藉由硬體鎖裝置的存儲裝置數據加密和數據訪問的系統及方法

2023-04-28 10:18:16 1

專利名稱：藉由硬體鎖裝置的存儲裝置數據加密和數據訪問的系統及方法
技術領域：
本發明涉及藉由硬體鎖裝置(hardware key)的存儲裝置數據加密和數 據訪問的方法及系統。
背景技術：
由於對電子裝置未經授權的訪問可能危害到個人的隱私和機密，因此隨 著可攜式電子裝置使用量的增加，存儲在存儲裝置中的數據安全已越來越緊 迫。雖然密碼(例如，作業系統登錄密碼、BIOS密碼等)已禁止未經4受—又 的用戶登錄到主機裝置(例如膝上型電腦)，但是在將存儲裝置從主機系統 上移除後即可以危及這些裝置的內容。例如，數據電腦黑客可以以物理方式 將存儲裝置移除，並將其移到該數據電腦黑客有訪問權限的另 一 主機裝置 上。因此，需要一種對存儲在存儲裝置中的數據進行加密的安全技術，即使 在主機系統上的作業系統沒有啟動時，也可以用於保護存儲裝置上的數據， 例如，如果從存儲裝置直接讀取數據，使主機系統可以從存儲裝置上訪問數 據，則在待訪問的存儲裝置數據被解密之前，對訪問請求進行授權。此外，用於對存儲裝置上的數據進行加密的加密密鑰的存儲位置影響經 加密的存儲裝置的安全。如果加密密鑰被存儲在主機系統的存儲裝置中，則 當該主機系統丟失或被盜時，加密密鑰的安全性可能被破壞。例如，如果存 儲裝置上的數據可以直接讀取，且電腦黑客知道存儲加密密鑰的位置，這樣， 由於加密密鑰保留在系統上，所以數據安全性可能被破壞。發明內容在此描述一種藉由硬體鎖裝置的存儲裝置數據加密和數據訪問的系統和方法。本部分總結本發明的一些實施例。一個實施例包括硬體鎖裝置中途截取從主機發送的對存儲在存儲裝置 上的數據進行訪問的請求，其中所述存儲在存儲裝置上的數據已使用第 一加 密密鑰進行加密，所述硬體鎖裝置被配置成插入到所述主機的埠 ，且所述 硬體鎖裝置包括具有所述第 一加密密鑰的控制器，以便解密所加密的所述存 儲裝置的數據。所述硬體鎖裝置解譯所述請求，並向所述存儲裝置發出訪問 所加密數據的命令。所述硬體鎖裝置提供所述第一加密密鑰，以便解密所加 密的所述存儲裝置的數據。 一個實施例進一步包括所述硬體鎖裝置中途截取來自所述存儲裝置的回覆，所述回復包括所加密的所述存儲裝置的數據；以 及所述硬體鎖裝置使用所述第一加密密鑰來解密所加密的數據。另外，在一 個實施例中，所述硬體鎖裝置包括USB鎖裝置。本公開包括方法和執行這些方法的設備，包括執行這些方法的處理系統 和在處理系統上執行時使該系統執行這些方法的計算機可讀介質。本發明的其它特徵將根據附圖和以下的詳細描述而顯而易見。


本發明通過示例的方式示出來，並不局限於附圖，附圖中相同的附圖標 記指代相同的元件。圖1依據一個實施例示出通過攔截器模塊或硬體鎖裝置與主機系統通 信的存儲裝置的示例。圖2依據一個實施例示出通過攔截器模塊或硬體鎖裝置與存儲裝置進 行通信的主機系統的示例性分解圖，其中硬體鎖裝置通過主機系統的一個端 口邏輯連接到主才凡系統。圖3A為依據一個實施例示出為存儲裝置數據加密和數據訪問建立密碼 的過程的流程圖。圖3B為依據一個實施例示出授權存儲裝置數據加密和數據訪問的過程 的流程圖。圖3C為依據一個實施例示出識別丟失的或被盜的可攜式裝置的過程的 流程圖。圖4A為依據一個實施例描述圖3B中所示過程的示例的交互圖，該圖 示出了存儲裝置、硬體鎖裝置和主機系統之間用於給存儲裝置數據加密和數 據訪問進行密碼授權的交互。圖4B為依據一個實施例進一步描述圖3B中所示過程的示例的交互圖， 該圖示出了存儲裝置、硬體鎖裝置和主機系統之間的用於存儲裝置數據訪問 的交互。圖5為依據一個實施例的具有處理單元和控制器的硬體鎖裝置的分解圖。圖6依據一個實施例示出創建密碼或修改密碼的界面的屏幕截圖。 圖7依據一個實施例示出保護存儲裝置的界面的屏幕截圖。 圖8A依據一個實施例示出用於訪問被保護存儲裝置的登錄屏幕的界面 的屏幕截圖。圖8B依據一個實施例示出具有密碼輸入提示的登錄屏幕的界面的屏幕 截圖。圖8C依據一個實施例示出由於在圖7B中輸入無效密碼而導致的不成 功登錄的屏幕截圖。圖9依據一個實施例示出顯示密碼提示的屏幕的界面的屏幕截圖。 圖IO依據一個實施例示出具有源指組令的框圖。
具體實施方式
以下描述和附圖是示例性的，並不能解釋為限制。對若干具體細節進行 了描述，以提供對本公開內容的全面理解。然而，在特定示例中，為了避免 使描述不清楚，沒有對公知的或慣用的細節進行描述。參考本公開中的一個 實施例是指，但不一定必須，參考相同的實施例；而且這種參考意思是參考 至少一個。在本公開中參考"一個實施例，，是指對包括在本公開至少一個實施例中 的實施例的有關詳細特徵、結構或特性進行描述。在本公開很多地方出現的 短語"在一個實施例中"不一定必須參考同樣的實施例，也不一定必須參考 與其它實施例完全不同的單獨的或可替換的實施例。而且，所描述的一些特 徵可以由一些實施例來展示，而其它實施例不展示。類似地，所描述的各種需求可以是一些實施例而不是其它實施例的需求。本公開的實施例包括藉由硬體鎖裝置的存儲裝置數據加密和數據訪問 的方法和系統。藉由硬體模塊的存儲裝置數據加密通過存儲裝置上數據的加密，提供了 保證隱私和機密性的保護方法。諸如磁碟驅動器之類的存儲裝置上存在的數 據可以通過磁碟驅動器上所存儲數據的加密程序來得到保護。數據加密可以 通過作業系統邏輯地連接到存儲裝置的硬體鎖裝置來執行。