communication channel via the interface controller is locked, the authentication subsystem receives a user authentication input via the wireless transmitter / receiver.
The authentication subsystem unlocks the communication channel of the data storage device based on the received user authentication input and the authentication information of the authentication subsystem.
When the communication channel is unlocked
Prior to storing the encrypted data in the memory, the encryption engine encrypts the data received via the communication channel with the encryption key.
A method comprising: that the encryption engine decrypts the data read from the memory with an encryption key before transmitting the decrypted data via the communication channel.
前記暗号鍵は、前記データストレージ装置のメモリに格納されず、前記暗号鍵は、前記データストレージ装置の外部からアクセスできない、請求項1に記載の方法。 Further prepared to transmit the encryption key from the authentication subsystem to the encryption engine based on the unlocking.
The method according to claim 1, wherein the encryption key is not stored in the memory of the data storage device, and the encryption key cannot be accessed from the outside of the data storage device.
前記無線送受信器を介してモバイル装置のアプリケーションと通信すること、
前記モバイル装置から前記ユーザ認証入力を受信すること、をさらに含む、請求項1に記載の方法。 Receiving the user authentication input
Communicating with mobile device applications via the wireless transmitter / receiver,
The method of claim 1, further comprising receiving the user authentication input from the mobile device.
前記無線送受信器を介してモバイル装置のアプリケーションと通信することであって、前記アプリケーションは、ユーザによる前記ユーザ認証入力を入力するためのユーザインターフェースを含み、前記ユーザ認証入力がリモートサーバによって検証されると、前記リモートサーバは、前記アプリケーションに確認を送信する、前記通信すること、
ユーザが前記リモートサーバによって検証された後、前記データストレージ装置が、前記無線送受信器を介して前記モバイル装置からのユーザ認証入力を受信すること、を含む、請求項1に記載の方法。 Receiving the user authentication input
Communicating with an application on a mobile device via the wireless transmitter / receiver, the application includes a user interface for entering the user authentication input by the user, the user authentication input being validated by a remote server. And the remote server sends a confirmation to the application, said communication,
The method of claim 1, wherein the data storage device receives a user authentication input from the mobile device via the wireless transmitter / receiver after the user has been validated by the remote server.
前記モバイル装置が、前記データストレージ装置の通信チャネルをロックし、前記データストレージ装置の通信チャネルをアンロックし、ユーザ名を変更し、前記認証情報を変更し、前記データストレージ装置をリセットすることを可能にする、請求項4に記載の方法。 The mobile device application
The mobile device locks the communication channel of the data storage device, unlocks the communication channel of the data storage device, changes the user name, changes the authentication information, and resets the data storage device. The method of claim 4, which enables.
前記リモートサーバが、前記データストレージ装置をリセットし、前記データストレージ装置をアンロックすることを可能にする、請求項4に記載の方法。 The mobile device application
The method of claim 4, wherein the remote server allows the data storage device to be reset and unlocked.
ジオフェンス内のモバイル装置の存在を判定することによって、前記リモートサーバが、ジオフェンシングを使用して前記データストレージ装置の使用を特定の位置に制限することを可能にする、請求項4に記載の方法。 The mobile device application
4. The fourth aspect of the invention, which allows the remote server to use geofencing to limit the use of the data storage device to a particular location by determining the presence of the mobile device within the geofence. Method.
前記リモートサーバが、前記データストレージ装置の使用を特定の時間帯および期間に制限することを可能にする、請求項4に記載の方法。 The mobile device application
The method of claim 4, wherein the remote server allows the use of the data storage device to be restricted to a particular time zone and period.
