CN102084373B - 备份存储在安全存储设备中的数字内容 - Google Patents
备份存储在安全存储设备中的数字内容 Download PDFInfo
- Publication number
- CN102084373B CN102084373B CN200980125995.1A CN200980125995A CN102084373B CN 102084373 B CN102084373 B CN 102084373B CN 200980125995 A CN200980125995 A CN 200980125995A CN 102084373 B CN102084373 B CN 102084373B
- Authority
- CN
- China
- Prior art keywords
- ssd
- storage apparatus
- numerical data
- party
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 163
- 230000005540 biological transmission Effects 0.000 claims description 22
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 21
- 230000004044 response Effects 0.000 claims description 20
- 230000007246 mechanism Effects 0.000 claims description 18
- 230000008859 change Effects 0.000 claims description 6
- 238000011084 recovery Methods 0.000 claims 1
- 230000008569 process Effects 0.000 description 121
- 238000007726 management method Methods 0.000 description 25
- 238000012797 qualification Methods 0.000 description 25
- 238000004891 communication Methods 0.000 description 22
- 238000012795 verification Methods 0.000 description 12
- 239000000203 mixture Substances 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 241001269238 Data Species 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- PEDCQBHIVMGVHV-UHFFFAOYSA-N Glycerine Chemical compound OCC(O)CO PEDCQBHIVMGVHV-UHFFFAOYSA-N 0.000 description 1
- 230000002146 bilateral effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/16—Protection against loss of memory contents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
- G06F21/645—Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/108—Transfer of content, software, digital rights or licenses
- G06F21/1082—Backup or restore
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
Abstract
第三方帮助准备备份SSD以备份源SSD。通过并经由第三方或者直接从源SSD但在第三方的监管下,将包括受保护和敏感数据和信息的源SSD的数字数据拷贝到备份SSD。在严格的规则下,并且仅仅在每一方(即源SSD、目标SSD和第三方)向它与之一起操作的相对方设备证明它被授权来发送数字数据或从那里接收数字数据(取决于该方与之一起操作的设备)的情况下,才将源SSD的数字数据拷贝到备份SSD。
Description
技术领域
本发明大体上涉及存储设备,并且更具体地,涉及用于将一个安全存储设备(“SSD”)的诸如保护多媒体内容(例如音频、电影和游戏)的数字版权管理(“DRM”)之类的安全数字数据直接或经由第三方备份到另一SSD中的方法,以及使用该数据备份方法的系统。
背景技术
存在多种类型的保护机制来阻止回放数字内容所要求的安全数据的未授权复制。要求安全数据操作的数字内容在下文中被称为“受保护数字数据”或者简称为“受保护数据”。支配(govern)回放数字内容的方式的使用规则是示范性的安全数据。一些保护机制经常被宽松地称为或者被视为一种类型的数字版权管理(“DRM”)。导致了相当显著的效果以停止将数字内容从一个电子设备复制到另一个。例如,与iPod设备一起使用的存储设备包括禁止将音乐或音视频内容从一个iPod设备传输到另一个的保护机制,以阻止受保护数据的未授权复制。目前,保护机制还阻止将一个SSD的受保护数据备份到另一SSD。这意味着SSD的整个数字内容不能被备份到另一SSD,因为SSD的数字内容即便被拷贝到另一SSD,由于没有与该数字内容一起拷贝到该另一SSD的相关安全数据,仍不能在该另一SSD上回放。
闪存存储器设备是例子SSD。SIM(“用户标识模块”)卡、megaSIM卡和通用串行总线(“USB”)闪存驱动(“UFD”)是示范性的闪存存储器设备。SIM卡安全地存储用于识别用户的服务-用户密钥数据。SIM卡允许用户通过简单地从一个电话中去除SIM卡并将它插入到另一电话中来改变电话。
目前,通过被称为“信任闪存(Trusted Flash)”的技术来保护存储在闪存存储设备中的数字内容。“信任闪存”(TF)是使得消费者可以购买闪存存储卡上的诸如音乐、电影和游戏之类的多媒体内容以在移动电话、笔记本计算机、PDA和其他可兼容设备中使用的数据存储技术。
音乐制作商和电影工作室以及其他多媒体内容发起商和提供商更希望在被信任的产品(在这里也被称为“支持设备”)上发布多媒体内容,因为TF技术提供了他们所要求的安全性和DRM解决方案。DRM解决方案涉及将DRM政策强加到电子设备(例如手机、iPod)上。DRM政策是施加到电子设备上的限制集合,“告诉”电子设备它对于什么数字内容可以进行什么操作。例如,一个政策规则可以允许电子设备仅仅播放特定歌曲n次例如3次,另一政策规则可以禁止数字内容的拷贝;另一政策规则可以允许仅仅由特定电子设备重播数字数据流,等等。消费者将可以使用在线数字音乐服务来下载受保护数字内容,例如通过他们的手机或个人计算机(“PC”)。
信任闪存使得消费者可以使用他们所购买的支持设备中的多媒体内容。信任闪存技术授予存储卡本身成为数字版权的管理者,从而赋予消费者将存储设备及其内容传输到另一支持设备而无需受制于其内容保护系统的自由。信任闪存卡可以充当非安全主机设备中的常规存储卡。
大体上包括TF存储卡和TF存储设备的存储设备存在于市场中,具有多种存储容量(例如512M字节至8G字节)。目前,用户不能备份存储在SSD中的受保护多媒体内容,因为这样,如果诸如珍贵图片和音视频记录之类的重要数字内容被记录在的原始SSD被盗、丢失或损坏的话,它们将失去。
其实,安全机制试图使将受保护数据从一个SSD备份到另一个、以及甚至将一个SSD的受保护数据拷贝到另一SSD变得有可能。这在一些安全存储设备中具有不幸的结果,那就是即便受保护数据的授权所有人或被许可人也不能将一个SSD的原始数字内容备份到另一SSD中。
发明内容
因此,具有如下方法和系统将是有益的:将帮助将一个SSD数字内容的安全数据备份到另一SSD中、以及将允许SSD信任第三方以将它的多媒体内容(包括相关联的安全数据)以如下这样的方式备份到备份SSD中:当要求在原始SSD和备份SSD之间进行交换时,备份SSD上的多媒体内容将可以以与它在原始SSD上相同的方式使用。
因此,允许SSD信任另一SSD或第三方来以如下方式保存它的数字内容和相关安全和/或敏感数据的备份拷贝将是有益的:数字内容和相关安全和敏感数据的备份拷贝相对于其使用将经受严格的规则。设计各种实施例来实现在这里提供其例子的这样的能力。结合表示示范性和说明性但不限制范围的系统、工具和方法来描述和说明如下例子实施例及其方面。
根据本公开,可以通过并经由受信任的第三方(受信任的第三方在下文中被简称为“第三方”)将包括安全数据的SSD的数字数据传递到另一SSD来备份。可替代地,在第三方的监管下,可以直接将SSD的数字数据传递到另一SSD来备份。如果通过并经由第三方将第一SSD(即“源(source)SSD”)的数字数据传递到第二SSD(即“目标(destination)SSD”)来备份,则第三方在源SSD(即,其数字数据需要被备份的SSD)和目标SSD之间建立虚拟安全信道,通过虚拟安全信道,第三方从源SSD读取数字数据并将所读取的数字数据写入目标SSD。在第三方、源SSD和目标SSD满足备份合格性先决条件之后,建立虚拟安全信道,并通过虚拟安全信道传输数字数据;也就是,在每一方被相对方发现被授权来向相对方发送数字数据或从相对方接收数字数据之后,可以发生如上情况。如果直接将源SSD的数字数据传递到目标SSD来备份,则在源SSD和目标SSD之间建立直接安全信道,目标SSD在确定每一方(即源SSD和目标SSD)满足备份合格性先决条件之后,经由直接安全信道从源SSD读取数字数据。
在将数字数据写入目标SSD之后,第三方暂时禁用目标SSD,并在第三方接收备份请求时或响应于此,禁用源SSD并启用(enable)目标SSD。如果源SSD被偷、丢失或损坏,则可以由用户或用户应用来初始化备份请求。第三方禁用(disable)被偷、丢失或损坏的源SSD,使得源SSD不能由任何设备使用。如果源SSD的数字数据将直接由目标SSD备份(但在第三方的监管下),则将源SSD的数字数据直接拷贝到目标SSD(即没有第三方的干预),并且第三方仅仅处理上面提到的和下面描述的启用/禁用方面。
提供了一种将SSD准备为备份SSD的方法。例如,SSD可以是USB闪存驱动、SD卡等。该方法包括:确定源SSD是否被授权来传递将由目标SSD备份的安全数据,其中源SSD包含包括如果源SSD未被授权的话则不可由源SSD传输的安全数据的数字数据;以及确定目标SSD是否被授权来备份来自源SSD的安全数据。如果源SSD被授权来使它中的安全数据被目标SSD备份、并且目标SSD被授权来备份来自源SSD的安全数据,则在源SSD和目标SSD之间建立安全信道,并将来自源SSD的数字数据通过安全信道拷贝到目标SSD,使得目标SSD中的数字数据的拷贝不可用直到启用目标SSD。
可以由源SSD、目标SSD、相互合作的双方或第三方来使目标SSD中的数字数据的拷贝不可用。可以在将数字数据从源SSD拷贝到目标SSD之前、期间或之后,使目标SSD中的数字数据的拷贝不可用。可以通过如下中的任何一个来使目标SSD中的数字数据的拷贝不可用:(i)在它被拷贝到目标SSD之前或同时改变数字数据,(ii)修改目标SSD的属性,以及(iii)在目标SSD处配置所拷贝的数字数据,或者将不可用配置应用到拷贝到目标SSD的数据。
可以由目标SSD或第三方进行源SSD是否被授权来由目标SSD备份的确定,以及可以由源SSD或第三方进行目标SSD是否被授权来备份源SSD的确定。
该方法还可以包括如下步骤:通过禁用源SSD使得源SSD中的数字数据不可用、并启用目标SDD使得拷贝到此的数字数据可用,将目标SSD准备为用作备份SSD。例如,通过第三方发布源SSD的标识符,实现禁用源SSD,以及由第三方启用目标SSD包括第三方恢复或回复目标SSD中的数据、或者目标SSD的属性、或者目标SSD的配置。可以在相互认证期间、或者作为嵌入在从源SSD拷贝到目标SSD的数字数据中的数据,将源SSD的标识符从所述源SSD传输到目标SSD,然后传输到第三方。可替代地,可以在相互认证期间、或者作为嵌入在从源SSD拷贝到第三方的数字数据中的数据,将源SSD的标识符从源SSD直接传输到第三方。该方法还可以包括如下步骤:由源SSD或由目标SSD接收由用户应用发起的备份请求,以将源SSD的数字数据备份到目标SSD中。
该方法还可以包括如下步骤:源SSD确定第三方是否被授权来从源SSD接收数字数据。如果源SSD被授权来被备份、并且第三方被授权来从源SSD接收数字数据,则在源SSD和第三方之间建立第一安全信道,并将数字数据通过第一安全信道从源SSD拷贝到第三方。如果第三方用于将数字数据从源SSD拷贝到目标SSD,则第三方确定目标SSD是否被授权来接收数字数据,在该情况下,目标SSD需要在允许第三方向目标SSD发送数字数据之前,确定第三方是否合格于将数字数据发送给目标SSD。
还提供了一种第三方来将一个SSD的数字数据备份到另一SSD中。该第三方包括认证管理器,认证管理器被配置为(i)认证包含来自源SSD的不可用数字数据的目标SSD,其中数字数据包括不可传输到未合格设备的受保护数据,以及(ii)与被认证的目标SSD建立安全信道。第三方还包括存储设备配置器,存储设备配置器适合于(i)禁用源SSD以使得或呈现出存储在其中的数字数据不可用,以及(ii)通过安全信道启用目标SSD,以使目标SSD中的数字数据可用。
存储设备配置器可以通过恢复或回复目标SSD中的被修改的数据、或者目标SSD的被修改的属性、或者目标SSD的被修改的配置,来启用目标SSD。存储设备配置器还可以被配置为经由目标SSD接收源SSD的标识符,并向持有源SSD的主机发布该标识符,从而禁用源SSD。可替代地,第三方可以直接从源SSD获取源SSD的标识符,其中该标识符被嵌入在第三方从源SSD接收的数字数据中、或者在第三方与源SSD的相互认证期间。
