專利名稱::儲存裝置保護系統(tǒng)及其儲存裝置上鎖與解鎖方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及一種儲存裝置保護技術(shù)�����,特別是涉及能夠安全地將管理者帳號與管理者密碼備份的儲存裝置保護系統(tǒng)及其儲存裝置上鎖及解鎖方法���。
背景技術(shù):
:數(shù)碼相機�����、手機與MP3在這幾年來的成長十分迅速,使得消費者對儲存媒體的需求也急速增加�����。由于可重寫式非易失性存儲器(rewritablenon-volatilememory)具有數(shù)據(jù)非易失性、省電�、體積小、無機械結(jié)構(gòu)���、讀寫速度快等特性�����,最適于便攜式電子產(chǎn)品����,例如筆記型計算機�。固態(tài)硬盤就是一種以快閃存儲器作為儲存媒體的存儲器儲存裝置。因此����,近年快閃存儲器產(chǎn)業(yè)成為電子產(chǎn)業(yè)中相當熱門的一環(huán)。在一些應(yīng)用上��,這些儲存裝置會提供一個保護機制�,讓使用者可以將儲存裝置設(shè)定為保護狀態(tài)。也就是說���,使用者可以設(shè)定一個管理者帳號與管理者密碼�����,并根據(jù)此管理者帳號與管理者密碼將儲存裝置上鎖��。當要存取此鎖定的儲存裝置時����,必須輸入正確的管理者帳號與管理者密碼來解鎖,由此避免非授權(quán)者存取儲存裝置內(nèi)的數(shù)據(jù)���。特別是��,當輸入錯誤的管理者帳號與管理者密碼超過一預(yù)設(shè)次數(shù)時�����,儲存裝置會被永久地鎖定并且所儲存的數(shù)據(jù)無法再被存取�����,由此避免非授權(quán)者藉由無限制地使用試誤法來嘗試破解此保護機制��。然而��,相對的���,當使用者忘記密碼時,也可能造成儲存裝置會被永久地鎖定�。因此,如何能夠讓讓使用者在忘記識別碼或密碼時仍可對儲存裝置解鎖����,為此領(lǐng)域研究人員所關(guān)心的議題。
發(fā)明內(nèi)容本發(fā)明提出一種儲存裝置保護系統(tǒng)及其儲存裝置上鎖與解鎖方法�,能夠在忘記管理者帳號與管理者密碼時,通過密鑰儲存裝置來取得管理者帳號與管理者密碼以解鎖儲存裝置�。本發(fā)明的一范例實施例提出一種儲存裝置保護系統(tǒng),包括保護控制單元��、檢測單元���、帳號密碼輸入單元���、識別碼獲取單元、以及加密單元����。檢測單元耦接至保護控制單元�,用以判斷儲存裝置與密鑰儲存裝置是否皆耦接至主機���。帳號密碼輸入單元耦接至保護控制單元�,用以接收管理者帳號與管理者密碼�。識別碼獲取單元耦接至保護控制單元,用以當儲存裝置與密鑰儲存裝置皆耦接至主機時��,獲取儲存裝置的識別碼作為第一識別碼并且獲取密鑰儲存裝置的識別碼作為第二識別碼�。加密單元耦接至保護控制單元,用以將管理者帳號��、管理者密碼��、第一識別碼與第二識別碼加密成為加密數(shù)據(jù)���。其中保護控制單元將加密數(shù)據(jù)儲存至密鑰儲存裝置��,并且指示儲存裝置的控制器依據(jù)管理者帳號與管理者密碼將儲存裝置的存取模式設(shè)定為保護狀態(tài)����。在本發(fā)明的一實施例中�����,上述保護控制單元、檢測單元�����、帳號密碼輸入單元��、識別碼獲取單元與加密單元配置在主機中�����。在本發(fā)明的一實施例中���,上述保護控制單元、檢測單元�、帳號密碼輸入單元與識別碼獲取單元配置在主機中并且上述加密單元配置在儲存裝置的控制器中。在本發(fā)明的一實施例中��,上述的密鑰儲存裝置具有隱藏儲存區(qū)���,并且上述保護控制單元將上述加密數(shù)據(jù)儲存至此密鑰儲存裝置的隱藏儲存區(qū)中����。在本發(fā)明的一實施例中,上述的儲存裝置為固態(tài)硬盤(solid-statedrive,SSD)并且密鑰儲存裝置為隨身盤�����。在本發(fā)明的一實施例中�����,上述的保護控制單元還用以將管理者帳號��、管理者密碼�����、第一識別碼與第二識別碼傳送至儲存裝置的控制器�,并且在加密單元將管理者帳號、管理者密碼����、第一識別碼與第二識別碼加密成為加密數(shù)據(jù)之后,控制器將加密數(shù)據(jù)傳送給保護控制單元����。本發(fā)明的一范例實施例提出一種儲存裝置保護系統(tǒng),包括保護控制單元�、檢測單元���、識別碼獲取單元、以及解密單元��。檢測單元耦接至保護控制單元�����,用以判斷儲存裝置與密鑰儲存裝置是否皆耦接至主機�。識別碼獲取單元耦接至保護控制單元,用以當儲存裝置與密鑰儲存裝置皆耦接至主機時��,獲取儲存裝置的識別碼與密鑰儲存裝置的識別碼�。解密單元則耦接至保護控制單元���。其中保護控制單元用以從密鑰儲存裝置中讀取一加密數(shù)據(jù)���,并且解密單元用以解密此加密數(shù)據(jù)以獲取管理者帳號、管理者密碼�、第一識別碼與第二識別碼。而保護控制單元判斷第一識別碼與第二識別碼是否分別地相同于識別碼獲取單元所獲取的儲存裝置的識別碼與密鑰儲存裝置的識別碼�����。并且當?shù)谝蛔R別碼與第二識別碼分別地相同于識別碼獲取單元所獲取的儲存裝置的識別碼與密鑰儲存裝置的識別碼時,保護控制單元使用上述管理者帳號與管理者密碼來指示儲存裝置的控制器將儲存裝置的存取模式設(shè)定為非保護狀態(tài)���。在本發(fā)明的一實施例中���,上述的保護控制單元、檢測單元�、帳號密碼輸入單元、識別碼獲取單元與解密單元配置在主機中���。在本發(fā)明的一實施例中�����,上述的保護控制單元���、檢測單元、帳號密碼輸入單元與識別碼獲取單元配置在主機中并且上述解密單元配置在儲存裝置的控制器中�����。在本發(fā)明的一實施例中�����,上述的保護控制單元用以將加密數(shù)據(jù)傳送給儲存裝置的控制器,并且在解密單元解密加密數(shù)據(jù)之后��,儲存裝置的控制器還用以將管理者帳號�、管理者密碼、第一識別碼與第二識別碼傳送至保護控制單元��。以另外一個角度來說���,本發(fā)明的一范例實施例提出一種儲存裝置上鎖方法�����,包括判斷儲存裝置與密鑰儲存裝置是否皆耦接至主機�����;以及當儲存裝置與密鑰儲存裝置皆耦接至主機時,執(zhí)行上鎖運作���。此上鎖運作包括:接收管理者帳號與管理者密碼�;獲取儲存裝置的識別碼作為第一識別碼��;獲取密鑰儲存裝置的識別碼作為第二識別碼�。此上鎖運作也包括:將管理者帳號���、管理者密碼、第一識別碼與第二識別碼加密成為一加密數(shù)據(jù)���;將加密數(shù)據(jù)儲存至密鑰儲存裝置中���。此上鎖運作還包括:判斷加密數(shù)據(jù)是否成功地儲存至密鑰儲存裝置中;以及當加密數(shù)據(jù)成功地儲存至密鑰儲存裝置中時���,指示儲存裝置的控制器依據(jù)管理者帳號與管理者密碼將儲存裝置的存取模式設(shè)定為保護狀態(tài)�����。在本發(fā)明的一實施例中�����,上述密鑰儲存裝置具有隱藏儲存區(qū)�,并且將加密數(shù)據(jù)儲存至密鑰儲存裝置中的步驟包括:將加密數(shù)據(jù)儲存至密鑰儲存裝置的隱藏儲存區(qū)中�����。在本發(fā)明的一實施例中����,上述的儲存裝置上鎖方法還包括:當儲存裝置與密鑰儲存裝置非皆耦接至該主機時�����,輸出上鎖失敗訊息�。在本發(fā)明的一實施例中���,上述的上鎖運作還包括:當加密數(shù)據(jù)非成功地儲存至密鑰儲存裝置中時�����,輸出上鎖失敗訊息�。以另外一個角度來說�,本發(fā)明的一范例實施例提出一種儲存裝置解鎖方法,包括判斷儲存裝置與密鑰儲存裝置是否皆耦接至主機���;以及當儲存裝置與密鑰儲存裝置皆耦接至主機時,執(zhí)行解鎖運作���。其中解鎖運作包括獲取儲存裝置的識別碼與密鑰儲存裝置的識別碼��;從密鑰儲存裝置中讀取加密數(shù)據(jù)��;以及解密此加密數(shù)據(jù)以獲取管理者帳號����、管理者密碼、第一識別碼與第二識別碼�。此解鎖運作還包括判斷第一識別碼與第二識別碼是否分別地相同于所獲取的儲存裝置的識別碼與密鑰儲存裝置的識別碼;以及當?shù)谝蛔R別碼與第二識別碼分別地相同于所獲取的儲存裝置的識別碼與密鑰儲存裝置的識別碼時�����,使用管理者帳號與管理者密碼來指示儲存裝置的控制器將儲存裝置的存取模式設(shè)定為非保護狀態(tài)���。在本發(fā)明的一實施例中���,上述的儲存裝置解鎖方法還包括:當儲存裝置與密鑰儲存裝置非皆耦接至主機時,輸出解鎖失敗訊息���。在本發(fā)明的一實施例中���,上述的解鎖運作還包括:當?shù)谝蛔R別碼不同于所獲取的儲存裝置的識別碼或者第二識別碼不同于所獲取的密鑰儲存裝置的識別碼時,輸出解鎖失敗訊息����?;谏鲜?���,上述范例實施例所提出的儲存裝置上鎖與解鎖方法以及儲存裝置保護系統(tǒng)可將管理者帳號、管理者密碼以及耦接至主機的儲存裝置與密鑰儲存裝置的識別碼一起加密成加密數(shù)據(jù)并儲存至密鑰儲存裝置���。當忘記所設(shè)定的帳號與密碼時����,使用者可利用密鑰儲存裝置解鎖儲存裝置����。特別是,可用于解鎖的密鑰儲存裝置必須為上鎖時所設(shè)定的密鑰儲存裝置為同一個���,因此���,安全性亦可受到保障。為使本發(fā)明的上述特征和優(yōu)點能更明顯易懂��,下文特舉實施例����,并結(jié)合附圖詳細說明如下。圖1A是根據(jù)第一范例實施例所繪示的主機與儲存裝置��。圖1B是根據(jù)本發(fā)明范例實施例所繪示的計算機��、輸入/輸出裝置與存儲器儲存裝置的示意圖����。圖1C是根據(jù)本發(fā)明范例實施例所繪示的主機系統(tǒng)與存儲器儲存裝置的示意圖。圖2是繪示圖1A所示的儲存裝置的概要方塊圖�。圖3為依照第一范例實施例所繪示的主機、儲存裝置與密鑰儲存裝置的示意圖��。圖4A為依照第一范例實施例所繪示的儲存裝置保護系統(tǒng)的概要方塊�����。圖4B為依照第一范例實施例所繪示的密鑰儲存裝置的概要方塊���。圖5為依照第二范例實施例所繪示的主機���、儲存裝置、密鑰儲存裝置的示意圖���。圖6為依照本發(fā)明第三范例實施例所繪示的儲存裝置上鎖方法的流程圖���。圖7為依照本發(fā)明第三范例實施例所繪示的儲存裝置解鎖方法的流程圖���。附圖符號說明100,520:儲存裝置1000:主機1100:計算機系統(tǒng)1102:微處理器1104:隨機存取存儲器1106:輸入/輸出裝置1108:系統(tǒng)總線1120:儲存裝置保護系統(tǒng)1202:鼠標1204:鍵盤1206:顯示器1208:打印機1212:隨身盤1214:存儲卡1216:固態(tài)硬盤102,342,522:連接器104、344����、524:控制器106:可重寫式易失性存儲器模塊410(0)410(N):實體區(qū)塊1121:檢測單元1122:帳號密碼輸入單元1123:識別碼獲取單元1124:加密單元1125:保護控制單元1126:解密單元340:密鑰儲存裝置346、526:存儲器模塊352:隱藏儲存區(qū)354:一般儲存區(qū)361:加密數(shù)據(jù)510:主機530:密鑰儲存裝置S602�、S604、S606���、S608�、S610�、S612、S614���、S616����、S618:儲存裝置上鎖方法的步驟S702���、S704�、S706、S708�、S710�����、S712���、S714:儲存裝置解鎖方法的步驟具體實施例方式[第一范例實施例]一般而言����,儲存裝置(亦稱�,存儲器儲存系統(tǒng))包括可重寫式非易失性存儲器模塊與控制器(亦稱,控制電路)�����。通常儲存裝置是與主機一起使用���,以使主機可將數(shù)據(jù)寫入至儲存裝置或從儲存裝置中讀取數(shù)據(jù)���。圖1A是根據(jù)第一范例實施例所繪示的主機與儲存裝置����。請參照圖1A,主機1000—般包括計算機1100與輸入/輸出(input/output,I/O)裝置1106�。計算機1100包括微處理器1102、隨機存取存儲器(randomaccessmemory,RAM)1104�、系統(tǒng)總線1108、數(shù)據(jù)傳輸接口1110與儲存裝置保護系統(tǒng)1120�。輸入/輸出裝置1106包括如圖1B的鼠標1202、鍵盤1204����、顯示器1206與打印機1208。必須了解的是��,圖1B所示的裝置非限制輸入/輸出裝置1106��,輸入/輸出裝置1106可還包括其他裝置�����。在本發(fā)明實施例中�,儲存裝置100是通過數(shù)據(jù)傳輸接口1110與主機1000的其他元件耦接。藉由微處理器1102��、隨機存取存儲器1104與輸入/輸出裝置1106的運作可將數(shù)據(jù)寫入至儲存裝置100或從儲存裝置100中讀取數(shù)據(jù)�。例如����,儲存裝置100可以是如圖1B所示的隨身盤1212����、存儲卡1214或固態(tài)硬盤(SolidStateDrive,SSD)1216等的可重寫式非易失性存儲器儲存裝置。一般而言�,主機1000為可實質(zhì)地與儲存裝置100配合以儲存數(shù)據(jù)的任意系統(tǒng)��。雖然在本范例實施例中�����,主機1000是以計算機系統(tǒng)來作說明����,然而,在本發(fā)明另一范例實施例中主機1000可以是數(shù)碼相機�、攝影機、通信裝置����、音訊播放器或視訊播放器等系統(tǒng)。例如�,在主機為數(shù)碼相機(攝影機)1310時���,可重寫式非易失性存儲器儲存裝置則為其所使用的SD卡1312、MMC卡1314�����、存儲棒(memorystick)1316�����、CF卡1318或嵌入式儲存裝置1320(如圖1C所示)��。嵌入式儲存裝置1320包括嵌入式多媒體卡(EmbeddedMMC,eMMC)��。值得一提的是�,嵌入式多媒體卡是直接耦接于主機的基板上。圖2是繪示圖1A所示的儲存裝置的概要方塊圖�����。請參照圖2����,儲存裝置100包括連接器102、控制器104與可重寫式非易失性存儲器模塊106�。在本范例實施例中���,連接器102是相容于序列先進附件(SerialAdvancedTechnologyAttachment,SATA)標準。然而,必須了解的是,本發(fā)明不限于此,連接器102亦可以是符合并列先進附件(ParallelAdvancedTechnologyAttachment,PATA)標準�、電氣和電子工程師協(xié)會(InstituteofElectricalandElectronicEngineers,IEEE)1394標準、高速周邊零件連接接口(PeripheralComponentInterconnectExpress,PCIExpress)標準�、通用序列總線(UniversalSerialBus,USB)標準、安全數(shù)字(SecureDigital,SD)接口標準�、存儲棒(MemoryStick,MS)接口標準�����、多媒體儲存卡(MultiMediaCard�,麗C)接口標準�����、小型快閃(CompactFlash,CF)接口標準���、整合式驅(qū)動電子接口(IntegratedDeviceElectronics,IDE)標準或其他適合的標準�?���?刂破?04用以執(zhí)行以硬件型式或固件型式實作的多個邏輯門或控制指令����,并且根據(jù)主機1000的指令在可重寫式非易失性存儲器模塊106中進行數(shù)據(jù)的寫入���、讀取與擦除等運作�����?���?芍貙懯椒且资源鎯ζ髂K106是耦接至控制器104�,并且用以儲存主機1000所寫入的數(shù)據(jù)??芍貙懯椒且资源鎯ζ髂K106具有實體區(qū)塊410(0)410(N)。例如�����,實體區(qū)塊410(0)410(N)可屬于同一個存儲器晶粒(die)或者屬于不同的存儲器晶粒��。請再參照圖1A�����,主機1000中包含儲存裝置保護系統(tǒng)1120。儲存裝置保護系統(tǒng)1120用以根據(jù)使用者所設(shè)定的管理者帳號與管理者密碼將儲存裝置100的存取模式設(shè)定為保護狀態(tài)(即��,上鎖)���,并且根據(jù)所接收的管理者帳號與管理者密碼將儲存裝置100的存取模式設(shè)定為非保護狀態(tài)(即��,解鎖)�����。在此����,當儲存裝置100的存取模式被設(shè)定為保護狀態(tài)時��,主機1000將無法存取儲存于儲存裝置100中的數(shù)據(jù)��。也就是說�����,在儲存裝置100被解鎖前�,任何人皆無法存取儲存于儲存裝置100中的數(shù)據(jù)。特別是����,當進行管理者帳號與密碼設(shè)定時,儲存裝置保護系統(tǒng)1120會將一個儲存裝置設(shè)定為用以將儲存裝置100解鎖的密鑰儲存裝置�����。圖3為依照第一范例實施例所繪示的主機�����、儲存裝置與密鑰儲存裝置的使用示意圖�����。請參照圖3�,在根據(jù)使用者所設(shè)定的管理者帳號與管理者密碼將儲存裝置100的存取模式設(shè)定為保護狀態(tài)時,儲存裝置保護系統(tǒng)1120還會將相關(guān)用以解鎖儲存裝置100的驗證數(shù)據(jù)加密并備份在密鑰儲存裝置340中�����。并且�,密鑰儲存裝置340可被用來解鎖儲存裝置100。也就是說��,倘若儲存裝置100的擁有者在設(shè)定管理者帳號與管理者密碼將儲存裝置100上鎖并且忘記所設(shè)定的管理者帳號與管理者密碼時,儲存裝置100的擁有者可使用密鑰儲存裝置340來解鎖儲存裝置100�。在本范例實施例中,儲存裝置100為固態(tài)硬盤�����,而密鑰儲存裝置340為隨身盤���。然而��,在其他實施例中儲存裝置100也可為隨身盤�,而密鑰儲存裝置340可為固態(tài)硬盤��,本發(fā)明并不限制儲存裝置100與密鑰儲存裝置340的種類�����。圖4A為依照第一范例實施例所繪示的儲存裝置保護系統(tǒng)的概要方塊�。請參照圖4A,儲存裝置保護系統(tǒng)1120包括檢測單元1121����、帳號密碼輸入單元1122�、識別碼獲取單元1123、加密單元1124、保護控制單元1125與解密單元1126��。檢測單元1121是耦接至保護控制單元1125�,且用以判斷儲存裝置100與密鑰儲存裝置340是否皆稱接于主機1000。例如,檢測單元1121為微處理器(microprocessor)或是特殊應(yīng)用集成電路(Application-specificintegratedcircuit,ASIC)�。當使用者要將儲存裝置100設(shè)定為保護狀態(tài)而啟動儲存裝置保護系統(tǒng)1120時,檢測單元1121便會執(zhí)行此判斷��。若檢測單元1121判斷儲存裝置100與密鑰儲存裝置340皆非耦接至主機1000時��,檢測單元1121會在主機1000的一顯示單元(未繪示)中顯示一上鎖失敗訊息�����,提醒使用者上鎖失敗���。帳號密碼輸入單元1122是耦接至保護控制單元1125���,且用以接收管理者帳號與管理者密碼。例如���,帳號密碼輸入單元1122為微處理器或是特殊應(yīng)用集成電路����。詳細來說,當使用者要將儲存裝置100設(shè)定為保護狀態(tài)而啟動儲存裝置保護系統(tǒng)1120�����,并且檢測單元1121判斷儲存裝置100與密鑰儲存裝置340皆耦接至主機1000時����,帳號密碼輸入單元1122會在主機1000的一顯不單兀(未繪不)上顯不一輸入視窗。此輸入視窗提供使用者輸入管理者帳號與管理者密碼�,由此取得使用者輸入的管理者帳號與管理者密碼。然而�����,帳號密碼輸入單元1122也可以通過其他的方式接收管理者帳號與管理者密碼�����,本發(fā)明并不限制其接收的方式�。識別碼獲取單元1123是耦接至保護控制單元1125。例如�,識別碼獲取單元1123為微處理器或是特殊應(yīng)用集成電路。識別碼獲取單元1123用以當檢測單元1121判斷儲存裝置100與密鑰儲存裝置340皆耦接至主機1000時��,取得儲存裝置100的識別碼做為第一識別碼�����,并取得密鑰儲存裝置340的識別碼做為第二識別碼�����。例如����,識別碼獲取單元1123分別取得儲存裝置100與密鑰儲存裝置340的全域唯一識別碼(globaluniqueID,⑶ID)作為第一識別碼與第二識別碼����。然而,在其他實施例中���,識別碼獲取單元1123也可以分別取得儲存裝置100與密鑰儲存裝置340的其他識別碼作為第一識別碼與第二識別碼����,本發(fā)明并不限制第一識別碼與第二識別碼的種類�。加密單元1124是耦接至保護控制單元1125。例如���,加密單元1124為微處理器或是特殊應(yīng)用集成電路�����。當識別碼獲取單元1123取得第一識別碼與第二識別碼����,且?guī)ぬ柮艽a輸入單元1122取得管理者帳號與管理者密碼后,加密單元1124會將所取得的管理者帳號���、管理者密碼���、第一識別碼與第二識別碼加密成為加密數(shù)據(jù)。例如�����,加密單元1124是用SHA512來執(zhí)行上述加密動作�。然而在其他范例實施例中,加密單元1124也可以使用RSA演算法來執(zhí)行上述加密動作�,本發(fā)明并不限制加密的演算法。例如�����,加密單元1124執(zhí)行上述加密動作所使用的密鑰(key)是儲存在儲存裝置保護系統(tǒng)1120的一非易失性存儲器中(未繪示)。保護控制單元1125用以在加密單元1124產(chǎn)生上述加密數(shù)據(jù)后����,保護控制單元1125會將此加密數(shù)據(jù)儲存在密鑰儲存裝置340。例如��,保護控制單元1125為微處理器或是特殊應(yīng)用集成電路�����。圖4B為依照第一范例實施例所繪示的密鑰儲存裝置的概要方塊����。請參考圖4B�,密鑰儲存裝置340包括連接器342、控制器344與存儲器模塊346����。連接器342用以連接主機1000。在本范例實施例中�����,連接器342為符合USB接口標準的連接器�����。然而,本發(fā)明并不限制連接器342的種類�����?����?刂破?44是耦接至連接器342與存儲器模塊346����,用以執(zhí)行以硬件型式或固件型式實作的多個邏輯門或控制指令,并且根據(jù)主機1000的指令在存儲器模塊346中進行數(shù)據(jù)的寫入����、讀取與擦除等運作。特別是�,控制器344會將存儲器模塊346的儲存空間劃分為隱藏儲存區(qū)352與一般儲存區(qū)354。在此�����,隱藏儲存區(qū)352僅可被儲存裝置保護系統(tǒng)1120存取并且一般儲存區(qū)354可被主機1000的操作系統(tǒng)或一般應(yīng)用程序所存取�。在本范例實施例中,保護控制單元1125會將加密單元1124所產(chǎn)生的加密數(shù)據(jù)361儲存在存儲器模塊346的隱藏儲存區(qū)352中。例如�����,保護控制單元1125會使用特定的制造商指令(VenderCommand)來存取隱藏儲存區(qū)352�����。值得一提的是�����,當保護控制單元1125沒有成功地將加密數(shù)據(jù)儲存至密鑰儲存裝置340時���,保護控制單元1125會在主機1000的顯示單元(未繪示)中顯示上鎖失敗訊息。此外�,在本范例實施例中,保護控制單元1125還根據(jù)制造商指令來指示儲存裝置100中的控制器104依據(jù)帳號密碼輸入單元1122所取得的管理者帳號與管理者密碼��,將儲存裝置100的存取模式設(shè)定為保護狀態(tài)���。如此一來���,使用者所設(shè)定的管理者帳號與管理者密碼便被備份在密鑰儲存裝置340上,且儲存裝置100的存取模式會依據(jù)此管理者帳號與管理者密碼被設(shè)定為保護狀態(tài)。使用者可以根據(jù)所設(shè)定的管理者帳號與管理者密碼將儲存裝置100解鎖�����。特別是����,當使用者忘記管理者帳號與管理者密碼時,可使用密鑰儲存裝置340將儲存裝置100解鎖����。以下將說明儲存裝置保護系統(tǒng)1120解鎖儲存裝置100的運作。當使用者要解開儲存裝置100的鎖定而啟動儲存裝置保護系統(tǒng)1120時�����,檢測單元1121會判斷儲存裝置100與密鑰儲存裝置340是否皆耦接至主機1000���。當檢測單元1121判斷儲存裝置100與密鑰儲存裝置340皆非耦接至主機1000時��,檢測單元1121會在主機1000的顯示單元(未繪示)中輸出一解鎖失敗訊息�����。在檢測單元1121判斷儲存裝置100與密鑰儲存裝置340皆耦接至主機1000后���,識別碼獲取單元1123會取得儲存裝置100的識別碼與密鑰儲存裝置340的識別碼����。接著�����,保護控制單元1125會從密鑰儲存裝置340中讀取加密數(shù)據(jù)361����。例如,如上所述����,保護控制單元1125是從密鑰儲存裝置340中的隱藏儲存區(qū)352來讀取加密數(shù)據(jù)361���。并且�,保護控制單元1125會將加密數(shù)據(jù)361傳送給解密單元1126����。之后,解密單元1126會將加密數(shù)據(jù)361解密以取得管理者帳號����、管理者密碼�����、第一識別碼與第二識別碼�����。并且����,保護控制單元1125會判斷第一識別碼是否相同于識別碼獲取單元1123所獲取的儲存裝置100的識別碼�。保護控制單元1125也判斷第二識別碼是否相同于識別碼獲取單元1123所獲取的密鑰儲存裝置340的識別碼。當保護控制單元1125判斷第一識別碼與第二識別碼分別相同于識別碼獲取單元1123所獲取的儲存裝置100與密鑰儲存裝置340的識別碼時�,保護控制單元1125會使用解密單元1126所取得的管理者帳號與管理者密碼來指示儲存裝置100的控制器104將儲存裝置100的存取模式設(shè)定為非保護狀態(tài)。當儲存裝置100被設(shè)定為非保護狀態(tài)后�����,主機1000的操作系統(tǒng)或應(yīng)用程序便可以通過一般的指令來存取儲存裝置100上的數(shù)據(jù)���。值得注意的是��,當使用者也可將儲存裝置100與不同于密鑰儲存裝置340的另一個密鑰儲存裝置(未繪示)耦接至主機1000�����,其中此另一個密鑰儲存裝置存有一加密數(shù)據(jù)且此加密數(shù)據(jù)是由另一個儲存裝置(未繪示)所產(chǎn)生的��。在此例子中�����,加密數(shù)據(jù)中的第一識別碼與第二識別碼分別為此另一個儲存裝置的識別碼與此另一個密鑰儲存裝置的識別碼����。此時解密單元1126同樣可以解密儲存在此另一個密鑰儲存裝置中的加密數(shù)據(jù)。然而��,解密單元1126所獲得第一識別碼(S卩�,此另一個儲存裝置的識別碼)并不會相同于儲存裝置100的識別碼,因此����,保護控制單元1125在判斷第一識別碼不同于儲存裝置100的識別碼以后�����,會在主機1000的顯示單元(未繪示)輸出一解鎖失敗訊息�����。[第二范例實施例]第二范例實施例的儲存裝置保護系統(tǒng)本質(zhì)上是相同于第一范例實施例,其差異之處���,在于在第二范例實施例中�,儲存裝置保護系統(tǒng)的加密單元1124與解密單元1126是配置在儲存裝置中����。圖5為依照第二范例實施例所繪示的主機、儲存裝置�、密鑰儲存裝置的示意圖。請參照圖5�,儲存裝置520包括連接器522、控制器524與存儲器模塊526�����。連接器522是相容于SATA標準����。然而,必須了解的是�,本發(fā)明不限于此,連接器522亦可以是符合PATA標準��、IEEE1394標準、PCIExpress標準����、USB標準、SD接口標準��、MS接口標準��、MMC接口標準����、CF接口標準、IDE標準或其他適合的標準��。存儲器模塊526包括多個實體區(qū)塊(未繪示)以儲存數(shù)據(jù)��?��?刂破?24是耦接至連接器522與存儲器模塊526����,并且用以執(zhí)行以硬件型式或固件型式實作的多個邏輯門或控制指令以根據(jù)主機510的指令在存儲器模塊526中進行數(shù)據(jù)的寫入�����、讀取與擦除等運作���。特別是���,在本范例實施例中,控制器524中還配置有儲存裝置保護系統(tǒng)1120的加密單元1124與解密單元1126�����。加密單元1124與解密單元1126的功能已詳述如上�����,在此便不再贅述�。主機510上配置有儲存裝置保護系統(tǒng)1120的檢測單元1121、帳號密碼輸入單元1122����、識別碼獲取單元1123與保護控制單元1125。檢測單元1121����、帳號密碼輸入單元1122、識別碼獲取單元1123與保護控制單元1125的功能以描述如上,在此便不再贅述���。具體來說����,由于加密單元1124與解密單元1126是配置在控制器524中��。因此��,保護控制單元1125會將管理者帳號�、管理者密碼、第一識別碼以及第二識別碼傳送至控制器524�,由加密單元1124將上述信息加密為加密數(shù)據(jù)。并且�,控制器524會將此加密數(shù)據(jù)回傳至保護控制單元1125,由保護控制單元1125對密鑰儲存裝置340下達指令�����,用以將加密數(shù)據(jù)儲存在密鑰儲存裝置340中�。另一方面,在解密單元1126解密加密數(shù)據(jù)后�,控制器524會將管理者帳號、管理者密碼��、第一識別碼以及第二識別碼傳送至保護控制單元1125。值得一提的是����,在第二范例實施例中���,儲存裝置保護系統(tǒng)1120的配置方式僅為一個范例�。然而�,在其他實施例中儲存裝置保護系統(tǒng)1120還可以有其他配置方式,本發(fā)明并不限制儲存裝置保護系統(tǒng)1120中各單元的配置位置�。在本實施例中,儲存裝置保護系統(tǒng)1120是用以將儲存裝置520的存取模式設(shè)定為保護狀態(tài)���,并將相關(guān)的驗證數(shù)據(jù)加密成加密數(shù)據(jù)并儲存在密鑰儲存裝置340中�。在解鎖時����,儲存裝置保護系統(tǒng)1120會從密鑰儲存裝置340中讀取加密數(shù)據(jù),并將儲存裝置520的存取模式設(shè)定為非保護狀態(tài)��。詳細步驟已描述如上���,在此便不再贅述����。[第三范例實施例]在第一范例實施例中,儲存裝置保護系統(tǒng)的檢測單元���、帳號密碼輸入單元�����、識別碼獲取單元����、加密單元����、保護控制單元與解密單元是以硬件架構(gòu)來實作,但本發(fā)明不限于此��。在第三范例實施例中����,儲存裝置保護系統(tǒng)的檢測單元、帳號密碼輸入單元��、識別碼獲取單元�����、加密單元、保護控制單元與解密單元所執(zhí)行的功能亦可以軟件型式來實作�����。例如��,實作儲存裝置保護系統(tǒng)的檢測單元��、帳號密碼輸入單元����、識別碼獲取單元���、加密單元�����、保護控制單元與解密單元的功能的程序碼可安裝至主機上來運轉(zhuǎn)���。例如,儲存裝置保護系統(tǒng)的程序碼在被執(zhí)行時�,可以在一顯示單元(未繪示)輸出一使用者接口藉此與使用者互動���;也可通過指令來控制儲存裝置與密鑰儲存裝置。以下以流程圖來說明此程序碼的運作����。圖6為依照本發(fā)明第三范例實施例所繪示的儲存裝置上鎖方法的流程圖。請參照圖6�,當使用者啟動儲存裝置保護系統(tǒng)來設(shè)定管理者帳號與管理者密碼來上鎖儲存裝置時,在步驟S602中�����,儲存裝置保護系統(tǒng)的程序碼會判斷儲存裝置與密鑰儲存裝置是否皆耦接至主機����。若儲存裝置或密鑰儲存裝置未耦接至主機時,則在步驟S604中���,儲存裝置保護系統(tǒng)的程序碼會輸出一上鎖失敗訊息����。之后���,圖6的流程會結(jié)束若儲存裝置與密鑰儲存裝置皆已耦接至主機時���,則在步驟S606中��,儲存裝置保護系統(tǒng)的程序碼會接收管理者帳號與管理者密碼�����。具體來說���,一個輸入接口會顯示在主機的顯示器中以要求使用者設(shè)定管理者帳號與管理者密碼。接著���,在步驟S608中,儲存裝置保護系統(tǒng)的程序碼會取得儲存裝置的識別碼作為第一識別碼��,并且在步驟S610中儲存裝置保護系統(tǒng)的程序碼會取得密鑰儲存裝置的識別碼作為第二識別碼����。接著,在步驟S612中�,儲存裝置保護系統(tǒng)的程序碼會將管理者帳號、管理者密碼�、第一識別碼與第二識別碼加密成為加密數(shù)據(jù),并在步驟S614中���,儲存裝置保護系統(tǒng)的程序碼會將加密數(shù)據(jù)儲存至密鑰儲存裝置中����。之后,在步驟S616中����,儲存裝置保護系統(tǒng)的程序碼會判斷加密數(shù)據(jù)是否成功地儲存在密鑰儲存裝置中。倘若加密數(shù)據(jù)未成功地儲存在密鑰儲存裝置中時�����,則步驟S604會被執(zhí)行���。倘若加密數(shù)據(jù)成功地儲存在密鑰儲存裝置中時�����,則在步驟S618中���,儲存裝置保護系統(tǒng)的程序碼會指示儲存裝置的控制器依據(jù)管理者帳號與管理者密碼將儲存裝置的存取模式設(shè)定為保護狀態(tài)。例如����,儲存裝置保護系統(tǒng)的程序碼會通過制造商指令(VenderCommand)傳送管理者帳號與管理者密碼給儲存裝置上的控制器�����,此控制器會將管理者帳號與管理者密碼的數(shù)據(jù)儲存在可重寫式非易失性存儲器模塊或控制器上的暫存器(register)����。此控制器在接收到制造商指令后還會將儲存裝置的存取模式設(shè)定為保護狀態(tài)�����,并且設(shè)立旗標(flag)表示此儲存裝置已受密碼保護�。之后,圖6的流程會結(jié)束���。圖7為依照本發(fā)明第三范例實施例所繪示的儲存裝置解鎖方法的流程圖。在步驟S702中���,儲存裝置保護系統(tǒng)的程序碼會判斷儲存裝置與密鑰儲存裝置是否皆耦接至主機�����。若儲存裝置或密鑰儲存裝置未耦接至主機時���,在步驟S704中�,儲存裝置保護系統(tǒng)的程序碼會輸出一解鎖失敗訊息并結(jié)束此方法流程����。若儲存裝置與密鑰儲存裝置皆耦接至主機時,則在步驟S706中�����,儲存裝置保護系統(tǒng)的程序碼會獲取儲存裝置的識別碼與密鑰儲存裝置的識別碼��。接著��,儲存裝置保護系統(tǒng)的程序碼會從密鑰儲存裝置中讀取加密數(shù)據(jù)在(步驟S708)�,并且解密此加密數(shù)據(jù)以獲取管理者帳號、管理者密碼����、第一識別碼與第二識別碼(步驟S710)。然后���,在步驟S712中�����,儲存裝置保護系統(tǒng)的程序碼會判斷第一識別碼與第二識別碼是否分別相同于儲存裝置與密鑰儲存裝置的識別碼�����。若第一識別碼不同于儲存裝置的識別碼或者第二識別碼不同于密鑰儲存裝置的識別碼時���,則步驟S704會被執(zhí)行��。之后���,圖7的流程會結(jié)束。倘若第一識別碼相同于儲存裝置的識別碼且第二識別碼相同于密鑰儲存裝置的識別碼時��,則在步驟S714中���,儲存裝置保護系統(tǒng)的程序碼會使用管理者帳號與管理者密碼來指示儲存裝置的控制器將儲存裝置的存取模式設(shè)定為非保護狀態(tài)����。綜上所述�,本發(fā)明范例實施例的儲存裝置上鎖及解鎖方法和使用這些方法的儲存裝置保護系統(tǒng)是將取得的管理者帳號���、管理者密碼���、儲存裝置的識別碼與密鑰儲存裝置的識別碼一起加密并儲存在密鑰儲存裝置當中����。藉此可以利用上述識別碼來比對解鎖時耦接至主機的儲存裝置與密鑰儲存裝置是否為上鎖時耦接至主機的儲存裝置與密鑰儲存裝置�����。藉此可以避免使用錯誤的密鑰儲存裝置來解開儲存裝置的保護狀態(tài)���。并且���,當使用者忘記管理者帳號與管理者密碼時,便可以通過上鎖時耦接至主機的密鑰儲存裝置來解開儲存裝置的鎖定狀態(tài)�。雖然本發(fā)明已以實施例揭示如上,然其并非用以限定本發(fā)明�����,本領(lǐng)域的技術(shù)人員在不脫離本發(fā)明的精神和范圍的前提下���,可作若干的更動與潤飾�����,故本發(fā)明的保護范圍是以本發(fā)明的權(quán)利要求為準�。權(quán)利要求1.一種儲存裝置保護系統(tǒng),包括:一保護控制單元��;一檢測單元����,耦接至該保護控制單元,用以判斷一儲存裝置與一密鑰儲存裝置是否皆耦接至一主機��;一帳號密碼輸入單元�����,耦接至該保護控制單元���,用以接收一管理者帳號與一管理者密碼����;一識別碼獲取單元�,耦接至該保護控制單元,用以當該儲存裝置與該密鑰儲存裝置皆耦接至該主機時�,獲取該儲存裝置的識別碼作為一第一識別碼并且獲取該密鑰儲存裝置的識別碼作為一第二識別碼;以及一加密單元����,耦接至該保護控制單元,用以將該管理者帳號�、該管理者密碼、該第一識別碼與該第二識別碼加密成為一加密數(shù)據(jù)���,其中該保護控制單元將該加密數(shù)據(jù)儲存至該密鑰儲存裝置�,并且指示該儲存裝置的一控制器依據(jù)該管理者帳號與該管理者密碼將該儲存裝置的一存取模式設(shè)定為一保護狀態(tài)�����。2.如權(quán)利要求1所述的儲存裝置保護系統(tǒng)��,其中該保護控制單元����、該檢測單元、該帳號密碼輸入單元���、該識別碼獲取單元與該加密單元配置在該主機中���。3.如權(quán)利要求1所述的儲存裝置保護系統(tǒng),其中該保護控制單元��、該檢測單元、該帳號密碼輸入單元與該識別碼獲取單元配置在該主機中并且該加密單元配置在該儲存裝置的該控制器中�。4.如權(quán)利要求1所述的儲存裝置保護系統(tǒng),其中該密鑰儲存裝置具有一隱藏儲存區(qū)���,并且該保護控制單元將該加密數(shù)據(jù)儲存至該密鑰儲存裝置的該隱藏儲存區(qū)中�。5.如權(quán)利要求1所述的儲存裝置保護系統(tǒng)��,其中該儲存裝置為一固態(tài)硬盤并且該密鑰儲存裝置為一隨身盤��。6.如權(quán)利要求3所述的儲存裝置保護系統(tǒng)�,其中該保護控制單元還用以將該管理者帳號、該管理者密碼���、該第一識別碼與該第二識別碼傳送至該控制器�����,并且在該加密單元將該管理者帳號���、該管理者密碼、該第一識別碼與該第二識別碼加密成為該加密數(shù)據(jù)之后�����,該控制器將該加密數(shù)據(jù)傳送給該保護控制單元。7.一種儲存裝置保護系統(tǒng)���,包括:一保護控制單元;一檢測單元���,耦接至該保護控制單元���,用以判斷一儲存裝置與一密鑰儲存裝置是否皆耦接至一主機;一識別碼獲取單元����,耦接至該保護控制單元,用以當該儲存裝置與該密鑰儲存裝置皆耦接至該主機時����,獲取該儲存裝置的識別碼與該密鑰儲存裝置的識別碼;以及一解密單元����,耦接至該保護控制單元,其中該保護控制單元用以從該密鑰儲存裝置中讀取一加密數(shù)據(jù)��,并且該解密單元用以解密該加密數(shù)據(jù)以獲取一管理者帳號����、一管理者密碼���、一第一識別碼與一第二識別碼,其中該保護控制單元判斷該第一識別碼與該第二識別碼是否分別地相同于該識別碼獲取單元所獲取的該儲存裝置的識別碼與該密鑰儲存裝置的識別碼���,其中當該第一識別碼與該第二識別碼分別地相同于該識別碼獲取單元所獲取的該儲存裝置的識別碼與該密鑰儲存裝置的識別碼時��,該保護控制單元使用該管理者帳號與該管理者密碼來指示該儲存裝置的一控制器將該儲存裝置的一存取模式設(shè)定為一非保護狀態(tài)����。8.如權(quán)利要求7所述的儲存裝置保護系統(tǒng)�����,其中該保護控制單元�����、該檢測單元�、該帳號密碼輸入單元、該識別碼獲取單元與該解密單元配置在該主機中��。9.如權(quán)利要求7所述的儲存裝置保護系統(tǒng),其中該保護控制單元��、該檢測單元����、該帳號密碼輸入單元與該識別碼獲取單元配置在該主機中并且該解密單元配置在該儲存裝置的該控制器中。10.如權(quán)利要求7所述的儲存裝置保護系統(tǒng)���,其中該密鑰儲存裝置具有一隱藏儲存區(qū),并且該加密數(shù)據(jù)儲存在該密鑰儲存裝置的該隱藏儲存區(qū)中�����。11.如權(quán)利要求7所述的儲存裝置保護系統(tǒng)��,其中該儲存裝置為一固態(tài)硬盤并且該密鑰儲存裝置為一隨身盤����。12.如權(quán)利要求9所述的儲存裝置保護系統(tǒng),其中該保護控制單元用以將該加密數(shù)據(jù)傳送給該儲存裝置的該控制器�,并且在該解密單元解密該加密數(shù)據(jù)之后,該儲存裝置的該控制器還用以將該管理者帳號�、該管理者密碼、該第一識別碼與該第二識別碼傳送至該保護控制單元�。13.一種儲存裝置上鎖方法,包括:判斷一儲存裝置與一密鑰儲存裝置是否皆耦接至一主機���;以及當該儲存裝置與該密鑰儲存裝置皆耦接至該主機時����,執(zhí)行一上鎖運作,其中該上鎖運作包括:接收一管理者帳號與一管理者密碼��;獲取該儲存裝置的一識別碼作為一第一識別碼�;獲取該密鑰儲存裝置的一識別碼作為一第二識別碼;將該管理者帳號��、該管理者密碼�����、該第一識別碼與該第二識別碼加密成為一加密數(shù)據(jù)�;將該加密數(shù)據(jù)儲存至該密鑰儲存裝置中;判斷該加密數(shù)據(jù)是否成功地儲存至該密鑰儲存裝置中����;以及當該加密數(shù)據(jù)成功地儲存至該密鑰儲存裝置中時,指示該儲存裝置的一控制器依據(jù)該管理者帳號與該管理者密碼將該儲存裝置的一存取模式設(shè)定為一保護狀態(tài)����。14.如權(quán)利要求13所述的儲存裝置上鎖方法,其中該密鑰儲存裝置具有一隱藏儲存區(qū),并且將該加密數(shù)據(jù)儲存至該密鑰儲存裝置中的步驟包括:將該加密數(shù)據(jù)儲存至該密鑰儲存裝置的該隱藏儲存區(qū)中�����。15.如權(quán)利要求13所述的儲存裝置上鎖方法��,其中該儲存裝置為一固態(tài)硬盤并且該密鑰儲存裝置為一隨身盤���。16.如權(quán)利要求13所述的儲存裝置上鎖方法��,還包括:當該儲存裝置與該密鑰儲存裝置非皆耦接至該主機時����,輸出一上鎖失敗訊息����。17.如權(quán)利要求13所述的儲存裝置上鎖方法�,其中該上鎖運作還包括:當該加密數(shù)據(jù)非成功地儲存至該密鑰儲存裝置中時,輸出一上鎖失敗訊息�。18.一種儲存裝置解鎖方法,包括:判斷一儲存裝置與一密鑰儲存裝置是否皆耦接至一主機����;以及當該儲存裝置與該密鑰儲存裝置皆耦接至該主機時,執(zhí)行一解鎖運作,其中該解鎖運作包括:獲取該儲存裝置的識別碼與該密鑰儲存裝置的識別碼�;從該密鑰儲存裝置中讀取一加密數(shù)據(jù);解密該加密數(shù)據(jù)以獲取一管理者帳號����、一管理者密碼、一第一識別碼與一第二識別碼�;判斷該第一識別碼與該第二識別碼是否分別地相同于所獲取的該儲存裝置的識別碼與該密鑰儲存裝置的識別碼;當該第一識別碼與該第二識別碼分別地相同于所獲取的該儲存裝置的識別碼與該密鑰儲存裝置的識別碼時�,使用該管理者帳號與該管理者密碼來指示該儲存裝置的一控制器將該儲存裝置的一存取模式設(shè)定為一非保護狀態(tài)。19.如權(quán)利要求18所述的儲存裝置解鎖方法���,還包括:當該儲存裝置與該密鑰儲存裝置非皆耦接至該主機時�����,輸出一解鎖失敗訊息�。20.如權(quán)利要求18所述的儲存裝置解鎖方法�,其中該解鎖運作還包括:當該第一識別碼不同于所獲取的該儲存裝置的識別碼或者該第二識別碼不同于所獲取的該密鑰儲存裝置的識別碼時,輸出一解鎖失敗訊息���。21.如權(quán)利要求18所述的儲存裝置解鎖方法�����,其中該密鑰儲存裝置具有一隱藏儲存區(qū)�,并且該加密數(shù)據(jù)儲存在該密鑰儲存裝置的該隱藏儲存區(qū)中。22.如權(quán)利要求18所述的儲存裝置解鎖方法�,其中該儲存裝置為一固態(tài)硬盤并且該密鑰儲存裝置為一隨身盤。全文摘要本發(fā)明披露了一種儲存裝置保護系統(tǒng)及其儲存裝置上鎖與解鎖方法��。該儲存裝置保護系統(tǒng)包括保護控制單元����、檢測單元、帳號密碼輸入單元��、識別碼獲取單元和加密單元��。檢測單元用以判斷儲存裝置與密鑰儲存裝置是否皆耦接至主機���。帳號密碼輸入單元用以接收管理者帳號與管理者密碼。識別碼獲取單元用以獲取儲存裝置及密鑰儲存裝置的識別碼�。加密單元用以將管理者帳號、管理者密碼與所獲取的識別碼加密成為加密數(shù)據(jù)���。保護控制單元用以將加密數(shù)據(jù)儲存至密鑰儲存裝置��,并依據(jù)管理者帳號與管理者密碼將儲存裝置的存取模式設(shè)定為保護狀態(tài)�。基此�,該儲存裝置保護系統(tǒng)可有效地通過密鑰儲存裝置解鎖儲存裝置。文檔編號G06F12/14GK103176917SQ201110432189公開日2013年6月26日申請日期2011年12月21日優(yōu)先權(quán)日2011年12月21日發(fā)明者王清賢,許家榮申請人:群聯(lián)電子股份有限公司