メモリと、
ユーザが認証されるまでロックされる通信チャネルを介した通信用のインターフェースコントローラと、
前記通信チャネル外の無線周波数通信用の無線送受信器であって、ユーザ認証入力を受信するように構成されている前記無線送受信器と、
認証情報および認証鍵を有する認証サブシステムであって、受信したユーザ認証入力および前記認証情報に基づいて、前記データストレージ装置の通信チャネルをアンロックする前記認証サブシステムと、
暗号化されたデータをメモリに保存する前に通信チャネルを介して受信したデータを暗号鍵で暗号化し、暗号化されたデータを通信チャネルを介して送信する前に前記メモリから読み取ったデータを前記暗号鍵で復号化する暗号化エンジンと、を備えるデータストレージ装置。 It is a data storage device
With memory
An interface controller for communication via the communications channel to be locked until the user is authenticated,
A wireless transmitter / receiver for radio frequency communication outside the communication channel, which is configured to receive a user authentication input, and the wireless transmitter / receiver.
An authentication subsystem having an authentication information and an authentication key, which unlocks the communication channel of the data storage device based on the received user authentication input and the authentication information.
The data received via the communication channel is encrypted with the encryption key before the encrypted data is stored in the memory, and the data read from the memory before the encrypted data is transmitted through the communication channel is described as described above. A data storage device equipped with an encryption engine that decrypts with an encryption key.
前記無線送受信器を介してモバイル装置のアプリケーションと通信すること、
前記無線送受信器を介して、前記モバイル装置からユーザ認証入力を受信すること、をさらに含む、請求項12に記載のデータストレージ装置。 Receiving the user authentication input
Communicating with mobile device applications via the wireless transmitter / receiver,
The data storage device according to claim 12, further comprising receiving a user authentication input from the mobile device via the wireless transmitter / receiver.
無線送受信器を介してモバイル装置のアプリケーションと通信することであって、前記アプリケーションは、ユーザによる前記ユーザ認証入力を入力するためのユーザインターフェースを含み、前記ユーザ認証入力がリモートサーバによって検証されると、前記リモートサーバは、前記アプリケーションに確認を送信する、前記通信すること、
ユーザが前記リモートサーバによって検証された後、前記データストレージ装置が、前記モバイル装置からのユーザ認証入力を受信すること、を含む、請求項12に記載のデータストレージ装置。 Receiving the user authentication input
Communicating with an application on a mobile device via a wireless transmitter / receiver, said application comprising a user interface for entering the user authentication input by the user, the user authentication input being validated by a remote server. , The remote server sends confirmation to the application, said communication,
The data storage device according to claim 12, wherein the data storage device receives a user authentication input from the mobile device after the user has been verified by the remote server.
前記モバイル装置のアプリケーションが前記リモートサーバから前記認証情報を変更するためのコマンドを受信した後、前記モバイル装置のアプリケーションから前記認証情報を変更するためのコマンドを受信するように構成される、請求項15に記載のデータストレージ装置。 The authentication subsystem
A claim configured such that the application of the mobile device receives a command to change the authentication information from the remote server and then receives a command to change the authentication information from the application of the mobile device. The data storage device according to 15.
データストレージ装置によって実行されると、前記複数の命令は、前記データストレージ装置に複数の動作を実行させ、前記複数の動作は、
前記データストレージ装置内にインターフェースコントローラを提供することであって、前記インターフェースコントローラは、通信チャネルに接続されており、前記データストレージ装置は、メモリ、認証情報および暗号鍵を有する認証サブシステム、暗号化エンジン、前記通信チャネル外の無線周波数通信用の無線送受信器を含む、前記提供すること、
前記インターフェースコントローラを介した前記通信チャネルがロックされているときに、前記認証サブシステムが、前記無線送受信器を介してユーザ認証入力を受信すること、
受信したユーザ認証入力および前記認証サブシステムの認証情報に基づいて、前記認証サブシステムが、前記データストレージ装置の通信チャネルをアンロックすること、
前記通信チャネルがアンロックされているときに、
暗号化されたデータを前記メモリに格納する前に、前記暗号化エンジンが、前記通信チャネルを介して受信したデータを前記暗号鍵で暗号化すること、
復号化されたデータを前記通信チャネルを介して送信する前に、前記暗号化エンジンが、前記メモリから読み取られたデータを暗号鍵で復号化すること、を備える、非一時的な機械可読記憶媒体。 A non-transitory machine-readable storage medium containing multiple instructions,
When executed by the data storage device, the plurality of instructions causes the data storage device to perform a plurality of operations, and the plurality of operations are performed .