可以通過將硬體 鎖裝置物理地連接到具有加密存儲裝置的主機，來獲得對加密存儲裝置的訪 問。例如，在一個實施例中，加密密鑰被存儲在硬體裝置上，該硬體裝置例 如是可從主機系統移除的硬體鎖裝置。加密密鑰可以存儲在存儲器、非易失 性存儲器、快閃記憶體或硬體鎖裝置的離散邏輯部件中。在一個實施例中，加密密 鑰以掩蔽形式存儲在硬體鎖裝置中，以使在硬體鎖裝置丟失時，加密密鑰的 機密性不會被破壞。另外，加密密鑰可以以掩蔽(例如加密、掩蔽、私/公 鑰旋轉交換等)形式在裝置與裝置之間進行傳輸，以防止在傳輸被中途截取 的情況下加密密鑰的機密性被破壞。加密密鑰可以以多種形式中的一種進行掩蔽(偽裝)。例如，當存儲在 硬體鎖裝置中時，加密密鑰可以由用戶設定密碼所確定的私鑰來加密。這樣， 基於請求的有效性，例如用戶提供了正確的密碼，加密密鑰為非掩蔽的。正 確密鑰可以提供對私鑰的訪問，或本身就是用於掩蔽加密密鑰的私鑰。另外，可以基於預定的算法對加密密鑰進行哈希化操作。該預定的算法可以是使用預定密碼對加密密鑰的運算(例如布爾、算術等)。這樣，為了訪問加密密鑰的非哈希版本，用戶就必須提供預定的密碼。在一個實施例中， 預定的密碼使得對加密密鑰執行預定的算法，以便訪問非哈希的版本。硬體鎖裝置可以是插入系統埠 (例如，並行、串行、USB或火線 (FireWire)埠 )的一種裝置。在另一實施例中，鎖裝置對另一裝置也用 作透傳埠 (pass-through)。當用戶希望註銷和保護系統時，石更件鎖裝置 可以從主機系統上物理地斷開。除非將硬體鎖裝置連接至該系統，否則不可 能再獲得訪問硬體鎖裝置。所以，留在硬體鎖裝置上的加密密鑰不會存儲在 系統本身。在一個實施例中，當提供了預定密碼，並已將存儲有加密密鑰的 硬體鎖裝置連接至主機系統和待讀取的存儲裝置時，硬體鎖裝置上的加密密 鑰才可訪問。在一個實施例中，當加密密鑰邏輯連接到存儲裝置，而不需要用戶輸入 與預定密碼相匹配的密碼的情況下，硬體鎖裝置提供加密密鑰來解密存儲裝 置。在一個實施例中， 一種方法包括硬體鎖裝置中途截取從主機發送到存儲 裝置的請求，以訪問存儲在存儲裝置上的數據。該存儲在存儲裝置上的數據 已使用至少一個加密密鑰進行加密，且硬體鎖裝置被配置為插入到該主機的 埠。硬體鎖裝置包括控制器和有加密密鑰的存儲器，以便解密所加密的所 述存儲裝置的數據。例如，硬體鎖裝置可以是能夠插入到主機系統的一個或多個埠 (例如， 並行、串行、USB或火線埠等)的裝置，並能夠與該主機系統上的一個或 多個存儲裝置進行通信。該硬體鎖裝置可以是任意形式的存儲和/或記憶裝 置。在一個實施例中，當硬體鎖裝置沒有連接到主機系統時，不能對主機系 統的存儲裝置進行訪問。硬體鎖裝置可以存儲用於保護存儲裝置的一個或多個加密密鑰。在一個實施例中，已使用 一個或多個加密密鑰對一個或多個存儲裝置進行了保護，且這些存儲的加密密鑰可由主機系統基於其與主機系統建立的連接進行訪問。例如，控制器對加密密鑰和由加密密鑰保護的存儲裝置進行管理。在一個實施例中，加密密鑰與控制器或存儲器的查詢表中使用該加密密鑰進行加 密的相應存儲裝置相匹配。也可以使用其它管理技術。依據一個實施例，當接收到保護存儲裝置的命令時，啟動密碼建立過程。 初始建立過程使用戶建立一個或多個對存儲裝置上的數據進行訪問(例如加 密、解密、刪除、備份等)的密碼。依據一個實施例，可以為不同的系統用 戶設置不同的訪問級別(例如讀/寫/擦除的特權)。例如，可以將系統管理 員授權為從存儲裝置加密數據和解密數據。系統管理員還可以擁有啟動用不 同加密密鑰進行再加密的特權。授權的用戶可以擁有從加密的驅動讀出(或 解密)數據的特權。依據一個實施例， 一旦完成初始建立過程，並提供了預定的密碼，則待 寫入存儲裝置的新數據可以在存儲到存儲裝置之前進行加密。另外，如果用 戶希望對所使用的磁碟驅動器進行加密，則可以將已存儲在磁碟驅動器上的 數據移動到待加密的第二存儲位置(例如同 一磁碟驅動器上的另 一存儲位 置、另一存儲裝置、系統存儲器、存儲器等)，然後再移回原始的存儲位置。依據一個實施例，可以通過提供與預定密碼相匹配的密碼，來獲得對淨皮 保護存儲裝置的被加密數據的訪問。通過提供預定密碼，對被保護存儲裝置 上的數據進行加密所使用的加密密鑰可以用於對加密數據進行解密。在 一 個 實施例中，將加密密鑰或加密密鑰的掩蔽版本存儲在主機系統的 一個或多個 存儲裝置上的預定位置，該存儲裝置的預定位置在啟動過程中登錄到作業系統之前是可i^問的。訪問存儲裝置的請求可以由用戶在系統啟動以登錄到在該存儲裝置上 安裝的主機作業系統的過程中生成。該請求也可以由用戶在運行在該存儲裝 置的第二分區安裝的第二作業系統時生成。嘗試訪問具體的文件或文件夾也 可以觸發用於訪問存儲裝置上所存儲的被加密數據的請求。另外，當系統或 作業系統退出休眠模式、節電模式或超時時，請求也可以自動或手動生成。 通常，該請求會在系統啟動或系統重啟時自動生成。在一個實施例中，主機系統上的每個文件有不同的加密密鑰。在一些實施例中，每個文件夾有不同的加密密鑰。在另一實施例中，使用一個加密密 鑰對所有留在存儲裝置上的數據進行加密。可以在存儲裝置或主機系統的多 個存儲裝置上實現文件特定加密密鑰、文件夾特定加密密鑰和/或分區特定 加密密鑰的組合。給文件、文件夾、分區和/或存儲裝置的加密密鑰的分配 可以是自動的或用戶指定的。