專利名稱:雙因素內(nèi)容保護(hù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于保護(hù)存儲(chǔ)在第一設(shè)備中的內(nèi)容的方法。
背景技術(shù):
當(dāng)將計(jì)算機(jī)連接到諸如局域網(wǎng)(LAN)或因特網(wǎng)等網(wǎng)絡(luò)時(shí)��,該計(jì)算機(jī)的硬盤驅(qū)動(dòng)將暴露給意圖不經(jīng)所有者許可而獲取硬盤驅(qū)動(dòng)中的敏感信息的其他無論用戶的攻擊��。通常��,諸如社會(huì)安全號(hào)碼或?qū)俟拘畔⒌让舾械膫€(gè)人信息存儲(chǔ)在計(jì)算機(jī)的硬盤驅(qū)動(dòng)里�。對(duì)于這種類型的敏感信息,希望能夠保護(hù)它免受未授權(quán)用戶的訪問�。對(duì)于一些計(jì)算機(jī)�,可利用內(nèi)容保護(hù)來存儲(chǔ)敏感信息,例如���,通過利用根據(jù)設(shè)備的用戶經(jīng)由計(jì)算機(jī)的輸入接口輸入的口令而產(chǎn)生的密鑰來加密信息���。所述口令可用來產(chǎn)生針對(duì)加密算法的先進(jìn)加密標(biāo)準(zhǔn)(AES)密鑰。然而��,這個(gè)方法的常見問題是如果所選擇的口令是容易猜到的,或被未授權(quán)用戶獲得�����,那么未授權(quán)用戶就可以復(fù)制該AES密鑰�,并解密所述受保護(hù)的內(nèi)容。
在計(jì)算機(jī)啟動(dòng)時(shí)�,可以利用設(shè)備來認(rèn)證用戶設(shè)備,以提供另一層安全保護(hù)���。用于認(rèn)證用戶的常用方法示例是智能卡和智能卡讀取器��。智能卡在大小和形狀上類似于信用卡���,但還可以包括微處理器和存儲(chǔ)器。所述智能卡所有者的身份和其它個(gè)人信息存儲(chǔ)在該智能卡的存儲(chǔ)器里��。智能卡可同與計(jì)算機(jī)通信的智能卡讀取器一起使用來認(rèn)證用戶����。這樣,通過將用戶的智能卡插入到智能卡讀取器中來進(jìn)行授權(quán)�,只有被授權(quán)用戶可以完全啟動(dòng)或解鎖計(jì)算機(jī)。
所述智能卡也包括保護(hù)存儲(chǔ)在其上的個(gè)人信息的安全特征�。智能卡可包括加密/解密引擎����,及可具有與不對(duì)稱加密算法一起使用來保護(hù)所有者存儲(chǔ)的個(gè)人信息的公共/私有密鑰對(duì)�。對(duì)于這種類型的智能卡,可使用雙因素(two-factor)認(rèn)證的形式���,其中企圖訪問計(jì)算機(jī)的用戶需要輸入口令并擁有授權(quán)的智能卡�。智能卡利用所述口令來確定用戶是否是被授權(quán)能訪問存儲(chǔ)在智能卡上的個(gè)人信息�����,然后將智能卡用于對(duì)計(jì)算機(jī)的訪問�。
雖然這些措施增強(qiáng)了用戶的硬盤驅(qū)動(dòng)內(nèi)容的安全性,但是����,如果未授權(quán)用戶能破解對(duì)硬盤驅(qū)動(dòng)的受保護(hù)內(nèi)容的加密,未授權(quán)用戶仍可以在被授權(quán)用戶利用智能卡啟動(dòng)計(jì)算機(jī)之后訪問敏感信息���。
當(dāng)敏感內(nèi)容存儲(chǔ)在具有存儲(chǔ)器的諸如移動(dòng)通信設(shè)備的其它設(shè)備上時(shí),也會(huì)出現(xiàn)提供內(nèi)容保護(hù)方面的問題���。移動(dòng)通信設(shè)備也可以與諸如智能卡讀取器和智能卡等認(rèn)證設(shè)備一起使用����。
發(fā)明內(nèi)容
當(dāng)將認(rèn)證設(shè)備與認(rèn)證設(shè)備一起使用時(shí),可通過使用認(rèn)證設(shè)備的公共/私有密鑰來加密和解密內(nèi)容保護(hù)密鑰����,增強(qiáng)對(duì)于計(jì)算機(jī)硬盤驅(qū)動(dòng)的內(nèi)容保護(hù)。這種認(rèn)證設(shè)備的一個(gè)示例是智能卡讀取器和智能卡結(jié)合�。一旦啟用內(nèi)容保護(hù),可以利用隨機(jī)數(shù)據(jù)(例如隨機(jī)數(shù)和/或隨機(jī)比特串)來產(chǎn)生內(nèi)容保護(hù)密鑰�����,從而提供比根據(jù)更易預(yù)測(cè)和發(fā)現(xiàn)的用戶輸入口令而獲得密鑰的更好的密鑰�����。對(duì)于計(jì)算機(jī)存儲(chǔ)器中的長(zhǎng)期存儲(chǔ)(例如比單次會(huì)話長(zhǎng))�����,可利用智能卡的公共密鑰來加密內(nèi)容保護(hù)密鑰���,以進(jìn)一步的保護(hù)免受未授權(quán)的使用���。一旦用戶輸入口令對(duì)計(jì)算機(jī)解除鎖定��,也該口令也可用于獲得對(duì)智能卡的私有密鑰的訪問��,以解密內(nèi)容保護(hù)密鑰�����。當(dāng)計(jì)算機(jī)保持解鎖狀態(tài)時(shí)����,已解密的內(nèi)容保護(hù)密鑰可透明地存儲(chǔ)在計(jì)算機(jī)的隨機(jī)存取存儲(chǔ)器(RAM)里�����,響應(yīng)于用戶的請(qǐng)求�����,可對(duì)硬盤驅(qū)動(dòng)的部分受保護(hù)內(nèi)容部分進(jìn)行即時(shí)解密���。當(dāng)再次鎖定計(jì)算機(jī)�,可以銷毀已解密的內(nèi)容保護(hù)密鑰����。這樣,不僅為計(jì)算機(jī)訪問也為硬盤驅(qū)動(dòng)上敏感數(shù)據(jù)的內(nèi)容保護(hù)提供了雙因素認(rèn)證���。為了獲得對(duì)受保護(hù)數(shù)據(jù)的訪問�,用戶必須(i)擁有智能卡�����,并(ii)知道訪問該智能卡的私有密鑰的口令���。
一方面����,用于提供雙因素內(nèi)容保護(hù)的系統(tǒng)包括具有內(nèi)容保護(hù)功能的第一設(shè)備���、以及用于認(rèn)證所述第一設(shè)備的用戶的第二設(shè)備��。所述第一設(shè)備使用屬于所述第二設(shè)備的公共/私有密鑰對(duì)中的公共密鑰來加密其內(nèi)容保護(hù)密鑰���。
通過附圖中的非限制性示例說明實(shí)施例,其中相同的附圖標(biāo)記指示相應(yīng)����、相似或類似元件����,其中圖1是根據(jù)本發(fā)明的一些實(shí)施例�,具有包括智能卡讀取器和智能卡的認(rèn)證設(shè)備的示例系統(tǒng)的示意圖;圖2是根據(jù)本發(fā)明的一些實(shí)施例����,利用雙因素內(nèi)容保護(hù)來保護(hù)數(shù)字內(nèi)容的示例方法流程圖;圖3是根據(jù)本發(fā)明的一些實(shí)施例�����,當(dāng)啟用雙因素內(nèi)容保護(hù)時(shí)使用包括受保護(hù)數(shù)字內(nèi)容解密的計(jì)算機(jī)的示例方法�����;圖4是根據(jù)本發(fā)明的一些實(shí)施例���,包括智能卡讀取器和智能卡的示例系統(tǒng)的框圖�����;可以理解�����,為了說明的簡(jiǎn)單和清楚�����,在附圖里示出的元件并不是必須按比例畫出的����。例如����,為了清楚,一些元件的尺寸相對(duì)于其它元件可以是放大的�。
具體實(shí)施例方式
在下述詳細(xì)的描述里,提出許多特定細(xì)節(jié)���,以提供對(duì)實(shí)施例的全面理解�����。然而���,本領(lǐng)域的普通技術(shù)人員可以理解的是����,可以在沒有這些特定細(xì)節(jié)的情況下實(shí)現(xiàn)實(shí)施例��。在其它情況下�,未對(duì)公知的方法、過程����、組件和電路進(jìn)行詳細(xì)描述,以免造成實(shí)施例不清楚�。
圖1是根據(jù)本發(fā)明的一些實(shí)施例,包括認(rèn)證設(shè)備的示例系統(tǒng)的示意圖����。系統(tǒng)100包括個(gè)人計(jì)算機(jī)106,智能卡讀取器102和移動(dòng)設(shè)備104����。智能卡103示為插入在智能卡讀取器102中。移動(dòng)設(shè)備104包括用戶輸入接口105����,以及個(gè)人計(jì)算機(jī)106包括用戶輸入接口107。
希望將內(nèi)容保護(hù)應(yīng)用于個(gè)人計(jì)算機(jī)106和/或移動(dòng)設(shè)備104���。個(gè)人計(jì)算機(jī)106和智能卡讀取器102可通過直接接口(未示出)或通過無線通信鏈接110來彼此通信���。移動(dòng)設(shè)備104和智能卡讀取器102可通過直接接口(未示出)或無線通信鏈接108來通信���。在本說明和權(quán)利要求里,無線通信鏈接可包括一個(gè)或多個(gè)有線部分和/或一個(gè)或多個(gè)的光學(xué)部分����。如圖1所示�����,通信連接108和110是無線通信鏈接���,例如Bluetooth通信鏈接����,ZigBeeTM通信鏈接��,射頻標(biāo)識(shí)(RFID)通信鏈接��,超寬帶(UWB)通信鏈接����,IEEE802.11通信鏈接和其它合適類型的無線通信鏈接�。
智能卡是與個(gè)人認(rèn)證協(xié)議兼容的設(shè)備����,如由國(guó)際標(biāo)準(zhǔn)化組織公布的ISO7816標(biāo)準(zhǔn)和其派生規(guī)范定義的協(xié)議。智能卡具有信用卡的形狀結(jié)構(gòu)并可包括半導(dǎo)體器件�����。半導(dǎo)體器件包括可利用秘密密鑰和認(rèn)證證書來編程的存儲(chǔ)器���,并可包括解密引擎��,例如處理器和/或?qū)S媒饷苓壿?��。智能卡可包括用于給半導(dǎo)體器件供電并執(zhí)行與外部設(shè)備的串行通信的連接器??蛇x地,也可使用例如通用串行總線(USB)認(rèn)證令牌的其它類型的認(rèn)證設(shè)備���。
移動(dòng)設(shè)備104的非窮盡示例列表包括如下任何一種a)無線人機(jī)接口設(shè)備�����,例如鍵盤���,鼠標(biāo)��,遙控器�����,數(shù)字筆等����;b)無線音頻設(shè)備�����,例如耳機(jī)����,揚(yáng)聲器���,麥克風(fēng)�����,無繩電話����,手持機(jī),立體聲耳機(jī)等���;c)無線計(jì)算設(shè)備��,例如筆記本計(jì)算機(jī)��,膝上計(jì)算機(jī)���,臺(tái)式個(gè)人計(jì)算機(jī),個(gè)人數(shù)字助理����,手提計(jì)算機(jī),蜂窩電話�����,MP3播放器����,打印機(jī)���,傳真機(jī)等;及d)無線通信適配器���,例如通用串行總線(USB)適配器�,個(gè)人計(jì)算機(jī)存儲(chǔ)卡國(guó)際協(xié)會(huì)(PCMCIA)卡����,壓縮閃速(compactflash,CF)卡����,小型外圍組件互連(PCI)卡,接入點(diǎn)等�。
圖2是根據(jù)本發(fā)明的一些實(shí)施例����,用于利用雙因素內(nèi)容保護(hù)來保護(hù)數(shù)字內(nèi)容的示例方法流程圖。在204���,個(gè)人計(jì)算機(jī)106利用隨機(jī)數(shù)據(jù)產(chǎn)生內(nèi)容保護(hù)(CP)密鑰�。這個(gè)密鑰在長(zhǎng)度上可以是256位���,并與AES加密兼容����。在208,個(gè)人計(jì)算機(jī)106利用該CP密鑰來加密硬盤驅(qū)動(dòng)上的所有或部分內(nèi)容�。在212,利用智能卡103的公共密鑰來加密所述CP密鑰�����。在216���,個(gè)人計(jì)算機(jī)106存儲(chǔ)已加密的CP密鑰����。例如�����,可以將已加密的CP密鑰存儲(chǔ)在計(jì)算機(jī)的硬盤驅(qū)動(dòng)的預(yù)定位置����。在這個(gè)流程圖里,移動(dòng)設(shè)備104或任何其它具有內(nèi)容保護(hù)功能的并可以與智能卡讀取器102通信的計(jì)算設(shè)備可以替代個(gè)人計(jì)算機(jī)106。在這種情況下�����,該CP密鑰由移動(dòng)設(shè)備104或其它計(jì)算設(shè)備使用���,以加密它的非易失存儲(chǔ)器的全部或部分內(nèi)容���。非易失存儲(chǔ)器的非窮盡示例列表可包括閃速只讀存儲(chǔ)器(ROM)-包括NOR類型和NAND類型,可擦除可編程ROM(EPROM)�����,電可擦除可編程ROM(EEPROM)�����,非易失隨機(jī)存取存儲(chǔ)器(NOVRAM)等���。類似的��,在216,移動(dòng)設(shè)備104存儲(chǔ)已加密的CP密鑰��。例如,可以將加密的CP密鑰存儲(chǔ)在移動(dòng)設(shè)備的非易失存儲(chǔ)器的預(yù)定位置���。
圖3是根據(jù)本發(fā)明的一些實(shí)施例���,在啟用雙因素內(nèi)容保護(hù)時(shí)利用包括受保護(hù)的數(shù)字內(nèi)容的解密的計(jì)算機(jī)的示例方法流程圖。在302���,如果沒有插入智能卡103�,則用戶將智能卡103插入到智能卡讀取器102中�,并且如果還未連接,則將智能卡讀取器102連接到個(gè)人計(jì)算機(jī)106����。連接智能卡讀取器到個(gè)人計(jì)算機(jī)可包括在智能卡讀取器和個(gè)人計(jì)算機(jī)之間的物理鏈接之上建立安全通信層,來確保它們隨后交換的數(shù)據(jù)的機(jī)密性和真實(shí)性��。這在個(gè)人計(jì)算機(jī)106上產(chǎn)生口令對(duì)話框�����。在304�,用戶在用戶輸入接口107中輸入口令??蛇x地����,用戶在與智能卡讀取器102相關(guān)聯(lián)的用戶輸入接口��、或與個(gè)人計(jì)算機(jī)106或智能卡讀取器102通信的附加外圍單元中輸入口令�����。在308�����,個(gè)人計(jì)算機(jī)106與智能卡讀取器102通信�,確定智能卡103是否屬于個(gè)人計(jì)算機(jī)106的被授權(quán)用戶。如果智能卡103屬于被授權(quán)用戶��,并且用戶輸入的口令是正確的���,在312�����,對(duì)個(gè)人計(jì)算機(jī)106解除鎖定以備使用����,并且允許對(duì)智能卡103的私有密鑰的訪問����。如果這些條件都沒有滿足,則計(jì)算機(jī)保持鎖定��,并且不允許對(duì)智能卡103的私有密鑰的訪問����。在該示例方法中,訪問私有密鑰的口令與獲得對(duì)個(gè)人計(jì)算機(jī)106的訪問所需要的口令是相同的�����。在可選實(shí)施例里����,可以使用兩個(gè)不同的口令,然而這是以增加所需的用戶輸入量為代價(jià)的��。在316�����,個(gè)人計(jì)算機(jī)106將已加密的CP密鑰發(fā)送到智能卡103���,以利用智能卡103的私有密鑰進(jìn)行解密����。在324,智能卡103利用它的私有密鑰來解密由個(gè)人計(jì)算機(jī)106發(fā)送的已加密CP密鑰�,并將已解密的CP密鑰發(fā)送回個(gè)人計(jì)算機(jī)106。在328�����,個(gè)人計(jì)算機(jī)106將已解密的CP密鑰存儲(chǔ)在RAM里����。在332,利用已解密的CP密鑰按照用戶請(qǐng)求對(duì)受保護(hù)數(shù)據(jù)的部分進(jìn)行解密���。在336��,如果用戶結(jié)束計(jì)算機(jī)會(huì)話����,在340���,將已解密的CP密鑰從RAM中刪除�,并在344鎖定個(gè)人計(jì)算機(jī)106。在圖3里��,個(gè)人計(jì)算機(jī)106可由移動(dòng)設(shè)備104或其它能具有內(nèi)容保護(hù)功能并可與認(rèn)證設(shè)備通信的設(shè)備替代�。
圖4是根據(jù)本發(fā)明的一些實(shí)施例的示例系統(tǒng)400的框圖�。系統(tǒng)400包括設(shè)備404和包括智能卡讀取器102和智能卡103的認(rèn)證設(shè)備401。設(shè)備404和智能卡讀取器102能通過無線通信鏈接406通信�,并且智能卡103與智能卡讀取器102直接通信?����?蛇x地��,設(shè)備404和智能卡讀取器102可通過諸如串行連接的直接鏈接進(jìn)行通信��。個(gè)人計(jì)算機(jī)106和移動(dòng)設(shè)備104是設(shè)備404的示例����。
設(shè)備404包括天線420,無線通信接口429�,連接到無線通信接口429的處理器424,連接到處理器424的存儲(chǔ)器426��,連接到處理器424的用戶輸入接口425����。存儲(chǔ)器426可固定在設(shè)備404中或可從設(shè)備404中移除��。存儲(chǔ)器426存儲(chǔ)可執(zhí)行代碼421�����,可執(zhí)行代碼421在由處理器424執(zhí)行時(shí)用作智能卡讀取器驅(qū)動(dòng)程序�����。存儲(chǔ)器426也存儲(chǔ)在由處理器424執(zhí)行時(shí)用于運(yùn)行內(nèi)容保護(hù)應(yīng)用程序的可執(zhí)行代碼423�����。存儲(chǔ)器426存儲(chǔ)對(duì)應(yīng)于敏感信息的數(shù)據(jù)422���。處理器424和存儲(chǔ)器426可以是相同集成電路的一部分或在分離的集成電路里。無線通信接口429包括連接到天線420的無線電收發(fā)裝置427�����,連接到無線電收發(fā)裝置427的處理器428���。無線通信接口429和處理器424可是相同集成電路的一部分或在分離的集成電路里����。
類似地,智能卡讀取器102包括天線410�,無線通信接口412,連接到無線通信接口412的處理器414���,硬件接口411和連接到處理器414的存儲(chǔ)器416��。例如,硬件接口411通過智能卡103上的接觸引腳與相應(yīng)連接器配對(duì)����。存儲(chǔ)器416是可固定在智能卡讀取器102上的或是從智能卡讀取器102上可移除的。存儲(chǔ)器416可嵌入或部分嵌入到處理器414里�����。存儲(chǔ)器416存儲(chǔ)在由處理器414執(zhí)行時(shí)用作智能卡讀取器的驅(qū)動(dòng)程序的可執(zhí)行代碼413����。處理器414和存儲(chǔ)器416可是相同集成電路的一部分或在分離的集成電路里。無線通信接口412包括連接到天線410的無線電收發(fā)裝置417和連接到無線電收發(fā)裝置417的處理器418���。無線通信接412和處理器414可是相同集成電路的一部分或在分離的集成電路里�����。
天線410和420的非窮盡示例列表包括偶極天線�����,單極天線���,多層陶瓷天線�����,平面倒F天線�,環(huán)路(loop)天線��,發(fā)射(shot)天線�����,對(duì)偶(dual)天線��,全向天線和任何其它合適的天線����。
通信接412和429可兼容的通信協(xié)議的非窮盡示例列表包括Bluetooth���,ZigBeeTM,射頻標(biāo)識(shí)(RFID)���,超寬帶(UWB)��,IEEE802.11和專屬(proprietary)通信協(xié)議�。
處理器414�����、418���、424和428的非窮盡示例列表包括中央處理單元(CPU),數(shù)字信號(hào)處(DSP)��,精簡(jiǎn)指令集計(jì)算機(jī)(RISC)��,復(fù)雜指令集計(jì)算機(jī)(CISC)等�。此外,處理器414���、418���、424和428可是專用集成電路(ASIC)的一部分或是專用標(biāo)準(zhǔn)產(chǎn)品(ASSP)的一部分�����。
存儲(chǔ)器416和426的非窮盡示例列表包括下面的任意結(jié)合a)半導(dǎo)體器件�,諸如寄存器�,鎖存器,只讀存儲(chǔ)器(ROM)����,掩模(mask)ROM,電可擦除只讀存儲(chǔ)器器件(EEPROM)�,閃速存儲(chǔ)器器件,非易失隨機(jī)存取存儲(chǔ)器器件(NVRAM)�,同步動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(SDRAM)器件,RAMBUS動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(RDRAM)器件�,雙倍數(shù)據(jù)速率(DDR)存儲(chǔ)器器件,靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)���,通用串行總線(USB)可移除存儲(chǔ)器等���;b)光學(xué)器件����,諸如壓縮只讀存儲(chǔ)器(CD ROM)等��;及c)磁器件�,諸如硬盤,軟盤���,磁帶等���。
智能卡103包括硬件接430,連接到硬件接口430的控制器432�����,連接到控制器432的存儲(chǔ)器434�����。存儲(chǔ)器434存儲(chǔ)在由控制器432執(zhí)行時(shí)用作驅(qū)動(dòng)程序的可執(zhí)行代碼436�����。存儲(chǔ)器434也將文件438同關(guān)于智能卡所有者的已存儲(chǔ)個(gè)人信息一起存儲(chǔ)����。存儲(chǔ)器434也存儲(chǔ)智能卡103的公共/私有密鑰對(duì)(KPUBLIC,KPRIVATE)�����。
設(shè)備404�、智能卡讀取器102和智能卡103包括附加組件,其在圖4中沒有示出����,并為了簡(jiǎn)明未在這里對(duì)其進(jìn)行描述。
存儲(chǔ)器426可存儲(chǔ)可執(zhí)行代碼423���,可執(zhí)行代碼423在由處理器424執(zhí)行時(shí)����,運(yùn)行針對(duì)敏感數(shù)據(jù)422提供內(nèi)容保護(hù)的計(jì)算機(jī)應(yīng)用程序�。所述內(nèi)容保護(hù)應(yīng)用程序可利用隨機(jī)數(shù)據(jù)產(chǎn)生內(nèi)容保護(hù)密鑰。然后�,所述內(nèi)容保護(hù)應(yīng)用程序可利用該內(nèi)容保護(hù)密鑰來加密敏感數(shù)據(jù)422。所述內(nèi)容保護(hù)應(yīng)用程序可利用屬于智能卡103的公共密鑰來加密所述內(nèi)容保護(hù)密鑰����。然后�����,已加密的內(nèi)容保護(hù)密鑰然后可長(zhǎng)期存儲(chǔ)在存儲(chǔ)器426里�����。
然后�����,根據(jù)圖3示出的流程圖�,當(dāng)用戶希望訪問設(shè)備404并且設(shè)備404屬于鎖定狀態(tài)時(shí)����,可組合使用智能卡103和輸入到用戶輸入接口425的口令來驗(yàn)證用戶身份。利用兩個(gè)不同的信息來驗(yàn)證用戶身份�����,這稱為雙因素認(rèn)證��。利用雙因素認(rèn)證來保護(hù)敏感數(shù)據(jù)是一種雙因素內(nèi)容保護(hù)的形式�。
用于執(zhí)行根據(jù)上述方法的雙因素內(nèi)容保護(hù)的計(jì)算機(jī)可執(zhí)行指令可以采用計(jì)算機(jī)可讀介質(zhì)的形式存儲(chǔ)�。計(jì)算機(jī)可讀介質(zhì)包括以用于諸如計(jì)算機(jī)可讀指令��、數(shù)據(jù)結(jié)構(gòu)����、程序模塊和其它數(shù)據(jù)的信息存儲(chǔ)的任何方法和技術(shù)實(shí)現(xiàn)的易失性和非易失性�、可移除和非可移除的介質(zhì)。計(jì)算機(jī)可讀介質(zhì)包括但不限于隨機(jī)存取存儲(chǔ)器(RAM)��,只讀存儲(chǔ)器(ROM)�,電可擦除可編程ROM(EEPROM),閃速存儲(chǔ)器或其它存儲(chǔ)器技術(shù)���,壓縮盤ROM(CD-ROM)���,數(shù)字通用盤(DVD)或其它光學(xué)存儲(chǔ)器,磁盒(magnetic cassette)�,磁帶,磁盤存儲(chǔ)器或其它磁存儲(chǔ)設(shè)備����,或任何可用來存儲(chǔ)所需指令并可由設(shè)備404訪問的介質(zhì),其中訪問包括通過因特網(wǎng)或其它計(jì)算機(jī)網(wǎng)絡(luò)形式的訪問���。
盡管已經(jīng)以特定的結(jié)構(gòu)特征和/或方法邏輯動(dòng)作的語言描述了本主題���,但是可以理解�����,在所附權(quán)利要求中定義的主題不一定限于上述特定特征或動(dòng)作�����。而是����,上述特定特征和動(dòng)作是實(shí)現(xiàn)所述權(quán)利要求書的示例形式���。
權(quán)利要求
1.一種用于保護(hù)存儲(chǔ)在第一設(shè)備(404)中的內(nèi)容的方法�,所述方法包括利用屬于不同的第二設(shè)備(401)的公共/私有密鑰對(duì)中的公共密鑰(KPUBLIC)����,對(duì)屬于所述第一設(shè)備(404)的內(nèi)容保護(hù)密鑰進(jìn)行加密,其中所述第二設(shè)備是用于將所述第一設(shè)備(404)的使用僅限制至授權(quán)用戶的認(rèn)證設(shè)備(401)�����。
2.如權(quán)利要求1所述的方法,還包括利用隨機(jī)數(shù)據(jù)(204)產(chǎn)生所述內(nèi)容保護(hù)密鑰���。
3.如權(quán)利要求1或2所述的方法,還包括在屬于所述第一設(shè)備(404)的存儲(chǔ)器(426)中存儲(chǔ)所述已加密的內(nèi)容保護(hù)密鑰�。
4.如權(quán)利要求1到3之一所述的方法,還包括將所述已加密的內(nèi)容保護(hù)密鑰發(fā)送給所述第二設(shè)備(401)�,以由所述第二設(shè)備(401)利用所述密鑰對(duì)的私有密鑰(KPRIVATE)進(jìn)行解密。
5.如權(quán)利要求4所述的方法�,其中所述第二設(shè)備(401)請(qǐng)求所述私有密鑰(KPRIVATE)的使用口令,將所述已加密的內(nèi)容保護(hù)密鑰發(fā)送給所述第二設(shè)備(401)以進(jìn)行解密包括向所述第二設(shè)備(401)提供所述口令�。
6.如權(quán)利要求4或5所述的方法,其中將所述已加密的內(nèi)容保護(hù)密鑰發(fā)送給所述第二設(shè)備(401)是通過無線通信鏈接進(jìn)行的��。
7.如權(quán)利要求4到6之一所述的方法��,還包括從所述第二設(shè)備(401)接收已解密的內(nèi)容保護(hù)密鑰���。
8.如權(quán)利要求7所述的方法���,還包括將所述已解密的內(nèi)容保護(hù)密鑰暫時(shí)且透明地存儲(chǔ)在所述第一設(shè)備(404)的隨機(jī)存取存儲(chǔ)器或閃速存儲(chǔ)器中。
9.一種計(jì)算機(jī)可讀介質(zhì)�����,具有用于執(zhí)行如權(quán)利要求1到8之一所述的方法的計(jì)算機(jī)可執(zhí)行指令。
10.一種具有內(nèi)容保護(hù)功能的第一設(shè)備(404)��,包括存儲(chǔ)器(426)��;與所述存儲(chǔ)器連接的處理器(424)�;與所述處理器(424)連接的通信接口(429),所述第一設(shè)備(404)能夠通過通信接口(429)與具有公共/私有密鑰對(duì)并用于認(rèn)證所述第一設(shè)備(404)的用戶的第二設(shè)備(401)通信��,其中�,所述存儲(chǔ)器(426)能夠存儲(chǔ)可執(zhí)行代碼裝置(423),可執(zhí)行代碼裝置(423)設(shè)置為在由所述處理器(424)執(zhí)行時(shí)���,產(chǎn)生內(nèi)容保護(hù)密鑰��,并利用所述第二設(shè)備(401)的公共密鑰對(duì)所述內(nèi)容保護(hù)密鑰進(jìn)行加密�����。
11.如權(quán)利要求10所述的第一設(shè)備(404)����,其中所述可執(zhí)行代碼裝置(423)設(shè)置為在由處理器(424)執(zhí)行時(shí)�����,利用隨機(jī)數(shù)據(jù)來產(chǎn)生所述內(nèi)容保護(hù)密鑰。
12.如權(quán)利要求10或11所述的第一設(shè)備(404)����,其中所述可執(zhí)行代碼裝置(423)設(shè)置為在由處理器(424)執(zhí)行時(shí),發(fā)送所述已加密的內(nèi)容保護(hù)密鑰到所述第二設(shè)備(401)�����,以利用所述第二設(shè)備(401)的私有密鑰進(jìn)行解密��。
13.如權(quán)利要求12所述的第一設(shè)備(404)����,還包括用戶輸入接口(425)���,用于輸入口令以使用所述私有密鑰����。
14.一種用于提供內(nèi)容保護(hù)的系統(tǒng)��,包括具有內(nèi)容保護(hù)功能的第一設(shè)備(404)����,其中所述內(nèi)容保護(hù)功能設(shè)置為在由用戶啟用時(shí)產(chǎn)生用于保護(hù)所述第一設(shè)備(404)中的數(shù)據(jù)的內(nèi)容保護(hù)密鑰;以及具有公共/私有密鑰對(duì)的第二設(shè)備(401),其中所述公共/私有密鑰對(duì)用于對(duì)所述內(nèi)容保護(hù)密鑰進(jìn)行加密和解密��,以提供雙因素內(nèi)容保護(hù)��。
全文摘要
用于提供雙因素內(nèi)容保護(hù)的系統(tǒng)包括具有內(nèi)容保護(hù)功能的第一設(shè)備(404)�、以及用來認(rèn)證第一設(shè)備的用戶的第二設(shè)備(401)。所述第一設(shè)備(404)利用屬于第二設(shè)備(401)的公共/私有密鑰對(duì)中的公共密鑰(K
文檔編號(hào)G06F21/34GK101094073SQ20071014213
公開日2007年12月26日 申請(qǐng)日期2007年6月18日 優(yōu)先權(quán)日2006年6月22日
發(fā)明者邁克爾·K·布朗, 尼爾·亞當(dāng)斯, 邁克爾·S·布朗 申請(qǐng)人:捷訊研究有限公司