用不可訪問的唯一密鑰對儲存的數據進行加密/解密的製作方法

2023-05-09 18:59:26 1

專利名稱：用不可訪問的唯一密鑰對儲存的數據進行加密/解密的製作方法
總的來說，本發明涉及數據的加密和解密方法，更具體地說，涉及一種技術，它採用專用於計算機系統的不可訪問的唯一密鑰，對計算機系統儲存在這一存儲媒介裡的數據進行加密和解密，其中的加密和解密採用了專用於這一計算機系統的不可訪問的唯一密鑰。
對臨時或者永久儲存的數據，或者通過不安全鏈路傳輸的數據，進行加密和解密的程序在本領域裡大家都了解一些。多數加密算法採用一個密鑰來加密數據。於是，加密算法的成功使用通常都要求接收加密傳輸的數據或者從存儲器讀取加密數據的臺擁有跟加密數據所用密鑰相同的密鑰，這樣才能解密。因此，任何未經授權的一方都不應當知道也不應當能夠獲得所用密鑰。
加密技術很多，可以用於計算機和計算機數據。但進一步的改進非常必要，特別是在防止未經授權的一方獲得密鑰的技術方面。
具體而言，對於本發明，計算機數據常常是儲存在硬碟上的。如果用硬碟來儲存敏感數據，它的丟失或者被盜就會帶來危險。尤其是可攜式(也就是膝上型)計算機系統，它們常常能夠很容易地打開，硬碟的被盜會構成威脅。
因此，在這一領域需要一種加密／解密方法，它對於用戶應用程式而言是透明的，構造密鑰的基礎是主機的唯一屬性，這樣，不訪問這一臺計算機就無法對這一臺機器中的加密數據解密。
於是，簡單地概括起來，一方面本發明包括一種方法，用於保護從計算機存入存儲媒介的數據。該方法包括為這一計算機系統構造一個唯一的密鑰；用這個唯一的密鑰加密數據，以產生加密數據；將加密數據儲存在存儲媒介上，而不將唯一的密鑰儲存在存儲媒介上。
另一方面，提供了一種方法，用於保護計算機系統儲存在存儲媒介上的數據。該系統包括在這個計算機系統內確定一個唯一密鑰的裝置，以及用這個唯一密鑰加密數據產生加密數據的裝置。還提供了將加密數據儲存在存儲媒介上的裝置，其中儲存加密數據的時候不將唯一密鑰儲存在存儲媒介中。
再一方面，提供了一種處理系統，它包括用於儲存數據的一種存儲媒介和一種計算機系統。該計算機系統用於構造唯一的密鑰，並用這個唯一的密鑰加密數據來產生加密數據。該計算機系統還包括一個設備驅動器和一個驅動控制器，用於將加密數據儲存在存儲媒介裡。
另一方面，提供了可以被機器讀出的至少一個程序存儲裝置，用於儲存至少一個程序，該程序可以被機器執行，以實現保護計算機系統存入存儲媒介的數據的方法，該方法包括在計算機系統內構造唯一的密鑰；用這個唯一的密鑰加密數據以產生加密數據；將這些加密數據存入存儲媒介，而不將這個唯一的密鑰存入存儲媒介。
換句話說，在所有的實施方案中，提供了一種透明的技術，用於加密和解密計算機系統儲存在一種可拆卸或者不可拆卸存儲媒介上的數據，比方說儲存在硬碟、軟盤或者光碟上的數據。這一加密／解密技術採用專用於這一計算機系統的一個唯一、不可獲得的密鑰。這個密鑰，以及加密邏輯和解密邏輯，可以嵌入硬體，例如，計算機系統的驅動控制器中。或者，這一密鑰以及加密邏輯和解密邏輯，可以駐留在這一計算機系統的軟體中。
如果用軟體來實現，這個唯一密鑰就可以被例如計算機系統的設備驅動器獲得。具體地說，可以對這一設備驅動器編程，使它在啟動的時候從計算機系統的不可拆卸硬體部件讀取一個或者多個序列號(或者象PCI配置信息、晶片識別號等等這樣的其它靜態信息)。然後可以將這些序列號組合(例如混編)成唯一密鑰，從而保證這一計算系統加密的數據只能由該計算機系統解密。