在第三方从源SSD接收数字数据之前,源SSD认证第三方,并且第三方通过安全信道从源SSD接收数字数据。另外,在第三方从源SSD接收数字数据之前,第三方认证源SSD。
第三方还包括数据读/写机构,用于从源SSD读取数字数据,并将所读取的数字数据写入目标SSD。
可以在确定第三方被授权来接收数字数据之后,将数字数据从源SSD拷贝到第三方,并在确定目标SSD被授权来接收数字数据之后,将数字数据从第三方拷贝到目标SSD。
还提供了一种SSD来帮助将其受保护数据备份到目标SSD中。该SSD包括存储或者可以存储数字数据的大容量存储区域,其中数字数据包括不可传输到不合格设备的受保护数据。该SSD还包括安全存储控制器,安全存储控制器被配置为确定目标SSD或第三方是否合格于从那里接收数字数据,如果是,则在安全存储控制器和目标SSD之间或在该SSD和第三方之间建立安全信道。安全存储控制器还被配置为通过相应的安全信道直接或经由第三方将数字数据传输到目标SSD来备份。
安全存储控制器还被配置为禁用目标SSD以使得或呈现出所传输的数字数据不可用。安全存储控制器可以在该SSD将数字数据传输到目标SSD或第三方之前、期间或之后,使得或呈现出所传输的数字数据不可用。
安全存储控制器还被配置为将源SSD的标识符直接或经由目标SSD传输到第三方,以使第三方使用该标识符来禁用该SSD。在与第三方或目标SSD的相互认证期间、或者被嵌入在所传输的数字数据中,安全存储控制器可以将该标识符传输到第三方或目标SSD。
在安全存储控制器确定第三方或目标SSD合格于接收数字数据之后,安全存储控制器可以将数字数据传输给第三方或目标SSD。
根据本公开,该SSD可以在一个时刻用作源SSD、并在另一时刻用作目标SSD。充当目标SSD,该SSD的安全存储控制器还被配置为(i)向源SSD或第三方证明该SSD(现在充当目标或备份SSD)备份源SSD的合格性,并在证明该SSD的合格性时、之后或响应于此,安全存储控制器还被配置为(ii)在该SSD和源SSD之间或在该SSD和第三方之间建立安全信道,并通过相应的安全信道直接从源SSD或经由第三方接收数字数据(无论情况可能是什么)。
如果从源SSD接收的数字数据可用,则安全存储控制器还被配置为禁用该SSD,使得或呈现出所接收的数字数据不可用。安全存储控制器可以通过如下中的任何一个来使得或呈现出所接收的数字数据不可用:(i)改变该SSD中的所接收的数字数据,(ii)修改该SSD的属性,或者(iii)将不可用配置应用到拷贝到该SSD的数据。
安全存储控制器还被配置为通过回复该SSD中的被改变的数据或者目标SSD的被修改的属性,或者通过应用或恢复目标SSD的可用配置,来将该SSD准备为用作备份SSD,从而使得或呈现出该SSD中的数字数据可用。
安全存储控制器还可以被配置为接收源SSD的标识符。作为准备该SSD以作为备份SSD操作的一部分,安全存储控制器将源SSD的标识符发送给第三方,以由第三方使用源SSD标识符来禁用源SSD,使得或呈现出存储在源SSD中的数字数据不可用。
作为准备该SSD以作为备份SSD来操作的一部分,安全存储控制器向持有源SSD的主机发布源SSD的标识符,以使主机“知道”存储在源SSD中的数字数据不再合法(因为已经开始使用备份SSD而不是源SSD),因此,禁止了源SSD的使用,其后果是存储在源SSD中的数字数据不可用。
除了上述示范性方面和实施例,通过参考附图并学习如下具体实施方式,其他方面和实施利将变得明显。
附图说明
在附图中图示了示范性实施例。在此公开的实施例试图是说明性的而不是限制性的。然而,当结合附图阅读时,参考如下详细描述,可以更好地理解该公开,在附图中:
图1是典型的安全存储设备(SSD)的框图;
图2示意性地图示了根据例子实施例的用于将受保护数据从一个SSD拷贝到另一个的系统;
图3示意性地图示了根据另一例子实施例的用于将受保护数据从一个SSD拷贝到另一个的系统;
图4示意性地图示了根据本公开的另一例子实施例的用于将受保护数据从一个SSD拷贝到再一个的系统;
图5示意性地图示了根据再一例子实施例的用于将受保护数据从一个SSD拷贝到另一个的系统;
图6是根据例子实施例的第三方的框图;
图7是图示根据例子实施例的认证过程和会话密钥生成的示意图;
图8是图示根据例子实施例的内容密钥生成的示意图;
图9示出了典型的认证证书的层次;
图10是根据例子实施例的用于将受保护数据从源SSD拷贝到目标SSD的高层方法;以及
图11是更详细示出的图10的方法。
将理解的是,为了说明的简化和清楚,在附图中示出的元件不需要按比例画出。此外,在被认为合适的情况下,可以在附图中重复附图标记以指示同样、相应或相似的元件。
具体实施方式
通过参考本发明的例子实施例的当前详细描述,将更好地理解下面的权利要求。该描述不试图限制权利要求的范围,而试图提供本发明的例子。
根据本公开,可以通过并经由第三方或者直接但在第三方的监管下将源SSD的安全多媒体内容(在这里也被称为“受保护数字内容”和“受保护内容”)备份到目标SSD中。第三方提供有可以是认证证书和认证密钥的认证手段,以允许它向源SSD并向目标SSD识别它自身,并向源SSD证明它被授权来从那里接收作为存储在源SSD中的部分数字数据的受保护数据。第三方还提供有允许第三方识别SSD、并“知晓”是否授权源SSD由目标SSD备份以及是否授权目标SSD备份源SSD的认证证书和认证密钥。
作为受信任的计算机系统或受信任的应用的第三方可以是本地的或远端的(至少从一个SSD的角度来看),并且它可以独立地服务多个本地或远端SSD。“第三方”指被配置来在严格的规则下将数字内容从源SSD传输到目标SSD、以大体上保护敏感数据和受保护数据的私密性、并将由源SSD最初强加到它的数字数据上的安全级告知给目标SSD的任何计算机系统或应用。
为了有利于DRM以及额外的或可替代的安全特征,TF卡的存储器空间被划分为多个分区(partitions),如在下面描述的图1所示。
图1示出了根据现有技术的示范性安全存储设备(SSD)100。SSD 100包括可以是NAND(与非)闪存类型的大容量存储区域108。SSD 100还包括经由数据和控制线106管理大容量存储区域108、并经由主机接口102与主机设备150通信的安全存储控制器140。
安全存储控制器140通过控制例如“读”、“写”和“擦除”操作、磨损测量(wear leveling)等来控制大容量存储区域108和主机设备150之间的数据。大容量存储区域108包括用户存储区域110、受限存储区域120和安全性管理存储区域130。如果大容量存储区域108是NAND闪存类型,则受限存储区域120被称为“隐藏存储区域”,以及安全性管理存储区域130被称为“安全存储区域”。
用户存储区域110
存储在用户存储区域110中的数据是公开可得的,这意味着存储在用户存储区域110中的数据对于SSD 100的用户和任何外部实体(例如主机设备150)无条件可得,而不管主机的身份。也就是,存储在用户存储区域110中的数字数据可以包括可以由主机设备(例如主机设备150)从SSD 100读取或者从SSD 100拷贝到主机设备、以及如其原样使用(例如由主机设备150回放)的数据,而无需主机设备不得不向SSD 100认证它自己。
例如,用户存储区域110可以保存多媒体内容、音视频内容等。用户存储区域110还可以包括仅仅在主机设备也得到指示主机设备如何使用受保护数据的使用规则的情况下可以由主机设备使用的受保护数据,没有得到这样的规则,主机设备将不能使用受保护数据。仅仅向SSD 100认证它自己的主机设备可以得到使用规则,如下面结合受限存储区域120和安全性管理存储区域130所描述的。
受限存储区域120
例如,受限存储区域120可以保存代表或者与保存在用户存储区域110中的数字数据相关联的使用权限有关的受限数据(以及可选地,元数据和信息)。仅仅授权设备可以接入存储在受限存储区域120中的受限数据。代表DRM规则的数据是示范性的受限数据,因为它们支配数字内容的使用,从而试图使它们仅仅针对授权设备。
“受保护数据”指存储在SSD中、但是仅仅可以从内部接入(即SSD的控制器接入)或由外部授权设备接入的任何数据、文件、应用或例程。可以禁止将这样的数据、文件、应用或例程传输到诸如主机设备150之类的外部设备,或者可以允许将所述数据、文件、应用或例程传输或拷贝到另一设备,但是其在外部设备上是没有用的,如果外部设备不使用合适手段(例如解密密钥)来接入或使用所述数据、文件、应用或例程的话。
安全性管理存储区域130
通常,安全性管理存储区域可以包括被授权接入存储设备的受限存储区域的设备的认证密钥。再次返回图1,存储在安全性管理存储区域130中的数据(在下文中被称为“安全性数据”)仅仅对于安全存储控制器140可用于内部过程(例如认证),但是对于主机设备150或主机设备的用户是不可用的。例如,保存在安全性管理存储区域130中的安全性数据可以包括系统的固件、任何数据类型的操作参数(例如,SSD 100和外部设备的容量和特权、加密和解密密钥、证明身份的数字认证证书)、以及期望受到保护而不被随意接入的其他数据,其中被随意接入将会是它们被存储在用户存储区域110中的情况。设备(例如,媒体播放器和手机)的认证证书向安全存储控制器140指明被授权使用保存在受限存储区域120中的数据的设备,以及存储在安全性管理存储区域130中的加密/解密密钥可以由安全存储控制器140利用来加密和解密存储在SSD 100中的数据。典型地,保存在安全性管理存储区域130中的安全性数据与安全性应用或安全性例程有关。
传统上,安全性应用仅仅在它所装载的SSD上起作用。例如,安全性应用可以通过使用安全存储的序列号或其他数据(例如隐秘号)来生成一次密码,然后提交它们以用于用户或用户帐号的登陆或验证。这仅仅是例子,并且在安全性或其他功能中使用的任何数量的算法可以至少部分基于存储设备特定数据。可以由用户多次(over time)装载安全性应用。
可以由SSD 100系统的固件和/或硬件、由加密/解密密钥和/或由安全性应用来提供数字数据的安全性。在一些情况下,拷贝受限内容被加密,并且虽然可以将所加密的内容从受限存储区域120拷贝到另一设备或应用,但是该另一设备或应用不能解密它,除非该另一设备或引用被SSD 100认证并具有恰当的密钥来解密所加密的内容。
安全存储控制器140利用安全性例程和安全性相关数据(例如加密密钥)来向SSD 100赋予安全性能力,这意味着例如,SSD 100禁止存储在SSD 100中的受保护数字内容的非法使用及其非法拷贝的生成。为了完成这个,安全存储控制器140基于保存在安全性管理存储区域130中的安全性数据(例如,密钥、认证证书、安全性例程等)来控制到保存在受限存储区域120中的内容的接入。可以通过使用私钥基础设施(“PKI”)、对称密钥、基于密码的方案或者其它任何认证方案来执行认证。
“PKI”是众所周知的安全性范例。在密码学中,PKI是通过证书授权中心(CA)的方式将公钥与各个用户身份相绑定的布置。用户身份对于每个CA必须是唯一的。通过注册和发布过程来建立绑定,这取决于绑定具有的保证等级而可以由CA处的软件或在人的监管之下执行。对于每个用户,如果用户身份、公钥、它们的绑定、有效性条件和其他属性在由CA发布的公钥证书中,则它们不能被伪造。
PKI布置使得之前没有接触的计算机用户彼此认证并使用在它们公钥证书中的公钥信息来加密给彼此的消息。通常,PKI包括客户端软件、服务器软件、硬件(例如智能卡)、合法协议和保证以及操作过程。还可以由第三方使用签名者的公钥证书以验证使用签名者的私钥得到的消息的数字签名。通常,PKI使得对话方可以建立私密性、消息完整性和用户认证而无需提前交换任何秘密信息或者甚至有任何先前接触。在密码学中,公钥证书(或身份证书)是合并数字签名以将公钥与身份信息绑定在一起的电子文档。证书可以用于验证公钥属于个人。在典型的PKI方案中,签名可以是证书授权中心(CA)的。
再次返回图1,主机设备150不能直接接入大容量存储区域108。也就是,如果主机设备150要求或需要来自SSD 100的数据,则主机设备150不得不从安全存储控制器140请求它,而不管在用户存储区域110中、受限存储区域120中还是安全性管理存储区域130中保存所请求的数据。如果由主机设备150请求的数据存储在受限存储区域120中,则安全存储控制器140通过利用存储在安全性管理存储区域130中的安全性数据来检查主机设备150是否被授权来得到该数据。
为了使主机设备(示范性设备)使用例如保存在用户存储区域110中的媒体内容,主机设备150与安全存储控制器140通信,并且安全存储控制器140利用存储在安全性管理存储区域130中的数据来检查主机设备150是否被授予使用保存在用户存储区域110中的媒体内容的权利。如果主机设备150被授权使用保存在用户存储区域110中的媒体内容,则安全存储控制器140允许主机设备150基于保存在受限存储区域120中的使用规则或限制来使用该数据。
如果SSD 100与可以是例如MP3播放器的支持设备一起使用,存储在受限存储区域120中的数据可以由支持设备使用,但是对于该设备的用户不可接入。该限制的原因在于受限存储区域120包括向外部设备指明支配多媒体内容使用的规则(DRM或其他)的信息或敏感数据,并且使受限存储区域120对于SSD 100用户不可接入以不允许用户处理或违背DRM权限或使用规则。
将一个SSD的多媒体内容备份到另一SSD中涉及将多媒体内容从第一SSD拷贝到另一SSD。可是,拷贝多媒体内容要求也拷贝DRM权限、认证特定物(即数字认证证书、密钥等)以及与该多媒体内容有关的其它信息。然而,如上所解释的,存储在SSD 100的受限存储区域120中的该信息(即DRM权限、认证特定物等)对于用户是不可接入的,因为该原因,即使在一些情况下用户可能能够将感兴趣的多媒体内容拷贝到另一SSD,该另一SSD将仍不能使用(例如回放)所拷贝的多媒体内容。
作为另一例子,可以将与医学或金融记录有关的安全性应用装载到SSD100中。可以由安全存储控制器140独自或者与主机设备150的处理器(未在图1中示出)结合来执行这些应用,并且这些应用可以不仅仅处理私密信息,而且还处理在加密并保护安全存储的敏感内容中使用的秘密信息。这样,SSD 100和主机设备150可以在功能上深度互连并依赖于SSD 100内的信息和安全性机制。在一些情况下,应用本身的安全性机制利用安全存储特定信息,并且将不在另一安全存储上起作用。应用本身还可以被加密并且是设备特定的,以阻止它们被错误使用(例如拷贝和攻击)。