The method comprising: providing an interface controller to the data-storage device, the interface controller is connected to a communication channel, wherein the data storage device, the authentication subsystem having a memory, the authentication information and encryption key, encryption Provided , including a cryptographic engine, a radio transmitter / receiver for radio frequency communication outside the communication channel.
When the communication channel via the interface controller is locked, the authentication subsystem receives a user authentication input via the wireless transmitter / receiver.
The authentication subsystem unlocks the communication channel of the data storage device based on the received user authentication input and the authentication information of the authentication subsystem.
When the communication channel is unlocked
Prior to storing the encrypted data in the memory, the encryption engine encrypts the data received via the communication channel with the encryption key.
A non-transitory machine-readable storage medium comprising: that the encryption engine decrypts the data read from the memory with an encryption key before transmitting the decrypted data over the communication channel. ..
アンロックしたことに基づいて、前記認証サブシステムから前記暗号鍵を前記暗号化エンジンに送信することを備える複数の動作をさらに実行し、
前記暗号鍵は、前記データストレージ装置のメモリに格納されず、前記暗号鍵は、前記データストレージ装置の外部からアクセスできない、請求項17に記載の非一時的な機械可読記憶媒体。 The data storage device is
Based on the unlocking, the authentication subsystem further performs a plurality of operations comprising transmitting the encryption key to the encryption engine.
The non-temporary machine-readable storage medium according to claim 17, wherein the encryption key is not stored in the memory of the data storage device, and the encryption key cannot be accessed from the outside of the data storage device.
前記無線送受信器を介してモバイル装置のアプリケーションと通信すること、
前記無線送受信器を介して、前記モバイル装置からユーザ認証入力を受信すること、をさらに含む、請求項17に記載の非一時的な機械可読記憶媒体。 Receiving the user authentication input
Communicating with mobile device applications via the wireless transmitter / receiver,
The non-transitory machine-readable storage medium of claim 17, further comprising receiving a user authentication input from the mobile device via the wireless transmitter / receiver.
無線送受信器を介してモバイル装置のアプリケーションと通信することであって、前記アプリケーションは、ユーザによる前記ユーザ認証入力を入力するためのユーザインターフェースを含み、前記ユーザ認証入力がリモートサーバによって検証されると、前記リモートサーバは、前記アプリケーションに確認を送信する、前記通信すること、
ユーザが前記リモートサーバによって検証された後、前記データストレージ装置が、前記モバイル装置からの前記ユーザ認証入力を受信すること、を含む、請求項17に記載の非一時的な機械可読記憶媒体。 Receiving the user authentication input
Communicating with an application on a mobile device via a wireless transmitter / receiver, said application comprising a user interface for entering the user authentication input by the user, the user authentication input being validated by a remote server. , The remote server sends confirmation to the application, said communication,
The non-transitory machine-readable storage medium of claim 17, wherein the data storage device receives the user authentication input from the mobile device after the user has been verified by the remote server.
1つまたは複数のコンピュータプロセッサと、
前記1つまたは複数のコンピュータプロセッサに接続されたデータチャネルと、
前記データチャネルに接続された自己暗号化装置と、を備え、
前記自己暗号化装置は、
認証プロセッサを含む認証サブシステムと、
暗号化エンジンと、
前記認証サブシステムによって提供される暗号鍵で暗号化された暗号化データを格納する記憶媒体と、
前記データチャネル外の通信用の無線周波数(RF)送受信器と、
前記データチャネルに接続されたインターフェースコントローラのデータインターフェースと、を含み、
前記データインターフェースは、前記無線周波数送受信器を介して受信したユーザ認証情報を使用して前記認証サブシステムによって前記自己暗号化装置がアンロックされるまで、データの送受信からロックされる、システム。 It ’s a system,
With one or more computer processors
With a data channel connected to the one or more computer processors
A self-encrypting device connected to the data channel,
The self-encrypting device
An authentication subsystem that includes an authentication processor and
With the encryption engine
A storage medium for storing encrypted data encrypted with an encryption key provided by the authentication subsystem.