這裡提供的透明加密／解密方法能夠保證例如硬碟、軟盤或者光碟上的數據只能在儲存這些數據的特定的機器裡使用。如果這一儲存媒介重新裝入另一臺機器，這一媒介就無法使用。顯然這對於可攜式計算機用戶、軍方用戶或者有敏感數據要保護的用戶來說特別有意義。這一加密和解密方法最好採用基於主機屬性的密鑰，因此，不用這一臺主機解密就無法使用。此外，根據本發明，構造這個唯一的密鑰時，不需要從計算機外部提供任何種子數。
通過下面對本發明特定優選實施方案的詳細介紹，同時參考以下附圖，前面介紹的本發明的目的、優點和特徵，以及其它目的、優點和特徵，將更加容易理解。在這些附圖中


圖1描述了實現本發明的原理中加密／解密能力的一個計算機系統的實施方案，其中的加密／解密能力是用一個嵌入的密鑰在硬體裡實現的。
圖2介紹了實現按照本發明的原理的加密／解密能力的一個計算機系統的另一個實施方案，其中的密鑰是在主機系統唯一屬性的基礎之上產生的，加密／解密能力是在軟體裡實現的。
圖3是按照本發明的原理在軟體中產生密鑰的一個實施方案的流程圖；圖4是儲存按照本發明的能力加密的數據的一個實施方案的流程圖；和圖5是取出按照本發明的能力加密的數據的一個實施方案的流程圖。
一般而言，這裡提出的是將數據加密，儲存在可拆卸或者不可拆卸媒介上的一種更加安全的方法。數據保護是這樣來實現的獲得一個唯一的號碼，嵌入計算機內，寫入(或者擁有)數據存儲媒介，這個號碼是嵌入存儲媒介中而不是在存儲媒介中的；用這個唯一的號碼作為加密基礎，對數據加密；加密以後，將加密數據儲存在數據存儲媒介裡，而不將這個唯一的號碼存儲在數據存儲媒介裡。不可拆卸的存儲媒介可以包括計算機的硬碟，而可拆卸的媒介可以包括軟盤、可寫光碟等等。通過用對儲存這些數據的這一特定計算機來說是唯一的密鑰加密數據，這些加密數據只能由同一臺計算機解密。
這個唯一的密鑰可以包括儲存在計算機一個不可拆卸部件裡的一個號碼，或者這個密鑰可以通過混編(或者用其它的數學組合方法)不可拆卸部件中的一個或者多個號碼。例如，這個唯一的號碼可以使嵌入計算機處理器，或者集成在主板上其它部件的一個序列號。但是有一個要求，用作密鑰基礎的這個號碼不能跟加密數據儲存在同樣的媒介上。
存儲以前對數據進行加密，以及從存儲器中取出數據以後對數據進行解密，這些事情可以在硬體裡也可以在軟體裡完成。圖1描述了一個計算機系統的一個實施方案，該計算機系統籠統地用10來標識，其中的密鑰以及加密和解密單元都是嵌入計算機中每一個驅動控制器20裡的硬體。利用儲存在驅動控制器20中的唯一密鑰30，硬體加密和解密既可以在驅動控制器20裡進行(如圖所示)，又可以在驅動器自己內部進行。
如圖1所示，計算機系統10還包括一個處理器12，它運行一個用戶應用程式14，執行一個文件系統16，並運行一個設備驅動器18。眾所周知，存儲系統依賴於軟體，其中每一個驅動器都有一個有關的「文件系統」16，它包括，叫做「設備驅動器」18的軟體等等。設備驅動器是低級可執行模塊，能夠訪問(例如讀和寫)計算機的硬體部件。
在圖1所示的實施方案裡，假設密鑰30、加密單元32和解密單元34都是用驅動控制器20裡的硬體來實現的。許多個人計算機都有「驅動控制器」，它控制著數據流向和來自磁碟驅動器、軟盤驅動器等等。驅動控制器的常用類型包括IDE(集成驅動電子)、SCSI(小型計算機系統接口)和軟盤驅動控制器。
密鑰可以嵌入驅動器或者驅動控制器的邏輯中。流行的驅動控制器常常都是集成在具有多種功能的一個晶片中。例如，一塊晶片可以用作一個PCI到ISA的總線橋，包括一個或者多個IDE驅動控制器，和一個中斷控制器，直接存儲器存取(DMA)，一個或者多個通用串行總線(USB)，電源管理，和其它功能。這種晶片的一個實例是英特爾的82371AB PCI到ISA／IFDE的Xcelerator(PIIX4)多功能晶片。密鑰可以儲存在一個只讀存儲器裡(或者幾個寄存器裡，為了冗餘的目的)，從外部無法訪問它--也就是說，外部世界無法知道它的內容。密鑰將在內部訪問，並用於多路復用數據以便傳輸的時候控制數據，例如，通過一條外部總線發往可記錄CD-ROM、軟盤等等這樣的存儲媒介。密鑰可以通過一個線性反饋移位寄存器(LFSR)用一個時鐘信號周期性地激勵它而不斷變化。準備數據在一個外部總線上傳輸，傳遞給系統的主存儲器(DRAM)或者另一個存儲媒介，在那裡它將作為普通未加密數據的時候，解密單元會訪問同一個密鑰並用它反過來重複加密過程。
根據本發明的一個實施方案，當數據存入存儲裝置22的時候，硬體32用唯一的密鑰自動地加密數據，而從存儲裝置22中取出數據的時候，解密單元34用密鑰30自動地對加密數據解密。任意的傳統加密／解密技術都可以用於加密單元32和解密單元34，只要這種技術採用加密／解密密鑰。作為一種加強，系統可以提供一個用戶選擇輸入35，有選擇地控制加密單元32對儲存在存儲裝置22上的數據加密還是不加密。這一可選用戶輸入可以由本領域裡的技術人員根據計算機系統10的具體情況用硬體或者軟體來實現。
實現本發明的概念的另一種方法是在高於硬體的級別上加密和解密數據，也就是高於驅動控制器20的級別上。例如，可以在訪問驅動器的設備驅動器中用軟體實現加密和解密以及密鑰的產生。這種方法，這裡叫做軟體方法，在圖2裡描述。
在圖2所示的實施方案中，計算機系統100包括一個處理器112，它運行這一個用戶應用程式114、文件系統程序116和至少一個設備驅動器模塊118。設備驅動器模塊118包括一個密鑰生成例程130，以及加密132和解密134軟體。對於硬體方案，本領域裡的技術人員可以為用戶提供是否對所選數據135進行加密的選擇。這樣，根據用戶是否選擇加密，圖中的數據通過加密單元132進入驅動控制器120或者在加密單元外面通過。此外，本領域裡大家都知道的加密／解密算法可以由本領域裡的技術人員跟本發明一起使用，只要這一加密／解密算法採用了加密／解密密鑰。加密數據由驅動控制器120轉發給存儲裝置122。
在軟體方法中，密鑰可以在計算機啟動的時候獲得(下面進一步介紹)。例如，在一種實施方案中，密鑰可以儲存在易失性(也就是臨時)存儲器中，關閉計算機電源的時候會丟失。
通過讓用戶能夠選擇是否對特定的數據進行加密，可以讓用戶決定這些數據可以在其它計算機系統上讀出來，還是只能在寫入存儲媒介的計算機系統上讀出來。此外，配備了這種加密／解密能力選擇的驅動器(或者驅動控制器或者設備驅動器)，可以給每一個文件做上標記，從而在從存儲媒介讀取文件的時候，這個文件是否需要解密是十分清楚的。
圖3～5綜述了本發明加密／解密能力軟體實施中採用的過程。在圖3裡，產生一個唯一的密鑰，例如，在設備驅動器初始化的時候，通過訪問計算機系統300的不可拆卸裝置／部件的機器專用信息來產生。利用這些信息，通過例如混編這些信息310來產生密鑰，在這以後，密鑰儲存在設備驅動器的易失性存儲器320中。
典型計算機上有許多晶片都是以一種不可拆卸的方式安裝在主電路板，或者母板上。這種晶片可以包括主處理器(奔騰處理器之類)，一個視頻晶片(或者顯示適配器)，一個音頻晶片，連接處理器主總線的一個或者多個適配器，一個外圍部件互連(PCI)總線，主存儲器(DRAM)，加速圖形埠(AGP)，驅動控制器，總線橋等等。這些晶片可以包括不變的可讀信息，比方說晶片ID或者序列號。此外，許多晶片都是PCI設備--也就是說，它們是用PCI總線連接起來的。PCI本地總線規範規定了一個強制性的配置空間，由跟這一總線連接的所有設備實現。這一配置空間有一個16位元組的預定義報頭區域，後面是兩種輔助空間中的一種。該報頭區域包括幾個常數欄位，它們可以被低級代碼(比方說設備驅動器)訪問。在這些欄位中有設備ID，銷售商ID，版本ID，分類碼和報頭類型。這些或者其它可以被一貫地訪問的不可拆卸部件的靜態記錄，可以被讀出，它們的內容可以組合起來構成一個「指紋」，這個號碼可以用作密鑰。
一旦建立好密鑰，就可以選擇將數據加密儲存。如圖4所示，設備驅動器最初接受一個儲存數據的請求400，然後查詢是否選擇了加密410。如果是這樣，就用例如在設備驅動器初始化的過程420中產生的密鑰加密數據。然後將加密數據發送給存儲裝置430。如果用戶沒有選擇加密，就將數據直接發送給存儲裝置。
圖5描述了取數操作的一個實施方案，它開始於設備驅動器收到一個數據請求500。數據是從存儲裝置中取出來的510，處理過程判斷出這些數據是不是加密數據520。如果是這樣，就用設備驅動器初始化的過程中產生的唯一密鑰對這些數據進行解密。解密以後，或者如果數據沒有加密，將數據發送給請求發出方540。
概括起來，這裡提供的是一種技術，其中嵌入的或者獲得的一個號碼對於這一計算機系統來說是唯一的。通過實例說明，這個號碼可以包括這一計算機系統中特定不可拆卸部件的序列號或者其它識別號。或者，製造計算機的時候可以有一個「一次寫入」區域，可以由用戶或者在製造的時候寫入一個唯一的值。然後，當用戶儲存數據時訪問這個唯一的密鑰，將它用於加密數據或者解密加過密的數據。加密和解密最好在計算機系統的較低級別進行，也許由輸入／輸出(I／O)子系統，按照類似於數據壓縮方式的方式進行。此外，可以讓用戶選擇禁止加密。
密鑰和加密、解密單元可以用硬體實現，也可以用軟體實現，就象前面討論過的一樣。在這兩種方式中，構成加密和解密基礎的唯一密鑰並不儲存在存儲裝置裡。這裡提供的是一種加密／解密技術，這種技術是基於主機屬性的，也就是說，用來加密／解密數據的密鑰對於嵌入機器的一個號碼或者從機器不可拆卸部件中獲得的一個號碼而言，是唯一的。這樣，這一加密／解密對於用戶來說可以是透明的，用戶不必捲入到加密／解密過程中去。此外，不需要從外界提供任何種子數字給計算機。
在加密之前，這個唯一的密鑰可以提供給遠處的系統製造商或者由他們取過去，記錄下來。這樣，如果發生災難性的故障，比方說主板故障(例如)，利用記錄下來的唯一號碼，硬驅動仍然可以在別的地方將數據內容解密出來，儘管唯一地加密了數據的計算機系統發生了故障。
本發明可以包括在例如，產品中(例如一個或者多個電腦程式產品)，其中有例如計算機可以使用的媒介。這一媒介中嵌入了例如計算機可以讀出來的程序代碼裝置，用於提供和支持本發明的能力。該產品可以作為計算機系統的一部分，或者單獨銷售。
另外，至少可以提供一個計算機可以讀的程序存儲裝置，其中嵌入計算機可以執行的至少一個程序，以實現本發明的能力。
提供這裡描述的流程圖的目的只是為了進行說明。這些圖可以有些變化，或者其中的步驟(或者操作)可以有些變化，而不會偏離本發明的實質。例如，在某些情況下，這些步驟可以以不同的順序來執行，或者其中的一些步驟可以被刪除或修改，或者添加一些步驟。所有這些改變都屬於本發明的範圍。
儘管按照本發明的特定優選實施方案詳細描述了本發明，但是本領域裡的技術人員可以對它進行許多的改進和修改。因此，以下權利要求的目的是覆蓋所有這種改進和修改，只要它們屬於本發明的實質和範圍之內。
權利要求
1．一種方法，用於保護從計算機存入存儲媒介的數據，該方法包括在所述計算機系統內構造一個唯一的密鑰；用這個唯一的密鑰加密數據，產生加密數據；和將這些加密數據存入所述存儲媒介，不將唯一的密鑰存入所述存儲媒介。
2．權利要求1的方法，其中的構造步驟包括在所述計算機系統的硬體內嵌入所述唯一密鑰。
3．權利要求2的方法，其中的嵌入步驟包括將所述唯一密鑰嵌入所述計算機系統的驅動控制器中。
4．權利要求3的方法，其中的加密步驟包括用嵌入所述驅動控制器的唯一密鑰在硬體內加密。
5．權利要求4的方法，其中唯一的密鑰被冗餘地嵌入所述計算機系統的所述驅動控制器中。
6．權利要求2的方法，還包括讓用戶能夠選擇對所述數據進行加密。
7．權利要求6的方法，還包括在存入所述存儲媒介的每一個文件中做標記，說明所述數據文件是否需要所述計算機系統進行解密。
8．權利要求1的方法，其中的加密對於在所述計算機系統上運行的用戶應用程式來說是透明的，所述用戶應用程式提供所述數據從計算機系統存入存儲裝置。
9．權利要求1的方法，其中的構造步驟包括在軟體中為所述計算機系統產生所述唯一密鑰，所述產生步驟包括確定所述計算機系統至少一個硬體部件的至少一個標識號，並利用這至少一個標識號為所述計算機系統產生所述唯一的密鑰。
10．權利要求9的方法，其中的產生步驟包括在所述計算機系統一個設備驅動器初始化的時候產生所述唯一的密鑰，並將所述唯一密鑰儲存在所述計算機系統中的易失性存儲器裡。
11．權利要求1的方法，其中的計算機系統和存儲媒介都包括計算機的一部分，其中的存儲媒介包括不可拆卸計算機存儲媒介或者可拆卸計算機存儲媒介中的一樣。
12．權利要求11的方法，其中的計算機包括膝上型計算機，所述存儲媒介包括所述膝上型計算機的計算機硬碟。
13．權利要求1的方法，還包括從所述存儲媒介取出所述加密數據，並用所述唯一密鑰對加密數據解密，對在所述計算機系統上運行的用戶應用程式來說所述解密是透明的。
14．權利要求13的方法，其中的加密包括在硬體內用所述唯一密鑰進行加密，所述硬體駐留在所述計算機系統的驅動控制器內，其中的解密包括在駐留在計算機系統的驅動控制器內的硬體內進行解密。
15．權利要求13的方法，其中的加密包括在軟體內用所述唯一密鑰加密所述數據，這一加密是在該計算機系統一個設備驅動器中的軟體內完成的，其中的解密包括在軟體中用所述唯一密鑰解密加密數據，這一解密還在所述設備驅動器中的軟體內進行，其中的加密和解密對於所述計算機系統上運行的用戶應用程式而言是透明的。
16．一種系統，用於保護從計算機存入存儲媒介的數據，該系統包括在所述計算機系統內構造一個唯一密鑰的裝置；用這個唯一的密鑰加密數據，產生加密數據的裝置；和將這些加密數據存入所述存儲媒介，不將唯一的密鑰存入所述存儲媒介的裝置。
17．權利要求16的系統，其中的構造裝置包括在所述計算機系統的硬體內嵌入所述唯一密鑰的裝置。
18．權利要求17的系統，其中的嵌入裝置包括將所述唯一密鑰嵌入所述計算機系統的驅動控制器中的裝置。
19．權利要求18的系統，其中的加密裝置包括用嵌入所述驅動控制器的唯一密鑰在硬體內加密的裝置。
20．權利要求19的系統，其中唯一的密鑰被冗餘地嵌入所述計算機系統的所述驅動控制器中。
21．權利要求17的系統，還包括讓用戶能夠選擇對所述數據進行加密的裝置。
22．權利要求21的系統，還包括在存入所述存儲媒介的每一個文件中做標記，說明所述數據文件是否需要所述計算機系統進行解密的裝置。
23．權利要求16的系統，其中的加密的裝置對於在所述計算機系統上運行的用戶應用程式來說是透明的，所述用戶應用程式提供所述數據從計算機系統存入存儲裝置。
24．權利要求16的系統，其中的構造裝置包括在軟體中為所述計算機系統產生所述唯一密鑰，所述產生裝置包括確定所述計算機系統至少一個硬體部件的至少一個標識號，並利用這至少一個標識號為所述計算機系統產生所述唯一的密鑰。
25．權利要求24的系統，其中的產生裝置包括在所述計算機系統一個設備驅動器初始化的時候產生所述唯一密鑰，並將所述唯一密鑰儲存在所述計算機系統中的易失性存儲器裡的裝置。
26．權利要求16的系統，其中的計算機系統和存儲媒介都包括計算機的一部分，其中的存儲媒介包括不可拆卸計算機存儲媒介或者可拆卸計算機存儲媒介中的一樣。
27．權利要求26的系統，其中的計算機包括膝上型計算機，所述存儲媒介包括所述膝上型計算機的計算機硬碟。
28．權利要求16的系統，還包括從所述存儲媒介取出所述加密數據，並用所述唯一密鑰對加密數據解密的裝置，對在所述計算機系統上運行的用戶應用程式來說所述解密是透明的。
29．權利要求28的系統，其中的加密裝置包括在硬體內用所述唯一密鑰進行加密的裝置，所述硬體駐留在所述計算機系統的驅動控制器內，其中的解密裝置包括在駐留在計算機系統的驅動控制器內的硬體內進行解密的裝置。
30．權利要求28的系統，其中的加密裝置包括在軟體內用所述唯一密鑰加密所述數據的裝置，這一加密是在該計算機系統一個設備驅動器中的軟體內完成的，其中的解密裝置包括在軟體中用所述唯一密鑰解密加密數據的裝置，這一解密裝置還在所述設備驅動器中的軟體內實現，其中的加密和解密對於所述計算機系統上運行的用戶應用程式而言是透明的。
31．一種處理系統，包括用於儲存數據的一種存儲媒介；和一種計算機系統，用於構造一個唯一密鑰，用這個唯一密鑰加密數據產生加密數據，該計算機系統還包括一個設備驅動器和驅動控制器，用於將加密數據存入所述存儲媒介。
32．權利要求31的處理系統，其中的計算機系統包括在所述設備控制器中的硬體中實現的一個加密單元和一個解密單元，從而使對要存入所述存儲媒介的數據進行加密和對從所述存儲媒介取出來的數據進行解密對所述處理系統上運行的應用程式來說是透明的，其中的唯一密鑰嵌入在驅動控制器中，供所述加密單元和解密單元使用。
33．權利要求31的處理系統，其中的計算機系統包括一個加密單元和一個解密單元，在所述設備驅動器中用軟體實現，從而使對要存入所述存儲媒介的數據進行加密和對從所述存儲媒介取出來的數據進行解密對所述處理系統上運行的應用程式來說是透明的，其中的唯一密鑰是在設備驅動器初始化過程中產生的，儲存在易失性存儲器裡。
34．至少一個程序存儲裝置，可以被機器讀出來，包括至少一個程序，該程序可以被機器執行，以實現一種方法，用於保護從計算機系統存入存儲媒介的數據，包括在所述計算機系統內構造一個唯一的密鑰；用這個唯一的密鑰加密數據，產生加密數據；和將這些加密數據存入所述存儲媒介，不將唯一的密鑰存入所述存儲媒介。
35．權利要求34的至少一個程序存儲裝置，其中的構造步驟包括在所述計算機系統的硬體內嵌入所述唯一密鑰。
36．權利要求35的至少一個程序存儲裝置，其中的嵌入步驟包括將所述唯一的密鑰嵌入所述計算機系統的驅動控制器中。
37．權利要求36的至少一個程序存儲裝置，其中的加密步驟包括用嵌入所述驅動控制器的唯一密鑰在硬體內加密。
38．權利要求34的至少一個程序存儲裝置，其中的加密對於在所述計算機系統上運行的用戶應用程式來說是透明的，所述用戶應用程式提供所述數據從計算機系統存入存儲裝置。
39．權利要求34的至少一個程序存儲裝置，其中的構造步驟包括在軟體中為所述計算機系統產生所述唯一密鑰，所述產生步驟包括確定所述計算機系統至少一個硬體部件的至少一個標識號，並利用這至少一個標識號為所述計算機系統產生所述唯一的密鑰。
40．權利要求39的至少一個程序存儲裝置，其中的產生步驟包括在所述計算機系統一個設備驅動器初始化的時候產生所述唯一的密鑰，並將所述唯一密鑰儲存在所述計算機系統中的易失性存儲器裡。
41．權利要求34的至少一個程序存儲裝置，還包括從所述存儲媒介取出所述加密數據，並用所述唯一密鑰對加密數據解密，對在所述計算機系統上運行的用戶應用程式來說所述解密是透明的。
42．權利要求41的至少一個程序存儲裝置，其中的加密包括在硬體內用所述唯一密鑰進行加密，所述硬體駐留在所述計算機系統的驅動控制器內，其中的解密包括在駐留在計算機系統的驅動控制器內的硬體內進行解密。
43．權利要求41的至少一個程序存儲裝置，其中的加密包括在軟體內用所述唯一密鑰加密所述數據，這一加密是在該計算機系統一個設備驅動器中的軟體內完成的，其中的解密包括在軟體中用所述唯一密鑰解密加密數據，這一解密還在所述設備驅動器中的軟體內進行，其中的加密和解密對於所述計算機系統上運行的用戶應用程式而言是透明的。
全文摘要
公開了加密和解密從計算機系統存入存儲媒介的數據的一種方法,其中的處理採用了對於該計算機系統而言是唯一的一個不可訪問密鑰。這個唯一密鑰可以嵌入這一計算機系統的不可拆卸硬體中,或者可以從例如該計算機系統不可拆卸硬體的標識號產生。所述處理包括構造這一唯一密鑰,用這個密鑰加密數據,並將加密數據存入存儲媒介,而不需要將唯一密鑰存入存儲媒介。這一存儲媒介可以包括任何不可拆卸或者可拆卸存儲媒介,包括例如一個計算機硬碟、軟盤或者可記錄光碟。
文檔編號G06F21/00GK1294457SQ0013147
公開日2001年5月9日 申請日期2000年10月20日 優先權日1999年10月26日
發明者M·S·德特裡克, J·E·費特科維奇, 小G·W·威爾黑爾姆 申請人:國際商業機器公司