图2示意性地图示了通过并经由第三方210来将源SSD 250的受保护数据备份到目标SSD 260中的数据备份系统200。通常,系统200包括用于持有(hosting)或容纳源SSD 250和目标SSD 260以及其他或额外主机设备的主机设备系统205、以及与主机设备系统205可操作相连的第三方210,其中在图2中将示范性的可操作连接示为虚线220和225。源SSD 250包含包括不可向不合格设备传输、不可由不合格设备接入并使用的受保护数据的数字数据。也就是,通常,通过媒体播放器(例如MP3)或手机从多媒体内容提供商下载到SSD的数字内容试图仅仅用于它被装载到的特定媒体播放器,并且任何其他SSD被视为不合格设备,使得它不能从任何其他SSD接收受保护数据,并且它不能接入另一SSD中的这样的数据或以任何方式使用它。
通过SSD完成将数字内容绑定到特定媒体播放器,以将使用规则(例如DRM政策规则)绑定到数字内容并将这些规则强加到数字内容上。为了阻止未授权设备使用数字内容,SSD的安全存储控制器不允许这样的设备((即未授权设备)接入存储在它的受限存储区域中和它的安全管理存储区域中的使用规则和安全性特征。然而,相应的证书可以由受信任的证书授权中心(“CA”)发布并被提供给SSD,以“告诉”SSD存在许可或命令将一个SSD的数字数据(包括受保护数据)备份到另一SSD中的受信任实体(即受信任的第三方)。许可或命令备份数字数据的第三方被称为或视为“受信任的”。取决于环境,这样的第三方可以暂时保存源SSD的数字内容的备份拷贝,直到第三方将备份拷贝传输到目标SSD,或者第三方可以在单一会话中将源SSD的数字数据传输到目标SSD而无需保持备份数字内容的拷贝。
第三方210可以由诸如服务提供商270之类的服务提供商所有。如果第三方210由服务提供商270所有,则用户将需要与服务提供商270之间的服务协议,以允许他们将一个SSD(例如源SSD 250)的全部数字数据(包括受保护数据)经由第三方210备份到另一SSD(例如目标SSD 260)中。服务提供商270将需要与将认证证书放置在SSD中的实体之间的协议,该实体通常是SSD的制造商。
在一些情况下,一些SSD可能没被赋予由第三方提供的数据备份服务。因此,在这里描述的数据备份过程有可能与多个备份合格先决条件有关,例如源SSD向第三方210证明它被服务的合格性,即它的数字数据可以被备份到另一(即目标)SSD中。同样地,第三方210需要向源SSD 250证明它从那里接收全部数字数据(包括受保护数据)的合格性。如果源SSD不能证明它被服务的合格性,则第三方将不从源SSD读取数字数据。如果第三方不能证明它从源SSD接收数字数据的合格性,则源SSD将不允许第三方读取它的数字数据。
在第三方210向源SSD 250证明它从那里接收数字数据的合格性之后,当向第三方210证明的SSD 250符合条件以被备份在目标SSD 260中时,第三方210建立与源SSD 250的第一安全信道220,其是在源SSD 250和目标SSD 260之间通过第三方210还没有建立的虚拟安全信道的一部分。用“安全信道”表示通过其通信密码数据的通信信道。用“虚拟安全信道”表示以将源SSD的数字数据备份到目标SSD中而无需源SSD和目标SSD直接相互通信的方式、在源SSD和目标SSD之间主动通过并经由第三方开始其建立的安全信道。安全信道是“虚拟”的,还在于它包括可以由第三方同时、并发或在不同时刻建立的两个单独且独立的安全信道(例如安全信道220和225)。
在第三方210和源SSD 250建立第一安全信道220之后,第三方210通过第一安全信道220从源SSD 250接收或读取全部数字数据,并且并发地或者在这之后的任何时刻建立与目标SSD 260的第二安全信道225以完成源SSD 250和目标SSD 260之间的虚拟安全信道。第三方210可以从用户215接收用于与目标SSD 260建立第二安全信道225的指令,例如紧跟在第三方210从源SSD 250接收数字数据之后、几秒之后、三个月之后等等。
目标SSD必须向第三方证明它接收来自于SSD的数字数据的合格性。当向第三方210证明目标SSD 260符合条件以接收来自于源SSD 250的数字数据时,第三方210通过虚拟安全信道的第二部分(即通过安全信道225)将它所接收或读取的数字数据从源SSD 250传输、拷贝或写到目标SSD 260。
因为在第三方210中具有信任源SSD 250的一部分,所以不能存在数字数据的两个合法拷贝(即源SSD中的一个和目标SSD中的另一个)。用“不能存在数字数据的两个合法拷贝”表示,虽然原始数字数据的拷贝可以或者确实存在于目标SSD中(即备份中),但是只要源SSD中的原始数字数据是或者被视为合法或可用数据,它就不能由任何设备使用。如果因为一些原因,期望或要求使用备份拷贝而不是原始数字数据,则要求使得或致使目标SSD中的数字数据可用、并使得或致使源SSD中的原始数字数据不可用。为了确保仅仅可以使用数字数据的一个版本(即源SSD中的原始数据或目标SSD中它的拷贝),第三方210禁用目标SSD 260的操作。用“禁用目标SSD的操作”表示由第三方来使目标SSD中的受保护数据不可由包括最初保存受保护数据的SSD的任何设备使用或接入。例如,通过使目标SSD可逆地(reversibly)处理存储在目标SSD中的数据以阻止进一步使用目标SSD的受保护数据,也就是只要源SSD可用,禁用目标SSD就可能是有效果的。
第三方210可以通过将相应的指令或命令传递到目标SSD 260来使SSD260处理存储在其中的数据。在第三方210从源SSD 250接收数字数据之后的任何时刻,第三方210可以使目标SSD 260处理存储在其中的数据。在一个例子中,在完成将数字数据从源SSD 250到第三方210的传输时或之后,并在第三方210将数字数据传输到目标SSD 260之前,第三方210使目标SSD 260处理存储在其中的数据。在另一例子中,在完成数字数据到目标SSD260的传输时或之后,第三方210使目标SSD 260处理存储在其中的数据。第三方可以在上述两种极限情况之间使目标SSD 260处理存储在其中的数据。
由第三方210进行的对存储在目标SSD 260中的数据的处理可以包括禁用、擦除或修改与受保护数据相关联的目标SSD 260中的安全特征。将被处理的数据的类型、数量或位置(即SSD的存储区域中)可以被选择来使得在其处理之后,目标SSD 260的受保护数据对于任何设备变得不可接入,并且处理本身是可逆的,使得可以恢复或回复使用备份拷贝所要求的数据、信息或应用。可替代地,由第三方210进行的对存储在目标SSD 260中的数据的处理可以包括禁用、擦除或修改与受保护数据相关联的保存在目标SSD260中的认证参数,使得没有设备可以使用受保护数据。可替代地,第三方210可以通过向目标SSD 260发送相应的阻碍(block)命令来使到目标SSD260中的受保护数据的接入被阻碍,以阻碍任何设备接入到受保护数据。
通过在将数字数据传递到目标SSD或者第三方之前、改变源SSD中或者这之后目标SSD中的数据,或者通过修改目标SSD的属性,或者通过向拷贝到目标SSD的数据适用不可用配置,可以使得或者呈现出由目标SSD接收的数字数据不可由源SSD或目标SSD使用。通过由源SSD将数字数据作为压缩数据发送到目标SSD或第三方、并将压缩数据存储(即隐藏)在与图1中的隐藏区域120相似的隐藏或受限存储区域中,可以使得或者呈现出由目标SSD接收的数字数据不可用。为了使得或者呈现出数字数据可用(即为了启用目标SSD,第三方或目标SSD解压缩压缩数据;根据各种数据项的类型和/或功能来解析未压缩数据,并将每个所解析的数据项存储在相应存储区域中的大容量存储区域中,无论它是用户存储区域、受限存储区域还是安全性管理存储区域。
除了如下之外,源SSD 230与图1的SSD 100相似:根据本公开,源SSD 250的安全存储控制器(源SSD 250的安全存储控制器未在图2中示出)也被配置为确定目标SSD 260或第三方210是否合格于从那里接收数字数据(符合可能的情况),如果是,则建立源SSD 250和目标SSD 260之间的安全信道(即信道222)、或者源SSD 250和第三方210之间的安全信道(即安全信道220)。根据本公开,源SSD 250的安全存储控制器还被配置为通过相应的安全信道(即分别通过信道222或220)将数字数据直接或经由第三方210传输到目标SSD 260来备份。
源SSD 250的安全存储控制器可以禁用目标SSD 260以使得或呈现出所传输的数字数据不可用。源SSD 250的安全存储控制器可以在源SSD 250将数字数据传输到目标SSD 260或第三方210之前、期间或之后,来使得或呈现出所传输的数字数据不可用。源SSD 250的安全存储控制器可以直接或经由目标SSD 260将源SSD 250的标识符传输到第三方210,以使得由第三方210使用标识符来禁用源SSD 250。源SSD 250的安全存储控制器可以在与第三方210或目标SSD 260的相互认证期间将源SSD 250的标识符传递到第三方210或目标SSD 260,或者(作为数据)被嵌入到所传输的数字数据中。源SSD 250的安全存储控制器可以在第三方210或目标SSD 260被确定为合格于接收数字数据之后,将数字数据传输到第三方210或目标SSD 260。可以由源SSD 250的安全存储控制器或者由在源SSD 250上运行的专用应用来进行第三方210或目标SSD 260是否合格于接收数字数据的确定。
如可以理解的,SSD可以在一个时刻充当或者被视为源SSD,并在另一时刻充当或者被视为目标(即备份)SSD。因此,具有充当备份/目标SSD的潜能,SSD(该情况下的目标SSD)的安全存储控制器还被配置为向源SSD(例如,向源SSD证明的目标SSD 260)或第三方证明SSD的合格性以备份源SSD。在证明SSD的和合格性以备份源SSD时、之后或者响应于此,安全存储控制器还适合于建立SSD和源SSD或第三方之间的安全信道,并通过相应的安全信道直接从源SSD或经由第三方接收数字数据。
目标SSD直接从源SSD或从第三方接收的数字数据可以是可用的或不可用的。也就是,源可以使得或呈现出它的数字数据不可用,然后再将它发送给目标SSD或第三方。可替代地,在接收方可以使用数字数据的情况下,如果它被授权或者合格于这样做的话,源SSD可以如其原样地发送它的数字数据。如果从源SSD接收的数字数据可用,则SSD的安全存储控制器还被配置为禁用SSD,使得只要合法使用源SSD,就使得或呈现出所接收的数字数据不可用。
例如,通过改变SSD中所接收的数字数据,通过修改SSD的属性,或者通过将不可用配置应用到拷贝到SSD的数据,安全存储控制器可以使得或呈现出所接收的数字数据不可用。安全存储控制器通过回复SSD中所改变的数据或者目标SSD所修改的属性,或者通过应用目标SSD的可用配置(即用可用配置来替代SSD的不可用配置),可以使SSD为用作备份SSD做好准备,从而使得或呈现出(目标/备份)SSD中的数字数据可用。
SSD的安全存储控制器可以接收源SSD的标识符,并且作为将SSD准备为备份SSD来操作的一部分,将它发送给第三方以由第三方使用它来禁用源SSD。当终端用户或用户应用请求第三方这样做时,第三方可以向装有源SSD的主机发布源SSD的标识符,使得将不使用存储在源SSD中的数字数据。可替代地,安全存储控制器可以发布源SSD的标识符,而不是第三方。
第三方210可以是由诸如源SSD 250之类的源SSD和诸如目标SSD 260之类的目标SSD所信任的计算机系统。第三方210可以是在计算机系统上运行的应用,并被源SSD 250和目标SSD所信任。
主机设备系统205包括两个独立的主机设备230和240。每个主机设备230和240可以具有容纳SSD的卡阅读器或者可以读取SSD的安全USB设备。每个卡阅读器可以容纳源SSD或目标SSD。通过例子的方式,主机设备230的或者与主机设备230相关联的卡阅读器容纳源SSD 250,以及主机设备240的或者与主机设备240相关联的卡阅读器容纳目标SSD 260。任何合适的传统卡阅读器可以用来从SSD读取内容/数据。
主机设备系统可以包括一个主机设备(例如,主机设备230,主机设备240是可选的),主机设备可以包括或者具有与之相关联的用于容纳源SSD和目标SSD(不同时)的一个卡阅读器,或者每个卡阅读器用于每个SSD的两个卡阅读器。可替代地,主机设备系统可以包括两个主机设备(例如,主机设备230和240),其中每个主机设备具有它自己的卡阅读器。如果主机设备包括一个卡阅读器,则(通过使用由第三方提供的数据备份服务)将源SSD的数字数据备份到目标SSD中涉及:首先,使用卡阅读器来读取并将数字数据通过第一安全信道从源SSD传输到第三方,并且在用目标SSD取代源SSD之后,然后,使用卡阅读器来将数字数据通过第二安全信道从第三方写、传输或拷贝到目标SSD,等等。与主机设备相关联的卡阅读器可以是主机设备的完整部分,或者在主机设备的外部并与主机设备可操作地相连。
源SSD 250和目标SSD 260中的每一个可以与图1的SSD 100相同或相似。源SSD 250可以包含可以包括用户可接入多媒体内容和受保护数据的数字数据,其中受保护数据可以包括版权保护数据、隐秘数据、隐秘元数据、安全性应用、DRM文件等,SSD的用户可以确定将其备份到目标SSD 260中。将源SSD的受保护数据备份到目标SSD 260中还将向目标SSD 260赋予与源SSD 250相关联的、或者由源SSD 250在数字内容上初始强加的相同安全级。
主机设备系统205可以包括被指定为“主机设备3”(280处所示)至“主机设备n”(290处所示)的、第三方210可以操作性与之相连的额外多个主机设备。相对于第三方210,主机设备可以位于本地或者远端。可以经由专用通信线缆、陆上线路、数据网络、互联网和无线通信链路的任何组合,执行第三方210和主机设备系统205中的任何一个主机设备之间的通信。
图3示意性地图示了根据例子实施例的将源SSD 350的包括受保护数据的数字数据经由第三方310备份到目标SSD 360中的数据备份系统300。数据备份过程包括:将源SSD的数字数据拷贝到目标SSD的第一阶段(在这里被称为“数据拷贝阶段”),以及只要源SSD的所有人或用户可以使用源SSD 350、就可逆地禁用目标SSD的第二阶段(在这里被称为“后数据拷贝阶段”)。
第三方310经由数据网络(例如互联网)390与主机设备系统305可操作地相连。主机设备系统305包括一个主机设备320,该主机设备320具有与之相关联的两个卡阅读器:卡阅读器330和卡阅读器340。卡阅读器330和340在主机设备320的外部。通过例子的方式,卡阅读器330容纳源SSD350,以及卡阅读器340容纳目标SSD 360。
在满足上述合格性先决条件之后,第三方310通过与源SSD 350建立第一安全信道并与目标SSD 360建立第二安全信道,来建立源SSD 350和目标SSD 360之间的虚拟安全信道。通过通信线355和380并经由数据网络390来建立第一安全信道,以及通过通信线365和380并经由数据网络390来建立第二安全信道。
主机设备320包括用户应用370和用户接口315。用户接口315可以是例如健区或触摸屏。用户接口315使得用户可以与用户应用370交互。例如,用户可以使用用户接口315来输入将如下指示给用户应用370的指令:源SSD 350和目标SSD 360在适当的位置(即,源SSD位于卡阅读器330以及目标SSD位于卡阅读器340)以等待由第三方310服务,以及如果满足合格性先决条件,则可以将源SSD 350的数字数据备份到目标SSD 360中。响应于这样的指令,用户应用370经由通信线380和数据网络390向第三方310发送消息,指示第三方310开始与所牵涉的SSD的数据备份会话,例如首先与源SSD 350,然后与目标SSD 360。
为了开始数据拷贝阶段,第三方310例如通过使用源SSD 350的系统访问控制记录(“ACR”)来通过第一安全信道并经由主机设备320登陆(logs on)到源SSD 350中。如果第三方310和源SSD 350相互认证、并且第三方310向源SSD 350证明它从那里接收数字数据的合格性,则源SSD 350允许第三方310读取源SSD 350保存在它的大容量存储区域中的任何数据,包括受保护数据,以及大体上第三方310所要求的每个数据。如果源SSD 350向第三方310证明它被另一SSD备份的合格性,则第三方310将从源SSD 350读取数字数据。
在第三方310从源SSD 350读取数字数据之后,第三方310例如通过使用目标SSD 360的系统ACR来通过第二安全信道并经由主机设备320登陆到目标SSD 360系统中。如果第三方310和目标SSD 360相互认证、并且目标SSD 360向第三方310证明它备份源SSD 350的合格性,则第三方310将它从源SSD 350读取的数据写到目标SSD 306中,从而完成数据拷贝阶段。
只要源SSD 350的所有人或用户可以使用源SSD 350,第三方310通过可逆地禁用目标SSD 360来开始第二阶段(即,“后数据拷贝”阶段),并且可选地,如果因为某些原因而禁用源SSD 350并启用目标SSD 360,则源SSD350的所有人或用户不再能够使用源SSD 350,例如因为它被偷了、丢失了或损坏了。
图4示意性地图示了根据另一例子实施例的将源SSD 450的包括受保护数据的数字数据经由第三方410备份到目标SSD 460中的系统400。第三方410经由数据网络(例如互联网)490与主机设备系统405可操作地连接。主机设备系统405包括一个主机设备(420处所示),该主机设备420具有与之相连的一个卡阅读器:卡阅读器430。卡阅读器430在主机设备420的外部。通过例子的方式,卡阅读器430被示为容纳有源SSD 450,但是它也可以容纳目标SSD 460。
在满足指定的合格性先决条件之后,第三方410在源SSD 450和目标SSD 460之间建立虚拟安全信道。为了在源SSD 450和目标SSD 460之间建立虚拟安全信道,第三方410与源SSD 450建立第三方410通过其从源SSD450读取数字数据的第一安全信道,并在用目标SSD 460替代或交换源SSD450(用虚线435象征性示出替代)之后,与目标SSD 460建立第二安全信道。因为第三方410每次处理两个SSD中的一个SSD,所以可以通过相同的通信线455和480来建立第一安全信道和第二安全信道。
图5示意性地图示了根据再一例子实施例的将源SSD 550的受保护数据经由第三方510备份到目标SSD 560中的系统500。第三方510经由数据网络(例如互联网)590与主机设备系统505可操作地相连。主机设备系统505可以包括主机设备520A和主机设备520B这两个主机设备,每个主机设备具有与之相关联的一个卡阅读器和用户应用。卡阅读器530和用户应用570A与主机设备520A相关联。卡阅读器540和用户应用570B与主机设备520B相关联。卡阅读器530和卡阅读器540在各个主机设备的外部。然而,如上所述,卡阅读器可以是主机设备的完整部分或者嵌入到主机设备中。通过例子的方式,卡阅读器530容纳源SSD 550,以及卡阅读器540容纳源SSD 560。
主机设备520A和520B通过使用相同类型的通信路径或者不同类型的通信类经,可以与第三方510可操作地相连。通过例子的方式,主机设备520A经由陆上线路510与第三方510可操作地相连,以及主机设备520B经由通信线路580和数据网络590与第三方510可操作地相连。例如,图5的配置在用户想要将她/他的SSD的数字数据备份到属于另一人的远端SSD的情况下是有用的。例如,用户的主机设备(例如,主机设备520A)可以位于一个城市,而另一人的主机设备(例如,主机设备520B)可以位于另一城市。
用户应用570A和570B中的每一个可以包括两个单独且独立的过程:“读取过程”和“写过程”。读取过程允许用户指令第三方从源SSD读取数字数据,以及写过程允许相同的用户或另一用户指令第三方将所读取的数字数据写到本地或远端的目标SSD。用户可以根据SSD的角色(即源SSDA或目标SSD)来选择、激活、或者相反(otherwise)导致或触发合适的过程(即读取过程或写过程)的执行。再次参考图5,第一用户可以选择、激活、或者相反导致或触发(例如,通过使用用户接口515A)读取过程的执行,以使第三方510从源SSD 550读取数字数据。第二用户可以选择、激活、或者相反导致或触发(例如,通过使用用户接口515B)写过程的执行,以使第三方510将所读取的数字数据写到目标SSD 560。
如果满足上述合格性先决条件,则第三方510在源SSD 550和目标SSD560之间建立虚拟安全信道。为了在源SSD 550和目标SSD 560之间建立虚拟安全信道,第三方510(经由通信路径510和555)与源SSD 550建立第三方510经由其从源SSD 550读取数字数据的第一安全信道,并(经由通信路径580、数据网络590和通信路径565)与目标SSD 560建立第三方510经由其将所读取的数字数据写到目标SSD 560中的第二安全信道。
图6是根据例子实施例的图3的第三方310的框图。将结合图3来描述图6。第三方310包括:通信接口620、认证管理器630、存储设备配置器640、存储器650和数据读/写机构660。
如果用户想要将存储在源SSD 350中的多媒体内容备份到目标SSD 360中,则用户激活、调用用户应用370或与用户应用370交互,以使用户应用370将要求数据备份服务、以及源SSD 350和目标SSD 360在合适的位置中并准备好数据传输的消息发送给第三方310。调用客户端应用370还使第三方310开始与所牵涉的SSD的通信会话,并向第三方310指名用户所请求的服务。例如,用户所请求的服务可以是:将数字数据从源SSD 350传输到第三方310并在那里暂时保存它(例如几天),或者(假设已经在第三方310中保存了数字数据)将数字数据从第三方310传输到目标SSD 360,或者将数字数据从源SSD 350传输到第三方310并同时将数字数据从第三方310传输到目标SSD 360,或者在第三方310将数字数据写入目标SSD 360之后马上禁用目标SSD 360,或者禁用源SSD 350并启用目标SSD 360,等等。
如上所述,将源SSD的数字数据备份到目标SSD(即备份SSD)中的第一阶段是将源SSD的数字数据拷贝到目标SSD。为了将数字数据从源SSD拷贝到目标SSD,第三方初始化包括如下时期(stages)的数据拷贝会话:(1)认证时期,(2)经由第三方的源SSD和目标SSD之间的虚拟安全信道的建立,(3)由第三方从源SSD读取数据,(4)由第三方(重)配置目标SSD,以及(5)由第三方将从源SSD读取的数据写到目标SSD。如上所述,需要执行另一阶段(即后数据拷贝阶段),它包括只要源SSD的所有人或用户可以使用源SSD,就由第三方可逆地禁用目标SSD。如果源SSD的所有人或用户可以使用源SSD,则意味着源SSD仍然是可操作的(即“启用的”、“可用的”、或“有效的”)。后数据拷贝阶段还包括如果源SSD和目标SSD的所有人或用户想要交换两个SSD,因为她/他由于可能的任何原因而不再能够使用源SSD,则禁用源SSD并启用目标SSD。
(1)认证
源SSD 350的多媒体内容到目标SSD 360的成功传输还使如下成为必要:将数据从源SSD 350的受限存储区域传输到目标SSD 360的受限存储区域,以及将数据从源SSD 350的安全性管理存储区域传输到目标SSD 360的安全性管理存储区域。
在第三方310向目标SSD 360传输任何数据之前,第三方310需要首先从源SSD 350请求(即读取)它。在源SSD 350服从该请求之前(即,在源SSD 350开始将所请求的数据经由通信接口620传输到第三方310之前),需要开始第一认证会话,在该第一认证会话期间第三方310和源SSD 350相互认证。
第一认证会话涉及:由源SSD 350检查第三方310的真实性,以确保第三方310合格于接收存储在源SSD 350的受限存储区域中和安全性管理存储区域中的受保护数据,以及由认证管理器630检查源SSD 350的真实性,以确保源SSD 350合格于由另一SSD备份。在认证管理器630开始第一认证会话之前,认证管理器630登陆到源SSD 350的系统中。
认证管理器630开始单独的第二认证会话,在该会话期间第三方310和目标SSD 350相互认证。第二认证会话涉及:由目标SSD 360检查第三方310的真实性,以确保第三方310合格于将数据写入它的受限存储区域和它的安全性管理存储区域,以及由认证管理器630检查目标SSD 360的真实性,以确保目标SSD 360合格于备份另一SSD。在认证管理器630开始第二认证会话之前,认证管理器630经由通信接口620登陆到目标SSD 360的系统中。可以通过在所牵涉的当事方之间交换认证证书,并且通过使用PKI范例,来执行第一认证会话和第二认证会话,如下面结合图7更详细描述的。
认证管理器630可以通过使用SSD的访问控制记录(“ACR”)来经由通信接口620登陆到源SSD 350和目标SSD360的系统中。简要地,“ACR”是可以被视为“超级中心记录(super authority record)”的访问控制范例,因为ACR包含用于编索引(indexing)的信息,并且它可以与目录记录、关系数据库以及与其他相关的访问控制记录相联系。ACR概念从“中心控制”的传统概念改变为“访问控制”。
(2)虚拟安全信道的建立
在(第一认证会话期间)源SSD 350和第三方310相互认证之后,认证管理器630和源SSD 350的安全存储控制器(未在图3中示出)例如通过使用对于它们两者可用的第一会话密钥来在它们之间建立第一安全信道,以及在目标SSD 360和第三方310相互认证之后,第三方310和目标SSD 360例如通过使用对于它们两者可用的第二会话密钥来建立第二安全信道。如上所述,可以同时建立第二安全信道和第一安全信道。然而,要注意的是,可以在建立了第一安全信道之后、或者在建立第一安全信道之前的任何时刻建立第二安全信道。第一会话密钥和第二会话密钥可以由每个通信会话所涉及的当事方来随机生成,或者它们可以在其制造期间固定并存储在第三方310中和各个SSD中。
对于第一种可选(即第一和第二会话密钥的随机生成),认证管理器630初始化第一安全信道的建立,并响应于该初始化,认证管理器630和源SSD350联合生成第一会话密钥,如结合下面描述的图7更详细描述的。在源SSD350将数字数据传递到认证管理器630之前,源SSD 350使用第一会话密钥来加密由认证管理器630请求的数字数据(以保护它),以及当经由通信接口620从源SSD 350接收所加密的数据时,认证管理器630使用第一会话密钥来解密所加密的数字数据。当完成将所加密的数字数据从源SSD 350传输到认证管理器630时或者在诸如刚好在认证管理器630被指示或确定(取决于用户应用370)将数字数据写到目标SSD 360之前之类的任何其他时刻,认证管理器630可以使用第一会话密钥来解密所加密的数字数据。要注意的是,可以在用第一会话密钥加密数字数据之前,由源SSD 350预加密源SSD350的数字数据,以进一步增加所传递的数字数据的安全级。例如,源SSD350可以通过使用对于目标SSD 360可用的内容密钥来预加密数字数据。
同样,认证管理器630可以在它从源SSD 350接收用第一会话密钥加密的数字数据之后的任何时刻,初始化第二安全信道的建立,并响应于该初始化,认证管理器630和目标SSD 360联合生成第二会话密钥。在认证管理器630将数字数据传递到目标SSD 360之前,认证管理器630使用第二会话密钥来加密将被拷贝到目标SSD 360的数字数据(以保护它)。当从认证管理器630接收所加密的数据时,目标SSD 360使用第二会话密钥来解密所加密的数字数据。要注意的是,可以首先生成第一会话密钥和第二会话密钥之一。也就是,首先生成哪个会话密钥(即第一会话密钥或第二会话秘密钥)并不重要。
虽然所加密的数据可以被存储在源SSD 350的用户存储区域中,但是解密它所要求的解密密钥可以被存储在源SSD 350的安全性管理存储中或受限存储区域中。因此,将所加密的数据与相关联的加密/解密密钥、以及典型地存储在所涉及的SSD的受限存储区域之一中(即,受限存储区域中或安全性管理存储区域中)的其他安全相关数据/信息一起从源SSD传输到目标SSD是有必要的。
在可选方式中,源SSD 350和目标SSD 360可以通过使用对于源SSD350可用来加密数字数据以及对于目标SSD 360可用来解密所加密的数字数据的预定内容密钥,来经由第三方310建立虚拟安全信道。在该可选方式中,第三方310是通信透明的,意思是第三方310充当通信连接,并向源SSD 350和目标SSD360提供通信连接,但是它并不主动牵涉到数据的加密或解密中。
(3)从源SSD读取数据
在生成第一会话密钥之后,认证管理器630使用数据读/写机构660来从源SSD 350的用户存储区域、受限存储区域并从安全性管理存储区域读取将拷贝到目标SSD 360的任何数据。第三方310包括用于保存可以有利于由第三方310提供的数据备份服务的SSD的认证证书列表、并且还用于暂时保存第三方310从源SSD 350读取的数字数据的存储区650。当暂时保存在存储器650中的数据不再要求时,它将被删除,使得没有可追踪的数据将保持在第三方310以被用户误用或者被黑客接触或截取。
(4)目标SSD的配置
目标SSD 360具有与源SSD 350相同的配置是有必要的,因为除了所拷贝的多媒体内容和相关受保护数据之外,源SSD 350的数据结构也被传输到目标SSD 360,这在功能方面是必需的,否则数据将以错误的方式存储或者存储在错误的存储区域中,例如,存储在用户存储区域中而不是受限存储区域中,或者存储在受限存储区域中而不是用户存储区域中,这将使得或呈现出多媒体内容永久不可用。“数据结构”是将数据存储在计算机中的方式,使得可以有效地访问和使用所存储的数据。特别地,“数据结构”指SSD内的数字数据的布置、每个数据项的类型和意思、SSD的存储器中每个数据项的绝对和相对位置,等等。数据结构被定义为SSD的配置的一部分。
因此,为了使目标SSD 360如源SSD 350中存储的那样来保存数字数据的实际拷贝,第三方310需要在第三方310例如通过使用数据读/写机构660将源SSD的数字数据写入目标SSD 360之前,确保目标SSD 360的配置匹配于源SSD 350的配置。为了实现这个,认证管理器630向源SSD 350查询或者请求关于其配置的信息或者其配置的数据表示,并且源SSD 350通过向第三方310通知它的配置来服从于该查询或请求。例如,源SSD 350可以通过向第三方310发送配置表格来将它的配置通知给第三方310。在被源SSD350通知其配置之后,认证管理器630使存储设备配置器640使用从源SSD350得到的配置信息来以与源SSD 350相同的方式配置目标SSD 360。因此,可以说存储设备配置器640将源SSD 350的配置施加或强加到目标SSD 360上。
(5)由第三方将源SSD的数字数据写入目标SSD
在存储设备配置器640将源SSD 350的配置施加到目标SSD 360上之后,认证管理器630使用数据读/写机构660来将它从源SSD 350接收的数字数据写到目标SSD 360,
(6)禁用目标SSD
如上面结合图2所说明的,第三方可逆地禁用目标SSD,以符合不允许存在多媒体内容的一个以上合法可用拷贝的构思。因此,在认证管理器630(通过使用读/写机构660)从源SSD 350读取数字数据之后,第三方310或源SSD可逆地禁用目标SSD 360,以只要源SSD 350的所有人或用户可以或想要使用SSD 350,就不允许使用目标SSD 360。可以由第三方使目标SSD处理存储在其中的数据、或者使用例如结合图2在这里描述的任何方法,来执行禁用目标SSD。
图7示出了根据例子实施例的向源SSD 720认证第三方710以及相反情况的认证方法。认证过程涉及交换认证证书和使用私钥基础设施(PKI)方法,如下所述。
可以与图3和6相似或相同的第三方710在其中存储有第三方证书711、第三方私钥712以及源SSD 720的或与源SSD 720相关联的根证书713。第三方证书711包括第三方710的公钥。同样,可以与图1的SSD 100相似或相同的源SSD 420在它的安全性管理存储区域中存储有SSD证书721、SSD私钥722和第三方根证书723。SSD证书721包括源SSD 720的公钥。认证过程可以包括如下阶段:(1)公钥验证,(2)私钥验证,以及(3)会话密钥协商,将在下面讨论它们。
公钥验证
响应于用于开始数据备份过程的用户指令(例如通过使用诸如用户应用370之类的用户应用),第三方710向源SSD 720发布并发送“设置证书”命令731以开始相互的认证会话。
作为发起者,第三方710与设置证书命令731一起发送它的认证证书(即“第三方证书”711)。响应于设置证书命令731,源SSD 720利用“第三方根证书”723来验证(732处所示)第三方证书711的真实性。如果验证失败,则源SSD 720中断认证过程。如果第三方710的认证证书(即“第三方证书”711)被源SSD 720验证(732处所示),则源SSD 720通过向第三方710发送它自己的认证证书(即“源SSD证书”721)来响应于由第三方710发布的命令733(即“获取证书”)。
第三方710接收源SSD的认证证书(即“源SSD证书”721),并通过使用源设备根证书713来验证(734处所示)“设备证书”721的真实性。如果该验证也成功,则双方(第三方720和源SSD 720)从相应的认证证书得到对方的公钥:第三方710根据被验证的源SSD证书721而具有源SSD 720的公钥735,以及源SSD 720根据被验证的第三方证书711而具有第三方710的公钥736。在完成该阶段之后,双方前进到作为“私钥验证”阶段的下一阶段。典型地,将第三方根证书723存储在SSD的隐藏存储受限(隐藏)存储区域中。
私钥验证
可以通过使用各种加密方案来验证SSD或第三方的私钥,在下文中描述加密方案之一。通过使用双边质询(challenge)-响应机制来完成私钥验证,其中源SSD 720通过使用命令741(“获得质询”)来质询第三方710,其中源SSD 720使用由源SSD 720生成的相对长(例如32字节)的质询随机数(742处所示)来将该命令提供给第三方710。第三方710根据在PKCS#1版本2.1中定义的RSA加密方案或者根据现在存在或将来可能提出的任何其他恰当版本,通过使用第三方私钥712签章(743处所示)质询随机数来响应于命令741(“获取质询”)。简要地,“RSA”(姓Rivest、Shamir和Adleman的首字母)是用于签章和加密数字数据的加密算法。RSA涉及使用每个人已知的并用于加密消息的公钥以及私钥。仅仅可以通过使用相比配(即相关联)的私钥来解密用公钥加密的消息。
根据在RKCS#1版本2.1中定义的RSA加密方案,源SSD 720通过使用第三方公钥736来验证所签章(sign)的响应(744处所示),其导致期望是随机数742的数的提取。如果所提取的数匹配于随机数742,则这向源SSD720指示第三方710是它的对话方并且第三方710合格于从源SSD 720接收数字数据。如果在745处提取的数不同于随机数742,则认证失败并且源SSD720中断认证过程。
第三方710利用相似的质询-响应机制来质询源SSD 720。也就是,第三方710生成随机数并将它发送给源SSD 720,检查由源SSD 720返回的数是否匹配于所生成的随机数。如果两个数相匹配,则这向第三方710指示源SSD 720是它的对话方并且源SSD 720合格于由目标SSD备份。
如果数不相匹配,则认证过程失败并且第三方710中断认证过程。在完成相互认证阶段之后,双方(即,第三方710和源SSD 720)可以前进到作为“会话密钥协商”阶段的下一阶段。通常,将第三方的根证书和SSD的私钥存储在SSD的受限(隐藏)存储区域中。
会话密钥协商
如上所述,通过以多种方式使用可以对于第三方710和源SSD 720可用的会话密钥(在这里被称为“第一会话密钥”),可以建立第三方和源SSD之间的安全信道(在这里被称为“第一安全信道”)。也就是,可以由它们生成会话密钥(例如以图7所示的方式),或者从外部系统或设备向它们提供会话密钥。
第三方710和源SSD 720将会话密钥用作双向(即,源SSD/第三方)认证的一部分,以完成它们相互的认证过程,并且还用作加密密钥来加密在第三方710和源SSD 720之间交换的数据。由第三方710和源SSD 720联合随机化会话密钥,并且会话密钥对于它们双方是已知的,因为它由两个随机数(751和761处所示)组成,其中一个随机数(即随机数761)由第三方710生成并在加密之后发送给源SSD 720,以及另一随机数(即随机数751)由源SSD 720生成并在加密之后发送给第三方720,如下所述。
源SSD 720生成随机数751,并在加密(752处所示)之后将它发送给在那里解密它的第三方710(753处所示)。第三方710生成随机数761,并在加密(762处所示)之后将它发送给在那里解密它的源SSD 720(763处所示)。由每一侧生成的随机数可以长16字节,并且它可以根据在PKCS#1版本2.1中定义的RSA加密方案来加密。在每一方处“异或”两个随机数751和761导致第三方710和源SSD 720具有相同的会话密钥(分别在771和772中示出)。会话密钥将是根据两个随机数的异或操作得到的16字节的二进制值。
在生成会话密钥之后,源SSD 720需要第三方已经生成并将使用相同会话密钥的证明。作为证明,第三方710转发(781处所示)作为用会话密钥771加密的AES(高级加密标准)的“开始会话”命令。源SSD 720用会话密钥772解密“开始会话”命令,并验证“开始会话”命令包括消息“开始会话”。如果会话密钥771和772不相匹配,则认证过程失败并且源SSD 720中断登陆过程。反之,源SSD 720利用会话密钥772来加密并向第三方710发送(782处所示)“认证完成”消息782。第三方710使用会话密钥771解密“认证完成”消息782,并验证“认证完成”消息782包含消息“认证完成”。该最后一个步骤完成了会话密钥协商过程,并以安全的方式打开了可以通过其在第三方710和源SSD 720之间交换命令和数据(例如数字数据)的安全信道。将在整个通信会话期间由第三方710和源SSD 720使用会话密钥,其中整个通信会话是直到第三方710读出存储在源SSD 720中的整个数字数据的时段。通过必要的修正(mutatis mutandis),可以类似地将在图7中例示的认证和会话密钥生成过程用于向目标SSD认证第三方710以及相反的情况。也就是,在后一种情况下,应该用词“目标”替代词“源”。
在生成第一和第二会话密钥之后,通过源SSD用对于第三方可得的第一会话密钥加密数字数据,来建立第一安全信道,以及通过第三方用第一会话密钥解密所加密的数字数据、并用对于目标SSD可得的第二会话密钥加密所解密的数字数据,来建立第二安全信道。可以将第一会话密钥和第二会话密钥存储在第三方中以及在制造SSD期间或之后存储在各个SSD中。
由源SSD用第一会话密钥加密数字数据可以包括前一步骤:由源SSD用对于目标SSD可得但对于第三方不可得的内容密钥来加密数字数据。可以在其制造期间将内容密钥存储在源SSD和目标SSD中,或者可以由一方(例如源SSD)生成它们,并将它们传输给另一方(例如目标SSD),将在下面结合图8来描述后一种可选情况。
第三方710参与建立包括与源SSD 720的第一安全信道和与目标SSD(未在图7中示出)的第二安全信道的虚拟安全信道所要求的加密密钥的生成过程。然而,如上所述,第三方可以将数字数据从源SSD拷贝到目标SSD,而无需第三方生成加密/解密密钥,并且无需第三方知道源SSD和目标SSD使用哪个(哪些)加密/解密密钥,如下面描述的图8所示。
图8示出了根据例子实施例的由源SSD 720进行的生成内容密钥的方法。为了维持数字数据的私密性、同时将它(通过并经由第三方810)从源SSD 820转发到目标SSD 830,源SSD 820和目标SSD 830承担安全性责任,第三方承担中间角色,如下所述。假设第三方810、源SSD 820和目标SSD830已经完成了上面结合图7描述的公钥和私钥验证阶段,因此,第三方810将目标SSD 830与包含目标SSD 830的公钥的认证证书相关联。通常,源SSD 820在发送它的数字数据之前随机生成用于加密它的数字数据的内容密钥。在这之后,源SSD 820将内容密钥转发给目标SSD 830,使得目标SSD830可以使用内容密钥来解密所加密的数字数据。如下所述来执行内容密钥生成过程。
在第三方810和目标SSD 830相互认证之后,第三方810保存目标SSD730的认证证书835。通常,第三方810将目标SSD 830的公钥转发给源SSD820;源SSD 820利用目标SSD的公钥来加密内容密钥(即用于密码化数据的密钥);以及目标SSD 830利用内容密钥来解密所加密的数据。为了实现这个,第三方810将目标SSD 830的认证证书835转发840给源SSD 820,并且源SSD 820验证目标SSD 830的SSD证书835被由第三方保存的目标SSD的根认证证书所签章。一旦目标SSD的根证书上的签字被源SSD 820验证,源SSD 820就从目标SSD的认证证书中提取845目标SSD 830的公钥。源SSD 820生成充当内容密钥的随机数850。然后,源SSD 820用所提取的目标SSD 830的公钥来加密855的随机数(即内容密钥),用源SSD的私钥来签章所加密的内容密钥,将源SSD的认证证书连接到所签章的被加密的内容密钥,并向第三方810转发860所签章的被加密的内容密钥825。在870处,第三方810将所加密的内容密钥825如其原样转发给目标SSD830。接着,目标SSD 830确保源SSD的认证证书已经被由第三方810保存的源SSD的根认证证书所签章,并使用它的私钥836来解密所加密的内容密钥。目标SSD 830还使用保存在源SSD的证书中的源SSD的公钥,以确保内容密钥没有改变。
从该点开始,源SSD 820可以安全地经由第三方810向目标SSD 830发送数字数据。由于不知道目标SSD的私钥,所以第三方810不能解密源SSD820通过它向期望是安全的目标SSD 830转发的任何数据。因此,第三方810将目标SSD 830的认证证书/公钥从目标SSD 830传输或中继到源SSD 820,并将所加密的内容密钥从源SSD 820传输或中继到目标SSD 830。可替代地,可以在源SSD的制造期间使内容密钥对于源SSD可用,并通过将内容密钥从或经由第三方传输到目标SSD来使内容密钥对于目标SSD可用。可替代地,通过将它从目标SSD经由第三方传输,可以使内容密钥对于源SSD可用。
