專利名稱:備份存儲在安全存儲設備中的數(shù)字內(nèi)容的制作方法
技術領域:
本發(fā)明大體上涉及存儲設備�����,并且更具體地�����,涉及用于將一個安全存儲設備 (“SSD”)的諸如保護多媒體內(nèi)容(例如音頻、電影和游戲)的數(shù)字版權管理(“DRM”)之 類的安全數(shù)字數(shù)據(jù)直接或經(jīng)由第三方備份到另一 SSD中的方法��,以及使用該數(shù)據(jù)備份方法 的系統(tǒng)�。
背景技術:
存在多種類型的保護機制來阻止回放數(shù)字內(nèi)容所要求的安全數(shù)據(jù)的未授權復制。 要求安全數(shù)據(jù)操作的數(shù)字內(nèi)容在下文中被稱為“受保護數(shù)字數(shù)據(jù)”或者簡稱為“受保護數(shù) 據(jù)”�����。支配(govern)回放數(shù)字內(nèi)容的方式的使用規(guī)則是示范性的安全數(shù)據(jù)����。一些保護機制 經(jīng)常被寬松地稱為或者被視為一種類型的數(shù)字版權管理(“DRM”)。導致了相當顯著的效 果以停止將數(shù)字內(nèi)容從一個電子設備復制到另一個��。例如����,與iPod設備一起使用的存儲設 備包括禁止將音樂或音視頻內(nèi)容從一個iPod設備傳輸?shù)搅硪粋€的保護機制,以阻止受保 護數(shù)據(jù)的未授權復制��。目前��,保護機制還阻止將一個SSD的受保護數(shù)據(jù)備份到另一 SSD���。這 意味著SSD的整個數(shù)字內(nèi)容不能被備份到另一 SSD���,因為SSD的數(shù)字內(nèi)容即便被拷貝到另一 SSD,由于沒有與該數(shù)字內(nèi)容一起拷貝到該另一 SSD的相關安全數(shù)據(jù)�,仍不能在該另一 SSD 上回放���。閃存存儲器設備是例子SSD����。SIM( “用戶標識模塊”)卡���、megaSIM卡和通用串行 總線(“USB”)閃存驅(qū)動(“UFD”)是示范性的閃存存儲器設備���。SIM卡安全地存儲用于識 別用戶的服務-用戶密鑰數(shù)據(jù)。SIM卡允許用戶通過簡單地從一個電話中去除SIM卡并將 它插入到另一電話中來改變電話�����。目前�,通過被稱為“信任閃存(Trusted Flash) ”的技術來保護存儲在閃存存儲設 備中的數(shù)字內(nèi)容��?����!靶湃伍W存” (TF)是使得消費者可以購買閃存存儲卡上的諸如音樂、電影 和游戲之類的多媒體內(nèi)容以在移動電話�����、筆記本計算機�、PDA和其他可兼容設備中使用的數(shù) 據(jù)存儲技術。音樂制作商和電影工作室以及其他多媒體內(nèi)容發(fā)起商和提供商更希望在被信任 的產(chǎn)品(在這里也被稱為“支持設備”)上發(fā)布多媒體內(nèi)容��,因為TF技術提供了他們所要求 的安全性和DRM解決方案����。DRM解決方案涉及將DRM政策強加到電子設備(例如手機、iPod) 上�����。DRM政策是施加到電子設備上的限制集合���,“告訴”電子設備它對于什么數(shù)字內(nèi)容可以 進行什么操作����。例如����,一個政策規(guī)則可以允許電子設備僅僅播放特定歌曲η次例如3次�,另 一政策規(guī)則可以禁止數(shù)字內(nèi)容的拷貝��;另一政策規(guī)則可以允許僅僅由特定電子設備重播數(shù) 字數(shù)據(jù)流����,等等。消費者將可以使用在線數(shù)字音樂服務來下載受保護數(shù)字內(nèi)容���,例如通過他 們的手機或個人計算機(“PC”)���。信任閃存使得消費者可以使用他們所購買的支持設備中的多媒體內(nèi)容。信任閃存 技術授予存儲卡本身成為數(shù)字版權的管理者�,從而賦予消費者將存儲設備及其內(nèi)容傳輸?shù)?另一支持設備而無需受制于其內(nèi)容保護系統(tǒng)的自由。信任閃存卡可以充當非安全主機設備中的常規(guī)存儲卡����。大體上包括TF存儲卡和TF存儲設備的存儲設備存在于市場中,具有多種存儲容 量(例如512M字節(jié)至8G字節(jié))��。目前��,用戶不能備份存儲在SSD中的受保護多媒體內(nèi)容�,因 為這樣,如果諸如珍貴圖片和音視頻記錄之類的重要數(shù)字內(nèi)容被記錄在的原始SSD被盜�����、 丟失或損壞的話��,它們將失去�����。其實���,安全機制試圖使將受保護數(shù)據(jù)從一個SSD備份到另一個�����、以及甚至將一個 SSD的受保護數(shù)據(jù)拷貝到另一 SSD變得有可能��。這在一些安全存儲設備中具有不幸的結(jié)果�����, 那就是即便受保護數(shù)據(jù)的授權所有人或被許可人也不能將一個SSD的原始數(shù)字內(nèi)容備份 到另一 SSD中�。
發(fā)明內(nèi)容
因此�����,具有如下方法和系統(tǒng)將是有益的將幫助將一個SSD數(shù)字內(nèi)容的安全數(shù)據(jù) 備份到另一 SSD中、以及將允許SSD信任第三方以將它的多媒體內(nèi)容(包括相關聯(lián)的安全 數(shù)據(jù))以如下這樣的方式備份到備份SSD中當要求在原始SSD和備份SSD之間進行交換 時�,備份SSD上的多媒體內(nèi)容將可以以與它在原始SSD上相同的方式使用。因此��,允許SSD信任另一 SSD或第三方來以如下方式保存它的數(shù)字內(nèi)容和相關安 全和/或敏感數(shù)據(jù)的備份拷貝將是有益的數(shù)字內(nèi)容和相關安全和敏感數(shù)據(jù)的備份拷貝相 對于其使用將經(jīng)受嚴格的規(guī)則��。設計各種實施例來實現(xiàn)在這里提供其例子的這樣的能力�����。 結(jié)合表示示范性和說明性但不限制范圍的系統(tǒng)���、工具和方法來描述和說明如下例子實施例 及其方面�����。根據(jù)本公開�����,可以通過并經(jīng)由受信任的第三方(受信任的第三方在下文中被簡稱 為“第三方”)將包括安全數(shù)據(jù)的SSD的數(shù)字數(shù)據(jù)傳遞到另一 SSD來備份���?�?商娲兀诘?三方的監(jiān)管下����,可以直接將SSD的數(shù)字數(shù)據(jù)傳遞到另一 SSD來備份。如果通過并經(jīng)由第三 方將第一 SSD(即“源(source) SSD")的數(shù)字數(shù)據(jù)傳遞到第二 SSD(即“目標(destination) SSD")來備份�����,則第三方在源SSD (即�,其數(shù)字數(shù)據(jù)需要被備份的SSD)和目標SSD之間建立 虛擬安全信道,通過虛擬安全信道�����,第三方從源SSD讀取數(shù)字數(shù)據(jù)并將所讀取的數(shù)字數(shù)據(jù) 寫入目標SSD�。在第三方、源SSD和目標SSD滿足備份合格性先決條件之后�����,建立虛擬安全 信道���,并通過虛擬安全信道傳輸數(shù)字數(shù)據(jù)��;也就是����,在每一方被相對方發(fā)現(xiàn)被授權來向相對 方發(fā)送數(shù)字數(shù)據(jù)或從相對方接收數(shù)字數(shù)據(jù)之后,可以發(fā)生如上情況���。如果直接將源SSD的 數(shù)字數(shù)據(jù)傳遞到目標SSD來備份�,則在源SSD和目標SSD之間建立直接安全信道����,目標SSD 在確定每一方(即源SSD和目標SSD)滿足備份合格性先決條件之后,經(jīng)由直接安全信道從 源SSD讀取數(shù)字數(shù)據(jù)���。在將數(shù)字數(shù)據(jù)寫入目標SSD之后��,第三方暫時禁用目標SSD�,并在第三方接收備份 請求時或響應于此�����,禁用源SSD并啟用(enable)目標SSD���。如果源SSD被偷�、丟失或損壞, 則可以由用戶或用戶應用來初始化備份請求�����。第三方禁用(disable)被偷���、丟失或損壞的 源SSD,使得源SSD不能由任何設備使用��。如果源SSD的數(shù)字數(shù)據(jù)將直接由目標SSD備份 (但在第三方的監(jiān)管下)��,則將源SSD的數(shù)字數(shù)據(jù)直接拷貝到目標SSD(即沒有第三方的干 預)���,并且第三方僅僅處理上面提到的和下面描述的啟用/禁用方面�����。提供了一種將SSD準備為備份SSD的方法�。例如�����,SSD可以是USB閃存驅(qū)動��、SD卡等。該方法包括確定源SSD是否被授權來傳遞將由目標SSD備份的安全數(shù)據(jù)�����,其中源SSD 包含包括如果源SSD未被授權的話則不可由源SSD傳輸?shù)陌踩珨?shù)據(jù)的數(shù)字數(shù)據(jù)����;以及確定 目標SSD是否被授權來備份來自源SSD的安全數(shù)據(jù)。如果源SSD被授權來使它中的安全數(shù) 據(jù)被目標SSD備份���、并且目標SSD被授權來備份來自源SSD的安全數(shù)據(jù)�����,則在源SSD和目標 SSD之間建立安全信道�,并將來自源SSD的數(shù)字數(shù)據(jù)通過安全信道拷貝到目標SSD��,使得目 標SSD中的數(shù)字數(shù)據(jù)的拷貝不可用直到啟用目標SSD�。可以由源SSD���、目標SSD�、相互合作的雙方或第三方來使目標SSD中的數(shù)字數(shù)據(jù)的 拷貝不可用?�?梢栽趯?shù)字數(shù)據(jù)從源SSD拷貝到目標SSD之前��、期間或之后�,使目標SSD中 的數(shù)字數(shù)據(jù)的拷貝不可用?�?梢酝ㄟ^如下中的任何一個來使目標SSD中的數(shù)字數(shù)據(jù)的拷貝 不可用(i)在它被拷貝到目標SSD之前或同時改變數(shù)字數(shù)據(jù)�,(ii)修改目標SSD的屬性, 以及(iii)在目標SSD處配置所拷貝的數(shù)字數(shù)據(jù)�����,或者將不可用配置應用到拷貝到目標SSD 的數(shù)據(jù)��?���?梢杂赡繕薙SD或第三方進行源SSD是否被授權來由目標SSD備份的確定�,以及 可以由源SSD或第三方進行目標SSD是否被授權來備份源SSD的確定。該方法還可以包括如下步驟通過禁用源SSD使得源SSD中的數(shù)字數(shù)據(jù)不可用����、并 啟用目標SDD使得拷貝到此的數(shù)字數(shù)據(jù)可用,將目標SSD準備為用作備份SSD。例如����,通過 第三方發(fā)布源SSD的標識符,實現(xiàn)禁用源SSD�,以及由第三方啟用目標SSD包括第三方恢復 或回復目標SSD中的數(shù)據(jù)、或者目標SSD的屬性����、或者目標SSD的配置?����?梢栽谙嗷フJ證期 間���、或者作為嵌入在從源SSD拷貝到目標SSD的數(shù)字數(shù)據(jù)中的數(shù)據(jù)�,將源SSD的標識符從所 述源SSD傳輸?shù)侥繕薙SD����,然后傳輸?shù)降谌健��?商娲?����,可以在相互認證期間、或者作為嵌 入在從源SSD拷貝到第三方的數(shù)字數(shù)據(jù)中的數(shù)據(jù)�,將源SSD的標識符從源SSD直接傳輸?shù)?第三方。該方法還可以包括如下步驟由源SSD或由目標SSD接收由用戶應用發(fā)起的備份 請求�����,以將源SSD的數(shù)字數(shù)據(jù)備份到目標SSD中�����。該方法還可以包括如下步驟源SSD確定第三方是否被授權來從源SSD接收數(shù)字 數(shù)據(jù)�����。如果源SSD被授權來被備份���、并且第三方被授權來從源SSD接收數(shù)字數(shù)據(jù),則在源 SSD和第三方之間建立第一安全信道����,并將數(shù)字數(shù)據(jù)通過第一安全信道從源SSD拷貝到第 三方。如果第三方用于將數(shù)字數(shù)據(jù)從源SSD拷貝到目標SSD��,則第三方確定目標SSD是否被 授權來接收數(shù)字數(shù)據(jù),在該情況下���,目標SSD需要在允許第三方向目標SSD發(fā)送數(shù)字數(shù)據(jù)之 前��,確定第三方是否合格于將數(shù)字數(shù)據(jù)發(fā)送給目標SSD����。還提供了一種第三方來將一個SSD的數(shù)字數(shù)據(jù)備份到另一 SSD中���。該第三方包括 認證管理器���,認證管理器被配置為(i)認證包含來自源SSD的不可用數(shù)字數(shù)據(jù)的目標SSD, 其中數(shù)字數(shù)據(jù)包括不可傳輸?shù)轿春细裨O備的受保護數(shù)據(jù)����,以及(ii)與被認證的目標SSD建 立安全信道。第三方還包括存儲設備配置器�,存儲設備配置器適合于(i)禁用源SSD以使 得或呈現(xiàn)出存儲在其中的數(shù)字數(shù)據(jù)不可用,以及(ii)通過安全信道啟用目標SSD����,以使目 標SSD中的數(shù)字數(shù)據(jù)可用。存儲設備配置器可以通過恢復或回復目標SSD中的被修改的數(shù)據(jù)���、或者目標SSD 的被修改的屬性����、或者目標SSD的被修改的配置,來啟用目標SSD�。存儲設備配置器還可以 被配置為經(jīng)由目標SSD接收源SSD的標識符,并向持有源SSD的主機發(fā)布該標識符�����,從而禁 用源SSD����。可替代地���,第三方可以直接從源SSD獲取源SSD的標識符���,其中該標識符被嵌入在第三方從源SSD接收的數(shù)字數(shù)據(jù)中����、或者在第三方與源SSD的相互認證期間。在第三方從源SSD接收數(shù)字數(shù)據(jù)之前��,源SSD認證第三方,并且第三方通過安全信 道從源SSD接收數(shù)字數(shù)據(jù)�。另外,在第三方從源SSD接收數(shù)字數(shù)據(jù)之前�,第三方認證源SSD。第三方還包括數(shù)據(jù)讀/寫機構��,用于從源SSD讀取數(shù)字數(shù)據(jù)�,并將所讀取的數(shù)字數(shù) 據(jù)寫入目標SSD?����?梢栽诖_定第三方被授權來接收數(shù)字數(shù)據(jù)之后��,將數(shù)字數(shù)據(jù)從源SSD拷貝到第三 方���,并在確定目標SSD被授權來接收數(shù)字數(shù)據(jù)之后���,將數(shù)字數(shù)據(jù)從第三方拷貝到目標SSD。還提供了一種SSD來幫助將其受保護數(shù)據(jù)備份到目標SSD中���。該SSD包括存儲或 者可以存儲數(shù)字數(shù)據(jù)的大容量存儲區(qū)域�,其中數(shù)字數(shù)據(jù)包括不可傳輸?shù)讲缓细裨O備的受保 護數(shù)據(jù)�����。該SSD還包括安全存儲控制器,安全存儲控制器被配置為確定目標SSD或第三方 是否合格于從那里接收數(shù)字數(shù)據(jù)��,如果是�,則在安全存儲控制器和目標SSD之間或在該SSD 和第三方之間建立安全信道。安全存儲控制器還被配置為通過相應的安全信道直接或經(jīng)由 第三方將數(shù)字數(shù)據(jù)傳輸?shù)侥繕薙SD來備份��。安全存儲控制器還被配置為禁用目標SSD以使得或呈現(xiàn)出所傳輸?shù)臄?shù)字數(shù)據(jù)不 可用���。安全存儲控制器可以在該SSD將數(shù)字數(shù)據(jù)傳輸?shù)侥繕薙SD或第三方之前�����、期間或之 后�����,使得或呈現(xiàn)出所傳輸?shù)臄?shù)字數(shù)據(jù)不可用�。安全存儲控制器還被配置為將源SSD的標識符直接或經(jīng)由目標SSD傳輸?shù)降谌?方���,以使第三方使用該標識符來禁用該SSD����。在與第三方或目標SSD的相互認證期間����、或者 被嵌入在所傳輸?shù)臄?shù)字數(shù)據(jù)中,安全存儲控制器可以將該標識符傳輸?shù)降谌交蚰繕薙SD�。在安全存儲控制器確定第三方或目標SSD合格于接收數(shù)字數(shù)據(jù)之后,安全存儲控 制器可以將數(shù)字數(shù)據(jù)傳輸給第三方或目標SSD���。根據(jù)本公開����,該SSD可以在一個時刻用作源SSD�����、并在另一時刻用作目標SSD�。充 當目標SSD,該SSD的安全存儲控制器還被配置為(i)向源SSD或第三方證明該SSD(現(xiàn)在 充當目標或備份SSD)備份源SSD的合格性���,并在證明該SSD的合格性時����、之后或響應于此, 安全存儲控制器還被配置為(ii)在該SSD和源SSD之間或在該SSD和第三方之間建立安 全信道����,并通過相應的安全信道直接從源SSD或經(jīng)由第三方接收數(shù)字數(shù)據(jù)(無論情況可能 是什么)。如果從源SSD接收的數(shù)字數(shù)據(jù)可用��,則安全存儲控制器還被配置為禁用該SSD���,使 得或呈現(xiàn)出所接收的數(shù)字數(shù)據(jù)不可用���。安全存儲控制器可以通過如下中的任何一個來使得 或呈現(xiàn)出所接收的數(shù)字數(shù)據(jù)不可用(i)改變該SSD中的所接收的數(shù)字數(shù)據(jù),(ii)修改該 SSD的屬性�����,或者(iii)將不可用配置應用到拷貝到該SSD的數(shù)據(jù)��。安全存儲控制器還被配置為通過回復該SSD中的被改變的數(shù)據(jù)或者目標SSD的被 修改的屬性���,或者通過應用或恢復目標SSD的可用配置���,來將該SSD準備為用作備份SSD,從 而使得或呈現(xiàn)出該SSD中的數(shù)字數(shù)據(jù)可用��。安全存儲控制器還可以被配置為接收源SSD的標識符。作為準備該SSD以作為備 份SSD操作的一部分���,安全存儲控制器將源SSD的標識符發(fā)送給第三方��,以由第三方使用源 SSD標識符來禁用源SSD,使得或呈現(xiàn)出存儲在源SSD中的數(shù)字數(shù)據(jù)不可用����。作為準備該SSD以作為備份SSD來操作的一部分,安全存儲控制器向持有源SSD 的主機發(fā)布源SSD的標識符��,以使主機“知道”存儲在源SSD中的數(shù)字數(shù)據(jù)不再合法(因為已經(jīng)開始使用備份SSD而不是源SSD)��,因此���,禁止了源SSD的使用��,其后果是存儲在源SSD 中的數(shù)字數(shù)據(jù)不可用�。除了上述示范性方面和實施例����,通過參考附圖并學習如下具體實施方式
,其他方 面和實施利將變得明顯�。
在附圖中圖示了示范性實施例。在此公開的實施例試圖是說明性的而不是限制性 的。然而�����,當結(jié)合附圖閱讀時�,參考如下詳細描述,可以更好地理解該公開����,在附圖中圖1是典型的安全存儲設備(SSD)的框圖;圖2示意性地圖示了根據(jù)例子實施例的用于將受保護數(shù)據(jù)從一個SSD拷貝到另一 個的系統(tǒng)�����;圖3示意性地圖示了根據(jù)另一例子實施例的用于將受保護數(shù)據(jù)從一個SSD拷貝到 另一個的系統(tǒng)�����;圖4示意性地圖示了根據(jù)本公開的另一例子實施例的用于將受保護數(shù)據(jù)從一個 SSD拷貝到再一個的系統(tǒng)����;圖5示意性地圖示了根據(jù)再一例子實施例的用于將受保護數(shù)據(jù)從一個SSD拷貝到 另一個的系統(tǒng);圖6是根據(jù)例子實施例的第三方的框圖�����;圖7是圖示根據(jù)例子實施例的認證過程和會話密鑰生成的示意圖;圖8是圖示根據(jù)例子實施例的內(nèi)容密鑰生成的示意圖����;圖9示出了典型的認證證書的層次;圖10是根據(jù)例子實施例的用于將受保護數(shù)據(jù)從源SSD拷貝到目標SSD的高層方 法��;以及圖11是更詳細示出的圖10的方法��。將理解的是�����,為了說明的簡化和清楚����,在附圖中示出的元件不需要按比例畫出����。此 外,在被認為合適的情況下�,可以在附圖中重復附圖標記以指示同樣、相應或相似的元件��。
具體實施例方式通過參考本發(fā)明的例子實施例的當前詳細描述��,將更好地理解下面的權利要求。 該描述不試圖限制權利要求的范圍����,而試圖提供本發(fā)明的例子。根據(jù)本公開�����,可以通過并經(jīng)由第三方或者直接但在第三方的監(jiān)管下將源SSD的安 全多媒體內(nèi)容(在這里也被稱為“受保護數(shù)字內(nèi)容”和“受保護內(nèi)容”)備份到目標SSD中�。 第三方提供有可以是認證證書和認證密鑰的認證手段,以允許它向源SSD并向目標SSD識 別它自身�����,并向源SSD證明它被授權來從那里接收作為存儲在源SSD中的部分數(shù)字數(shù)據(jù)的 受保護數(shù)據(jù)����。第三方還提供有允許第三方識別SSD、并“知曉”是否授權源SSD由目標SSD 備份以及是否授權目標SSD備份源SSD的認證證書和認證密鑰��。作為受信任的計算機系統(tǒng)或受信任的應用的第三方可以是本地的或遠端的(至 少從一個SSD的角度來看)��,并且它可以獨立地服務多個本地或遠端SSD���?��!暗谌健敝副慌?置來在嚴格的規(guī)則下將數(shù)字內(nèi)容從源SSD傳輸?shù)侥繕薙SD�����、以大體上保護敏感數(shù)據(jù)和受保護數(shù)據(jù)的私密性���、并將由源SSD最初強加到它的數(shù)字數(shù)據(jù)上的安全級告知給目標SSD的任 何計算機系統(tǒng)或應用。為了有利于DRM以及額外的或可替代的安全特征�����,TF卡的存儲器空間被劃分為多 個分區(qū)(partitions)���,如在下面描述的圖1所示。圖1示出了根據(jù)現(xiàn)有技術的示范性安全存儲設備(SSD) 100�����。SSD 100包括可以是 NAND (與非)閃存類型的大容量存儲區(qū)域108���。SSD 100還包括經(jīng)由數(shù)據(jù)和控制線106管理 大容量存儲區(qū)域108���、并經(jīng)由主機接口 102與主機設備150通信的安全存儲控制器140�����。安全存儲控制器140通過控制例如“讀”�����、“寫”和“擦除”操作�、磨損測量(wear leveling)等來控制大容量存儲區(qū)域108和主機設備150之間的數(shù)據(jù)�。大容量存儲區(qū)域108 包括用戶存儲區(qū)域110、受限存儲區(qū)域120和安全性管理存儲區(qū)域130����。如果大容量存儲區(qū) 域108是NAND閃存類型,則受限存儲區(qū)域120被稱為“隱藏存儲區(qū)域”�����,以及安全性管理存 儲區(qū)域130被稱為“安全存儲區(qū)域”�����。用戶存儲區(qū)域110存儲在用戶存儲區(qū)域110中的數(shù)據(jù)是公開可得的�����,這意味著存儲在用戶存儲區(qū)域 110中的數(shù)據(jù)對于SSD 100的用戶和任何外部實體(例如主機設備150)無條件可得,而不 管主機的身份�����。也就是����,存儲在用戶存儲區(qū)域110中的數(shù)字數(shù)據(jù)可以包括可以由主機設備 (例如主機設備150)從SSD 100讀取或者從SSD 100拷貝到主機設備、以及如其原樣使用 (例如由主機設備150回放)的數(shù)據(jù)��,而無需主機設備不得不向SSD 100認證它自己�。例如,用戶存儲區(qū)域110可以保存多媒體內(nèi)容�、音視頻內(nèi)容等。用戶存儲區(qū)域110 還可以包括僅僅在主機設備也得到指示主機設備如何使用受保護數(shù)據(jù)的使用規(guī)則的情況 下可以由主機設備使用的受保護數(shù)據(jù)�����,沒有得到這樣的規(guī)則��,主機設備將不能使用受保護 數(shù)據(jù)�����。僅僅向SSD 100認證它自己的主機設備可以得到使用規(guī)則�����,如下面結(jié)合受限存儲區(qū) 域120和安全性管理存儲區(qū)域130所描述的��。受限存儲區(qū)域120例如�����,受限存儲區(qū)域120可以保存代表或者與保存在用戶存儲區(qū)域110中的數(shù)字 數(shù)據(jù)相關聯(lián)的使用權限有關的受限數(shù)據(jù)(以及可選地����,元數(shù)據(jù)和信息)。僅僅授權設備可以 接入存儲在受限存儲區(qū)域120中的受限數(shù)據(jù)����。代表DRM規(guī)則的數(shù)據(jù)是示范性的受限數(shù)據(jù), 因為它們支配數(shù)字內(nèi)容的使用�����,從而試圖使它們僅僅針對授權設備�����。“受保護數(shù)據(jù)”指存儲在SSD中�、但是僅僅可以從內(nèi)部接入(即SSD的控制器接入) 或由外部授權設備接入的任何數(shù)據(jù)、文件����、應用或例程?�?梢越箤⑦@樣的數(shù)據(jù)�、文件、應用 或例程傳輸?shù)街T如主機設備150之類的外部設備���,或者可以允許將所述數(shù)據(jù)�、文件����、應用或 例程傳輸或拷貝到另一設備,但是其在外部設備上是沒有用的���,如果外部設備不使用合適 手段(例如解密密鑰)來接入或使用所述數(shù)據(jù)�����、文件、應用或例程的話。安全性管理存儲區(qū)域130通常����,安全性管理存儲區(qū)域可以包括被授權接入存儲設備的受限存儲區(qū)域的設備 的認證密鑰。再次返回圖1�,存儲在安全性管理存儲區(qū)域130中的數(shù)據(jù)(在下文中被稱為 “安全性數(shù)據(jù)”)僅僅對于安全存儲控制器140可用于內(nèi)部過程(例如認證),但是對于主機 設備150或主機設備的用戶是不可用的���。例如���,保存在安全性管理存儲區(qū)域130中的安全 性數(shù)據(jù)可以包括系統(tǒng)的固件、任何數(shù)據(jù)類型的操作參數(shù)(例如��,SSD 100和外部設備的容量和特權�、加密和解密密鑰、證明身份的數(shù)字認證證書)�����、以及期望受到保護而不被隨意接入 的其他數(shù)據(jù)���,其中被隨意接入將會是它們被存儲在用戶存儲區(qū)域110中的情況�����。設備(例 如����,媒體播放器和手機)的認證證書向安全存儲控制器140指明被授權使用保存在受限存 儲區(qū)域120中的數(shù)據(jù)的設備,以及存儲在安全性管理存儲區(qū)域130中的加密/解密密鑰可 以由安全存儲控制器140利用來加密和解密存儲在SSD 100中的數(shù)據(jù)��。典型地�����,保存在安 全性管理存儲區(qū)域130中的安全性數(shù)據(jù)與安全性應用或安全性例程有關����。傳統(tǒng)上,安全性應用僅僅在它所裝載的SSD上起作用��。例如�,安全性應用可以通過 使用安全存儲的序列號或其他數(shù)據(jù)(例如隱秘號)來生成一次密碼,然后提交它們以用于 用戶或用戶帳號的登陸或驗證����。這僅僅是例子,并且在安全性或其他功能中使用的任何數(shù) 量的算法可以至少部分基于存儲設備特定數(shù)據(jù)��?��?梢杂捎脩舳啻?over time)裝載安全性 應用���。可以由SSD 100系統(tǒng)的固件和/或硬件����、由加密/解密密鑰和/或由安全性應用 來提供數(shù)字數(shù)據(jù)的安全性。在一些情況下����,拷貝受限內(nèi)容被加密,并且雖然可以將所加密的 內(nèi)容從受限存儲區(qū)域120拷貝到另一設備或應用�����,但是該另一設備或應用不能解密它���,除 非該另一設備或引用被SSD 100認證并具有恰當?shù)拿荑€來解密所加密的內(nèi)容��。安全存儲控制器140利用安全性例程和安全性相關數(shù)據(jù)(例如加密密鑰)來向 SSD 100賦予安全性能力�����,這意味著例如���,SSD 100禁止存儲在SSD 100中的受保護數(shù)字內(nèi) 容的非法使用及其非法拷貝的生成�����。為了完成這個���,安全存儲控制器140基于保存在安全 性管理存儲區(qū)域130中的安全性數(shù)據(jù)(例如,密鑰�、認證證書、安全性例程等)來控制到保 存在受限存儲區(qū)域120中的內(nèi)容的接入����。可以通過使用私鑰基礎設施(“H(I”)���、對稱密鑰�����、 基于密碼的方案或者其它任何認證方案來執(zhí)行認證��?�!癏(I”是眾所周知的安全性范例��。在密碼學中�,PKI是通過證書授權中心(CA)的 方式將公鑰與各個用戶身份相綁定的布置。用戶身份對于每個CA必須是唯一的����。通過注 冊和發(fā)布過程來建立綁定�,這取決于綁定具有的保證等級而可以由CA處的軟件或在人的 監(jiān)管之下執(zhí)行。對于每個用戶���,如果用戶身份���、公鑰、它們的綁定�、有效性條件和其他屬性在 由CA發(fā)布的公鑰證書中,則它們不能被偽造�����。PKI布置使得之前沒有接觸的計算機用戶彼此認證并使用在它們公鑰證書中的公 鑰信息來加密給彼此的消息�����。通常�����,PKI包括客戶端軟件、服務器軟件���、硬件(例如智能卡)���、 合法協(xié)議和保證以及操作過程。還可以由第三方使用簽名者的公鑰證書以驗證使用簽名者 的私鑰得到的消息的數(shù)字簽名����。通常,PKI使得對話方可以建立私密性��、消息完整性和用戶 認證而無需提前交換任何秘密信息或者甚至有任何先前接觸�����。在密碼學中�����,公鑰證書(或 身份證書)是合并數(shù)字簽名以將公鑰與身份信息綁定在一起的電子文檔����。證書可以用于驗 證公鑰屬于個人���。在典型的PKI方案中,簽名可以是證書授權中心(CA)的����。再次返回圖1,主機設備150不能直接接入大容量存儲區(qū)域108���。也就是,如果主 機設備150要求或需要來自SSD 100的數(shù)據(jù)��,則主機設備150不得不從安全存儲控制器140 請求它����,而不管在用戶存儲區(qū)域110中、受限存儲區(qū)域120中還是安全性管理存儲區(qū)域130 中保存所請求的數(shù)據(jù)���。如果由主機設備150請求的數(shù)據(jù)存儲在受限存儲區(qū)域120中�,則安 全存儲控制器140通過利用存儲在安全性管理存儲區(qū)域130中的安全性數(shù)據(jù)來檢查主機設 備150是否被授權來得到該數(shù)據(jù)�。
為了使主機設備(示范性設備)使用例如保存在用戶存儲區(qū)域110中的媒體內(nèi) 容,主機設備150與安全存儲控制器140通信����,并且安全存儲控制器140利用存儲在安全性 管理存儲區(qū)域130中的數(shù)據(jù)來檢查主機設備150是否被授予使用保存在用戶存儲區(qū)域110 中的媒體內(nèi)容的權利���。如果主機設備150被授權使用保存在用戶存儲區(qū)域110中的媒體內(nèi) 容,則安全存儲控制器140允許主機設備150基于保存在受限存儲區(qū)域120中的使用規(guī)則 或限制來使用該數(shù)據(jù)�����。如果SSD 100與可以是例如MP3播放器的支持設備一起使用�����,存儲在受限存儲區(qū) 域120中的數(shù)據(jù)可以由支持設備使用�,但是對于該設備的用戶不可接入。該限制的原因在 于受限存儲區(qū)域120包括向外部設備指明支配多媒體內(nèi)容使用的規(guī)則(DRM或其他)的信 息或敏感數(shù)據(jù)�,并且使受限存儲區(qū)域120對于SSD 100用戶不可接入以不允許用戶處理或 違背DRM權限或使用規(guī)則。將一個SSD的多媒體內(nèi)容備份到另一 SSD中涉及將多媒體內(nèi)容從第一 SSD拷貝到 另一 SSD�����?����?墒?,拷貝多媒體內(nèi)容要求也拷貝DRM權限、認證特定物(即數(shù)字認證證書、密 鑰等)以及與該多媒體內(nèi)容有關的其它信息����。然而,如上所解釋的�,存儲在SSD 100的受限 存儲區(qū)域120中的該信息(即DRM權限、認證特定物等)對于用戶是不可接入的��,因為該原 因�,即使在一些情況下用戶可能能夠?qū)⒏信d趣的多媒體內(nèi)容拷貝到另一 SSD,該另一 SSD將 仍不能使用(例如回放)所拷貝的多媒體內(nèi)容���。作為另一例子���,可以將與醫(yī)學或金融記錄有關的安全性應用裝載到SSD 100中��。 可以由安全存儲控制器140獨自或者與主機設備150的處理器(未在圖1中示出)結(jié)合來 執(zhí)行這些應用���,并且這些應用可以不僅僅處理私密信息����,而且還處理在加密并保護安全存 儲的敏感內(nèi)容中使用的秘密信息�。這樣,SSD 100和主機設備150可以在功能上深度互連 并依賴于SSD 100內(nèi)的信息和安全性機制。在一些情況下����,應用本身的安全性機制利用安 全存儲特定信息,并且將不在另一安全存儲上起作用����。應用本身還可以被加密并且是設備 特定的,以阻止它們被錯誤使用(例如拷貝和攻擊)�����。圖2示意性地圖示了通過并經(jīng)由第三方210來將源SSD 250的受保護數(shù)據(jù)備份到 目標SSD 260中的數(shù)據(jù)備份系統(tǒng)200�。通常,系統(tǒng)200包括用于持有(hosting)或容納源 SSD 250和目標SSD 260以及其他或額外主機設備的主機設備系統(tǒng)205����、以及與主機設備系 統(tǒng)205可操作相連的第三方210,其中在圖2中將示范性的可操作連接示為虛線220和225����。 源SSD 250包含包括不可向不合格設備傳輸、不可由不合格設備接入并使用的受保護數(shù)據(jù) 的數(shù)字數(shù)據(jù)����。也就是��,通常��,通過媒體播放器(例如MP���; )或手機從多媒體內(nèi)容提供商下載 到SSD的數(shù)字內(nèi)容試圖僅僅用于它被裝載到的特定媒體播放器,并且任何其他SSD被視為 不合格設備�,使得它不能從任何其他SSD接收受保護數(shù)據(jù),并且它不能接入另一 SSD中的這 樣的數(shù)據(jù)或以任何方式使用它�����。通過SSD完成將數(shù)字內(nèi)容綁定到特定媒體播放器���,以將使用規(guī)則(例如DRM政策 規(guī)則)綁定到數(shù)字內(nèi)容并將這些規(guī)則強加到數(shù)字內(nèi)容上�。為了阻止未授權設備使用數(shù)字 內(nèi)容�,SSD的安全存儲控制器不允許這樣的設備((即未授權設備)接入存儲在它的受限存 儲區(qū)域中和它的安全管理存儲區(qū)域中的使用規(guī)則和安全性特征。然而���,相應的證書可以由 受信任的證書授權中心(“CA”)發(fā)布并被提供給SSD,以“告訴” SSD存在許可或命令將一 個SSD的數(shù)字數(shù)據(jù)(包括受保護數(shù)據(jù))備份到另一 SSD中的受信任實體(即受信任的第三方)�。許可或命令備份數(shù)字數(shù)據(jù)的第三方被稱為或視為“受信任的”。取決于環(huán)境��,這樣的第 三方可以暫時保存源SSD的數(shù)字內(nèi)容的備份拷貝,直到第三方將備份拷貝傳輸?shù)侥繕薙SD���, 或者第三方可以在單一會話中將源SSD的數(shù)字數(shù)據(jù)傳輸?shù)侥繕薙SD而無需保持備份數(shù)字內(nèi) 容的拷貝��。第三方210可以由諸如服務提供商270之類的服務提供商所有�����。如果第三方210 由服務提供商270所有�����,則用戶將需要與服務提供商270之間的服務協(xié)議�����,以允許他們將一 個SSD (例如源SSD 250)的全部數(shù)字數(shù)據(jù)(包括受保護數(shù)據(jù))經(jīng)由第三方210備份到另一 SSD(例如目標SSD 260)中��。服務提供商270將需要與將認證證書放置在SSD中的實體之 間的協(xié)議����,該實體通常是SSD的制造商��。在一些情況下����,一些SSD可能沒被賦予由第三方提供的數(shù)據(jù)備份服務���。因此,在這 里描述的數(shù)據(jù)備份過程有可能與多個備份合格先決條件有關���,例如源SSD向第三方210證 明它被服務的合格性�,即它的數(shù)字數(shù)據(jù)可以被備份到另一(即目標)SSD中����。同樣地,第三 方210需要向源SSD 250證明它從那里接收全部數(shù)字數(shù)據(jù)(包括受保護數(shù)據(jù))的合格性���。 如果源SSD不能證明它被服務的合格性���,則第三方將不從源SSD讀取數(shù)字數(shù)據(jù)。如果第三 方不能證明它從源SSD接收數(shù)字數(shù)據(jù)的合格性�,則源SSD將不允許第三方讀取它的數(shù)字數(shù) 據(jù)。在第三方210向源SSD 250證明它從那里接收數(shù)字數(shù)據(jù)的合格性之后��,當向第三 方210證明的SSD 250符合條件以被備份在目標SSD 260中時�����,第三方210建立與源SSD 250的第一安全信道220��,其是在源SSD 250和目標SSD 260之間通過第三方210還沒有建 立的虛擬安全信道的一部分�。用“安全信道”表示通過其通信密碼數(shù)據(jù)的通信信道。用“虛 擬安全信道”表示以將源SSD的數(shù)字數(shù)據(jù)備份到目標SSD中而無需源SSD和目標SSD直接 相互通信的方式����、在源SSD和目標SSD之間主動通過并經(jīng)由第三方開始其建立的安全信道。 安全信道是“虛擬”的���,還在于它包括可以由第三方同時��、并發(fā)或在不同時刻建立的兩個單 獨且獨立的安全信道(例如安全信道220和225)���。在第三方210和源SSD 250建立第一安全信道220之后,第三方210通過第一安 全信道220從源SSD 250接收或讀取全部數(shù)字數(shù)據(jù)����,并且并發(fā)地或者在這之后的任何時刻 建立與目標SSD 260的第二安全信道225以完成源SSD 250和目標SSD 260之間的虛擬安 全信道。第三方210可以從用戶215接收用于與目標SSD 260建立第二安全信道225的指 令��,例如緊跟在第三方210從源SSD 250接收數(shù)字數(shù)據(jù)之后��、幾秒之后��、三個月之后等等。目標SSD必須向第三方證明它接收來自于SSD的數(shù)字數(shù)據(jù)的合格性�。當向第三方 210證明目標SSD 260符合條件以接收來自于源SSD 250的數(shù)字數(shù)據(jù)時,第三方210通過虛 擬安全信道的第二部分(即通過安全信道22 將它所接收或讀取的數(shù)字數(shù)據(jù)從源SSD 250 傳輸�、拷貝或?qū)懙侥繕薙SD 2600因為在第三方210中具有信任源SSD 250的一部分,所以不能存在數(shù)字數(shù)據(jù)的兩 個合法拷貝(即源SSD中的一個和目標SSD中的另一個)���。用“不能存在數(shù)字數(shù)據(jù)的兩個 合法拷貝”表示�����,雖然原始數(shù)字數(shù)據(jù)的拷貝可以或者確實存在于目標SSD中(即備份中)����, 但是只要源SSD中的原始數(shù)字數(shù)據(jù)是或者被視為合法或可用數(shù)據(jù)�,它就不能由任何設備使 用。如果因為一些原因�,期望或要求使用備份拷貝而不是原始數(shù)字數(shù)據(jù),則要求使得或致使 目標SSD中的數(shù)字數(shù)據(jù)可用�����、并使得或致使源SSD中的原始數(shù)字數(shù)據(jù)不可用���。為了確保僅僅可以使用數(shù)字數(shù)據(jù)的一個版本(即源SSD中的原始數(shù)據(jù)或目標SSD中它的拷貝)����,第三方 210禁用目標SSD 260的操作��。用“禁用目標SSD的操作”表示由第三方來使目標SSD中的 受保護數(shù)據(jù)不可由包括最初保存受保護數(shù)據(jù)的SSD的任何設備使用或接入��。例如��,通過使 目標SSD可逆地(reversibly)處理存儲在目標SSD中的數(shù)據(jù)以阻止進一步使用目標SSD 的受保護數(shù)據(jù)����,也就是只要源SSD可用,禁用目標SSD就可能是有效果的���。第三方210可以通過將相應的指令或命令傳遞到目標SSD 260來使SSD 260處理 存儲在其中的數(shù)據(jù)���。在第三方210從源SSD 250接收數(shù)字數(shù)據(jù)之后的任何時刻,第三方210 可以使目標SSD 260處理存儲在其中的數(shù)據(jù)�。在一個例子中,在完成將數(shù)字數(shù)據(jù)從源SSD 250到第三方210的傳輸時或之后���,并在第三方210將數(shù)字數(shù)據(jù)傳輸?shù)侥繕薙SD 260之前����, 第三方210使目標SSD 260處理存儲在其中的數(shù)據(jù)。在另一例子中����,在完成數(shù)字數(shù)據(jù)到目 標SSD 260的傳輸時或之后,第三方210使目標SSD 260處理存儲在其中的數(shù)據(jù)��。第三方 可以在上述兩種極限情況之間使目標SSD 260處理存儲在其中的數(shù)據(jù)���。由第三方210進行的對存儲在目標SSD 260中的數(shù)據(jù)的處理可以包括禁用�����、擦除 或修改與受保護數(shù)據(jù)相關聯(lián)的目標SSD 260中的安全特征�。將被處理的數(shù)據(jù)的類型���、數(shù)量 或位置(即SSD的存儲區(qū)域中)可以被選擇來使得在其處理之后��,目標SSD 260的受保護 數(shù)據(jù)對于任何設備變得不可接入�����,并且處理本身是可逆的��,使得可以恢復或回復使用備份 拷貝所要求的數(shù)據(jù)���、信息或應用����?����?商娲?��,由第三方210進行的對存儲在目標SSD 260中 的數(shù)據(jù)的處理可以包括禁用、擦除或修改與受保護數(shù)據(jù)相關聯(lián)的保存在目標SSD 260中的 認證參數(shù)��,使得沒有設備可以使用受保護數(shù)據(jù)��??商娲兀谌?10可以通過向目標SSD 260發(fā)送相應的阻礙(block)命令來使到目標SSD 260中的受保護數(shù)據(jù)的接入被阻礙��,以阻 礙任何設備接入到受保護數(shù)據(jù)����。通過在將數(shù)字數(shù)據(jù)傳遞到目標SSD或者第三方之前、改變源SSD中或者這之后目 標SSD中的數(shù)據(jù),或者通過修改目標SSD的屬性�����,或者通過向拷貝到目標SSD的數(shù)據(jù)適用不 可用配置�,可以使得或者呈現(xiàn)出由目標SSD接收的數(shù)字數(shù)據(jù)不可由源SSD或目標SSD使用。 通過由源SSD將數(shù)字數(shù)據(jù)作為壓縮數(shù)據(jù)發(fā)送到目標SSD或第三方��、并將壓縮數(shù)據(jù)存儲(即 隱藏)在與圖1中的隱藏區(qū)域120相似的隱藏或受限存儲區(qū)域中��,可以使得或者呈現(xiàn)出由 目標SSD接收的數(shù)字數(shù)據(jù)不可用��。為了使得或者呈現(xiàn)出數(shù)字數(shù)據(jù)可用(即為了啟用目標 SSD����,第三方或目標SSD解壓縮壓縮數(shù)據(jù);根據(jù)各種數(shù)據(jù)項的類型和/或功能來解析未壓縮 數(shù)據(jù)���,并將每個所解析的數(shù)據(jù)項存儲在相應存儲區(qū)域中的大容量存儲區(qū)域中�����,無論它是用 戶存儲區(qū)域���、受限存儲區(qū)域還是安全性管理存儲區(qū)域�。除了如下之外��,源SSD 230與圖1的SSD 100相似根據(jù)本公開����,源SSD 250的安 全存儲控制器(源SSD 250的安全存儲控制器未在圖2中示出)也被配置為確定目標SSD 260或第三方210是否合格于從那里接收數(shù)字數(shù)據(jù)(符合可能的情況),如果是����,則建立源 SSD 250和目標SSD 260之間的安全信道(即信道22 、或者源SSD 250和第三方210之 間的安全信道(即安全信道220)����。根據(jù)本公開�,源SSD 250的安全存儲控制器還被配置為 通過相應的安全信道(即分別通過信道222或220)將數(shù)字數(shù)據(jù)直接或經(jīng)由第三方210傳 輸?shù)侥繕薙SD 260來備份。源SSD 250的安全存儲控制器可以禁用目標SSD 260以使得或呈現(xiàn)出所傳輸?shù)?數(shù)字數(shù)據(jù)不可用���。源SSD 250的安全存儲控制器可以在源SSD 250將數(shù)字數(shù)據(jù)傳輸?shù)侥繕薙SD 260或第三方210之前�、期間或之后�,來使得或呈現(xiàn)出所傳輸?shù)臄?shù)字數(shù)據(jù)不可用。源 SSD 250的安全存儲控制器可以直接或經(jīng)由目標SSD 260將源SSD 250的標識符傳輸?shù)降?三方210�,以使得由第三方210使用標識符來禁用源SSD 250。源SSD 250的安全存儲控制 器可以在與第三方210或目標SSD 260的相互認證期間將源SSD 250的標識符傳遞到第三 方210或目標SSD沈0�����,或者(作為數(shù)據(jù))被嵌入到所傳輸?shù)臄?shù)字數(shù)據(jù)中。源SSD 250的安 全存儲控制器可以在第三方210或目標SSD 260被確定為合格于接收數(shù)字數(shù)據(jù)之后�,將數(shù) 字數(shù)據(jù)傳輸?shù)降谌?10或目標SSD 2600可以由源SSD 250的安全存儲控制器或者由在 源SSD 250上運行的專用應用來進行第三方210或目標SSD 260是否合格于接收數(shù)字數(shù)據(jù) 的確定。如可以理解的��,SSD可以在一個時刻充當或者被視為源SSD��,并在另一時刻充當或 者被視為目標(即備份)SSD�。因此,具有充當備份/目標SSD的潛能�����,SSD(該情況下的目 標SSD)的安全存儲控制器還被配置為向源SSD(例如�,向源SSD證明的目標SSD 260)或第 三方證明SSD的合格性以備份源SSD。在證明SSD的和合格性以備份源SSD時����、之后或者響 應于此,安全存儲控制器還適合于建立SSD和源SSD或第三方之間的安全信道�,并通過相應 的安全信道直接從源SSD或經(jīng)由第三方接收數(shù)字數(shù)據(jù)。目標SSD直接從源SSD或從第三方接收的數(shù)字數(shù)據(jù)可以是可用的或不可用的�。也 就是,源可以使得或呈現(xiàn)出它的數(shù)字數(shù)據(jù)不可用��,然后再將它發(fā)送給目標SSD或第三方???替代地,在接收方可以使用數(shù)字數(shù)據(jù)的情況下����,如果它被授權或者合格于這樣做的話,源 SSD可以如其原樣地發(fā)送它的數(shù)字數(shù)據(jù)��。如果從源SSD接收的數(shù)字數(shù)據(jù)可用����,則SSD的安全 存儲控制器還被配置為禁用SSD,使得只要合法使用源SSD���,就使得或呈現(xiàn)出所接收的數(shù)字 數(shù)據(jù)不可用。例如��,通過改變SSD中所接收的數(shù)字數(shù)據(jù)�,通過修改SSD的屬性,或者通過將不可 用配置應用到拷貝到SSD的數(shù)據(jù)�����,安全存儲控制器可以使得或呈現(xiàn)出所接收的數(shù)字數(shù)據(jù)不 可用���。安全存儲控制器通過回復SSD中所改變的數(shù)據(jù)或者目標SSD所修改的屬性�,或者通 過應用目標SSD的可用配置(即用可用配置來替代SSD的不可用配置),可以使SSD為用作 備份SSD做好準備�,從而使得或呈現(xiàn)出(目標/備份)SSD中的數(shù)字數(shù)據(jù)可用。SSD的安全存儲控制器可以接收源SSD的標識符�����,并且作為將SSD準備為備份SSD 來操作的一部分�����,將它發(fā)送給第三方以由第三方使用它來禁用源SSD�����。當終端用戶或用戶應 用請求第三方這樣做時���,第三方可以向裝有源SSD的主機發(fā)布源SSD的標識符�����,使得將不使 用存儲在源SSD中的數(shù)字數(shù)據(jù)�����??商娲兀踩鎯刂破骺梢园l(fā)布源SSD的標識符���,而不 是第三方�����。第三方210可以是由諸如源SSD 250之類的源SSD和諸如目標SSD 260之類的目 標SSD所信任的計算機系統(tǒng)�。第三方210可以是在計算機系統(tǒng)上運行的應用��,并被源SSD 250和目標SSD所信任�����。主機設備系統(tǒng)205包括兩個獨立的主機設備230和MO�。每個主機設備230和240 可以具有容納SSD的卡閱讀器或者可以讀取SSD的安全USB設備。每個卡閱讀器可以容納 源SSD或目標SSD��。通過例子的方式����,主機設備230的或者與主機設備230相關聯(lián)的卡閱讀 器容納源SSD 250��,以及主機設備MO的或者與主機設備240相關聯(lián)的卡閱讀器容納目標 SSD 2600任何合適的傳統(tǒng)卡閱讀器可以用來從SSD讀取內(nèi)容/數(shù)據(jù)。
主機設備系統(tǒng)可以包括一個主機設備(例如��,主機設備230����,主機設備240是可選 的),主機設備可以包括或者具有與之相關聯(lián)的用于容納源SSD和目標SSD (不同時)的一 個卡閱讀器���,或者每個卡閱讀器用于每個SSD的兩個卡閱讀器���。可替代地���,主機設備系統(tǒng)可 以包括兩個主機設備(例如�,主機設備230和M0)���,其中每個主機設備具有它自己的卡閱讀 器�。如果主機設備包括一個卡閱讀器����,則(通過使用由第三方提供的數(shù)據(jù)備份服務)將源 SSD的數(shù)字數(shù)據(jù)備份到目標SSD中涉及首先,使用卡閱讀器來讀取并將數(shù)字數(shù)據(jù)通過第一 安全信道從源SSD傳輸?shù)降谌剑⑶以谟媚繕薙SD取代源SSD之后���,然后����,使用卡閱讀器 來將數(shù)字數(shù)據(jù)通過第二安全信道從第三方寫��、傳輸或拷貝到目標SSD�,等等。與主機設備相 關聯(lián)的卡閱讀器可以是主機設備的完整部分����,或者在主機設備的外部并與主機設備可操作 地相連。源SSD 250和目標SSD 260中的每一個可以與圖1的SSD 100相同或相似���。源 SSD 250可以包含可以包括用戶可接入多媒體內(nèi)容和受保護數(shù)據(jù)的數(shù)字數(shù)據(jù)��,其中受保護 數(shù)據(jù)可以包括版權保護數(shù)據(jù)��、隱秘數(shù)據(jù)���、隱秘元數(shù)據(jù)、安全性應用�、DRM文件等�,SSD的用戶 可以確定將其備份到目標SSD 260中���。將源SSD的受保護數(shù)據(jù)備份到目標SSD 260中還將 向目標SSD 260賦予與源SSD 250相關聯(lián)的、或者由源SSD 250在數(shù)字內(nèi)容上初始強加的 相同安全級��。主機設備系統(tǒng)205可以包括被指定為“主機設備3” Q80處所示)至“主機設備 W290處所示)的�����、第三方210可以操作性與之相連的額外多個主機設備�。相對于第三方 210,主機設備可以位于本地或者遠端�����?����?梢越?jīng)由專用通信線纜�����、陸上線路��、數(shù)據(jù)網(wǎng)絡、互聯(lián) 網(wǎng)和無線通信鏈路的任何組合����,執(zhí)行第三方210和主機設備系統(tǒng)205中的任何一個主機設 備之間的通信。圖3示意性地圖示了根據(jù)例子實施例的將源SSD 350的包括受保護數(shù)據(jù)的數(shù)字數(shù) 據(jù)經(jīng)由第三方310備份到目標SSD 360中的數(shù)據(jù)備份系統(tǒng)300�。數(shù)據(jù)備份過程包括將源 SSD的數(shù)字數(shù)據(jù)拷貝到目標SSD的第一階段(在這里被稱為“數(shù)據(jù)拷貝階段”),以及只要源 SSD的所有人或用戶可以使用源SSD 350���、就可逆地禁用目標SSD的第二階段(在這里被稱 為“后數(shù)據(jù)拷貝階段”)�����。第三方310經(jīng)由數(shù)據(jù)網(wǎng)絡(例如互聯(lián)網(wǎng))390與主機設備系統(tǒng)305可操作地相連�。 主機設備系統(tǒng)305包括一個主機設備320����,該主機設備320具有與之相關聯(lián)的兩個卡閱讀 器卡閱讀器330和卡閱讀器340??ㄩ喿x器330和340在主機設備320的外部。通過例 子的方式�,卡閱讀器330容納源SSD 350,以及卡閱讀器340容納目標SSD 360�����。在滿足上述合格性先決條件之后,第三方310通過與源SSD 350建立第一安全信 道并與目標SSD 360建立第二安全信道��,來建立源SSD 350和目標SSD 360之間的虛擬安 全信道���。通過通信線355和380并經(jīng)由數(shù)據(jù)網(wǎng)絡390來建立第一安全信道,以及通過通信 線365和380并經(jīng)由數(shù)據(jù)網(wǎng)絡390來建立第二安全信道�����。主機設備320包括用戶應用370和用戶接口 315�����。用戶接口 315可以是例如健區(qū) 或觸摸屏�����。用戶接口 315使得用戶可以與用戶應用370交互���。例如�����,用戶可以使用用戶接 口 315來輸入將如下指示給用戶應用370的指令源SSD 350和目標SSD 360在適當?shù)奈?置(即�����,源SSD位于卡閱讀器330以及目標SSD位于卡閱讀器340)以等待由第三方310 服務�,以及如果滿足合格性先決條件,則可以將源SSD 350的數(shù)字數(shù)據(jù)備份到目標SSD 360中�。響應于這樣的指令,用戶應用370經(jīng)由通信線380和數(shù)據(jù)網(wǎng)絡390向第三方310發(fā)送 消息����,指示第三方310開始與所牽涉的SSD的數(shù)據(jù)備份會話,例如首先與源SSD 350����,然后與 目標 SSD 360。為了開始數(shù)據(jù)拷貝階段�����,第三方310例如通過使用源SSD 350的系統(tǒng)訪問控制記 錄(“ACR”)來通過第一安全信道并經(jīng)由主機設備320登陸(logs on)到源SSD 350中�����。 如果第三方310和源SSD 350相互認證��、并且第三方310向源SSD 350證明它從那里接收數(shù) 字數(shù)據(jù)的合格性���,則源SSD 350允許第三方310讀取源SSD 350保存在它的大容量存儲區(qū) 域中的任何數(shù)據(jù)�����,包括受保護數(shù)據(jù)�����,以及大體上第三方310所要求的每個數(shù)據(jù)�。如果源SSD 350向第三方310證明它被另一 SSD備份的合格性�,則第三方310將從源SSD 350讀取數(shù)字 數(shù)據(jù)。在第三方310從源SSD 350讀取數(shù)字數(shù)據(jù)之后�����,第三方310例如通過使用目標SSD 360的系統(tǒng)ACR來通過第二安全信道并經(jīng)由主機設備320登陸到目標SSD 360系統(tǒng)中���。如 果第三方310和目標SSD 360相互認證�����、并且目標SSD 360向第三方310證明它備份源SSD 350的合格性����,則第三方310將它從源SSD 350讀取的數(shù)據(jù)寫到目標SSD 306中,從而完成 數(shù)據(jù)拷貝階段�。只要源SSD 350的所有人或用戶可以使用源SSD 350,第三方310通過可逆地禁用 目標SSD 360來開始第二階段(即����,“后數(shù)據(jù)拷貝”階段),并且可選地�����,如果因為某些原因 而禁用源SSD 350并啟用目標SSD 360�����,則源SSD 350的所有人或用戶不再能夠使用源SSD 350�,例如因為它被偷了、丟失了或損壞了���。圖4示意性地圖示了根據(jù)另一例子實施例的將源SSD 450的包括受保護數(shù)據(jù)的數(shù) 字數(shù)據(jù)經(jīng)由第三方410備份到目標SSD 460中的系統(tǒng)400��。第三方410經(jīng)由數(shù)據(jù)網(wǎng)絡(例 如互聯(lián)網(wǎng))490與主機設備系統(tǒng)405可操作地連接����。主機設備系統(tǒng)405包括一個主機設備 G20處所示)��,該主機設備420具有與之相連的一個卡閱讀器卡閱讀器430?�?ㄩ喿x器430 在主機設備420的外部��。通過例子的方式���,卡閱讀器430被示為容納有源SSD 450��,但是它 也可以容納目標SSD 460���。在滿足指定的合格性先決條件之后�,第三方410在源SSD 450和目標SSD 460之 間建立虛擬安全信道。為了在源SSD 450和目標SSD 460之間建立虛擬安全信道��,第三方 410與源SSD 450建立第三方410通過其從源SSD 450讀取數(shù)字數(shù)據(jù)的第一安全信道����,并 在用目標SSD 460替代或交換源SSD 450(用虛線435象征性示出替代)之后,與目標SSD 460建立第二安全信道����。因為第三方410每次處理兩個SSD中的一個SSD,所以可以通過相 同的通信線455和480來建立第一安全信道和第二安全信道�。圖5示意性地圖示了根據(jù)再一例子實施例的將源SSD 550的受保護數(shù)據(jù)經(jīng)由第三 方510備份到目標SSD 560中的系統(tǒng)500���。第三方510經(jīng)由數(shù)據(jù)網(wǎng)絡(例如互聯(lián)網(wǎng))590與 主機設備系統(tǒng)505可操作地相連。主機設備系統(tǒng)505可以包括主機設備520A和主機設備 520B這兩個主機設備��,每個主機設備具有與之相關聯(lián)的一個卡閱讀器和用戶應用���?�?ㄩ喿x 器530和用戶應用570A與主機設備520A相關聯(lián)���。卡閱讀器540和用戶應用570B與主機設 備520B相關聯(lián)�。卡閱讀器530和卡閱讀器540在各個主機設備的外部��。然而�,如上所述, 卡閱讀器可以是主機設備的完整部分或者嵌入到主機設備中�。通過例子的方式,卡閱讀器 530容納源SSD 550���,以及卡閱讀器540容納源SSD 560�。