Radio frequency (RF) transmitter / receiver for communication outside the data channel,
Including the data interface of the interface controller connected to the data channel.
A system in which the data interface is locked from sending and receiving data until the self-encrypting device is unlocked by the authentication subsystem using user authentication information received via the radio frequency transmitter / receiver.
前記自己暗号化装置が、前記自己暗号化装置のデータインターフェースとホストコンピュータシステムとの間に通信チャネルを設定することであって、前記ホストコンピュータシステムは、1つまたは複数のプロセッサを有し、前記通信チャネルは、前記自己暗号化装置が認証されるまでロックされる、前記設定すること、
前記自己暗号化装置の無線周波数(RF)送受信器が、ユーザ認証情報を受信することであって、前記無線周波数送受信器は、前記通信チャネル外の通信用である、前記受信すること、
前記自己暗号化装置の認証サブシステムが、前記ユーザ認証情報に基づいて、前記通信チャネルをアンロックすること、
前記自己暗号化装置が、前記通信チャネルを介して受信されたデータを、前記自己暗号化装置の認証サブシステムによって提供される暗号鍵で暗号化すること、
前記自己暗号化装置が、暗号化されたデータを前記自己暗号化装置のストレージサブシステムに格納すること、を備える方法。 A method for self-encrypting devices ,
The self-encrypting device sets up a communication channel between the data interface of the self-encrypting device and the host computer system , wherein the host computer system has one or more processors, said. The communication channel is locked until the self-encrypting device is authenticated.
Before SL radio frequency (RF) transceiver self-encrypting device, comprising: receiving user authentication information, the radio frequency transceiver is for communication outside the communication channel, said receiving it,
The authentication subsystem of the self-encrypting device unlocks the communication channel based on the user authentication information.
Wherein the self-encrypting device, the received data through the communication channel, encrypted with the encryption key provided by the authentication subsystem of the self-encrypting device,
How comprising the, said self-encrypting device stores the encrypted data in the storage subsystem of the self-encrypting device.
前記自己暗号化装置をアンロックすることは、前記無線周波数送受信器を介して前記ユーザ認証情報を受信したことに応答して実行される、請求項32に記載の方法。 Wherein the user authentication information, via said radio frequency transceiver is a mobile device or et received,
32. The method of claim 32 , wherein unlocking the self-encrypting device is performed in response to receiving the user authentication information via the radio frequency transmitter / receiver.
前記ユーザ認証情報を受信することは、前記管理サーバがユーザを検証したことに応答して、前記モバイル装置からアンロックコマンドを受信すること、を含む、請求項34に記載の方法。 The mobile device application authenticates the user by verifying the user on the management server .
34. The method of claim 34 , wherein receiving the user authentication information includes receiving an unlock command from the mobile device in response to the management server verifying the user.
前記自己暗号化装置が、前記自己暗号化装置のデータインターフェースとホストコンピュータシステムとの間に通信チャネルを設定することであって、前記ホストコンピュータシステムは、1つまたは複数のプロセッサを有し、前記通信チャネルは、前記自己暗号化装置が認証されるまでロックされる、前記設定すること、
前記自己暗号化装置の無線周波数(RF)送受信器が、ユーザ認証情報を受信することであって、前記無線周波数送受信器は、前記通信チャネル外の通信用である、前記受信すること、
前記自己暗号化装置の認証サブシステムが、前記ユーザ認証情報に基づいて、前記通信チャネルをアンロックすること、
前記自己暗号化装置が、前記通信チャネルを介して受信されたデータを、前記自己暗号化装置の認証サブシステムによって提供される暗号鍵で暗号化すること、
前記自己暗号化装置が、暗号化されたデータを自己暗号化装置のストレージサブシステムに格納すること、を備える、非一時的な機械可読記憶媒体。 When executed by a self-encrypting device, it is a non-temporary machine-readable storage medium containing a plurality of instructions for causing the self-encrypting device to perform a plurality of operations.