图9示出了示范性的认证证书的层次。安全存储设备和服务提供商信任PKI系统根CA(“CA”代表“证明中心”)910。作为SSD的唯一根CA的设备的根CA 920被包含在第三方中或由第三方保存,以允许第三方认证SSD。第三方可以为授权接受由第三方提供的数字备份服务的SSD保存SSD的根CA列表。同样,作为第三方的根CA的第三方的根CA 930被包含在SSD中或由SSD保存。由PKI系统根CA 910签章安全存储CA设备的根CA 920和第三方的根CA 930中的每一个。因此,可以说对于安全存储CA设备的根CA 920和第三方的根CA 930,共同受信任的中心(即PKI系统根CA 910)代表信任。作为SSD的证书的安全存储设备证书940被包含在SSD中或由SSD保存,并由安全存储设备的根CA 920签章。同样,作为第三方的证书的第三方证书950被包含在SSD中或由SSD保存,并由第三方的根CA 930签章。
如上所述,第三方信任安全存储CA设备的根CA 920,以及SSD信任第三方的根CA 930。因此,通过将安全存储CA设备的根CA 920放置、存储或保存在第三方中,并将第三方的根CA 903放置、存储或保存在SSD中,可以帮助第三方和安全存储设备之间的相互信任。更具体地,只有在第三方从SSD接收由安全存储设备的根CA 920签章的认证证书的情况下,第三方才将信任SSD。同样,只有在SSD从第三方接收由第三方的根CA903签章的认证证书的情况下,SSD才将信任第三方。对于第三方和源SSD,成功的认证还意味着,第三方合格于、被授权或有权利从源SSD接收或读取数字数据,以及源SSD合格于、被授权或有权利接受由第三方提供的数据备份服务。对于第三方和目标SSD,成功的认证还意味着,第三方合格于、被授权或有权利将数字数据写入目标SSD,以及目标SSD合格于、被授权或有权利备份源SSD。
图10示出了根据例子实施例的将SSD(在这里被称为“源SSD”)的数字数据备份到另一SSD(在这里被称为“目标SSD”)中的高层方法。将结合图3描述图10。
假设源SSD 350包含或存储有包括不能被传输到不合格设备(即由其备份)的受保护数据的数字数据,以及用户想要将源SSD 350的数字数据备份到目标SSD 360中,用户将源SSD 350插入卡阅读器330并将目标SSD 360插入卡阅读器340,并在步骤1010处,调用主机设备320上的用户应用370以提示第三方310执行数据备份过程、或开始与源SSD 350和目标SSD 360的数据备份会话。
数据备份过程包括两个单独的阶段:“备份SSD准备”阶段,其中第三方310在步骤1020处执行以使备份SSD(在该例子中为目标SSD 360)为备份数据做好准备;以及“备份SSD使用准备”阶段,其中第三方310在步骤1040处执行以使备份SSD可用或可操作。为了使数据备份过程发生,需要满足多个备份合格性先决条件,如这里所说明的。
使备份SSD做好准备(即将SSD准备为备份设备)通常意味着将被备份的SSD(即源SSD)的数字数据拷贝到备份SSD(即目标SSD),并将备份SSD保持在睡眠状态(即无效、不可操作、不可用或禁用),至少使得只要存储在被备份的SSD中(即源中)的原始数字数据由其合法用户或所有人使用或可以使用,就不能由任何设备使用其数字数据。假设满足合格性先决条件,第三方310在源SSD 350和目标SSD 360之间建立虚拟安全信道,并将源SSD 350的数字数据通过所建立的虚拟安全信道拷贝到目标SSD360。
在第三方310将目标SSD 360准备为备份之后,在步骤1030处,它等待用户应用370发布备份请求。备份请求也被称为“SSD交换指令”以操作性地交换两个SSD。如果用户应用370还没有发布交换指令(步骤1030处的“N”所示),则第三方310继续(步骤1035处所示)等待交换指令。
如果源SSD 350被偷、丢失或损坏了,则它的合法用户可以调用用户应用370来向第三方310发送SSD交换指令。当从用户应用370接收SSD交换指令(步骤1030处的“Y”所示)时、同时、之后或响应于此,第三方310使备份SSD(例如目标SSD 360)为使用做好准备。第三方310需要使备份SSD为使用做好准备,因为在该时期中备份SSD禁用;即,从源SSD拷贝到此的数字数据不可用。在下面描述的图11中更详细阐述将SSD准备为备份SSD并使备份SSD为使用做好准备。
图11示出了根据例子实施例的将SSD准备为备份SSD、并在这之后使备份SSD为使用做好准备的方法。将结合图3来描述图11。
用户将源SSD插入主机设备系统305,并在步骤1105处调用主机设备系统305上的用户应用370来提示第三方310执行数据备份过程或开始与源SSD 350和目标SSD 360的数据备份会话。如上面结合图10所描述的,数据备份过程包括第三方310准备备份SSD的第一阶段、以及第三方使备份SSD为使用做好准备的第二阶段。
准备备份SSD
在可以将目标SSD 360准备为源SSD 350的备份SSD之前,源SSD 350、目标SSD 360(即,期望的或潜在的备份SSD)和第三方310需要满足合格性先决条件。例如,在步骤1110处,第三方310检查源SSD 350是否合格于由目标SSD备份或者由另一SSD针对该情况备份。如果第三方310确定源SSD 350不合格于由目标SSD备份(如步骤1110处的“N”所示),则第三方310终止或中断数据备份过程。然而,如果第三方310确定源SSD 350合格于由目标SSD 360备份(如步骤1110处的“Y”所示),则在步骤1115处第三方310(通过通信线380、数据网络390和通信线355)建立与源SSD350的第一安全信道。与源SSD 350的第一安全信道是第三方310在之后在源SSD 350和目标SSD 360之间完成的虚拟安全信道的一部分。通常,仅仅在目标SSD 360向第三方310证明它备份源SSD 350或备份多个SSD的合格性之后,第三方310才将完成虚拟安全信道。
在步骤1120处,第三方310通过第一安全信道从源SSD 350读取数字数据(包括受保护数据),并且根据一个例子,保存所读取的数字数据,直到到达将它传输到目标SSD 360的时候。根据另一例子,第三方310可以在将数字数据拷贝到目标SSD 360之后,将所读取的数字数据保存额外时间段(例如月或年)。如果备份SSD也被偷、丢失或损坏了,后一例子也是有用的,因为同样地可以将数字数据存储在另一/新SSD中。根据再一例子,第三方310可以将所读取的数字数据保存预定时间段(例如2天),在这之后,第三方310将删除它而不管是否将它拷贝到目标SSD 360或另一备份SSD。如果第三方310删除它的拷贝,则它可以在之后从所牵涉的源SSD得到数字数据的另一拷贝。
在步骤1125处,第三方310检查目标SSD 360是否合格于备份源SSD350或针对该情况的另一源SSD。如果第三方310确定目标SSD 360不合格于备份源SSD 350(如步骤1125处的“N”所示),则第三方310终止或中断数据备份过程。然而,如果第三方310确定目标SSD 360合格于备份源SSD 350(如步骤1125处的“Y”所示),则在步骤1130处第三方310(通过通信线380、数据网络390和通信线365)建立与目标SSD 360的第二安全信道,从而完成源SSD 350和目标SSD 360之间的虚拟安全信道。在步骤1135处,第三方310通过第二安全信道将它之前通过第一安全信道从源SSD350读取的数字数据(包括受保护数据)拷贝到目标SSD 360。在将源SSD 350的数字数据拷贝到目标SSD 360之后,并假设源SSD 350仍然由它的合法用户或所有人使用,在步骤1140处,第三方310使目标SSD 360禁用或无效,使得它的数字数据不能由任何设备使用。
在步骤1150处,第三方310检查是否从用户应用370接收了SSD交换指令。如果没有接收这样的指令(如步骤1145处的“N”所示),则假设源SSD 350的用户仍然可以使用原始SSD(即源SSD 350),因此,目标SSD 360仍然禁用、不可操作、不可用或无效,并且第三方310继续等待或等候(mute)(1150处所示)交换指令。用“第三方310继续等待”来表示第三方310可以有效操作(“开启”)并实际等待指令、或者不可操作(“关闭”)。然而,因为由第三方310提供的服务是在线服务,所以第三方310应该是有效操作的,等待将从用户接收的备份请求或SSD交换指令。
在从用户应用370接收SSD交换指令(如步骤1150处的“Y”所示)时、之后或者响应于此,在步骤1155处,第三方310启用、激活或恢复目标SSD 360,并在步骤1160处,第三方310禁用源SSD 350或使源SSD 350无效,以确保仅仅只有数字数据的一个拷贝可用,该拷贝从现在起是存储在目标SSD 360中的拷贝。
在源SSD 350被禁用之后,要求启用目标SSD 360(备份SSD)以允许它而不是被禁用的SSD(即,不是源SSD 350)被使用。因此,在步骤1165处,启用目标SSD 360,并在这之后,使用它就好像它是(取代)源SSD 350,这时,源SSD 350和目标SSD 360可以被认为已经交换了。
要注意的是,可以以不同的顺序来执行至此描述的步骤(例如,包括步骤1110至1135)的顺序,因为第三方310可以在检查源SSD 350的合格性之前或同时来检查目标SSD 360的合格性,并在建立第一安全信道之前或同时来建立第二安全信道,取决于可能存在的情况(即,取决于由用户应用370提供的特征和选项,并取决于由用户实际选择的选项)。
如果源SSD 350仍然可以由它的合法所有人或用户使用,则必须阻止任何设备对目标SSD 360的使用(即对它的数字数据的使用)。同样地,如果因为一些原因、源SSD 350的合法所有人或用户想要使用目标SSD 360而不是源SSD 350,则必须阻止任何设备对源SSD 350的使用(即对它的数字数据的使用)。如果阻止任何设备对SSD(例如源SSD 350或目标SSD 360)的使用,则阻止其使用的SSD可以被视为或认为“无效”、“不可操作”或“禁用”。
对上述目标禁用方法的一种替代,可以由第三方310在将数字数据传输到目标SSD 360之前或同时通过加密数字数据来禁用目标SSD 360。可以通过使用只对第三方已知的加密密钥来加密数字数据,使得传输到目标SSD360的数字数据由于加密将不可由任何设备/SSD使用。然而,如果设备/SSD从第三方310请求加密密钥以解密所加密的数字数据,则在满足上述相关先决条件之后第三方310服从该请求。当完成将数字数据传输到目标SSD之后,用户应用370可以向用户提供相应的消息(例如“备份过程完成”)。
第三方310可以维持列出被撤销(revoked)(即被禁用)的源SSD的SSD撤销(revocation)表格。每次第三方310接收新的源SSD的标识符,第三方310用新的源SSD填充SSD撤销表格或更新该表格。
在第三方310将源SSD的数字数据拷贝到备份/目标SSD之前或紧跟在这之后,第三方310将源SSD标记为“被撤销”(即被禁用)。
在第三方310从主机接收使用特定SSD的请求时、之后或响应于此,第三方310搜索SSD撤销表格来寻找该特定SSD,并且如果在该表格中该特定SSD被标记为“被撤销”,则第三方310向持有该特定SSD的主机发送消息,“告诉”该主机该特定SSD被撤销了,因此不应该使用它。
包括将主机的请求发送给第三方以使用特定SSD、并且第三方响应于该请求的过程在这里被称为“发布”或“发布源SSD的标识符”。第三方可以更新SSD表格,并且每次每隔一会儿将所更新的SSD表格发送给主机设备系统。
SSD可以是闪存存储器设备。可以从如下集合中选择闪存存储器设备,包括(没有穷尽列出):信任闪存(Trusted Flash)设备、安全数字(“SD”)、迷你SD(miniSD)、微SD、硬驱动(“HD”)、存储条(“MS”)、USB设备、磁盘钥匙盒(“DOK”)、iNAND等。要注意的是,源SSD和/或目的SSD可以是非闪存设备。
取决于上下文,条目(articles)“一(a)”和“一(an)”在这里被用来指该条目的一个或多于一个(即至少一个)语法对象。通过例子的方式,取决于上下文,“元件”可以表示一个元件或一个以上元件。术语“包括”在这里被用来表示短语“包括但不限于”,并且可以与该短语“包括但不限于”交换使用。术语“或”和“和”在这里被用来表示术语“和/或”,并且可以与该术语“和/或”交换使用,除非上下文清楚地指示相反的情况。术语“例如”在这里用来表示短语“例如但不限于”,并且可以与该短语“例如但不限于”交换使用。
至此描述了本发明的示范性实施例,对于本领域技术人员将明显的是,所公开的实施例的修改将在本发明的范围内。从而,替代实施例可以包括更多模块、更少模块和/或功能等价模块。本公开与各种类型的安全大容量存储设备相关,例如SD驱动的闪存存储卡、闪存存储设备、非闪存存储设备等。
Claims (30)
1.一种用于在安全存储设备处备份数字数据的装置,包括:
认证管理器,所述认证管理器被配置为认证目标安全存储设备以及与被认证的目标安全存储设备建立安全信道,所述目标安全存储设备包含源自源安全存储设备的数字数据,所述数字数据包括不可传输到未授权设备的安全数据;
存储设备配置器:
用于禁用所述源安全存储设备以使存储在其中的数字数据不可用;以及
用于通过所述安全信道启用所述目标安全存储设备,以使所述目标安全存储设备中的数字数据可用,其中启用所述目标安全存储设备包括恢复所述目标安全存储设备的属性或所述目标安全存储设备的配置以及
存储器,用于存储所述数字数据,
其中认证管理器、存储设备配置器以及存储器包含在受信任第三方设备中,该受信任第三方设备被配置成与所述源安全存储设备和所述目标安全存储设备进行通信,并且其中存储设备配置器配置成经由所述目标安全存储设备接收所述源安全存储设备的标识符,以便该标识符将被第三方设备用来禁用所述源安全存储设备。
2.如权利要求1所述的用于在安全存储设备处备份数字数据的装置,其中所述存储设备配置器还被配置为通过恢复所述目标安全存储设备中的被修改的数据来启用所述目标安全存储设备。
3.如权利要求1所述的用于在安全存储设备处备份数字数据的装置,其中所述存储设备配置器还被配置为向所述源安全存储设备的主机发布所述标识符以禁用所述源安全存储设备。
4.如权利要求1所述的用于在安全存储设备处备份数字数据的装置,还包括:
数据读/写机构,被配置为从所述源安全存储设备读取所述数字数据,并将所读取的数字数据通过安全信道写入所述目标安全存储设备。
5.如权利要求4所述的用于在安全存储设备处备份数字数据的装置,其中所述认证管理器还被配置为在所述数据读/写机构从所述源安全存储设备读取所述数字数据之前,认证所述源安全存储设备,并向所述源安全存储设备认证所述用于在安全存储设备处备份数字数据的装置。
6.如权利要求4所述的用于在安全存储设备处备份数字数据的装置,其中所述数据读/写机构从所述源安全存储设备读取的所述数字数据包括所述源安全存储设备的标识符。
7.如权利要求6所述的用于在安全存储设备处备份数字数据的装置,其中所述存储设备配置器还被配置为通过向持有所述源安全存储设备的主机发布所述源安全存储设备的标识符,来禁用所述源安全存储设备。
8.如权利要求1所述的用于在安全存储设备处备份数字数据的装置,还包括撤销表格,保持多个被禁用的源存储设备的列表,其中受信任第三方设备被配置为响应于从目标安全存储设备接收到标识符而更新所述撤销表格。
9.一种安全存储设备,包括:
存储数字数据的大容量存储区域,所述数字数据包括不可传输到未授权设备的安全数据;以及
安全存储控制器,被配置为确定目标安全存储设备或受信任第三方设备是否被授权来从那里接收所述数字数据,如果是,则在所述安全存储控制器和所述目标安全存储设备之间或在所述安全存储控制器和所述受信任第三方设备之间建立安全信道,以及通过相应的安全信道直接或经由所述受信任第三方设备将所述数字数据传输到所述目标安全存储设备来备份,其中所述目标安全存储设备响应于所述目标安全存储设备的属性的恢复或所述目标安全存储设备的配置而被启用以使用所述安全数据,所述数字数据被配置为受信任第三方设备使其不可用,并且其中所述安全存储控制器还被配置为将所述安全存储设备的标识符直接或经由所述目标安全存储设备传输到所述受信任第三方设备,以使所述受信任第三方设备使用所述标识符来禁用所述安全存储设备。
10.如权利要求9所述的安全存储设备,其中所述安全存储控制器还被配置为禁用所述目标安全存储设备以使数字数据不可用。
11.如权利要求10所述的安全存储设备,其中所述安全存储控制器在所述安全存储控制器将所述数字数据传输到所述目标安全存储设备或所述第三方设备之前、期间或之后,使所述目标安全存储设备的数字数据不可用。
12.如权利要求9所述的安全存储设备,其中所述安全存储控制器在与所述受信任第三方设备或目标安全存储设备的相互认证期间、或作为嵌入在被传输到所述目标安全存储设备的数字数据中的数据,将所述标识符传输到所述受信任第三方设备或所述目标安全存储设备。
13.如权利要求9所述的安全存储设备,其中所述安全存储控制器还被配置为确定源安全存储设备是否被授权来向所述安全存储设备发送包括如果未被授权的话则不可由所述源安全存储设备传输的安全数据的数字数据,以及如果是,在所述安全存储设备和所述源安全存储设备或所述受信任第三方设备之间建立安全信道,并通过各自的安全信道直接从所述源安全存储设备或经由所述受信任第三方设备接收所述源安全存储设备的数字数据。
14.如权利要求13所述的安全存储设备,其中,如果从所述源安全存储设备接收的数字数据可用,则所述安全存储控制器还被配置为禁用所述安全存储设备,使得从所述源安全存储设备接收的数字数据被呈现不可用。
15.如权利要求14所述的安全存储设备,其中通过如下中的任何一个来使所述源安全存储设备中的数字数据不可用:改变所述安全存储设备中的数字数据、修改所述安全存储设备的属性、或者配置从所述源安全存储设备拷贝到所述安全存储设备的数字数据。
16.如权利要求15所述的安全存储设备,其中所述安全存储控制器还被配置为通过使所述安全存储设备中的不可用的数字数据可用,来将所述安全存储设备准备为用作备份安全存储设备。
17.如权利要求16所述的安全存储设备,其中通过恢复所述安全存储设备中的数据来使所述安全存储设备中的数字数据可用。
18.如权利要求16所述的安全存储设备,其中作为准备所述安全存储设备以作为备份安全存储设备来操作的一部分,所述安全存储控制器将所述源安全存储设备的标识符发送给所述受信任第三方设备,以由所述受信任第三方设备将所述标识符发布给所述源安全存储设备的主机,使得存储在所述源安全存储设备中的数字数据不可用。
19.一种使用第三方设备在安全存储设备处备份数字数据的方法,包括:
认证目标安全存储设备,所述目标安全存储设备包含源自源安全存储设备的数字数据,所述数字数据包括不可传输到未授权设备的安全数据;
与被认证的目标安全存储设备建立安全信道;
在第三方设备处,禁用所述源安全存储设备以使存储在其中的数字数据不可用;
在第三方设备处,经由所述被认证的目标安全存储设备接收所述源安全存储设备的标识符,其中该标识符可被第三方设备用来禁用所述源安全存储设备;以及
通过所述安全信道启用所述目标安全存储设备,以使所述目标安全存储设备中的数字数据可用,其中启用所述目标安全存储设备包括恢复所述目标安全存储设备的属性或所述目标安全存储设备的配置。
20.如权利要求19所述的方法,其中,所述标识符被嵌入不可用数字数据中。
21.如权利要求19所述的方法,其中恢复所述目标安全存储设备的属性通过使用第三方设备进行。
22.如权利要求19所述的方法,其中,将所述数字数据从所述源安全存储设备拷贝到所述目标安全存储设备之前、期间或之后,使所述目标安全存储设备中的数字数据不可用。
23.如权利要求19所述的方法,其中,通过如下中的任何一个来使所述目标安全存储设备中的数字数据不可用:在数字数据正在被传输到目标安全存储设备时或之前改变所述数字数据、修改所述目标安全存储设备的属性、或者配置在所述安全存储设备的数字数据。
24.如权利要求19所述的方法,还包括:在建立安全信道之前,确定源安全存储设备是否被授权将由目标安全存储设备备份。
25.如权利要求24所述的方法,还包括:确定目标安全存储设备是否被授权来备份源安全存储设备。
26.如权利要求19所述的方法,其中通过发布源安全存储设备的标识符来禁用所述源安全存储设备。
27.如权利要求26所述的方法,还包括:在通过安全信道启用目标安全存储设备之前,使得目标安全存储设备中的数字数据不可用
28.如权利要求19所述的方法,其中数字数据通过安全信道被传输到目标存储设备。
29.如权利要求19所述的方法,其中所述受信任第三方设备在目标安全存储设备已经被启用之后接收所述标识符。
30.如权利要求19所述的方法,还包括:响应于来自末端用户和用户应用中至少一个的请求发布所述标识符。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/185,728 | 2008-08-04 | ||
US12/185,728 US9075957B2 (en) | 2008-08-04 | 2008-08-04 | Backing up digital content that is stored in a secured storage device |
PCT/IB2009/006292 WO2010015904A2 (en) | 2008-08-04 | 2009-07-20 | Backing up digital content that is stored in a secured storage device |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102084373A CN102084373A (zh) | 2011-06-01 |
CN102084373B true CN102084373B (zh) | 2015-04-01 |
Family
ID=41328459
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200980125995.1A Active CN102084373B (zh) | 2008-08-04 | 2009-07-20 | 备份存储在安全存储设备中的数字内容 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9075957B2 (zh) |
EP (1) | EP2318973A2 (zh) |
KR (1) | KR101657613B1 (zh) |
CN (1) | CN102084373B (zh) |
TW (1) | TW201009637A (zh) |
WO (1) | WO2010015904A2 (zh) |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7975140B2 (en) * | 2005-04-08 | 2011-07-05 | Nortel Networks Limited | Key negotiation and management for third party access to a secure communication session |
US8166220B2 (en) * | 2008-08-04 | 2012-04-24 | Sandisk Il Ltd. | Device for connection with a storage device and a host |
JP4809413B2 (ja) * | 2008-10-08 | 2011-11-09 | 株式会社日立製作所 | ストレージシステム |
US8438624B2 (en) * | 2009-03-03 | 2013-05-07 | Hewlett-Packard Development Company, L.P. | Systems and methods of modifying system resources |
US8752193B2 (en) * | 2009-11-16 | 2014-06-10 | Sandisk Technologies Inc. | Content binding at first access |
US9836370B2 (en) * | 2010-11-18 | 2017-12-05 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Backup memory administration using an active memory device and a backup memory device |
US8886904B2 (en) * | 2011-04-14 | 2014-11-11 | Kaminario Technologies Ltd. | Managing a solid-state storage device |
TW201427366A (zh) | 2012-12-28 | 2014-07-01 | Ibm | 企業網路中為了資料外洩保護而解密檔案的方法與資訊裝置 |
US9729517B2 (en) * | 2013-01-22 | 2017-08-08 | Amazon Technologies, Inc. | Secure virtual machine migration |
US10063380B2 (en) | 2013-01-22 | 2018-08-28 | Amazon Technologies, Inc. | Secure interface for invoking privileged operations |
CN103150524B (zh) * | 2013-01-30 | 2016-01-13 | 华中科技大学 | 一种安全存储器芯片、系统及其认证方法 |
US8949975B2 (en) | 2013-03-07 | 2015-02-03 | Kabushiki Kaisha Toshiba | Secure data access in hybrid disk drive |
PT3028213T (pt) * | 2013-07-31 | 2022-07-20 | Hewlett Packard Development Co | Proteção de dados na memória de um produto consumível |
US9686251B2 (en) * | 2013-09-17 | 2017-06-20 | Igt Uk Interactive Ltd. | Devices and techniques for controlling disclosure of sensitive information |
TW201619866A (zh) | 2014-11-20 | 2016-06-01 | 萬國商業機器公司 | 客製化資訊設備的方法 |
CN106650511A (zh) * | 2016-02-01 | 2017-05-10 | 天固科技(杭州)有限公司 | 一种提高加密系统加密性能的方案 |
US9842154B2 (en) | 2016-04-29 | 2017-12-12 | Netapp, Inc. | Secure data replication |
KR20190063054A (ko) | 2017-11-29 | 2019-06-07 | 삼성전자주식회사 | 메모리 시스템 및 이의 동작 방법 |
TWI718525B (zh) * | 2019-04-26 | 2021-02-11 | 英屬維爾京群島商伊格拉斯控股有限公司 | 應用於安全製造的控管系統及其方法 |
CN110414192B (zh) * | 2019-06-14 | 2023-09-26 | 尚承科技股份有限公司 | 应用于安全制造的控管系统及其方法 |
CN110275800B (zh) * | 2019-06-20 | 2021-06-08 | 深圳忆联信息系统有限公司 | Ssd数据物理备份方法、装置、计算机设备及存储介质 |
CN110471794A (zh) * | 2019-07-23 | 2019-11-19 | 深圳康佳电子科技有限公司 | 支持数据备份的网络存储方法、系统及存储介质 |
CN110807186B (zh) * | 2019-11-06 | 2022-04-15 | 杭州华澜微电子股份有限公司 | 一种存储设备安全存储的方法、装置、设备和存储介质 |
CN111078645A (zh) * | 2019-12-17 | 2020-04-28 | 深圳科诺医学检验实验室 | 一种计算机数据的异地备份方法及装置 |
WO2021168825A1 (en) | 2020-02-28 | 2021-09-02 | Innogrit Technologies Co., Ltd. | Systems and methods for evaluating storage medium |
CN112882651A (zh) * | 2021-01-07 | 2021-06-01 | 浙江大华技术股份有限公司 | 一种数据处理方法、设备及计算机可读存储介质 |
US11496482B2 (en) * | 2021-03-04 | 2022-11-08 | Oracle International Corporation | Methods and systems for memory tracing in asset management systems |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5715403A (en) * | 1994-11-23 | 1998-02-03 | Xerox Corporation | System for controlling the distribution and use of digital works having attached usage rights where the usage rights are defined by a usage rights grammar |
EP1601214A1 (en) * | 2004-05-28 | 2005-11-30 | Kabushiki Kaisha Toshiba | Information terminal device and content backup method |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3204829B2 (ja) | 1994-01-10 | 2001-09-04 | 富士通株式会社 | 移動通信方法とそれを実現する移動電話交換局、顧客管理システム、及び移動機 |
US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
US7237123B2 (en) | 2000-09-22 | 2007-06-26 | Ecd Systems, Inc. | Systems and methods for preventing unauthorized use of digital content |
US20020080190A1 (en) | 2000-12-23 | 2002-06-27 | International Business Machines Corporation | Back-up and usage of secure copies of smart card data objects |
US7240219B2 (en) | 2003-05-25 | 2007-07-03 | Sandisk Il Ltd. | Method and system for maintaining backup of portable storage devices |
EP1545084B1 (en) | 2003-12-18 | 2011-06-01 | Research In Motion Limited | System and method for digital rights management |
US7613480B2 (en) | 2003-12-31 | 2009-11-03 | At&T Mobility Ii Llc | Multiple subscription subscriber identity module (SIM) card |
CN100368999C (zh) | 2004-01-08 | 2008-02-13 | 松下电器产业株式会社 | 内容管理装置和内容管理方法 |
US20060248352A1 (en) | 2005-04-27 | 2006-11-02 | Sbc Knowledge Ventures, L.P. | Method and system of securing electronic data |
JP4786222B2 (ja) | 2005-05-11 | 2011-10-05 | 株式会社エヌ・ティ・ティ・ドコモ | ディジタル権利管理システム、コンテンツサーバおよび携帯端末 |
US20070067403A1 (en) * | 2005-07-20 | 2007-03-22 | Grant Holmes | Data Delivery System |
US7899662B2 (en) | 2005-10-12 | 2011-03-01 | Storage Appliance Corporation | Data backup system including a data protection component |
US20070248311A1 (en) * | 2006-03-31 | 2007-10-25 | Nathaniel Wice | System and method for transferring data between electronic data storage devices |
US8984652B2 (en) | 2006-07-28 | 2015-03-17 | Sony Corporation | Transfer of digital rights management information |
US8423794B2 (en) | 2006-12-28 | 2013-04-16 | Sandisk Technologies Inc. | Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications |
US8966580B2 (en) | 2008-05-01 | 2015-02-24 | Sandisk Il Ltd. | System and method for copying protected data from one secured storage device to another via a third party |
US8189794B2 (en) * | 2008-05-05 | 2012-05-29 | Sony Corporation | System and method for effectively performing data restore/migration procedures |
US8245308B2 (en) * | 2008-06-04 | 2012-08-14 | Microsoft Corporation | Using trusted third parties to perform DRM operations |
-
2008
- 2008-08-04 US US12/185,728 patent/US9075957B2/en active Active
-
2009
- 2009-07-20 CN CN200980125995.1A patent/CN102084373B/zh active Active
- 2009-07-20 EP EP09786029A patent/EP2318973A2/en not_active Withdrawn
- 2009-07-20 KR KR1020117000169A patent/KR101657613B1/ko active IP Right Grant
- 2009-07-20 WO PCT/IB2009/006292 patent/WO2010015904A2/en active Application Filing
- 2009-07-21 TW TW098124590A patent/TW201009637A/zh unknown
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5715403A (en) * | 1994-11-23 | 1998-02-03 | Xerox Corporation | System for controlling the distribution and use of digital works having attached usage rights where the usage rights are defined by a usage rights grammar |
EP1601214A1 (en) * | 2004-05-28 | 2005-11-30 | Kabushiki Kaisha Toshiba | Information terminal device and content backup method |
Also Published As
Publication number | Publication date |
---|---|
US20100030982A1 (en) | 2010-02-04 |
TW201009637A (en) | 2010-03-01 |
WO2010015904A3 (en) | 2010-04-01 |
US9075957B2 (en) | 2015-07-07 |
KR20110055510A (ko) | 2011-05-25 |
CN102084373A (zh) | 2011-06-01 |
WO2010015904A2 (en) | 2010-02-11 |
KR101657613B1 (ko) | 2016-09-30 |
EP2318973A2 (en) | 2011-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102084373B (zh) | 备份存储在安全存储设备中的数字内容 | |
US8966580B2 (en) | System and method for copying protected data from one secured storage device to another via a third party | |
CN101908106B (zh) | 具有通用内容控制的存储设备 | |
CN101819612B (zh) | 具有分区的通用内容控制 | |
EP1942430B1 (en) | Token Passing Technique for Media Playback Devices | |
CN101490689B (zh) | 用于由存储装置验证实体的方法及使用该方法的存储装置 | |
US8423794B2 (en) | Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications | |
US20090276474A1 (en) | Method for copying protected data from one secured storage device to another via a third party | |
JP4668619B2 (ja) | 装置鍵 | |
CN101361076B (zh) | 用于媒体内容的安全存储和传递的移动存储器系统 | |
CN101120355B (zh) | 用于控制在存储器装置中存取的方法 | |
AU2020244511B2 (en) | Balancing public and personal security needs | |
US20080104706A1 (en) | Transferring a data object between devices | |
CN102906755A (zh) | 利用证书撤销列表的内容控制方法 | |
TW201214122A (en) | Controller, control method, computer program, recording medium for computer program, recording apparatus, and manufacturing method for recording apparatus | |
US20180131677A1 (en) | Balancing public and personal security needs | |
US20220141014A1 (en) | Storing secret data on a blockchain | |
CN1322431C (zh) | 基于对称密钥加密保存和检索数据 | |
KR20090052321A (ko) | 다기능 제어 구조를 이용하는 콘텐트 제어 시스템과 방법 | |
CN111586065A (zh) | 一种基于区块链的数据授权方法 | |
CN113574828A (zh) | 一种安全芯片、安全处理方法及相关设备 | |
TWM540328U (zh) | 內建智慧安全行動裝置 | |
JP5180264B2 (ja) | 装置鍵 | |
AU2016429414A1 (en) | Balancing public and personal security needs | |
KR20170100235A (ko) | 공인 인증서 보안 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: Israel Kfar Saba Patentee after: Western data Israel Limited Address before: Israel saaba Patentee before: SANDISK IL Ltd. |
|
CP03 | Change of name, title or address |