主機設備520A和520B通過使用相同類型的通信路徑或者不同類型的通信類經(jīng), 可以與第三方510可操作地相連����。通過例子的方式,主機設備520A經(jīng)由陸上線路510與第 三方510可操作地相連����,以及主機設備520B經(jīng)由通信線路580和數(shù)據(jù)網(wǎng)絡590與第三方 510可操作地相連。例如���,圖5的配置在用戶想要將她/他的SSD的數(shù)字數(shù)據(jù)備份到屬于另 一人的遠端SSD的情況下是有用的����。例如�����,用戶的主機設備(例如�,主機設備520A)可以位 于一個城市�,而另一人的主機設備(例如,主機設備520B)可以位于另一城市��。用戶應用570A和570B中的每一個可以包括兩個單獨且獨立的過程“讀取過程” 和“寫過程”���。讀取過程允許用戶指令第三方從源SSD讀取數(shù)字數(shù)據(jù)�����,以及寫過程允許相同 的用戶或另一用戶指令第三方將所讀取的數(shù)字數(shù)據(jù)寫到本地或遠端的目標SSD����。用戶可以 根據(jù)SSD的角色(即源SSDA或目標SSD)來選擇、激活�、或者相反(otherwise)導致或觸發(fā) 合適的過程(即讀取過程或?qū)戇^程)的執(zhí)行。再次參考圖5�����,第一用戶可以選擇����、激活、或 者相反導致或觸發(fā)(例如���,通過使用用戶接口 515A)讀取過程的執(zhí)行��,以使第三方510從源 SSD 550讀取數(shù)字數(shù)據(jù)��。第二用戶可以選擇����、激活、或者相反導致或觸發(fā)(例如�,通過使用用 戶接口 515B)寫過程的執(zhí)行,以使第三方510將所讀取的數(shù)字數(shù)據(jù)寫到目標SSD 560����。如果滿足上述合格性先決條件,則第三方510在源SSD 550和目標SSD 560之間 建立虛擬安全信道�����。為了在源SSD 550和目標SSD 560之間建立虛擬安全信道�����,第三方 510 (經(jīng)由通信路徑510和55 與源SSD 550建立第三方510經(jīng)由其從源SSD 550讀取數(shù) 字數(shù)據(jù)的第一安全信道���,并(經(jīng)由通信路徑580�、數(shù)據(jù)網(wǎng)絡590和通信路徑56 與目標SSD 560建立第三方510經(jīng)由其將所讀取的數(shù)字數(shù)據(jù)寫到目標SSD 560中的第二安全信道�。圖6是根據(jù)例子實施例的圖3的第三方310的框圖。將結(jié)合圖3來描述圖6����。第 三方310包括通信接口 620、認證管理器630���、存儲設備配置器640��、存儲器650和數(shù)據(jù)讀/ 寫機構660���。如果用戶想要將存儲在源SSD 350中的多媒體內(nèi)容備份到目標SSD 360中,則用 戶激活�、調(diào)用用戶應用370或與用戶應用370交互,以使用戶應用370將要求數(shù)據(jù)備份服 務�����、以及源SSD 350和目標SSD 360在合適的位置中并準備好數(shù)據(jù)傳輸?shù)南l(fā)送給第三 方310����。調(diào)用客戶端應用370還使第三方310開始與所牽涉的SSD的通信會話,并向第三方 310指名用戶所請求的服務�。例如,用戶所請求的服務可以是將數(shù)字數(shù)據(jù)從源SSD 350傳 輸?shù)降谌?10并在那里暫時保存它(例如幾天)�,或者(假設已經(jīng)在第三方310中保存 了數(shù)字數(shù)據(jù))將數(shù)字數(shù)據(jù)從第三方310傳輸?shù)侥繕薙SD 360,或者將數(shù)字數(shù)據(jù)從源SSD 350 傳輸?shù)降谌?10并同時將數(shù)字數(shù)據(jù)從第三方310傳輸?shù)侥繕薙SD 360��,或者在第三方310 將數(shù)字數(shù)據(jù)寫入目標SSD 360之后馬上禁用目標SSD 360����,或者禁用源SSD 350并啟用目標 SSD 360����,等等���。如上所述��,將源SSD的數(shù)字數(shù)據(jù)備份到目標SSD(即備份SSD)中的第一階段是將 源SSD的數(shù)字數(shù)據(jù)拷貝到目標SSD����。為了將數(shù)字數(shù)據(jù)從源SSD拷貝到目標SSD�,第三方初始 化包括如下時期(stages)的數(shù)據(jù)拷貝會話(1)認證時期,(2)經(jīng)由第三方的源SSD和目標 SSD之間的虛擬安全信道的建立�����,( 由第三方從源SSD讀取數(shù)據(jù)���,(4)由第三方(重)配 置目標SSD��,以及(5)由第三方將從源SSD讀取的數(shù)據(jù)寫到目標SSD�。如上所述�,需要執(zhí)行 另一階段(即后數(shù)據(jù)拷貝階段)��,它包括只要源SSD的所有人或用戶可以使用源SSD,就由 第三方可逆地禁用目標SSD���。如果源SSD的所有人或用戶可以使用源SSD����,則意味著源SSD仍然是可操作的(即“啟用的”���、“可用的”�、或“有效的”)�����。后數(shù)據(jù)拷貝階段還包括如果源 SSD和目標SSD的所有人或用戶想要交換兩個SSD�,因為她/他由于可能的任何原因而不再 能夠使用源SSD,則禁用源SSD并啟用目標SSD�����。(1)認證源SSD 350的多媒體內(nèi)容到目標SSD 360的成功傳輸還使如下成為必要將數(shù)據(jù) 從源SSD 350的受限存儲區(qū)域傳輸?shù)侥繕薙SD 360的受限存儲區(qū)域���,以及將數(shù)據(jù)從源SSD 350的安全性管理存儲區(qū)域傳輸?shù)侥繕薙SD 360的安全性管理存儲區(qū)域�����。在第三方310向目標SSD 360傳輸任何數(shù)據(jù)之前����,第三方310需要首先從源SSD 350請求(即讀取)它。在源SSD 350服從該請求之前(S卩��,在源SSD 350開始將所請求的 數(shù)據(jù)經(jīng)由通信接口 620傳輸?shù)降谌?10之前)���,需要開始第一認證會話��,在該第一認證會 話期間第三方310和源SSD 350相互認證���。第一認證會話涉及由源SSD 350檢查第三方310的真實性,以確保第三方310合 格于接收存儲在源SSD 350的受限存儲區(qū)域中和安全性管理存儲區(qū)域中的受保護數(shù)據(jù)�,以 及由認證管理器630檢查源SSD 350的真實性,以確保源SSD 350合格于由另一 SSD備份���。 在認證管理器630開始第一認證會話之前����,認證管理器630登陸到源SSD 350的系統(tǒng)中����。認證管理器630開始單獨的第二認證會話����,在該會話期間第三方310和目標SSD 350相互認證�����。第二認證會話涉及由目標SSD 360檢查第三方310的真實性��,以確保第三 方310合格于將數(shù)據(jù)寫入它的受限存儲區(qū)域和它的安全性管理存儲區(qū)域�,以及由認證管理 器630檢查目標SSD 360的真實性�����,以確保目標SSD 360合格于備份另一 SSD�。在認證管理 器630開始第二認證會話之前,認證管理器630經(jīng)由通信接口 620登陸到目標SSD 360的 系統(tǒng)中�����?���?梢酝ㄟ^在所牽涉的當事方之間交換認證證書����,并且通過使用PKI范例�����,來執(zhí)行第 一認證會話和第二認證會話�,如下面結(jié)合圖7更詳細描述的。認證管理器630可以通過使用SSD的訪問控制記錄(“ACR”)來經(jīng)由通信接口 620 登陸到源SSD 350和目標SSD360的系統(tǒng)中����。簡要地,“ACR”是可以被視為“超級中心記錄 (super authority record) ”的訪問控制范例�����,因為ACR包含用于編索引(indexing)的信 息����,并且它可以與目錄記錄、關系數(shù)據(jù)庫以及與其他相關的訪問控制記錄相聯(lián)系����。ACR概念 從“中心控制”的傳統(tǒng)概念改變?yōu)椤霸L問控制”。(2)虛擬安全信道的建立在(第一認證會話期間)源SSD 350和第三方310相互認證之后,認證管理器630 和源SSD 350的安全存儲控制器(未在圖3中示出)例如通過使用對于它們兩者可用的第 一會話密鑰來在它們之間建立第一安全信道�����,以及在目標SSD 360和第三方310相互認證 之后�����,第三方310和目標SSD 360例如通過使用對于它們兩者可用的第二會話密鑰來建立 第二安全信道���。如上所述,可以同時建立第二安全信道和第一安全信道����。然而,要注意的是�����, 可以在建立了第一安全信道之后���、或者在建立第一安全信道之前的任何時刻建立第二安全 信道���。第一會話密鑰和第二會話密鑰可以由每個通信會話所涉及的當事方來隨機生成,或 者它們可以在其制造期間固定并存儲在第三方310中和各個SSD中。對于第一種可選(即第一和第二會話密鑰的隨機生成)����,認證管理器630初始化 第一安全信道的建立,并響應于該初始化����,認證管理器630和源SSD 350聯(lián)合生成第一會話 密鑰,如結(jié)合下面描述的圖7更詳細描述的����。在源SSD 350將數(shù)字數(shù)據(jù)傳遞到認證管理器630之前,源SSD 350使用第一會話密鑰來加密由認證管理器630請求的數(shù)字數(shù)據(jù)(以保護 它)�,以及當經(jīng)由通信接口 620從源SSD 350接收所加密的數(shù)據(jù)時,認證管理器630使用第 一會話密鑰來解密所加密的數(shù)字數(shù)據(jù)���。當完成將所加密的數(shù)字數(shù)據(jù)從源SSD 350傳輸?shù)秸J 證管理器630時或者在諸如剛好在認證管理器630被指示或確定(取決于用戶應用370)將 數(shù)字數(shù)據(jù)寫到目標SSD 360之前之類的任何其他時刻���,認證管理器630可以使用第一會話 密鑰來解密所加密的數(shù)字數(shù)據(jù)。要注意的是��,可以在用第一會話密鑰加密數(shù)字數(shù)據(jù)之前�,由 源SSD 350預加密源SSD 350的數(shù)字數(shù)據(jù),以進一步增加所傳遞的數(shù)字數(shù)據(jù)的安全級���。例 如�����,源SSD 350可以通過使用對于目標SSD 360可用的內(nèi)容密鑰來預加密數(shù)字數(shù)據(jù)��。同樣����,認證管理器630可以在它從源SSD 350接收用第一會話密鑰加密的數(shù)字數(shù) 據(jù)之后的任何時刻,初始化第二安全信道的建立��,并響應于該初始化����,認證管理器630和目 標SSD 360聯(lián)合生成第二會話密鑰����。在認證管理器630將數(shù)字數(shù)據(jù)傳遞到目標SSD 360之 前,認證管理器630使用第二會話密鑰來加密將被拷貝到目標SSD 360的數(shù)字數(shù)據(jù)(以保 護它)�����。當從認證管理器630接收所加密的數(shù)據(jù)時�,目標SSD 360使用第二會話密鑰來解密 所加密的數(shù)字數(shù)據(jù)。要注意的是,可以首先生成第一會話密鑰和第二會話密鑰之一��。也就 是����,首先生成哪個會話密鑰(即第一會話密鑰或第二會話秘密鑰)并不重要。雖然所加密的數(shù)據(jù)可以被存儲在源SSD 350的用戶存儲區(qū)域中���,但是解密它所要 求的解密密鑰可以被存儲在源SSD 350的安全性管理存儲中或受限存儲區(qū)域中�。因此��,將 所加密的數(shù)據(jù)與相關聯(lián)的加密/解密密鑰�����、以及典型地存儲在所涉及的SSD的受限存儲區(qū) 域之一中(即�,受限存儲區(qū)域中或安全性管理存儲區(qū)域中)的其他安全相關數(shù)據(jù)/信息一 起從源SSD傳輸?shù)侥繕薙SD是有必要的。在可選方式中����,源SSD 350和目標SSD 360可以通過使用對于源SSD350可用來加 密數(shù)字數(shù)據(jù)以及對于目標SSD 360可用來解密所加密的數(shù)字數(shù)據(jù)的預定內(nèi)容密鑰,來經(jīng)由 第三方310建立虛擬安全信道��。在該可選方式中���,第三方310是通信透明的�,意思是第三方 310充當通信連接,并向源SSD 350和目標SSD360提供通信連接�����,但是它并不主動牽涉到數(shù) 據(jù)的加密或解密中�。(3)從源SSD讀取數(shù)據(jù)在生成第一會話密鑰之后,認證管理器630使用數(shù)據(jù)讀/寫機構660來從源SSD 350的用戶存儲區(qū)域��、受限存儲區(qū)域并從安全性管理存儲區(qū)域讀取將拷貝到目標SSD 360 的任何數(shù)據(jù)����。第三方310包括用于保存可以有利于由第三方310提供的數(shù)據(jù)備份服務的 SSD的認證證書列表、并且還用于暫時保存第三方310從源SSD 350讀取的數(shù)字數(shù)據(jù)的存儲 區(qū)650���。當暫時保存在存儲器650中的數(shù)據(jù)不再要求時�,它將被刪除����,使得沒有可追蹤的數(shù) 據(jù)將保持在第三方310以被用戶誤用或者被黑客接觸或截取�����。(4)目標SSD的配置目標SSD 360具有與源SSD 350相同的配置是有必要的,因為除了所拷貝的多媒 體內(nèi)容和相關受保護數(shù)據(jù)之外���,源SSD 350的數(shù)據(jù)結(jié)構也被傳輸?shù)侥繕薙SD 360��,這在功能 方面是必需的�,否則數(shù)據(jù)將以錯誤的方式存儲或者存儲在錯誤的存儲區(qū)域中�����,例如�����,存儲在 用戶存儲區(qū)域中而不是受限存儲區(qū)域中�����,或者存儲在受限存儲區(qū)域中而不是用戶存儲區(qū)域 中�����,這將使得或呈現(xiàn)出多媒體內(nèi)容永久不可用��?��!皵?shù)據(jù)結(jié)構”是將數(shù)據(jù)存儲在計算機中的方 式�����,使得可以有效地訪問和使用所存儲的數(shù)據(jù)���。特別地�,“數(shù)據(jù)結(jié)構”指SSD內(nèi)的數(shù)字數(shù)據(jù)的布置��、每個數(shù)據(jù)項的類型和意思����、SSD的存儲器中每個數(shù)據(jù)項的絕對和相對位置,等等���。數(shù) 據(jù)結(jié)構被定義為SSD的配置的一部分��。因此��,為了使目標SSD 360如源SSD 350中存儲的那樣來保存數(shù)字數(shù)據(jù)的實際拷 貝�����,第三方310需要在第三方310例如通過使用數(shù)據(jù)讀/寫機構660將源SSD的數(shù)字數(shù)據(jù) 寫入目標SSD 360之前����,確保目標SSD 360的配置匹配于源SSD 350的配置��。為了實現(xiàn)這 個��,認證管理器630向源SSD 350查詢或者請求關于其配置的信息或者其配置的數(shù)據(jù)表示���, 并且源SSD 350通過向第三方310通知它的配置來服從于該查詢或請求��。例如����,源SSD 350 可以通過向第三方310發(fā)送配置表格來將它的配置通知給第三方310�。在被源SSD 350通 知其配置之后,認證管理器630使存儲設備配置器640使用從源SSD 350得到的配置信息 來以與源SSD 350相同的方式配置目標SSD 360����。因此,可以說存儲設備配置器640將源 SSD 350的配置施加或強加到目標SSD 360上�����。(5)由Il三方將源SSD的數(shù)字數(shù)據(jù)寫入目標SSD在存儲設備配置器640將源SSD 350的配置施加到目標SSD 360上之后,認證管 理器630使用數(shù)據(jù)讀/寫機構660來將它從源SSD 350接收的數(shù)字數(shù)據(jù)寫到目標SSD 360����,(6)禁用目標SSD如上面結(jié)合圖2所說明的,第三方可逆地禁用目標SSD�����,以符合不允許存在多媒體 內(nèi)容的一個以上合法可用拷貝的構思�����。因此����,在認證管理器630 (通過使用讀/寫機構660) 從源SSD 350讀取數(shù)字數(shù)據(jù)之后,第三方310或源SSD可逆地禁用目標SSD 360�,以只要源 SSD 350的所有人或用戶可以或想要使用SSD 350,就不允許使用目標SSD 360���?��?梢杂傻?三方使目標SSD處理存儲在其中的數(shù)據(jù)、或者使用例如結(jié)合圖2在這里描述的任何方法�����,來 執(zhí)行禁用目標SSD。圖7示出了根據(jù)例子實施例的向源SSD 720認證第三方710以及相反情況的認證 方法�。認證過程涉及交換認證證書和使用私鑰基礎設施(πα)方法�����,如下所述��??梢耘c圖3和6相似或相同的第三方710在其中存儲有第三方證書711、第三方私 鑰712以及源SSD 720的或與源SSD 720相關聯(lián)的根證書713���。第三方證書711包括第三 方710的公鑰�。同樣�����,可以與圖1的SSD 100相似或相同的源SSD 420在它的安全性管理 存儲區(qū)域中存儲有SSD證書721�、SSD私鑰722和第三方根證書723。SSD證書721包括源 SSD 720的公鑰��。認證過程可以包括如下階段(1)公鑰驗證�,(2)私鑰驗證,以及(3)會話 密鑰協(xié)商,將在下面討論它們�����。公鑰驗證響應于用于開始數(shù)據(jù)備份過程的用戶指令(例如通過使用諸如用戶應用370之類 的用戶應用)��,第三方710向源SSD 720發(fā)布并發(fā)送“設置證書”命令731以開始相互的認 證會話�����。作為發(fā)起者�,第三方710與設置證書命令731 —起發(fā)送它的認證證書(即“第三方 證書” 711)。響應于設置證書命令731��,源SSD 720利用“第三方根證書” 723來驗證(732 處所示)第三方證書711的真實性���。如果驗證失敗�����,則源SSD 720中斷認證過程���。如果第 三方710的認證證書(即“第三方證書” 711)被源SSD 720驗證(732處所示),則源SSD 720通過向第三方710發(fā)送它自己的認證證書(即“源SSD證書” 721)來響應于由第三方 710發(fā)布的命令733 (即“獲取證書”)�。
第三方710接收源SSD的認證證書(即“源SSD證書” 721)�����,并通過使用源設備根 證書713來驗證(734處所示)“設備證書”721的真實性����。如果該驗證也成功��,則雙方(第 三方720和源SSD 720)從相應的認證證書得到對方的公鑰第三方710根據(jù)被驗證的源 SSD證書721而具有源SSD 720的公鑰735��,以及源SSD 720根據(jù)被驗證的第三方證書711 而具有第三方710的公鑰736����。在完成該階段之后��,雙方前進到作為“私鑰驗證”階段的下 一階段��。典型地��,將第三方根證書723存儲在SSD的隱藏存儲受限(隱藏)存儲區(qū)域中��。私鉬驗證可以通過使用各種加密方案來驗證SSD或第三方的私鑰����,在下文中描述加密方案 之一����。通過使用雙邊質(zhì)詢(challenge)-響應機制來完成私鑰驗證�����,其中源SSD 720通過使 用命令741( “獲得質(zhì)詢”)來質(zhì)詢第三方710��,其中源SSD 720使用由源SSD 720生成的相 對長(例如32字節(jié))的質(zhì)詢隨機數(shù)(742處所示)來將該命令提供給第三方710��。第三方 710根據(jù)在H(CS#1版本2. 1中定義的RSA加密方案或者根據(jù)現(xiàn)在存在或?qū)砜赡芴岢龅?任何其他恰當版本����,通過使用第三方私鑰712簽章(743處所示)質(zhì)詢隨機數(shù)來響應于命令 741 ( “獲取質(zhì)詢”)。簡要地��,“RSA” (姓Rivest, Shamir和Adleman的首字母)是用于簽 章和加密數(shù)字數(shù)據(jù)的加密算法�����。RSA涉及使用每個人已知的并用于加密消息的公鑰以及私 鑰�����。僅僅可以通過使用相比配(即相關聯(lián))的私鑰來解密用公鑰加密的消息�����。根據(jù)在RKCS#1版本2. 1中定義的RSA加密方案,源SSD 720通過使用第三方公鑰 736來驗證所簽章(sign)的響應(744處所示)��,其導致期望是隨機數(shù)742的數(shù)的提取���。如 果所提取的數(shù)匹配于隨機數(shù)742��,則這向源SSD 720指示第三方710是它的對話方并且第三 方710合格于從源SSD 720接收數(shù)字數(shù)據(jù)���。如果在745處提取的數(shù)不同于隨機數(shù)742�,則認 證失敗并且源SSD 720中斷認證過程。第三方710利用相似的質(zhì)詢-響應機制來質(zhì)詢源SSD 720��。也就是�����,第三方710生 成隨機數(shù)并將它發(fā)送給源SSD 720����,檢查由源SSD 720返回的數(shù)是否匹配于所生成的隨機 數(shù)。如果兩個數(shù)相匹配��,則這向第三方710指示源SSD 720是它的對話方并且源SSD 720 合格于由目標SSD備份。如果數(shù)不相匹配���,則認證過程失敗并且第三方710中斷認證過程����。在完成相互認 證階段之后����,雙方(即,第三方710和源SSD 720)可以前進到作為“會話密鑰協(xié)商”階段的 下一階段�。通常,將第三方的根證書和SSD的私鑰存儲在SSD的受限(隱藏)存儲區(qū)域中��。會話密鑰協(xié)商如上所述��,通過以多種方式使用可以對于第三方710和源SSD 720可用的會話密 鑰(在這里被稱為“第一會話密鑰”)��,可以建立第三方和源SSD之間的安全信道(在這里 被稱為“第一安全信道”)���。也就是��,可以由它們生成會話密鑰(例如以圖7所示的方式)�, 或者從外部系統(tǒng)或設備向它們提供會話密鑰�����。第三方710和源SSD 720將會話密鑰用作雙向(S卩,源SSD/第三方)認證的一部 分����,以完成它們相互的認證過程,并且還用作加密密鑰來加密在第三方710和源SSD 720之 間交換的數(shù)據(jù)����。由第三方710和源SSD 720聯(lián)合隨機化會話密鑰,并且會話密鑰對于它們雙 方是已知的���,因為它由兩個隨機數(shù)(751和761處所示)組成�����,其中一個隨機數(shù)(即隨機數(shù) 761)由第三方710生成并在加密之后發(fā)送給源SSD 720,以及另一隨機數(shù)(即隨機數(shù)751) 由源SSD 720生成并在加密之后發(fā)送給第三方720�����,如下所述�����。
源SSD 720生成隨機數(shù)751,并在加密(752處所示)之后將它發(fā)送給在那里解密 它的第三方710 (753處所示)����。第三方710生成隨機數(shù)761,并在加密(762處所示)之后 將它發(fā)送給在那里解密它的源SSD 720 (763處所示)���。由每一側(cè)生成的隨機數(shù)可以長16字 節(jié)��,并且它可以根據(jù)在H(CS#1版本2. 1中定義的RSA加密方案來加密�����。在每一方處“異或” 兩個隨機數(shù)751和761導致第三方710和源SSD 720具有相同的會話密鑰(分別在771和 772中示出)�����。會話密鑰將是根據(jù)兩個隨機數(shù)的異或操作得到的16字節(jié)的二進制值�。在生成會話密鑰之后����,源SSD 720需要第三方已經(jīng)生成并將使用相同會話密鑰的 證明。作為證明���,第三方710轉(zhuǎn)發(fā)(781處所示)作為用會話密鑰771加密的AES(高級加 密標準)的“開始會話”命令�。源SSD 720用會話密鑰772解密“開始會話”命令,并驗證 “開始會話”命令包括消息“開始會話”���。如果會話密鑰771和772不相匹配���,則認證過程失 敗并且源SSD 720中斷登陸過程。反之���,源SSD 720利用會話密鑰772來加密并向第三方 710發(fā)送(782處所示)“認證完成”消息782���。第三方710使用會話密鑰771解密“認證完 成”消息782,并驗證“認證完成”消息782包含消息“認證完成”����。該最后一個步驟完成了會 話密鑰協(xié)商過程,并以安全的方式打開了可以通過其在第三方710和源SSD 720之間交換 命令和數(shù)據(jù)(例如數(shù)字數(shù)據(jù))的安全信道�����。將在整個通信會話期間由第三方710和源SSD 720使用會話密鑰����,其中整個通信會話是直到第三方710讀出存儲在源SSD 720中的整個數(shù) 字數(shù)據(jù)的時段。通過必要的修正(mutatis mutandis)�,可以類似地將在圖7中例示的認證 和會話密鑰生成過程用于向目標SSD認證第三方710以及相反的情況。也就是���,在后一種 情況下�����,應該用詞“目標”替代詞“源”�。在生成第一和第二會話密鑰之后�,通過源SSD用對于第三方可得的第一會話密鑰 加密數(shù)字數(shù)據(jù),來建立第一安全信道�����,以及通過第三方用第一會話密鑰解密所加密的數(shù)字 數(shù)據(jù)����、并用對于目標SSD可得的第二會話密鑰加密所解密的數(shù)字數(shù)據(jù),來建立第二安全信 道����。可以將第一會話密鑰和第二會話密鑰存儲在第三方中以及在制造SSD期間或之后存儲 在各個SSD中��。由源SSD用第一會話密鑰加密數(shù)字數(shù)據(jù)可以包括前一步驟由源SSD用對于目標 SSD可得但對于第三方不可得的內(nèi)容密鑰來加密數(shù)字數(shù)據(jù)?��?梢栽谄渲圃炱陂g將內(nèi)容密鑰 存儲在源SSD和目標SSD中����,或者可以由一方(例如源SSD)生成它們����,并將它們傳輸給另 一方(例如目標SSD),將在下面結(jié)合圖8來描述后一種可選情況�。第三方710參與建立包括與源SSD 720的第一安全信道和與目標SSD (未在圖7中 示出)的第二安全信道的虛擬安全信道所要求的加密密鑰的生成過程。然而����,如上所述,第 三方可以將數(shù)字數(shù)據(jù)從源SSD拷貝到目標SSD�����,而無需第三方生成加密/解密密鑰���,并且無 需第三方知道源SSD和目標SSD使用哪個(哪些)加密/解密密鑰����,如下面描述的圖8所示�。圖8示出了根據(jù)例子實施例的由源SSD 720進行的生成內(nèi)容密鑰的方法。為了 維持數(shù)字數(shù)據(jù)的私密性����、同時將它(通過并經(jīng)由第三方810)從源SSD 820轉(zhuǎn)發(fā)到目標SSD 830,源SSD 820和目標SSD 830承擔安全性責任�����,第三方承擔中間角色�����,如下所述���。假設第 三方810�����、源SSD 820和目標SSD 830已經(jīng)完成了上面結(jié)合圖7描述的公鑰和私鑰驗證階 段�����,因此�����,第三方810將目標SSD 830與包含目標SSD 830的公鑰的認證證書相關聯(lián)��。通常���, 源SSD 820在發(fā)送它的數(shù)字數(shù)據(jù)之前隨機生成用于加密它的數(shù)字數(shù)據(jù)的內(nèi)容密鑰����。在這之后���,源SSD 820將內(nèi)容密鑰轉(zhuǎn)發(fā)給目標SSD 830���,使得目標SSD 830可以使用內(nèi)容密鑰來解 密所加密的數(shù)字數(shù)據(jù)。如下所述來執(zhí)行內(nèi)容密鑰生成過程�����。在第三方810和目標SSD 830相互認證之后����,第三方810保存目標SSD 730的認 證證書835。通常����,第三方810將目標SSD 830的公鑰轉(zhuǎn)發(fā)給源SSD 820 ���;源SSD 820利用 目標SSD的公鑰來加密內(nèi)容密鑰(即用于密碼化數(shù)據(jù)的密鑰)��;以及目標SSD 830利用內(nèi) 容密鑰來解密所加密的數(shù)據(jù)�����。為了實現(xiàn)這個�,第三方810將目標SSD 830的認證證書835 轉(zhuǎn)發(fā)840給源SSD 820,并且源SSD 820驗證目標SSD 830的SSD證書835被由第三方保存 的目標SSD的根認證證書所簽章�。一旦目標SSD的根證書上的簽字被源SSD 820驗證,源 SSD 820就從目標SSD的認證證書中提取845目標SSD 830的公鑰����。源SSD 820生成充當 內(nèi)容密鑰的隨機數(shù)850。然后����,源SSD 820用所提取的目標SSD 830的公鑰來加密855的隨 機數(shù)(即內(nèi)容密鑰),用源SSD的私鑰來簽章所加密的內(nèi)容密鑰���,將源SSD的認證證書連接 到所簽章的被加密的內(nèi)容密鑰����,并向第三方810轉(zhuǎn)發(fā)860所簽章的被加密的內(nèi)容密鑰825。 在870處���,第三方810將所加密的內(nèi)容密鑰825如其原樣轉(zhuǎn)發(fā)給目標SSD 830��。接著�,目標 SSD 830確保源SSD的認證證書已經(jīng)被由第三方810保存的源SSD的根認證證書所簽章�����,并 使用它的私鑰836來解密所加密的內(nèi)容密鑰�����。目標SSD 830還使用保存在源SSD的證書中 的源SSD的公鑰���,以確保內(nèi)容密鑰沒有改變�。從該點開始�,源SSD 820可以安全地經(jīng)由第三方810向目標SSD 830發(fā)送數(shù)字數(shù) 據(jù)。由于不知道目標SSD的私鑰�,所以第三方810不能解密源SSD 820通過它向期望是安 全的目標SSD 830轉(zhuǎn)發(fā)的任何數(shù)據(jù)。因此���,第三方810將目標SSD 830的認證證書/公鑰 從目標SSD 830傳輸或中繼到源SSD 820��,并將所加密的內(nèi)容密鑰從源SSD 820傳輸或中繼 到目標SSD 830�����?����?商娲?����,可以在源SSD的制造期間使內(nèi)容密鑰對于源SSD可用����,并通過 將內(nèi)容密鑰從或經(jīng)由第三方傳輸?shù)侥繕薙SD來使內(nèi)容密鑰對于目標SSD可用�����?�?商娲?�, 通過將它從目標SSD經(jīng)由第三方傳輸,可以使內(nèi)容密鑰對于源SSD可用�����。圖9示出了示范性的認證證書的層次��。安全存儲設備和服務提供商信任PKI系統(tǒng) 根CA( “CA”代表“證明中心”)910�����。作為SSD的唯一根CA的設備的根CA 920被包含在第 三方中或由第三方保存����,以允許第三方認證SSD。第三方可以為授權接受由第三方提供的數(shù) 字備份服務的SSD保存SSD的根CA列表���。同樣��,作為第三方的根CA的第三方的根CA 930 被包含在SSD中或由SSD保存�����。由PKI系統(tǒng)根CA 910簽章安全存儲CA設備的根CA 920和 第三方的根CA 930中的每一個��。因此���,可以說對于安全存儲CA設備的根CA 920和第三方 的根CA 930���,共同受信任的中心(即PKI系統(tǒng)根CA 910)代表信任。作為SSD的證書的安 全存儲設備證書940被包含在SSD中或由SSD保存����,并由安全存儲設備的根CA 920簽章。 同樣��,作為第三方的證書的第三方證書950被包含在SSD中或由SSD保存�,并由第三方的根 CA 930簽章���。如上所述�����,第三方信任安全存儲CA設備的根CA 920����,以及SSD信任第三方的根CA 930�。因此,通過將安全存儲CA設備的根CA 920放置、存儲或保存在第三方中�,并將第三方 的根CA 903放置、存儲或保存在SSD中��,可以幫助第三方和安全存儲設備之間的相互信任����。 更具體地,只有在第三方從SSD接收由安全存儲設備的根CA 920簽章的認證證書的情況 下����,第三方才將信任SSD。同樣�,只有在SSD從第三方接收由第三方的根CA903簽章的認證 證書的情況下,SSD才將信任第三方���。對于第三方和源SSD����,成功的認證還意味著�����,第三方合格于��、被授權或有權利從源SSD接收或讀取數(shù)字數(shù)據(jù),以及源SSD合格于��、被授權或有權利 接受由第三方提供的數(shù)據(jù)備份服務�。對于第三方和目標SSD,成功的認證還意味著��,第三方 合格于�����、被授權或有權利將數(shù)字數(shù)據(jù)寫入目標SSD�,以及目標SSD合格于、被授權或有權利 備份源SSD���。圖10示出了根據(jù)例子實施例的將SSD(在這里被稱為“源SSD”)的數(shù)字數(shù)據(jù)備份 到另一 SSD(在這里被稱為“目標SSD”)中的高層方法���。將結(jié)合圖3描述圖10�����。假設源SSD 350包含或存儲有包括不能被傳輸?shù)讲缓细裨O備(即由其備份)的受 保護數(shù)據(jù)的數(shù)字數(shù)據(jù)�,以及用戶想要將源SSD 350的數(shù)字數(shù)據(jù)備份到目標SSD 360中,用戶 將源SSD 350插入卡閱讀器330并將目標SSD 360插入卡閱讀器�����;340,并在步驟1010處�,調(diào) 用主機設備320上的用戶應用370以提示第三方310執(zhí)行數(shù)據(jù)備份過程、或開始與源SSD 350和目標SSD 360的數(shù)據(jù)備份會話��。數(shù)據(jù)備份過程包括兩個單獨的階段“備份SSD準備”階段�,其中第三方310在步 驟1020處執(zhí)行以使備份SSD(在該例子中為目標SSD 360)為備份數(shù)據(jù)做好準備;以及“備 份SSD使用準備”階段����,其中第三方310在步驟1040處執(zhí)行以使備份SSD可用或可操作。 為了使數(shù)據(jù)備份過程發(fā)生�,需要滿足多個備份合格性先決條件,如這里所說明的�����。使備份SSD做好準備(即將SSD準備為備份設備)通常意味著將被備份的SSD (即 源SSD)的數(shù)字數(shù)據(jù)拷貝到備份SSD(即目標SSD)�����,并將備份SSD保持在睡眠狀態(tài)(即無效�、 不可操作、不可用或禁用)��,至少使得只要存儲在被備份的SSD中(即源中)的原始數(shù)字數(shù) 據(jù)由其合法用戶或所有人使用或可以使用,就不能由任何設備使用其數(shù)字數(shù)據(jù)����。假設滿足 合格性先決條件,第三方310在源SSD 350和目標SSD 360之間建立虛擬安全信道����,并將源 SSD 350的數(shù)字數(shù)據(jù)通過所建立的虛擬安全信道拷貝到目標SSD 360。在第三方310將目標SSD 360準備為備份之后��,在步驟1030處�,它等待用戶應用 370發(fā)布備份請求��。備份請求也被稱為“SSD交換指令”以操作性地交換兩個SSD����。如果用戶 應用370還沒有發(fā)布交換指令(步驟1030處的“N”所示),則第三方310繼續(xù)(步驟1035 處所示)等待交換指令���。如果源SSD 350被偷���、丟失或損壞了��,則它的合法用戶可以調(diào)用用戶應用370來向 第三方310發(fā)送SSD交換指令。當從用戶應用370接收SSD交換指令(步驟1030處的“Y” 所示)時�、同時、之后或響應于此����,第三方310使備份SSD(例如目標SSD 360)為使用做好 準備。第三方310需要使備份SSD為使用做好準備���,因為在該時期中備份SSD禁用�;S卩���,從 源SSD拷貝到此的數(shù)字數(shù)據(jù)不可用���。在下面描述的圖11中更詳細闡述將SSD準備為備份 SSD并使備份SSD為使用做好準備。圖11示出了根據(jù)例子實施例的將SSD準備為備份SSD���、并在這之后使備份SSD為 使用做好準備的方法�����。將結(jié)合圖3來描述圖11����。用戶將源SSD插入主機設備系統(tǒng)305,并在步驟1105處調(diào)用主機設備系統(tǒng)305上 的用戶應用370來提示第三方310執(zhí)行數(shù)據(jù)備份過程或開始與源SSD 350和目標SSD 360 的數(shù)據(jù)備份會話��。如上面結(jié)合圖10所描述的��,數(shù)據(jù)備份過程包括第三方310準備備份SSD 的第一階段����、以及第三方使備份SSD為使用做好準備的第二階段。準備備份SSD在可以將目標SSD 360準備為源SSD 350的備份SSD之前�����,源SSD ���;350�、目標SSD360(即�����,期望的或潛在的備份SSD)和第三方310需要滿足合格性先決條件�。例如,在步驟 1110處�����,第三方310檢查源SSD 350是否合格于由目標SSD備份或者由另一 SSD針對該情 況備份����。如果第三方310確定源SSD 350不合格于由目標SSD備份(如步驟1110處的“N” 所示),則第三方310終止或中斷數(shù)據(jù)備份過程����。然而,如果第三方310確定源SSD 350合 格于由目標SSD 360備份(如步驟1110處的“Y”所示)���,則在步驟1115處第三方310(通 過通信線380��、數(shù)據(jù)網(wǎng)絡390和通信線35 建立與源SSD 350的第一安全信道��。與源SSD 350的第一安全信道是第三方310在之后在源SSD 350和目標SSD 360之間完成的虛擬安 全信道的一部分����。通常��,僅僅在目標SSD 360向第三方310證明它備份源SSD 350或備份 多個SSD的合格性之后���,第三方310才將完成虛擬安全信道��。在步驟1120處����,第三方310通過第一安全信道從源SSD 350讀取數(shù)字數(shù)據(jù)(包括 受保護數(shù)據(jù)),并且根據(jù)一個例子�����,保存所讀取的數(shù)字數(shù)據(jù)��,直到到達將它傳輸?shù)侥繕薙SD 360的時候�。根據(jù)另一例子,第三方310可以在將數(shù)字數(shù)據(jù)拷貝到目標SSD 360之后����,將所 讀取的數(shù)字數(shù)據(jù)保存額外時間段(例如月或年)。如果備份SSD也被偷�����、丟失或損壞了��,后 一例子也是有用的���,因為同樣地可以將數(shù)字數(shù)據(jù)存儲在另一 /新SSD中�。根據(jù)再一例子,第 三方310可以將所讀取的數(shù)字數(shù)據(jù)保存預定時間段(例如2天)�,在這之后,第三方310將 刪除它而不管是否將它拷貝到目標SSD 360或另一備份SSD�。如果第三方310刪除它的拷 貝,則它可以在之后從所牽涉的源SSD得到數(shù)字數(shù)據(jù)的另一拷貝�。在步驟1125處�����,第三方310檢查目標SSD 360是否合格于備份源SSD 350或針對 該情況的另一源SSD�����。如果第三方310確定目標SSD 360不合格于備份源SSD 350(如步 驟1125處的“N”所示)���,則第三方310終止或中斷數(shù)據(jù)備份過程���。然而,如果第三方310確 定目標SSD 360合格于備份源SSD 350(如步驟1125處的“Y”所示)�����,則在步驟1130處第 三方310(通過通信線380�����、數(shù)據(jù)網(wǎng)絡390和通信線36 建立與目標SSD 360的第二安全 信道,從而完成源SSD 350和目標SSD 360之間的虛擬安全信道��。在步驟1135處�,第三方 310通過第二安全信道將它之前通過第一安全信道從源SSD 350讀取的數(shù)字數(shù)據(jù)(包括受 保護數(shù)據(jù))拷貝到目標SSD 360。在將源SSD 350的數(shù)字數(shù)據(jù)拷貝到目標SSD 360之后�����, 并假設源SSD 350仍然由它的合法用戶或所有人使用���,在步驟1140處�,第三方310使目標 SSD 360禁用或無效��,使得它的數(shù)字數(shù)據(jù)不能由任何設備使用�����。在步驟1150處��,第三方310檢查是否從用戶應用370接收了 SSD交換指令�����。如果 沒有接收這樣的指令(如步驟1145處的“N”所示),則假設源SSD 350的用戶仍然可以使 用原始SSD (即源SSD 350)���,因此��,目標SSD 360仍然禁用���、不可操作、不可用或無效��,并且第 三方310繼續(xù)等待或等候(mute) (1150處所示)交換指令�。用“第三方310繼續(xù)等待”來 表示第三方310可以有效操作(“開啟”)并實際等待指令���、或者不可操作(“關閉”)�����。然 而����,因為由第三方310提供的服務是在線服務���,所以第三方310應該是有效操作的����,等待將 從用戶接收的備份請求或SSD交換指令���。在從用戶應用370接收SSD交換指令(如步驟1150處的“Y”所示)時����、之后或者 響應于此���,在步驟1155處�,第三方310啟用�����、激活或恢復目標SSD 360���,并在步驟1160處�,第 三方310禁用源SSD 350或使源SSD 350無效�����,以確保僅僅只有數(shù)字數(shù)據(jù)的一個拷貝可用�, 該拷貝從現(xiàn)在起是存儲在目標SSD 360中的拷貝�����。在源SSD 350被禁用之后���,要求啟用目標SSD 360 (備份SSD)以允許它而不是被禁用的SSD (即,不是源SSD 350)被使用����。因此,在步驟1165處�,啟用目標SSD 360,并在這 之后�,使用它就好像它是(取代)源SSD 350,這時�����,源SSD 350和目標SSD 360可以被認為
已經(jīng)交換了�。要注意的是���,可以以不同的順序來執(zhí)行至此描述的步驟(例如��,包括步驟1110至 1135)的順序�,因為第三方310可以在檢查源SSD 350的合格性之前或同時來檢查目標SSD 360的合格性,并在建立第一安全信道之前或同時來建立第二安全信道�����,取決于可能存在的 情況(即��,取決于由用戶應用370提供的特征和選項����,并取決于由用戶實際選擇的選項)。如果源SSD 350仍然可以由它的合法所有人或用戶使用���,則必須阻止任何設備對 目標SSD 360的使用(即對它的數(shù)字數(shù)據(jù)的使用)��。同樣地�����,如果因為一些原因�����、源SSD 350 的合法所有人或用戶想要使用目標SSD 360而不是源SSD 350���,則必須阻止任何設備對源 SSD 350的使用(即對它的數(shù)字數(shù)據(jù)的使用)��。如果阻止任何設備對SSD (例如源SSD 350 或目標SSD 360)的使用���,則阻止其使用的SSD可以被視為或認為“無效”、“不可操作”或“禁
田���,���,對上述目標禁用方法的一種替代,可以由第三方310在將數(shù)字數(shù)據(jù)傳輸?shù)侥繕?SSD 360之前或同時通過加密數(shù)字數(shù)據(jù)來禁用目標SSD 360��?�?梢酝ㄟ^使用只對第三方已 知的加密密鑰來加密數(shù)字數(shù)據(jù)�,使得傳輸?shù)侥繕薙SD 360的數(shù)字數(shù)據(jù)由于加密將不可由任 何設備/SSD使用。然而�����,如果設備/SSD從第三方310請求加密密鑰以解密所加密的數(shù)字 數(shù)據(jù)��,則在滿足上述相關先決條件之后第三方310服從該請求���。當完成將數(shù)字數(shù)據(jù)傳輸?shù)?目標SSD之后���,用戶應用370可以向用戶提供相應的消息(例如“備份過程完成”)。第三方310可以維持列出被撤銷(revoked)(即被禁用)的源SSD的SSD撤銷 (revocation)表格�。每次第三方310接收新的源SSD的標識符,第三方310用新的源SSD 填充SSD撤銷表格或更新該表格���。在第三方310將源SSD的數(shù)字數(shù)據(jù)拷貝到備份/目標SSD之前或緊跟在這之后��, 第三方310將源SSD標記為“被撤銷”(即被禁用)���。在第三方310從主機接收使用特定SSD的請求時、之后或響應于此��,第三方310搜 索SSD撤銷表格來尋找該特定SSD����,并且如果在該表格中該特定SSD被標記為“被撤銷”,則 第三方310向持有該特定SSD的主機發(fā)送消息��,“告訴”該主機該特定SSD被撤銷了��,因此不 應該使用它�。包括將主機的請求發(fā)送給第三方以使用特定SSD、并且第三方響應于該請求的過 程在這里被稱為“發(fā)布”或“發(fā)布源SSD的標識符”。第三方可以更新SSD表格�,并且每次每 隔一會兒將所更新的SSD表格發(fā)送給主機設備系統(tǒng)。SSD可以是閃存存儲器設備�����?�?梢詮娜缦录现羞x擇閃存存儲器設備���,包括(沒有 窮盡列出)信任閃存(Trusted Flash)設備��、安全數(shù)字(“SD”)���、迷你SD(miniSD)、微SD����、 硬驅(qū)動(“HD”)、存儲條(“MS”)����、USB設備、磁盤鑰匙盒(“DOK”)�、iNAND等�����。要注意的 是,源SSD和/或目的SSD可以是非閃存設備���。取決于上下文��,條目(articles) “一(a)”和“一(an) ”在這里被用來指該條目的 一個或多于一個(即至少一個)語法對象�����。通過例子的方式��,取決于上下文��,“元件”可以 表示一個元件或一個以上元件。術語“包括”在這里被用來表示短語“包括但不限于”����,并且 可以與該短語“包括但不限于”交換使用。術語“或”和“和”在這里被用來表示術語“和/或”��,并且可以與該術語“和/或”交換使用�,除非上下文清楚地指示相反的情況。術語“例 如”在這里用來表示短語“例如但不限于”,并且可以與該短語“例如但不限于”交換使用��。
至此描述了本發(fā)明的示范性實施例�����,對于本領域技術人員將明顯的是��,所公開的 實施例的修改將在本發(fā)明的范圍內(nèi)����。從而,替代實施例可以包括更多模塊���、更少模塊和/或 功能等價模塊�����。本公開與各種類型的安全大容量存儲設備相關��,例如SD驅(qū)動的閃存存儲 卡��、閃存存儲設備�、非閃存存儲設備等��。
權利要求
1.一種準備備份安全存儲設備的方法,包括a)確定源安全存儲設備是否被授權來傳遞將由目標存儲設備備份的安全數(shù)據(jù)�,所述源 安全存儲設備包含包括如果未被授權的話則不可由所述源安全存儲設備傳輸?shù)陌踩珨?shù)據(jù) 的數(shù)字數(shù)據(jù);b)確定所述目標安全存儲設備是否被授權來備份來自所述源安全存儲設備的安全數(shù) 據(jù)�;以及c)如果所述源安全存儲設備被授權來使其內(nèi)的安全數(shù)據(jù)由所述目標安全存儲設備備 份��、并且所述目標安全存儲設備被授權來備份來自所述源安全存儲設備的安全數(shù)據(jù)�,則在 所述源安全存儲設備和所述目標安全存儲設備之間建立安全信道,并將所述數(shù)字數(shù)據(jù)通過 所述安全信道從所述源安全存儲設備拷貝到所述目標安全存儲設備�����,使得所述目標安全存 儲設備中的所述數(shù)字數(shù)據(jù)的拷貝不可用直到所述目標安全存儲設備被啟用為止���。
2 如權利要求1所述的方法���,其中由所述源安全存儲設備、由所述目標安全存儲設備 或者由受信任第三方使所述目標安全存儲設備中的所述數(shù)字數(shù)據(jù)的拷貝不可用�����。
3.如權利要求1所述的方法����,其中在將所述數(shù)字數(shù)據(jù)從所述源安全存儲設備拷貝到所 述目標安全存儲設備之前�����、期間或之后��,使所述目標安全存儲設備中的所述數(shù)字數(shù)據(jù)的拷 貝不可用����。
4.如權利要求1所述的方法�����,其中通過如下中的任何一個來使所述目標安全存儲設備 中的所述數(shù)字數(shù)據(jù)的拷貝不可用(i)在將所述數(shù)字數(shù)據(jù)拷貝到所述目標安全存儲設備之 前或同時改變所述數(shù)字數(shù)據(jù)����,(ii)修改所述目標安全存儲設備的屬性,以及(iii)在所述 目標安全存儲設備處配置所拷貝的數(shù)字數(shù)據(jù)��。
5.如權利要求1所述的方法��,其中由所述目標安全存儲設備或者由受信任第三方進行 所述源安全存儲設備是否被授權來由所述目標存儲設備備份的確定��,以及其中由所述源安 全存儲設備或由所述受信任第三方進行所述目標安全存儲設備是否被授權來備份所述源 安全存儲設備的確定����。
6.如權利要求1所述的方法�����,還包括d)通過禁用所述源安全存儲設備使得所述源安全存儲設備中的數(shù)字數(shù)據(jù)不可用����、并啟 用所述目標安全存儲設備使得拷貝到此的數(shù)字數(shù)據(jù)可用���,將所述目標安全存儲設備準備為 用作備份安全存儲設備。
7.如權利要求6所述的方法��,其中通過受信任第三方發(fā)布所述源安全存儲設備的標識 符�,實現(xiàn)禁用所述源安全存儲設備,其中啟用所述目標安全存儲設備包括所述受信任第三 方恢復(i)所述目標安全存儲設備中的數(shù)據(jù)�����、或者(ii)所述目標安全存儲設備的屬性�����、或 者(iii)所述目標安全存儲設備的配置��。
8.如權利要求7所述的方法��,其中將所述源安全存儲設備的標識符從所述源安全存儲 設備(i)在相互認證期間、或作為嵌入在從所述源安全存儲設備拷貝到所述目標安全存儲 設備的所述數(shù)字數(shù)據(jù)中的數(shù)據(jù)���,傳輸?shù)剿瞿繕税踩鎯υO備�����,然后傳輸?shù)剿鍪苄湃蔚?三方�����,或者(ii)在相互認證期間�����、或作為嵌入在從所述源安全存儲設備拷貝到所述受信任 第三方的所述數(shù)字數(shù)據(jù)中的數(shù)據(jù)��,直接傳輸?shù)剿鍪苄湃蔚谌健?br>
9.如權利要求1所述的方法�����,還包括d)由所述源安全存儲設備或由所述目標安全存儲設備接收由用戶應用發(fā)起的備份請求��,以將所述源安全存儲設備的所述數(shù)字數(shù)據(jù)備份到所述目標安全存儲設備中�。
10.如權利要求5所述的方法����,還包括d)由所述源安全存儲設備確定所述受信任第三方是否被授權來接收所述源安全存儲 設備的所述數(shù)字數(shù)據(jù)����;以及e)如果所述源安全存儲設備被授權來被備份����、并且所述受信任第三方被授權來從所述 源安全存儲設備接收所述數(shù)字數(shù)據(jù),則在所述源安全存儲設備和所述受信任第三方之間建 立第一安全信道�,并將所述數(shù)字數(shù)據(jù)通過所述第一安全信道從所述源安全存儲設備拷貝到 所述受信任第三方。
11.如權利要求10所述的方法���,還包括f)由所述受信任第三方確定所述目標安全存儲設備是否被授權來接收所述數(shù)字數(shù)據(jù);以及g)如果所述目標安全存儲設備被授權來從所述受信任第三方接收所述數(shù)字數(shù)據(jù)���、并且 所述受信任第三方被授權來將所述數(shù)字數(shù)據(jù)發(fā)送給所述目標安全存儲設備����,則在所述源安 全存儲設備和所述受信任第三方之間建立第二安全信道���,并將所述數(shù)字數(shù)據(jù)通過所述第二 安全信道從所述受信任第三方拷貝到所述目標安全存儲設備��。
12.一種用于將一個安全存儲設備的數(shù)字數(shù)據(jù)備份到另一安全存儲設備中的受信任第 三方�����,所述受信任第三方包括a)認證管理器���,所述認證管理器被配置為(i)認證目標安全存儲設備����,所述目標安全 存儲設備包含源自源安全存儲設備的不可用的數(shù)字數(shù)據(jù)�����,所述數(shù)字數(shù)據(jù)包括不可傳輸?shù)轿?授權設備的安全數(shù)據(jù)���,以及(ii)與被認證的目標安全存儲設備建立安全信道����;b)存儲設備配置器���,(i)用于禁用所述源安全存儲設備以使存儲在其中的數(shù)字數(shù)據(jù)不可用;以及( )用于通過所述安全信道啟用所述目標安全存儲設備���,以使所述目標安全存儲設備 中的數(shù)字數(shù)據(jù)可用����。
13.如權利要求12所述的第三方,其中所述存儲設備配置器還被配置為通過恢復(i) 所述目標安全存儲設備中的被修改的數(shù)據(jù)����、或者(ii)所述目標安全存儲設備的被修改的 屬性、或者(iii)所述目標安全存儲設備的被修改的配置��,來啟用所述目標安全存儲設備���。
14.如權利要求12所述的第三方�,其中所述存儲設備配置器還被配置為從所述源安全 存儲設備或從所述目標安全存儲設備接收所述源安全存儲設備的標識符��,以及向所述源安 全存儲設備的主機發(fā)布所述標識符以禁用所述源安全存儲設備���。
15.如權利要求12所述的第三方,還包括c)數(shù)據(jù)讀/寫機構�����,被配置為從所述源安全存儲設備讀取所述數(shù)字數(shù)據(jù)����,并將所讀取 的數(shù)字數(shù)據(jù)通過安全信道寫入所述目標安全存儲設備。
16.如權利要求15所述的第三方����,其中所述認證管理器還被配置為在所述數(shù)據(jù)讀/寫 機構從所述源安全存儲設備讀取所述數(shù)字數(shù)據(jù)之前,認證所述源安全存儲設備�����,并向所述 源安全存儲設備認證所述第三方�。
17.如權利要求15所述的第三方,其中所述數(shù)據(jù)讀/寫機構從所述源安全存儲設備讀 取的所述數(shù)字數(shù)據(jù)包括所述源安全存儲設備的標識符���。
18.如權利要求17所述的第三方���,其中所述存儲設備配置器還被配置為通過向持有所述源安全存儲設備的主機發(fā)布所述源安全存儲設備的標識符,來禁用所述源安全存儲設 備�。
19.一種幫助將其中的受保護數(shù)據(jù)備份到目標安全存儲設備中的安全存儲設備,所述 安全存儲設備包括a)存儲數(shù)字數(shù)據(jù)的大容量存儲區(qū)域����,所述數(shù)字數(shù)據(jù)包括不可傳輸?shù)轿词跈嘣O備的安全 數(shù)據(jù);以及b)安全存儲控制器���,被配置為(i)確定目標安全存儲設備或受信任第三方是否被授權 來從那里接收所述數(shù)字數(shù)據(jù)��,如果是���,則在所述安全存儲控制器和所述目標安全存儲設備 之間或在所述安全存儲控制器和所述受信任第三方之間建立安全信道�����,以及(ii)通過相 應的安全信道直接或經(jīng)由所述受信任第三方將所述數(shù)字數(shù)據(jù)傳輸?shù)剿瞿繕税踩鎯υO 備來備份�。
20.如權利要求19所述的安全存儲設備�����,其中所述安全存儲控制器還被配置為禁用所 述目標安全存儲設備以使所傳輸?shù)臄?shù)字數(shù)據(jù)不可用�����。
21.如權利要求20所述的安全存儲設備�,其中所述安全存儲控制器在所述安全存儲控 制器將所述數(shù)字數(shù)據(jù)傳輸?shù)剿瞿繕税踩鎯υO備或所述第三方之前��、期間或之后����,使所 傳輸?shù)臄?shù)字數(shù)據(jù)不可用。
22.如權利要求19所述的安全存儲設備�,其中所述安全存儲控制器還被配置為將所述 源安全存儲設備的標識符直接或經(jīng)由所述目標安全存儲設備傳輸?shù)剿龅谌剑允顾?第三方使用所述標識符來禁用所述安全存儲設備��。
23.如權利要求22所述的安全存儲設備�����,其中所述安全存儲控制器在與所述第三方或 目標安全存儲設備的相互認證期間���、或作為嵌入在所傳輸?shù)臄?shù)字數(shù)據(jù)中的數(shù)據(jù),將所述標 識符傳輸?shù)剿龅谌交蛩瞿繕税踩鎯υO備�����。
24.如權利要求19所述的安全存儲設備��,其中所述安全存儲控制器還被配置為(iii) 確定源安全存儲設備是否被授權來向所述安全存儲設備發(fā)送包括如果未被授權的話則不 可由所述源安全存儲設備傳輸?shù)陌踩珨?shù)據(jù)的數(shù)字數(shù)據(jù)���,以及如果是��,(ii)在所述安全存儲 設備和所述源安全存儲設備或所述第三方之間建立安全信道����,并通過各自的安全信道直接 從所述源安全存儲設備或經(jīng)由所述第三方接收所述源安全存儲設備的數(shù)字數(shù)據(jù)。
25.如權利要求M所述的安全存儲設備��,其中����,如果從所述源安全存儲設備接收的數(shù) 字數(shù)據(jù)可用�,則所述安全存儲控制器還被配置為禁用所述安全存儲設備,使得從所述源安 全存儲設備接收的數(shù)字數(shù)據(jù)被呈現(xiàn)不可用����。
26.如權利要求25所述的安全存儲設備,其中所述安全存儲控制器通過如下中的任何 一個來使所述源安全存儲設備中的數(shù)字數(shù)據(jù)不可用(i)改變所述安全存儲設備中的數(shù)字 數(shù)據(jù)��,或者(ii)修改所述安全存儲設備的屬性�����,或者(iii)配置從所述源安全存儲設備拷 貝到所述安全存儲設備的數(shù)字數(shù)據(jù)��。
27.如權利要求沈所述的安全存儲設備�����,其中所述安全存儲控制器還被配置為通過使 所述安全存儲設備中的不可用的數(shù)字數(shù)據(jù)可用���,來將所述安全存儲設備準備為用作備份安 全存儲設備�����。
28.如權利要求27所述的安全存儲設備����,其中所述安全存儲控制器通過恢復所述安全 存儲設備中的數(shù)據(jù)�、所述目標安全存儲設備的配置或者所述目標安全存儲設備的屬性��,來使所述安全存儲設備中的數(shù)字數(shù)據(jù)可用����。
29.如權利要求27所述的安全存儲設備,其中作為準備所述安全存儲設備以作為備份 安全存儲設備來操作的一部分���,所述安全存儲控制器將所述源安全存儲設備的標識符發(fā)送 給所述第三方�,以由所述第三方將它發(fā)布給持有所述源安全存儲設備的主機�����,使得存儲在 所述源安全存儲設備中的數(shù)字數(shù)據(jù)不可用�����。
30.如權利要求四所述的安全存儲設備,其中所述安全存儲控制器直接從所述源安全 存儲設備或經(jīng)由所述受信任第三方接收所述源安全存儲設備的標識符�。
全文摘要
第三方幫助準備備份SSD以備份源SSD。通過并經(jīng)由第三方或者直接從源SSD但在第三方的監(jiān)管下��,將包括受保護和敏感數(shù)據(jù)和信息的源SSD的數(shù)字數(shù)據(jù)拷貝到備份SSD����。在嚴格的規(guī)則下,并且僅僅在每一方(即源SSD�、目標SSD和第三方)向它與之一起操作的相對方設備證明它被授權來發(fā)送數(shù)字數(shù)據(jù)或從那里接收數(shù)字數(shù)據(jù)(取決于該方與之一起操作的設備)的情況下,才將源SSD的數(shù)字數(shù)據(jù)拷貝到備份SSD����。
文檔編號G06F21/00GK102084373SQ200980125995
公開日2011年6月1日 申請日期2009年7月20日 優(yōu)先權日2008年8月4日
發(fā)明者羅特姆·西拉, 阿維亞德·澤 申請人:桑迪士克以色列有限公司