另外，用於數據加密的加密密鑰可以基於用戶請求或基於自動觸發而改 變。在應用不同的加密密鑰之前，在使用不同的加密密鑰對相同的數據進行 加密之前，可以使用初始密鑰對加密的數據進行解密。例如，自動觸發可以 基於諸如數次失敗的登錄嘗試緊接著成功登錄的事件。自動觸發也可以是基 於時間的，例如當加密密鑰已被使用了預定的時間段時。在一個實施例中，該方法包括硬體鎖裝置解譯該請求，並向存儲裝置發 出命令以訪問加密的數據。例如，當硬體鎖裝置接收到向存儲裝置寫數據的命令，則在不針對密碼 提示用戶的情況下，可以對數據進行加密和寫入。在一個實施例中，石更件鎖 裝置控制器管理不同的數據訪問權限(例如讀、寫、擦除等)，以使不同的 用戶準予訪問存儲裝置。如果硬體鎖裝置接收到從存儲裝置讀取數據的命 令，則可以生成密鑰輸入提示。當提供了正確的密鑰時，從存儲裝置讀取所 請求的數據，並進行譯解(例如解密)。類似地，如果接收到擦除存儲裝置 上的數據的請求，則用戶請求密碼。在一個實施例中，該方法包括硬體鎖裝置提供第一加密密鑰，以便對從 存儲裝置讀取的被加密數據進行解密。例如，硬體鎖裝置可以在存儲器中存儲一個或多個加密密鑰。該一個或 多個加密密鑰與使用該加密密鑰進行加密的數據所駐留的數據存儲裝置、文 件或文件夾相對應。在一個實施例中，由硬體鎖裝置上駐留的控制器來協助 加密密鑰管理。硬體鎖裝置中的控制器還可以管理在一個或多個主機系統的 多個存儲裝置上使用的多個加密密鑰。因此，該硬體鎖裝置可以提供對該一 個或多個主機系統的存儲裝置的訪問。在一個實施例中，硬體鎖裝置到主機系統和主機系統的存儲裝置的連接 使得能夠訪問由該硬體鎖裝置提供加密密鑰的存儲裝置。例如，當硬體鎖裝 置插入到主機系統的埠時，存儲裝置上的被加密數據可以訪問。依據一個 實施例，當硬體鎖裝置接收到訪問數據的請求時，硬體鎖裝置上的加密密鑰 自動被訪問，並用於解密待傳送回生成該請求的主機系統的數據。在一個實施例中，硬體鎖裝置的第 一加密密鑰能夠被訪問以解密被保護 的數據之前，由用戶提供預定的密碼。例如，當硬體鎖裝置接收到從存儲裝 置讀取數據的請求時，在主機系統上給用戶生成密碼請求。當接收到匹配預 定密碼的密碼時，石更件鎖裝置上的加密密鑰可以:故訪問。在一個實施例中， 訪問加密密鑰包括訪問第二加密密鑰，以解密加密密鑰。例如，當從用戶接 收到正確密碼時，該密碼可用於解密加密密鑰本身。因此，以偽裝形式將加 密密鑰存儲在硬體鎖裝置上，從而提供額外的保護。在一個實施例中，該方法包括響應於接收請求，提示用戶提供密碼，並 響應於接收與預定密碼匹配的密碼，訪問加密密鑰，以便對所請求的存^f諸在 存儲裝置上的數據進行解密。例如，當主機系統退出休眠模式時，在用戶進 一步使用該主機系統之前，提示用戶提供正確的密碼。將用戶提供的密碼與系統登錄之前可獲得的預定密碼進行比較。在一個 實施例中，預定密碼存儲在待訪問的存儲裝置的預定位置。例如，預定密碼 可以存儲在可啟動存儲裝置的主引導記錄中。在一個實施例中，用於一個存 儲裝置的預定密碼可以存儲在另一存儲裝置上。例如，在具有多個存儲裝置 的系統中，用於從存儲裝置的預定密碼可以存儲在主存儲裝置上。依據一個實施例，正確的密碼允許訪問用於對存儲裝置上的數據進行加密的一個或多個加密密鑰。可替換地，密碼使系統啟動到作業系統中，而一旦用戶登錄到系統，則附加密碼使訪問不同的分區、文件或文件夾。在一個實施例中，正確的密碼與加密密鑰相關聯，以便對所請求的數據進行解密。可替換地，正確的密碼與加密密鑰的掩蔽版本(例如哈希版本)相關聯，且正確的密碼可以用於對加密密鑰的掩蔽版本進行去掩蔽。在一個實施例中，正確的密碼可以用於識別對加密密鑰的掩蔽版本進行去掩蔽的附加密鑰。所請求的存儲在存儲裝置上的數據可以使用任意合適的加密算法進行加密。例如，可使用的加密算法包括但不限於數據加密標準(DES/3DES)、 Blowfish算法、國際數據加密算法(IDEA)、軟體優化加密算法(SEAL)、 RC4、高級加密標準(AES)等。圖l依據一個實施例示出通過攔截器裝置104或硬體鎖裝置IIO與主機 系統106進行通信的存儲裝置102或112的示例。存儲裝置102至少是硬碟驅動器、帶有並行埠 (PATA)的硬碟驅動 器、帶有串行AT附件埠 (SATA)的硬碟驅動器、SCSI驅動器、光碟機動 器、磁驅動器、外部存儲裝置、諸如快閃記憶體裝置之類的半導體存儲裝置或作為 主機系統106外圍的磁光存儲裝置中的一種。攔截器模塊104可以包括處理 單元和用於加密目的的軟體模塊。攔截器模塊104將存儲裝置102連接到主 機系統106。硬體鎖裝置110可以是插入到系統埠 (例如並行、串行、USB或火 線埠)的裝置。在一個實施例中，硬體鎖裝置是存儲器裝置，當主機系統 正在運行時，該存儲器裝置可以插入系統或從系統上拔下。例如，硬體鎖裝 置可以是支持即插即用(熱插拔(hot swapping))的裝置。另外，硬體鎖 裝置110可以是任意類型的能夠執行加密和解密過程並存儲所需軟體代碼 的記錄存儲裝置。在一個實施例中，硬體鎖裝置包括控制器、包含加密模塊 的處理單元、作業系統和/或硬體驅動器。加密模塊可以包括存儲器，以存儲用於保護任意數目存儲裝置的一個或 多個加密密鑰。在一個實施例中，加密模塊不存儲加密密鑰。確切地說，加 密密鑰被從另一裝置發送到硬體鎖裝置110，以用於數據解密。在一個實施 例中，硬體鎖裝置110通過主機系統106連接至存儲裝置102。