The self-encrypting device sets up a communication channel between the data interface of the self-encrypting device and the host computer system , wherein the host computer system has one or more processors, said. The communication channel is locked until the self-encrypting device is authenticated.
Before SL radio frequency (RF) transceiver self-encrypting device, comprising: receiving user authentication information, the radio frequency transceiver is for communication outside the communication channel, said receiving it,
The authentication subsystem of the self-encrypting device unlocks the communication channel based on the user authentication information.
Wherein the self-encrypting device, the received data through the communication channel, encrypted with the encryption key provided by the authentication subsystem of the self-encrypting device,
A non-transitory machine-readable storage medium comprising the self-encrypting device storing encrypted data in a storage subsystem of the self-encrypting device.
前記無線周波数送受信器を介して、モバイル装置から前記ユーザ認証情報を受信すること、
前記無線周波数送受信器を介して前記ユーザ認証情報を受信したことに応答して、前記自己暗号化装置をアンロックすること、を備える複数の動作をさらに実行する、請求項37に記載の非一時的な機械可読記憶媒体。 The self-encrypting device
Receiving the user authentication information from the mobile device via the radio frequency transmitter / receiver,
38. The non-temporary aspect of claim 37, further performing a plurality of operations comprising unlocking the self-encrypting device in response to receiving the user authentication information via the radio frequency transmitter / receiver. Machine-readable storage medium.
前記自己暗号化装置は、
前記管理サーバがユーザを検証したことに応答して、前記モバイル装置からアンロックコマンドを受信することを備える複数の動作をさらに実行する、請求項39に記載の非一時的な機械可読記憶媒体。 The mobile device application authenticates the user by verifying the user on the management server.
The self-encrypting device
39. The non-transitory machine-readable storage medium of claim 39, further performing a plurality of operations comprising receiving an unlock command from the mobile device in response to the management server verifying the user.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021142248A JP7248754B2 (en) | 2016-01-04 | 2021-09-01 | Data security system with cryptography |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/987,749 | 2016-01-04 | ||
| US14/987,749 US10181055B2 (en) | 2007-09-27 | 2016-01-04 | Data security system with encryption |
| JP2018553854A JP6633228B2 (en) | 2016-01-04 | 2017-01-03 | Data security system with encryption |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018553854A Division JP6633228B2 (en) | 2016-01-04 | 2017-01-03 | Data security system with encryption |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021142248A Division JP7248754B2 (en) | 2016-01-04 | 2021-09-01 | Data security system with cryptography |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020057412A JP2020057412A (en) | 2020-04-09 |
| JP6938602B2 true JP6938602B2 (en) | 2021-09-22 |
Family
ID=59311569
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018553854A Active JP6633228B2 (en) | 2016-01-04 | 2017-01-03 | Data security system with encryption |
| JP2019223413A Active JP6938602B2 (en) | 2016-01-04 | 2019-12-11 | Data security system with encryption |
| JP2021142248A Active JP7248754B2 (en) | 2016-01-04 | 2021-09-01 | Data security system with cryptography |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018553854A Active JP6633228B2 (en) | 2016-01-04 | 2017-01-03 | Data security system with encryption |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021142248A Active JP7248754B2 (en) | 2016-01-04 | 2021-09-01 | Data security system with cryptography |
Country Status (6)
| Country | Link |
|---|---|
| JP (3) | JP6633228B2 (en) |
| KR (2) | KR102201093B1 (en) |
| CN (2) | CN112054892B (en) |
| GB (2) | GB2580549B (en) |
| TW (2) | TWI692704B (en) |
