TWI312952B - Method of protecting information in a data storage device and data storage device for use with a host computer - Google Patents
Method of protecting information in a data storage device and data storage device for use with a host computer Download PDFInfo
- Publication number
- TWI312952B TWI312952B TW095106114A TW95106114A TWI312952B TW I312952 B TWI312952 B TW I312952B TW 095106114 A TW095106114 A TW 095106114A TW 95106114 A TW95106114 A TW 95106114A TW I312952 B TWI312952 B TW I312952B
- Authority
- TW
- Taiwan
- Prior art keywords
- host computer
- user
- storage device
- data storage
- data
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Signal Processing For Digital Recording And Reproducing (AREA)
Description
1312952 (1) 九、發明說明 【發明所屬之技術領域】 本發明係大致有關資料儲存裝置。更具體而言,本發 明係有關資料儲存裝置中之資料轉錄(data transcription * 【先前技術】 ® 大量儲存裝置是現代電腦的許多組件中之一種組件。 一種類型的大量儲存裝置是固定式磁碟機。此種磁碟機被 用來儲存與作業系統、應用軟體、使用者資料、以及有著 作權的資訊(授權軟體、數位音樂、視訊、及書籍等的資 訊)有關的大量資訊。某些此種資訊對操作磁碟機的主機 系統之工作是必不可少的。此外,磁碟機的成本在最近的 急速下跌已促成磁碟機被運用在諸如聲音/視訊應用、網 際網路機上盒、以及遊戲機等的許多非傳統的應用。所有 #這些應用都需要將特殊軟體預先載入一磁碟。如果應用軟 體或其他關鍵性資料被故意或非故意地覆寫,則可能發生 嚴重的損失。因此’這些應用軟體需要有精密的防寫安全 m 功能。此外’也需要有防止對機密資料作未經授權的存取 之機制。 目前’主要係在主機電腦中實施防寫機制以及防止對 資料(使用者資料及有著作權的資訊)作未經授權的存取 之機制’而磁碟機只能小部分地控制或無法控制這些機制 的作業。在某些情況下,此種依賴主機的機制可能將機密 -4- (2) 1312952 資訊洩漏給不是該機密資訊的所有權人的該主機電腦之一 使用者。因此’目前需要使此種資訊受到大致獨立於主機 電腦而操作的一機制之保護。 本發明的實施例將解決方案提供給上述這些及其他的 問題’且提供了勝過先前技術的其他優點。 * 【發明內容】 •本發明係有關一種機密資料轉錄系統,其中係在一資 料儲存裝置內實施該系統,且該系統係以大致獨立於主機 電腦之方式操作,因而解決了前文所述之問題。 根據本發明的一實施例,提供了 一種保護一資料儲存 裝置中之資訊的方法。該方法包含下列步驟:在該資料儲 存裝置中’經由採用該資料儲存裝置的一主機電腦而接收 被加密的資料。然後在該資料儲存裝置中,將該被加密的 資料解密並重新加密。係以大致獨立於該主機電腦之方式 ♦執行該解密及重新加密(轉錄)。 ^ 另一種作業模式是:當該主機電腦要求所儲存的被加 密的資料時’將以與用來將該所儲存的資料加密的密碼及 (或)金鑰不同的一密碼及(或)金鑰將該被加密的資料 加密。該資料儲存裝置插取被要求的資料區塊,將該等資 料區塊解密,並將這些資料區塊重新加密,然後將這些被 重新加密的資料區塊傳送到該主機電腦。 亦可將本發明實施爲一資料儲存裝置,該資料儲存裝 置在實體上存放有該資料儲存裝置的一控制器可執行之— -5- (3) 1312952 指令程式,用以執行前文所述之轉錄方法。 若參閱下文中之詳細說明,並檢視相關聯的圖式,將 可易於了解作爲本發明的特徵之上述這些及其他的特性及 優點。 【實施方式】 ' 現在請參閱第1圖,圖中示出使用本發明的實施例 • 的一磁碟機(100)之一等角圖。在各圖式中將使用相同 的代號以代表相同的或類似的元件。磁碟機(1 〇〇 )包含 一外殼,該外殼具有一底座(102)及一上蓋(圖中未示 出)。磁碟機(1〇〇 )進一步包含一磁碟組(106 ),且係 由一磁碟夾(108)將該磁碟組(106)安裝在一主軸馬達 (132 )上。磁碟組(106 )包含複數個個別的磁碟,該等 磁碟被安裝而繞著中心軸(109)共同旋轉。在某些實施 例中,並不使用一磁碟組,而是採用一單一的磁碟(106 •)。每一磁碟表面具有被安裝到磁碟機(1〇〇)的一相關 聯之磁碟頭滑橇(110),用以與磁碟表面互通訊息。磁 碟(106)的表面通常被分成一些區域,每一區域包含多 * 個鄰接的磁軌。在第 I圖所示之例子中,滑橇(110) 被懸吊架(1 1 2 )所支承,而懸吊架(1 1 2 )又被連接到一 致動器(116)的磁軌存取臂(114)。第1圖所示之該 致動器是被稱爲旋轉動圈式致動器的類型,且包含一音圈 馬達(Voice Coil Motor;簡稱 VCM) ( 118)。音圈馬 達(118)繞著一樞軸(120)轉動致動器(116)及其所 -6- (4) 1312952 連接的磁頭(1 1 0 ),以便將磁頭(1 1 Ο )沿著一磁碟內徑 (124 )與一磁碟外徑(126 )間之一拱形路徑(122 )而 定位在一所需資料磁軌之上。被包含在控制電路(或控制 器)(130)中之伺服電子電路根據磁頭(110)及一主機 電腦( 300 )(示於第 3圖)所產生的信號而驅動音圈 * 馬達(1 1 8 )。 ' 現在請參閱第 2圖,圖中示出一典型磁碟(例如, • 第 1圖所示的磁碟組(1〇6)之一磁碟)之一磁碟表面 (200 )。每一磁碟表面包含複數個徑向同心磁碟,用以 協助資料的尋找及讀出。每一磁軌(例如 20 2 )被進一步 分成複數個磁區(或實體記憶位置),該等磁區進一步協 助一特定資訊單位的尋找。在第 2圖中,部分( 204 ) 代表一單一磁區。係使用被稱爲邏輯區塊定址(Logical Block Addressing;簡稱 LBA)的一線性定址機制而定址 到這些磁區。例如’在一5 4 0百萬位元組的磁碟中, 修 LBA0對應於磁頭 〇(第一磁頭)及磁簇(cylinder)或 磁軌 〇(第一磁簇或磁軌)的磁區 1(第一磁區),且 依此繼續進行到該磁碟機上的最後一個實體磁區 LBA 1,065,456。在本說明書的用法中’邏輯區塊定址代表了任 何線性定址機制。 如前文所述,磁碟機(1 〇〇 )是一電腦的一組件,且 被用來儲存與作業系統、應用軟體、及其他資料(使用者 資料、以及有著作權的資訊等的資料)有關的大量資訊。 如前文所述,主要係在主機電腦中實施防止對資料作未糸莖 (5) 1312952 授權的存取之現有機制,而磁碟機只能小部分地控制或無 法控制這些機制的作業。 下文中將參照第3圖而說明本發明,第 3圖是被 耦合到一主機電腦(300)的本發明的磁碟機(1〇〇)之一 方塊圖。一般而言,本發明提供了 一種在磁碟機(1〇〇) 內實施且對主機電腦( 300 )是大致透通之機密資訊轉錄 • 系統’而解決了前文所述的先前技術之問題。爲了可讓本 鲁發明的資料轉錄系統更易於被了解,下文中將先說明使用 本發明的磁碟機(100)之一環境。然後將提供與根據本 發明的磁碟機(1 0 0 )內的資料轉錄有關之細節。 在第3圖中,磁碟機(100)被耦合到係爲—種例 示一般用途運算裝置之主機電腦(3 00 )。電腦(3 00 )之 組件包含一處理單元(3 1 0 )、一系統記憶體(320 )、以 及將其中包括該系統記憶體的各種系統組件耦合到處理單 元(310)之一系統匯流排(311)。系統匯流排(311) •可以是其中包括一記憶體匯流排或記憶體控制器、一周邊 匯流排、以及使用各種匯流排架構中之任何匯流排架構的
V 一區域匯流排的數種類型的匯流排結構中之任何匯流排結 構。 使用者可利用諸如一鍵盤(342 )等的輸入裝置以及 諸如滑鼠、軌跡球、或觸控板等的一指向裝置(341)而 將命令及資訊輸入電腦(3〇〇 )。通常係利用被耦合到該 系統匯流排的一使用者輸入介面( 340 )將這些及其他的 輸入裝置連接到處理單元(310)。一監視器(371)或其 (6) 1312952 他類型的顯示裝置也係經由諸如一視訊介面( 370)的一 介面而被連接到系統匯流排(311)。電腦(300)可使用 通到存放遠端應用程式( 365)的一或多個諸如遠端電腦 ( 360)等的遠端電腦之邏輯連線而在一連網環境中操作 。第3圖所示之邏輯連線包括一區域網路(Local Area m
Network;簡稱 LAN) (351)及一廣域網路(wide Area * Network ;簡稱 WAN) ( 3 5 3 ),但是亦可包括其他的網 鲁路。當被用於一LAN連網環境時,電腦(300)係經由 —網路介面或配接器(350)而被連接到 LAN (351)。 當被用於一 WAN連網環境時,電腦(300)通常包含一 數據機(352)、或經由諸如網際網路等的 WAN(353) 而建立通訊之其他裝置。 如前文所述,電腦( 300 )包含系統記憶體( 320 ), 系統記憶體(320 )係經由系統匯流排(3 I 1 )而被耦合到 處理單元(310)。系統記憶體( 320 )包含形式爲諸如唯 # 讀記憶體(Read Only Memory ;簡稱 ROM )( 321 )及隨 機存取記憶體(Random Access Memory;簡稱 RAM)( 3 22 )的揮發性及(或)非揮發性記憶體之電腦儲存媒體 。通常將存放有可協助諸如在開機期間傳輸電腦(3 00 ) 內之各元件間之資訊的基本常式之一基本輸入/輸出系統 (B a s i c I nput/Output S y s t em ;簡稱 BIOS) ( 3 23 )儲存 在 ROM (321)中。RAM ( 322)通常存放有處理單元( 310)可立即存取及(或)目前正在操作的資料及(或) 程式模組。舉例而言,第3圖示出作業系統(324 )、 (7) 1312952 應用程式(3 2 5 )、其他程式模組(3 2 6 )、以及程式資料 (3 2 7 )。 如第3圖所示’磁碟機(1〇〇)係經由主機-磁碟介 面(3 3 0 )而被耦合到電腦(3 0 0 )。電腦(3 0 0 )經由主 機-磁碟介面( 330)而將資料傳送到磁碟機(1〇〇)並自 磁碟機(1〇〇)讀取資料。主機-磁碟介面( 330)可以是 ' 用來將一磁碟機耦合到一主機電腦的任何類型之資料交換 介面,例如,小型電腦系統介面(Small Computer System Interface ;簡稱 S C SI )、超高速直接記億體存取(Ultra Direct Memory Access;簡稱 UDMA)、先進技術附加( Advanced Technology Attachment ;簡稱 ΑΤΑ)、或業界 習知或未來將開發出的其他標準。 在磁碟機(100)中,係在也實施本發明的資料轉錄 機制的控制器(1 3 0 )之協助下,自主機電腦(3 00 )接收 資料,或將資料提供給主機電腦(3 00 )。一般而言,控 • 制器(1 3 0 )執行指令記憶體(1 3 3 )中存放的指令,而完 成其功能。 磁碟機(1 〇〇 )將儲存的電腦可讀取之指令 '資料結 _ 構、程式模組、以及其他資料提供給電腦(3 00 )。例如 ,在第 3圖中,係將磁碟機(100)示爲儲存了作業系 統(1 3 4 )、應用程式(1 3 5 )、其他程式模組(1 3 6 ) ' 以及程式資料(1 3 7 )。請注意,上述這些組成部分可能 相同於或上述這些組成部分可能相同於或不同於作業系統 (3 24 )、應用程式(3 25 )、其他程式模組(3 26 )、以 -10- (8) 1312952 及程式資料(3 27 )。本說明書中以不同的代號標示作業 系統034)、應用程式(135)、其他程式模組(136) 、以及程式資料(137 ),以便示出:至少,這些組成部 分是不同的拷貝。 . 作業系統(134)、應用程式(135)、其他程式模組 (136)、以及程式資料(137)被儲存爲檔案,且係在利 用各LB A參照到的一叢集之磁區(或實體記億位置)中 ®儲存每一檔案。請注意,係在作業系統的協助下,由主機 電腦控制檔案的組織及結構。一般而言,—磁碟機控制器 (例如130)係以獨立於該作業系統之方式操作,且因而 不知道任何 LBA與檔案間之關係。換言之,如果主機電 腦(例如300)將對應於—檔案的資料傳送到該磁碟機( 例如 100) ’則以將被儲存在一LBA範圍的資料的形 式之資訊抵達該磁碟機控制器(例如130) »該控制器( 例如130)回應接收到該資料儲存資訊,而在磁頭(n〇 •)的協助下’只將該資料儲存在對應於被指定的LBA範 圍之實體記憶位置。 —般而言,係將在控制器(130)中實施且將在下文 中進一步詳細說明的本發明之轉錄機制用來保護主機電腦 的使用者並未擁有的某些機密資訊。例如,考慮下列的情 形:係自一安全伺服器(例如3 60 ) —視訊流,且該視訊 流目前被儲存在或緩衝儲存在磁碟機(1〇〇),以供最後 將在一可處理被加密的資料之一安全視訊卡(例如3 70 ) 上播放。必須使惡意的使用者、意外的使用者錯誤 '以及 -11 - (9) 1312952 遭受威脅的主機(被置放了病毒、病蟲、間諜軟體等的威 脅程式之主機)無法存取該視訊資料。如果諸如因在一不 女全模式下啓動電腦而中斷了主機處理器(例如31〇), 則先則技術的主機層級之資料保護機制可能無法適當地保 護@些資料,因而洩漏了記憶體內容、磁碟緩衝器等的內 容。爲了解決這些問題,本發明提供了—種不以明碼形式 (未加密的形式)而將資料洩漏給主機電腦(或使用者) ^的丨㈢形下操縱(複製、移動、備份、還原)資料之裝置。 具體而言’根據本發明,控制器(1 3 〇 )之組態被設 定成經由採用資料儲存裝置(100)的主機電腦(3〇〇)接 收被加密的資料(例如,前文所述之視訊流)。控制器( 1 3 〇 )然後將所接收之被加密的資料解密及重新加密。控 制器(130)然後將被重新加密的資料經由主機電腦(3〇〇 )傳送到另一安全實體(例如,視訊卡(3 7 0 )),而該 安全實體可將該被重新加密的資料解密。此種技術確保不 ®會將未經加密的資料洩漏給主機電腦。請注意,磁碟機( 、100)中自一安全伺服器(例如 360)接收之被加密的資 料先被解密’然後被重新加密,以便以一種該安全實體( 例如,視訊卡(3 70 ))可處理之形式提供該資料。係將 控制器(1 3 0 )可執行的用於資料解密、重新加密(轉錄 )、及其他對應功能之指令儲存在指令記億體(1 3 3 )中 〇 請注意,執行前文所述之轉錄程序,以便保護與特定 檔案對應的資料。如前文所述,主機電腦係在作業系統的 -12- 1312952 (10) 協助下,控制檔案的組織及結構。此外,如前文所述,磁 碟機控制器(例如1 3 0 )以獨立於作業系統之方式操作, 因而不知道任何 LBA與檔案間之關係。因此,雖然係在 磁碟機(100)中將構成檔案的資料區塊解密及重新加密 ’但是主機電腦(3 00 )必須使構成任何特定檔案的各資 料區塊相關聯。根據本發明,主機電腦(300)可使用轉 • 錄標示元(transcription handle)(與每一金鑰相關聯的 # 唯一識別碼(或數字))來選擇用於資料重新加密(轉錄 )的金鑰,而不會被容許存取加密金鑰本身,因而確保機 密資料不會被以明碼方式洩漏給主機。下文中示出的表 1 是一轉錄表,用以儲存加密金鑰、相關聯的轉錄標示元、 以及用來執行轉錄程序的其他有用資訊。 表 1 轉錄標示元 加密金鏡 加密演算法 解密金鑰 解密演算法 認證及認證資訊 1 1010 2 1011 可將表1儲存在非揮發性記億體中(例如,儲存在 磁碟表面上)。根據本發明的一實施例,主機電腦(300 )知道轉錄表中之條目的數目(在表 1的例子中等於二 )、以及轉錄標示元(例如,表1中之 1及 2)。然 而,加密金鎗(例如,表 1的例子中之 1 〇 1 〇及 1011 )是對主機電腦隱藏的。因此,如前文所述,主機電腦( 3 00 )可使用轉錄標示元來選擇用於資料重新加密的金鑰 -13- (11) 1312952 。在本發明的實施例中,使用經過修改的讀取及寫入命令 ,而將讀取及寫入要求自主機電腦傳送到磁碟機。係建構 該等經過修改的命令,以便各轉錄標示元於適當時可被包 含在讀取/寫入要求內,因而確保了構成任何特定被轉錄 的檔案的資料區塊間之關聯性。上述步驟是必要的,這是 因爲構成一檔案的個別資料區塊通常是、被分散的(並未 被儲存在連續的 LBA中)。 • 請注意,係在磁碟製造時產生該轉錄表。在將磁碟機 (例如 1 0 0 )安裝在主機電腦(例如 3 0 0 )之後,將記 錄加入一或多個轉錄表,且(或)修改該等記錄。可使用 諸如與主機-磁碟介面協定相容的任何適當之命令,而執 行對一或多個轉錄表中之記錄的增添、刪除、及更新。 以一種加密形式將加密金鑰傳送到磁碟,以便儲存在 轉錄表中。資料的所有權人使用諸如該磁碟機的一公開金 鑰(public key )將該等加密金鑰加密。唯有該磁碟機具 # 有一對應的私密金鑰(private key ),因而只能在該磁碟 機中進行轉錄程序中使用的金鑰之解密。一般而言,任何 實體可將想要被傳送到磁碟機的機密資訊加密。 在本發明的某些實施例中,執行一使用者認證程序, 以便決定主機電腦(例如 300 )的一現有使用者是否被授 權以明碼檢視檔案或設定轉錄。最好是在使用者登入主機 電腦(例如3 00 )時,執行與轉錄機制有關的使用者認證 。可將被授權使用者的識別資訊儲存在或結合(連結)到 轉錄表。在某些實施例中,主要是在作業系統中實施使用 -14 - (12) 1312952 者認證程序。在其他的實施例中,除了提供磁碟資料轉移 命令的轉錄標示元之外,主要是在 BIOS或 BIOS延伸 功能中實施該使用者認證程序。請注意,當在 BIOS或 BIOS延伸功能中實施使用者認證時,不需要任何作業系 統的改變。在某些實施例中,使用者認證機制採用安全符 記或生物特徵掃描器(biometric scanner)等的方式,用 ' 以在較基本的密碼之外再強化認證的安全。 # 如前文所述,可使用與主機-磁碟介面協定相容的命 令修改轉錄表的內容(可增添、刪除 '及(或)更新記錄 )。在本發明的實施例中,執行一使用者認證程序,以便 決定主機電腦(例如 300)的一現有使用者對轉錄表所具 有的存取等級(不可存取、只能查詢、或查詢及更新)。 可配合使用與前文所述的那些技術類似的技術之使用者認 證程序而執行該使用者認證程序。可將使用者認證資訊儲 存在磁碟機的一隱藏區中,並可在認證程序期間將該使用 Φ 者認證資訊載入主機電腦(例如 3 00 )。 如前文所述,本發明的磁碟機(1 〇〇 )可將被加密的 資料解密,然後可將該被解密的資料重新加密。可在該資 料被儲存在磁碟表面之前或之後,進行該解密及重新加密 (轉錄)。第 4圖是本發明的一儲存前轉錄方法實施例 之一流程圖(4〇〇 )。在步驟(402 )中,一資料儲存裝置 (例如1 00 )經由採用該資料儲存裝置的一主機電腦(例 如 3 00 )接收被加密的資料。在步驟(404 )中,該資料 儲存裝置將該被加密的資料解密。在步驟(406 )中,該 -15- (13) 1312952 資料儲存裝置然後將該被解密的資料重新加密。在步驟( 408 )中’該資料儲存裝置將該被重新加密(轉錄)的資 料儲存在—儲存媒體(例如2〇〇)上。第5圖是本發明 的一儲存後轉錄方法實施例之一流程圖(5〇〇)。在步驟 ( 502 )中,—主機電腦(例如3〇〇 )向—資料儲存裝置 (例如1〇〇)要求被轉錄的資料區塊。在步驟(5〇4)中 ’該資料儲存裝置自一儲存媒體擷取所儲存之被加密的資 ®料(該被加密的資料先前被傳送到該資料儲存裝置,且在 沒有轉錄的情形下被儲存在該儲存媒體上)。在步驟( 5 06 )中’該資料儲存裝置將該被加密的資料解密。在步 驟(508 )中’該資料儲存裝置然後將該被解密的資料重 新加密。在步驟(510)中’該資料儲存裝置將該被重新 加密(轉錄)的資料區塊傳送到該主機電腦。可在不脫離 本發明的精神及範圍下,採用不同的技術(前文中已述及 了某些這類的技術)來執行第4及5圖的流程圖中示 Φ 出之步驟’同時維持大致相同的功能。 除了用一般用途電腦(300)(第3圖)操作之外 ’亦可用許多其他的一般用途或特殊用途運算系統環境或 組態操作本發明的磁碟機(1〇〇)。可適合配合本發明而 使用的習知運算系統、環境、及(或)組態之例子包括( 但不限於)個人電腦、伺服器電腦、手持或膝上型裝置、 多處理器系統、採用微處理器的系統、機上盒、可程式消 費電子產品、網路 PC、迷你電腦、大型主機電腦、以及 包含任何前文所述的系統或裝置的分散式運算環境等的運 -16- (14) 1312952 算系統、環境、或組態。 我們當了解,雖然前文的說明中已述及了本發明的各 實施例之許多特徵及優點、以及本發明的各實施例的結構 及功能之細節’但是該揭示只是舉例,且在用來陳述最後 的申請專利範圍的術語的廣義意義所充分示出的本發明之 本發明原理內’可對細節作出改變,尤其可在零件的結構 " 及配置上作出改變。例如,可在不脫離本發明的範圍及精 • 神下,根據資料儲存系統的特定應用而改變特定的元件, 同時維持大致相同的功能。此外,雖然本說明書所述的較 佳實施例係有關一種用於一磁碟機資料儲存系統之資料轉 錄系統,但是熟悉此項技術者當可了解:可在不脫離本發 明的範圍及精神下,將本發明的揭示事項應用於需要獨立 於主機的資料轉錄之任何資料儲存系統。此外,可以資料 儲存裝置內之硬體及(或)軟體實施本發明的轉錄機制。 • 【圖式簡單說明】 第 1圖是使用本發明的實施例的一磁碟機之一等角 圖。 ' 第 2圖是第 1圖所示磁碟機中採用的一磁碟的袠 面之示意圖。 第 3圖是被耦合到一主機電腦的本發明的一磁碟機 之一方塊圖。 第 4圖是本發明的一儲存前轉錄方法實施例之一流 程圖。 -17- 1312952 (15) 第 5圖是本發明的一儲存後轉錄方法實施例之一流 程圖。 【主要元件符號說明】 1 0 0 :磁碟機 1 02 :底座 * 1 0 6 :磁碟組 φ 1 0 8 :磁碟夾 1 3 2 :主軸馬達 1 0 9 :中心軸 1 1 0 :磁碟頭滑橇 1 1 2 :懸吊架 1 1 4 :磁軌存取臂 1 1 6 :致動器 1 1 8 :音圈馬達 • 1 2 0 :樞軸 122 :拱形路徑 1 2 4 :磁碟內徑’ • 126 :磁碟外徑 1 3 0 :控制器 3 0 0 :主機電腦 2 0 0 :磁碟表面 202 :磁軌 2 0 4 :磁區 -18- (16) (16)1312952 3 1 Ο :處理單元 3 20 :系統記憶體 3 1 1 :系統匯流排 342 :鍵盤 3 4 1 :指向裝置 340:使用者輸入介面 3 7 1 :監視器 3 7 0 :視訊介面 3 6 0 :遠端電腦 3 65 :遠端應用程式 3 5 1 :區域網路 3 5 3 :廣域網路 3 5 0 :網路介面 3 52 :數據機 3 2 1 :唯讀記憶體 3 22 :隨機存取記憶體 323:基本輸入/輸出系統 1 3 4,3 2 4 :作業系統 135,325:應用程式 1 3 6,3 2 6 :其他程式模組 1 3 7,3 2 7 :程式資料 3 3 0 :主機-磁碟介面 1 3 3 :指令記憶體 -19-
Claims (1)
- (1) 1312952 十、申請專利範圍 1 · 一種保護資料儲存裝置中之資訊之方法, 該方法 包含: (a )在該資料儲存裝置中,經由採用該資料儲# _ 置的一主機電腦而接收被加密的資料;以及 (b )將該被加密的資料解密並重新加密,其中彳系& ' 大致獨立於該主機電腦之方式執行該解密及重新加密。 • 2.如申請專利範圍第1項之方法,進〜步包含: 將該被重新加密的資料傳送到該主機電腦。 3.如申請專利範圍第 1項之方法,其中與 新加密的資料相關之資訊被儲存在一轉錄表中。 4·如申請專利範圍第 3項之方法,其中該轉錄表 被儲存在該電腦可讀取的資料儲存裝置之一儲存媒n上。 5.如申請專利範圍第 1項之方法,進〜步包含τ 列步驟:在執行步驟(a)及(b)之前,先執行—_使用者 • 認證程序,該使用者認證程序被執行以便決定是否可以— 未被加密的形式將該被重新加密的資料顯示給該主機電腦 的一現有使用者。 " 6.如申請專利範圍第 5項之方法,其中該使用者 認證程序的使用者識別資訊被儲存在一轉錄表中。 7. 如申請專利範圍第 6項之方法,其中使用來自 該轉錄表的該使用者識別資訊之一基本輸入/輸出系統執 行該使用者認證程序。 8. 如申請專利範圍第 6項之方法,其中使用來自 -20- (2) 1312952 該轉錄表的該使用者識別資訊之一基本輸入/輸出系統延 伸功能執行該使用者認證程序。 9.如申請專利範圍第 6項之方法,其中使用來自 該轉錄表的該使用者識別資訊之一作業系統執行該使用者 認證程序。 ' 10.如申請專利範圍第 3項之方法,進一步包含下 ' 列步驟:執行一使用者認證程序,該使用者認證程序被執 φ 行,以便決定該主機電腦的一現有使用者是否可修改該轉 錄表。 Π. —種配合主機電腦而使用之儲存裝置,該裝置包 含: 控制器,該控制器之組態被設定成:經由採用該資料 儲存裝置的一主機電腦而接收被加密的資料;以及將該被 加密的資料解密並重新加密,其中係以大致獨立於該主機 電腦之方式執行該解密及重新加密。 • 12.如申請專利範圍第 11項之裝置,其中該控制 器之組態被進一步設定成:將該被重新加密的資料傳送到 該主機電腦。 ' 13.如申請專利範圍第 11項之裝置,其中與該被 重新加密的資料相關之資訊被儲存在一轉錄表中。 14.如申請專利範圍第 11項之裝置,其中該控制 器之組態被進一步設定成:在執行該被加密的資料的接收 以及該被加密的資料的解密及重新加密之前,先執行一使 用者認證程序,該使用者認證程序被執行,以便決定是否 -21 · (3) 1312952 可以一未被加密的形式將該被重新加密的資料顯示給該主 機電腦的一現有使用者。 15. 如申請專利範圍第 14項之裝置,其中該使用 者認證程序的使用者識別資訊被儲存在一轉錄表中。 16. 如申請專利範圍第 14項之裝置,其中配合該 控制器的一基本輸入/輸出系統執行該使用者認證程序, ' 該基本輸入/輸出系統使用來自該轉錄表的該使用者識別 •資訊。 1 7 ·如申請專利範圍第 1 4項之裝置,其中配合該 控制器的一基本輸入/輸出系統延伸功能執行該使用者認 證程序,該基本輸入/輸出系統延伸功能使用來自該轉錄 表的該使用者識別資訊。 18.如申請專利範圍第 14項之裝置,其中配合該 控制器的一作業系統執行該使用者認證程序,該作業系統 使用來自該轉錄表的該使用者識別資訊。 • 19.如申請專利範圍第 13項之裝置,其中該控制 器之組態被進一步設定成:執行一使用者認證程序,該使 用者認證程序被執行,以便決定該主機電腦的一現有使用 者是否可修改該轉錄表。 20. 一種配合一主機電腦而使用之資料儲存裝置’該 裝置包含: 用來將經由採用該資料儲存裝置的一主機電腦而在該 資料儲存裝置中接收的被加密的資料解密及重新加密之機 構, -22- (4) 1312952 其中係以大致獨立於該主機電腦之方式執行該解密及 重新加密。-23-
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/085,923 US8832458B2 (en) | 2005-03-22 | 2005-03-22 | Data transcription in a data storage device |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200707255A TW200707255A (en) | 2007-02-16 |
TWI312952B true TWI312952B (en) | 2009-08-01 |
Family
ID=37036734
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW095106114A TWI312952B (en) | 2005-03-22 | 2006-02-23 | Method of protecting information in a data storage device and data storage device for use with a host computer |
Country Status (3)
Country | Link |
---|---|
US (2) | US8832458B2 (zh) |
JP (1) | JP2006268851A (zh) |
TW (1) | TWI312952B (zh) |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8312267B2 (en) | 2004-07-20 | 2012-11-13 | Time Warner Cable Inc. | Technique for securely communicating programming content |
US8266429B2 (en) | 2004-07-20 | 2012-09-11 | Time Warner Cable, Inc. | Technique for securely communicating and storing programming material in a trusted domain |
US8832458B2 (en) * | 2005-03-22 | 2014-09-09 | Seagate Technology Llc | Data transcription in a data storage device |
US8171307B1 (en) * | 2006-05-26 | 2012-05-01 | Netapp, Inc. | Background encryption of disks in a large cluster |
US8661263B2 (en) * | 2006-09-29 | 2014-02-25 | Protegrity Corporation | Meta-complete data storage |
US8520850B2 (en) | 2006-10-20 | 2013-08-27 | Time Warner Cable Enterprises Llc | Downloadable security and protection methods and apparatus |
US8621540B2 (en) | 2007-01-24 | 2013-12-31 | Time Warner Cable Enterprises Llc | Apparatus and methods for provisioning in a download-enabled system |
JP5134894B2 (ja) * | 2007-09-07 | 2013-01-30 | 株式会社日立製作所 | ストレージ装置及び暗号鍵変更方法 |
US10181055B2 (en) * | 2007-09-27 | 2019-01-15 | Clevx, Llc | Data security system with encryption |
US8761402B2 (en) * | 2007-09-28 | 2014-06-24 | Sandisk Technologies Inc. | System and methods for digital content distribution |
US8225106B2 (en) | 2008-04-02 | 2012-07-17 | Protegrity Corporation | Differential encryption utilizing trust modes |
US20100310076A1 (en) * | 2009-06-04 | 2010-12-09 | Ron Barzilai | Method for Performing Double Domain Encryption in a Memory Device |
US9083685B2 (en) * | 2009-06-04 | 2015-07-14 | Sandisk Technologies Inc. | Method and system for content replication control |
US9602864B2 (en) | 2009-06-08 | 2017-03-21 | Time Warner Cable Enterprises Llc | Media bridge apparatus and methods |
US9866609B2 (en) | 2009-06-08 | 2018-01-09 | Time Warner Cable Enterprises Llc | Methods and apparatus for premises content distribution |
US8566603B2 (en) | 2010-06-14 | 2013-10-22 | Seagate Technology Llc | Managing security operating modes |
US9906838B2 (en) | 2010-07-12 | 2018-02-27 | Time Warner Cable Enterprises Llc | Apparatus and methods for content delivery and message exchange across multiple content delivery networks |
JP5644467B2 (ja) * | 2010-12-20 | 2014-12-24 | ソニー株式会社 | 情報処理装置、および情報処理方法、並びにプログラム |
WO2012148812A2 (en) | 2011-04-29 | 2012-11-01 | Lsi Corporation | Encrypted transport solid-state disk controller |
KR101857791B1 (ko) * | 2011-08-30 | 2018-05-16 | 삼성전자주식회사 | 컴퓨팅 시스템, 및 상기 컴퓨팅 시스템을 동작하기 위한 방법 |
US9565472B2 (en) | 2012-12-10 | 2017-02-07 | Time Warner Cable Enterprises Llc | Apparatus and methods for content transfer protection |
US20140282786A1 (en) | 2013-03-12 | 2014-09-18 | Time Warner Cable Enterprises Llc | Methods and apparatus for providing and uploading content to personalized network storage |
US9621940B2 (en) | 2014-05-29 | 2017-04-11 | Time Warner Cable Enterprises Llc | Apparatus and methods for recording, accessing, and delivering packetized content |
US20160105400A1 (en) * | 2014-10-08 | 2016-04-14 | Time Warner Cable Enterprises Llc | Apparatus and methods for data transfer beteween a plurality of user devices |
US10122690B2 (en) | 2015-07-13 | 2018-11-06 | The Boeing Company | Data encryption and authentication using a mixing function in a communication system |
CN109510826A (zh) * | 2018-11-16 | 2019-03-22 | 中国人民解放军战略支援部队信息工程大学 | 基于可更新加密的安全可靠云存储方法及装置 |
US11797531B2 (en) * | 2020-08-04 | 2023-10-24 | Micron Technology, Inc. | Acceleration of data queries in memory |
Family Cites Families (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS62107352A (ja) | 1985-11-05 | 1987-05-18 | Fujitsu Ltd | 暗号化rom装置 |
US5142578A (en) * | 1991-08-22 | 1992-08-25 | International Business Machines Corporation | Hybrid public key algorithm/data encryption algorithm key distribution method based on control vectors |
US5333277A (en) | 1992-01-10 | 1994-07-26 | Exportech Trading Company | Data buss interface and expansion system |
US5448045A (en) * | 1992-02-26 | 1995-09-05 | Clark; Paul C. | System for protecting computers via intelligent tokens or smart cards |
JPH0637750A (ja) | 1992-07-20 | 1994-02-10 | Hitachi Ltd | 情報転送方式 |
US5805706A (en) * | 1996-04-17 | 1998-09-08 | Intel Corporation | Apparatus and method for re-encrypting data without unsecured exposure of its non-encrypted format |
JP3792236B2 (ja) | 1995-10-09 | 2006-07-05 | 松下電器産業株式会社 | 記録媒体、情報再生装置および情報再生方法 |
JP3627384B2 (ja) | 1996-01-17 | 2005-03-09 | 富士ゼロックス株式会社 | ソフトウェアの保護機能付き情報処理装置及びソフトウェアの保護機能付き情報処理方法 |
JP3440763B2 (ja) | 1996-10-25 | 2003-08-25 | 富士ゼロックス株式会社 | 暗号化装置、復号装置、機密データ処理装置、及び情報処理装置 |
US6308239B1 (en) * | 1996-11-07 | 2001-10-23 | Hitachi, Ltd. | Interface switching apparatus and switching control method |
JPH11161552A (ja) | 1997-11-28 | 1999-06-18 | Fujitsu Ltd | 可換記憶媒体のデータ保護方法及び、これを適用した記憶装置 |
US6599194B1 (en) | 1998-09-08 | 2003-07-29 | Darren Smith | Home video game system with hard disk drive and internet access capability |
US6385727B1 (en) * | 1998-09-25 | 2002-05-07 | Hughes Electronics Corporation | Apparatus for providing a secure processing environment |
JP3742518B2 (ja) | 1998-11-24 | 2006-02-08 | 松下電器産業株式会社 | バスブリッジおよび記録媒体 |
JP2000236325A (ja) * | 1999-02-09 | 2000-08-29 | Lg Electronics Inc | デジタルデータファイルの暗号化装置及びその方法 |
US6898577B1 (en) * | 1999-03-18 | 2005-05-24 | Oracle International Corporation | Methods and systems for single sign-on authentication in a multi-vendor e-commerce environment and directory-authenticated bank drafts |
US6468160B2 (en) | 1999-04-08 | 2002-10-22 | Nintendo Of America, Inc. | Security system for video game system with hard disk drive and internet access capability |
JP3682840B2 (ja) | 1999-05-21 | 2005-08-17 | 日本ビクター株式会社 | コンテンツ情報記録方法及びコンテンツ情報記録装置 |
US7430670B1 (en) * | 1999-07-29 | 2008-09-30 | Intertrust Technologies Corp. | Software self-defense systems and methods |
GB9920323D0 (en) | 1999-08-28 | 1999-11-03 | Koninkl Philips Electronics Nv | Encrypted broadcast facility |
DE60129682T2 (de) | 2000-03-29 | 2008-04-30 | Vadium Technology Inc., Seattle | Einmalige pad-verschlüsselung mit zentralschlüsseldienst und schlüsselfähigen zeichen |
JP2002083456A (ja) | 2000-09-05 | 2002-03-22 | Tamura Seisakusho Co Ltd | 制御装置および制御システム |
JP4269501B2 (ja) | 2000-09-07 | 2009-05-27 | ソニー株式会社 | 情報記録装置、情報再生装置、情報記録方法、情報再生方法、および情報記録媒体、並びにプログラム提供媒体 |
JP4595182B2 (ja) | 2000-09-07 | 2010-12-08 | ソニー株式会社 | 情報記録装置、情報再生装置、情報記録方法、情報再生方法、および情報記録媒体、並びにプログラム提供媒体 |
WO2002047080A2 (en) | 2000-12-07 | 2002-06-13 | Sandisk Corporation | System, method, and device for playing back recorded audio, video or other content from non-volatile memory cards, compact disks or other media |
JP4060032B2 (ja) | 2000-12-22 | 2008-03-12 | 株式会社リコー | 情報記録装置と情報記録方法 |
JP2002281016A (ja) | 2001-03-19 | 2002-09-27 | Toshiba Corp | 暗号化復号装置及び暗号方式変更方法 |
GB0114317D0 (en) * | 2001-06-13 | 2001-08-01 | Kean Thomas A | Method of protecting intellectual property cores on field programmable gate array |
JP2004522252A (ja) | 2001-07-19 | 2004-07-22 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | ユーザデータを再生する装置及び方法 |
US20030061494A1 (en) * | 2001-09-26 | 2003-03-27 | Girard Luke E. | Method and system for protecting data on a pc platform using bulk non-volatile storage |
US20030108205A1 (en) * | 2001-12-07 | 2003-06-12 | Bryan Joyner | System and method for providing encrypted data to a device |
US6748080B2 (en) * | 2002-05-24 | 2004-06-08 | Scientific-Atlanta, Inc. | Apparatus for entitling remote client devices |
GB0217462D0 (en) * | 2002-07-27 | 2002-09-04 | Koninkl Philips Electronics Nv | Storage of encrypted digital signals |
US8064508B1 (en) * | 2002-09-19 | 2011-11-22 | Silicon Image, Inc. | Equalizer with controllably weighted parallel high pass and low pass filters and receiver including such an equalizer |
CN1708942B (zh) * | 2002-10-31 | 2010-11-03 | 艾利森电话股份有限公司 | 设备特定安全性数据的安全实现及利用 |
US7478248B2 (en) * | 2002-11-27 | 2009-01-13 | M-Systems Flash Disk Pioneers, Ltd. | Apparatus and method for securing data on a portable storage device |
JP2004312717A (ja) | 2003-03-24 | 2004-11-04 | Matsushita Electric Ind Co Ltd | データ保護管理装置およびデータ保護管理方法 |
JP2004302818A (ja) * | 2003-03-31 | 2004-10-28 | Clarion Co Ltd | ハードディスク装置、情報処理方法及びプログラム |
US20050228752A1 (en) * | 2004-04-07 | 2005-10-13 | David Konetski | System and method for managing encrypted multimedia content with an information handling system |
US8694423B2 (en) * | 2004-05-21 | 2014-04-08 | Hewlett-Packard Development Company, L.P. | Systems and methods for brokering data in a transactional gateway |
WO2006044717A2 (en) * | 2004-10-15 | 2006-04-27 | Verisign, Inc. | One time password |
US7099477B2 (en) * | 2004-10-21 | 2006-08-29 | International Business Machines Corporation | Method and system for backup and restore of a context encryption key for a trusted device within a secured processing system |
US8832458B2 (en) * | 2005-03-22 | 2014-09-09 | Seagate Technology Llc | Data transcription in a data storage device |
US8589700B2 (en) * | 2009-03-04 | 2013-11-19 | Apple Inc. | Data whitening for writing and reading data to and from a non-volatile memory |
-
2005
- 2005-03-22 US US11/085,923 patent/US8832458B2/en not_active Expired - Fee Related
-
2006
- 2006-02-23 TW TW095106114A patent/TWI312952B/zh not_active IP Right Cessation
- 2006-03-20 JP JP2006075815A patent/JP2006268851A/ja active Pending
-
2014
- 2014-08-28 US US14/471,997 patent/US9767322B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20150058638A1 (en) | 2015-02-26 |
TW200707255A (en) | 2007-02-16 |
US9767322B2 (en) | 2017-09-19 |
US8832458B2 (en) | 2014-09-09 |
JP2006268851A (ja) | 2006-10-05 |
US20060218647A1 (en) | 2006-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI312952B (en) | Method of protecting information in a data storage device and data storage device for use with a host computer | |
US7360057B2 (en) | Encryption of data in a range of logical block addresses | |
KR101852724B1 (ko) | 컴퓨터 프로그램, 비밀관리방법 및 시스템 | |
US20090196417A1 (en) | Secure disposal of storage data | |
JP4648687B2 (ja) | データストレージシステムにおける暗号化変換の方法と装置 | |
US20170277898A1 (en) | Key management for secure memory address spaces | |
JP2007207239A (ja) | セキュリティ応用のための柔軟性を有し保護されたアクセスを与える記憶装置 | |
TW200830830A (en) | Hard disc streaming cryptographic operations with embedded authentication | |
JP2008257691A (ja) | ストレージデバイスのデータ暗号化およびデータアクセスのシステムおよび方法 | |
JP2004510367A (ja) | 暗号化キーとしてのデータ塊アドレスによる保護 | |
US7949137B2 (en) | Virtual disk management methods | |
KR20210078437A (ko) | 안전한 중복 제거를 위한 방법, 장치, 및 시스템 | |
US8458491B1 (en) | Cryptographically scrubbable storage device | |
JP4084971B2 (ja) | 電子データ交換システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラム | |
US8086873B2 (en) | Method for controlling file access on computer systems | |
JP2008129803A (ja) | ファイルサーバ、プログラム、記録媒体及び管理サーバ | |
US9251382B2 (en) | Mapping encrypted and decrypted data via key management system | |
JPH05233460A (ja) | ファイル保護方式 | |
CN112784321B (zh) | 磁盘资安*** | |
TWI745784B (zh) | 磁碟資安系統 | |
JPS63127334A (ja) | 保護されたアプリケーションの実行権に条件を付ける方法 | |
US9152636B2 (en) | Content protection system in storage media and method of the same | |
GB2434887A (en) | Access control by encrypting stored data with a key based on a "fingerprint" of the device storing the data | |
US20130103953A1 (en) | Apparatus and method for encrypting hard disk | |
TW201319856A (zh) | 具有防護機制之隨身碟、資料儲存系統及其方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |