專利名稱:對(duì)一組存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)訪問(wèn)的系統(tǒng)和方法
對(duì)一組存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)訪問(wèn)的系統(tǒng)和方法技術(shù)領(lǐng)域本公開(kāi)總地涉及通過(guò)硬件密鑰對(duì) 一組存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)訪 問(wèn)的系統(tǒng)和方法����。
背景技術(shù):
隨著移動(dòng)電子設(shè)備使用的增加���,存儲(chǔ)在存儲(chǔ)設(shè)備上的數(shù)據(jù)的安全性已經(jīng) 變得非常重要����,因?yàn)橐坏?duì)電子設(shè)備進(jìn)行未授權(quán)的訪問(wèn)�,個(gè)人隱私和機(jī)密將會(huì)受到危害。雖然密碼(例如操作系統(tǒng)的登錄密碼��、BIOS密碼等)防止未 授權(quán)的使用者登錄到主機(jī)(例如��,膝上電腦)��,但是一旦將存儲(chǔ)設(shè)備從主機(jī) 系統(tǒng)移除��,那么就可能危及存儲(chǔ)設(shè)備的內(nèi)容�����。例如�,數(shù)據(jù)黑客可以物理地移 除存儲(chǔ)設(shè)備,并將其移動(dòng)到該數(shù)據(jù)黑客有權(quán)訪問(wèn)的另 一主機(jī)設(shè)備��。于是,就需要一種安全技術(shù)�,能對(duì)存儲(chǔ)在待使用的存儲(chǔ)設(shè)備上的數(shù)據(jù)進(jìn) 行加密��,從而即使在主機(jī)上的操作系統(tǒng)未激活的情況下也可以保護(hù)存儲(chǔ)設(shè)備 上的數(shù)據(jù)�����。例如�,如果試圖直接從該存儲(chǔ)設(shè)備讀取數(shù)據(jù),則在解密待訪問(wèn)的 存儲(chǔ)設(shè)備上的數(shù)據(jù)之前����,先要對(duì)訪問(wèn)請(qǐng)求進(jìn)行授權(quán)。此外��,對(duì)存儲(chǔ)設(shè)備上的數(shù)據(jù)進(jìn)行加密的加密密鑰的存儲(chǔ)位置影響被加密 的存儲(chǔ)設(shè)備的安全���。如果該加密密鑰存儲(chǔ)在主機(jī)中的存儲(chǔ)設(shè)備上��,當(dāng)主機(jī)丟 失或被盜時(shí)�����,可能危及加密密鑰的安全��。例如��,如果直接讀取存儲(chǔ)設(shè)備上的 數(shù)據(jù)���,并且加密密鑰的存儲(chǔ)位置為黑客所知��。由于加密密鑰位于系統(tǒng)中��,所 以可能危及數(shù)據(jù)安全�。另外�,對(duì)于存儲(chǔ)系統(tǒng)來(lái)說(shuō),數(shù)據(jù)完整性���、容錯(cuò)�����、吞吐量和存儲(chǔ)容量也很 重要�����。這樣�,獨(dú)立磁盤(pán)冗余陣列(RAID)可以用于在多個(gè)硬盤(pán)驅(qū)動(dòng)器之間 共享或復(fù)制數(shù)據(jù)。進(jìn)一步�����, 一組硬盤(pán)驅(qū)動(dòng)器可以組合成單個(gè)邏輯單元��。由于多個(gè)硬盤(pán)驅(qū)動(dòng)器的陣列的數(shù)據(jù)容量�,通過(guò)加密的數(shù)據(jù)的安全性可以顯著地提 高系統(tǒng)可靠性,并降低數(shù)據(jù)被盜的風(fēng)險(xiǎn)�。發(fā)明內(nèi)容此處描述了通過(guò)硬件密鑰對(duì)一組存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)訪問(wèn)的 系統(tǒng)和方法�����。本節(jié)中概述本發(fā)明的某些實(shí)施例��。一個(gè)實(shí)施例包括硬件密鑰截取從主機(jī)發(fā)往存儲(chǔ)設(shè)備的請(qǐng)求�,該請(qǐng)求用 于訪問(wèn)存儲(chǔ)在一組存儲(chǔ)設(shè)備的一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù),其中存儲(chǔ)在所述存儲(chǔ) 設(shè)備上的所述數(shù)據(jù)已經(jīng)被加密��。所述硬件密鑰被配置為插入主機(jī)的端口�,并 且控制對(duì)該組存儲(chǔ)設(shè)備的數(shù)據(jù)訪問(wèn)。所述硬件密鑰翻譯所述請(qǐng)求�,并且向該密鑰提供加密密鑰以破譯來(lái)自該組存儲(chǔ)設(shè)備的所述那個(gè)存儲(chǔ)設(shè)備的經(jīng)加密 的數(shù)據(jù)。在一個(gè)實(shí)施例中����,該組存儲(chǔ)設(shè)備包括獨(dú)立�;茲盤(pán)冗余陣列(RAID) 子系統(tǒng)��。在一個(gè)實(shí)施例中�����,硬件密鑰進(jìn)一步截取來(lái)自所述存儲(chǔ)設(shè)備的答復(fù)�����,所述 答復(fù)包括來(lái)自所述存儲(chǔ)設(shè)備的經(jīng)加密的數(shù)據(jù)�;并且所述硬件密鑰使用所述加 密密鑰來(lái)破譯經(jīng)加密的數(shù)據(jù)。進(jìn)一步����,在一個(gè)實(shí)施例中,硬件密鑰包括USB 密鑰�����。本公開(kāi)包括方法和執(zhí)行這些方法的裝置����,包括執(zhí)行這些方法的處理系統(tǒng) 和計(jì)算機(jī)可讀介質(zhì),所述計(jì)算機(jī)可讀介質(zhì)在處理系統(tǒng)上執(zhí)行時(shí)促使該系統(tǒng)執(zhí)4亍這些方法。從附圖和以下的詳細(xì)描述中�,本發(fā)明的其他特征將變得顯而易見(jiàn)。
本公開(kāi)通過(guò)示例而非限制的方式在附圖中闡明�����,其中相同的附圖標(biāo)記指 示相似的元件����。圖1圖示一組存儲(chǔ)設(shè)備的示例,根據(jù)一個(gè)實(shí)施例�����,所述存儲(chǔ)設(shè)備通過(guò)硬件密鑰與主機(jī)系統(tǒng)通信���。圖2圖示根據(jù)一個(gè)實(shí)施例的主機(jī)系統(tǒng)的示例性分解視圖,該主機(jī)系統(tǒng)通 過(guò)邏輯地連接到該主機(jī)系統(tǒng)的硬件密鑰與 一組存儲(chǔ)設(shè)備的至少 一個(gè)存儲(chǔ)設(shè) 備通信��。圖3A是圖示根據(jù)一個(gè)實(shí)施例為對(duì)一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備的數(shù)據(jù)加密和數(shù)據(jù)訪問(wèn)設(shè)置密碼的過(guò)程的流程圖��。圖3B是圖示根據(jù) 一 個(gè)實(shí)施例對(duì) 一組存儲(chǔ)設(shè)備的至少 一 個(gè)存儲(chǔ)設(shè)備的數(shù) 據(jù)加密和數(shù)據(jù)訪問(wèn)進(jìn)行授權(quán)的過(guò)程的流程圖���。圖3 C是圖示根據(jù) 一 個(gè)實(shí)施例識(shí)別丟失或被盜的便攜式設(shè)備的過(guò)程的流程圖���。圖4A是描述圖3B所示過(guò)程的示例的圖表�����。圖4B是進(jìn)一步描述圖3B所示過(guò)程的示例的圖表���。圖5是根據(jù)一個(gè)實(shí)施例的硬件密鑰的分解視圖。圖6圖示根據(jù)一個(gè)實(shí)施例的第一屏幕截圖�。圖7圖示根據(jù)一個(gè)實(shí)施例的第二屏幕截圖。圖8A圖示根據(jù)一個(gè)實(shí)施例的第三屏幕截圖���。圖8B圖示根據(jù)一個(gè)實(shí)施例的第四屏幕截圖��。圖8C圖示根據(jù)一個(gè)實(shí)施例的第五屏幕截圖��。圖9圖示根據(jù)一個(gè)實(shí)施例的第六屏幕截圖����。圖10圖示根據(jù)一個(gè)實(shí)施例的機(jī)器可讀介質(zhì)的方框圖��。
具體實(shí)施方式
以下的描述和附圖均為示意性的����,而不應(yīng)解釋為限制性的�����。若干特定的 細(xì)節(jié)被描述來(lái)提供對(duì)本公開(kāi)的詳盡理解����。然而�,在某些例子中,不描述公知 的或傳統(tǒng)的細(xì)節(jié)����,從而避免使描述難以理解。對(duì)本公開(kāi)中的一個(gè)實(shí)施例或一 實(shí)施例的引用可以是��,但并非一定是���,對(duì)同一實(shí)施例的引用;并且�����,這樣的 引用意味著至少一個(gè)�。在本申請(qǐng)文件中,對(duì)"一個(gè)實(shí)施例"或"一實(shí)施例"的引用意味著結(jié)合 該實(shí)施例所描述的特定的特征�、結(jié)構(gòu)或特性包括在本公開(kāi)的至少一個(gè)實(shí)施例 中����。在申請(qǐng)文件的不同位置出現(xiàn)的短語(yǔ)"在一個(gè)實(shí)施例中"并不必然全都引所描述的各種特征在某些實(shí)施例中可能展現(xiàn)�,但在其他實(shí)施例中可能不展 現(xiàn)。類(lèi)似地����,所描述的各種要求在某些實(shí)施例中可能是要求,而在其他實(shí)施 例中可能不是要求��。本公開(kāi)的實(shí)施例包括通過(guò)硬件密鑰對(duì) 一 組存儲(chǔ)器進(jìn)行數(shù)據(jù)加密和數(shù)據(jù) 訪問(wèn)的系統(tǒng)和方法����。隨著諸如個(gè)人計(jì)算機(jī)/膝上電腦的處理設(shè)備廣泛地用于存儲(chǔ)密集性任 務(wù),例如視頻和音頻編輯��,對(duì)大存儲(chǔ)容量系統(tǒng)的要求也變得突出���。這樣����,為了實(shí)現(xiàn)容錯(cuò)和高性能的大容量存儲(chǔ)系統(tǒng)�����,RAID配置可以用在服務(wù)器和/或個(gè) 人計(jì)算機(jī)上。RAID (獨(dú)立磁盤(pán)冗余陣列)配置將多個(gè)硬盤(pán)驅(qū)動(dòng)器組合成由操作系統(tǒng) 所見(jiàn)的單個(gè)邏輯單元���。進(jìn)一步�,不同等級(jí)的RAID配置可以提供不同等級(jí)的 數(shù)據(jù)鏡像或數(shù)據(jù)條帶�。RAID存儲(chǔ)配置可以使用IDE/ATA、 SATA�、 e-SATA、 SCSI���、光纖通道����、iSCSI�、高速SCSI、和/或PCI接口等的至少一個(gè)連接到 主機(jī)系統(tǒng)����。此外,RAID控制器可以連接到主機(jī)系統(tǒng)和所述RAID配置的多 個(gè)存儲(chǔ)設(shè)備����,以便將多個(gè)存儲(chǔ)設(shè)備向主機(jī)系統(tǒng)呈現(xiàn)為一邏輯單元�����。例如, RAID適配器可以嵌入在主機(jī)系統(tǒng)中(例如���,在主板上)或作為單獨(dú)的外接 附件(例如��,擴(kuò)展卡��、USB密鑰等)����。通過(guò)硬件模塊對(duì)存儲(chǔ)或者待存儲(chǔ)在存儲(chǔ)設(shè)備陣列的至少一個(gè)存儲(chǔ)設(shè)備 上的數(shù)據(jù)進(jìn)行加密���,提供一種安全的方式�,從而通過(guò)對(duì)存儲(chǔ)設(shè)備陣列(例如��, RAID陣列)的數(shù)據(jù)進(jìn)行加密來(lái)保護(hù)隱私和機(jī)密���。諸如磁盤(pán)驅(qū)動(dòng)器的存儲(chǔ)設(shè) 備上的現(xiàn)有數(shù)據(jù)可以通過(guò)加密得到保護(hù)��。數(shù)據(jù)加密可以通過(guò)邏輯地連接到所 述存儲(chǔ)設(shè)備陣列和主機(jī)系統(tǒng)的硬件密鑰來(lái)執(zhí)行�����。對(duì)已加密存儲(chǔ)設(shè)備的訪問(wèn)可 以通過(guò)將硬件密鑰物理地連接到主機(jī)和存儲(chǔ)設(shè)備陣列來(lái)獲得��。例如��,硬件密鑰可以包括至少兩個(gè)接口 ���, 一個(gè)用于連接到主機(jī)系統(tǒng)���,另 一個(gè)用于連接到存儲(chǔ)設(shè)備陣列。在一個(gè)實(shí)施例中���,連接到主機(jī)系統(tǒng)的接口可以使用USB接口����、串行接口��、并行接口���、火線接口等��。連接到存儲(chǔ)設(shè)備陣 列的接口可以是IDE/ATA���、 SATA、 e-SATA�����、 SCSI����、光纖通道、iSCSI��、高 速SCSI���、和/或PCI接口中的至少一種����。在一個(gè)實(shí)施例中�����,加密密鑰存儲(chǔ)在諸如硬件密鑰的���、可以從主機(jī)移除的 硬件設(shè)備上��,或者加密密鑰由硬件設(shè)備在別處進(jìn)行訪問(wèn)�����。加密密鑰可以存儲(chǔ) 在存儲(chǔ)器���、非易失性存儲(chǔ)器�����、閃存或硬件密鑰的離散邏輯中����。在一個(gè)實(shí)施例 中�����,硬件密鑰翻譯請(qǐng)求���,并且向一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備發(fā)送命令 以訪問(wèn)經(jīng)加密的數(shù)據(jù)���。如果硬件密鑰接收到從存儲(chǔ)設(shè)備讀取數(shù)據(jù)的命令,那么可以生成需要密 碼的提醒���。當(dāng)提供了正確的密碼時(shí)�,所請(qǐng)求的數(shù)據(jù)從存儲(chǔ)設(shè)備讀取并且被破 譯(例如,被解密)��。類(lèi)似地�,如果接收到擦除存儲(chǔ)設(shè)備上數(shù)據(jù)的請(qǐng)求�,那 么也可以向使用者請(qǐng)求密碼。例如�����,硬件密鑰可以在存儲(chǔ)器中存儲(chǔ)至少加密密鑰��。所述至少一個(gè)加密 密鑰對(duì)應(yīng)于存儲(chǔ)設(shè)備��、文件��、或文件夾����,其中存儲(chǔ)的數(shù)據(jù)用加密密鑰進(jìn)行加 密。在一個(gè)實(shí)施例中��,由位于硬件密鑰中的控制器幫助進(jìn)行加密密鑰管理��。在一個(gè)實(shí)施例中,RAID子系統(tǒng)通過(guò)AT嵌入式(ATA)接口連接到硬 件密鑰�����。根據(jù)一個(gè)實(shí)施例�,當(dāng)硬件密鑰接收到對(duì)一組存儲(chǔ)設(shè)備的存儲(chǔ)設(shè)備上 的數(shù)據(jù)進(jìn)行訪問(wèn)的請(qǐng)求時(shí),硬件密鑰提供加密密鑰來(lái)破譯待發(fā)送回生成所述 請(qǐng)求的主機(jī)系統(tǒng)的數(shù)據(jù)�。在一個(gè)實(shí)施例中, 一組存儲(chǔ)設(shè)備包括獨(dú)立磁盤(pán)冗余陣列(RAID)子系 統(tǒng)�����。在一個(gè)實(shí)施例中���,硬件密鑰截取來(lái)自存儲(chǔ)設(shè)備的答復(fù)��,所述答復(fù)包括來(lái) 自存儲(chǔ)設(shè)備的已加密數(shù)據(jù)���;硬件密鑰使用加密密鑰來(lái)破譯所述已加密數(shù)據(jù)。 在一個(gè)實(shí)施例中���,硬件密鑰包括USB密鑰����。存儲(chǔ)在存儲(chǔ)設(shè)備上的被請(qǐng)求數(shù) 據(jù)可以以任何合適的加密算法加密。例如����,可以使用的加密算法包括但不限 于數(shù)據(jù)加密標(biāo)準(zhǔn)(DES/3DES) 、 Blowfish����、國(guó)際數(shù)據(jù)加密算法(IDEA)、軟件優(yōu)化加密算法(SEAL) ��、 RC4�����、高級(jí)加密標(biāo)準(zhǔn)(AES)等���。根據(jù)一個(gè)實(shí)施例,當(dāng)接收到保護(hù)存儲(chǔ)設(shè)備的命令時(shí)���,啟動(dòng)密碼設(shè)置過(guò)程��。 初始的設(shè)置過(guò)程使使用者可以設(shè)置一個(gè)以上的密碼來(lái)訪問(wèn)(例如�,加密�����、破 譯、刪除����、備份等)存儲(chǔ)設(shè)備上的數(shù)據(jù)。根據(jù)一個(gè)實(shí)施例���,可以為系統(tǒng)的不 同使用者設(shè)置不同的訪問(wèn)級(jí)別(例如�����,讀取/寫(xiě)入/擦除的權(quán)限)���。例如,系 統(tǒng)管理員可以被授權(quán)為對(duì)來(lái)自存儲(chǔ)設(shè)備的數(shù)據(jù)加密和破譯�。系統(tǒng)管理員還擁 有用不同的加密密鑰啟動(dòng)重加密的權(quán)限。被授權(quán)的使用者可以擁有從已加密 驅(qū)動(dòng)器讀取(或破譯)數(shù)據(jù)的權(quán)限�。根據(jù) 一 個(gè)實(shí)施例,通過(guò)提供一 與預(yù)定密碼匹配的密碼來(lái)獲得對(duì)被保護(hù)的 存儲(chǔ)設(shè)備上的已加密數(shù)據(jù)的訪問(wèn)��。通過(guò)提供所述預(yù)定的密碼��,可以訪問(wèn)到用 于對(duì)被保護(hù)存儲(chǔ)設(shè)備上的數(shù)據(jù)進(jìn)行加密的加密密鑰�,從而破譯所述已加密數(shù) 據(jù)��。在一個(gè)實(shí)施例中����,力�。密密鑰或加密密鑰的被掩蓋(masked)版本存儲(chǔ)在 主機(jī)系統(tǒng)的至少一個(gè)存儲(chǔ)設(shè)備上,位于存儲(chǔ)設(shè)備的����、在登錄到操作系統(tǒng)之前 的引導(dǎo)期間可訪問(wèn)的預(yù)定位置。圖1示出一組存儲(chǔ)設(shè)備112A-N的示例�����,根據(jù)一個(gè)實(shí)施例��,所述存儲(chǔ) 設(shè)備通過(guò)硬件密鑰110與主機(jī)系統(tǒng)106通信�。一組存儲(chǔ)設(shè)備112A-N包括至少一個(gè)硬盤(pán)驅(qū)動(dòng)器���、帶有并行端口 (PATA)的硬盤(pán)驅(qū)動(dòng)器����、帶有串行AT嵌入式端口 (SATA)的硬盤(pán)驅(qū)動(dòng)器����、 SCSI驅(qū)動(dòng)器�、光盤(pán)驅(qū)動(dòng)器�、磁盤(pán)驅(qū)動(dòng)器、外部存儲(chǔ)設(shè)備��、諸如閃存設(shè)備的 半導(dǎo)體存儲(chǔ)區(qū)���、或者作為主機(jī)系統(tǒng)106外設(shè)的磁光存儲(chǔ)設(shè)備�����。硬件密鑰110 可以是插入到系統(tǒng)端口 (例如�,并行���、串行����、USB�����、或火線端口)的設(shè)備�。 在一個(gè)實(shí)施例中����,硬件密鑰100是可以在主機(jī)系統(tǒng)運(yùn)轉(zhuǎn)時(shí)從主才幾系統(tǒng)插拔的 存儲(chǔ)器設(shè)備�����。例如��,硬件密鑰可以是支持即插即用(熱交換)的設(shè)備�����。此外���,硬件密 鑰110可以是能夠執(zhí)行加密和解密過(guò)程并存儲(chǔ)所需軟件代碼的任何類(lèi)型的 存儲(chǔ)和/或記憶設(shè)備�����。在一個(gè)實(shí)施例中,在硬件密鑰未連接到主機(jī)系統(tǒng)時(shí)����, 不能訪問(wèn)主機(jī)系統(tǒng)的存儲(chǔ)設(shè)備。在一個(gè)實(shí)施例中�����,硬件密鑰是通過(guò)USB接口連接到主機(jī)系統(tǒng)的USB密鑰。也可以使用其他類(lèi)型的硬件密鑰或接口 ����。在一個(gè)實(shí)施例中,硬件密鑰包括控制器�����、存儲(chǔ)控制器和具有加密模塊的 處理單元�、操作系統(tǒng)和/或硬件驅(qū)動(dòng)器。在可替代的實(shí)施例中���,硬件密鑰可 以包括更少的部件或附加的部件��。在一個(gè)實(shí)施例中�����,硬件密鑰作為到其他設(shè)備的通道����。當(dāng)使用者想要退出 時(shí),硬件密鑰可以物理地從主機(jī)系統(tǒng)斷開(kāi)并保護(hù)系統(tǒng)����。除非硬件密鑰連接到 主機(jī)系統(tǒng),否則不能重新獲得訪問(wèn)�。所以,位于硬件密鑰中的加密密鑰未存 儲(chǔ)在系統(tǒng)本身中��。在一個(gè)實(shí)施例中����,當(dāng)提供了預(yù)定的密碼并且存儲(chǔ)加密密鑰 的硬件密鑰連接到主機(jī)系統(tǒng)和待讀取的存儲(chǔ)設(shè)備時(shí),硬件密鑰上的加密密鑰 是可訪問(wèn)的���。在一個(gè)實(shí)施例中�����,硬件密鑰截取從主機(jī)向一組(陣列)存儲(chǔ)設(shè)備的至少 一個(gè)存儲(chǔ)設(shè)備發(fā)送的請(qǐng)求����。已經(jīng)使用至少一個(gè)加密密鑰對(duì)存儲(chǔ)在存儲(chǔ)設(shè)備上 的數(shù)據(jù)進(jìn)行了加密����,并且硬件密鑰被配置為插入主機(jī)的端口。在一個(gè)實(shí)施例 中���,硬件密鑰進(jìn)一步包括一單元���,其使用該加密密鑰破譯來(lái)自存儲(chǔ)設(shè)備的已 加密數(shù)據(jù)的單元,以及控制對(duì)所述一組存儲(chǔ)設(shè)備的數(shù)據(jù)訪問(wèn)��。例如��,所述控制對(duì)一組存儲(chǔ)設(shè)備的數(shù)據(jù)訪問(wèn)的單元包括控制RAID子系統(tǒng)的單元����。硬件密鑰可以存儲(chǔ)至少一個(gè)用于保護(hù)存儲(chǔ)設(shè)備的加密密鑰。在一個(gè)實(shí)施例中�, 一組存儲(chǔ)設(shè)備的至少 一個(gè)存儲(chǔ)設(shè)備已經(jīng)由至少 一個(gè)加密密鑰進(jìn)行保護(hù),并且所存儲(chǔ)的加密密鑰可以由主機(jī)在建立連接后進(jìn)行訪問(wèn)����。例如,控制器管理加密密鑰和由該加密密鑰保護(hù)的存儲(chǔ)設(shè)備�����。在一個(gè)實(shí)施例中���,在控制器或存儲(chǔ)器的查找表中����,將加密密鑰與對(duì)應(yīng)的用該加密密鑰加密的存儲(chǔ)設(shè)備相匹配?���?梢允褂闷渌芾砑夹g(shù)。加密模塊可以包括用于存儲(chǔ)至少一個(gè)用于保護(hù)任意數(shù)目存儲(chǔ)設(shè)備的加密密鑰的存儲(chǔ)器����。在一個(gè)實(shí)施例中,加密模塊不存儲(chǔ)加密密鑰��。相反�����,加密密鑰從另一設(shè)備發(fā)送到硬件密鑰110,用于數(shù)據(jù)解密�。在一個(gè)實(shí)施例中,硬件密鑰110通過(guò)主機(jī)系統(tǒng)106連接到一組存儲(chǔ)設(shè)備112A-N��。在一個(gè)實(shí)施例中���,加密密鑰以被掩蓋的形式存儲(chǔ)在硬件密鑰上����,從而使得如果硬件密鑰丟失也不會(huì)危及加密密鑰的機(jī)密性���。此外��,加密密鑰以被掩 蓋(例如�����,被加密����、被掩蓋�、私鑰/公鑰輪詢交換等)的形式在設(shè)備之間傳 遞,從而防止在傳遞被截取的情況下危及加密密鑰的機(jī)密性��。加密密鑰可以以多種形式中的一種被掩蓋(被掩飾)�����。例如��,加密密鑰 存儲(chǔ)在硬件密鑰上時(shí)�,可以用由使用者設(shè)置的密碼所確定的私鑰進(jìn)行加密���。 這樣,在確認(rèn)請(qǐng)求�,例如使用者提供正確的密碼后,可以對(duì)加密密鑰去掩蓋��。 正確的密碼可以提供對(duì)私鑰的訪問(wèn)�,也可以是用于對(duì)加密密鑰進(jìn)行掩蓋的私 鑰本身。此外��,可以以預(yù)定的算法為基礎(chǔ)對(duì)加密密鑰進(jìn)行哈希(hash)��。預(yù)定的 算法可以是以預(yù)定的密碼對(duì)加密密鑰進(jìn)行的操作(例如�����,布爾操作���、算術(shù)操 作等)���。這樣,為了訪問(wèn)加密密鑰的未哈希版本����,使用者要提供預(yù)定的密碼�。 在一個(gè)實(shí)施例中��,預(yù)定的密碼使得對(duì)加密密鑰進(jìn)行預(yù)定的算法�����,以訪問(wèn)未哈 希版本��。在一個(gè)實(shí)施例中����,主機(jī)上的各文件具有不同的加密密鑰�。在一些實(shí)施例 中,各文件夾具有不同的加密密鑰�����。在其他實(shí)施例中���,用一個(gè)加密密鑰加密 位于存儲(chǔ)設(shè)備上的所有數(shù)據(jù)�。文件特定加密密鑰����、文件夾特定加密密鑰和/ 或分區(qū)特定加密密鑰的組合可以在主機(jī)系統(tǒng)的存儲(chǔ)設(shè)備或多個(gè)存儲(chǔ)設(shè)備上 實(shí)施��。向文件���、文件夾、分區(qū)和/或存儲(chǔ)設(shè)備分配加密密鑰可以是自動(dòng)的或 者是使用者指定的����。此外,用于數(shù)據(jù)加密的加密密鑰可以根據(jù)使用者請(qǐng)求或基于自動(dòng)觸發(fā)而 進(jìn)行改變����。在應(yīng)用不同加密密鑰之前,被加密的數(shù)據(jù)可以用在用不同的加密 密鑰再次對(duì)同樣的數(shù)據(jù)進(jìn)行加密之前的�����,原始密鑰進(jìn)行解密����。例如,自動(dòng)觸 發(fā)可以是基于事件的�����,所述事件例如是多次失敗的登錄嘗試后的成功嘗試。 自動(dòng)觸發(fā)也可以是基于時(shí)間的����,例如當(dāng)加密密鑰已經(jīng)使用了預(yù)定時(shí)間量的時(shí) 候。在一個(gè)實(shí)施例中���,硬件密鑰110是USB密鑰����,其能夠插入主機(jī)系統(tǒng)上 的USB端口�����。例如�����,USB密鑰可以是閃存驅(qū)動(dòng)器�����,其可以移除和重寫(xiě)���。根據(jù)一個(gè)實(shí)施例,硬件密鑰110中的控制器是USB控制器���。在一個(gè)實(shí)施例中�����,硬件密鑰上的存儲(chǔ)控制器(硬盤(pán)控制器)是RAID控 制器����,用于管理連接到硬件密鑰110的RAID陣列。 一般來(lái)說(shuō)�����,存儲(chǔ)控制器 可以是IED(PATA)�����、串行ATA����、外部-SATA、 SCSI�、和/或iSCSI接口適 配器。硬件密鑰UO可以包括任意數(shù)目的帶有上述適配器的任意組合的存儲(chǔ) 控制器��。主機(jī)系統(tǒng)106可以是支持存儲(chǔ)設(shè)備102和具有各種邏輯配置的存儲(chǔ)設(shè)備 陣列112A-N的任何類(lèi)型的系統(tǒng)。例如�,主機(jī)系統(tǒng)可以包括但不限于臺(tái) 式計(jì)算機(jī)、諸如筆記本電腦的移動(dòng)計(jì)算設(shè)備���、膝上計(jì)算機(jī)����、手持計(jì)算機(jī)�、移 動(dòng)電話、智能電話�����、PDA等�����。在一個(gè)實(shí)施例中�����,主機(jī)系統(tǒng)106可以連接到 網(wǎng)絡(luò)108�����。在一個(gè)實(shí)施例中���,存儲(chǔ)設(shè)備陣列112A-N可以連接�����。在其他實(shí)施 例中�����,可以通過(guò)芯片組���,使用嵌入主機(jī)系統(tǒng)操作系統(tǒng)的驅(qū)動(dòng)器來(lái)重新定向已 加密數(shù)據(jù),并將其重新定向到使用或不使用截取器104的內(nèi)部存儲(chǔ)設(shè)備�。圖2圖示根據(jù)一個(gè)實(shí)施例的主機(jī)系統(tǒng)106的分解視圖,該主機(jī)系統(tǒng)通過(guò) 硬件密鑰110與一組存儲(chǔ)設(shè)備112A-N通信���,所述硬件密鑰IIO通過(guò)主機(jī) 系統(tǒng)106的端口 208連接到該主機(jī)系統(tǒng)��。在一個(gè)實(shí)施例中��,主機(jī)系統(tǒng)106包括處理單元202��、芯片組204�����、存儲(chǔ) 器206�、端口 208和I/0設(shè)備陣列,所述I/0設(shè)備可以包括鍵盤(pán)�����、指示設(shè)備���、 聲音系統(tǒng)和/或視頻系統(tǒng)等�����。端口 208可以是以下的至少一種串行端口 (例 如RS - 232 )�����、并4亍端口 ��、以太網(wǎng)端口 、火線�����、和/或USB端口 。此外�,端 口 208可以是虛擬端口 ,例如模擬物理串行端口的虛擬串行端口 �����。所圖示的主機(jī)系統(tǒng)106是示例性概括����,于是,在不脫離當(dāng)前公開(kāi)精神的 情況下可能有許多變化和修改�����。例如��,存儲(chǔ)器可以位于在本領(lǐng)域中公知為 "北"橋上���;視頻可以具有自己?jiǎn)为?dú)的北橋訪問(wèn)�����,1/0可以通過(guò)"南"橋連 接����。在一個(gè)實(shí)施例中,端口 208通過(guò)芯片組204連接到主機(jī)系統(tǒng)106���。 一組 存儲(chǔ)設(shè)備112A - N還可以包括通過(guò)不同接口與硬件密鑰通信的硬盤(pán)驅(qū)動(dòng)器�。硬件密鑰1 10可以具有任意數(shù)目的適于與不同存儲(chǔ)設(shè)備通信的存儲(chǔ)控制器����,其中存儲(chǔ)設(shè)備例如是串行ATA ( SATA )、并行ATA ( PATA )接口 �����、火線����、 SCSI或USB。在一個(gè)實(shí)施例中�, 一組存儲(chǔ)設(shè)備112A-N被配置為RAID陣 列,并且通過(guò)具有RAID控制器的硬件密鑰IIO與主機(jī)系統(tǒng)通信�����。具有一組存儲(chǔ)設(shè)備112A-N的硬件密鑰IIO接口支持由不同存儲(chǔ)設(shè)備 的規(guī)格決定的不同數(shù)據(jù)傳送速率����。例如,SATA接口支持1.5Gbits/s���、 3Gbits/s 和6Gbits/s的數(shù)據(jù)速率�?��;鹁€800和火線400總線也具有不同的數(shù)據(jù)傳送速 率����。圖3A是圖示根據(jù)一個(gè)實(shí)施例為對(duì)一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備的 數(shù)據(jù)加密和數(shù)據(jù)訪問(wèn)設(shè)置密碼的過(guò)程的流程圖300A�����。在過(guò)程302中�����,接收訪問(wèn)存儲(chǔ)設(shè)備的第一請(qǐng)求�����。例如�,當(dāng)使用者試圖登 錄到新購(gòu)買(mǎi)的膝上電腦(例如,主機(jī)系統(tǒng))時(shí)��,使用者生成第一請(qǐng)求以訪問(wèn) 新購(gòu)買(mǎi)的膝上電腦的存儲(chǔ)設(shè)備。此外��,當(dāng)使用者試圖使用一組存儲(chǔ)設(shè)備的至 少 一個(gè)存儲(chǔ)設(shè)備時(shí)���,使用者生成第 一請(qǐng)求來(lái)訪問(wèn)該存儲(chǔ)設(shè)備���。在一個(gè)實(shí)施例中,在使用者試圖保護(hù)位于一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ) 設(shè)備上的現(xiàn)有數(shù)據(jù)時(shí)��,也生成訪問(wèn)所使用的存儲(chǔ)設(shè)備的第一請(qǐng)求��。該請(qǐng)求可 以基于安裝在主機(jī)系統(tǒng)上的軟件或連接到主機(jī)系統(tǒng)的硬件密鑰來(lái)檢測(cè)����。第二操作系統(tǒng)。試圖訪問(wèn)特定文件或文件夾也可以觸發(fā)用于訪問(wèn)存儲(chǔ)在存儲(chǔ) 設(shè)備上的已加密數(shù)據(jù)的請(qǐng)求��。此外����,當(dāng)系統(tǒng)或操作系統(tǒng)退出睡眠模式、省電 模式或超時(shí)時(shí)����,可以自動(dòng)或手動(dòng)地生成請(qǐng)求�����。 一般來(lái)說(shuō),在系統(tǒng)引導(dǎo)或系統(tǒng) 重啟期間將會(huì)自動(dòng)地生成該請(qǐng)求����。在過(guò)程304,使用者被提示設(shè)置至少一個(gè)密碼和密碼提示���,如圖6的示 例屏幕截圖所示�����。硬件密鑰(例如�����,USB密鑰)可以在密碼設(shè)置期間連接到 (例如�����,插入U(xiǎn)SB端口 )主機(jī)系統(tǒng)�,因?yàn)樵谝粋€(gè)實(shí)施例中,加密密鑰存儲(chǔ) 在硬件密鑰上���。在一個(gè)實(shí)施例中���,至少一個(gè)密碼用來(lái)生成至少一個(gè)加密密鑰, 以加密主機(jī)系統(tǒng)的一組存儲(chǔ)設(shè)備的至少 一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù)����。在一個(gè)實(shí)施例中,加密密鑰是預(yù)定的�,并且與之前由使用者為響應(yīng)該請(qǐng) 求而設(shè)置的至少一個(gè)密碼相關(guān)。此外��,基于由使用者設(shè)置的至少一個(gè)密碼��, 預(yù)定的加密密鑰可以進(jìn)一步被掩蓋(加密或哈希)���。根據(jù)一個(gè)實(shí)施例���, 一旦 以錯(cuò)誤的密碼試圖登錄失敗,密碼提示就將提供給使用者���,如圖9的示例屏 幕截圖所示��。根據(jù)一個(gè)實(shí)施例�, 一旦初始設(shè)置過(guò)程完成并且預(yù)定的密碼被提供,則待 寫(xiě)入存儲(chǔ)設(shè)備的新數(shù)據(jù)可以在存儲(chǔ)到存儲(chǔ)設(shè)備之前被加密�����。此外���,如果使用 者想要加密所使用的磁盤(pán)驅(qū)動(dòng)器,已經(jīng)存儲(chǔ)在該磁盤(pán)驅(qū)動(dòng)器上的數(shù)據(jù)可以被 移動(dòng)到第二存儲(chǔ)位置(例如��,同一磁盤(pán)驅(qū)動(dòng)器上的另一存儲(chǔ)位置�����、另一存儲(chǔ) 設(shè)備���、系統(tǒng)存儲(chǔ)器����、存儲(chǔ)器設(shè)備等)以便被加密����,然后再移動(dòng)回原始的存儲(chǔ) 位置。在過(guò)程306,創(chuàng)建密碼以及密碼提示的哈希版本?��?梢詣?chuàng)建密碼和密碼提示的哈希(或者以其他方式掩蓋)版本�����,以便保護(hù)密碼和密碼提示���。例如, 如果數(shù)據(jù)直接從存儲(chǔ)設(shè)備或硬件密鑰讀取數(shù)據(jù)�����,密碼將以被掩飾的形式出現(xiàn)�����?����?梢允褂酶鞣N哈希算法���。根據(jù)一個(gè)實(shí)施例�,加密算法可以用來(lái)掩蓋密碼。 在過(guò)程308,密碼和/或密碼提示的哈希后(或通過(guò)任何算法掩飾后)的 版本存儲(chǔ)在一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備的預(yù)定位置上或存儲(chǔ)在硬件密鑰的預(yù)定位置上����。根據(jù)一個(gè)實(shí)施例,密碼和/或提示的哈希版本存儲(chǔ)在存 儲(chǔ)設(shè)備上或硬件密鑰上的�、主機(jī)操作系統(tǒng)不可訪問(wèn)的扇區(qū)中。這樣�,在沒(méi)有 首先提供正確密碼的情況下,操作系統(tǒng)不能繞過(guò)對(duì)已加密數(shù)據(jù)的訪問(wèn)��。在一 個(gè)實(shí)施例中��,密碼和/或密碼提示的哈希版本存儲(chǔ)在同 一 主機(jī)系統(tǒng)的另 一 存 儲(chǔ)設(shè)備上��。例如���,對(duì)從設(shè)備的密碼存儲(chǔ)在主設(shè)備上。在過(guò)程310,存儲(chǔ)在一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備上的用于加密數(shù) 據(jù)的加密密鑰由密碼確定�,并且加密密鑰與密碼相關(guān)聯(lián)用于將來(lái)的訪問(wèn)。在 一個(gè)實(shí)施例中�����,加密密鑰根據(jù)密碼生成���,并存儲(chǔ)在硬件密鑰上��。在一個(gè)實(shí)施 例中�����,加密密鑰是預(yù)定的����,并且可以基于以密碼進(jìn)行操作來(lái)被進(jìn)一 步掩飾(例 如,被哈?��;虮患用?�,從而創(chuàng)建額外的保護(hù)層���。在一個(gè)實(shí)施例中�,密碼是用于對(duì)加密密鑰進(jìn)行加密的私鑰�。因此,如果密碼受到危及�����,由于特定的算 法對(duì)于黑客來(lái)說(shuō)是未知的����,所以加密密鑰仍然能得到保護(hù)���。在操作312中, 一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù)用加密密鑰進(jìn)行加密��。例如���,如圖7的示例屏幕截圖所示�,可以在窗口 702中所示的"源 驅(qū)動(dòng)器(Source Drive:)"列表下選擇要被保護(hù)的源驅(qū)動(dòng)器����。在一個(gè)實(shí)施例 中,可以選擇"目的地驅(qū)動(dòng)器(Destination Drive )��,�,(例如�����,從圖7的"目 的地驅(qū)動(dòng)器(Destination Drive )"窗口 704)來(lái)將數(shù)據(jù)從"源驅(qū)動(dòng)器"移動(dòng) 到該"目的地驅(qū)動(dòng)器"�����。數(shù)據(jù)可以從源驅(qū)動(dòng)器移動(dòng)并且在目的地驅(qū)動(dòng)器處被 加密。被加密的數(shù)據(jù)可以移動(dòng)回源驅(qū)動(dòng)器或者存儲(chǔ)在目的地驅(qū)動(dòng)器上��。源驅(qū) 動(dòng)器和目的地驅(qū)動(dòng)器可以屬于同一存儲(chǔ)設(shè)備陣列(例如����,在RAID配置中)。 在一個(gè)實(shí)施例中��,源驅(qū)動(dòng)器和目的地驅(qū)動(dòng)器可以是作為單獨(dú)的邏輯單元呈現(xiàn) 給主機(jī)系統(tǒng)的存儲(chǔ)設(shè)備����。在一個(gè)實(shí)施例中,不需要選擇目的地驅(qū)動(dòng)器�����。例如����,源驅(qū)動(dòng)器上的待加 密數(shù)據(jù)移動(dòng)到待加密的同 一驅(qū)動(dòng)器上的第二存儲(chǔ)位置(例如,不同的分區(qū))�。 類(lèi)似的,已加密的數(shù)據(jù)要么被移動(dòng)回原始的存儲(chǔ)位置���,要么存儲(chǔ)在源驅(qū)動(dòng)器 上的第二存儲(chǔ)位置��。在一個(gè)實(shí)施例中����,如果主機(jī)系統(tǒng)生成向一組存儲(chǔ)設(shè)備的 至少 一 個(gè)存儲(chǔ)設(shè)備寫(xiě)入數(shù)據(jù)的請(qǐng)求,數(shù)據(jù)在移動(dòng)到存儲(chǔ)設(shè)備之前先用加密密 鑰進(jìn)行加密���。此外��,數(shù)據(jù)可以在加密之前寫(xiě)入存儲(chǔ)設(shè)備����,稍后基于自動(dòng)觸發(fā) 或手動(dòng)觸發(fā)被加密�。例如,在預(yù)定時(shí)間間隔內(nèi)寫(xiě)入的數(shù)據(jù)被加密��。類(lèi)似地�����, 寫(xiě)入的預(yù)定量的數(shù)據(jù)(例如��,5KB)可以同時(shí)被加密��。圖3B是圖示根據(jù)一個(gè)實(shí)施例對(duì)一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備的數(shù) 據(jù)加密和數(shù)據(jù)訪問(wèn)進(jìn)行授權(quán)的過(guò)程的流程圖300B�。在過(guò)程322,接收對(duì)存儲(chǔ)設(shè)備或一組存儲(chǔ)設(shè)備的存儲(chǔ)設(shè)備進(jìn)行訪問(wèn)的請(qǐng) 求����。例如,該請(qǐng)求可以在一旦啟動(dòng)會(huì)話時(shí)被接收����。會(huì)話可以響應(yīng)于上電、暫 停結(jié)束或系統(tǒng)重啟而被啟動(dòng)���。還可以在當(dāng)前是睡眠模式或省電模式而硬件密 鑰插入主機(jī)系統(tǒng)端口后觸發(fā)會(huì)話���。對(duì)存儲(chǔ)設(shè)備進(jìn)行訪問(wèn)的請(qǐng)求還可以通過(guò)將 對(duì)應(yīng)的^更件密鑰插入主才幾系統(tǒng)上的端口來(lái)啟動(dòng)。在一個(gè)實(shí)施例中����,在訪問(wèn)存儲(chǔ)設(shè)備的特定分區(qū)、文件夾或文件時(shí)生成請(qǐng) 求�。進(jìn)一步,還可以在訪問(wèn)位于存儲(chǔ)設(shè)備的不同分區(qū)上的不同操作系統(tǒng)時(shí)生 成請(qǐng)求�����。在過(guò)程324,使用者被提示需要密碼,如圖8B的示例屏幕截圖所示���。 密碼用于授權(quán)訪問(wèn)存儲(chǔ)器上的數(shù)據(jù)���。例如,密碼可以是用于對(duì)存儲(chǔ)在硬件密 鑰上的至少一個(gè)加密密鑰進(jìn)行解密的私鑰�。此外,如上所述����,密碼可以用于 去掩蓋(例如,解哈希)或執(zhí)行其他操作來(lái)破譯加密密鑰�����。根據(jù)一個(gè)實(shí)施例�, 多個(gè)密碼可以用于 一個(gè)存儲(chǔ)設(shè)備上的不同的文件、文件夾�、操作系統(tǒng)或分區(qū)。在過(guò)程326中���,基于預(yù)定的算法計(jì)算使用者所提交的密碼的經(jīng)哈希的版 本����。根據(jù)一個(gè)實(shí)施例,可以使用加密算法����。在過(guò)程328���,存儲(chǔ)在一組存儲(chǔ)設(shè) 備的至少一個(gè)存儲(chǔ)設(shè)備上或硬件密鑰上的預(yù)定位置處的預(yù)定密碼的經(jīng)哈希 的版本被識(shí)別����。在過(guò)程330中����,預(yù)定密碼的經(jīng)哈希的版本或者以其他方式被 掩飾的版本與使用者所提交密碼的經(jīng)哈希的版本或者以其他方式被掩飾的 版本進(jìn)行比較。在過(guò)程332,如果確定匹配����,則可以訪問(wèn)加密密鑰。在過(guò)程 334,從主機(jī)系統(tǒng)的使用者要訪問(wèn)的存儲(chǔ)設(shè)備請(qǐng)求的數(shù)據(jù)被解密���。在 一 個(gè)實(shí)施例中����,在可以訪問(wèn)硬件密鑰上的加密密鑰以解密被保護(hù)數(shù)據(jù) 之前�,由使用者提供預(yù)定的密碼��。例如��,當(dāng)硬件密鑰接收到從存儲(chǔ)設(shè)備讀取 數(shù)據(jù)的請(qǐng)求時(shí)��,在主機(jī)系統(tǒng)上向使用者生成密碼請(qǐng)求�����。當(dāng)接收與預(yù)定密碼匹 配的密碼時(shí)�,可以訪問(wèn)^哽件密鑰上的加密密鑰����。在一個(gè)實(shí)施例中,訪問(wèn)加密 密鑰包括訪問(wèn)第二加密密鑰以破譯加密密鑰��。例如�,正確的密碼在從使用者 接收到時(shí)可以用于解密加密密鑰本身。這樣���,加密密鑰以被掩飾的形式存儲(chǔ) 在硬件密鑰上����,從而提供額外的安全����。在一個(gè)實(shí)施例中���,該方法包括作為對(duì)接收到請(qǐng)求的響應(yīng),提示使用者 提供密碼��,并且作為對(duì)接收到與預(yù)定密碼匹配的密碼的響應(yīng)�����,訪問(wèn)加密密鑰 以破譯存儲(chǔ)在存儲(chǔ)設(shè)備上的被請(qǐng)求的數(shù)據(jù)�����。例如���,當(dāng)主機(jī)系統(tǒng)退出睡眠模式 時(shí),可以提示使用者在進(jìn)一步使用主機(jī)系統(tǒng)之前提供正確的密碼�。在登錄系統(tǒng)之前,使用者提供的密碼與可訪問(wèn)的預(yù)定密碼進(jìn)行比較��。在一個(gè)實(shí)施例中�,預(yù)定的密碼存儲(chǔ)在待訪問(wèn)的存儲(chǔ)設(shè)備的預(yù)定位置。例如��,預(yù) 定的密碼可以存儲(chǔ)在可引導(dǎo)的存儲(chǔ)設(shè)備的主引導(dǎo)記錄中。在一個(gè)實(shí)施例中���, 用于一個(gè)存儲(chǔ)設(shè)備的預(yù)定密碼可以存儲(chǔ)在另一存儲(chǔ)設(shè)備上��。例如����,在具有多 個(gè)存儲(chǔ)設(shè)備的系統(tǒng)中�����,用于從存儲(chǔ)設(shè)備的預(yù)定密碼可以存儲(chǔ)在主存儲(chǔ)設(shè)備 上�。根據(jù) 一 個(gè)實(shí)施例,正確的密碼允許對(duì)用于加密存儲(chǔ)設(shè)備上的數(shù)據(jù)的 一個(gè) 或若干個(gè)加密密鑰進(jìn)行訪問(wèn)��。作為替換地�,密碼促進(jìn)系統(tǒng)引導(dǎo)進(jìn)入操作系統(tǒng), 同時(shí)額外的密碼使得一旦使用者登錄到系統(tǒng)就可以對(duì)不同的分區(qū)�、文件或文 件夾進(jìn)行訪問(wèn)。在一個(gè)實(shí)施例中��,正確的密碼與加密密鑰相關(guān)�����,以破譯被請(qǐng) 求的數(shù)據(jù)。作為替換地��,正確的密碼與加密密鑰的被掩蓋版本(例如����,經(jīng)哈希的版 本)相關(guān),并且正確的密碼可以用于對(duì)加密密鑰的被掩蓋版本進(jìn)行去掩蓋��。 在一個(gè)實(shí)施例中��,正確的密碼用于識(shí)別對(duì)加密密鑰的被掩蓋版本進(jìn)行去掩蓋 的額外密鑰��。例如��,訪問(wèn)加密密鑰包括訪問(wèn)第二加密密鑰來(lái)破譯加密密鑰�����。圖3 C是圖示根據(jù) 一 個(gè)實(shí)施例識(shí)別丟失或被盜的便攜式設(shè)備的過(guò)程的流程圖300C���。在過(guò)程330,預(yù)定密碼的經(jīng)哈希的版本與使用者所提交密碼的經(jīng)哈希的 版本(或者以其他方式被掩飾的版本)進(jìn)行比較?���?蛇x地選擇挑戰(zhàn)/響應(yīng)方 法來(lái)保護(hù)數(shù)據(jù)的不可重復(fù)性�����。如果識(shí)別出錯(cuò)配�,確定在預(yù)定密碼和所提交密 碼之間發(fā)生錯(cuò)配的次數(shù)��。在操作342中�,如果該次數(shù)尚未超出預(yù)定的門(mén)限, 則再次提示使用者要求密碼和/或密碼提示��。例如����,如圖8C的示例屏幕截圖 800C所示,輸入了無(wú)效密鑰��,使用者可以選擇重試或退出��。在過(guò)程344�����,如果所述次數(shù)超出了預(yù)定的門(mén)限�����,那么如果系統(tǒng)連接到網(wǎng) 絡(luò),則向網(wǎng)絡(luò)服務(wù)器報(bào)告主機(jī)系統(tǒng)的IP地址�����。在一個(gè)實(shí)施例中��,也可以廣 �,燔主^L系統(tǒng)的唯一標(biāo)識(shí)符,例如MAC地址���、用戶名���、工作組名�����,并且將該 標(biāo)識(shí)符與IP地址相關(guān)聯(lián)�。主機(jī)系統(tǒng)標(biāo)識(shí)符和IP地址可以公布在網(wǎng)站上,以便丟失電子設(shè)備的個(gè)人可以查看是否有人試圖訪問(wèn)其設(shè)備���。如果有��,那么所公布的IP地址可以向它們提供關(guān)于其所丟失設(shè)備行蹤的信息�����。在一個(gè)實(shí)施例中��,如果主機(jī)系統(tǒng)在試圖登錄失敗時(shí)未連接到網(wǎng)絡(luò)���,可以 保存失敗嘗試的指示符�,并在下次系統(tǒng)連接到網(wǎng)絡(luò)上時(shí)廣播該指示符���。除了 向網(wǎng)站報(bào)告IP地址之外�����,可以在試圖登錄失敗的情況下��,向使用者指定的 電子郵件地址發(fā)送通知����。該電子郵件可以報(bào)告諸如試圖登錄失敗的次數(shù)�、試 圖登錄所使用的密碼、系統(tǒng)狀態(tài)�、當(dāng)前可能獲得的系統(tǒng)IP地址等的信息。 在一個(gè)實(shí)施例中,當(dāng)任何訪問(wèn)請(qǐng)求失敗時(shí)��,都可以發(fā)送電子郵件通知���。例如����, 如果發(fā)生試圖訪問(wèn)特定文件或文件夾失敗�����,則可以向使用者指定的電子郵件 地址發(fā)送電子郵件����。圖4A是描述圖3B所示過(guò)程示例的交互圖表,其圖示根據(jù)一個(gè)實(shí)施例����, 在一組存儲(chǔ)設(shè)備的至少 一個(gè)存儲(chǔ)設(shè)備��、硬件密鑰和主機(jī)系統(tǒng)之間為了對(duì)一組 存儲(chǔ)設(shè)備的數(shù)據(jù)訪問(wèn)進(jìn)行密碼授權(quán)而進(jìn)行的交互�。在過(guò)程402中,使用者啟動(dòng)會(huì)話的第一訪問(wèn)��,并且主機(jī)系統(tǒng)向硬件密鑰 發(fā)送請(qǐng)求。硬件密鑰將該請(qǐng)求識(shí)別為該會(huì)話的第一請(qǐng)求����。根據(jù)一個(gè)實(shí)施例, 在上電���、超時(shí)�����、重啟或其他終結(jié)前一會(huì)話的觸發(fā)之后����,或者在硬件密鑰初始 地插入主機(jī)系統(tǒng)時(shí)��,可能要求開(kāi)始會(huì)話���。在過(guò)程404中��,硬件密鑰從硬件密 鑰本身的預(yù)定位置取回密鑰的已加密版本�。在過(guò)程406中����,確定密鑰的位置��。在過(guò)程408中��,使用例如USB即插即用特征����,在主機(jī)系統(tǒng)上啟動(dòng)驅(qū)動(dòng) 器的加載��。在過(guò)程410中���,硬件密鑰為主機(jī)系統(tǒng)生成請(qǐng)求�,以提示使用者需 要密碼�。在過(guò)程412中,使用者被提示需要密碼�。在使用者輸入密碼之后, 在過(guò)程414中���,系統(tǒng)確定該密碼是否匹配期望值����。還可以使用加密算法(例 如����,DES/3DESBlowFish、 AES或其他合適的加密方法)或其他對(duì)加密密鑰 進(jìn)行掩飾的方法對(duì)在過(guò)程406中耳又回的加密密鑰進(jìn)行加密����。如果密碼匹配, 加密密鑰,皮解鎖�����,然后可以用該加密密鑰����,使用諸如AES或其他合適協(xié)議 的加密算法來(lái)破譯或加密數(shù)據(jù)。在過(guò)程420中�,過(guò)程跳轉(zhuǎn)到圖4B的過(guò)程。在一個(gè)實(shí)施例中��,如果密碼不匹配����,過(guò)程回轉(zhuǎn)到過(guò)程410,再次提示使 用者需要密碼。在預(yù)定數(shù)目的試圖匹配密碼失敗之后��,主機(jī)系統(tǒng)可以終結(jié)會(huì)話(例如�,通過(guò)超時(shí)或系統(tǒng)重啟)。在一個(gè)實(shí)施例中�,向使用者提供提示或 提示問(wèn)題以便幫助記起密碼或允許跳過(guò)解鎖����。在一個(gè)實(shí)施例中����,可以獲得主 加密密鑰,然后以主密碼訪問(wèn)主加密密鑰��,以訪問(wèn)已加密的驅(qū)動(dòng)器���。圖4B是進(jìn)一步描述如圖3B所示過(guò)程的示例的交互圖表�,其示出根據(jù) 一個(gè)實(shí)施例����,在一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備、硬件密鑰和主機(jī)系統(tǒng)之 間為數(shù)據(jù)訪問(wèn)該組存儲(chǔ)設(shè)備進(jìn)行的交互���。在過(guò)程452中����,主機(jī)系統(tǒng)發(fā)送命令"獲取數(shù)據(jù)(Get Data)"�����。在過(guò)程 454中,硬件密鑰接收"獲取數(shù)據(jù)(Get Data)"的命令�����。在過(guò)程456中����, 硬件密鑰翻譯"獲取數(shù)據(jù)(Get Data)"的命令��。在過(guò)程458中��,"獲取數(shù) 據(jù)(Get Data)"的命令被發(fā)送到硬件密鑰上的存儲(chǔ)控制器(例如���,磁盤(pán)驅(qū) 動(dòng)器控制器����、RAID控制器等)��。在過(guò)程460中�,存儲(chǔ)設(shè)備陣列接收和翻譯該命令。在過(guò)程462中�����,響應(yīng) 于"獲取數(shù)據(jù)"的命令,取回所請(qǐng)求的數(shù)據(jù)���。在過(guò)程464中�����,存儲(chǔ)設(shè)備陣列 的至少一個(gè)存儲(chǔ)設(shè)備將具有所請(qǐng)求數(shù)據(jù)的答復(fù)發(fā)送回主機(jī)���。在過(guò)程466中, 通過(guò)以合適的算法(例如��,諸如DES/3DES���、 Blowfish�����、 AES等的加密算法) 進(jìn)行解密來(lái)破譯所取回的數(shù)據(jù)���,并且所取回的數(shù)據(jù)被發(fā)送給存儲(chǔ)控制器。所 取回的數(shù)據(jù)可以在被硬件密鑰解密之前或解密之后被發(fā)送到存儲(chǔ)控制器�����。根 據(jù)所使用的算法,可以使用加密密鑰來(lái)破譯所取回的數(shù)據(jù)�����。在一些情況下,通過(guò)發(fā)送仿真的命令(未示出)可以從主機(jī)傳送加密密 鑰,所述仿真的命令包括不可由硬盤(pán)驅(qū)動(dòng)器翻譯的參數(shù)�,但該仿真的命令可 由硬件密鑰截取并據(jù)此翻譯成例如接收密鑰的命令。在一個(gè)實(shí)施例中����,加密 密鑰以加密的形式發(fā)送。在過(guò)程468中�,從存儲(chǔ)設(shè)備接收到的被請(qǐng)求數(shù)據(jù)的解密版本被發(fā)送給主 機(jī)系統(tǒng)。在過(guò)程470中����,獲取來(lái)自一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備的被請(qǐng) 求數(shù)據(jù)的解密版本。在一個(gè)實(shí)施例中�����,自動(dòng)備份軟件可以通過(guò)加密函數(shù)(例 如AES )功能來(lái)對(duì)一組存儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù)進(jìn)行備份��。例如,存儲(chǔ)設(shè)備一存儲(chǔ)位置處的未加密數(shù)據(jù)可以暫時(shí)移動(dòng)到第二存儲(chǔ)位置以便被加密����,然后被移動(dòng)回原始的存儲(chǔ)位置。在一個(gè)實(shí)施例中�,第二存儲(chǔ) 位置是同一存儲(chǔ)設(shè)備上的不同存儲(chǔ)位置。在一個(gè)實(shí)施例中�,第二存儲(chǔ)位置是 同一存儲(chǔ)陣列的不同存儲(chǔ)設(shè)備或不同的存儲(chǔ)陣列。在一個(gè)實(shí)施例中��,可以用 多次隨機(jī)重寫(xiě)來(lái)移除原始(例如�����,未加密)數(shù)據(jù)���,從而擦除未加密數(shù)據(jù)以便 存儲(chǔ)設(shè)備上的數(shù)據(jù)被加密���。圖5是根據(jù)一個(gè)實(shí)施例的具有處理單元502、控制器504�����、存儲(chǔ)控制器 508的硬件密鑰IIO的分解視圖���。在一個(gè)實(shí)施例中��,硬件密鑰是USB適配器��,而控制器504是USB控制 器��。處理單元502可以包括多種軟件實(shí)例����,例如加密模塊、操作系統(tǒng)和/或 存儲(chǔ)設(shè)備驅(qū)動(dòng)器�����。存儲(chǔ)控制器508可以是硬盤(pán)控制器����,例如IDE�、串行ATA、 e-SATA�、 SCSI控制器。例如��,存儲(chǔ)控制器使得硬件密鑰110可以邏輯地連接到外部存儲(chǔ)設(shè)備陣 列�。在一個(gè)實(shí)施例中,外部存儲(chǔ)設(shè)備陣列是RAID配置。通過(guò)IDE�����、串行 ATA����、 e-SATA、 SCSI接口中的至少 一個(gè)�,存儲(chǔ)設(shè)備可以連接到硬件密鑰110。 在一個(gè)實(shí)施例中�����,硬件密鑰110包括任意數(shù)目的具有不同接口組合的存儲(chǔ)控 制器���,并且能夠以不同的接口邏輯地連接到多個(gè)存儲(chǔ)設(shè)備����。在一個(gè)實(shí)施例中����,外部存儲(chǔ)設(shè)備陣列由外部電源供電。外部存儲(chǔ)設(shè)備陣 列可以是超低功率設(shè)備�,從而可以通過(guò)硬件密鑰與主機(jī)系統(tǒng)的連接來(lái)吸取功 率�����。加密模塊包括用于執(zhí)行至少一個(gè)加密算法來(lái)保護(hù)和破譯存儲(chǔ)在一組存 儲(chǔ)設(shè)備的至少一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù)的代碼����。在一個(gè)實(shí)施例中����,不同的加密 算法可以用于不同的存儲(chǔ)設(shè)備,而且控制器能夠?qū)⑾嚓P(guān)的加密算法與一組存 儲(chǔ)設(shè)備的至少 一個(gè)存儲(chǔ)設(shè)備關(guān)聯(lián)��,所述存儲(chǔ)設(shè)備以該加密算法加密���。在一個(gè)實(shí)施例中�����,硬件密鑰110包括存儲(chǔ)器(例如,非易失性�、閃存或 離散邏輯等)來(lái)存儲(chǔ)至少一個(gè)加密密鑰,該加密密鑰與至少一個(gè)加密算法一 起使用以保護(hù)至少一個(gè)存儲(chǔ)設(shè)備��。作為替換地��,在硬件密鑰110的加密/解 密過(guò)程中,加密密鑰由硬件密鑰IIO的替代設(shè)備提供�����。例如�����, 一旦授權(quán)��,至少一個(gè)加密密鑰可以發(fā)送到硬件密鑰110�����。所述授權(quán)可以采取許多形式的一 種�,例如,根據(jù)一個(gè)實(shí)施例���,可以是識(shí)別主機(jī)系統(tǒng)使用者身份的密碼授權(quán)��。圖6圖示根據(jù)一個(gè)實(shí)施例示出創(chuàng)建密碼或改變密碼的界面的屏幕截圖600����。屏幕截圖600示出用于密碼維護(hù)的安全訪問(wèn)屏幕���。在一個(gè)實(shí)施例中�,安 全訪問(wèn)屏幕包括選擇框"使密碼安全無(wú)效(Disable Password Security )", 用于使在訪問(wèn)存儲(chǔ)設(shè)備以登錄到操作系統(tǒng)或訪問(wèn)存儲(chǔ)設(shè)備上的數(shù)據(jù)之前進(jìn) 行的密碼鑒權(quán)無(wú)效。例如��,如果"使密碼安全無(wú)效(Disable Password Security)"框被選中���,則在登錄到主機(jī)系統(tǒng)或設(shè)置主機(jī)系統(tǒng)之前����,無(wú)需填 寫(xiě)密碼域和提示域��。在這種情況下��,存儲(chǔ)在存儲(chǔ)設(shè)備上的數(shù)據(jù)可能未被加密����。 或者,存儲(chǔ)在存儲(chǔ)設(shè)備上的數(shù)據(jù)可以被加密�����,但是可以在數(shù)據(jù)訪問(wèn)之前未提 供密碼的情況下得到加密密鑰來(lái)進(jìn)行解密����。在 一 個(gè)實(shí)施例中,通過(guò)在"新密碼(New Word )"和"確認(rèn)新密碼(Confirm New Password)"域中輸入期望的密碼來(lái)設(shè)置新密碼���,以保護(hù)存儲(chǔ)設(shè)備��。在 這種情況下可以將"當(dāng)前密碼(Current Password )�,��,域留空�����。在一 個(gè)實(shí)施例 中�����,通過(guò)在"當(dāng)前密碼(Current Password )"域中^是供正確的密碼并且在"新 密碼(New Word)"和"確認(rèn)新密碼(Confirm New Password )"域中輸入 期望的密碼�����,可以改變現(xiàn)有的密碼���。"提示(Hint)"域可以用于輸入一只有使用者知道答案的問(wèn)題�?��?梢?在使用者忘記密碼時(shí)���,例如����,當(dāng)錯(cuò)誤的密碼被輸入以預(yù)定的次數(shù)時(shí)����,提出該 問(wèn)題。�,"提示(Hint)"域也可以用于輸入密碼提示,例如"密碼與多利姑 媽的生日有關(guān)"�����,以便向使用者提示密碼����。在一個(gè)實(shí)施例中,在提交錯(cuò)誤密 碼達(dá)到預(yù)定次數(shù)之前��,使用者可以指示他或她忘記了密碼����,并且請(qǐng)求查看密 碼提示。圖7圖示根據(jù)一個(gè)實(shí)施例示出保護(hù)存儲(chǔ)設(shè)備的界面的屏幕截圖700�。 屏幕截圖700圖示通過(guò)對(duì)存儲(chǔ)設(shè)備上的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密來(lái)保護(hù)存儲(chǔ) 設(shè)備的示例。在一個(gè)實(shí)施例中���,從子窗口 702下列出的存儲(chǔ)設(shè)備列表中選擇源驅(qū)動(dòng)器(例如��,將要通過(guò)數(shù)據(jù)加密保護(hù)的存儲(chǔ)區(qū))�,并從子窗口 704下列 出的存儲(chǔ)設(shè)備列表中選擇目的地驅(qū)動(dòng)器�����。例如�,源驅(qū)動(dòng)器是具有待保護(hù)數(shù)據(jù) 的存儲(chǔ)設(shè)備。源驅(qū)動(dòng)器上的數(shù)據(jù)可以被加密�,然后被移動(dòng)到目的地驅(qū)動(dòng)器以 便存儲(chǔ)。在一個(gè)實(shí)施例中����,源驅(qū)動(dòng)器上的數(shù)據(jù)可以移動(dòng)到目的地驅(qū)動(dòng)器以便 加密,并從源驅(qū)動(dòng)器擦除�。然后,加密后的數(shù)據(jù)可以移回源驅(qū)動(dòng)器以便存儲(chǔ)���。 在一個(gè)實(shí)施例中�,過(guò)程中涉及一個(gè)存儲(chǔ)設(shè)備(例如,源驅(qū)動(dòng)器)��。例如�, 源驅(qū)動(dòng)器上的待加密數(shù)據(jù)被移動(dòng)到另 一存儲(chǔ)位置以便加密。根據(jù) 一 個(gè)實(shí)施 例��,未受保護(hù)的數(shù)據(jù)在源存儲(chǔ)位置上被擦除����,并且存儲(chǔ)在其他存儲(chǔ)位置上的 已加密數(shù)據(jù)可以被移動(dòng)回原始存儲(chǔ)位置以便存儲(chǔ)。圖8A圖示根據(jù)一個(gè)實(shí)施例的示出訪問(wèn)被保護(hù)存儲(chǔ)設(shè)備的登錄屏幕的界 面的屏幕截圖800����。屏幕截圖800示出用于對(duì)訪問(wèn)存儲(chǔ)設(shè)備上的數(shù)據(jù)進(jìn)行鑒權(quán)的兩個(gè)級(jí)別 安全訪問(wèn)的示例。在一個(gè)實(shí)施例中�����,在準(zhǔn)予訪問(wèn)存儲(chǔ)設(shè)備之前��,要在"密碼 (Password)"域中輸入預(yù)定的密碼�����。在一個(gè)實(shí)施例中,在準(zhǔn)予訪問(wèn)存儲(chǔ)設(shè) 備之前����,除了正確的密碼以外��,位圖窗口中所示的文本要被輸入到"位圖窗 口 (Bitmap Window)��,�,域。 一旦填寫(xiě)了 "密碼(Password)���,���,域,可以點(diǎn) 擊"登錄(Login)"圖標(biāo)來(lái)驗(yàn)證訪問(wèn)�����,并在成功驗(yàn)證后準(zhǔn)予訪問(wèn)���。圖8B圖示根據(jù)一個(gè)實(shí)施例的示出具有密碼提示的登錄屏幕的界面的屏 幕截圖800B����。根據(jù)一個(gè)實(shí)施例,要在"請(qǐng)輸入密碼(Please Enter Password )"域中輸 入預(yù)定的密碼來(lái)訪問(wèn)系統(tǒng)(例如�,登錄到至少一個(gè)操作系統(tǒng)和/或訪問(wèn)至少 一個(gè)存儲(chǔ)設(shè)備)。圖8C圖示根據(jù)一個(gè)實(shí)施例的以在圖8B中輸入無(wú)效密碼為原因的未成 功登錄的屏幕截圖800E�����。根據(jù)一個(gè)實(shí)施例�, 一旦沒(méi)有成功登錄,使用者可以選擇退出或重試����。可 以存在使用者提交無(wú)效密碼的預(yù)定次數(shù)����。當(dāng)達(dá)到該預(yù)定次數(shù)時(shí),系統(tǒng)可以退 出或者向使用者提供密碼提示�����,如圖9的實(shí)施例所示�����。圖9圖示根據(jù)一個(gè)實(shí)施例的示出顯示密碼提示屏幕的界面的屏幕截圖�。屏幕截圖900示出向使用者示出密碼提示的提示示例�。如果該使用者忘記了密碼��,可以由使用者請(qǐng)求密碼提示���。在一個(gè)實(shí)施例中�,密碼提示在發(fā)生 預(yù)定次數(shù)的不正確密碼提交時(shí)被觸發(fā)�����。例如����,如果使用者提交三次不正確密 碼�,那么系統(tǒng)可以提供在密碼設(shè)置期間指定的密碼提示。圖10以示例性形式示出計(jì)算機(jī)系統(tǒng)1000的機(jī)器的圖形表示��,在該計(jì)算 機(jī)系統(tǒng)1000中����,可以執(zhí)行一組指令,以使該機(jī)器執(zhí)行上述方法中的任意一 個(gè)或更多個(gè)�。在可替換的實(shí)施例中,機(jī)器作為獨(dú)立設(shè)備運(yùn)行�,或者可以連接 (例如�����,被聯(lián)網(wǎng))到其他機(jī)器�。在聯(lián)網(wǎng)的布局中����,在客戶端-服務(wù)器網(wǎng)絡(luò)環(huán) 境下,機(jī)器可以作為服務(wù)器或客戶端機(jī)器運(yùn)行����,或者在點(diǎn)到點(diǎn)(或分布式) 網(wǎng)絡(luò)環(huán)境下,機(jī)器可以作為點(diǎn)機(jī)器運(yùn)行��。機(jī)器可以是服務(wù)器計(jì)算機(jī)�、客戶端 計(jì)算機(jī)、個(gè)人計(jì)算機(jī)(PC)�、圖形輸入板計(jì)算機(jī)、機(jī)頂盒(STB)�、個(gè)人數(shù) 字助理(PDA)、蜂窩電話�����、網(wǎng)絡(luò)器具�����、網(wǎng)絡(luò)路由器、交換機(jī)或網(wǎng)橋��、或任 何能夠執(zhí)行一組(順序的或其他方式的)指令的機(jī)器���,所述指令指定要由機(jī) 器執(zhí)行的動(dòng)作��。雖然在示例性實(shí)施例中將機(jī)器可讀介質(zhì)1022示出為單個(gè)介質(zhì)����,但是術(shù) 語(yǔ)"機(jī)器可讀介質(zhì)"應(yīng)該被視為包括存儲(chǔ)至少一組指令的單個(gè)介質(zhì)或多個(gè)介 質(zhì)(例如�����,集中式或分布式數(shù)據(jù)庫(kù)�����、和/或相關(guān)的高速緩沖存儲(chǔ)器和服務(wù)器)���。 術(shù)語(yǔ)"機(jī)器可讀介質(zhì)"應(yīng)該被視為包括任何存儲(chǔ)介質(zhì),其能夠存儲(chǔ)��、編碼或 承載一組由機(jī)器執(zhí)行并促使機(jī)器執(zhí)行本發(fā)明的至少一個(gè)方法的指令。 一般來(lái) 說(shuō)����,被執(zhí)行以實(shí)施本公開(kāi)實(shí)施例的例程可以作為操作系統(tǒng)的 一 部分或作為被 稱為"計(jì)算機(jī)程序"的特定應(yīng)用程序、部件�、程序、對(duì)象�、模塊或指令序列 的 一部分來(lái)實(shí)施。計(jì)算機(jī)程序通常包括計(jì)算機(jī)中的不同存儲(chǔ)器和存儲(chǔ)設(shè)備中 的不同時(shí)間處的至少一個(gè)指令集�����,所述指令集在被計(jì)算機(jī)中的至少一個(gè)處理 器讀取和執(zhí)行時(shí)���,促使該計(jì)算機(jī)進(jìn)行操作以執(zhí)行涉及本公開(kāi)各方面的元素�����。此外�,雖然已經(jīng)在完全功能化的計(jì)算機(jī)和計(jì)算機(jī)系統(tǒng)的場(chǎng)合中描述了實(shí) 施例��,但是本領(lǐng)域技術(shù)人員將理解�,各實(shí)施例能夠以各種形式作為程序產(chǎn)品發(fā)布,并且不管用于實(shí)際上影響所述發(fā)布的機(jī)器或計(jì)算機(jī)可讀介質(zhì)的特定形 式如何�����,本公開(kāi)都同樣有效。計(jì)算機(jī)可讀介質(zhì)的示例包括但不限于除了別的 之外�����,諸如易失性和非易失性存儲(chǔ)器設(shè)備���、軟盤(pán)和其他可移除磁盤(pán)��、硬盤(pán)驅(qū)動(dòng)器�、光盤(pán)(例如�,CD只讀存儲(chǔ)器(CD ROMS))、數(shù)字萬(wàn)能盤(pán)(DVD) 等的可記錄型介質(zhì)���,以及諸如數(shù)字和模擬通信鏈路的傳輸型介質(zhì)。雖然已經(jīng)參照具體示例性實(shí)施例描述了實(shí)施例�����,顯然可以對(duì)這些實(shí)施例 進(jìn)行各種修改和改變�����。因此,說(shuō)明書(shū)和附圖應(yīng)被視作示意性意義而不是限制 性意義���。以上說(shuō)明書(shū)提供了參照具體示例性實(shí)施例的描述���。顯然可以對(duì)其各 種修改而不脫離權(quán)利要求中所給出的更寬的精神和范圍。說(shuō)明書(shū)和附圖因此 應(yīng)被視為示意性意義而不是限制性意義�。
權(quán)利要求
1、一種方法�,包括硬件密鑰截取從主機(jī)發(fā)往存儲(chǔ)設(shè)備的請(qǐng)求,該請(qǐng)求用于訪問(wèn)存儲(chǔ)在一組存儲(chǔ)設(shè)備的一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù)����,其中存儲(chǔ)在所述那個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù)已經(jīng)被加密,所述硬件密鑰被配置為插入所述主機(jī)的端口并且包括用于控制對(duì)該組存儲(chǔ)設(shè)備的數(shù)據(jù)訪問(wèn)的單元��;硬件密鑰翻譯所述請(qǐng)求����,并且向該組存儲(chǔ)設(shè)備中的所述那個(gè)存儲(chǔ)設(shè)備發(fā)送命令以訪問(wèn)經(jīng)加密的數(shù)據(jù);和硬件密鑰提供加密密鑰以破譯來(lái)自該組存儲(chǔ)設(shè)備的所述那個(gè)存儲(chǔ)設(shè)備的經(jīng)加密的數(shù)據(jù)��。
2��、 根據(jù)權(quán)利要求1所述的方法,其中該組存儲(chǔ)設(shè)備包括獨(dú)立磁盤(pán)冗余陣列 (RAID)子系統(tǒng)��。
3�����、 根據(jù)權(quán)利要求2所述的方法���,其中所述控制對(duì)該組存儲(chǔ)設(shè)備的數(shù)據(jù)訪問(wèn) 的單元包括控制所述RAID子系統(tǒng)的單元���。
4、 根據(jù)權(quán)利要求3所述的方法�����,其中所述控制RAID子系統(tǒng)的單元包括控 制器和軟件實(shí)例中的一個(gè)�。
5、 根據(jù)權(quán)利要求3所述的方法��,其中所述RAID子系統(tǒng)通過(guò)AT嵌入式 (ATA)接口連接到所述硬件密鑰���。
6、 根據(jù)權(quán)利要求5所述的方法��,進(jìn)一步包括硬件密鑰截取來(lái)自所述存儲(chǔ)設(shè)備的答復(fù),所述答復(fù)包括來(lái)自所述存儲(chǔ)設(shè)備 的經(jīng)加密的數(shù)據(jù)���;和硬件密鑰使用所述加密密鑰來(lái)破譯所述經(jīng)加密的數(shù)據(jù)�����。
7�����、 根據(jù)權(quán)利要求6所述的方法�,其中所述硬件密鑰包括USB密鑰���。
8��、 根據(jù)權(quán)利要求6所述的方法�,其中訪問(wèn)所述加密密鑰包括訪問(wèn)一單獨(dú)的 加密密鑰來(lái)破譯用于破譯所述經(jīng)加密的數(shù)據(jù)的加密密鑰�����。
9���、 硬件密鑰�����,包括用于截取從主機(jī)發(fā)往存儲(chǔ)設(shè)備的請(qǐng)求的單元�,所述請(qǐng)求用于訪問(wèn)存儲(chǔ)在一 組存儲(chǔ)設(shè)備的 一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù),其中存儲(chǔ)在所述那個(gè)存儲(chǔ)設(shè)備上的所述 數(shù)據(jù)已經(jīng)被加密�����,所述硬件密鑰被配置為插入所述主機(jī)的端口并且包括用于控制對(duì)該組存儲(chǔ)設(shè)備的數(shù)據(jù)訪問(wèn)的單元�����;加密的數(shù)據(jù)的單元���;和提供加密密鑰以破譯來(lái)自該組存儲(chǔ)設(shè)備的所述那個(gè)存儲(chǔ)設(shè)備的經(jīng)加密的數(shù) 據(jù)的單元����。
10����、 根據(jù)權(quán)利要求9所述的硬件密鑰,其可與獨(dú)立磁盤(pán)冗余陣列(RAID) 子系統(tǒng)一起操作�����。
11����、 根據(jù)權(quán)利要求IO所述的硬件密鑰,其中所述控制對(duì)該組存儲(chǔ)設(shè)備的數(shù) 據(jù)訪問(wèn)的單元包括控制所述RAID子系統(tǒng)的單元�。
12、 根據(jù)權(quán)利要求11所述的硬件密鑰����,其中所述控制RAID子系統(tǒng)的單元 包括控制器和軟件實(shí)例中的一個(gè)。
13���、 根據(jù)權(quán)利要求11所述的硬件密鑰����,其中所述RAID子系統(tǒng)通過(guò)AT嵌 入式(ATA)接口連接到所述硬件密鑰��。
14�、 根據(jù)權(quán)利要求13所述的硬件密鑰,進(jìn)一步包括 硬件密鑰��;和用于截取來(lái)自所述存儲(chǔ)設(shè)備的答復(fù)的單元��,所述答復(fù)包括來(lái)自所述存儲(chǔ)設(shè) 備的經(jīng)加密的數(shù)據(jù)��,并且該單元還用于破譯所述經(jīng)加密的數(shù)據(jù)。
15���、 根據(jù)權(quán)利要求14所述的硬件密鑰��,其中所述硬件密鑰包括USB密鑰����。
16�����、 根據(jù)權(quán)利要求14所述的硬件密鑰�,其中所述提供加密密鑰的單元包括 一用于訪問(wèn) 一單獨(dú)的加密密鑰以破譯用于破譯所述經(jīng)加密的數(shù)據(jù)的加密密鑰的 單元。
17���、 一種機(jī)器可讀介質(zhì)���,存儲(chǔ)有指令集,該指令集在被執(zhí)行時(shí)進(jìn)行包括以 下步驟的方法硬件密鑰截取從主機(jī)發(fā)往存儲(chǔ)設(shè)備的請(qǐng)求�,該請(qǐng)求用于訪問(wèn)存儲(chǔ)在一組存儲(chǔ)設(shè)備的 一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù),其中存儲(chǔ)在所述那個(gè)存儲(chǔ)設(shè)備上的所述數(shù)據(jù) 已經(jīng)被加密��,所述硬件密鑰被配置為插入所述主機(jī)的端口并且包括用于控制對(duì)該組存儲(chǔ)設(shè)備的數(shù)據(jù)訪問(wèn)的單元���;硬件密鑰翻譯所述請(qǐng)求���,并且向該組存儲(chǔ)設(shè)備中的所述那個(gè)存儲(chǔ)設(shè)備發(fā)送命令以訪問(wèn)經(jīng)加密的數(shù)據(jù)�����;和硬件密鑰提供所述加密密鑰以破譯來(lái)自該組存儲(chǔ)設(shè)備的所述那個(gè)存儲(chǔ)設(shè)備 的經(jīng)加密的數(shù)據(jù)。
18��、 根據(jù)權(quán)利要求17所述的機(jī)器可讀介質(zhì)��,其中該組存儲(chǔ)設(shè)備包括獨(dú)立磁 盤(pán)冗余陣列(RAID)子系統(tǒng)����。
19、 根據(jù)權(quán)利要求17所述的機(jī)器可讀介質(zhì)�����,進(jìn)一步包括 硬件密鑰截取來(lái)自所述存儲(chǔ)設(shè)備的答復(fù)�����,所述答復(fù)包括來(lái)自所述存儲(chǔ)設(shè)備的經(jīng)加密的數(shù)據(jù)����;并且硬件密鑰使用所述加密密鑰來(lái)破譯所述經(jīng)加密的數(shù)據(jù)�。
20���、 根據(jù)權(quán)利要求19所述的機(jī)器可讀介質(zhì)��,其中訪問(wèn)所述加密密鑰包括訪 問(wèn) 一單獨(dú)的加密密鑰來(lái)破譯用于破譯所述經(jīng)加密的數(shù)據(jù)的加密密鑰�����。
21�、 一種計(jì)算機(jī)程序���,當(dāng)在包括主機(jī)����、硬件密鑰和一組存儲(chǔ)設(shè)備的系統(tǒng)上 運(yùn)行時(shí)�����,使該系統(tǒng)實(shí)施權(quán)利要求1 - 8中任意一項(xiàng)所述的方法�����。
22、 一種載體����,承載根據(jù)權(quán)利要求21所述的程序。
23��、 根據(jù)權(quán)利要求22所述的載體�����,該載體是機(jī)器可讀介質(zhì)�����。
全文摘要
此處描述了通過(guò)硬件密鑰進(jìn)行存儲(chǔ)設(shè)備的數(shù)據(jù)加密和數(shù)據(jù)訪問(wèn)的系統(tǒng)和方法�����。一個(gè)實(shí)施例包括硬件密鑰截取從主機(jī)發(fā)往存儲(chǔ)設(shè)備的請(qǐng)求�����,該請(qǐng)求用于訪問(wèn)存儲(chǔ)在一組存儲(chǔ)設(shè)備的一個(gè)存儲(chǔ)設(shè)備上的數(shù)據(jù)���,其中存儲(chǔ)在所述存儲(chǔ)設(shè)備上的所述數(shù)據(jù)已經(jīng)被加密���。所述硬件密鑰被配置為插入主機(jī)的端口并且包括用于控制對(duì)該組存儲(chǔ)設(shè)備的數(shù)據(jù)訪問(wèn)的單元。所述硬件密鑰翻譯所述請(qǐng)求����,并且向該組存儲(chǔ)設(shè)備中所述的那個(gè)存儲(chǔ)設(shè)備發(fā)送命令,以訪問(wèn)已加密數(shù)據(jù)����。所述硬件密鑰提供加密密鑰以破譯來(lái)自該組存儲(chǔ)設(shè)備的所述那個(gè)存儲(chǔ)設(shè)備的已加密數(shù)據(jù)。
文檔編號(hào)G06F12/14GK101246530SQ20081000650
公開(kāi)日2008年8月20日 申請(qǐng)日期2008年1月30日 優(yōu)先權(quán)日2007年1月30日
發(fā)明者圣陶許·庫(kù)馬爾, 尼古拉斯·安東諾普洛斯, 斯瑞·M·耶爾 申請(qǐng)人:科技資產(chǎn)股份有限公司