硬體鎖裝置 IIO還可以在不經過主機系統106的情況下與存儲裝置112或102進行通信。在一個實施例中，硬體鎖裝置IIO是能夠插入到主機系統USB埠的 USB鎖裝置。例如，USB鎖裝置可以是可移除且可重寫的快閃記憶體盤。依據一個實施例，硬體鎖裝置110中的控制器為USB控制器。主機系統106可以是任一種類型的支持存儲裝置102的系統。例如，主 機系統可以包括但不限於臺式計算機、移動計算裝置，例如筆記本電腦、 膝上型電腦、掌上電腦、行動電話、智慧型電話、PDA等。在一個實施例中， 主機系統106和/或攔截器模塊104可以連接至網絡108。在一個實施例中， 外部存儲裝置112可以被連接。在其它實施例中，可以在使用或不使用攔截 器104的情況下，使用嵌入到主機系統作業系統的驅動器，將被加密數據經 晶片組重導入內部存儲裝置(例如存儲裝置102)。圖2依據一個實施例示出通過攔截器模塊104或硬體鎖裝置110與存儲 裝置102進行通信的主機系統106的示例性分解圖，其中硬體鎖裝置110通 過主機系統106的一個埠 208邏輯連接到主機系統106。在一個實施例中，主機系統106包括處理單元202、晶片組204、存儲 器206、埠 208和1/0裝置陣列，1/0裝置陣列可以包括鍵盤、指點裝置、 聲音系統和/或一見頻系統等。埠 208可以是串行埠 (例如RS-232)、並 行埠、乙太網埠、防火牆和/或USB埠中的至少一個。另外，埠 208 可以是虛擬埠 ，例如作為物理串行埠的仿真的虛擬串行埠 。主機系統106被示為示例性的一般概括，從而使得在不超出本公開的精 神的情況下，可以有多種該系統的變化和改進。例如，存儲器可以位於本領 域公知的"北，，橋上；視頻可以具有其自身的分立的北橋接入，且I/0可以 通過"南"橋被連接。在一個實施例中，攔截器模塊104通過晶片組204連接至主機系統106。 攔截器模塊104和存儲裝置106可以通過以下接口中的一種來連接，這些接 口例如串行ATA (SATA)、並行ATA ( PATA)接口、防火牆、SCSI 或USB。攔截器模塊104與存儲裝置104連接，並且依賴於不同存儲裝置的 標準，支持不同的數據傳輸速率。例如，SATA接口支持1.5Gbits/s、 3Gbits/s 和6Gbits/s的數據速率。防火牆800和防火牆400總線也具有不同的數據傳 輸速率。圖3A為依據一個實施例示出為存儲裝置數據加密和數據訪問建立密碼 的過程的流程圖300A。在步驟302,接收訪問存儲裝置的第一請求。例如，當用戶試圖登錄到 最近購買的膝上型電腦(例如主機系統)時，用戶生成對最近購買的膝上型 電腦的存儲裝置進行訪問的第一請求。另外，當用戶試圖使用新近安裝的未 使用過的存儲裝置時，由用戶生成訪問該存儲裝置的第一請求。在一個實施 例中，當用戶試圖對存儲有數據的、安裝在帶有存儲裝置數據加密功能的系 統中的存儲裝置上已有數據進行保持時，也生成對所使用的存儲裝置進行訪 問的第 一請求。可以基於安裝在主機系統上的軟體或連接至主機系統的硬體 鎖裝置來檢測該請求。在步驟304中，提示用戶建立一個或多個密碼和密碼提示，如閨6的屏 幕截圖中所示的。由於在一個實施例中，加密密鑰存儲在硬體鎖裝置中，所 以在設置密碼過程中，可以將硬體鎖裝置(例如USB鎖裝置)連接(例如， 插入到USB埠 )至主機系統。在一個實施例中，使用一個或多個密碼生 成一個或多個加密密鑰，以加密主機系統的 一個或多個存儲裝置上的數據。 在一個實施例中，加密密鑰是預定的，且與用戶響應該請求曾建立的一個或 多個密碼相關聯。另外，可以基於由用戶建立的一個或多個密鑰，進一步對 預定的加密密鑰進行掩蔽(例如加密或哈希)。依據一個實施例，基於使用 錯誤密碼導致的失敗登錄嘗試，給用戶提供密碼提示，如圖9的示例性屏幕 截圖中所示。在步驟306中，創建密碼和密碼提示的哈希版本。可以創建密碼和密碼 提示的哈希(或掩蔽或其它的)版本，以保護密碼和密碼提示。例如，如果 從存儲裝置或硬體鎖裝置直接讀取數據，則密碼會以偽裝的形式出現。可以 使用各種哈希算法。依據一個實施例，加密算法可以用於掩蔽密碼。在步驟308中，密碼和/或密碼提示的哈希(或通過算法而被偽裝的) 版本存儲在存儲裝置或硬體鎖裝置的預定位置。依據一個實施例，密碼和/ 或密碼提示的哈希版本存儲在存儲裝置或硬體鎖裝置的、主機作業系統不可訪問的部分。這樣，在沒有第一次提供正確密碼的情況下，作業系統不能通 過對被加密數據的訪問。在一個實施例中，密碼和/或密碼提示的哈希X反本 存儲在同一主機系統中的另一存儲裝置中。例如，從裝置的密碼可以存儲在 主裝置上。在步驟310,基於該密碼確定存儲在存儲裝置上的被加密數據的加密密鑰，並為了下一步訪問，將該加密密鑰與該密碼關聯。在一個實施例中，加 密密鑰是由密碼生成的，並存儲在硬體鎖裝置上。在一個實施例中，加密密 鑰是預定的，且可以基於使用密碼的運算來進一步偽裝(例如，哈希或加密)， /人而創建安全附加層。在一個實施例中，密碼是用於對加密密鑰進行加密的 私鑰。所以，如果密碼被破壞，則由於具體的算法對電腦黑客來說是未知的， 因此加密密鑰還會受到保護。在步驟312,使用加密密鑰對存儲裝置上的數據進行加密。例如，如圖 7的示例性屏幕截圖所示，可以在窗口 702中所顯示的"源驅動，，列表中選 擇待保護的源驅動。在一個實施例中，可以選擇"目標驅動"(例如來自圖 7的"目標驅動"窗口 704)，將數據從"源驅動"移動到"目標驅動"中。 該數據可以從源驅動移動，並在目標驅動中加密。加密的數據可以移回到源 驅動或存儲在目標驅動中。在一個實施例中，不必選擇目標驅動。例如，將 存儲裝置上待加密的數據移動到待加密存儲裝置的第二位置。類似地，也可 以將加密的數據移回到初始位置，或存儲在源驅動上的第二存儲位置。在一個實施例中，如果主機系統生成將數據寫到存儲裝置的請求，則在 將數據移到該存儲裝置之前，使用加密密鑰對該數據進行加密。另外，可以 在加密之前，將該數據寫到存儲裝置，以後再基於自動觸發或手動觸發進行 加密。例如，對預定時間間隔寫入數據進行加密。類似地，可以對預定量的 寫入數據(例如5kB )同時進行加密。圖3B為依據一個實施例示出授權存儲裝置數據加密和數據訪問的過程 的流程圖300B。在步驟322中，接收訪問存儲裝置的請求。例如，該請求可以在會話啟動後即接收。該會話可以響應於上電、超時結束或系統重啟中的至少一種而 啟動。該會話還可以是當硬體鎖裝置被插入到主機系統的埠時，在退出休 眠模式或節電模式之後被觸發。訪問存儲裝置的請求還可以是通過將相應的 硬體鎖裝置插入到主機系統的埠而啟動的。在一個實施例中，當存儲裝置的特定分區、文件夾或文件被訪問時，生 成該請求。而且，當駐留在存儲裝置不同分區的不同作業系統被訪問時，也 可以生成"^青求。在步驟324中，針對密碼提示用戶，如圖8B的示例性屏幕截圖所示。 該密碼用於授權對存儲裝置上的數據進行訪問。例如，該密碼可以是用於對 存儲在硬體鎖裝置上的一個或多個加密密鑰進行解密的私鑰。另外，如前所 述，該密碼可用於對加密密鑰進行去掩蔽(例如去哈希化)，或執行其它操 作以解密該加密密鑰。依據一個實施例，多個密碼可用於一個存儲裝置上的 不同的文件、文件夾、作業系統或分區。在步驟326中，基於預定算法，計算用戶所提交密碼的哈希版本。依據 一個實施例，可以使用加密算法。在步驟328中，對存儲在存儲裝置或硬體 鎖裝置的預定位置的預定密鑰的哈希版本進行識別。在步驟330中，將預定 密碼的哈希版本或另外的偽裝版本，與用戶所提交密碼的哈希版本或另外的 偽裝版本進行比較。如果確定匹配，則在步驟332中，允許對加密密鑰的訪 問。在步驟334中，對從主機系統用戶所訪問的存儲裝置所請求的數據進行 解密。圖3C為依據一個實施例示出識別丟失的或被盜的可攜式裝置的過程的 流程圖300C。在步驟330中，將預定密碼的哈希版本與用戶所提交密碼的哈希版本 (或另外的偽裝版本)進行比較。任意選擇一種竟爭/響應方法，以保證數 據的不可重複性。如果識別到不匹配，則確定已發生在預定密碼與所提交密 碼之間的不匹配的次數。如果該次數不大於預定閾值，則在步驟342中再次 提示用戶輸入密碼和/或密碼提示。例如，如圖8C的示例性截圖800C所示，無效密碼被輸入，用戶有重試或退出的選擇。如果該次數大於預定閾值，且如果該系統連接到網絡，則在步驟344中， 向網絡伺服器報告該主機系統的IP位址。在一個實施例中，主機系統的唯 一標識符，例如MAC地址、用戶名、工作組名稱，也可以被廣播並與該IP 地址進4亍關聯。該主才幾系統標識符和IP位址可以淨皮^〉布在網頁上，以1"更丟 失電子裝置的個人去查看是否有訪問他們的裝置的任何嘗試。如果是，則該 公布的IP位址可以給他們提供關於丟失的裝置所處位置的信息。在一個實施例中，如果在嘗試登錄失敗時，該主機系統沒有連接到網絡， 則可以保存失敗的嘗試的指示符，並在下一次該系統連接到網絡時進行廣 播。除了將IP位址報告到網頁，也可以在嘗試登錄失敗的情況下，向用戶 指定的電子郵件地址發送通知。該電子郵件可以報告例如嘗試登錄失敗的次 數、用於嘗試登錄的密碼、該系統的狀態、該系統的IP位址(如果當前可 獲得)等的信息。在一個實施例中，電子郵件通知可以在訪問請求失敗時發 送。例如，在一個實施例中，如果失敗的嘗試是訪問特定文件或文件夾，則 可以向用戶指定的電子郵件地址發送電子郵件。圖4A為依據一個實施例描述圖3B中所示過程的示例的交互圖，該圖 示出了存儲裝置、硬體鎖裝置和主機系統之間用於給存儲裝置數據加密和數 據訪問進行密碼授權的交互。在步驟402中，用戶啟動會話的第一訪問，主機系統給硬體鎖裝置發送 請求。硬體鎖裝置將該請求識別為該會話的第一次請求。依據一個實施例， 在上電、超時、重啟或用於終止前一會話的一些其它觸發之後，或當硬體鎖 裝置初始插入到主機系統時，需要開始會話。在步驟404中，硬體鎖裝置從 預定位置獲取密鑰的加密版本，例如從硬體鎖裝置本身或存儲裝置。在步驟408中，使用例如USB即插即用特徵，在主機系統上啟動驅動 器載入。在步驟410中，硬體鎖裝置生成供主機系統提示用戶輸入密碼的請 求。在步驟412中，針對密碼對用戶進行提示。在用戶輸入密碼之後，在步 驟414中，系統確定該密碼是否與期望值匹配。加密密鑰也可能是使用加密算法(例如DES/3DES、 BlowFish、 AES或其它合適的加密方法)或其它方 法進行加密的，以便偽裝加密密鑰。如果密碼匹配，則加密密鑰一皮解鎖，然 後解鎖的密鑰用於利用諸如AES或其它的加密算法、合適的協議來解密或 加密數據。在步驟420中，過程跳轉到圖4的步驟405。在一個實施例中，如果密碼不匹配，則過程返回到步驟410,再一次針 對密碼提示用戶。在預定次數的匹配密碼失敗嘗試之後，該主才幾系統可以終 止該會話(例如，通過超時或系統重啟)。在一個實施例中，給用戶提供提 示或提示問題，以幫助用戶想起密碼，或允許解鎖超控(unlock override)。 在一個實施例中，主加密密鑰是可獲得的，且使用主密碼進行訪問，以便訪 問加密的驅動。圖4B為依據一個實施例進一步描述圖3B中所示過程的示例的交互圖， 該圖示出了存儲裝置、硬體鎖裝置和主機系統之間的用於存儲裝置數據訪問 的交互。在步驟452中，主機系統發出命令"取得數據"。在步驟454中，硬體 鎖裝置接收並識別該"取得數據，，命令。在步驟456,硬體鎖裝置解譯該命 令"取得數據"。在步驟458中，命令"取得數據"被發送到存儲裝置。 在步驟460,存儲裝置接收並解譯該命令。在步驟462，響應於該命令 "取得數據"獲取所請求的數據。在步驟464，向主機發回具有所請求數據 的回覆。在步驟466,使用合適的算法(例如諸如DES/3DES、 Blowfish、 AES之類的加密算法)通過解密來解密獲取的數據。依賴於所使用的算法， 需要加密密鑰來解密所獲取的數據，該加密密鑰可以是由圖4的過程所獲取 的密鑰。在一些示例中，可以通過發送包含這樣的參數的模仿命令(未示出)來 從主機系統發送加密密鑰，該參數是硬碟驅動器無法解譯的，而由硬體鎖裝 置中途截取，然後解譯為諸如密鑰接收命令的參數。在一個實施例中，加密 密鑰以加密的形式進行發送。在步驟468,將從存儲裝置獲取的所請求數據的解密版本發送到主機系統。在步驟470,獲取來自存儲裝置的所請求數據的解密版本。在一個實施 例中，自動備份軟體可以通過加密函數(例如AES )功能，將數據備份到存 儲裝置。例如，可以將存儲裝置存儲位置處的未加密數據暫時移到第二存儲 位置進行加密，然後再移回到原始存儲位置。在一個實施例中，第二存儲位 置是同一存儲裝置上的不同存儲位置。在一個實施例中，第二存儲位置是不 同的存儲裝置。在一個實施例中，可以使用多次隨機重寫將原始(例如未加 密的)數據移除，以擦除未加密的數據，從而將存儲裝置上的數據加密。圖5為依據一個實施例的具有處理單元502和控制器504的硬體鎖裝置 110的分解圖。在一個實施例中，硬體鎖裝置為USB適配器，而控制器504為USB控 制器。處理單元502可以包括諸如加密模塊、作業系統和/或存儲裝置驅動 器之類的各種軟體示例。加密模塊包括執行一個或多個加密算法以保護並解密存儲裝置上所存 儲數據的代碼。在一個實施例中，不同的加密算法可用於不同的存儲裝置， 而控制器能夠將相關加密算法與使用該加密算法進行加密的存儲裝置關聯 在一起。在一個實施例中，硬體鎖裝置110包括存儲器(例如非易失性、快閃記憶體或 離散邏輯等)，用於存儲與一個或多個加密算法一起使用以保護一個或多個 存儲裝置的一個或多個加密密鑰。可替換地，加密密鑰由硬體鎖裝置110的 可替換裝置、在硬體鎖裝置110的加密/解密處理過程中產生。例如，該一 個或多個加密密鑰可以基於授權被發送到硬體鎖裝置110。依據一個實施例， 該授權可以以多種形式中的一種進行，例如對主機系統的用戶身份進行識別 的密碼授權。圖6依據一個實施例示出創建密碼或修改密碼的界面的屏幕截圖600。 屏幕截圖600示出用於密碼維護的安全訪問屏幕。在一個實施例中，安 全訪問屏幕包括檢查框"禁止密碼安全"，從而在訪問存儲裝置以登錄操作 系統之前或訪問存儲裝置上的數據之前，禁止密碼授權。例如，如果"禁止密碼安全"框被選擇，則在登錄或建立主機系統之前，不需要填寫密碼域和 提示域。在這種情況下，存儲在存儲裝置的數據可以不加密。或者，存儲在 存儲裝置上的數據可以進行加密，但在數據訪問之前不提供密碼的情況下， 用於解密的加密密鑰是可獲得的。在一個實施例中，通過在"新密碼"和"確認新密碼"域中輸入期望的 密碼，來設定新密碼以保護存儲裝置。在這種情況下，"當前密碼，，域可以 是空。在一個實施例中，通過在"當前密碼"域中提供正確密碼，並在"新 密碼"和"確認新密碼"域中輸入期望的密碼，來修改已有的密碼。"提示"域可用於輸入只有用戶知道答案的問題。這個問題可以在用戶 忘記密碼時提問，例如當不正確密碼被輸入預定次數時。該"提示"域還可 用於輸入密碼提示，例如"該密碼與多利阿姨的生日有關，，，以使用戶想起 密碼。在一個實施例中，用戶可以暗示他或她已忘記了密碼，並在提交不正 確定密碼預定次數之前，請求看到密碼提示。圖7依據一個實施例示出保護存儲裝置的界面的屏幕截圖700。屏幕截圖700示出通過存儲裝置上數據的數據加密來保護存儲裝置的 示例。在一個實施例中，從子窗口 702下面列出的存儲裝置列表中選擇源驅 動(例如通過數據加密待保護的存儲裝置)，並從子窗口 704下面列出的存 儲裝置列表中選擇目標驅動。例如，源驅動為有數據要保護的存儲裝置。源 驅動上的數據可被加密，並移動到目標驅動進行存儲。在一個實施例中，源 驅動上的數據可以移到目標驅動進行加密，並從源驅動擦除。然後，將加密 的數據移回到源驅動進行存儲。在一個實施例中，該過程涉及一個存儲裝置(例如源驅動)。例如，將 源驅動上待加密的數據移到待加密的另一存儲位置。依據一個實施例，將原 始存儲位置上的未保護數據擦除，並將存儲在另 一存儲位置的被加密數據移 回到原始存儲位置進行存儲。圖8A依據一個實施例示出用於訪問被保護存儲裝置的登錄屏幕的界面 的屏幕截圖800。屏幕截圖800示出用於授權存儲裝置的數據訪問的兩級安全訪問的示 例。在一個實施例中，在訪問能被同意的存儲裝置之前，在"密碼"域輸入 預定密碼。在一個實施例中，在訪問能被同意的存儲裝置之前，除正確密碼 之外，還將顯示在位圖窗口的文本輸入到"位圖窗口"域。 一旦填寫"密碼" 域，就可以點擊"登錄"圖標，以驗證訪問，並基於成功的驗證，同意訪問。圖8B依據一個實施例示出具有密碼輸入提示(password prompt)的登 錄屏幕的界面的屏幕截圖800B。依據一個實施例，預定密碼將輸入到"請輸入密碼"域中，以訪問系統 (例如登錄到 一個或多個作業系統和/或訪問 一個或多個存儲裝置)。圖8C依據一個實施例示出由於在圖8B中輸入無效密碼而導致的不成 功登錄的屏幕截圖800E。依據一個實施例，基於不成功登錄，用戶可以選擇退出或重試。可以有 預定的次數供用戶提交無效密碼。當預定次數已達到，則系統可能退出或如 圖9的實施例所示給用戶提供密碼提示。圖9依據一個實施全例示出顯示密碼提示的屏幕的界面的屏幕截圖屏幕截圖900示出給用戶顯示密碼提示的提示符的示例。如果用戶忘記 了密碼，則可以請求該密碼提示提示符。在一個實施例中，當發生預定次數 的不正確密碼提交時，觸發密碼提示提示符。例如，如果用戶提交了三次不 正確密碼，則系統可以提供在密碼設定階段指定的密碼提示。圖10示出計算機系統1000示例性形式的設備的圖示，在該設備中可以 執行一套指令，使設備執行在此所討論的方法中的一個或多個。在可替換實 施例中，該設備操作為獨立的裝置或可以連接(例如通過網絡連接)到其它 設備。在以網絡方式進行的配置中，該設備可以以伺服器的性能來運行，或 在客戶端-伺服器網絡環境中以客戶端設備來運行，或操作為點對點(或分 布式)網絡環境中的點設備。該設備可以是伺服器計算機、客戶端計算機、 個人計算機(PC)、平板計算機、機頂盒(STB)、個人數字助理(PDA)、 蜂窩電話、網頁裝置、網絡路由器、網絡交換機或網橋、或能夠執行指明該設備所採取的行動的(順序的或其它) 一套指令的設備。雖然機器可讀介質1022在示例性實施例中示為單個介質，但詞"機器 可讀介質"應該認為包括存儲一套或多套指令的單個介質或多個介質(例如 集中式的或分布式的資料庫和/或關聯的高速緩衝和伺服器)。詞"機器可 讀介質"還應該認為包括能夠存儲、編碼或攜帶由設備執行的一套指令，並 使該設備執行本發明方法中的一個或多個的任意介質。通常，為執行本公開 的實施例所執行的例程可以作為作業系統或特定應用、部件、程序、對象、 模塊或稱作"電腦程式"的指令順序的一部分來執行。該電腦程式通常 包括在各種時間設置在計算機中各種存儲器和存儲設備中的 一條或多條指 令，當計算機中的一個或多個處理器執行和讀取這些指令時，使計算機執行 才喿作，以實現本公開的各個方面所涉及的部件。而且，雖然在完全的機能計算機和計算機系統的背境中描述了實施例， ^f旦是本領域技術人員應該理解各種實施例能夠以各種形式劃分為程序產品， 且本公開平等地應用這些程序，而不考慮實際上用於影響分布的設備或計算 ^L可讀介質的具體類型。計算機可讀介質的示例包括但不限於可記錄型介質，例如易失和非易失的存儲器裝置、軟盤和其它可移除的盤、硬碟驅動器、光碟(例如壓縮盤只讀存儲器(CDROMS)、數字通用盤(DVD)等)， 除此之外還有諸如數字和模擬通信鏈路之類的傳輸型介質。儘管參考具體的示例性實施例描述了實施例，但明顯的是可以對這些實 施例進行各種修改和變化。因此，說明書和附圖被認為是示例性的而不是限 制性的。前述說明提供了參數具體示例性實施例的描述。明顯的是在不超出 權利要求中所記載的較寬精神和範圍的情況下，可以對實施例進行各種修 改。因此，說明書和附圖被認為是示例性的而不是限制性的。
權利要求
1、一種方法，包括以下步驟硬體鎖裝置接收對存儲在存儲裝置上的數據進行訪問的請求，其中所述存儲在存儲裝置上的數據已使用第一加密密鑰進行加密，所述硬體鎖裝置被配置成插入到主機的埠，且所述硬體鎖裝置包括具有所述第一加密密鑰的控制器，以便解密來自所述存儲裝置的所加密數據；所述硬體鎖裝置解譯所述請求，並向所述存儲裝置發出訪問所加密數據的命令；和所述硬體鎖裝置提供所述第一加密密鑰，以便解密來自所述存儲裝置的所加密數據。
2、 如權利要求l所述的方法，進一步包括所述硬體鎖裝置接收來自所述存儲裝置的回覆，所述回復包括來自所述 存儲裝置的所加密數據；並且所述硬體鎖裝置使用所述第 一加密密鑰來解密所加密數據。
3、 如權利要求1或2所述的方法，其中所述硬體鎖裝置包括USB鎖裝置。
4、 如權利要求l、 2或3所述的方法，其中所述存儲裝置為所述主機外 圍的存儲裝置。
5、 如權利要求1、 2或3所述的方法，其中所述存儲裝置為磁碟驅動器。
6、 如權利要求l、 2、 3、 4或5所述的方法，其中所述主機為移動計算 裝置。
7、 如前述權利要求中任一項所述的方法，其中所述訪問所述第一加密 密鑰的步驟包括訪問用於解密所述第 一加密密鑰的第二加密密鑰。
8、 一種存儲有指令組的機器可讀介質，其中在所述指令組被執行時， 執行一種包括以下步驟的方法硬體鎖裝置接收從主機發送的對存儲在存儲裝置上的數據進行訪問的請求，其中所述存儲在存儲裝置上的數據已使用第一加密密鑰進行加密，所 述硬體鎖裝置被配置成插入到所述主機的埠 ，且所述硬體鎖裝置包括具有所述第 一加密密鑰的控制器，以便解密來自所述存儲裝置的所加密數據； 所述硬體鎖裝置解譯所述請求，並向所述存儲裝置發出訪問所加密數據的命令；和所述硬體鎖裝置提供所述第 一加密密鑰，從便解密所加密的所述存儲裝 置的數據。
9、 如權利要求8所述的機器可讀介質，進一步包括 所述硬體鎖裝置接收來自所述存儲裝置的回覆，所述回復包括來自所述存儲裝置的所加密數據；並且所述硬體鎖裝置使用所述第 一加密密鑰來解密所加密的數據。
10、 如權利要求8所述的機器可讀介質，其中所述硬體鎖裝置包括USB 鎖裝置。
11、 如權利要求8所述的機器可讀介質，其中所述存儲裝置為所述主機 外圍的存儲裝置。
12、 如權利要求11所述的機器可讀介質，其中所述存儲裝置為磁碟驅 動器。
13、 如權利要求8所述的機器可讀介質，其中所述主機為移動計算裝置。
14、 如權利要求13所述的機器可讀介質，其中所述訪問所述第一加密 密鑰的步驟包括訪問用於解密所述第一加密密鑰的第二加密密鑰。
15、 一種系統，包括以下裝置 主機；存儲裝置；和硬體鎖裝置，用於接收從所述主機發送的對存儲在存儲裝置上的數據進 行訪問的請求，其中所述存儲在存儲裝置上的數據已使用第 一加密密鑰進行 加密，所述硬體鎖裝置被配置成插入到所述主機的埠 ，且所述硬體鎖裝置 包括具有所述第 一加密密鑰的控制器，以便解密來自所述存儲裝置的所加密數據；用於使所述硬體鎖裝置解譯所述請求並向所述存儲裝置發出訪問所加 密數據的命令的裝置；以及用於使所述硬體鎖裝置提供所述第一加密密鑰以便解密來自所述存儲 裝置的所加密數據的裝置。
16、 如權利要求15所述的系統，進一步包括用於使所述硬體鎖裝置接收來自所述存儲裝置的回覆並使所述硬體鎖 裝置使用所述第一加密密鑰來解密所加密數據的裝置，其中所述回復包括來 自所述存儲裝置的所加密數據。
17、 如權利要求15或16所述的系統，其中所述硬體鎖裝置包括USB 鎖裝置。
18、 如權利要求15、 16或17所述的系統，其中所述存儲裝置為所述主 機外圍的存儲裝置。
19、 如權利要求15、 16、 17或18所述的系統，其中所述存儲裝置為磁 盤驅動器。
20、 如權利要求15、 16、 17、 18或19所述的系統，其中所述主機為移 動計算裝置。
21、 一種硬體鎖裝置，包括控制器、解密模塊和至少一個用於與主機系統和存儲裝置相連的接口； 所述硬體鎖裝置以可操作的方式從所述主機系統接收對存儲在所述存儲裝置上的數據進行訪問的請求； 響應於所述請求，向所述存儲裝置發出訪問其所加密數據的命令；以及 提供解密密鑰以便解密所加密的數據。
22、 如權利要求21所述的硬體鎖裝置，其中所述解密密鑰存儲在所述 硬體鎖裝置上。
23、 如權利要求21或22所述的硬體鎖裝置，其中所述硬體鎖裝置在用 戶提供了與預定密碼相匹配的密碼的情況下以可操作的方式提供所述加密密鑰。
24、 如權利要求23所述的硬體鎖裝置，其中以可操作的方式通過解密 所述解密密鑰的加密版本來提供所述解密密鑰。
25、 如前述權利要求中任一項所述的硬體鎖裝置，其中以可操作的方式 存儲所述主機系統生成的加密密鑰。
26、 一種電腦程式，其在合適的系統上運行時執行權利要求1至7中 任一項所述的方法。
27、 一種方法，包括以下步驟 接收對存儲裝置進行訪問的請求； 響應於接收所述請求，提示用戶提供密碼； 響應於所述密碼的提供，創建所述密碼的掩蔽版本； 將所述密碼的掩蔽版本存儲在如權利要求21至25中任一項所述的硬體鎖裝置中；創建加密密鑰，並將所述加密密鑰與所述密碼進行關聯； 使用所述加密密鑰對數據進行加密；並且 將所加密數據存儲在所述存儲裝置上。
28、 如權利要求27所述的方法，包括根據所述密碼生成所述加密密鑰。
29、 如權利要求27或28所述的方法，包括創建所述加密密鑰的掩蔽版本。
30、 如權利要求27、 28或29所述的方法，包括將所述加密密鑰或所述 加密密鑰的掩蔽版本存儲在所述硬體鎖裝置上。
31、 一種系統，包括以下裝置用於接收對存儲裝置進行訪問的請求的裝置；用於響應於接收所述請求來提示用戶提供密碼的裝置；用於響應於所述密碼的提供來創建所述密碼的掩蔽版本的裝置；如權利要求21至25中任一項所述的硬體鎖裝置，用於將所述密碼的掩蔽版本存儲在所述硬體鎖裝置中的裝置；用於創建加密密鑰並將所述加密密鑰與所述密碼進行關聯的裝置； 用於使用所述加密密鑰對數據進行加密的裝置；以及 用於將所加密數據存儲在所述存儲裝置上的裝置。
32、 一種電腦程式，其在合適的系統上運行時執行如權利要求27至 30中l壬一項所述的方法。
33、 一種載體，其用於承載如權利要求32，述的電腦程式。
34、 如權利要求33所述的載體，其中所述載體為機器可讀介質。
全文摘要
在此描述一種藉由硬體鎖裝置的存儲裝置數據加密和數據訪問的系統和方法。一個實施例包括硬體鎖裝置中途截取從主機發送的對存儲在存儲裝置上的數據進行訪問的請求，其中所述存儲在存儲裝置上的數據已使用第一加密密鑰進行加密，所述硬體鎖裝置被配置成插入到所述主機的埠，且所述硬體鎖裝置包括具有所述第一加密密鑰的控制器，以便解密所加密的所述存儲裝置的數據。所述硬體鎖裝置解譯所述請求，並向所述存儲裝置發出訪問所加密數據的命令。所述硬體鎖裝置提供所述第一加密密鑰，以便解密所加密的所述存儲裝置的數據。
文檔編號G06F21/00GK101246529SQ20081000650
公開日2008年8月20日 申請日期2008年1月30日 優先權日2007年1月30日
發明者尼古拉斯·安東諾普洛斯, 斯瑞·M·耶爾 申請人:科技資產股份有限公司