CN101036096B - 用于进行加解密操作的方法和*** - Google Patents

用于进行加解密操作的方法和*** Download PDF

Info

Publication number
CN101036096B
CN101036096B CN2005800334406A CN200580033440A CN101036096B CN 101036096 B CN101036096 B CN 101036096B CN 2005800334406 A CN2005800334406 A CN 2005800334406A CN 200580033440 A CN200580033440 A CN 200580033440A CN 101036096 B CN101036096 B CN 101036096B
Authority
CN
China
Prior art keywords
circuit
key
data
remote authorizing
memory storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2005800334406A
Other languages
English (en)
Other versions
CN101036096A (zh
Inventor
文森特·齐默
迈克尔·罗思曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN101036096A publication Critical patent/CN101036096A/zh
Application granted granted Critical
Publication of CN101036096B publication Critical patent/CN101036096B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/40Bus structure
    • G06F13/4063Device-to-bus coupling
    • G06F13/4068Electrical coupling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

在一个实施例中,提供了一种方法,该方法可以包括一个或多个操作。这些操作中的一个可以包括,至少部分地响应于将输入数据存储到存储装置中的请求,至少部分地基于一个或多个密钥对该输入数据进行加密以生成输出数据以存储到存储装置中。该一个或多个密钥可以由远程授权机构授权。可选地或此外,这些操作中的另一个可以包括,至少部分地响应于从存储装置中提取该输入数据的请求,至少部分地基于所述至少一个密钥对该输出数据进行解密。在不背离该实施例的情况下可以进行许多修改、变形、以及替换。

Description

用于进行加解密操作的方法和***
交叉引用
本申请涉及2003年10月14日提交的美国专利申请序列号10/686,410,名称为“Data Security”。本申请及此相关申请被转让给同一受让人。
技术领域
本申请涉及数据安全领域。
背景技术
在典型的企业信息技术和/或计算安排中,企业所拥有的主机可以分配给该企业的一个员工由该员工使用以完成该员工为该企业的工作。在该典型安排中,该主机运行操作***并包含大容量存储装置。该员工可以通过操作***的用户界面,向主机发布数据存储及提取请求。响应于这些数据存储和提取请求,数据可以被主机分别存储到大容量存储装置中以及从大容量存储装置中提取。在该常规安排中,数据以明文存储到大容量存储装置中以及从大容量存储装置中提取。为了验证该员工向大容量存储装置存储数据和/或从大容量存储装置中提取数据的授权,在允许员工通过操作***向主机发布数据存储和/或提取请求前,操作***可以要求该员工在用户登录过程中提供有效的用户口令。
在该典型安排中,该员工已拥有该主机。但是,如果未授权人获得对主机的访问,该未授权人可能能够从主机删除大容量存储装置。此后,该未授权人可能能够将大容量存储装置耦合到另一个主机,并通过其它主机的操作***向大容量存储装置发布数据存储和提取请求。不幸的是,在该常规安排中,由于数据以明文存储到大容量存储装置以及从大容量存储装置中提取,这可能允许未授权人能够从大容量存储装置中提取数据和/或修改大容量存储装置中的数据,尽管未授权人未得到企业的授权来进行这种操作。
一种建议的解决方案是使用主机的操作***,根据由操作***生成的加密密钥对大容量存储装置中存储的数据进行加密。例如,响应于授权用户的数据存储请求,操作***可以使用该密钥加密明文数据并将这样加密的数据存储在大容量存储装置中。同样,响应于授权用户的数据提取请求,操作***可以使用该密码从大容量存储装置中提取加密数据并解密该加密数据以产生展示给用户的明文数据。但是,在初始授权员工访问存储在大容量存储装置中的数据后,企业后来可能需要限制员工对该数据的访问。不幸的是,由于数据加密和解密是由操作***执行的,员工已拥有主机及其大容量存储装置,并且该员工大概仍然知道有效的操作***用户口令,所以该员工可以继续通过操作***访问存储在大容量存储装置中的数据,直到企业从该员工重新获得大容量存储装置的拥有权。这样,该建议的解决方案可能不能提供足够的数据安全。
附图说明
要求保护的主题的实施例的特征和优点随着下述具体实施方式的进行并且参考附图而显而易见,其中相同的数字描述相同的部件,并且其中:
图1是说明***实施例的图。
图2是说明根据实施例所执行的操作的流程图。
尽管下述具体实施方式将参照要求保护的主题的说明性实施例来进行,但是对本领域技术人员来说,许多替换、修改和变形都是显而易见的。因此,要求保护的主体应广泛视之,且仅由所附的权利要求限定。
具体实施方式
图1说明了***实施例100。***100包含主机110。如这里所使用的,“主机”指包含至少一个处理器和存储器的***。如这里所使用的,“处理器”指能够运行一个或多个指令的电路。主机110可以地理上位于第一位置120。主机110可以包含耦合到芯片组14的主机处理器12。主机处理器12例如可以包含可以从本申请的受让人处商业获得的Intel
Figure G05833440620080403D000031
Pentium
Figure G05833440620080403D000032
IV和/或Itanium
Figure G05833440620080403D000033
微处理器。当然,可选的,在不脱离该实施例的情况下,主机处理器12可以包含另一种微处理器,例如从除了本申请的受让人之外的其他来源制造和/或商业获得的微处理器。
主机110还可以包含,例如,用户界面***16、总线***22、电路卡槽30、***存储器21、芯片组14、存储器54、存储装置82,以及电路卡20。芯片组14可以包含桥接器/集线器***,其将主机处理器12、***存储器21以及用户界面***16相互耦合。芯片组14可以还包括输入/输出(I/O)桥接器/集线器***(未示出),其可以将主机桥接器/总线***、存储装置82以及存储器54耦合到总线22。芯片组14可以包含一个或多个集成电路芯片,诸如那些从可以从本申请的受让人处商业获得的集成电路芯片组(例如,图形存储器和I/O控制器集线器芯片组)中选择的集成电路芯片,尽管在不脱离本实施例的情况下,还可以使用,或可选地使用一个或多个其他集成电路芯片。此外或可选地,芯片组14可以包含集成电路60,集成电路60可以包含能够至少部分地控制和/或监控存储装置82的操作的存储装置控制器62。用户界面***16可以包含,例如,键盘、点击设备以及显示***,其允许用户向***100输入命令并监控***100的操作。
存储装置54和存储器21的每个可以包含一个或多个下述类型的机器可读存储器:半导体固件存储器、可编程存储器、非易失性存储器、只读存储器、电可编程存储器、随机存取存储器、闪存、磁盘存储器,和/或光盘存储器。此外或可选地,存储器54和/或存储器21可以包含其它和/或后续开发类型的计算机可读存储器。
总线22可以包含符合和/或兼容2002年7月22日发布的***组件互连(PCI)ExpressTM基础规范修订版1.0(该规范可以从美国俄勒冈州波特兰市的PCI特别光趣小组获得)和/或所述规范的后续开发版本(此后全体或单独称为“PCI ExpressTM总线”)的总线。可选的,在不脱离该实施例的情况下,总线22可以包含其它类型和配置的总线***。
***实施例100可以包含存储装置82。存储装置82可以包含大容量存储装置86,大容量存储装置86可以包含一个或多个存储设备88。一个或多个存储设备88的每一个可以是或包含一个或多个分别的大容量存储设备。如这里所使用的,术语“存储装置”和“存储设备”可以交换使用,表示一个或多个数据和/或命令可以存储于其中和/或从中提取的装置。此外,如这里所使用的,术语“大容量存储装置”和“大容量存储设备”可以交换使用,表示一个或多个能够非易失性存储数据和/或命令的存储设备,并且例如可以无限制地包括一个或多个磁、光、和/或半导体存储设备,例如,在该实施例中为一个或多个磁盘存储设备。
电路卡槽30可以包含,例如,兼容或符合PCI ExpressTM的扩展槽或接口36。接口36可以包含总线连接器37,其与包含在电路卡20中的总线扩展槽或接口35中的配对总线连接器34电子或机械配对。
如这里所使用的,“电路”可以包含,例如,单个或任意组合的模拟电路、数字电路、逻辑电路、硬连线电路、可编程电路、状态机电路、和/或包含可由可编程电路执行的机器可执行指令的存储器。如这里所使用的,“集成电路”指一个或多个半导体设备和/或一个或多个微电子设备,例如,诸如半导体集成电路芯片。在该实施例中,电路卡20可以包含操作电路38。操作电路38可以包含,例如,集成电路39。集成电路39可以包含微控制器41和存储器45。微控制器41可以包含一个或多个处理器(未示出)。
存储器45可以包含一个或多个下述类型的机器可读存储器:半导体固件存储器、可编程存储器、非易失性存储器、只读存储器、电可编程存储器、随机存取存储器、闪存、磁盘存储器,和/或光盘存储器。此外或可选地,存储器45可以包含其它和/或后续开发类型的计算机可读存储器。
机器可执行指令可以存储在存储器45中。这些指令可以***作电路38、集成电路39、微控制器41、和/或电路43访问和执行。执行时,这些指令可以使得卡20、电路38、集成电路39、微控制器41、和/或电路43执行这里所描述的操作,如同由卡20、电路38、集成电路39、微控制器41、和/或电路43执行一样。
槽30和卡20可以被构造得允许卡20***槽30中。当卡20正确***槽30中时,连接器34和37可以电子和机械地互相耦合。当连接器34和37这样互相连接时,电路38可以电子地耦合到总线22。
可选地,操作电路38、集成电路39、存储器45、微控制器41、和/或电路43中的一些或所有可以不包含在卡20中,而是可以包含在一个或多个其它结构、***、和/或设备中,所述其它结构、***、和/或设备例如可以包含在主板32中,耦合到总线22,并与***100中的其它部件(例如,芯片组14、集成电路60、控制器62、网络51、服务器140、远程授权机构145、一个或多个代理150、和/或其它和/或附加部件)交换数据和/或命令。例如,在该选择中,操作电路38、集成电路39、存储器45、微控制器41、和/或电路43中的一些或所有可以包含在一个或多个集成电路中,该集成电路可以包含在芯片组14中并通过网络51耦合到服务器140。可选地,操作电路38、集成电路39、存储器45、微控制器41、和/或电路43中的一些或所有可以不包含在芯片组14中,而是可以包含在主板32中并通过网络51耦合到服务器140。许多选择、修改和变形都是可能的。
处理器12、***存储器21、芯片组14、总线22、电路卡槽30、以及存储器54可以包含在单个电路板中,例如,***主板32中。在不背离该实施例的情况下,存储装置82可以安装在主板32上,或者可选地,可以不安装在主板32上。在不背离该实施例的情况下,***实施例100中的存储设备88的数量可以不同。
此外,在不背离该实施例的情况下,存储设备88可以配置为(未示出的)廉价磁盘冗余阵列(RAID),其可以实现0级、1级或大于1级RAID。例如,根据该RAID中所实现的RAID等级,包含在RAID中的存储设备88的数量可以改变,使得允许存储设备88的数量至少足够实现该RAID中所实现的RAID等级。
芯片组14、控制器62、和/或集成电路60可以根据一个或多个各种不同通信协议与存储装置82交换数据和/或命令,所述通信协议例如小型计算机***接口(Small Computer Systems Interface,SCSI)、光纤通道(Fibre Channel,FC)、以太网、串行高级技术附件(SerialAdvanced Technology Attachment,S-ATA)、和/或传输控制协议/网际协议(TCP/IP)通信协议。当然,可选和/或此外,在不背离该实施例的情况下,芯片组14、控制器62、和/或集成电路60可以根据其它和/或附加的通信协议与存储装置82交换数据和/或命令。
根据该实施例,芯片组14、控制器62、和/或集成电路60与存储装置82交换数据和/或命令所根据的SCSI协议符合或兼容美国国家标准协会(ANSI)小型计算机***接口-2(SCSI-2)ANSI X3.131-1994规范所描述的协议。如果芯片组14、控制器62、和/或集成电路60根据FC协议与存储装置82交换数据和/或命令,则FC协议可以符合或兼容ANSI标准光纤通道(FC)物理和信令接口-3X3.303:1998规范所描述的协议。如果芯片组14、控制器62、和/或集成电路60根据以太网协议与存储装置82交换数据和/或命令,则以太网协议可以符合或兼容2000年10月20日发布的2000版电气和电子工程师协会(IEEE)标准802.3所描述的协议。如果芯片组14、控制器62、和/或集成电路60根据S-ATA协议与存储装置82交换数据和/或命令,则S-ATA协议可以符合或兼容2001年8月29日由Serial ATA WorkingGroup发布的“Serial ATA:High Speed Serialized AT Attachment”1.0版中所描述的协议。此外,如果芯片组14、控制器62、和/或集成电路60根据TCP/IP协议与存储装置82交换数据和/或命令,则TCP/IP协议可以符合或兼容1981年9月发布的因特网工程任务组(IETF)请求注释(RFC)791和793中所描述的协议。
在该实施例中,电路38可以通过一个或多个网络通信链接44A耦合到通信网络51。此外,***实施例100可以包含服务器140,其可以通过一个或多个网络通信链接44B耦合到通信网络51。电路38能够根据一个或多个各种不同的通信协议,例如,以太网和/或TCP/IP通信协议,通过一个或多个链接44A、网络51、和一个或多个链接44B,交换数据和/或命令。
服务器140可以包含远程授权机构(例如,远程管理授权机构)145。服务器140可以位于位置130,位置130地理上远离主机110的位置120。远程授权机构145可以包含一个或多个程序进程,该程序进程包括一个或多个可以实现和/或执行这里所描述的一个或多个管理和/或授权功能的代理150。例如,在该实施例中,服务器140可以包含一个或多个处理器(未示出),该处理器能够执行一个或多个机器可执行指令,这些指令可以使得延续(spawning)和维持服务器140中的代理150。
现在参考图2,将要描述在根据实施例的***100中执行的操作200。例如,在主机110重启后,主机处理器12可以通过执行操作***指令来引导操作***,其中所述操作***指令可以至少部分地使得操作***50至少部分地装载到存储器21中。操作***50可以包含一个或多个操作***进程52。
但是,在主机110重启后,引导操作***、执行操作***指令、和/或将操作***50装载到***存储器21之前,微控制器41可以执行存储在存储器54中的一个或多个基本输入/输出***(BIOS)指令56。在该实施例中,微控制器41执行这些BIOS指令56可以至少部分地使得微控制器41和/或电路38确定微控制器41和/或电路38是否能够通过网络51与服务器140、远程授权机构145、和/或一个或多个代理150进行通信,如图2中操作202所示。例如,作为操作202的一部分,电路38可以通过网络51向服务器140、远程授权机构145、和/或一个或多个代理150发布一个或多个预定包,如果服务器140、远程授权机构145、和/或一个或多个代理150接收到所述预定包,则将使得服务器140、远程授权机构145、和/或一个或多个代理150至少部分地响应于这样的一个或多个包,通过网络51向电路38发布一个或多个其它预定包。此后,如果电路38接收到这些一个或多个其它预定包,则电路38和/或控制器41可以确定电路38和/或控制器41能够通过网络51与服务器140、远程授权机构145、和/或一个或多个代理150进行通信,作为操作202的结果。如这里所使用的,“包”包含一个或多个可以编码和/或表示例如数据和/或一个或多个命令的符号和/或值。
如果作为操作202的结果,电路38和/或控制器41确定电路38和/或控制器41能够通过网络51与服务器140、远程授权机构145、和/或一个或多个代理150进行通信,则电路38和/或控制器41可以请求远程授权机构145授权至少一个密钥70,如操作204所示。例如,在该实施例中,作为操作204的一部分,电路38和/或控制器41可以通过网络51向服务器140、远程授权机构145、和/或一个或多个代理150发布一个或多个包,其中一个或多个包包含、表示、和/或体现远程授权机构145向电路38授权并发布一个或多个密钥70的请求。
至少部分地响应于来自电路38和/或控制器41的该请求,授权机构145和/或一个或多个进程150可以向网络51并由此向电路38生成、授权、并发布一个或多个密钥70,如操作210所示。如这里所使用的,“密钥”指一个或多个字符串、符号、和/或值,数据可以至少部分地基于其进行加密和/或解密。例如,在该实施例中,一个或多个密钥70可以包含一个或多个对称密钥;但是,在不背离该实施例的情况下许多替换都是可能的。
此后,电路38和/或控制器41可以通过网络51接收至少一个密钥70,如操作212所示。至少部分地响应于接收一个或多个密钥70,电路38和/或控制器41可以在存储器54的一部分58中存储一个或多个密钥70。
在处理器12至少部分地将操作***50装在到存储器21,并且电路38和/或控制器41在存储器54中存储一个或多个密钥70之后,主机110的用户(未示出)可以通过用户界面***16向一个或多个进程52发布请求,以在存储装置82中存储输入数据92。至少部分地响应于来自用户的该请求,一个或多个进程52可以向控制器62发布对应请求,以在存储装置82中存储输入数据92。
至少部分地响应于来自一个或多个进程52的该请求,控制器62可以向微控制器41重定向和/或转发该请求和/或输入数据92。至少部分地响应于该请求和/或输入数据92,电路43可以至少部分地基于存储在存储器54中的一个或多个密钥70,并至少部分地根据一个或多个常规数据加密技术(例如,一个或多个对称加密算法),对输入数据92进行加密以生成加密的输出数据94,如操作214所示。例如,在该实施例中,一个或多个密钥70和这些一个或多个对称加密算法可以符合和/或兼容例如1997年1月FIPS 46的数据加密标准(DES)、2001年11月FIPS 197的高级加密标准(AES)、和/或其他加密算法。在电路43生成加密输出数据94之后,电路38可以向控制器62发布加密的输出数据94。至少部分地响应于输出数据94,控制器62可以向存储装置82发布一个请求,所述请求对应于此前由一个或多个进程52向控制器62所发布的请求,除了由控制器62向存储装置82发布的请求请求将输出数据94(而不是输入数据92)存储到存储装置82中。至少部分地响应于来自控制器62的该请求,存储装置82可以根据来自控制器62的请求,将输出数据94存储在一个或多个存储设备88中。
可选或此外,在处理器12至少部分地装载操作***50到存储器21中并且电路38和/或控制器41在存储器54中存储一个或多个密钥70之后,主机110的用户可以通过用户界面***16向一个或多个进程52发布请求,以从存储装置82中提取数据92。至少部分地响应于来自用户的该请求,一个或多个进程52可以向控制器62发布对应请求以从存储装置82中提取数据92。
至少部分地响应于来自一个或多个进程52的该请求,控制器62可以从存储装置82中提取数据90,并可以将数据90转发到微控制器41。根据该实施例,数据90可以是此前由电路43至少部分地基于一个或多个密钥70,并至少部分地根据例如如上所述类型的一个或多个常规加密算法所生成的加密数据。
至少部分地响应于数据90,电路43可以至少部分地基于一个或多个密钥70,并至少部分地根据这些一个或多个常规加密算法,对数据90进行解密以生成数据92,如操作214所示。在电路43生成数据92之后,电路38可以向控制器62发布数据92。至少部分地响应于数据92,控制器62可以向一个或多个进程52发布数据92,此后,一个或多个进程52可以根据用户的数据提取请求,向用户提供数据92。
在该实施例中,远程授权机构145和/或一个或多个进程150向电路38和/或控制器41授权并发布一个或多个密钥70之后,远程授权机构145和/或一个或多个进程150可以定期向电路38和/或控制器41授权和发布一个或多个附加密钥,例如,一个或多个附加密钥72,如操作216所示。例如,在该实施例中,由远程授权机构145和/或一个或多个进程150授权和发布的每个密钥可以与编码在密钥中的预定有效期相关联。在过了各个密钥的有效期之后,电路43可以认为密钥的授权已经过期和/或已经被授权机构145和/或一个或多个进程150撤销,并且因此,电路43不能再使用该密钥加密和/或解密数据。因此,在一个或多个密钥70过期前,远程授权机构145和/或一个或多个进程150可以向电路38和/或控制器41授权和发布一个或多个其它密钥72。此后,在一个或多个密钥72过期前,远程授权机构145和/或一个或多个进程150可以再向电路38授权和发布一个或多个别的其它密钥(未示出);与该过程相一致,可以由远程授权机构145和/或一个或多个进程150在密钥有效期前,以其它预定周期性间隔授权并发布其它密钥。
响应于对一个或多个密钥72的接收,电路38和/或控制器41可以在存储器54的一部分58中存储一个或多个密钥72。此后,电路43可以至少部分地基于一个或多个密钥70解密存储装置82中所存储的数据,所述数据在此前被加密。在解密该数据之后,电路43可以至少部分地基于一个或多个密钥72对这样的解密数据进行加密。然后可以将新加密的数据存储在存储装置82中。
可选地,存储装置82中存储的此前至少部分地基于一个或多个密钥70加密的数据的一部分或所有可以保持至少部分地基于一个或多个密钥70加密,如同在存储装置82中存储的一样。在该替换中,如果用户发布从包含该加密数据的一个或多个部分的存储装置82中提取数据的请求,则这些部分可以由电路38至少部分地基于一个或多个密钥70进行解密,以提供给用户。
在处理器12至少部分地将操作***50装载到存储器21中并且电路38和/或控制器41在存储器54中存储一个或多个密钥72之后,主机110的用户可以通过用户界面***16向一个或多个进程52发布请求,以在存储装置82中存储其它输入数据74。至少部分地响应于来自用户的该请求,一个或多个进程52可以向控制器62发布对应请求,以在存储装置82中存储输入数据74。