| WO (1) | WO2017123433A1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12437040B2 (en) | 2007-09-27 | 2025-10-07 | Clevx, Llc | Secure access device with multiple authentication mechanisms |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10783232B2 (en) | 2007-09-27 | 2020-09-22 | Clevx, Llc | Management system for self-encrypting managed devices with embedded wireless user authentication |
| US11190936B2 (en) | 2007-09-27 | 2021-11-30 | Clevx, Llc | Wireless authentication system |
| US10778417B2 (en) | 2007-09-27 | 2020-09-15 | Clevx, Llc | Self-encrypting module with embedded wireless user authentication |
| TWI651626B (en) * | 2017-11-30 | 2019-02-21 | 大陸商北京集創北方科技股份有限公司 | Biometric data encryption method and information processing device using same |
| WO2019177563A1 (en) * | 2018-03-12 | 2019-09-19 | Hewlett-Packard Development Company, L.P. | Hardware security |
| GB2607846B (en) * | 2018-06-06 | 2023-06-14 | Istorage Ltd | Dongle for ciphering data |
| EP3788538B1 (en) * | 2018-08-16 | 2025-03-12 | Clevx, LLC | Self-encrypting module with embedded wireless user authentication |
| GB2582900A (en) | 2019-03-18 | 2020-10-14 | Pqshield Ltd | Cryptography using a cryptographic state |
| CN110225515B (en) * | 2019-06-24 | 2022-08-23 | 喀斯玛(北京)科技有限公司 | Authentication management system, method and device |
| GB201911802D0 (en) | 2019-08-16 | 2019-10-02 | Pqshield Ltd | Lattice Coprocessor |
| JP2022050899A (en) * | 2020-09-18 | 2022-03-31 | キオクシア株式会社 | Memory system |
| US20220278963A1 (en) * | 2021-03-01 | 2022-09-01 | Samsung Electronics Co., Ltd. | Storage device, storage system, and method of secure data movement between storage devices |
| GB2608999A (en) | 2021-07-15 | 2023-01-25 | Pqshield Ltd | Cryptographic system for post-quantum cryptographic operations |
| TWI788936B (en) * | 2021-08-02 | 2023-01-01 | 民傑資科股份有限公司 | Flash drive locked with wireless communication manner |
| KR102540669B1 (en) * | 2021-12-17 | 2023-06-08 | 주식회사 그리다에너지 | System for Job history authentication using encrypted and non-editable job data |
| CN114598461B (en) * | 2022-02-24 | 2023-10-31 | 广东天波信息技术股份有限公司 | Online unlocking method of terminal equipment, terminal equipment and readable storage medium |
| TWI885339B (en) * | 2023-03-07 | 2025-06-01 | 一德金屬工業股份有限公司 | How to control combination locks |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10340231A (en) * | 1997-06-05 | 1998-12-22 | Kokusai Electric Co Ltd | Ic card |
| US6529949B1 (en) * | 2000-02-07 | 2003-03-04 | Interactual Technologies, Inc. | System, method and article of manufacture for remote unlocking of local content located on a client device |
| US6708272B1 (en) * | 1999-05-20 | 2004-03-16 | Storage Technology Corporation | Information encryption system and method |
| JP2003509771A (en) * | 1999-09-17 | 2003-03-11 | フイングロク アクチボラゲット | Security equipment |
| US8677505B2 (en) * | 2000-11-13 | 2014-03-18 | Digital Doors, Inc. | Security system with extraction, reconstruction and secure recovery and storage of data |
| US7099663B2 (en) * | 2001-05-31 | 2006-08-29 | Qualcomm Inc. | Safe application distribution and execution in a wireless environment |
| TW583568B (en) * | 2001-08-27 | 2004-04-11 | Dataplay Inc | A secure access method and system |
| US20030109218A1 (en) * | 2001-10-18 | 2003-06-12 | Azalea Microelectronics Corporation | Portable wireless storage unit |
| US7561691B2 (en) | 2001-11-12 | 2009-07-14 | Palm, Inc. | System and method for providing secured access to mobile devices |
| US7198571B2 (en) * | 2002-03-15 | 2007-04-03 | Igt | Room key based in-room player tracking |
| JP2004326763A (en) * | 2003-04-10 | 2004-11-18 | Matsushita Electric Ind Co Ltd | Password change system |
| EP1612692A1 (en) | 2003-04-10 | 2006-01-04 | Matsushita Electric Industrial Co., Ltd. | Password change system |
| JP2006025249A (en) * | 2004-07-08 | 2006-01-26 | Fujitsu Ltd | Terminal device, data backup system thereof, data backup method thereof, and data backup program thereof |
| WO2006027723A1 (en) * | 2004-09-06 | 2006-03-16 | Koninklijke Philips Electronics N.V. | Portable storage device and method for exchanging data |
| US20060075230A1 (en) * | 2004-10-05 | 2006-04-06 | Baird Leemon C Iii | Apparatus and method for authenticating access to a network resource using multiple shared devices |
| JP2006139757A (en) * | 2004-10-15 | 2006-06-01 | Citizen Watch Co Ltd | Locking system and locking method |
| US20060129829A1 (en) * | 2004-12-13 | 2006-06-15 | Aaron Jeffrey A | Methods, systems, and computer program products for accessing data with a plurality of devices based on a security policy |
| US20060176146A1 (en) | 2005-02-09 | 2006-08-10 | Baldev Krishan | Wireless universal serial bus memory key with fingerprint authentication |
| JP4781692B2 (en) * | 2005-03-08 | 2011-09-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Method, program and system for restricting I/O access by clients |
| US8335920B2 (en) * | 2005-07-14 | 2012-12-18 | Imation Corp. | Recovery of data access for a locked secure storage device |
| TWI288553B (en) * | 2005-10-04 | 2007-10-11 | Carry Computer Eng Co Ltd | Portable storage device having main identification information and method of setting main identification information thereof |
| WO2007087340A1 (en) * | 2006-01-24 | 2007-08-02 | Clevx, Llc | Data security system |
| US20070248232A1 (en) * | 2006-04-10 | 2007-10-25 | Honeywell International Inc. | Cryptographic key sharing method |
| EP2122900A4 (en) * | 2007-01-22 | 2014-07-23 | Spyrus Inc | Portable data encryption device with configurable security functionality and method for file encryption |
| US20080303631A1 (en) * | 2007-06-05 | 2008-12-11 | Beekley John S | Mass Storage Device With Locking Mechanism |
| TWI537732B (en) * | 2007-09-27 | 2016-06-11 | 克萊夫公司 | Data security system with encryption |
| CN100533459C (en) * | 2007-10-24 | 2009-08-26 | 北京飞天诚信科技有限公司 | Data safety reading method and safety storage apparatus thereof |
| US20100293374A1 (en) | 2008-07-30 | 2010-11-18 | Bushby Donald P | Secure Portable Memory Storage Device |
| JP2010102617A (en) | 2008-10-27 | 2010-05-06 | Dainippon Printing Co Ltd | System, device, method and program of access management of external storage, apparatus and recording medium |
| US20100174913A1 (en) * | 2009-01-03 | 2010-07-08 | Johnson Simon B | Multi-factor authentication system for encryption key storage and method of operation therefor |
| US9286493B2 (en) * | 2009-01-07 | 2016-03-15 | Clevx, Llc | Encryption bridge system and method of operation thereof |
| US8112066B2 (en) * | 2009-06-22 | 2012-02-07 | Mourad Ben Ayed | System for NFC authentication based on BLUETOOTH proximity |
| US20110154023A1 (en) * | 2009-12-21 | 2011-06-23 | Smith Ned M | Protected device management |
| US9270663B2 (en) * | 2010-04-30 | 2016-02-23 | T-Central, Inc. | System and method to enable PKI- and PMI-based distributed locking of content and distributed unlocking of protected content and/or scoring of users and/or scoring of end-entity access means—added |
| DE112011105678T5 (en) * | 2011-09-28 | 2014-07-17 | Hewlett-Packard Development Company, L.P. | Unlock a storage device |
| DE112012004804T5 (en) | 2011-11-19 | 2014-07-31 | International Business Machines Corporation | storage unit |
| US8972728B2 (en) | 2012-10-15 | 2015-03-03 | At&T Intellectual Property I, L.P. | Method and apparatus for providing subscriber identity module-based data encryption and remote management of portable storage devices |
| US20140149742A1 (en) * | 2012-11-28 | 2014-05-29 | Arnold Yau | Method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors |
| GB201221433D0 (en) * | 2012-11-28 | 2013-01-09 | Hoverkey Ltd | A method and system of providing authentication of user access to a computer resource on a mobile device |
| US20150161587A1 (en) * | 2013-12-06 | 2015-06-11 | Apple Inc. | Provisioning and authenticating credentials on an electronic device |
| US9215250B2 (en) * | 2013-08-20 | 2015-12-15 | Janus Technologies, Inc. | System and method for remotely managing security and configuration of compute devices |
| CN105450400B (en) * | 2014-06-03 | 2019-12-13 | 阿里巴巴集团控股有限公司 | An authentication method, client, server and system |
-
2017
- 2017-01-03 KR KR1020197035893A patent/KR102201093B1/en active Active
- 2017-01-03 GB GB1919421.6A patent/GB2580549B/en active Active
- 2017-01-03 CN CN202010783513.XA patent/CN112054892B/en active Active
- 2017-01-03 JP JP2018553854A patent/JP6633228B2/en active Active
- 2017-01-03 WO PCT/US2017/012060 patent/WO2017123433A1/en not_active Ceased
- 2017-01-03 CN CN201780005638.6A patent/CN108604982B/en active Active
- 2017-01-03 GB GB1811137.7A patent/GB2562923B/en active Active
- 2017-01-03 KR KR1020187022506A patent/KR102054711B1/en active Active
- 2017-01-04 TW TW106100149A patent/TWI692704B/en active
- 2017-01-04 TW TW109109809A patent/TWI727717B/en active
-
2019
- 2019-12-11 JP JP2019223413A patent/JP6938602B2/en active Active
-
2021
- 2021-09-01 JP JP2021142248A patent/JP7248754B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12437040B2 (en) | 2007-09-27 | 2025-10-07 | Clevx, Llc | Secure access device with multiple authentication mechanisms |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20180107775A (en) | 2018-10-02 |
| GB201919421D0 (en) | 2020-02-12 |
| TW202029042A (en) | 2020-08-01 |
| JP2019511791A (en) | 2019-04-25 |
| JP2021192265A (en) | 2021-12-16 |
| GB2580549A (en) | 2020-07-22 |
| KR102201093B1 (en) | 2021-01-08 |
| JP2020057412A (en) | 2020-04-09 |
| GB2562923A (en) | 2018-11-28 |
| KR102054711B1 (en) | 2019-12-11 |
| GB2580549B (en) | 2020-12-23 |
| JP6633228B2 (en) | 2020-01-22 |
| GB201811137D0 (en) | 2018-08-22 |
| KR20190137960A (en) | 2019-12-11 |
| CN112054892A (en) | 2020-12-08 |
| JP7248754B2 (en) | 2023-03-29 |
| GB2562923B (en) | 2020-02-12 |
| WO2017123433A1 (en) | 2017-07-20 |
| CN112054892B (en) | 2024-06-21 |
| TWI727717B (en) | 2021-05-11 |
| TWI692704B (en) | 2020-05-01 |
| CN108604982B (en) | 2020-09-04 |
| CN108604982A (en) | 2018-09-28 |
| TW201737151A (en) | 2017-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6938602B2 (en) | Data security system with encryption | |
| US12437040B2 (en) | Secure access device with multiple authentication mechanisms | |
| US10985909B2 (en) | Door lock control with wireless user authentication | |
| US10783232B2 (en) | Management system for self-encrypting managed devices with embedded wireless user authentication | |
| US11190936B2 (en) | Wireless authentication system | |
| EP2798565B1 (en) | Secure user authentication for bluetooth enabled computer storage devices | |
| US20190297497A1 (en) | Systems, methods and devices for secure data storage with wireless authentication | |
| EP3788538B1 (en) | Self-encrypting module with embedded wireless user authentication | |
| KR20160105958A (en) | Close Range User Recognization Method Using OTP | |
| KR20160105724A (en) | Close Range User Recognization SystemUsing OTP | |
| KR20140007627A (en) | Ic chip |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191211 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210302 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20210528 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210709 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210803 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210901 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6938602 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |