Método y aparato para procesar datos de confidencialidad
Descripción general
 Protección segura en caso de que el dispositivo de almacenamiento que almacena los datos de confidencialidad se elimine y otro dispositivo intente leerlo. ] Cuando la unidad de control 1 y el dispositivo de almacenamiento 3 que almacena los datos de confidencialidad 8 están conectados a través de la línea de bus 2, cuando el dispositivo de almacenamiento 3 está desconectado de la línea de bus 2, la clave de descifrado 9 se almacena automáticamente La copia de seguridad del dispositivo de almacenamiento 4 se elimina y la clave de descifrado 9 se invalida. Quienes pretenden utilizar los datos de confidencialidad 8 almacenados en el dispositivo de almacenamiento 3 saben que la clave de descifrado 9 es necesaria solo después de conectar el dispositivo de almacenamiento 3 a otro dispositivo. La clave de descifrado no se almacena en el dispositivo de almacenamiento 3. También en ese momento, incluso si el dispositivo de almacenamiento 4 que almacena la clave de descifrado 9 está verificado, ya no es posible usar la clave de descifrado 9.
Campo técnico
La presente invención se refiere a un método de procesamiento de datos de confidencialidad y a un aparato de procesamiento para proteger datos de confidencialidad almacenados en un aparato de procesamiento de información.
Antecedentes de la técnica
2. Descripción de la técnica relacionada Los aparatos de procesamiento de información tales como las computadoras se utilizan en una amplia gama de campos, y los datos altamente confidenciales tales como información de ventas e información personal a menudo se almacenan en estos aparatos. En tal caso, se adopta el funcionamiento del aparato tal como el uso de una tarjeta de identificación (tarjeta de identificación) o similar, que confirma al operador y lo restringe. Además, los datos de confidencialidad se almacenan en combinación con la clave de descifrado, etc. para que no puedan leerse tal como están.
Tarea de solución
Incidentalmente, el método de procesamiento de datos de confidencialidad convencional y el aparato de procesamiento como se describió anteriormente tienen los siguientes problemas por resolver. Hoy en día, en respuesta a los requisitos de compatibilidad de datos de procesamiento por un aparato de procesamiento de información, el hardware también es una estructura de propósito general para diversos aparatos de procesamiento de información. Por lo tanto, también es posible desconectar el dispositivo de almacenamiento que almacena los datos de confidencialidad de un determinado dispositivo de procesamiento de información, conectarlo a otro dispositivo de procesamiento de información y leer los datos. Incluso si los datos de confidencialidad están protegidos por una combinación con la clave de descifrado, si el dispositivo de almacenamiento que almacena los datos de confidencialidad y la clave de descifrado están conectados a otro dispositivo de procesamiento de información y el experto lo analiza, En muchos casos, se puede descifrar. Por lo tanto, con esto, es difícil proteger suficientemente los datos confidenciales.
Solución
La presente invención adopta la siguiente constitución para resolver el punto mencionado anteriormente. En el método de la presente invención, los datos de confidencialidad y la clave de descifrado para leer los datos de confidencialidad se almacenan respectivamente en dispositivos de almacenamiento separados, y el dispositivo de almacenamiento que almacena los datos de confidencialidad se separa de la parte de control del dispositivo. , La clave de descifrado en el dispositivo de almacenamiento que almacena la clave de descifrado queda invalidada.
El aparato de la presente invención comprende dos dispositivos de almacenamiento para almacenar por separado datos de confidencialidad y una clave de descifrado para leer los datos de confidencialidad, una unidad de control para controlar estos dispositivos de almacenamiento y datos de confidencialidad. Y un dispositivo de procesamiento de invalidación para invalidar la clave de descifrado en el dispositivo de almacenamiento que almacena la clave de descifrado cuando el dispositivo de almacenamiento almacenado se desconecta de la parte de control del dispositivo.
Dicho sea de paso, el aparato almacena un dispositivo de almacenamiento de claves de descifrado comprende una memoria no volátil respaldada por una batería, aparato de procesamiento de invalidación incluye un interruptor que opera al desconectar el dispositivo de almacenamiento que almacena los datos sensibles de la unidad de control , Y un circuito de conexión que conecta la batería de respaldo y el dispositivo de almacenamiento que almacena la clave de descifrado y desconecta el circuito mediante la operación del interruptor.
Cuando la unidad de control y el dispositivo de almacenamiento que almacena los datos de confidencialidad se conectan a través de la línea de bus, cuando el dispositivo de almacenamiento se desconecta de la línea de bus, la copia de seguridad del dispositivo de almacenamiento que almacena la clave de descifrado se elimina automáticamente , La clave de descifrado no es válida. Aquellos que pretenden utilizar los datos de confidencialidad almacenados en el dispositivo de almacenamiento saben que una clave de descifrado es necesaria solo después de conectar este dispositivo de almacenamiento a otro dispositivo. Si la clave de descifrado no está almacenada en el dispositivo de almacenamiento, no se pueden leer los datos de confidencialidad. Además, en ese momento, incluso si se examina el dispositivo de almacenamiento que almacena la clave de descifrado, la clave de descifrado ya no se puede usar.
Sucesivo, la presente invención se describirá en detalle con referencia a la realización de la fig. La figura 1 es un diagrama de bloques que muestra una realización de un aparato de procesamiento de datos de confidencialidad según la presente invención. Este aparato tiene una configuración en la que dos dispositivos de almacenamiento 3 y 4 están conectados a la unidad de control 1 a través de una línea de bus 2. Un dispositivo de almacenamiento 3 almacena datos de confidencialidad 8. El otro dispositivo de almacenamiento 4 también almacena una clave de descifrado 9 para leer los datos de confidencialidad 8. En esta realización, se supone que el dispositivo de almacenamiento 3 está compuesto por un dispositivo de almacenamiento secundario tal como un disco duro, y el dispositivo de almacenamiento 4 está compuesto por una memoria semiconductora respaldada con una batería. El dispositivo de almacenamiento 3 está conectado a la línea de bus 2 a través de un conector como se describirá más adelante, pero un conmutador 5 que funciona cuando se desconecta el dispositivo de almacenamiento 3 se proporciona por separado. El dispositivo de almacenamiento 4 de la clave de descifrado 9 está conectado a la batería de respaldo 6 a través del circuito de conexión 7 de modo que el contenido de la clave de descifrado 9 se mantiene incluso después de que se interrumpe el suministro de energía del dispositivo.
Cuando se desconecta el dispositivo de almacenamiento 3 de la unidad de control 1, el dispositivo de la presente invención que tiene dicha configuración funciona para invalidar la clave de descifrado 9 almacenada en el dispositivo de almacenamiento 4. El conmutador 5 y el circuito de conexión 7 son dispositivos para dicho procesamiento de invalidación. La figura 2 muestra un diagrama de conexión en hormigón del dispositivo de procesamiento de invalidación que incluye el circuito de conexión 7. (A) y (b) ilustran diferentes realizaciones, respectivamente. (A), en el dispositivo de almacenamiento 3 que almacena los datos de confidencialidad 8, se proporcionan un cable 11 y un conector 12 unido a la punta del mismo.
Al conectar el conector 12 al conector 13 conectado a la línea 2 de bus, el dispositivo 3 de almacenamiento y la línea 2 de bus mostrados en la figura 1 están conectados. Como resultado, la unidad de control 1 controla el dispositivo de almacenamiento 3 y ejecuta el procesamiento de lectura / escritura de datos. Como se muestra en la figura 2 (a), un interruptor de límite 14 está fijado a una superficie lateral del conector 13 conectado a la línea de bus 2. El interruptor de límite 14 se enciende cuando el conector 12 en el lado del dispositivo de almacenamiento 3 está montado, y se apaga cuando el conector 12 se retira del conector 13. Este encendido / apagado se debe a la acción de presión de la brida 12 A que se proyecta hacia la cara extrema del conector 12, por ejemplo.
Un cable conductor 15 está conectado al interruptor de límite 14, que se conecta entre la batería de respaldo 6 y el dispositivo de almacenamiento 4 que almacena la clave de descifrado 9. Es decir, cuando el conector 12 está conectado al conector 13, el interruptor de límite 14 se enciende, y la batería de respaldo 6 y el dispositivo de almacenamiento 4 que almacena la clave de descifrado 9 están conectados eléctricamente. En este estado, el dispositivo de almacenamiento 4 se vuelve no volátil en este estado, y el contenido de la clave de descifrado 9 se mantiene.
Por otro lado, cuando el dispositivo de almacenamiento 3 se desconecta de la unidad de control 1 para robar los datos de confidencialidad 8, el conector 13 y el conector 12 se separan. En este momento, el interruptor de límite 14 se apaga, y el circuito entre la batería de respaldo 6 y el dispositivo de almacenamiento 4 que almacena la clave de descifrado 9 se corta. De esta manera, el dispositivo de almacenamiento 4 no puede almacenar la clave de descifrado 9, y la clave de descifrado 9 se invalida.
(A) constituye un circuito de conexión entre la batería de respaldo 6 y el dispositivo de almacenamiento 4 que almacena la clave de descifrado 9 mediante el interruptor de límite 14. Por otro lado, en (b), un circuito de conexión está constituido por una línea de puente 17 y un terminal 19 que recibe la línea de puente 17 como se muestra en la figura. Es decir, cuando el lado del conector 16 del dispositivo de almacenamiento 3 almacenar los datos sensibles 8 se desorbe línea de bus 2 lado del conector 18, el cable de puente 17 es o desconectar una conexión eléctrica entre el par de terminales 19 . Por lo tanto, cuando el conector 16 se separa del conector 18, el cable de puente 17 conectado eléctricamente entre los hilos conductores 15 se extrae y decodifica desde la batería de respaldo 6 de la misma manera que en el caso mostrado en (a) El suministro de potencia al dispositivo de almacenamiento 4 que almacena la clave 9 se corta.
La figura 3 muestra un diagrama de bloques modificado de la presente invención. En esta figura, el conmutador 5, el circuito de conexión 7 y similares que se muestran en la figura 1 se eliminan, y se proporciona adicionalmente un procesador de desactivación 22 para la línea de bus 2. El dispositivo de procesamiento de invalidación 22 está constituido por un programa activado bajo ciertas condiciones e invalidación de la clave de descifrado 9 almacenada en el dispositivo de almacenamiento 4.
En la realización descrita con referencia a. Las figuras 1 y 2, por ejemplo, poder de todo el dispositivo está apagado, cuando el intento de separar el dispositivo de almacenamiento 3 de la línea de bus 2 en un estado tal que el dispositivo no está funcionando, la clave de descifrado Y realiza el proceso de invalidación. Por otra parte, en la realización mostrada en la figura 3, dado que el dispositivo de procesamiento de invalidación 22 está constituido por un programa o similar, opera en un estado en el que está conectado el suministro de energía del dispositivo. Es decir, cuando el dispositivo de almacenamiento 3 debe desconectarse del dispositivo en un estado en el que la fuente de alimentación del dispositivo permanece encendida, la clave de descifrado 9 queda invalidada.
En el aparato mostrado en la figura 1, cuando el aparato se apaga, el dispositivo de almacenamiento 4 que almacena la clave de descifrado 9 recibe solo la fuente de alimentación de la batería de respaldo 6 y retiene los contenidos almacenados . Sin embargo, en un estado en el que el aparato está encendido, el dispositivo de almacenamiento 4 puede recibir suministro de energía para almacenar la clave de descifrado 9 del lado del cuerpo del aparato. En tal caso, incluso si la batería está desconectada, la clave de descifrado no se invalidará. Por lo tanto, en este ejemplo, el dispositivo de procesamiento de invalidación 22 detecta la desconexión del dispositivo de almacenamiento 3 que almacena los datos de confidencialidad 8 y vuelve a escribir a la fuerza la clave de descifrado 9 almacenada en el dispositivo de almacenamiento 4 con otro contenido Puede ser invalidado
La figura 4 es un diagrama de flujo que muestra la operación específica de dicho dispositivo 22 de procesamiento de invalidación. En primer lugar, en el paso S1, el dispositivo de procesamiento de invalidación 22 verifica la conexión entre el dispositivo de almacenamiento 3 que almacena los datos de confidencialidad y la unidad de control 1. Específicamente, se puede realizar una consulta específica a la interfaz del dispositivo de almacenamiento 3 a través de la línea 2 de bus, y se puede verificar si la respuesta se devuelve normalmente o no. Luego, en el paso S2, se determina si el dispositivo de almacenamiento 3 está desconectado o no.
Si no se separa, las operaciones de los pasos S1 y S2 se repiten, y la conexión del dispositivo de almacenamiento 3 se verifica en un intervalo de tiempo apropiado. Cuando se detecta que el dispositivo de almacenamiento 3 está desconectado de la unidad de control 1, el proceso avanza al paso S3, y se accede al dispositivo de almacenamiento 4 para realizar el proceso de invalidación de la clave de descifrado 9. Específicamente, se realiza reescribiendo la clave de descifrado 9 a datos completamente diferentes o borrándola a cero. Como resultado, incluso si todo el dispositivo se enciende y permanece en funcionamiento, la clave de descifrado puede invalidarse automáticamente mediante el software cuando el dispositivo de almacenamiento 3 que almacena los datos de confidencialidad 8 se desconecta.
La presente invención no está limitada a las realizaciones anteriores. Para la protección de clave de descifrado, en la realización anterior, un dispositivo de almacenamiento para almacenar una unidad de almacenamiento de claves de descifrado para almacenar los datos confidenciales respectivamente proporcionan por separado, este último en la memoria de semiconductores en la antigua aparato de disco magnético de uno No hay necesidad de estar allí. Como la clave de descifrado está generalmente compuesta de una fórmula de cálculo fijo o similar, la cantidad de datos no es grande. Por lo tanto, puede almacenarse en una memoria semiconductora comparativamente pequeña o similar, pero se puede hacer cualquier cosa siempre que se pueda invalidar la clave de descifrado. Por otro lado, los datos de confidencialidad pueden almacenarse en grandes cantidades dependiendo de la aplicación. Por lo tanto, el propio dispositivo de almacenamiento para almacenar los datos de confidencialidad es preferiblemente de gran capacidad, pero su configuración puede ser cualquier cosa. Además, no es necesariamente un dispositivo físicamente, pero puede ser uno almacenado por separado en varios dispositivos de disco magnético.
Además, si la clave de descifrado está almacenada en la memoria de semiconductor, su contenido puede invalidarse separando la batería de respaldo. Sin embargo, cuando la clave de descifrado es invalidada por otro medio tal como el software, el dispositivo de almacenamiento que almacena la clave de descifrado no es necesariamente una memoria de semiconductor. Es decir, pueden ser dispositivos de almacenamiento de varias otras configuraciones. Además, el dispositivo de procesamiento de invalidación puede realizar diversas modificaciones para no poder leer la propia clave de desencriptado, además de la combinación del conmutador y el circuito de conexión y el software como se describió anteriormente. Ni que decir tiene que el interruptor para operar el circuito de conexión puede proporcionarse no solo en el conector para conectar el dispositivo de almacenamiento y la línea de bus sino también en el lugar apropiado del mecanismo para conectar el dispositivo de almacenamiento al cuerpo principal del dispositivo de procesamiento de información Puede ser provisto.
Efecto de la invención
De acuerdo con el método de procesamiento y dispositivo de procesamiento de datos sensibles de la presente invención descrito anteriormente, cuando el dispositivo de almacenamiento está desconectado de la unidad de control del aparato, y con el fin de invalidar la clave de descifrado en el dispositivo de almacenamiento para almacenar una clave de descifrado , Resulta difícil eliminar el dispositivo de almacenamiento de la unidad de control y leer los datos de confidencialidad almacenados en él por otro dispositivo de procesamiento de información. Además, dado que la clave de descifrado se invalida automáticamente cuando se elimina el dispositivo de almacenamiento que almacena los datos de confidencialidad, es imposible obtener la clave de descifrado a partir de entonces, de modo que la protección de los datos de confidencialidad sea completamente Conviértete
La figura 1 es un diagrama de bloques que muestra una realización del aparato de la presente invención.
La figura 2 es un diagrama de conexión en hormigón de un circuito de conexión.
La figura 3 es un diagrama de bloques modificado de la presente invención.
La figura 4 es un diagrama de flujo de una operación de una modificación de la presente invención.
1 sección de control
2 líneas de autobús
3 dispositivo de almacenamiento
4 Dispositivo de almacenamiento
5 interruptor
6 Batería para respaldo
7 circuito de conexión
8 Datos de confidencialidad
9 clave de descifrado
Reclamo
Reclamaciones 1. Un método para almacenar datos de confidencialidad y una clave de descifrado para leer datos de confidencialidad en dispositivos de almacenamiento separados, respectivamente, y cuando un dispositivo de almacenamiento que almacena datos de confidencialidad se desconecta de una unidad de control del dispositivo, Y descifrar la clave de descifrado en el dispositivo de almacenamiento que almacena la clave de descifrado.
Reivindicaciones: Se reivindica lo siguiente: 1. Un aparato de procesamiento de información que comprende: dos aparatos de almacenamiento para almacenar datos de confidencialidad por separado y una clave de descifrado para leer datos de confidencialidad de los mismos; una sección de control para controlar estos aparatos de almacenamiento; Además comprende un dispositivo de procesamiento de invalidación para invalidar la clave de descifrado en el dispositivo de almacenamiento que almacena la clave de descifrado cuando el dispositivo de almacenamiento está desconectado de la parte de control del dispositivo.
dispositivo de almacenamiento para almacenar una clave de descifrado tercero aspecto consiste en la memoria no volátil respaldada por una batería, aparato de procesamiento de invalidación incluye un interruptor que opera al desconectar el dispositivo de almacenamiento que almacena los datos sensibles de la unidad de control, dicha copia de seguridad Y un circuito de conexión que está conectado entre la batería de almacenamiento y el dispositivo de almacenamiento que almacena la clave de descifrado y desconecta el circuito mediante el funcionamiento del interruptor.
Dibujo :
Application number :1997-016477
Inventors :沖電気工業株式会社
Original Assignee :池田俊之