至少部分地响应于来自一个或多个进程52的该请求,控制器62可以向微控制器41重定向和/或转发请求和/或输入数据74。至少部分地响应于该请求和/或输入数据74,电路43可以至少部分地基于存储在存储器54中的一个或多个密钥72,并至少部分地根据上述类型的一个或多个常规数据加密技术,对输入数据74进行加密以生成加密的输出数据71,如操作218所示。在电路43生成该加密的输出数据71之后,电路38可以向控制器62发布加密的输出数据71。至少部分地响应于输出数据94,控制器62可以向存储装置82发布一个请求,该请求对应于此前由一个或多个进程52向控制器62发布的请求,除了由控制器62向存储装置82发布的请求请求将输出数据71(而不是输入数据74)存储在存储装置82中。至少部分地响应于来自控制器62的该请求,存储装置82可以根据来自控制器62的请求,将输出数据71存储在一个或多个存储设备88中。
可选地或此外,在处理器12至少部分地将操作***50装载到存储器21中并且电路38和/或控制器41在存储器54中存储一个或多个密钥72之后,主机110的用户可以通过用户界面***16向一个或多个进程52发布请求,以从存储装置82中提取数据74。至少部分地响应于来自用户的该请求,一个或多个进程52可以向控制器62发布对应请求,以从存储装置82中提取数据74。
至少部分地响应于来自一个或多个进程52的该请求,控制器62可以从存储装置82中提取数据71,并可以向微控制器41转发数据71。根据该实施例,数据71可以是此前由电路43至少部分地基于一个或多个密钥72并至少部分地根据例如上述类型的一个或多个常规加密算法所生成的加密数据。
至少部分地响应于数据71,电路43可以至少部分地根据一个或多个密钥72,并至少部分地根据这些一个或多个常规加密算法,解密数据71以生成数据74,如操作218所示。在电路43生成数据74之后,电路38可以向控制器62发布数据74。至少部分地响应于数据74,控制器62可以向一个或多个进程52发布数据74,此后,一个或多个进程52可以根据用户的数据提取请求向用户提供数据74。
在授权机构145和/或一个或多个进程150已经授权和/或发布一个或多个密钥70和/或一个或多个密钥72之后,授权机构145和/或一个或多个进程150可以撤销对一个或多个密钥70和/或一个或多个密钥72的授权,如操作220所示。例如,在该实施例中,服务器140的用户(未示出)可以通过未示出的包含在服务器140中的用户界面***,向授权机构145和/或一个或多个进程150发布这种密钥授权撤销的请求。这可以使得授权机构145和/或一个或多个进程150通过在服务器140中存储和/或向电路38和/或控制器41发布一个或多个这种密钥授权撤销的指示,来撤销对一个或多个密钥70和/或一个或多个密钥72的授权。此外或可选地,电路38和/或控制器41可以定期请求授权机构145和/或一个或多个进程150指示一个或多个密钥70和/或一个或多个密钥72是否已经被撤销。
至少部分地响应于来自授权机构145和/或一个或多个进程150的这种撤销指示,电路43可以停止加密和/或解密数据。此后,如果电路38、控制器41、和/或电路43后续从控制器62接收到要被加密或解密的数据,则电路38、控制器41、和/或电路43可以响应于其,来发布错误消息和/或指示所请求的操作未被授权的消息。这可以防止控制器62在存储装置82中存储其它数据,并可以防止操作***50向用户提供从存储装置82中提取的解密数据。此外,至少部分地响应于所述错误消息和/或指示所请求的操作未被授权的消息,控制器62可以向一个或多个进程52提供一个或多个对应消息。这可以使得一个或多个进程52通过***16向用户指示在执行用户向存储装置82中存储数据和/或从存储装置82中提取数据的请求时出错,和/或这种请求未被授权。
例如,在该实施例中,电路38和/或控制器41执行BIOS指令56可以使得电路38和/或控制器41例如在主机110重启之后和/或在其后的预定时间间隔时,通过界面16提示主机110的用户以通过界面16向主机110提供一个或多个有效的授权证书96。可选地或此外,授权机构145和/或一个或多个进程150可以请求电路38和/或控制器41这样提示用户,并且至少部分地响应于其,电路38和/或控制器41可以这样提示用户。
如这里所使用的,“证书”指一个或多个字符串、符号、和/或值,至少部分地基于所述字符串、符号、和/或值来至少部分地确定是否允许执行操作,例如,在该实施例中,一个或多个用户提供的口令。电路38和/或控制器41可以将一个或多个证书96与存储在存储器54和/或存储器45中的一个或多个预定证书进行比较。如果一个或多个证书96与这些一个或多个预定证书匹配,则电路38和/或控制器41可以确定该证书96有效。相反地,如果一个或多个证书96与这些一个或多个确定的证书不匹配(或如果用户不能在预定时间段内提供证书96),则电路38和/或控制器41可以确定该用户不能提供一个或多个有效授权证书。这可以导致电路38和/或控制器41请求授权机构145和/或一个或多个进程150撤销一个或多个密钥70和/或一个或多个密钥72的授权。响应于该请求,一个或多个进程150和/或授权机构145可以以上述方式撤销这种授权。
可选地或此外,电路38和/或控制器41可以将证书96转发到授权机构145和/或一个或多个进程150。授权机构145和/或一个或多个进程150可以将一个或多个证书96与存储在服务器140中的一个或多个预定证书比较。如果一个或多个证书96与这些一个或多个预定证书匹配,则授权机构145和/或一个或多个进程150可以确定该证书96有效(即,该用户提供了有效的授权证书)。至少部分地基于该确定,授权机构145和/或一个或多个进程150可以例如在主机110重启后和/或一个或多个密钥70和/或72过期前授权和/或发布一个或多个密钥。相反地,如果一个或多个证书96与这些一个或多个确定的证书不匹配(或如果用户不能在预定时间段内提供证书96),则授权机构145和/或一个或多个进程150可以确定该用户不能提供一个或多个有效的授权证书,并可以以上述方式撤销一个或多个密钥70和/或一个或多个密钥72的授权。
相反地,如果作为操作202的结果,微控制器41和/或电路38确定微控制器41和/或电路38不能与服务器140、远程授权机构145、和/或一个或多个代理150进行通信,则电路38和/或控制器41可以确定是否允许电路43以上述方式加密和/或解密要被存储到存储装置82中或要从存储装置82中提取的数据,如操作206所示。例如,电路38和/或控制器41可以检查可以存储在存储器54、存储器45、和/或电路38和/或控制器41中的一个或多个寄存器(未示出)中的一个或多个值。这些一个或多个值可以指示授权机构145是否已授权电路43加密存储在存储装置82中的数据和/或解密从存储装置82中提取的数据。可以至少部分地响应于从授权机构145接收的一个或多个命令,由控制器41和/或电路38将这些一个或多个值存储在存储器54、存储器45、和/或这些一个或多个寄存器中。如果该一个或多个值指示这种数据加密和/或解密已被授权,且此前由授权机构145和/或一个或多个进程150授权的一个或多个密钥存储在存储器54中,则电路38和/或控制器41可以确定授权机构145已经授权这种加密和/或解密。相反地,如果该一个或多个值指示这种数据加密和/或解密未被授权,或者此前授权的一个或多个密钥未存储在存储器54中,则电路38和/或控制器41可以确定授权机构145未授权这种数据加密和/或解密。
在电路38和/或控制器41做出该确定后,电路38和/或控制器41可以根据该确定继续进行,如操作208所示。例如,如果作为操作206的结果,电路38和/或控制器41确定这种加密和/或解密已被授权,则电路38可以以上述方式加密和/或解密数据,作为操作208的一部分。相反地,如果作为操作206的结果,电路38和/或控制器41确定这种加密和/或解密未被授权,则电路43不可以加密和/或解密数据,作为操作208的一部分。反之,控制器41和/或电路38可以响应于来自一个或多个进程52的一个或多个存储请求,请求控制器62将数据存储到存储装置82中,而不由电路43加密。同样,控制器41和/或电路38可以响应于来自一个或多个进程52的一个或多个数据提取请求,请求控制器62从存储装置82中提取数据并将其发布到一个或多个进程52,而不由电路43解密。控制器62可以根据来自电路38和/或控制器41的这种请求进行动作。
此外或可选地,尽管在图2中未示出,但是在执行操作214和/或操作218之前,电路38和/或控制器41可以基本上以操作206的方式确定是否允许电路43以上述方式加密和/或解密数据。至少部分地取决于这种确定结果,操作214和/或218可以被适当地执行或不执行。
在该实施例中,电路38、集成电路39、控制器41、和/或电路43可以执行这里所描述的由电路38、集成电路39、控制器41、和/或电路43执行的操作,作为电路38、集成电路39、控制器41、和/或电路43执行BIOS指令56的结果。电路38、集成电路39、控制器41、和/或电路43独立于操作***50和/或处理器12所执行的操作***指令来执行这些操作。例如,为了完成这些操作,电路38、集成电路39、控制器41、和/或电路43不执行操作***50和/或处理器12所执行的操作***指令的任何部分。结果是,例如,电路38和/或控制器41可以能够独立于操作***50、一个或多个进程52、和/或处理器12所执行的操作***指令来执行操作204。
授权机构145和/或一个或多个进程150可以在服务器140中保留并存储授权机构145和/或一个或多个进程150授权和/或发布的每个密钥的拷贝。这可以允许完成各种管理和/或处理功能,例如,可以便于解密存储在存储装置82中的数据,以响应于合法的授权机构所发布的请求输出这种数据的请求。
这样,***实施例可以包含电路板。电路板可以包含电路卡槽和电路卡,其中电路卡能够***电路卡槽。电路卡可以包含电路,所述电路至少部分地响应于将输入数据存储到存储装置中的请求,至少部分地基于至少一个密码,加密输入数据以生成要存储在存储装置中的输出数据。所述至少一个密钥可以由远程授权机构授权。此外或可选地,电路可以至少部分地响应于从存储装置中提取输入数据的请求,至少部分地基于所述至少一个密钥,解密输出数据。
在该***实施例中,数据可以至少部分地基于由远程授权机构授权的一个或多个密钥,被加密并存储到存储装置中和/或从存储装置中提取并解密,而不依赖于操作***。有利地,该***实施例的特性可以允许该***实施例能够克服上述常规安排的上述和/或其他缺点。
这里所使用的术语和表达仅仅用作描述而非限制性的,并且使用这些术语和表达并不意图排除所示和所描述的特性之外的等价方式(或其部分),并且应该认识到,在权利要求的范围内可以进行各种修改。
其他修改也是可能的。因此,权利要求意图覆盖所有这种等价方式。

Claims (20)

1.一种用于进行加解密操作的方法,包括:
至少部分地响应于将输入数据存储到存储装置中的请求,至少部分地基于至少一个密钥对输入数据进行加密以生成输出数据以存储到所述存储装置中,所述至少一个密钥由远程授权机构授权;以及/或者
至少部分地响应于从所述存储装置中提取所述输入数据的请求,至少部分地基于所述至少一个密钥对所述输出数据进行解密;以及
响应于从所述远程授权机构接收到的、关于所述至少一个密钥被撤销的指示,停止将所述至少一个密钥用于加解密操作。
2.根据权利要求1所述的方法,还包括:
从所述远程授权机构向通信网络发布所述至少一个密钥;以及
通过所述通信网络,由能够执行所述加密和/或所述解密的电路接收所述至少一个密钥。
3.根据权利要求1所述的方法,还包括:
在所述至少一个密钥由所述授权机构授权之后,由所述授权机构授权至少一个其它密钥;以及
至少部分地基于所述至少一个其它密钥加密和/或解密其他数据。
4.根据权利要求1所述的方法,其中:
所述撤销至少部分地响应于用户提供一个或多个有效的授权证书的失败。
5.根据权利要求1所述的方法,还包括:
由所述授权机构至少部分地基于由用户提供的一个或多个证书,授权所述至少一个密钥。
6.根据权利要求1所述的方法,其中:
所述加密和/或所述解密至少部分地由包含在集成电路中的电路来执行,所述集成电路地理上远离所述远程授权机构并且可通信地耦合到所述远程授权机构;
服务器包含所述远程授权机构;以及
所述存储装置包含大容量存储装置。
7.根据权利要求6所述的方法,还包括:
在所述加密和/或所述解密之前,确定所述电路是否能够与所述远程授权机构进行通信;
如果所述电路能够与所述远程授权机构进行通信,则所述电路请求所述远程授权机构对所述至少一个密钥的授权;以及
如果所述电路不能够与所述远程授权机构进行通信,则所述电路确定是否允许所述加密和/或所述解密。
8.根据权利要求6所述的方法,其中:
主机包含所述集成电路,所述主机能够运行操作***;以及
所述电路能够独立于所述操作***,请求所述远程授权机构对所述至少一个密钥的所述授权。
9.一种用于进行加解密操作的装置,包括:
电路,其包括:
加密模块,用于至少部分地响应于将输入数据存储到存储装置中的请求,至少部分地基于至少一个密钥对输入数据进行加密以生成输出数据以存储到所述存储装置中,所述至少一个密钥由远程授权机构授权;以及/或者
解密模块,用于至少部分地响应于从所述存储装置中提取所述输入数据的请求,至少部分地基于所述至少一个密钥对所述输出数据进行解密;以及
停止模块,用于响应于从所述远程授权机构接收到的、关于所述至少一个密钥被撤销的指示,停止将所述至少一个密钥用于加解密操作。
10.根据权利要求9所述的装置,其中:
所述远程授权机构能够向通信网络发布所述至少一个密钥;以及
所述电路能够通过所述通信网络接收所述至少一个密钥。
11.根据权利要求9所述的装置,其中:
在所述至少一个密钥由所述远程授权机构授权之后,所述远程授权机构能够授权至少一个其它密钥;以及
所述电路能够至少部分地基于所述至少一个其它密钥,加密和/或解密其他数据。
12.根据权利要求9所述的装置,其中:
所述远程授权机构能够至少部分地响应于用户提供一个或多个有效的授权证书的失败,撤销对所述至少一个密钥的所述授权。
13.根据权利要求9所述的装置,其中:
所述远程授权机构能够至少部分地基于用户提供的一个或多个证书,授权所述至少一个密钥。
14.根据权利要求9所述的装置,其中:
集成电路包含所述电路,所述集成电路地理上远离所述远程授权机构并且可通信地耦合到所述远程授权机构;
服务器包含所述远程授权机构;以及
所述存储装置包含大容量存储装置。
15.根据权利要求14所述的装置,其中:
在所述加密和/或所述解密之前,所述电路能够确定所述电路是否能够与所述远程授权机构进行通信;
如果所述电路确定所述电路能够与所述远程授权机构进行通信,则所述电路能够请求所述远程授权机构对所述至少一个密钥的授权;以及
如果所述电路确定所述电路不能够与所述远程授权机构进行通信,则所述电路能够确定是否允许所述加密和/或所述解密。
16.根据权利要求14所述的装置,其中:
主机包含所述集成电路,所述主机能够运行操作***;以及
所述电路能够独立于所述操作***,请求所述远程授权机构对所述至少一个密钥的所述授权。
17.一种用于进行加解密操作的***,包括:
电路板,包含电路卡槽和电路卡,所述电路卡能够***所述电路卡槽,所述电路卡包含电路,该电路进一步包括:
加密模块,用于至少部分地响应于将输入数据存储到存储装置中的请求,至少部分地基于至少一个密钥对所述输入数据进行加密以生成输出数据以存储到所述存储装置中,所述至少一个密钥由远程授权机构授权;以及/或者
解密模块,用于至少部分地响应于从所述存储装置中提取所述输入数据的请求,至少部分地基于所述至少一个密钥对所述输出数据进行解密;以及
停止模块,用于响应于从所述远程授权机构接收到的、关于所述至少一个密钥被撤销的指示,停止将所述至少一个密钥用于加解密操作。
18.根据权利要求17所述的***,其中所述电路板包括:
存储器,用于存储基本输入/输出***(BIOS)指令和所述至少一个密钥;以及
集成电路,耦合到所述存储装置和所述电路卡,所述集成电路能够至少部分地控制所述存储装置的操作;
所述电路能够向所述集成电路发送所述输入数据和/或所述输出数据和/或从所述集成电路接收所述输入数据和/或所述输出数据。
19.根据权利要求18所述的***,其中所述电路板还包括:
总线,将所述集成电路耦合到所述电路卡槽。
20.根据权利要求18所述的***,其中:
主机包含所述电路板和所述电路卡;
服务器包含所述远程授权机构;
所述存储装置包含大容量存储装置;以及
所述***还包含通信网络,其将所述服务器耦合到所述主机。
CN2005800334406A 2004-10-20 2005-10-13 用于进行加解密操作的方法和*** Active CN101036096B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/970,405 2004-10-20
US10/970,405 US7711965B2 (en) 2004-10-20 2004-10-20 Data security
PCT/US2005/037102 WO2006044710A2 (en) 2004-10-20 2005-10-13 Data security

