專利名稱::用于經(jīng)由詢問-響應(yīng)協(xié)議的加密帶訪問控制的系統(tǒng)和方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及用于安全處理和加密可移除介質(zhì)中(如計算機帶和帶驅(qū)動器上)的數(shù)據(jù)的技術(shù)�����。
背景技術(shù):
:越來越多的數(shù)據(jù)被寫入帶作為加密數(shù)據(jù)�����,以便在運送中保護該信息���。該數(shù)據(jù)通常通過對稱密鑰加密�,并且需要擁有該密鑰來解密帶�。也稱為密秘密鑰密碼術(shù)(cryptography)的對稱加密是指這樣的加密方案,其中加密方(或設(shè)備)和解密方(或設(shè)備)共享單個�����、公共密鑰值�。使用僅僅一個密鑰或口令值的對稱加密,傾向于更簡單和更快執(zhí)行����。一種常用的對稱加密方案是數(shù)據(jù)加密標準("DES")。例如�����,如果將一組數(shù)據(jù)庫記錄寫入帶中以準備將帶從一個數(shù)據(jù)中心運輸?shù)搅硪粋€中心��,則管理員可以指定用于DES加密例程的口令�����,該DES加密例程然后在數(shù)據(jù)存儲在帶上時會加密所述數(shù)據(jù)���。該管理員然后會與在目的數(shù)據(jù)中心的預(yù)定接收者管理員安全地共享所述口令��。如果在運送期間����,帶被盜、丟失或復(fù)制�,則企圖解密該數(shù)據(jù)的個人和系統(tǒng)將不能解密,除非他或她擁有秘密密鑰(例如��,口令)或者加密破解(bust)工具�����。更普遍的是口令會被泄漏(compromise),而加密破解工具對較弱的加密方案也是可用的�����。當帶到達其目的數(shù)據(jù)中心時�����,第二管理員接著會安裝帶��,將口令提供給DES解密例程����,并且接著當從該帶讀取數(shù)據(jù)時,數(shù)據(jù)會被解密并且本地(如在數(shù)據(jù)庫中)存儲�����。同樣�����,在僅僅能夠訪問帶允許加載密鑰并且讀取數(shù)據(jù)的情況下�����,現(xiàn)有的解密帶的手段是基于通過外部實體加載到讀取帶驅(qū)動器的加密密鑰�����。這提供了難以自動操作的相對不安全的環(huán)境��。因此���,本領(lǐng)域存在對相對容易操作而又提供數(shù)據(jù)安全的計算機介質(zhì)加密和解密方法和系統(tǒng)的需要���。
發(fā)明內(nèi)容本發(fā)明和相關(guān)發(fā)明的發(fā)明人已經(jīng)認識到�,本領(lǐng)域中未處理的問題是現(xiàn)有的帶加密和處理方法容易使用�,但也容易泄漏并且難以自動操作。在加載帶時以及在執(zhí)行任何數(shù)據(jù)讀取之前���,本發(fā)明通過主機系統(tǒng)來自動操作帶加載和解密過程����,該主機期望讀取多數(shù)向帶驅(qū)動器證明它擁有關(guān)于帶自身的某些知識的數(shù)據(jù)�。這通過帶驅(qū)動器發(fā)出"詢問(challenge)"、所述主機用已知信息置換詢問���、以及帶驅(qū)動器確認該置換是期望的來執(zhí)行��。同樣�����,增強了帶讀取系統(tǒng)和在該帶上的數(shù)據(jù)格式���,以便使用更強大的加密形式并且使用"詢問-響應(yīng)"iU正方案。當在此結(jié)合附圖呈現(xiàn)時����,下面的詳細描述提供了本發(fā)明的充分公開����。圖1描述了根據(jù)本發(fā)明的數(shù)據(jù)結(jié)構(gòu)���。圖2a和2b示出通用計算平臺結(jié)構(gòu)和這樣的計算平臺結(jié)構(gòu)的軟件和固件的通用組織。圖3a提出將軟件部署到客戶端的邏輯過程��,其中部署的軟件體現(xiàn)了本發(fā)明的方法和過程�����。圖3b提出用于將軟件集成到其它軟件程序的邏輯過程����,其中集成的軟件體現(xiàn)了本發(fā)明的方法和過程。圖3c提出在按需求計算系統(tǒng)中代表客戶端機執(zhí)行軟件的邏輯過程���,其中執(zhí)行的軟件體現(xiàn)了本發(fā)明的方法和過程�。圖3d提出經(jīng)由虛擬個人網(wǎng)絡(luò)將軟件部署到客戶端的邏輯過程��,其中部署的軟件體現(xiàn)了本發(fā)明的方法和過程�����。圖4a、4b和4c圖示各種可移除和固定類型的計算機可讀介質(zhì)�����、信號收發(fā)機以及并到串到并信號電路�。圖5a和5b圖示根據(jù)本發(fā)明安排和相互操作的各部件和各系統(tǒng)之間的通信和相互作用。圖6提出根據(jù)本發(fā)明的系統(tǒng)和組件的安排�。圖7a和7b提出根據(jù)本發(fā)明、用于創(chuàng)建數(shù)據(jù)結(jié)構(gòu)并且控制訪問可移除的計算機介質(zhì)上的加密數(shù)據(jù)的邏輯過程���。具體實施例方式系統(tǒng)圖��。圖6提出根據(jù)本發(fā)明的組件和系統(tǒng)的安排(60),包括系統(tǒng)(62)�,用于創(chuàng)建或發(fā)起在其上或之中存儲加密的數(shù)據(jù)的可移除的計算機可讀介質(zhì)(61)����。可應(yīng)用本發(fā)明的一些常用的可移除介質(zhì)(61)包括計算機帶和帶盒(tapecartridge)(52)�����、軟盤(43)�、可移除硬盤驅(qū)動器(40)、閃存或拇指驅(qū)動器(49)�����、致密盤(例如,CD���、CD-ROM��、CD-R���、CD-RW等)和數(shù)字多功能盤(例如���,DVD����、DVD-R����、DVD-RW等)、可移除存儲器模塊(401)����、以及各種存儲器卡(例如,CompactFLASH(致密閃存)�����、SecureDataSD(安全數(shù)據(jù)SD)、SonyMemoryStick[TM](索尼記憶棒)等)(47)�。本發(fā)明不限于應(yīng)用到這些具體介質(zhì),而是還可以和其它類型的可移除計算并幾介質(zhì)一起使用��,在該可移除計算機介質(zhì)上存儲或編碼了加密的數(shù)據(jù)�。貫穿本公開的剩余部分,我們將參照使用計算機帶的所有類型的可移除介質(zhì)作為代表性例子����。介質(zhì)(61)被傳送到兼容的閱讀器或驅(qū)動器(63),并且互連到目的系統(tǒng)(64)。根據(jù)本發(fā)明�����,目的系統(tǒng)(64)的認證過程完全自動操作�,因此不必提供管理員來操作本發(fā)明,或者如果提供了管理員�,則也不要求管理員相互作用。數(shù)據(jù)結(jié)構(gòu)�����。圖1圖示(100)根據(jù)本發(fā)明的數(shù)據(jù)結(jié)構(gòu),其被放置在可移除計算機可讀介質(zhì)或多種介質(zhì)(61)之上或之中�。提供了至少一個頭區(qū)域(101),其與一個或多個加密的數(shù)據(jù)區(qū)域(102)(如加密的數(shù)據(jù)塊或文件)相關(guān)聯(lián)。在該頭內(nèi)�����,至少存儲了一個非對稱加密的對稱加密密鑰EEK(103)���、以及至少一個相關(guān)聯(lián)的公共非對稱加密密鑰KEK-PUB(104),它們都與至少一個加密的數(shù)據(jù)區(qū)域(102)相關(guān)聯(lián)����。通用邏輯過程����。圖7a和7b圖示根據(jù)本發(fā)明的通用邏輯過程�。在圖7a中,示出了創(chuàng)建(70)—個或多個可移除計算機可讀介質(zhì)(61)的一般過程�����,其中管理員指定的對稱加密密鑰("EK")是用非對稱加密密鑰(例如���,密鑰加密密鑰或KEK)編碼(71),以便產(chǎn)生非對稱加密的對稱加密密鑰("EEK")的自身����。EEK和非對稱加密密鑰的公共部分("KEK-PUB")的副本一起存儲(72)在介質(zhì)(61)的頭中。接著���,使用EK對一個或多個數(shù)據(jù)塊��、數(shù)據(jù)文件��、記錄等對稱地加密(73),并且在介質(zhì)(61)之上或之中存儲或編碼(74)該加密的數(shù)據(jù)�����。介質(zhì)(61)接著被移除并且傳送到目的系統(tǒng)����。圖7b示出了根據(jù)本發(fā)明的通用邏輯過程(700),用于確定目的系統(tǒng)是否被授權(quán)來訪問數(shù)據(jù)��、以及允許它對該數(shù)據(jù)解密而不需要管理員共享秘密密鑰���。首先��,可移除介質(zhì)(61)用這樣的方式^皮接收����、安裝、插入�、裝配或部署(701),使得兼容的閱讀器或驅(qū)動器能夠訪問在所述介質(zhì)之上或之中編碼或存儲的數(shù)據(jù)。由驅(qū)動器或閱讀器生成(702)了隨機值(例如�����,"臨時用語(nonce)"),其與非對稱加密密鑰的公共部分("KEK-PUB�,,)一起^f皮發(fā)送(703)到目的主機��。目的主機接收所述臨時用語和KEK-PUB,并且使用該KEK-PUB選擇(704)匹配私有非對稱加密密鑰("KEK-PRIV")�。接著使用KEK-PRIV來標記所述臨時用語,并且將標記的臨時用語返回(706)到驅(qū)動器或閱讀器�。驅(qū)動器或閱讀器接著驗證來自主機的被標記的值匹配所述臨時用語,并且如果是這樣����,則閱讀器、主機或其兩者合作�,在對來自介質(zhì)(61)的數(shù)據(jù)解密(709)之后�����,使用KEK-PRIV完成對稱加密密鑰EK的解密(708)���。詳細的示例實施例����。圖5a和5b以更詳細的信號流格式,提供了根據(jù)本發(fā)明的示例性實施例���,以便圖示在根據(jù)本發(fā)明安排的各組件和各種系統(tǒng)之間的相互作用����?���;氐綀D5a,根據(jù)本發(fā)明的第一個方面����,對稱加密密鑰EK以頭(501)數(shù)據(jù)結(jié)構(gòu),通過帶創(chuàng)建系統(tǒng)(51)存儲在計算機帶(52)中�����,該數(shù)據(jù)結(jié)構(gòu)自身使用我們稱之為密鑰加密密鑰或KEK的非對稱加密密鑰來加密�����。帶創(chuàng)建管理員或用戶指定用于"隱藏(wrap)"EK的KEK的公共部分,導(dǎo)致非對稱地加密的對稱加密密鑰EEK被存儲在所述帶上�����。另外���,非對稱密碼密鑰的公共部分KEK-PUB(502)部署在所述帶上�����。接著��,在使用EK通過對稱密鑰過程已經(jīng)被加密之后���,該數(shù)據(jù)(503)部署在所述帶上。根據(jù)本發(fā)明的另一個方面���,當所述帶被讀取或被加載到另一個計算機系統(tǒng)(54)中時���,將帶(52)插入帶驅(qū)動器(53),并且?guī)?qū)動器的固件從帶讀取頭信息。該帶驅(qū)動器生成已知長度的隨機值(例如����,"臨時用語"),如20比特的臨時用語����,該帶驅(qū)動器保持該隨機值,并且還發(fā)送到試圖讀取所述帶數(shù)據(jù)(504)的主機系統(tǒng)���。主機系統(tǒng)還由帶驅(qū)動器提供有公共密鑰KEK-PUB(504),以便用于響應(yīng)所述"詢問"����,并且最終解碼頭中的EK�����。所述主機系統(tǒng)接收臨時用語和KEK-PUB(502�����,504),使用該KEK-PUB確定(5100)使用哪個私有密鑰("KEK-PRIV��,���,)�,并且接著使用選擇的KEK-PRIV標記臨時用語�����,并且將它(505)返回到帶驅(qū)動器(53)。接著��,帶驅(qū)動器(53)使用從帶頭中得知的KEK-PUB(502)來檢驗由主機標記的值與發(fā)送到該主機的臨時用語相同���。如果是這樣���,則這成功地完成了詢問(發(fā)出臨時用語和KEK-PUB到主機)和響應(yīng)(主機對KEK-PRIV的正確選擇和對臨時用語的標記)過程,這證明主機被允許訪問該帶數(shù)據(jù)����。最后,根據(jù)本發(fā)明的另一個方面���,在使用解密的EK解密(5400)帶的加密數(shù)據(jù)和匹配對稱解密過程之后��,主機從帶驅(qū)動器接收KEK保護的EK(501)�����,使用選擇的和證實的KEK-PRIV解密(5300)對稱的EK���。該示例實施例(50)假設(shè)�,帶驅(qū)動器不解密用于主機的所述帶數(shù)據(jù)�,而替代地將該加密的數(shù)據(jù)提供給主機并且主機解密該數(shù)據(jù)�����。然而�����,如圖5b所示�,根據(jù)本發(fā)明的另一個實施例,如果主機提供正確的對稱加密密鑰(506)��,則為了執(zhí)行帶數(shù)據(jù)解密(5400�����,)的帶驅(qū)動器調(diào)整該過程(50��,)的后面部分��。所以����,在本發(fā)明實施例的該變化中�����,主機使用在詢問-�。向應(yīng)階段期間選擇(5100)的KEK-PRIV解密(5300)EK��,并且接著將該EK(506)發(fā)送到帶驅(qū)動器(53)�����。帶驅(qū)動器(53)接著解密(5400����,)該帶數(shù)據(jù),并且將該未保護的或解密的數(shù)據(jù)(507)發(fā)送到主機�。適合的加密方法。任何適合的標準或?qū)S械姆菍ΨQ加密方案可以用于保護對稱加密密鑰�。例如,能夠利用根據(jù)公知的Rivest-Shamir-Adlema("RSA����,,)方案����、公知的"prettygoodprivacy(絕對私密)"("PGP")����,或者根據(jù)公知的數(shù)字簽名算法("DSA")的非對稱加密�。對于對稱加密方案,可以利用公知過程如DES或DESX����。適合的計算平臺���。在本發(fā)明的一個實施例中�,通過由計算機(如嵌入式微控制器����、個人計算機、web服務(wù)器����、web瀏覽器)或甚至適當?shù)啬軌虮銛y的計算平臺(如個人數(shù)字助理("PDA")、web使能的無線電話或其它類型的個人信息管理("PIM")設(shè)備)執(zhí)行的軟件�,部分或全部地執(zhí)行前面描述的邏輯過程。因此���,回顧(review)計算平臺的通用結(jié)構(gòu)是有用的����,該計算平臺可以跨越從高端web或企業(yè)服務(wù)器平臺到個人計算機、到便攜式PDA或web使能的無線電話的實施范圍��。轉(zhuǎn)到圖2a,呈現(xiàn)了包括中央處理單元(21)("CPU")的通用結(jié)構(gòu)�����,該CPU典型地包括與隨機存取存儲器("RAM")(24)和只讀存儲器("ROM")(25)相關(guān)聯(lián)的微處理器(22)�。通常,CPU(21)還配備有高速緩沖存儲器(23)和可編程快閃ROM(26)�。在微處理器(22)和各種類型的CPU存儲器之間的接口(27)通常被稱作為"本地總線",但也可以是更通用的或工業(yè)標準總線�����。許多計算平臺還提供有一個或多個存儲驅(qū)動器(29)����,如硬盤驅(qū)動器("HDD")、軟盤驅(qū)動器�����、致密盤驅(qū)動器(CD、CD-R�����、CD-RW�����、DVD���、DVD-R等)、以及專用盤和帶驅(qū)動器(例如��,IomegaZip[TM]和Jaz[TM]����、AddonicsSuperDisk(超級盤)[TM]等)。此外����,可以通過計算機網(wǎng)絡(luò)訪問某些存儲驅(qū)動器。根據(jù)計算平臺的預(yù)期功能�����,許多計算平臺提供有一個或更多通信接口(210)。例如��,個人計算機通常提供有高速串行端口(RS-232�����、RS-422等)���、增強型并行端口("EPP�����,�,)���、以及一個或更多通用串行總線("USB")端口����。該計算平臺還可以提供有局域網(wǎng)("LAN���,���,)接口�,如以太網(wǎng)卡和其它高速接口(如高性能串行總線IEEE-1394)����。計算平臺(如無線電話和無線網(wǎng)絡(luò)的PDA)也還可以提供有帶天線的射頻("RF,)接口����。在一些情形中,計算平臺還可以提供有紅外數(shù)據(jù)協(xié)議(arrangement)("IrDA")4妻口��。計算平臺通常配備有一個或更多內(nèi)部擴展槽(211)(如工業(yè)標準結(jié)構(gòu)("ISA")�、增強型工業(yè)標準結(jié)構(gòu)("EISA")、外圍部件互連("PCI"))�����、或用于添加其它硬件(如聲卡����、存儲器板和圖形加速器)的專用接口槽���。此外�,許多單元(如膝上型計算機和PDA)提供有一個或更多外部擴展槽(212),其允許用戶能夠容易地安裝和移除硬件擴展設(shè)備���,如PCMCIA卡�����、智能介質(zhì)卡和各種專用模塊(如可移除硬盤驅(qū)動器�、CD驅(qū)動器和軟盤驅(qū)動器)。通常���,存儲驅(qū)動器(29)�����、通信接口(210)�、內(nèi)部擴展槽(211)和外部擴展槽(212)經(jīng)由標準或工業(yè)開放總線結(jié)構(gòu)(28)(如ISA��、EISA或PCI)與CPU(21)互連���。在許多情形中�����,總線(28)可以是專用設(shè)計���。計算平臺通常提供有一個或更多用戶輸入設(shè)備����,如^:盤或鍵區(qū)(216)����、以及鼠標或指示器設(shè)備(217)、和/或觸摸屏顯示器(218)�。在個人計算機的情形中,全尺寸(foilsize)的鍵盤通常與鼠標或指示設(shè)備(如跟蹤球或TrackPoint[TM])—起提供�。在web使能的無線電話的情形中,簡單的鍵區(qū)可以提供有一個或多個特定功能鍵����。在PDA的情形中,觸摸屏(218)通常經(jīng)常提供有手寫識別能力���。此外��,給計算平臺提供麥克風(219)(如web使能的無線電話的麥克風或個人計算機的麥克風)。該麥克風可以用于簡單報告音頻和視頻信號��,并且它還可以用于使用語音識別能力���,輸入用戶選擇如web站點的語音導(dǎo)航或自動撥打電話號碼�。許多計算平臺還可以配備有相機設(shè)備(2100),如靜止數(shù)字相機或全運動(fullmotion)岸見頻凄t字相才幾。給大多數(shù)的計算平臺還提供有一個或更多用戶輸出設(shè)備�����,如顯示器(213)��。顯示器(213)可以采用許多形式���,包括陰極射線管("CRT�����,�����,)����、薄膜晶體管("TFT")陣列����、或僅僅一組發(fā)光二極管("LED")或液晶顯示器("LCD")指示器。一個或更多揚聲器(214)和/或報警器(annunciator)(215)也經(jīng)常與各計算平臺相關(guān)聯(lián)。揚聲器(214)可以用于再現(xiàn)音頻和音樂�����,如無線電話的揚聲器或個人計算機的揚聲器�����。報警器(215)可以采用通常在某些設(shè)備上(如PDA和PIM)發(fā)現(xiàn)的簡單的嘟嘟發(fā)聲器或蜂鳴器的形式�。這些用戶輸入和輸出設(shè)備可以經(jīng)由專用總線結(jié)構(gòu)和/或接口直接互連(28,�����、28��,���,)到CPU(21),或者它們可以通過一個或多個工業(yè)開放總線(如ISA�����、EISA����、PCI等)互連�����。計算平臺還提供有一個或多個軟件和固件(2101)程序��,用于實現(xiàn)各計算平臺期望的功能?���,F(xiàn)在回到圖2b,在計算平臺的該范圍內(nèi),對軟件和固件(2101)的通用組織給出了更多的細節(jié)���。在計算平臺上����,可以提供一個或更多操作系統(tǒng)("OS")本地應(yīng)用程序(223),如字處理器�、電子表格、合同管理實用程序���、通訊簿���、日歷、電子郵件客戶端���、演示����、財務(wù)和報表記錄程序。此外���,可以提供一個或多個"可移植"或與設(shè)備無關(guān)的程序(224)����,其必須由OS本地特定平臺解釋程序(225)(如Java[TM]腳本和程序)解釋����。通常,計算平臺還提供有web瀏覽器或微瀏覽器(226)的形式�����,該瀏覽器還可以包括一個或多個對瀏覽器的擴展(如瀏覽器插件(227))��。計算設(shè)備通常提供有操作系統(tǒng)(220)���,如MicrosoftWindows[TM]��、UNIX�����、IBMOS/2[TM]�、IBMAIX[TM]�、開放源LINUX、蘋果的MACOS[TM]�����、或其它平臺專用的操作系統(tǒng)���。較小的設(shè)備(如PDA和無線電話)可以裝備有其它形式的操作系統(tǒng)����,如實時操作系統(tǒng)("RTOS")或掌上型計算的PalmOS[TM]�����。通常提供一組基本輸入輸出功能("BIOS")和硬件設(shè)備驅(qū)動器(221),以允許操作系統(tǒng)(220)和各程序與給計算平臺提供的各特定硬件功能接口并對其控制�。此外,通常給許多計算平臺提供一個或多個嵌入式固件程序(222),其由作為外圍設(shè)備(如微控制器或硬盤驅(qū)動器���、通信處理器�����、網(wǎng)絡(luò)接口卡或聲音或圖形卡)的部分的板上或"嵌入式"微處理器執(zhí)行��。這樣���,圖2a和2b從一般意義上描述了廣泛的多種計算平臺的各種硬件部件���、軟件和固件程序,所述計算平臺包括但不限于個人計算機�����、PDA����、PIM、web使能的電話和其它應(yīng)用(如WebTV[TM]單元)���。這樣�,我們現(xiàn)在把我們的注意力轉(zhuǎn)到本發(fā)明的公開內(nèi)容�,其涉及在這樣的計算平臺上優(yōu)選實現(xiàn)為軟件和固件的過程和方法。本領(lǐng)域技術(shù)人員將容易認識到�����,以下各方法和各過程部分或整體可以替代地實現(xiàn)為硬件功能,而不偏離本發(fā)明的精神和范圍�。基于服務(wù)的實施例本發(fā)明的替代實施例包括本發(fā)明的一些或全部的前述邏輯過程和功能����,其通過配置軟件�����、部署軟件�����、下載軟件和分發(fā)軟件或在按需求環(huán)境中的遠程服務(wù)客戶端提供���,以提供對先進的洗衣機的邏輯控制過程���。軟件部署實施例。根據(jù)本發(fā)明的一個實施例���,本發(fā)明的各方法和各過程由服務(wù)提供商作為服務(wù)��,分發(fā)或部署到客戶端的(各)計算系統(tǒng)��。轉(zhuǎn)到圖3a,通過確定(3001)當處理軟件被執(zhí)行時�、是否存在將在服務(wù)器或各服務(wù)器中駐留的任何程序,部署過程開始(3000)���。如果是這樣��,則識別將包括可執(zhí)行程序(executable)的服務(wù)器(309)����。用于該服務(wù)器或各服務(wù)器的處理軟件經(jīng)由FTP或一些其它協(xié)議����、或通過使用共享文件系統(tǒng)復(fù)制,被直接傳輸?shù)礁鞣?wù)器存儲器(310)�����。該處理軟件然后安裝在各服務(wù)器(311)上����。接著通過讓用戶訪問服務(wù)器或各服務(wù)器的處理軟件,做出是否要部署該處理軟件的確定(3002)���。如果用戶將訪問各服務(wù)器上的處理軟件�����,則識別將存儲該處理軟件的服務(wù)器地址(3003)�����。在步驟(3004)中�����,通過經(jīng)由電子郵件將處理軟件發(fā)送到用戶���,做出是否要部署該處理軟件的確定。將部署處理軟件的用戶組與用戶客戶端計算機一起被識別(3005)�。處理軟件經(jīng)由電子郵件發(fā)送到每個用戶的客戶端計算機。用戶然后接收電子郵件(305),并且然后將處理軟件從電子郵件分派到他們的客戶端計算機上的目錄(306)����。用戶執(zhí)行在他的客戶端計算機上安裝處理軟件的程序(312),然后退出該過程(3008)。對是否要建立代理服務(wù)器來存儲處理軟件做出確定(300)����。代理服務(wù)器是位于客戶端應(yīng)用(如web瀏覽器)和真實服務(wù)器之間的服務(wù)器�。它翻譯到真實服務(wù)器的所有請求���,以知道是否它自身能夠?qū)崿F(xiàn)該請求�����。如果不能���,則它將該請求轉(zhuǎn)發(fā)給真實服務(wù)器。代理服務(wù)器的兩個主要益處是改善性能并且過濾請求���。如杲請求了代理服務(wù)器�,則安裝代理服務(wù)器(301)�����。處理軟件經(jīng)由協(xié)議(如FTP)發(fā)送到服務(wù)器�����,或經(jīng)由文件共享直接從源文件復(fù)制到服務(wù)器文件(302)�����。另一個實施例將是發(fā)送事務(wù)(transaction)給包括處理軟件的各服務(wù)器,并且讓服務(wù)器處理該事務(wù)�����,然后接收該處理軟件并且將其復(fù)制到服務(wù)器的文件系統(tǒng)�。一旦處理軟件存儲在服務(wù)器,用戶就經(jīng)由他們的客戶端計算機訪問服務(wù)器上的處理軟件��,并且將其復(fù)制到他們的客戶端計算機文件系統(tǒng)(303)�����。另一個實施例是讓服務(wù)器自動將處理軟件復(fù)制到每個客戶端��,然后在每個客戶端計算機運行該處理軟件的安裝程序�����。用戶執(zhí)行在他的客戶端計算機上安裝處理軟件的程序(312),然后退出該過程(3008)�。最后���,做出確定是否處理軟件將直接發(fā)送到他們的客戶端計算機上的用戶目錄(3006)���。如果是��,則識別用戶目錄(3007)�����。該處理軟件被直接傳輸?shù)接脩舻目蛻舳擞嬎銠C目錄(307)��。這能夠用若干方式完成如但不限于共享文件系統(tǒng)目錄�,然后從發(fā)送者的文件系統(tǒng)復(fù)制到接收用戶的文件系統(tǒng)�,或替代地使用傳輸協(xié)議(如文件傳輸協(xié)議("FTP"))。用戶在準備安裝處理軟件中訪問他們的客戶端文件系統(tǒng)上的目錄(308)��。用戶在他的客戶端計算機上執(zhí)行安裝處理軟件的程序(312),然后退出該過程(3008)�����。軟件集成實施例���。根據(jù)本發(fā)明的另一個實施例���,體現(xiàn)在此公開的各方法和各過程的軟件,由服務(wù)提供商作為服務(wù)集成到其它軟件應(yīng)用程序���、小型應(yīng)用程序或計算系統(tǒng)��。本發(fā)明的集成一般包括提供處理軟件以便與應(yīng)用程序�、操作系統(tǒng)和網(wǎng)絡(luò)操作系統(tǒng)軟件共存,然后在該處理軟件將起作用的環(huán)境中的客戶端和服務(wù)器上安裝該處理軟件�����。一般來說���,第一個任務(wù)是識別處理軟件要求的或結(jié)合處理軟件工作的���、客戶端和服務(wù)器上的任何軟件,其包括其中將部署處理軟件的網(wǎng)絡(luò)操作系統(tǒng)�。這包括網(wǎng)絡(luò)操作系統(tǒng),其是通過添加聯(lián)網(wǎng)(networking)特征增強基本搡作系統(tǒng)的軟件�����。接著��,軟件應(yīng)用程序和版本號將被識別����、并且與已經(jīng)被測試的軟件應(yīng)用程序和版本號的列表比較,以便與處理軟件一起工作���。那些丟失或不匹配正確版本的軟件應(yīng)用程序?qū)⒂谜_版本號更新���。將各參數(shù)從處理軟件傳遞到軟件應(yīng)用程序的各程序指令,將被檢查以確保參數(shù)列表匹配由處理軟件請求的參數(shù)列表�。相反,檢查由軟件應(yīng)用程序傳遞到處理軟件的參數(shù)����,以確保各參數(shù)匹配由處理軟件請求的各參數(shù)。包括網(wǎng)絡(luò)操作系統(tǒng)的客戶端和服務(wù)器操作系統(tǒng)將被識別���、并且與已經(jīng)被測試的操作系統(tǒng)�、版本號和網(wǎng)絡(luò)軟件的列表比較��,以便與處理軟件一起工作���。那些與測試的操作系統(tǒng)和版本號的列表不匹配的操作系統(tǒng)�、版本號和網(wǎng)絡(luò)軟件���,將在客戶端和服務(wù)器上被更新到要求的水平�。在確保其中要部署處理軟件的軟件處于已經(jīng)被測試以便與處理軟件一起工作的正確版本水平之后,通過在客戶端和服務(wù)器上安裝該處理軟件完成集成�����。轉(zhuǎn)到圖3b,示出根據(jù)本發(fā)明的集成過程的細節(jié)�����。通過確定是否存在將在服務(wù)器或各服務(wù)器上執(zhí)行的任何處理軟件程序(321),集成開始(320)�����。如果不是這樣�����,則集成進行到(327)��。如果是這樣�,則服務(wù)器地址被識別(322)。檢查各服務(wù)器以知道是否它們包括已經(jīng)用處理軟件測試的軟件以及它們的版本號(323)�,該軟件包括操作系統(tǒng)("OS")、應(yīng)用程序和網(wǎng)絡(luò)操作系統(tǒng)("NOS")��。還檢查各服務(wù)器以確定是否存在任何由處理軟件請求的丟失的軟件(323)�。進行確定該版本號是否匹配已經(jīng)用處理軟件測試的OS���、應(yīng)用程序和NOS的版本號(324)��。如果所有的版本匹配�����、并且不存在丟失的請求的軟件�,則集成在(327)中繼續(xù)。如果一個或更多版本號不匹配����,則用正確的版本號在服務(wù)器或各服務(wù)器上更新不匹配的版本(325)。此外����,如果存在丟失的要求的軟件,則它在服務(wù)器或各服務(wù)器上被更新(325)�。服務(wù)器集成通過安裝處理軟件完成(326)。繼(321)��、(324)或(326)后的步驟(327),確定是否存在將在客戶端上執(zhí)行的任何處理軟件的程序���。如果沒有處理軟件程序在客戶端上執(zhí)行����,則集成進行到(330)并退出。如果不是這樣���,則客戶端地址被識別(328)��。檢查各客戶端以知道是否它們包括已經(jīng)用處理軟件測試的軟件以及它們的版本號(329),該軟件包括操作系統(tǒng)("OS")����、應(yīng)用程序和網(wǎng)絡(luò)操作系統(tǒng)("NOS")�。還檢查各客戶端以確定是否存在任何由處理軟件請求的丟失的軟件(329)。進行確定該版本號是否匹配已經(jīng)用處理軟件測試的OS��、應(yīng)用程序和NOS的版本號331�。如果所有的版本匹配、并且不存在丟失的請求的軟件�����,則集成進行到(330)并退出�。如果一個或更多版本號不匹配,則用正確的版本號在各客戶端上更新不匹配的版本(332)��。此外����,如果存在丟失的要求的軟件����,則它在各客戶端上被更新(332)����?��?蛻舳思赏ㄟ^在各客戶端上安裝處理軟件完成(333)����。集成進行到(330)并退出���。按需求計算服務(wù)實施例���。根據(jù)本發(fā)明的另一個方面,通過按需求計算結(jié)構(gòu)提供了在此公開的過程和方法�����,以便通過服務(wù)提供商給客戶端提供服務(wù)���。轉(zhuǎn)到圖3c,—般來說�,體現(xiàn)在此公開的方法的處理軟件被共享,同時以靈活的自動方式服務(wù)多個客戶�。它是標準化的、幾乎不需要定制����,并且它是可升級的,以一種預(yù)付費(pay-as-you-go)模式按需求提供容量���。處理軟件能夠存儲在從一個或更多服務(wù)器可訪問的共享文件系統(tǒng)上��。處理軟件經(jīng)由各事務(wù)執(zhí)行�,該事務(wù)包括使用訪問的服務(wù)器上的CPU單位的服務(wù)器處理請求和數(shù)據(jù)�����。CPU單位是在服務(wù)器的中央處理器上的時間單位如分����、秒、小時�。此外,訪問的服務(wù)器可以請求需要CPU單位的其它服務(wù)器。CPU單位是表示僅僅一個使用的測量的例子����。其它的使用測量包括但是不限于網(wǎng)絡(luò)帶寬、存儲器使用����、存儲使用、分組傳輸��、完成事務(wù)等�。當多個客戶使用相同的處理軟件應(yīng)用程序時��,它們的事務(wù)由包括在識別唯一客戶和用于該客戶的服務(wù)類型的事務(wù)中的參數(shù)區(qū)分�����。記錄了所有CPU單位和為每個客戶用于服務(wù)的其它使用測量����。當對任何一個服務(wù)器的事務(wù)量達到開始影響該服務(wù)器的性能的數(shù)量的時候,訪問其它的服務(wù)器以增加容量并共享工作負荷���。同樣�����,當其它的使用測量如網(wǎng)絡(luò)帶寬�、存儲器使用、存儲體使用等接近影響性能的容量時���,添加其它的網(wǎng)絡(luò)帶寬��、存儲器使用和存儲體等以共享工作負荷����。用于每個服務(wù)和客戶的使用測量被發(fā)送到收集服務(wù)器����,其對提供處理軟件的共享執(zhí)行的服務(wù)器網(wǎng)絡(luò)中的任何地方處理的每個服務(wù)、每個客戶的使用測量求和�。求和的使用單位的測量用單位成本周期性地相乘,并且得到的總的處理軟件應(yīng)用程序服務(wù)成本可替代地發(fā)送到客戶����,并且在由然后給服務(wù)提供商匯款的計算機訪問的網(wǎng)站上指示。在另一個實施例中��,服務(wù)提供商從在銀行或金融機構(gòu)處的客戶帳戶直接請求支付�。在另一個實施例中�����,如果服務(wù)提供商還是使用處理軟件應(yīng)用程序的客戶最小化付款的轉(zhuǎn)賬�。圖3c提出了通過按需求過程使本發(fā)明對客戶端可用的詳細邏輯過程����。創(chuàng)建包括唯一客戶識別、請求的服務(wù)類型和進一步指定服務(wù)類型的任何服務(wù)參數(shù)的事務(wù)(341)�。該事務(wù)然后被發(fā)送到主服務(wù)器(342)。在按需求環(huán)境中�����,主服務(wù)器開始能夠是唯一的服務(wù)器�����,然后隨著容量被消耗����,其它的服務(wù)器被添加到按需求環(huán)境���。在按需求環(huán)境中的服務(wù)器中央處理單元("CPU")容量被查詢(343)����。事務(wù)的CPU需求被評估,然后將按需求環(huán)境中的服務(wù)器可用的CPU容量與事務(wù)CPU需求比較�,以便知道是否在任何服務(wù)器中存在足夠的CPU可用容量來處理事務(wù)(344)。如果不存在足夠的服務(wù)器CPU可用容量����,則分配另外的服務(wù)器CPU容量以便處理該事務(wù)(348)。如果已經(jīng)有足夠可用的CPU容量��,則事務(wù)被發(fā)送到選擇的服務(wù)器(345)����。在執(zhí)行該事務(wù)之前,對剩下的按需求環(huán)境進行^:查��,以確定所述環(huán)境是否有足夠可用的容量用于處理事務(wù)����。該環(huán)境容量由如但不限于網(wǎng)絡(luò)帶寬、處理器存儲器�、存儲等(345)的項目組成。如果不存在足夠可用的容量���,則容量將被添加到按需求環(huán)境(347)�。接著,用于處理該事務(wù)的請求的軟件被訪問��,加載到存儲器��,然后所述事務(wù)被執(zhí)行(349)�����。記錄使用測量(350)�。使用測量由按需求環(huán)境中的、用來處理該事務(wù)的那些功能的各部分組成����。記錄的是這些如但不限于網(wǎng)絡(luò)帶寬、處理器存儲器�、存儲和CPU周期的功能的使用。使用測量被求和�、用單位成本相乘、然后記錄為對請求客戶的費用(351)�。如果客戶已經(jīng)請求將按需求成本張貼到網(wǎng)站(352),則張貼它們(353)����。如果客戶已經(jīng)請求將按需求成本經(jīng)由電子郵件發(fā)送到客戶地址(354),則發(fā)送它們(355)。如果客戶已經(jīng)請求按需求成本直接從客戶帳戶支付(356),則直接從客戶帳戶接收該付款(357)�����。最后的步驟是退出該按需求過程。VPN部署實施例�����。根據(jù)本發(fā)明的另一個方面,在此描述的各方法和各過程可以部分或整個地在能夠部署到第三方作為服務(wù)的軟件中體現(xiàn)���,其中第三方VPN服務(wù)提供為安全部署媒介(vehicle),或者其中VPN按特定部署的需要按需求建立�。虛擬私有網(wǎng)("VPN")是能夠用來確保通過其它的不安全或不信任的網(wǎng)絡(luò)連接的技術(shù)的任何組合���。VPN改善了安全性并且減少了運行成本�����。VPN使用公共網(wǎng)絡(luò)(通常是因特網(wǎng))來將遠程站點或用戶連接在一起�����。替代使用專用的����、真實世界的連接(如租用線路)�����,VPN使用通過因特網(wǎng)從公司的私有網(wǎng)絡(luò)路由到遠程站點或雇員的"虛擬"連接。經(jīng)由VPN接入網(wǎng)絡(luò)能夠通過特別地構(gòu)建VPN提供為服務(wù)����,用于傳遞或執(zhí)行處理軟件(即駐留在其它地方的軟件)的目的,其中VPN的壽命限于基于支付量的給定的時間段或給定的部署數(shù)量��。處理軟件可以通過遠程接入或站點到站點的VPN被部署�、接入和執(zhí)行。當使用遠程接入VPN時�,處理軟件經(jīng)由在公司的私有網(wǎng)和遠程用戶之間的安全、加密的連接��,通過第三方服務(wù)提供商被部署��、接入和執(zhí)行��。企業(yè)服務(wù)提供商("ESP")設(shè)置網(wǎng)絡(luò)接入服務(wù)器("NAS"),并且給遠程用戶為他們的計算機提供桌面客戶端軟件����。通信機然后能夠撥打免費號碼以便經(jīng)由電纜或DSL調(diào)制解調(diào)器直接附接,從而到達NAS,并且使用他們的VPN客戶端軟件來接入公司網(wǎng)絡(luò)�,并且訪問��、下載和執(zhí)行該處理軟件。當使用站點到站點VPN時����,處理軟件通過使用專用設(shè)備和大規(guī)模加密被部署、訪問和執(zhí)行��,該專業(yè)設(shè)備和大規(guī)模加密被用來在公共網(wǎng)(如因特網(wǎng))上連接^司的多個固定站點��。處理軟件在VPN上經(jīng)由隧道處理(tunneling)傳輸����,隧道處理是將整個分組放置在另一個分組內(nèi)并將其在網(wǎng)絡(luò)上發(fā)送的過程。外部分組的協(xié)議被網(wǎng)絡(luò)和分組進和出該網(wǎng)絡(luò)的稱作為隧道接口的兩接口點(point)理解�。轉(zhuǎn)到圖3d,通過確定是否要求用于遠程訪問的VPN(361)�����,VPN部署過程開始(360)���。如果沒有要求��,則前進到(362)��。如果要求�����,則確定是否遠程接入VPN退出(364)��。如果VPN退出��,則VPN部署過程進行(365)以便識別第三方提供商����,該提供商將提供在公司的私有網(wǎng)絡(luò)和公司的遠程用戶之間的安全的加密的連接(376)。公司的遠程用戶被識別(377)�����。該第三方提供商然后設(shè)置網(wǎng)絡(luò)接入服務(wù)器("NAS")(378),其允許遠程用戶撥打免費號碼或者經(jīng)由寬帶調(diào)制解調(diào)器直接附接��,以便訪問�����、下載和安裝用于遠程接入VPN的桌面客戶端軟件(379)�。在遠程接入VPN已經(jīng)建立后或如果它之前已經(jīng)安裝,則遠程用戶能夠通過撥進NAS或經(jīng)由電纜或DSL調(diào)制解調(diào)器直接附接到NAS�,訪問該處理軟件(365)。這允許進入訪問處理軟件的公司網(wǎng)絡(luò)(366)。處理軟件經(jīng)由隧道處理通過網(wǎng)絡(luò)傳送到遠程用戶的桌面�。即,處理軟件被劃分成各分組����,并且包括數(shù)據(jù)和協(xié)議的每個分組被放置在另一個分組內(nèi)(367)�。當處理軟件到達遠程用戶的桌面時,其被從分組移除����、重構(gòu),然后在遠程用戶桌面上被執(zhí)行(368)���。進行確定以知道是否用于站點到站點訪問的VPN^皮要求(362)�����。如果沒有要求�����,則進行以退出過程(363)��。否則��,確定是否站點到站點VPN存在(369)�����。如果存在����,則進行到(372)。否則�����,安裝要求的專用設(shè)備��,以建立站點到站點VPN(370)���。然后將大規(guī)模的加密內(nèi)建到VPN中(371)����。在站點到站點VPN已經(jīng)建立后或者如果它之前已經(jīng)建立�����,則用戶經(jīng)由VPN訪問處理軟件(372)�。處理軟件經(jīng)由隧道處理通過網(wǎng)絡(luò)傳遞到站點用戶�����。即該處理軟件被劃分成各分組�����,并且包括數(shù)據(jù)和協(xié)議的每個分組被放置在另一個分組內(nèi)(374)。當處理軟件到達遠程用戶的桌面時�,其被從分組移除、重構(gòu)�,然后在站點用戶桌面上被執(zhí)行(375)。進行以退出過程(363)����。計算機可讀介質(zhì)實施例在本發(fā)明的另一個實施例中,根據(jù)本發(fā)明并且在此描述的用于控制洗衣機的邏輯過程�,編碼在一個或更多計算機可讀介質(zhì)之上或之中。一些計算機可讀介質(zhì)是只讀的(例如���,它們必須使用與最后從該介質(zhì)讀取數(shù)據(jù)的設(shè)備不同的設(shè)備編程)�、一些是只寫的(例如��,從數(shù)據(jù)編碼器的觀點來看�����,它們只能夠被編碼,但不能同時讀取)或讀-寫�����。還有一些其它介質(zhì)是一次寫����、多次讀取。一些介質(zhì)在它們的安裝機制中是相對固定的�,而其它的是可移除的或甚至是可傳送的。當用數(shù)據(jù)和/或計算機軟件編碼時�����,所有計算機可讀介質(zhì)形成兩種類型的系統(tǒng)U)當從驅(qū)動器或讀取機制移除時�,它們是存儲器設(shè)備,其在用適合的電磁�����、電和/或光信號激勵時產(chǎn)生有用的數(shù)據(jù)驅(qū)動的輸出����;以及(b)當安裝在驅(qū)動器或讀取設(shè)備中時���,它們形成由計算機可訪問的數(shù)據(jù)存儲系統(tǒng)。圖4a圖示了一些計算機可讀介質(zhì)��,包括計算機硬盤驅(qū)動器(40)�,其具有一個或更多磁編碼的碟(platter)或盤(disk)(41),其可以用一個或更多頭(42)讀取�、寫入或二者。這些硬盤驅(qū)動器典型地半永久地安裝到完整的驅(qū)動器單元�,其然后可以集成到可配置的計算機系統(tǒng),如個人計算機�、服務(wù)器計算機等���。類似地����,另一種形式的計算機可讀介質(zhì)是柔性的可移除的"軟盤"(43),其被插入到容納讀取頭的驅(qū)動器中�����。軟盤典型地包括柔軟的可磁編碼的盤�����,其通過滑蓋(44)中的窗口(45)由驅(qū)動頭可訪問。致密盤("CD")(46)通常是塑料盤�,其使用光和/或^t光過程編碼,然后通常使用光過程讀取�。一些CD是只讀的("CD-ROM"),并且是在分發(fā)之前大量生成,且由讀取類型驅(qū)動器使用����。其它CD是一次或多次可寫的(例如,"CD-RW�����,�����,�,"CD-R,�����,)�����。數(shù)字多功能盤("DVD")是CD的高級版本,其通常包括數(shù)據(jù)的雙側(cè)編碼����,并且甚至數(shù)據(jù)的多層編碼。與軟盤一樣����,CD或DVD是可移除的介質(zhì)。另一個普通類型的可移除介質(zhì)是幾種可移除的基于電路的(例如固態(tài))存儲器設(shè)備����,如致密閃存("CF")(47),SecureData(安全數(shù)據(jù)"SD")、SonyMemoryStick(索尼記憶棒)����、通用串行總線("USB")快閃驅(qū)動器和"拇指驅(qū)動器"(49)等�����。這些設(shè)備典型地是塑料外殼����,其并入數(shù)字存儲器芯片,如電池支持的隨機存取芯片("RAM")或快閃只讀存儲器("FlashROM")��。對介質(zhì)的外部部分可用的是用于嚙合連接器的一個或更多電連接器(48,400),如CF驅(qū)動器槽或USB槽。設(shè)備(如USB快閃驅(qū)動器)使用串行數(shù)據(jù)技術(shù)訪問��,其中其它設(shè)備(如CF)使用并行技術(shù)訪問����。這些技術(shù)通常提供比基于盤的介質(zhì)更快的訪問時間,以及增加了可靠性并且降低了對機械震動和振動的敏感性�����。通常��,它們提供比相對昂貴的基于盤的介質(zhì)少的存儲容量���。另一種類型的計算機可讀介質(zhì)設(shè)備是存儲器模塊(403)�,其通常被稱作為SIMM或DIMM���。與CF����、SD和FlashDrive(快閃驅(qū)動器)類似����,這些模塊并入了一個或更多存儲器設(shè)備(402)(如動態(tài)RAM("DRAM���,,))��,其安裝在具有一個或更多用于嚙合和接口連接另一個電路(如個人計算機主板)的電子連接器的電路板(401)上����。這些類型的存儲器模塊通常不被裝入外部殼體,因為它們旨在由受過訓(xùn)練的技師安裝�,并且通常由更大的外部外殼(如個人計算機機箱)保護。現(xiàn)在轉(zhuǎn)到圖4b,示出了本發(fā)明的另一個實施例選項(405),其中計算機可讀信號用軟件�、數(shù)據(jù)或者兩者編碼,該實施例選項實現(xiàn)根據(jù)本發(fā)明的邏輯過程�。圖4b被一般化來表示無線、有線�、電光和光信號系統(tǒng)的功能。例如����,圖4b中所示的系統(tǒng)能夠通過射頻("RF")以及通過光信號(如紅外數(shù)據(jù)安排("IrDA�,,)�,以適于無線傳輸?shù)姆绞綄崿F(xiàn)。圖4b的系統(tǒng)還可以以另一種方式實現(xiàn)���,以便用作用于USB系統(tǒng)(如用于讀取前述USB快閃驅(qū)動器的驅(qū)動器)的數(shù)據(jù)發(fā)射機����、數(shù)據(jù)接收機或數(shù)據(jù)收發(fā)機,或者訪問在盤(如CD或硬盤驅(qū)動器碟)上串行存儲的數(shù)據(jù)���。一般來說�,微處理器或微控制器(406)從用于數(shù)據(jù)��、程序或兩者的存儲讀取數(shù)據(jù)����,向該存儲寫入數(shù)據(jù),或者既讀取又寫入數(shù)據(jù)(407)�����?�?蛇x地包括數(shù)模轉(zhuǎn)換器的數(shù)據(jù)接口(409)與可選的協(xié)議棧(408)協(xié)同工作��,以便在系統(tǒng)前端(410)和微處理器(406)之間發(fā)送�、接收或收發(fā)數(shù)據(jù)。所述協(xié)議棧適合于被發(fā)送、接收或收發(fā)的信號類型��。例如�,在局域網(wǎng)("LAN")實施例中,協(xié)議?���?梢詫崿F(xiàn)傳輸控制協(xié)議/因特網(wǎng)協(xié)議("TCP/IP")。在計算機到計算機或計算機到外圍設(shè)備的實施例中��,協(xié)議?��?梢詫崿F(xiàn)USB�、"FireWire����,,�、RS-232、點對點協(xié)議("PPP")等的全部或部分����。系統(tǒng)的前端或模擬前端適合于被調(diào)制、解調(diào)或代碼轉(zhuǎn)換的信號類型���。例如��,在基于RF(413)的系統(tǒng)中�,模擬前端包括各種本地振蕩器����、調(diào)制器、解調(diào)器等��,其實現(xiàn)信號各種發(fā)送格式��,如頻率調(diào)制("FM")�����、幅度調(diào)制("AM")�、相位調(diào)制("PM")、脈沖編碼調(diào)制("PCM")等�����。這種基于RF的實施例典型地包括天線(414),用于經(jīng)由戶外(openair)���、水�����、大地或經(jīng)由RF波導(dǎo)和同軸電纜��,發(fā)送���、接收或收發(fā)電磁信號��。一些共同的戶外傳輸標準是藍牙�、全球移動通信服務(wù)("GSM")�����、時分多址("TDMA")��、先進移動電話服務(wù)("AMPS")和無線保真(WirelessFidelity)("Wi-Fi")��。在另一個示例性實施例中���,模擬前端可以適合于經(jīng)由光學(xué)接口(415)(如基于激光的光學(xué)接口(例如����,波分復(fù)用���、SONET等))�����、或紅外數(shù)據(jù)安排("IrDA")接口(416),發(fā)送����、接收或收發(fā)信號��。類似地�,模擬前端可以適合于經(jīng)由使用電纜接口的電纜(412)發(fā)送、接收或收發(fā)信號�,這還包括如USB、以太網(wǎng)�、LAN、雙絞線對���、同軸電纜�、簡易老式電話業(yè)務(wù)("POTS")等的實施例��。發(fā)送�����、接收或收發(fā)的信號以及在盤上或在存儲器設(shè)備中編碼的數(shù)據(jù),可以被編碼�����,以防止它被未授權(quán)解碼和使用�����。如通過添加奇偶檢驗位或循環(huán)冗余碼("CRC"),其它類型的編碼可以用來允許錯誤檢測���,并且在一些情況中用來校正����。其它類型的編碼可以用來允許將數(shù)據(jù)指引或"路由�����,���,到正確的目的地�����,如分組和基于幀的協(xié)議����。圖4c圖示將并行數(shù)據(jù)轉(zhuǎn)換為串行數(shù)據(jù)、以及將串行數(shù)據(jù)轉(zhuǎn)換為并行數(shù)據(jù)的轉(zhuǎn)換系統(tǒng)�����。并行數(shù)據(jù)最通常直接由微處理器可使用�����,通常以8位寬字節(jié)�、16位寬字�����、32位寬雙字等的格式�����。并行數(shù)據(jù)能夠表示可執(zhí)行或可解釋的軟件��,或者它可以表示用于計算機使用的數(shù)據(jù)值����。數(shù)據(jù)通常被串行化��,以便通過介質(zhì)(如RF或光學(xué)信道)傳輸它�����,或者將其記錄到介質(zhì)(如盤)上����。這樣�����,許多計算機可讀介質(zhì)系統(tǒng)包括電路��、軟件或其二者��,用于執(zhí)行數(shù)據(jù)串行化和重新并行化���。并行數(shù)據(jù)(421)可以表示為按時間對齊的數(shù)據(jù)信號流��,使得并行數(shù)據(jù)單元(字節(jié)��、字����、雙字等)(422、423�����、424)同步傳輸�����,同時每位D0-Dn在總線或信號載波上�����,其中數(shù)據(jù)單元"寬度"是n-l�。在一些系統(tǒng)中����,Dq用于表示最低有效位("LSB"),而在其它系統(tǒng)中,它表示最高有效位("MSB����,,)�。數(shù)據(jù)通過一次發(fā)送一位被串行化(421),使得每個數(shù)據(jù)單元(422、423、424)典型地根據(jù)協(xié)議����,一個接一個以串行方式發(fā)送。這樣����,存儲在計算機存儲器(407、407����,)中的并行數(shù)據(jù),通常經(jīng)由并行總線(421)由微處理器或并串轉(zhuǎn)換器(425,425�����,)訪問��,并且經(jīng)由串行總線(421�����,)交換(例如��,發(fā)送���、接收或收發(fā))�����。通常在將其存儲在計算機存儲器中之前����,將接收的串行數(shù)據(jù)轉(zhuǎn)換回并行數(shù)據(jù)。如之前討論的�����,在圖4c中一般化的串行總線(421�,)可以是有線總線(如USB或Firewire)、或無線通信介質(zhì)(如RF或光學(xué)信道)�����。的軟件�����、數(shù)據(jù)或其二者編碼到一個或更多計算機可讀介質(zhì)中來實現(xiàn)��,因此產(chǎn)生制造產(chǎn)品和系統(tǒng)����,其在適當讀取、接收或解碼時��,產(chǎn)生有用的編程指令����、數(shù)據(jù)或其二者,其包括但不限于在前述段落中描述的計算機可讀介質(zhì)類型��。結(jié)論盡管已經(jīng)公開了各種實施例的某些例子和細節(jié)��,但是本領(lǐng)域技術(shù)人員將認識到�����,可以采用實現(xiàn)的變化(如不同的編程方法����、計算平臺和處理技術(shù)),而不偏離本發(fā)明的精神和范圍�����。因此���,本發(fā)明的范圍應(yīng)當由權(quán)利要求確定����。權(quán)利要求1.一種系統(tǒng),包括頭�,其位于可移除的計算機可讀介質(zhì)中,所述頭包括用非對稱加密隱藏的對稱密鑰�����、和與所述非對稱加密相關(guān)聯(lián)的公共密鑰�;加密的數(shù)據(jù)結(jié)構(gòu),其位于可移除的計算機可讀介質(zhì)中����,其中數(shù)據(jù)使用所述對稱密鑰加密;以及閱讀器���,其被配置來接收所述介質(zhì)��,以將包括所述公共密鑰的詢問發(fā)出到自動主機����,用于從所述主機接收由與所述公共密鑰相關(guān)聯(lián)的私有密鑰簽名的響應(yīng)�����,并且驗證所述簽名的響應(yīng)�����;以及數(shù)據(jù)解密器���,其被配置來使用所述私有密鑰解開所述對稱密鑰�����,并且使用所述解開的對稱密鑰解密所述加密的數(shù)據(jù)�,以響應(yīng)對所述簽名的響應(yīng)的驗證�。2.如權(quán)利要求1所述的系統(tǒng),其中所述詢問包括由所述閱讀器產(chǎn)生的臨時用語��。3.如權(quán)利要求1所述的系統(tǒng)��,其中所述數(shù)據(jù)解密器位于所述自動主機中�。4.如權(quán)利要求1所述的系統(tǒng),其中所述數(shù)據(jù)解密器位于所述閱讀器中����。5.如權(quán)利要求4所述的系統(tǒng)�����,其中所述閱讀器還被配置來將所述隱藏的對稱密鑰提供給所述主機�����,并且從所述主機接收所述解開的對稱密鑰����,用于解密對所述加密數(shù)據(jù)��。6.如權(quán)利要求1所述的系統(tǒng)��,其中所述閱讀器包括計算機帶驅(qū)動器���,并且其中所述可移除的計算機可讀介質(zhì)包括計算機帶�����。7.—種自動方法�����,包括由閱讀器接收可移除的計算機可讀介質(zhì)����,所述介質(zhì)具有位于其中的由非對稱加密隱藏的對稱密鑰����、和與所述非對稱加密相關(guān)聯(lián)的公共密鑰,并且所述介質(zhì)具有其中編碼的對稱加密的數(shù)據(jù)結(jié)構(gòu)���,其中數(shù)據(jù)使用所述對稱密鑰加密����;從所述閱讀器發(fā)出包括所述公共密鑰的詢問到自動主機�;從所述主機接收由與所述公共密鑰相關(guān)聯(lián)的私有密鑰簽名的響應(yīng);響應(yīng)于對所述簽名的響應(yīng)的驗證�����,使用所述私有密鑰解開所述對稱密鑰�;以及使用所述解開的對稱密鑰解密所述加密的數(shù)據(jù)。8.如權(quán)利要求7所述的方法�����,其中所述詢問包括由所述閱讀器產(chǎn)生的臨時用語��。9.如權(quán)利要求7所述的方法,其中所述數(shù)據(jù)解密由所述自動主機執(zhí)行�。10.如權(quán)利要求7所述的方法,其中所述數(shù)據(jù)解密由所述閱讀器執(zhí)行�����。11.如權(quán)利要求IO所述的方法�����,還包括將由所述閱讀器將所述隱藏的對稱密鑰提供給所述主機�����,并且由所述閱讀器從所述主機接收所述解開的對稱密鑰�,用于解密所述加密數(shù)據(jù)。12.如權(quán)利要求7所述的方法��,其中所述由閱讀器接收可移除的計算機可讀介質(zhì)的步驟包括接收計算機帶�。全文摘要公開了一種用于經(jīng)由詢問-響應(yīng)協(xié)議的加密帶訪問控制的系統(tǒng)和方法。經(jīng)由在介質(zhì)上具有獨特結(jié)構(gòu)的頭��,控制了對在可移除的計算機介質(zhì)(如計算機帶)上的加密數(shù)據(jù)的訪問�,該頭具有由非對稱加密隱藏的對稱密鑰和與該非對稱加密相關(guān)聯(lián)的公共密鑰。介質(zhì)上的數(shù)據(jù)使用所述對稱密鑰加密。在由閱讀器自動閱讀數(shù)據(jù)之前����,將詢問發(fā)出到包括公共密鑰以及最好臨時用語值的主機系統(tǒng)。主機通過使用與公共密鑰相關(guān)聯(lián)的私有密鑰對臨時用語簽名來響應(yīng)��,以便證明它有權(quán)解密所述數(shù)據(jù)���。對稱密鑰使用私有密鑰解開,并且最后解開的對稱密鑰用于解密介質(zhì)上的數(shù)據(jù)�,從而允許自動閱讀帶數(shù)據(jù),而沒有兩個管理者共享對稱密鑰值的需要或風險��。文檔編號G11B20/00GK101178919SQ200710167799公開日2008年5月14日申請日期2007年11月1日優(yōu)先權(quán)日2006年11月8日發(fā)明者史蒂文·A·貝德,格倫·A·雅克特,理查德·H·格斯基,約翰·C·戴卡申請人:國際商業(yè)機器公司