Publications (2)

Publication Number Publication Date
CN101036096A CN101036096A (zh) 2007-09-12
CN101036096B true CN101036096B (zh) 2010-11-17

Family

ID=35811700

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2005800334406A Active CN101036096B (zh) 2004-10-20 2005-10-13 用于进行加解密操作的方法和***

Country Status (6)

Country Link
US (4) US7711965B2 (zh)
EP (1) EP1805572B1 (zh)
JP (1) JP2008517400A (zh)
CN (1) CN101036096B (zh)
TW (1) TWI314684B (zh)
WO (1) WO2006044710A2 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7711965B2 (en) 2004-10-20 2010-05-04 Intel Corporation Data security
US8218770B2 (en) * 2005-09-13 2012-07-10 Agere Systems Inc. Method and apparatus for secure key management and protection
US7810139B2 (en) * 2006-03-29 2010-10-05 Novell, Inc Remote authorization for operations
EP2082349A2 (en) * 2006-11-14 2009-07-29 Sandisk Corporation Methods and apparatuses for linking content with license
US8763110B2 (en) 2006-11-14 2014-06-24 Sandisk Technologies Inc. Apparatuses for binding content to a separate memory device
US9961550B2 (en) 2010-11-04 2018-05-01 Itron Networked Solutions, Inc. Physically secured authorization for utility applications
US8880883B2 (en) 2013-03-15 2014-11-04 Silver Spring Networks, Inc. Secure end-to-end permitting system for device operations
TWI560611B (en) * 2013-11-13 2016-12-01 Via Tech Inc Apparatus and method for securing bios
US20160350545A1 (en) * 2015-05-27 2016-12-01 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Trans-locality based fixed storage security
JP6731887B2 (ja) * 2017-06-27 2020-07-29 Kddi株式会社 保守システム及び保守方法
JP6696942B2 (ja) * 2017-08-14 2020-05-20 Kddi株式会社 車両保安システム及び車両保安方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3613827A1 (de) * 1986-04-24 1987-10-29 Wolfgang Prof Dr Ing Weber Digitalrechner
EP0421409A3 (en) * 1989-10-06 1991-05-29 International Business Machines Corporation Transaction system security method and apparatus
US20030167395A1 (en) * 2002-03-04 2003-09-04 Sandisk Corporation Implementation of storing secret information in data storage reader products

Family Cites Families (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0820964B2 (ja) 1991-09-13 1996-03-04 インターナショナル・ビジネス・マシーンズ・コーポレイション メモリ制御装置および方法
JPH05143247A (ja) 1991-11-26 1993-06-11 Matsushita Electric Ind Co Ltd 補助記憶装置
JP2810593B2 (ja) 1992-05-13 1998-10-15 三菱電機株式会社 記憶装置
JP3107907B2 (ja) * 1992-05-22 2000-11-13 大日本印刷株式会社 光・icカードの記録再生システム
US5522032A (en) 1994-05-05 1996-05-28 International Business Machines Corporation Raid level 5 with free blocks parity cache
JP2600643B2 (ja) 1994-07-28 1997-04-16 日本電気株式会社 ファイル暗号装置
DE69532434T2 (de) * 1994-10-27 2004-11-11 Mitsubishi Corp. Gerät für Dateiurheberrechte-Verwaltungssystem
DE69535013T2 (de) * 1994-10-27 2006-12-28 Intarsia Software LLC, Las Vegas Urheberrechtsdatenverwaltungssystem
CN100452072C (zh) * 1995-02-13 2009-01-14 英特特拉斯特技术公司 用于管理在第一装置和第二装置之间的数字文档的分布的方法
US6157721A (en) * 1996-08-12 2000-12-05 Intertrust Technologies Corp. Systems and methods using cryptography to protect secure computing environments
US5640506A (en) 1995-02-15 1997-06-17 Mti Technology Corporation Integrity protection for parity calculation for raid parity cache
US5835594A (en) * 1996-02-09 1998-11-10 Intel Corporation Methods and apparatus for preventing unauthorized write access to a protected non-volatile storage
US5883909A (en) 1996-11-06 1999-03-16 Lsi Logic Corporation Method and apparatus for reducing data transfers across a memory bus of a disk array controller
JPH10275115A (ja) 1997-03-31 1998-10-13 Nippon Telegr & Teleph Corp <Ntt> データ暗号化保存方法及びシステム装置
WO1998045840A1 (fr) 1997-04-07 1998-10-15 Sony Corporation Dispositif et procede d'enregistrement de donnees et dispositif et procede de commande de pile de disques
JPH10326154A (ja) 1997-05-23 1998-12-08 Brother Ind Ltd アレイコントローラ及びデータサーバ
US6134660A (en) * 1997-06-30 2000-10-17 Telcordia Technologies, Inc. Method for revoking computer backup files using cryptographic techniques
US5931947A (en) 1997-09-11 1999-08-03 International Business Machines Corporation Secure array of remotely encrypted storage devices
US6170058B1 (en) * 1997-12-23 2001-01-02 Arcot Systems, Inc. Method and apparatus for cryptographically camouflaged cryptographic key storage, certification and use
US6336187B1 (en) * 1998-06-12 2002-01-01 International Business Machines Corp. Storage system with data-dependent security
US6260120B1 (en) 1998-06-29 2001-07-10 Emc Corporation Storage mapping and partitioning among multiple host processors in the presence of login state changes and host controller replacement
US6446237B1 (en) 1998-08-04 2002-09-03 International Business Machines Corporation Updating and reading data and parity blocks in a shared disk system
JP4101975B2 (ja) 1998-12-02 2008-06-18 オリンパス株式会社 可搬型記憶媒体を用いたデータ記録/再生装置
US6282650B1 (en) 1999-01-25 2001-08-28 Intel Corporation Secure public digital watermark
US6230266B1 (en) * 1999-02-03 2001-05-08 Sun Microsystems, Inc. Authentication system and process
US6857076B1 (en) * 1999-03-26 2005-02-15 Micron Technology, Inc. Data security for digital data storage
US6546492B1 (en) * 1999-03-26 2003-04-08 Ericsson Inc. System for secure controlled electronic memory updates via networks
US7096370B1 (en) * 1999-03-26 2006-08-22 Micron Technology, Inc. Data security for digital data storage
JP2001042769A (ja) 1999-07-28 2001-02-16 Cti Co Ltd 電子データの通信方法、中継サーバ及び記録媒体
US7949606B1 (en) * 1999-12-03 2011-05-24 William Sweet Intellectual property brokerage system and method
WO2001054099A1 (fr) * 2000-01-21 2001-07-26 Sony Corporation Systeme d'authentification de donnees
US6807649B1 (en) 2000-05-23 2004-10-19 Hewlett-Packard Development Company, L.P. Encryption keys for multiple drive fault tolerance
JP4631132B2 (ja) 2000-06-05 2011-02-16 三菱電機株式会社 デジタル署名の有効期限延長システム、デジタル署名有効期限延長装置、およびデジタル署名有効期限延長方法
US8307098B1 (en) * 2000-08-29 2012-11-06 Lenovo (Singapore) Pte. Ltd. System, method, and program for managing a user key used to sign a message for a data processing system
US7054447B1 (en) * 2000-09-01 2006-05-30 Pgp Corporation Method and apparatus for periodically removing invalid public keys from a public key server
US7140044B2 (en) 2000-11-13 2006-11-21 Digital Doors, Inc. Data security system and method for separation of user communities
US7017041B2 (en) * 2000-12-19 2006-03-21 Tricipher, Inc. Secure communications network with user control of authenticated personal information provided to network entities
US7069435B2 (en) * 2000-12-19 2006-06-27 Tricipher, Inc. System and method for authentication in a crypto-system utilizing symmetric and asymmetric crypto-keys
US20020114453A1 (en) 2001-02-21 2002-08-22 Bartholet Thomas G. System and method for secure cryptographic data transport and storage
US7302571B2 (en) * 2001-04-12 2007-11-27 The Regents Of The University Of Michigan Method and system to maintain portable computer data secure and authentication token for use therein
KR100400386B1 (ko) 2001-05-18 2003-10-08 아라리온 (주) 이종버스를 연결하는 고기밀 호스트 어댑터
JP2002351747A (ja) 2001-05-30 2002-12-06 Hitachi Ltd ストレージシステムにおけるストレージ内データのバックアップ管理方法およびこの管理方法を実施する手段を備えたストレージシステム
WO2003019438A2 (en) 2001-08-28 2003-03-06 Koninklijke Philips Electronics N.V. Consumer and revocation of their equipment
JP4969745B2 (ja) * 2001-09-17 2012-07-04 株式会社東芝 公開鍵基盤システム
RU2298824C2 (ru) 2001-09-28 2007-05-10 Хай Денсити Дивайсез Ас Способ и устройство для шифрования/дешифрования данных в запоминающем устройстве большой емкости
CA2358980A1 (en) 2001-10-12 2003-04-12 Karthika Technologies Inc. Distributed security architecture for storage area networks (san)
JP2003152715A (ja) 2001-11-16 2003-05-23 Nippon Telegr & Teleph Corp <Ntt> 失効証明証情報取得方法及び装置及び失効証明証情報取得プログラム及び失効証明証情報取得プログラムを格納した記憶媒体
KR100445406B1 (ko) * 2001-11-30 2004-08-25 주식회사 하이닉스반도체 데이터 암호화 장치 및 그 방법
US6920154B1 (en) 2001-12-17 2005-07-19 Supergate Technology Usa, Inc. Architectures for a modularized data optimization engine and methods therefor
FR2834841B1 (fr) * 2002-01-17 2004-05-28 France Telecom Procede cryptographique de revocation a l'aide d'une carte a puce
US9544297B2 (en) * 2002-03-08 2017-01-10 Algorithmic Research Ltd. Method for secured data processing
US7200756B2 (en) * 2002-06-25 2007-04-03 Microsoft Corporation Base cryptographic service provider (CSP) methods and apparatuses
KR100745436B1 (ko) * 2002-07-29 2007-08-02 인터내셔널 비지네스 머신즈 코포레이션 비밀 암호화 키와 공개 암호화 키의 제공 방법, 서명값 제공 방법, 서명값 검증 방법, 서명값 타당성 통신 방법, 컴퓨터 판독 가능 기록 매체 및 네트워크 디바이스
US7234063B1 (en) * 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
JP4254178B2 (ja) * 2002-09-11 2009-04-15 富士ゼロックス株式会社 分散格納制御装置及び方法
US8132024B2 (en) * 2003-03-11 2012-03-06 Panasonic Corporation Digital work protection system, recording apparatus, reproduction apparatus, and recording medium
US7916674B2 (en) * 2003-03-27 2011-03-29 Panasonic Corporation Method and apparatus for intermittent communication
US7395428B2 (en) * 2003-07-01 2008-07-01 Microsoft Corporation Delegating certificate validation
US7475257B2 (en) 2003-09-25 2009-01-06 International Business Machines Corporation System and method for selecting and using a signal processor in a multiprocessor system to operate as a security for encryption/decryption of data
US20050239504A1 (en) * 2004-04-23 2005-10-27 Sharp Laboratories Of America, Inc. SIM-based automatic feature activation for mobile phones
JP2005324939A (ja) 2004-05-14 2005-11-24 Ricoh Co Ltd 加圧板バネ、原稿画像読取装置、被転写体給送装置、及び画像形成装置
US7711965B2 (en) 2004-10-20 2010-05-04 Intel Corporation Data security
US20060224902A1 (en) * 2005-03-30 2006-10-05 Bolt Thomas B Data management system for removable storage media
US20070074047A1 (en) * 2005-09-26 2007-03-29 Brian Metzger Key rotation
US8520850B2 (en) * 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3613827A1 (de) * 1986-04-24 1987-10-29 Wolfgang Prof Dr Ing Weber Digitalrechner
EP0421409A3 (en) * 1989-10-06 1991-05-29 International Business Machines Corporation Transaction system security method and apparatus
US20030167395A1 (en) * 2002-03-04 2003-09-04 Sandisk Corporation Implementation of storing secret information in data storage reader products

Also Published As

Publication number Publication date
WO2006044710A2 (en) 2006-04-27
US20170331814A1 (en) 2017-11-16
JP2008517400A (ja) 2008-05-22
TW200627152A (en) 2006-08-01
TWI314684B (en) 2009-09-11
US20100275016A1 (en) 2010-10-28
US9942219B2 (en) 2018-04-10
US20060085652A1 (en) 2006-04-20
CN101036096A (zh) 2007-09-12
US9654464B2 (en) 2017-05-16
EP1805572B1 (en) 2015-07-29
WO2006044710A3 (en) 2006-08-10
EP1805572A2 (en) 2007-07-11
US9135470B2 (en) 2015-09-15
US7711965B2 (en) 2010-05-04
US20160021099A1 (en) 2016-01-21

Similar Documents

Publication Publication Date Title
CN101036096B (zh) 用于进行加解密操作的方法和***
US9195806B1 (en) Security server for configuring and programming secure microprocessors
CN1818920B (zh) 管理用于文件加密和解密的多个密钥的***和方法
JP4083218B2 (ja) マルチステップディジタル署名方法およびそのシステム
US7051211B1 (en) Secure software distribution and installation
US7032240B1 (en) Portable authorization device for authorizing use of protected information and associated method
US11258591B2 (en) Cryptographic key management based on identity information
EP3585023B1 (en) Data protection method and system
KR20210061426A (ko) 이중 암호화된 시크릿 부분의 서브세트를 사용하여 시크릿의 어셈블리를 허용하는 이중 암호화된 시크릿 부분
EP1586973A2 (en) Method for encryption backup and method for decryption restoration
US20120233454A1 (en) Data security for digital data storage
US20080072071A1 (en) Hard disc streaming cryptographic operations with embedded authentication
US8799654B2 (en) Methods and apparatus for authenticating data as originating from a storage and processing device and for securing software and data stored on the storage and processing device
CN105191207A (zh) 联合密钥管理
CN103988464A (zh) 利用全球平台规范对发行者安全域进行密钥管理的***和方法
JP2004528632A (ja) プログラマブル携帯データ記憶媒体用プログラムの分散生成方法およびシステム
CN106936588B (zh) 一种硬件控制锁的托管方法、装置及***
CN103460195A (zh) 用于安全软件更新的***和方法
CN103080946A (zh) 用于安全地管理文件的方法、安全设备、***和计算机程序产品
WO2005098639A9 (ja) ログインシステム及び方法
MX2012000077A (es) Metodo para controlar y monitorear de forma remota los datos producidos sobre un software de escritorio.
US20100031045A1 (en) Methods and system and computer medium for loading a set of keys
JP2023548572A (ja) ブロックチェーンに機密データを記憶すること
CN112104627A (zh) 基于区块链的数据传输方法、装置、电子设备及存储介质
AU778380B2 (en) Portable authorization device for authorizing use of protected information and associated method

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant