TW201009637A

TW201009637A - Backing up digital content that is stored in a secured storage device

Info

Publication number: TW201009637A
Application number: TW098124590A
Authority: TW
Inventors: Rotem Sela; Aviad Zer
Original assignee: Sandisk Il Ltd
Priority date: 2008-08-04
Filing date: 2009-07-21
Publication date: 2010-03-01
Also published as: CN102084373B; WO2010015904A2; KR20110055510A; CN102084373A; US20100030982A1; WO2010015904A3; KR101657613B1; US9075957B2; EP2318973A2

Description

201009637 六、發明說明：【發明所屬之技術領域】本發明概言之係關於儲存裝置且更特定而言係關於一種用於直接或經由一第三方將一個安全儲存裝置（「ssd」）之安全數位資料（例如數位權利管理（「DRM」）保護多媒'"體内容（例如，聲訊、電影及遊戲）備份於另一個SSD中之方法、及一種使用該資料備份方法之系統。【先前技術】存在若干類型之阻止對為回放數位内容所需之安全資料之未經授權複製之保護機構。運作安全資料所需之數位内容在下文中稱作「受保護數位資料」或簡稱為「受保護資料」。支配回放數位内容之方式之使用規則係實例性安全資料。一些保護機構通常被不精確地稱作且認為一種類型之數位權利管理（「DRM」）。已作出相當大的努力以阻止自一個電子裝置至另一個電子裝置之數位内容複製。舉例而吕，用於iPod裝置之儲存裝置包括一保護機構，該保護機構禁止音樂或視聽内容自一個ip〇d裝置傳送至另一個 iPod裝置，以阻止對受保護資料之未經授權複製。當前，该等保護機構亦阻止將一個SSD之受保護資料備份於另一個SSD中。此意謂一 SSD之全部數位内容無法備份於另一 SSD中’此乃因—SSD之數位内容即使複製至另一 ss]D亦無法在不具有連同該數位内容複製至該另一 SSD之相關安全資料的情況下在該另一SSD上回放。快閃記憶體裝置係實例性SSD。SIM(「訂戶識別模 141641.doc 201009637 組」）卡、megaSIM卡及通用串列匯流排（「USB」）快閃驅動益（「UFD」）係實例性快閃記憶體裝置。SIM卡安全地儲存用於識別—訂戶之服務·訂戶關鍵資料。SIM卡使得使用者能夠藉由簡單地自-個電話移除該SIM卡並將其插入至另一個電話中來更換電話。

當前，儲存於快閃儲存裝置中之數位内容受一習知為「可信快閃」之技術保護。「可信快閃」（TF)係—使得消費者能夠在用於行動電話、膝上型電腦、pDA及其他相容裝置之快閃記憶卡上購買多媒體内容（例如音樂、電影及遊戲）之資料儲存技術。音樂製作者及電影製片廠以及其他多媒體内容創作者及提供商更願意在可信產品（本文中亦稱作「被支援裝置」）上發行多媒體内容，此乃STF技術提供其所需之安全性及 DRM解決方案。一 DRM解決方案涉及對電子裝置（例如，行動電話、iPod)強制實施一 drm政策組對電子裝置所施加之限制條件，其「。一 DRM政策係一告訴」電子裝置其可對什麼樣的數位内容進行什麼樣的操作。舉例而言，一種政策規則可允許電子裝置播放一特定歌曲僅η次（例如3 人）另種政策規則可禁止複製數位内容；另一種政策規則可允許僅由-敎電子裝置來重放—數位資料流等等。消費者將能夠例如經由其行動電話或個人電腦 (「pc」）使用線上數位音樂服務來下載受保護數位内容。可信快閃使得消費者能夠在被支援裝置中使用其所講買之多媒體内容。可信快閃技術授權記憶卡本身為數位權利 14164 丨.doc 201009637 官理者，從而賦予下將儲存裝置及其内、、不知害其内容保護系統之情況信快閃卡可用作非二送至其他被支援裝置之自由。可市場上：機裝置中之常規記憶卡。市％上存在具有多種多樣的儲存元組至8十億位元組㈠如’ 512百萬位及mt存^裝置，包括謂記憶卡受保護多媒體内容，出於…―儲存於一SSD中之容(例如珍貴昭片及視,二：面記錄有重要數位内貞…片及視聽崎)之原始SSD將被盜或才貝壞，則該重要數位内容將被丟失。 =上’安全機構旨在使將受保護資料自—個ss〇備份個SSD，甚至將一個SSD之受保護資料複製至另一個灿成為不可能。此在一些安全儲存裝置中具有甚至該觉保護資料之-經授權擁有者或被許可方亦無法將一個 SSD之原始數位内容備份於另—個ssd中之不幸結果。【發明内容】口此具有將促進將一個SSD數位内容之安全資料備份於另一個SSD中，且將使得一SSD能夠信任一第三方以這樣一種方式將其多媒體内容（包括關聯安全資料）備份於一備份SSD中之方法及系統將係有利的一當該多媒體内容需要在該原始SSD與該備份SSD之間交換時，其將可以相同於其原來在該原始SSD上之方式用於該備份SSD上。因此，使得一 SSD能夠信任另一 SSD或一第三方以下述方式保存其數位内容及相關安全及/或敏感資料之一備份複本將係有益的：該數位内容及相關安全及敏感資料之該 141641.doc -6- 201009637 備份複本將服從相對於其使用之嚴格規則。各實施例經設計以實施此功能，此功能之實例提供於本文中。結合系統、工具及方法闡述並圖解說明以下實例性實施例及其態樣，該等實例性實施例及其態樣意欲為例示性及闡釋性而非限制範疇。根據本揭示内容，一 SSD之數位資料（其包括安全資料）可由及經由一可信第三方（該可信第三方在下文中簡稱為「第二方」）通信至另一 SSD以供備份。該SSD之數位資料亦可在該第三方的監督下直接通信至另一 SSD以供備份。若一第一SSD(即，一「源SSD」）之數位資料由及經由一第二方通信至一第二SSD(即，一「目的地SSD」）以供備份’則該第三方在該源SSD(即，其數位資料需要備份之 SSD)與該目的地SSD之間建立一虛擬安全通道藉由該通道该第二方自該源SSD讀取數位資料並將所讀取數位資料寫入至該目的地SSD中。該虛擬安全通道經建立且該數位資料在該第三方、源SSD及目的地SSD滿足備份資格先決條件之後（即’在每一方被對方發現經授權以向對方發送該數位資料或自對方接收該數位資料之後，視情況而定）藉由該虛擬安全通道傳送。若該源SSD之數位資料直接通信至該目的地SSD以供備份，則在該源SSD與該目的地 SSD之間建立—直接安全通道，經由該直接安全通道該目的地SSD在確定每一方（即，該源SSD及該目的地SSD)皆滿足備份資格先決條件之後自該源SSD讀取數位資料。在該數位資料寫入至該目的地SSD中之後，該第三方暫 141641.doc 201009637 時停用該目的地SSD，且在該第三方接收到一備份請求時或回應於此，停用該源SSD並啟用該目的地SSD。若該源 SSD被盜取、丟失或損壞，則一備份請求可由一使用者或由一使用者應用程式發起。該第三方停用一被盜取、丟失或損壞之源SSD以使該源SSD無法由任何裝置使用。若該源SSD之數位資料欲直接（但在一第三方之監督下）由該目的地SSD備份，則該源SSD之數位資料直接（即，在沒有該第三方之干預之情況下）複製至該目的地SSD且該第三方僅處理上文所提及與下文所述之啟用/停用態樣。提供一種用於使一 SSD準備好作為一備份SSD之方法。該SSD可例如係一 USB快閃驅動器、一 SD卡及諸如此類。該方法包括：確定一源SSD是否經授權以傳遞欲由一目的地SSD備份之安全資料，該源SSD含有包括若該源SSD未經授權則不可由該源SSD傳送之安全資料之數位資料；並確定該目的地SSD是否經授權以自該源SSD備份安全資料。若該源SSD經授權以使其中之安全資料由該目的地 SSD備份且該目的地SSD經授權以自該源SSD備份安全資料，則在該源SSD與該目的地SSD之間建立一安全通道，並經由該安全通道將來自該源SSD之數位資料複製至該目的地SSD以使該目的地SSD中之該數位資料之該複本不可用直至該目的地SSD被啟用為止。可使該目的地SSD中之該數位資料之該複本變得不可由該源SSD、由該目的地SSD、由彼此合作的雙方或由一第三方使用。可使該目的地SSD中之該數位資料之該複本在 141641.doc 201009637

將該數位資料自該源S SD複製至該目的地s SD之前、期間或之後變成不可用。可藉由以下操作中之任一操作來使該目的地SSD中之該數位資料之該複本變成不可用：⑴在該數位資料複製至該目的地SSD之前或時改變該數位資料； (11)修改該目的地SSD之一屬性；及（iii)組態該目的地SSD 處之該經複製數位資料’或對複製至該目的地SSD之資料應用一不可用組態。該源SSD是否經授權以由該目的地SSD備份之確定可由該目的地SSD或由該第三方進行，且該目的地SSD是否經授權以備份該源SSD之確定可由該源SSD或由該第三方進行。該方法可進一步包括一藉由下述方式來使該目的地SSD 準備好用作一備份SSD之步驟：停用該源SSD以使該源 SSD之數位資料變得不可用’並啟用該目的地SSD以使複製至其之數位資料變得可用。停用該源SSD係例如藉將該源SSD之一識別符公佈至一第三方來實現，且由該第三方來啟用該目的地SSD包括該第三方恢復或還原該目的地 SSD中之資料、或該目的地SSD之一屬性、或該目的地 SSD之一組態。該源SSD之該識別符可在相互鑑別期間或在資料嵌入於自該源SSD複製至該目的地SSD並隨後複製至該第三方之數位資料中時自該源SSD傳送至該目的地 SSD ^另一選擇係，該源SSD之該識別符可在相互鑑別期間或在資料嵌入於自該源SSD複製至該第三方之數位資料中時自該源SSD直接傳送至該第三方。該方法可進一步包 14164】 .doc 201009637 括一由該源SSD或由該目的地SSD接收一由一使用者應用程式發起以將該源SSD之數位資料備份於該目的地SSD中之備份請求之步驟。該方法可進一步包括一其中該源SSD確定該第三方是否經授權以自該源SSD接收該數位資料之步驟。若該源SSD 經授權以被備份且該第三方經授權以自該源SSD接收該數位資料’則在該源SSD與該第三方之間建立一第一安全通道，並藉由該第一安全通道來將該數位資料自該源SSD複製至該第三方。若使用一第三方來將該數位資料自該源 SSD複製至該目的地SSD，則該第三方確定該目的地ssd 是否經授權以接收該數位資料，在此情況下，該目的地 SSD需要在允許該第三方向該目的地SSD發送該數位資料之刚確定该第二方是否有資格向該目的地SSD發送該數位資料。亦提供一種用於將一個S S D之數位資料備份於另一個 SSD中之第三方。該第三方包括—鑑別管理器該鑑別管理器經組態以：⑴鑑別一含有一起源於一源ssd之不可用數位資料之目的地SSD，該數位資料包括不可至盔格裝置之受保護資料；及（ii)與該經鑑別目的地ssd建立一安全通道。該第三方亦包括_儲存裝置組態器，該儲存裝置組態器適於：⑴停用該源SSD以使儲存於其中之數位資料變成或變得不可用，並（ii)藉由該安全通道來啟用該目的地SSD以使該目的地SSD中之數位資料可用。該儲存裝置組態器可藉由恢復或還原該目的地咖中之 141641.doc •10· 201009637 一經修改資料、或該目的地SSD之一經修改屬性、或該目的地SSD之一經修改組態來啟用該目的地SSD ^該儲存裝置組態器可進一步經組態以經由該目的地SSD接收該源 SSD之一識別符，並將該識別符公佈至一代管該源ssd之主機，從而停用該源SSE^另一選擇係，該第三方可在嵌入於該第三方自該源SSD接收之數位資料中時或在與該源 SSD之相互鑑別期間直接自該源SSD獲得該源ssd之識別

符。該第三方在其自該源SSD接收該數位資料之前由該源 SSD鑑別，且該第三方藉由一安全通道自該源ssd接收該數位資料。另夕卜，該第三方在其自該源SSD接收該數位資料之前鑑別該源SSD。該第三方進一步包括一自該源SSD讀取該數位資料並將該所讀取數位資料寫人至該目的地SSD中之f料讀取/寫入機構。 …

該數位資料可在確定該第三之後自該源SSD複製至該第三經授權以接收該數位資料之後 SSD。方經授權以接收該數位資料方，並在確定該目的地SSD 自該第三方複製至該目的地一⑽亦經提供以促進將其受保護資料備份於-目的地則中。該SSD包括-其中儲存或可儲存數位資料之大容量儲存區，該數位資料包括不可傳送至無資格裳置之受保護育料。該SSD亦包括一安全儲存控制器，該安全儲存控制器經組態以確定-目的地咖或—第三方是否有資工 141641.doc -II - 201009637 其接收該數位資料，且衫，則在該安全儲存控制器與該目的地SSD之間，或在該SSD與該第三方之間建立—安八通道。該安全儲存控制器亦經組態以藉由—對應安全= 直接或經由該第三方將該數位㈣傳送至該目的地咖以供備份。該安全儲存控制器進-步經組態以停用該目的地⑽以使該所傳送數位資料變成或變得不可用。該安全儲存控制器可使該所傳送數位資料在該SSD將該數位資料傳送至該目的地SSD或傳送至該第三方之前、期間或之後變成或變得不可用。該安全儲存控制器進一步經組態以直接或經由該目的地 SSD將該源SSD之一識別符傳送至該第三方，以便該識別符由該第三方用來停用該SSDe該安全儲存控制器可在與該第二方或目的地SSD之相互鑑別期間或在嵌入於該所傳送數位資料中時將該識別符傳送至該第三方，或傳送至該目的地SSD。該安全儲存控制器可在其確定該第三方或該目的地SSD 有資格接收該數位資料之後將該數位資料傳送至該第三方，或傳送至該目的地SSD。根據本揭示内容’該SSD可在一個時間用作一源SSD而在另一個時間用作一目的地SSD。用作一目的地SSD，該 SSD之安全儲存控制器進一步經組態以⑴向一源SSD或向該第三方證明該SSD(其此刻用作一目的地SSD或備份SSD) 備份該源SSD之資格，且在證明該SSD之資格時、之後或 141641.doc -12· 201009637

，或在該SSD與該第三方之間建立一安全由一對應安全通道直接自該源SSD或經由該第一安全回應於此，與該源SSD: 通道，並藉由一三方（不管屬於哪種情況）接收該數位資料。 • 若自該源SSD所接收之數位資料可用，則該安全儲存控、制器進v呈組態以停用該SSD以使該所接收數位資料變成或變得不可用。該安全儲存控制器可藉由以下操作令之 φ 任一操作來使該所接收數位資料變成或變得不可用：⑴改變該SSD中之該所接收數位資料；（ii)修改該ssd之一屬性；或（iii)對複製至該SSD之該資料應用一不可用組態。

該安全控制器進一步經組態以藉由下述方式使該s s D準備好用作一備份SSD :還原該SSD中之該經改變資料或該目的地SSD之該經修改屬性，或應用或恢復該目的地SSD 之一可用組態，藉此使該SSD中之該數位資料變成或變得可用。 • 該安全儲存控制器可進一步經組態以接收該源SSD之一識別符。作為該SSD用作一備份SSD之準備之一部分，該安全儲存控制器可向該第三方發送該源SSD之該識別符以便該源SSD識別符由該第三方用來停用該源SSE)，以使儲存於該源SSD中之該數位資料變成或變得不可用。作為該SSD用作一備份SSD之準備之一部分，該安全儲存控制器將該源SSD之該識別符公佈至一代管該源SSD之主機’以讓該主機「知道」儲存於該源SSD中之該數位資料不再合法（此乃因該備份SSD已被用來代替該源SSD)， 141641.doc -13- 201009637 且因此，對該源SSD之使用已被禁止，其結果係儲存於該源SSD中之該數位資料不可用。除上述實例性態樣及實施例之外，藉由參考圖式並研究下文詳細說明，將明瞭其他態樣及實施例。【實施方式】藉由參考對本發明之實例性實施例之當前詳細說明，將 - 更好地理解下文申請專利範圍。此說明並不意欲限制申請 . 專利範圍之範疇’相反其提供本發明之實例。根據本揭示内容，一源SSD之安全多媒體内容（本文中亦魯稱作「受保護數位内容」及「受保護資料」）可由及經由一第二方、或直接（但在一第三方的監督下）備份於一目的地S S D中。該第二方具有可係鑑別憑證及鑑別密餘之鐘別手段，以使得其能夠向該源SSD並向該目的地SSD表明身伤，並用於向該源SSD證明其經授受以自其接收作為儲存於該源SSD中之數位資料之一部分之受保護資料。該第三方亦具有鑑別憑證及鑑別密鑰以使得該第三方能夠識別 SSD，並另外，能夠「知道」一源SSD是否經授權以由—鑄目的地SSD備份且一目的地SSD是否經授權以備份該源 SSD ° . 該第三方（其係一可信電腦系統或一可信應用程式）可係 ‘ 本端或遠端的（至少從一個SSD之觀點出發）且其可獨立地伺服多個本端或遠端SSDe 「第三方」係指任何電腦系統或應用程式，其經組態以在嚴格規則下將數位内容自一源 SSD傳送至一目的地SSD以保護受保護資料及一般而言敏 141641.doc -14· 201009637 感資料之機密性，並賦予該目的地SSD原先由該源SSD對其數位資料強制實施之安全等級。為了促進DRM及額外或替代安全特徵，將打卡之記憶空間分割成若干分區，如下文所述之圖丨中所展示。

圖1顯示一根據相關技術之實例性安全儲存裝置（ssd) 100。SSD 1〇〇包括一可為一NAND快閃品種之大容量儲存區108。SSD 1〇〇亦包括一安全儲存控制器14〇，該安全儲存控制器經由資料及控制線106來管理大容量儲存區1〇8並經由一主機介面102來與一主機裝置15〇通信。安全儲存控制器140藉由控制例如「讀取」、「寫入」及「抹除」操作、耗損均勻等等來控制大容量儲存區1〇8 置Μ 之間的資料…量儲存㈣包括一使用者儲=:5〇一受限儲存區120及一安全管理儲存區13〇。若大容量儲存區108為一 NAND快閃品種，則受限儲存區12〇稱作一「隱藏儲存區」，且安全管理儲存區13G稱作_「安全儲^ 區」。丨又π項·爾脊區110 儲存於使用者儲存區110中之資料可公開提供，此意言儲存於使用者儲存區11G巾之資料可無條件地提供給⑽ 100之一使用者並提供給任何外部實體㈠列如，主機裝】 15〇)’而不管該主機之身份如何。㈣，儲存於使用者隹存區U〇中之數位資料可包括可由—主機裝置自SSD 100句取或自SSD 100複製至一主擒壯主機1裝置（例如，複製至主機裝j _並原樣使糊如，由主機裝置㈣喊），*該主機菜 141641.doc -15· 201009637 置無需向SSD 100證明身份之資料。使用者儲存區ιι〇可保存例如多媒體内容、視聽内容等等。使用者儲存區110亦可包括只有在一主機裝置亦得到向該主機裝置指示如何使用受保護資料之使用規則時才可由該主機裝置使用之受保護資料。無法得到此等規則，該主機裝置將不能使用該受保護資料。只有向SSD 100證明/身份之主機裝置才可得到使用規則’如下文結合受限儲存區 120及安全管理儲存區13〇所述。受限儲存區120 受限儲存區12G可保存表示或相關於例如關聯於保存於使用者儲存區110中之數位資料之使用權之受限資料（及視情況元資料及資訊）。儲存於受限儲存區12〇中之受限資料可僅由經授權裝置存取。表示DRM規則之資料係實例性受限資料，此乃因其支配數位内容之使用，且例如其旨在僅用於經授權裝置。「受保護資料」係指任何儲存於一 SSD中但只可内部 (即，由該SSD之控制器）或由外部經授權裝置存取之資料、檔案、應隸式或常式。此資料、㈣、制程式或常式至一外部裝置（例如主機装置15〇)之傳送可被禁止或該資料、檔案、應用程式或常式可被允許傳送或複製至另一裝置但在該外部裝置不使用正確手段（例如，解密密鑰）來存取或使用該資料、檔案、應用程式或常式之情況下在該外部裝置上無用。安全管理儲存區13〇 141641.doc -16· 201009637 一般而言，一安全管理儲存區可含有對有權存取一儲存裝置之受限儲存區之裝置之鑑別密鑰。重新參見圖i，儲存於安全管理儲存區130中之資料（下稱「安全資料」）只可提供給安全儲存控制器140以用於内部過程（例如，鑑別）但 . 不可提供給主機裝置150或提供給該主機裝置之使用者。、料於安全管理儲存區130中之安全資料T包括例如系統之韌體、任一資料類型之操作參數（例如，加密及解密密參鑰、證明身份之數位鑑別憑證、SSD 100及外部裝置之容量及特權）、及其他需要受到保護以防不受約束的存取之資料，若其儲存於使用者儲存區丨1〇中，則情況就是這樣。裝置（例如，媒體播放器及行動電話）之鑑別憑證對安全儲存控制器14G指定有權使用保存於受限储存區12〇令之資料之裝置，且儲存於安全管理儲存區13〇中之加密/解密密鑰可由安全儲存控制器140用來加密並解密儲存於SSD 100中之資料。保存於安全管理儲存區13〇中之安全資料通鲁常相關於女全應用程式或相關於安全常式。女王應用程式傳統上旨在僅對上面載入該安全應用程式之SSD起作用。舉例而言’-安全應用程式可藉由使用 • °亥女王儲存器之一序號或其他資料（例如，一隱匿號碼）來產生人眭通行碼，且隨後提交該等通行碼以用於登錄或 2證-使用者或使用者之帳戶。此僅係—實例且任意數里的用於安全或其他功能之演算法可至少部分地基於鍺存裝置敎資料。安全應用程式可由-使用者隨著時間載入0 141641.doc •17- 201009637 數位資料之安全性可由SSD 1〇〇系統之韌體及/或硬體、由加密/解密密鑰、及/或由安全應用程式來提供。在一些情況下，複製保護内容係加密的且儘管該加密内容可自受限儲存區120複製至另一裝置或應用程式，但其無法由= 一裝置或應用程式解密，除非另一裝置或應用程式由“Ο 100鑑別且具有解密該加密内容之正確密鑰。安全儲存控制器利用安全常式及安全相關資料（例如，加密密鑰）來賦予SSD 100安全功能，此意謂例如ssd 100禁止對儲存於SSD 100中之受保護數位内容的非法使用及對其非法複本的產生。為了達到此目的，安全儲存控制器140基於保存於安全管理儲存區13〇中之安全資料（例如，密鑰、鑣別憑證、安全常式等等）來控制對保存於受限储存區12〇中之内容之存取1別可藉由使用私输基礎架構（PKI」）、對稱密餘、基於通行碼的方案或任何其他鑑別方案來執行。「PKI」係一習知安全範例。在密碼學中，瓜係一藉助 -憑證機構（CA)來將公鎗與相應使用者身份結合之配置。使用者身份必須對於每一CA係唯一@該結合係經由端視其具有之絲程度可在_CA處或在人的監督下由軟體實施之登記及發佈過程來建立。針對每_使用者，使用者身份、公瑜、其結合、有效條件及其他屬性無法被偽造，若其在由該CA所發佈之公鑰憑證中的話。 IS己置使得電腦使用者能夠在不預先接觸的情況下彼此鐘別並使用其公餘憑證中之公鑰資訊來加密彼此之間的 14l64i.doc 201009637 訊息。一般而言，一 PKI係由用戶端軟體、伺服器軟體、硬體（例如，智慧卡）、合法契約及保證、以及操作程序構成。一簽名人之公鑰憑證亦可由一第三方用來驗證一使用該簽名人之私鑰產生之訊息之數位簽名。一般而言一 ΡΚΙ使得一對話中之各方能夠建立機密性、訊息完整性及

使用者鑑別而無需預先交換任何秘密資訊，或甚至任何預先接觸。在密碼學中，一公鑰憑證（或身份憑證）係—併入一數位簽名以將一公鑰與身份資訊結合在一起之電子文件。該憑證可用於驗證__公瑜是否屬於-個體。在一典型 ΡΚΙ方案中，該簽名將為一憑證機構（CA)。 …、…且1丁$八谷罝爾；區 ⑽。亦^若主機裝置150要求或需要來自ssd⑽之資料’則主機裝置150必須向安全儲存控制器14〇請求該資料 < 而不管所請求f料保存於使用者儲存區1 1G中、健存 Γ又限儲存區m中、或者儲存於安全管理儲存區130中。 =機裝置150所請求之資料儲存於受限儲存區12〇中，則女全儲存控制器14〇藉 — 之安全資料h Μ用儲存於女全管理儲存區130中 •^女王資科來核對主料。櫸裝置150疋否經授權以得到彼資丄7 存於- 器UO通俨，且Α 裝置150與安全儲存控制存區1辦之資存控制器⑽利用儲存於安全管理儲使用者储存區I否有權使用保存於之媒體内容。若主機裝置!5〇有權使用 I41641.doc 19· 201009637 保存於使用者儲存區11G中之㈣心，則安全儲存控制器140允許主機裝置15G基於保存於受限儲存區1对之使用規則或限制條件來使用彼資料。若SSD 1〇〇用於一被支援裝置（其可係例如一刪播放器）’則儲存於文限儲存區120中之資料可由該被支援裝置使用但不可由該裝置之使用者存取。此限制之原因在於受限儲存區12G含有對外部裝置指定支配對該多媒體内容之使用之規則（DRM或其他規則）之敏感資料或資訊，且受限儲存區120變成不可由該SSD 1〇〇使用者存取從而不允許該使用者操縱或違反DRM權利或使用規則。將一個SSD之多媒體内容備份於另一個SSD中涉及將該多媒體内容自第一 SSD複製至另一 SSD。不過，複製該多媒體内容需要亦複製DRM權利、鑑別詳細資料（即，數位鑑別憑證、密鑰等等）及與該多媒體有關的其他資訊。然而’如上文所解釋，儲存於SSD 1〇〇之受限儲存區12〇中，此資訊（即，DRM權利、鑑別詳細資料等等）不可由該使用者存取’出於此原因即使該使用者也許在一些情況下能夠將所述多媒體内容複製至另一 SSD，另一 SSD亦將不能使用（例如，回放）所複製之多媒體内容。作為另一實例’可將與醫療或金融記錄相關之安全應用程式栽入SSD 100。此等應用程式可由安全儲存控制器140 單獨地或與主機裝置150之一處理器（未顯示於圖1中）結合來執行，且此等應用程式不僅處理機密資訊，而且處理用於加密並保護該安全儲存器之敏感内容之秘密資訊。因 -20- 201009637 此，SSD 100及主機裝置150可在功能上深互連並依賴SSD 100内之安全機構及資訊。在一些情況下，應用程式本身之安全機構利用安全儲存器特定資訊且將不對另一安全儲存器起作用。該等應用程式本身亦可係加密的及裝置特定的以阻止其被濫用（例如，被複製及篡改）。圖2示意性地圖解說明一資料備份系統200，該資料備份系統用於由及經由一第三方210來將一源SSD 250之受保護資料備份於一目的地SSD 26〇中。一般而言，系統2〇〇包括：一主機裝置系統205 ’其用於代管或含納源s Sd 250及目的地SSD 260以及其他或額外主機裝置；及一第三方 210，其以操作方式連接至主機裝置系統2〇5，實例性操作連接以虛線220及225顯示於圖2中。源SSD 250含有包括不可傳送至非法裝置、由非法裝置存取及由非法裝置使用之受保護資料之數位資料。亦即，一自一多媒體内容提供商經由一媒體播放器（例如MP3)或行動電話下載至一 SSD之數位内容通常旨在僅用於該數位内容載入至其之特定媒體播放器，且任何其他SSD皆視為非法裝置，因為其無法自任何其他SSD接收受保護資料，亦無法存取另一ssd中之此類資料或以任何方式使用此類資料。將該數位内容結合至該特定媒體播放器係藉由該ssd將使用規則（例如，DRM政策規則）結合至該數位内容並對該數位内容強制實施此等規則來進行。4 了阻止—未經授權裝置對該數位内容之使用，該SSD之安全儲存控制器不允許此等裝置（即’未經授權裝置）存取儲存於其受限儲存區 141641.doc -21 - 201009637 中並儲存於其安全官理儲存區+之使用規則及安全特徵。然而’-對應憑證可由一可信憑證機構（「CA」）發佈以「告訴」該等SSD存在一具有將一個SSD中之數位資料（包括受保護資料）備份於另—個SSD中的權限或授權之可信實體（即可L第二方）。一具有一備份數位資料之權限或授權之第二方稱作或認為「可信的」。視情況而冑，此一第一方可暫時保存一源SSD之數位内容之一備份複本直至該第三方將該備份複本傳送至該目的地ssd為止或該第三方可在一單個會話期間將該源SSD之數位資料傳送至該目的地SSD而不保持所備份數位内容之一複本。第三方210可由一服務提供商（例如服務提供商270)擁有右第二方21〇由服務提供商270擁有，則使用者將需要一與服務提供商270之服務協議以使得其能夠經由第三方 21〇將一個SSD(例如，源SSD 25〇)之全部數位資料（包括受保護資料）備份於另一個SSD(例如，目的&SSD 26〇)中。服務提供商270將需要具有一與將該等鑑別憑㈣置於該等SSD中之實體之協議，彼實體通常為該等SSD之製造商。不過，在一些情況下，一些SSD可能無權獲得由該第三方所賦予之資料備份服務。因此，本文中所述之資料備份過程取決於若干備份資格先決條件，例如該源SSD向第三方210證明其被服務之資格；即，其數位資料可備份於另一（即’目的地）SSD中。同樣地，第三方21〇必須向源SSD 2S〇證明其自源SSD 250接收全部數位資料（包括受保護資 141641.doc -22- 201009637 料）之資格。若該源SSD不能證明其被服務之資格，則該第三方將不自該源SSD讀取數位資料。若該第三方不能證明其自該源SSD接收該數位資料之資格，則該源SSD將不允許該第三方讀取其數位資料。在第三方210向源SSD 250證明其自源SSD 250接收該數位資料之資格之後，且在源SSD 250向第三方210證明有資格被備份於目的地SSD 260中時，第三方210與源SSD 250 建立一第一安全通道220，該第一安全通道係一有待經由第三方210在源SSD 250與目的地SSD 260之間建立之虛擬安全通道之一部分。所謂「安全通道」係指一藉由其通信加密資料之通信通道。所謂「虛擬安全通道」係指一其建立係由及經由一第三方以一使一源SSD之數位資料備份於一目的地SSD中而無需該源SSD與該目的地SSD彼此直接通信之方式在一源SSD與一目的地SSD之間前攝地開始之安全通道。該安全通道係亦在其包括可同時、與此同時、或在不同時刻由該第三方建立之兩個單獨且獨立的安全通道（例如，安全通道220及225)意義上係「虛擬的」。

在第三方210與源SSD 250建立第一安全通道220之後，第三方210藉由第一安全通道220自源SSD 250接收或讀取全部數位資料，並同時，或在此後任一時刻，與目的地 SSD 260建立第二安全通道225以完成源SSD 250與目的地 SSD 260之間的虛擬安全通道。第三方210可自一使用者 215接收一例如在第三方210自源SSD 250接收到該數位資料之後即刻、幾秒鐘以後、三個月以後等等與目的地SSD 141641.doc -23- 201009637 260建立第二安全通道225之指令。一目的地SSD必須向該第三方證明其接收起源於一 sSd 之數位資料之資格。當向第三方210證明目的地SSD 260有資格接收起源於源SSD 250之數位資料時，第三方2丨〇藉由該虛擬安全通道之第'一部分（即，藉由安全通道225)將A自源SSD 250接收或讀取之數位資料傳送、複製或寫入至目的地 SSD 260。作為源SSD 250對第三方210之信任之一部分，可不存在該數位資料之兩個合法複本（即，該源SSD中之一個複合及 s玄目的地SSD中之另一複本）。所謂「可不存在該數位資料之兩個合法複本」係指，儘管一原始數位資料之一複本可存在於或的確存在於一目的地SSD中（即，於一備份SSD 中）’但其無法由任何裝置使用直到該源SSD中之原始數位 h料為或視為合法或可用資料。若出於某種原因期望或要求使用s亥備份複本而不是該原始數位資料，則要求使該目的地SSD中之數位資料變成或變得可用，並使該源SSD中之原始數位資料變成或變得不可用。為了確保只可使用該數位資料之一個版本（即，該源SSD中之原始資料及其在該目的地SSD中之複本），第三方210停用目的地SSD 26〇之操作。所謂「停用目的地SSD之操作」係指該第三方致使該目的地SSD中之受保護資料不可由任何裝置（包括由原先保存該受保護資料之SSD)使用或存取。停用一目的地SSD可

J如藉由下述方式來實現·致使該目的地SSD以可逆方式操縱儲存於該目的地SSD中之資料以阻止對該目的地SSD 14I641.doc -24· 201009637 之受保護資料之未來使用，亦即，直到該源SSD可用β 第二方210可藉由向其通信一對應指令或命令來致使目的地SSD 260操縱儲存於其中之資料。第三方21〇可在其自源SSD 250接收到該數位資料之後的任一時刻致使目的地 SSD 260操縱儲存於其中之資料。在一個實例中，第三方 210在完成該數位資料自源SSD 25〇至第三方21〇之傳送時或之後及在第三方210將該數位資料傳送至目的地SSD 26〇之前致使目的地SSD 260操縱儲存於其中之資料。在另一個實例中’第三方210在完成該數位資料至目的地SSD 260 之傳送時或之後致使目的地260操縱儲存於其中之資料。第三方210可在上述兩種極端情形之間致使目的地SSD 26〇操縱儲存於其中之資料。第二方210對健存於目的地SSD 260中之資料之操縱可包括停用、抹除或修改目的地SSD 260中關聯於該受保護資料之安全特徵。欲被操縱之資料之類型、數量或位置 (即，在該SSD之儲存區中）可經選擇以在其操縱之後目的地SSD 260之受保護資料變為不可由任何裝置存取，且另外’該操縱本身係可逆的，以便可恢復或還原使用該備份複本所需之資料、資訊或應用程式。另一選擇係，第三方 210對儲存於目的地SSd 260中之資料之操縱可包括停用、抹除或修改保存於目的地SSD 260中之關聯於該受保護資料之鑑別參數，以使裝置無法使用該受保護資料。第三方 210亦可藉由下述方式來致使對目的地SSD 260中之受保護資料之存取被阻斷：向目的地SSD 260發送一阻斷任何裳 141641.doc -25- 201009637 置對該受保護資料之存取之對應阻斷命令。可藉由下述方式來使該目的地SSD所接收之數位資料變成或變得不可由該源SSD或由該目的地SSD使用：在將該源SSD中之數位資料通信至該目的地SSD或通信至該第三方之蚋或隨後在該目的地SSD中改變該源sSD中之數位資料，或修改該目的地SSD之一屬性，或對複製至該目的地 SSD之資料應用一不可用組態。可藉由下述方式來使該目的地SSD所接收之數位資料變成或變得不可用：該源ssd 將該數位資料以壓縮資料形式發送至該目的地SSD或發送至該第三方，並將該壓縮資料儲存（即，隱藏）於類似於圖t 中之隱藏區120之隱藏或受限儲存區中。為了使該數位資料變成或變得不可用（即，啟用該目的地SSD)，該第三方或該目的地SSD解壓縮該壓縮資料；根據該等不同資料項之類型及/或功能來解析經解壓縮資料；並將每一經解析資料項儲存於所對應儲存區中之大容量儲存區（無論其係該使用者儲存區、該受限儲存區或者該安全管理儲存區）中。源SSD 230類似於圖iiSSD 1〇〇，只是，根據本揭示内容，源SSD 250之安全儲存控制器（源SSD 25〇之安全儲存控制器未顯示於圖2中）亦經組態以確定目的地SSD 260或第二方21 〇(不管屬於哪種情況）是否有資格自其接收該數位資料’且若有’則在源SSD 25〇與目的地SSD 26〇之間 (即’安全通道222)，或在源SSD 250與第三方210之間 (即，安全通道220)建立一安全通道罷了。根據本揭示内 141641.doc •26· 201009637 容，源SSD 250之安全儲存控制器進一步經組態以藉由該對應安全通道（即，分別地藉由安全通道222或220)直接或經由第三方210將該數位資料傳送至目的地SSD 260以供備份。源SSD 250之安全儲存控制器可停用目的地SSD 260以使所傳送數位資料變成或變得不可用。源SSD 250之安全儲存控制器可使所傳送數位資料在源SSD 250將該數位資料傳送至目的地SSD 260或傳送至第三方210之前、期間或之後變成或變得不可用。源SSD 250之安全儲存控制器可直接或經由目的地SSD 260將源SSD 250之一識別符傳送至第三方210，以便該識別符由第三方210用來停用源SSD 250。源SSD 250之安全儲存控制器可在與第三方210或與目的地SSD 260之相互鑑別期間或（在資料）嵌入於所傳送數位資料中時將源SSD 250之識別符輸送至第三方210，或輸送至目的地SSD 260 〇源SSD 250之安全儲存控制器可在確定第三方210或目的地SSD 260有資格接收該數位資料之後將該數位資料傳送至第三方210、或傳送至目的地SSD 260。第三方210或者目的地SSD 260是否有資格接收該數位資料之確定可由源SSD 250之安全儲存控制器或由一在源SSD 250上運行之專用應用程式來進行°

如可暸解，一 SSD可在一個時間用作或視為一源SSD ’ 而在另一個時間用作或視為一目的地（即，備份）SSD。因此，可能用作一備份/目的地SSD ’ 一 SSD(在此情況下為一目的地SSD)之安全儲存控制器進一步經組態以向一源SSD 141641.doc -27- 201009637 證明（例如，目的地SSD 260向源SSD 250證明），或向一第三方證明該SSD備份該源SSD之資格。當證明該SSD備份該源SSD之資格時、之後或回應於此，該安全儲存控制器進一步適於在該SSD與該源SSD或該第三方之間建立一安全通道，並藉由所對應安全通道直接自該源SSD或經由該第三方接收數位資料。該目的地SSD直接自該源SSD或自該第三方接收之數位資料也許可用也許不可用。亦即，該源可使其數位資料在將其發送至該目的地SSD或發送至該第三方之前變得或變成不可用。另一選擇係，該源SSD可原樣發送其數位資料，在此情況下該接收方可使用該數位資料，若其經授權或有資格這樣做話。若自該源SSD所接收之數位資料可用，則該SSD之安全儲存控制器進一步經組態以停用該 SSD以使所接收數位資料變成或變得不可用直到該源SSD 被合法地使用。該安全儲存控制器可例如藉由下述方式來使所接收數位資料變成或變得不可用：改變該SSD中之所接收數位資料、修改該SSD之一屬性、或對複製至該SSD之資料應用一不可用組態。該安全儲存控制器可藉由下述方式使該 SSD準備好用作一備份SSD :還原該SSD中之經改變資料或修改該目的地SSD之經修改屬性、或對該目的地SSD應用一可用組態（即，用一可用組態來替換該SSD之該不可用組態），藉此使該（目的地/備份）SSD中之數位資料變成或變得可用。 141641.doc -28- 201009637 該SSD之安全儲存控制器可接收該源SSD之一識別符，且作為該SSD用作一備份SSD之準備之一部分，將該識別符發送至該第三方以便其由該第三方用來停用該源以〇。該第三方可在應一最終使用者或應一使用者應用程式請求而這樣做時將該源S S D之識別符公佈至代管該源s s D之主機，以使儲存於該源SSD中之數位資料將不被使用。另一選擇係，該安全儲存控制器可替代該第三方公佈該源SSD 之識別符。第三方210將係一受源SSD(例如源SSD 25〇)且受目的地 SSD(例如目的地SSD 26〇)信任之電腦系統。第三方2ι〇可係一在一電腦系統上運行且受源SSD 25〇及目的地SSD信任之應用程式。主機裝置系統205包括兩個單獨的主機裝置23〇及24〇。主機裝置230及240中之每一者可具有一用於含納一 SSD之讀卡器或一可讀取SSD之安全USB裝置。該等讀卡器中之每者可含納一源SSD或一目的地SSD。舉例來說，主機裝置230或關聯於其之讀卡器含納源SSD 25〇且主機裝置 240或關聯於其之讀卡器含納目的地SSD 26〇。任何合適之習用讀卡器皆可用於自一 SSD讀取内容/資料。一主機裝置系統可包括一個主機裝置（例如，主機裝置 230 ’主機裝置240係可選的），該主機裝置可包括或與其關聯有一個用於含納該源SSD及該目的地SSD(但不同時）之s賣卡器、或兩個讀卡器，每一 SSD一個。另一選擇係，一主機裝置系統可包括兩個主機裝置（例如，主機裝置23〇 141641.doc •29- 201009637 及240)，其中每一主機裝置皆具有其自身的讀卡器。若該主機裝置包括一個讀卡器’則將一源SSD之數位資料備份於一目的地SSD中（藉由使用由該第三方所賦予之資料備份服務）除了別的之外還涉及在一第一時間使用該讀卡器來藉由第一安全通道將該數位資料自該源SSD讀取並傳送至該第二方’並在用該目的地SSD替換該源SSD之後，在一第一時間藉由第二安全通道將該數位資料自該第三方寫入、傳送或複製至該目的地SSD。一關聯於一主機裝置之讀卡器可係該主機裝置之一組成部分’或位於該主機裝置外部並以操作方式連接至該主機裝置。源SSD 250及目的地SSD 260中之每一者可相同於或數類似於圖1之SSD 100。源SSD 250可含有一可包括使用者可存取多媒體内容及受保護資料之數位資料，使用者可存取多媒體内容及受保護資料可包括該SSD之使用者可決定將其備份於目的地SSD 260中之複製保護資料、隱匿資料、隱匿多媒體、安全應用程式、DRM檔案及諸如此類。亦將該源SSD之受保護資料備份於目的地SSD 260中將賦予目的地SSD 260關聯於源SSD 250或原先由源SSD 250對該數位内容強制實施之相同安全等級。主機裝置系統205可包括第三方210可以操作方式連接至其之額外多個指定為「主機裝置3」（顯示於28〇處）至「主機裝置η」（顯示於290處）之主機裝置。一主機裝置可相對於第三方210位於本端或遠端。第三方21〇與主機裝置系統 205之該等主機裝置中之任何一者之間的通信可經由—專 141641.doc -30· 201009637 用通信電纜、一陸線、一資料網路、網際網路及無線通信鏈路之任一組合來實施。圖3示意性地圖解說明一根據一實例性實施例之資料備份系統3 0 0 ’該資料備份系統用於經由一第三方3 1 〇將一源 SSD 35 0之數位資料（包括受保護資料）備份於一目的地SSD 360中。一資料備份過程包括：一第一階段（在本文中稱作「資料複製階段」）’其用於將一源SSD之數位資料複製至一目的地S SD ;及一第二階段（在本文中稱作「後資料複製階段」）’其用於以可逆方式停用該目的地SSD直到該源 SSD之擁有者或使用者可使用源SSD 35〇。第二方3 10經由資料網路（例如，網際網路）39〇以操作方式連接至一主機裝置系統305。主機裝置系統3〇5包括一個與其關聯有兩個之讀卡器（讀卡器330及讀卡器34〇)之主機裝置320。讀卡器330及340位於主機裝置32〇外部。舉例來說，讀卡器330含納源SSD 350且讀卡器34〇含納目的地 SSD 360 ° 在滿足上文指定之資格先決條件之後，第三方31〇藉由與源SSD 350建立一第一安全通道並與目的地SSD 36〇建立一第二安全通道來在源88〇3 50與目的地88]336〇之間建立一虛擬安全通道第一安全通道係藉由通信線路355及38〇並經由資料網路390來建立，且第二安全通道係藉由通信線路365及380並經由資料網路39〇來建立。主機裝置320包括一使用者應用程式37〇及一使用者介面 315。使用者介面315可係、例如—鍵盤或—觸控屏。使用者 141641.doc -31- 201009637 介面315使得一使用者能夠與使用者應用程式37〇互動。舉例而言，該使用者可使用使用者介面315來輸入一指令，該指令向使用者應用程式370指示源SSD 35〇及目的地SSD 360就位（即，源SSD駐存於讀卡器mo中且目的地SSD駐存於讀卡器340中），等待由第三方31〇服務，且若資格先決條件得到滿足則可將源SSD 35〇之數位資料備份於目的地 SSD 360中。回應於此指令，使用者應用程式37〇經由通信線路380及資料網路390向第三方31〇發送一訊息，該訊息心令第二方310與所述SSD(例如首先與源SSD 350並隨後與目的地SSD 360)開始一資料備份會話。為了開始該資料複製階段，第三方3丨〇例如藉由使用一對源SSD 350之系統存取控制記錄（r ACR」）藉由第一安全通道並經由主機裝置320來登錄到源SSd 350。若第三方 310與源SSD 350彼此鑑別且第三方31〇向源SSD 350證明其自該源SSD接收數位資料之資格，則源SSd 350允許第三方310讀取源SSD 350保存於其大容量儲存區中之一切資料’包括受保護資料、以及一般而言由第三方31〇請求之每一資料。若源SSD 3 50向第三方310證明其由每一 SSD備份之資格，則第三方310將自源SSD 350讀取數位資料。在第三方310自源SSD 35〇讀取數位資料之後，第三方 310例如藉由使用一對目的地SSD 360之系統ACR藉由第二安全通道並經由主機裝置320登錄到目的地SSD 360。若第三方310與目的地SSD 360彼此鑑別且目的地SSD 360向第三方310證明其備份源SSD 350之資格，則第三方310將其 141641.doc -32· 201009637 自源SSD 3 50讀取之資料寫入至目的地SSD 360中，從而完成該資料複製階段。第三方310藉由下述方式來開始第二階段（即，「後資料複製」階段）：以可逆方式停用SSD 360直到源SSD 350之擁有者或使用者可使用源SSD 350，且視情況，若出於某種原因，源SSD 350之擁有者或使用者例如因源SSD 350已被盜取、丟失或損壞而再也無法使用源SSD 350，則停用源880 3 50並啟用目的地880 360。圖4示意性地圖解說明一根據另一實例性實施例之系統 4〇〇 ’該系統用於經由一第三方41〇將一源SSD 450之數位資料（包括受保護資料）備份於一目的地SSD 460中。第三方41 0經由資料網路（例如’網際網路）49〇以操作方式連接至主機裝置系統405。主機裝置系統4〇5包括一個與其關聯有一個讀卡器（讀卡器430)之主機裝置（顯示於42〇處）。讀卡器430位於主機裝置420外部。舉例來說，讀卡器43〇顯示含納源SSD 450，但其亦可含納目的地SSD 46〇。在所指定資格先決條件得到滿足之後’第三方41〇在源 SSD 450與目的地SSD 46〇之間建立一虛擬安全通道。為了在源SSD 450與目的地SSD 46〇之間建立該虛擬安全通道，第二方410與源SSD 450建立一藉由其第三方41〇自源SSD 450讀取數位資料之第一安全通道，並在用目的地ssd 46〇來替換或父換源SSD 450(該替換由虛線435象徵性地顯示）之後與目的地SSD 460建立一第二安全通道。第一安全通道及第一安全通道可藉由相同之通信線路455及48〇來建 141641.doc -33· 201009637 立，此乃因第三方410—次一個SSD地處理該兩個SSD。圖5示意性圖解說明一根據再一實例性實施例之系統 500，該系統用於經由一第三方510將源SSD 550之受保護資料備份於目的地SSD 560中。第三方510經由資料網路 (例如’網際網路）590以操作方式連接至主機裝置系統 505。主機裝置系統505包括兩個主機裝置（主機裝置52〇a 及主機裝置520B) ’每一主機裝置皆與其關聯有一個讀卡器及一使用者應用程式。讀卡器530及使用者應用程式 570A關聯於主機裝置520A。讀卡器540及使用者應用程式 570B關聯於主機裝置520B。讀卡器530及讀卡器540位於相應主機裝置外部。然而，如上文所解釋，一讀卡器可係一主機裝置之一組成部分或嵌入於一主機裝置中。舉例來說’讀卡器530含納源SSD 550且讀卡器54〇含納源SSD 560 ° 主機裝置520A及520B可藉由使用相同類型之通信路徑或不同類型之通信路徑來以操作方式連接至第三方51〇。舉例來說，主機裝置520A經由一陸線5 10以操作方式連接至第三方510，且主機裝置520B經由一通信路徑580及一資料網路590以操作方式連接至第三方51〇。圖5之組態適用於例如其中一使用者希望將她/他的SSD之數位資料備份於一屬於另一個人的遠端SSD中之情形。該使用者主機裝置 (例如，主機裝置52〇a)可位於例如一個城市中且另一個人的主機裝置（例如，主機裝置52〇B)可位於另一個城市中。使用者應用程式570A及570B中之每一者可包括兩個單 141641.doc 201009637 獨且獨立的程序：一「讀取程序」及一「寫入程序」。該讀取程序使得一使用者能夠指令一第三方自一源SSD讀取數位資料，且該寫入程序使得同一使用者或另一使用者能夠指令該第三方將所讀取數位資料寫入至一本端或遠端目的地SSD。該使用者可根據該SSD(即，源SSDA或目的地 SSD)之角色來選擇、啟動或以其他方式致使或觸發對正確程序（即，讀取程序或寫入程序）之執行。重新參見圖5，一第一使用者可選擇、啟動或以其他方式致使或觸發（例如，藉由使用使用者介面515A)對該讀取程序之執行以致使第三方510自源SSD 550讀取數位資料。一第二使用者可選擇、啟動或以其他方式致使或觸發（例如，藉由使用使用者介面515B)對該寫入程序之執行以致使第三方51〇將所讀取數位資料寫入至目的地SSD 560。若上文所指定之資格先決條件得到滿足，則第三方5 1 〇在源SSD 550與目的地SSD 560之間建立一虛擬安全通道。為了在源SSD 550與目的地SSD 560之間建立該虛擬安全通道，第三方510與源SSD 550建立一經由其第三方51〇自源 SSD 550讀取該數位資料之第一安全通道（經由通信路徑 510及555)’並與目的地SSD 560建立一經由其第三方51〇將所讀取數位資料寫入至目的地SSD 560中之第二安全通道（經由通信路徑580、資料網路590及通信路徑565)。圖6係根據一實例性實施例之圖3之第三方3 1 〇之一方塊圖。圖6將結合圖3來加以闡述。第三方31〇包括一通信介面620、一鑑別管理器630、一儲存裝置組態器64〇、一記 141641.doc -35- 201009637 憶體650及一資料讀取/寫入機構66〇。若一使用者希望將儲存於源SSD 350中之多媒體内容備份於目的地SSD 360中，則該使用者啟動、調用使用者應用程式370或與使用者應用程式37〇互動以致使使用者應用程式370向第三方310發送一要求資料備份服務，且源SSD 350及目的地SSD 360就位並準備好進行該資料傳送之訊 · 息。調用用戶端應用程式370亦致使第三方3 1 〇與所述SSD · 開始一通信會話，並對第三方31〇指定該使用者所請求之服務。該使用者所請求之服務可例如係：將該數位資料自 ❹ 源SSD 350傳送至第三方31〇並將其暫時（例如，幾天）保存在那褢，或（假定該數位資料已保存於第三方31〇中）將該數位資料自第三方310傳送至目的地SSD 360，或將該數位資料自源SSD 350傳送至第三方310並同時將該數位資料自源 SSD 350自第三方310傳送至目的地SSD 360，或在第三方 310將該數位資料寫入至目的地SSD 360中之後即刻停用目的地88〇 360，或停用源88〇 350並啟用目的地88〇 360，等等。 ❿ 如上文所解釋，用以將一源SSD之數位資料備份於一目的地SSD(即，備份SSD)中之第一階段係將該源SSD之數位資料複製至該目的地SSD。為了將該數位資料自該源SSD .

複製至該目的地SSD，該第三方發起一資料複製會話，該資料複製會話包括以下級：（1)鑑別級（2)經由該第三方在該源SSD與該目的地SSD之間建立虛擬安全通道（3)該第三方自該源SSD讀取資料（4)該第三方（重）組態該目的地SSD 141641.doc •36- 201009637 及（5)該第三方將自該源SSD讀取之資料寫入至該目的地 SSD。如上文所解釋，必須執行另一階段（即，後資料複製階段），其包括該第三方以可逆方式停用該目的地SSD直到該源SSD之擁有者或使用者可使用該源SSD。若該源SSD 之擁有者或使用者可使用該源SSD，則此意謂該源SSD仍可運作（即，處於「啟用」、「可用」或「活動」狀態）。該後貢料複製階段亦包括若無論出於什麼原因，該源SSD 及該目的地SSD之擁有者或使用者因她/他再也無法使用該源SSD而希望交換該兩個SSD則停用該源SSD並啟用該目的地SSD。 (1)鑑別成功地將源SSD 3 50之多媒體内容傳送至目的地SSD 360 使亦將資料自源SSD 3 50之受限儲存區傳送至目的地SSD 360之受限储存區，且亦將資料自源SSd 35〇之安全管理儲存區傳送至目的地SSD 3 60之安全管理儲存區成為必要。癱在第二方310向目的地SSD 360傳送任何資料之前，第三方310必須向源SSD 250請求（即，讀取）該資料。在源SSD 350答應該請求之前（即，在源SSD 35〇開始經由通信介面 620將所請求資料傳送至第三方3 1〇之前），必須開始一在其期間第三方3 10與源SSD 3 50彼此鑑別之第一鑑別會話。第一鑑別會話涉及源SSD 350核對第三方3 10之可靠性以確保第三方310有資格接收儲存於SSD 350之受限儲存區及安全管理儲存區中之受保護資料，並由鑑別管理器630來核對源SSD 350之可靠性以確保源SSD 350有資格由另一 141641.doc -37· 201009637 SSD備份。鑑別管理器63G在其開始第__會話之前登錄到源SSD 35〇之系統。

鑑別管理器630開始-在其期間第三方31〇與目的地⑽ 350彼此鐘別之第二單獨鑑別會話。第二鑑別會話涉及目的地SSD 36〇核對第王方别之可靠性以確保第三方則有資格將資料寫人至其受限儲存區及其安全管理儲存區中，且鑑別管理器630核對目的地SSD 36〇之可靠性以確保目的地SSD 360有資格備份另一SSD。鑑別管理器63〇在其開始第二鑑別會話之前經由通信介面62〇登錄到目的地ssd 36〇之系統。第一鑑別會話及第二鑑別會話可藉由在所涉及各方之間交換鑑別憑證，並藉由使用ρκι範例來實施，如下文結合圖7更詳細闡述。鑑別管理器630可藉由使用SSD之存取控制記錄 (「ACR」）經由通信介面62〇登錄到源SSD 35〇及目的地 SSD 360之系統。簡單地說，「ACR」係一存取控制範例，其可視為一「超級授權記錄」，此乃因一 acr含有用於索引之資訊且其既可鏈接至書目記錄、關係資料庫，亦可鏈接至其他相關存取控制記錄。該ACR概念自「授權控制」之傳統概念偏移至「存取控制」。 (2)虛擬安全通道之建立在源SSD 350與第三方31〇彼此鑑別（在第一鑑別會話期間）之後，鑑別管理器630與源SSD 35〇之安全儲存控制器 (未顯不於圖3中）例如藉由使用一可提供給其雙方之第一會話密鑰在其之間建立—第一安全通道，且在目的地ssd 141641.doc 38· 201009637 360與第三方310彼此鑑別之後，第三方31〇與目的地ssd 360例如藉由使用一可提供給其雙方之第二會話密鑰來建立一第二安全通道。如上文所解釋，第二安全通道與第一安全通道可同時建立。不過，應注意，第二安全通道可在第一安全通道建立之後，或在第一安全通道建立之前的任一時刻建立。第一會話密鑰及第二會話密鑰可針對每一通信會話由所涉及各方隨機產生，或其可在其製造期間固定且儲存於第三方31〇及相應SSD中。相對於第一替代方式（即，第一及第二會話密鑰之隨機產生），鑑別管理器630發起對第一安全通道之建立，且回應於彼倡議，鑑別管理器630與源SSD 35〇共同產生第一會話密錄’如結合下文所述之圖7更詳細闡述。第一會話密錄由源SSD 350用來在其將已由鑑別管理器63〇請求之數位資料通信至鑑別管理器630之前加密該數位資料（以使其安全），且在經由通信介面620自源SSD 350接收該經加密資料時，鑑別管理器630使用第一會話密鑰來解密該經加密數位資料。鑑別管理器630可在完成該經加密數位資料自源SSD 350至鑑別管理器630之傳送時，或在任一其他時刻 (例如就在鑑別管理器630被指令或決定（視使用者應用程式 370而定）將該數位資料寫入至目的地SSD 36〇中之前）使用第一會話密鑰來解密該經加密數位資料。應注意，源SSD 3 50之數位資料可在用第一會話密鑰對其進行加密之前由源SSD 350預加密，以進一步提高所通信數位資料之安全等級。舉例而言，該數位資料可由源SSD 350藉由使用一 141641.doc •39- 201009637 可提供給目的地SSD 360之内容密鑰來預加密。同樣地，鑑別管理器630可在其自源SSD 35〇接收到用第 -會話密鑰加密之數位資料之後的任一時刻發起對第二安全通道之建立’且回應於彼倡議，鑑別管理器㈣與目的地SSD 360共同產生第二會話密输。鏗別管理器63〇在其將欲^製至目的地SSD360之數位資料通信至目的地SSD36〇之别使用第二會話密鑰加密該數位資料（以使其安全）。當自鑑別管理器63〇接收到該經加密資料時，目的地咖則使用第二會話密鑰來解密該經加密數位資料。應注意，可首先產生第一會話密鑰及第二會話密鑰中之任何一者。亦 P首先產生哪個會話密鑰（即，第一會話密鑰或第二會話密鑰）並不重要。一經加密資料可儲存於源SSD 350之使用者儲存區中但解密該經加密資料所需之解密密餘可儲存於源SSD 350之受限儲存區或安全管理儲存器中H，將經加密資料連同通常儲存於所涉及SSD之該等受限儲存區中之—者中 (即，储存於該受限儲存區巾或儲存於該安全管理儲存區中）之關聯加密/解密密鑰以及其他安全相Μ資料/資訊自該源SSD傳送至該目的地SSD係強制性的。在替代方式中，該虛擬安全通道可由源SSD 350及由目的地SSD 360藉由使用一可提供給源SSD 35〇以加密該數位資料且可提供給目的地SSD 36〇以解密該經加密數位資料之預定内容密輪經由第三方310來建立。在此替代方式中第—方310在其用作或提供一與源SSD 35〇及目的地 141641.doc 201009637 SSD 360之通信接面但其不前攝地涉及對資料之加密或解密意義上在通信方面係透明的。 (3)自源SSD讀取資料在產生第一會話密鑰之後，鑑別管理器63〇使用資料讀，取/寫入機構660自源SSD 350之使用者儲存區、受限儲存 . 區及安全管理儲存區讀取所存在之一切欲複製至目的地 880 3 60之貝料。第三方31〇包括一記憶體65〇，該記憶體 • 肖於保存可受益於由第三方310所賦予之資料備份服務之 SSD之鑑別憑證之一清單，且亦用於暫時保存第三方自源SSD 350讀取之數位資料。暫時保存於記憶體65〇中之 Μ料將在其不再需要時被刪除以使可追蹤資料將不保留於第二方310中而被使用者濫用或被電腦駭客利用或截取。 (4)目的地SSD之組態至關重要的是目的地SSD 360具有與源SSD 35〇相同之組態，此乃因在功能方面的當務之急是，除所複製多媒體内 • 容及相關受保護資料以外，源SSD 350之資料結構亦傳送至目的地SSD 360,否則資料將以一錯誤方式儲存或儲存於一錯誤儲存區中，例如，於使用者儲存區而不是受限儲存區中，或於受限儲存區而不是使用者儲存區中，從而將 ' 使所複製多媒體内容變成或變得永久性地不可用。「資料結構」係一將資料儲存於一電腦中以便可有效地存取並使用所儲存資料之方式。特定而言，「資料結構」係指數位資料在一 SSD内部之配置、每一資料項之類型及意義、每一資料項在該SSD之記憶體中之絕對及相對位置等等。資 141641.doc -41 - 201009637 料結構界定為該SSD之組態之一部分。因此，為了目的地 SSD 360將該數位資料之一原樣複本保存如同儲存於源 SSD 350中一樣，第三方31〇必須在其例如藉由使用資料讀取/寫入機構660將源SSD之數位資料寫入至目的地SSD 360 中之前確保目的地SSD 360之組態與源SSD 350之組態相匹配。為了達成此目的’鑑別管理器630向源SSD 350詢問或請求關於或代表其組態之資料，且源SSD 350可藉由把其組態通知第三方3 10來答應該詢問或請求。源SSD 350可例如藉由向第三方3 10發送一組態表來把其組態通知第三方 310。在源SSD 350通知其組態之後，鑑別管理器630致使儲存裝置組態器640使用自源SSD 350所獲得之組態資訊來以與源SSD 350相同之方式組態目的地SSD 360。因此，可以說’儲存裝置組態器640對目的地SSD 360強加或強制實施源SSD 350之組態。

(5)由第三方將源SSD之數位資料寫入至目的地SSD 在儲存裝置組態器640對目的地SSD 360強制實施源SSD 350之組態之後，鑑別管理器630使用資料讀取/寫入機構 660來將其自源SSD 350接收之數位資料寫入至目的地SSD 360 中。

(6)停用目的地SSD 如上文結合圖2所解釋，該第三方以可逆方式停用該目的地SSD以遵守不得存在多於一個合法可用多媒體内容複本之概念。因此，在鑑別管理器630自源SSD 350讀取（藉由使用讀取/寫入機構660)數位資料之後，第三方310或該 141641.doc •42- 201009637 源SSD以可逆方式停用目的地SSD 3 60以不允許任何裝置使用目的地SSD 3 60直到源SSD 350之擁有者或使用者可 (或希望）使用源SSD 350。停用一目的地SSD可藉由由該第三方來致使該目的地SSD操縱儲存於其中之資料或使用本文中例如結合圖2所述之任一方法來執行。圖7顯示一根據一實例性實施例用於將一第三方710鑑別至一源SSD 720之鑑別方法。該鑑別過程涉及交換鑑別憑證並使用私鑰基礎架構（PKI)方法，如下文所述。第三方710(其可類似於或相同於圖3及6之第三方310)已在其中儲存有源SSD 720或關聯於其之一第三方憑證711、一第三方私鑰712及一根憑證713。第三方憑證711包括第三方710之一公鑰。同樣地，源SSD 420(其可類似於或相同於圖1之SSD 100)已在其安全管理儲存區中儲存有一 SSD 憑證721、一 SSD私鑰722及一第三方根憑證723。SSD憑證 721包括源SSD720之一公鑰。該鑑別過程可包括以下階段：（1)公鑰驗證（2)私鑰驗證及（3)會話密鑰協議，其等闡述於下文中。公鑰驗證回應於一開始一資料備份過程（例如藉由使用一使用者應用程式（例如使用者應用程式370))之使用者指令，第三方710向源SSD 720發佈並發送一「設置憑證」命令731以開始一相互鑑別會話。作為發起者，第三方710連同設置憑證命令731發送其鑑別憑證（即，「第三方憑證」711)。回應於設置憑證命令 141641.doc •43- 201009637 731 ’源SSD 720利用「第三方根憑證」723來驗證（顯示於 732處）第三方憑證711之可靠性。若驗證失敗，則源SSD 720中斷該鑑別過程。若第三方710之鐘別憑證（即，「第三方憑證」711)由源SSD 720驗證（顯示於732處），則源 SSD 720藉由向第三方710發送其自身的鑑別憑證（即，「源SSD憑證」721)來對由第三方710發出之命令733(即，「設置憑證」）作出回應。第二方71 〇接收該源S S D之鑑別憑證（即，「源s s d憑證」721)並藉由使用源裝置根憑證713來驗證（顯示於734 處）「裝置憑證」721之可靠性。若此驗證亦成功，則雙方 (第三方720及源SSD 720)自所對應鑑別憑證得到彼此之公鑰：第三方710藉助經驗證源SSD憑證721來獲得源SSD 720之公錄735，且源SSD 72〇藉助經驗證第三方憑證711來獲得第三方710之公鑰736。在完成此階段之後，該雙方進入下一階段，該下一階段為該「私鑰驗證」階段。第三方根憑證723通常儲存於該SSD之隱藏儲存受限（隱藏）儲存區中。私鑰驗證一 SSD或s亥第二方之一私輸可藉由使用不同密碼方案來加以驗證’該等不同密碼方案中之一者闡述於下文中。私鑰驗證係藉由使用一雙方詢問回應機構來完成，其中源 SSD 720精由使用命令741(「Get_Challenge」）來詢問第：r 方710 ’此源SSD 72〇為第三方71〇提供一由源SSD 720產生之相對長（例如，32位元組）的詢問隨機數（顯示於742處 141641.doc -44· 201009637 第三方710藉由根據界定於PKCS#1版本2丨中之rsa密碼方案，或根據現今存在或可在將來設計出之任何其他合適之版本，使用第三方私鑰712來對該詢問隨機數進行簽名（顯示於M3處）從而對命令741(Get_challenge」）作出回應。簡單地說，「RSA」（姓氏Rivest、Shamh^ Adleman之開首字母）係一用於對數位資料進行簽名及加密之密碼演算法RsA /歩及使用一可人人皆知且用於加密訊息之公输、及一私餘。用該公鑰加密之訊息只可藉由使用一匹配 (即，一關聯）私鑰來進行解密。經簽名回應（顯示於744)係由源SSD 720藉由根據界定於 PKCS#1版本2.1中之RSA密碼方案使用第三方公鑰736來加以驗證（顯示於745處），從而促成對一預期為隨機數742之數之擷取。若所擷取數與隨機數742相匹配，則此向源 SSD 720指示第三方710可靠且第三方710有資格自源SSD 720接收數位資料。若在745處所擷取之數不同於隨機數 742 ’則鑑別失敗且源SSD 720中斷該鑑別過程。第三方710利用一類似詢問-回應機構來詢問源SSD 720。亦即’第三方710產生並發送一隨機數至源SSD 720 且驗證由源SSD 720重新調整之數是否與所產生之隨機數相匹配。若該兩個數匹配’則此向第三方71〇指示源SSd 720可靠且源SSD 720有資格由一目的地SSD備份。若該等數不匹配’則該鑑別程序失敗且第三方7丨〇中斷該鑑別過程。在完成該相互鑑別階段之後，該雙方（即，第三方710 及源SSD 720)可進入下一階段，該下一階段為該「會話密 141641.doc -45- 201009637 鑰協4」階段。該第三之根憑證及該SSD之私鑰通常儲存於該SSD之受限（隱藏）儲存區中。會話密鑰協議如下文所解釋，一第三方與一源SSD之間的一安全通道 (在本文中稱作「第一安全通道」）可藉由使用一可以多種方式提供給第三方710及源SSD 720之會話密鑰（在本文中稱作「第一會話密錄」）來建立。亦即，該會話密鑰可由第二方710及源SSD 720產生（例如以圖7所展示之方式）或自一外部系統或裝置提供至第三方71〇及源SSD 72(^ 該會話密鑰由第三方710及源SSD 720用作該雙向（即，源SSD/第三方）鑑別之—部分，以完成其相互鑑別過程，且亦用作一密鑰以將在第三方71〇與源SSD 72〇之間交換之貢料譯成密碼。該會話密鑰由第三方71〇並由源SSD 72〇共同隨機化且為其雙方所知，此乃因其由兩個隨機數（顯示於751及761處）構成，其中一個隨機數（即，隨機數761)係由第三方710產生並在加密之後發送至源SSD 72〇，且另一隨機數（即，隨機數751)係由源SSd 720產生並在加密之後發送至第三方720，如下文所述。源SSD 720產生隨機數751並在加密（顯示於752處）之後將其發送至第三方710，在那裏對其進行解密（顯示於753 處）。第三方710產生隨機數701並在加密（顯示於762處）之後將其發送至源SSD 720，在那裏對其進行解密（顯示於 763處）。由每一方所產生之隨機數可係16位元組長且其可根據如PKCS#1版本2.1中所界定之rSA密碼方案來進行加 141641.doc -46- 201009637 密。在每一方處rX0R」該兩個隨機數751及761(對其實施「異或」邏輯操作）促成第三方71〇與源SSD 72〇具有相同之會話密餘（分別顯示於771及772處）。該會話密鑰將係由對該兩個隨機數之X0R操作而產生之二元值之16位元組。在產生該會話密鑰之後，源SSD 720需要第三方710已產生，且將使用相同之會話密錄之一證據。作為證據，第三方71〇轉發（顯示於781處）一係用會話密鑰771進行 AES(「高級加密標準」）加密（顯示於791處）之「起動會話」命令。源SSD 720用會話密蚣772來解密該「起動會話」〒令並驗證該「起動會話」命令包括一訊息「起動會話」。若會話密鑰771與772不匹配，則該鑑別過程失敗且源SSD 720中斷該登錄過程。否則，源SSD 72〇利用會話密鑰7：72來加密並發送（顯示於782處）「鑑別完成」訊息782至第三方710。第三方71〇用會話密鑰771來解密「鑑別完成」訊息7W並驗證「鑑別完成」訊息782含有該訊息「鑑別完成」。此最後步驟完成該會話密鑰協議過程並打開一安全通道，藉由該安全通道命令及資料（例如，數位資料）可以一安全方式（即，加密方式）在第三方71〇與源ssd 72〇之間進行交換。該會話密鑰將在整個通信會話（其係在第三方710讀出儲存於源SSD 72〇中之全部數位資料之前的週期）期間由第三方710及源SSD 720使用。圖7中所舉例說明之鑑別及會話密鑰產生過程同樣可加以必要的變更用於將第三方710鑑別至一目的地SSD，反之亦然。亦即，在後 141641.doc • 47- 201009637 -種情況下，字詞「源」應以字詞「目的地」來替換。在產生第一及第二會話密鑰之後’藉由下述方式來建立 ^ 一安全通道：該源SSD用可提供給該第三方之第一會話密餘來加密該數位資料；並藉由下述方式來建立第二安全通道：該第三方用第-會話密鑰來解密該經加密數位資料 ^用可提供給該目的地SSD之第二會話密鑰來加密該經解* 密數位貝肖。第—會話密瑜及第二會話密餘可在SSD之製 · 造期間或稍後儲存於該第三方及相應則中。由該源咖用第-會話密餘來加密該數位資料可包括一由該源⑽帛鬱一可提供給該目的地SSD但不可提供給該第三方之内容密鑰來加密該數位資料之預先步驟…内容密料在該源 SSD及該目的地SSD之製造期間儲存於該源ssd及該目的地SSD中，或其可由一方（例如，該源ssd)產生並傳送至另-方（例如，該目的地SSD)，後一種替代方式結合圖8闡述於下文中。第二方710參與建立包括一與源SSD 72〇之第一安全通道及-與-目的地SSD之第^安全通道之虛擬安全通道所冑 © 之加岔捃鑰之產生過程（未顯示於圖7中）。然而，如上文所解釋’-第三方可將數位資料自一源SSD複製至一目的地 MD而無需該第三方產生―加密/解密密錄，且無需該第三方知道哪個（哪些）加密/解密密鑰由源SSD及目的地ssd使用’如下文所述之圖8中所示。圖8係一根據一實例性實施例用於由源SSD 72〇來產生一内容密鑰之方法。為了維持自源SSD 82〇轉發（由及經由第 14l641.doc _48· 201009637 二方810)至目的地SSD 830之數位資料之機密性，源SSd 820及目的地SSD 830承擔安全責任而該第三方承擔一調解角色’如下文所述。假定第三方81〇、源SSD 820及目的地 SSD 830已完成下文結合圖7所述之公鑰及私鑰驗證階段，且因而’第三方810關聯目的地SSD 830與一含有目的地 SSD 83 0之一公鑰之鑑別憑證。一般而言’源SSD 820隨機產生一用以在其數位資料之傳輸之前加密其數位資料之内谷岔输。隨後，源SSD 820轉發該内容密錄至目的地SSD 830以便目的地SSD 830可使用該内容密输來解密該經加密數位資料。該内容密鑰產生過程係如下文所述來實施。在第三方810與目的地SSD 830彼此鑑別之後，第三方 8 10保存目的地SSD 730之鑑別憑證835。一般而言，第三方810轉發目的地SSD 830之公鑰至源SSD 820 ;源SSD 820 利用該目的地SSD之公输來加密一内容密鑰（即，一用於將資料譯成密碼之密鑰）；且目的地SSD 830利用該内容密鑰來解密該經加密資料。為了達成此目的，第三方81〇轉發 840目的地880 830之鑑別憑證83 5至源880 820，且源880 820驗證目的地SSD 830之SSD憑證835由該目的地SSD之根鑑別憑證（其該第三方所保存）簽名。一旦該目的地SSD之根憑證上之簽名由源SSD 820驗證，則源SSD 820自目的地 SSD 830之鑑別憑證擷取845該目的地SSD之公鑰。源SSD 820產生一充當該内容密鑰之隨機數85〇。然後，源SSD 820用所擷取之目的地SSD 830之公鑰來加密855該隨機數 (即’該内容密鑰），用該源SSD之私鑰來對該經加密内容 141641.doc • 49· 201009637 密鑰進行簽名，串聯該源SSD之鑑別憑證至該經簽名加密内容密鑰，並轉發860經簽名加密内容密鑰825至第三方 810。第三方810在870處原樣轉發經加密内容密鑰825至目的地SSD 830。目的地SSD 830隨後確保該源SSD之鑑別憑證已由該源SSD之根鑑別憑證（其由第三方810保存）簽名，且使用其私鑰836來解密該經加密内容密鑰。目的地SSD 830亦使用保存於該源SSD之憑證中之源SSD之私鑰，以確定該内容密鑰尚未被改變。從此點開始，源SSD 820可經由第三方8 1 0向目的地SSD 830安全地發送數位資料。不知道該源SSD之私鑰，第三方810無法解密源SSD 820經由第三方810轉發至目的地 SSD 830之任何資料，而此在安全方面係所期望的。因此，第三方810將目的地SSD 830之鑑別憑證/公鑰自目的地SSD 83 0傳送或中繼至源SSD 820，並將經加密内容密鑰自源SSD 820傳送或中繼至目的地SSD 830。另一選擇係，一内容密鑰可在一源SSD之製造期間提供給該源SSD，且可藉由自或經由該第三方傳送該内容密鑰至一目的地SSD 來提供給該目的地SSD。另一選擇係，一内容密鑰可藉由經由該第三方自該目的地SSD傳送該内容密鑰來提供給該源 S S D。圖9顯示一實例性鑑別憑證之階層。PKI系統根CA (「CA」代表「驗證機構）910受安全儲存裝置且受服務提供商信任。安全儲存裝置之根CA 920(其係該SSD之唯一根 CA)含於一第三方中或由其保存以使得該第三方能夠鑑別 141641.doc -50- 201009637 一 SSD。該第三方可保存有權獲得由該第三方所賦予之資料備份服務之SSD之SSD根CA之一清單。同樣地，第三方之根CA 93 0(其係該第三方之根CA)含於一 SSD中或由其保存。安全儲存CA裝置之根CA 920及第三方之根CA 930中之每一者皆由PKI系統根CA 910簽名。因此，可以說，一通常可信機構（即，PKI系統根CA 910)授信給安全儲存CA 裝置之根CA 920及第三方之根CA 930。安全儲存裝置憑證 940(其係該SSD之憑證）含於該SSD中或由該SSD保存且由安全儲存裝置之根CA 920簽名。同樣地，第三方憑證 950(其係該第三方之憑證）含於該SSD中或由該SSD保存且由第三方之根CA 930簽名。如上文所述，該第三方信任安全儲存CA裝置之根CA 920，且該SSD信任第三方之根CA 930。因此，可藉由放置、儲存或保存安全儲存CA裝置之根CA 920於該第三方中，並藉由放置、儲存或保存第三方之根CA 930於該SSD 中來促進該第三方與該安全儲存裝置之間的相互信任。更特定而言，該第三方只有當其自該SSD接收到一已由安全儲存裝置之根CA 920簽名之鑑別憑證時才會信任該SSD。同樣地，該SSD只有當其自該第三方接收到一已由該第三方之根CA 930簽名之鑑別憑證時才會信任該第三方。相對於該第三方及源SSD，成功鑑別亦意謂該第三方有資格、經授權或有權自該源SSD接收、讀取數位資料，且該源 SSD有資格、經授權或有權獲得由該第三方所賦予之資料備份服務。相對於該第三方及目的地SSD，成功鑑別亦意 141641.doc -51- 201009637 谓該第三方有資格、經授權或有權將數位資料寫入至該目的地SSD中，且該目的地SSD有資格、經授權或有權備份該源SSD。圖ίο顯示一根據一實例性實施例用於將一 SSD(在本文中稱作一「源SSD」）之數位資料備份於另一 SSD(在本文中稱作一「目的地SSD」）之高級方法。圖1〇將結合圖3來加以闡述。假定源SSD 350含有或儲存包括無法傳送至無資格裝置 (即，由無資格裝置備份）之受保護資料之數位資料，且—φ 使用者希望將源SSD 350之數位資料備份於目的地SSD 36〇中，則該使用者將源SSD 35〇插入至讀卡器33〇中並將目的地SSD 360插入至讀取器34〇中，且在步驟1〇1〇處對主機裝置320調用使用者應用程式37〇以促使第三方31〇執行一資料備份過程，或開始一與源SSD 35〇及目的地ssd 36〇之資料備份會話。該資料備份過程包括兩個單獨的階段··一「備份ssd準備」階段，其由第三方31〇執行於步驟刪處以使該備份 _ SSD(其在此實例中為目的地SSD 36〇)準備好備份資料；及一「備份SSD使用準備」階段，其由第三方31〇執行於步驟1040處以使該備份SSD變成可用或可操作。為了進行— 資料備份過程，必須滿足若干備份資格先決條件，如本文中所解釋。準備一備份SSD(即，使一 SSD準備好作為一備份裝置）通常意4將一備份SSD(即，一源SSD)之數位資料複製至 141641.doc •52- 201009637 一備份SSD(即，一目的地SSD)，並使該備份SSD保持待用 (即，處於非現用、不可操作、不可用或停用狀態）以使其數位資料無法由任何裝置使用至少直到儲存於該備份 (即，該源）SSD中之原始數位資料由或可由其合法使用者或擁有者使用。假定該等資格先決條件得到滿足，則第三方310經由其在源SSD 350與目的地SSD 36〇之間建立一虛擬安全通道並藉由該所建立虛擬安全通道將源SSD 35〇之數位資料複製至目的地SSD 360。在第二方3 1 0使目的地SSD 3 60準備好作為備份之後，其在步驟1030處等待使用者應用程式37〇發出一備份請求。該備份請求亦稱作用於在操作上交換該兩個88〇之「SSD 交換指令」。若使用者應用程式37〇尚未發出一交換指令 (在步驟1030處顯示為「N」），則第三方31〇繼續（顯示於 1035處）等待一交換指令。若源SSD 350已被盜取、丟失或損壞，則其合法使用者可調用使用者應用程式370來發送一 SSD交換指令至第二方3 10。當自使用者應用程式37〇接收到一 SSD交換指令（在步驟1030處顯示為「γ」）時、同時、之後或回應於此，第二方310使該備份SSD(例如，目的地SSD 360)準備好供使用。第三方310必須使該備份SSD準備好供使用，此乃因在此級處該備份SSD被停用；即，自該源SSD複製至其之數位資料不可用。使一 SSD準備好作為一準備SSD並使— 備份SSD準備好供使用更詳盡闡述於下文所述之圖丨丨中。圖11顯示一根據一實例性實施例用於使一 SSD準備好作 141641.doc -53- 201009637 圖為備份SSD並隨後使該備份SSD準備好供使用之方法 11將結合圖3來加以闡述。 / 一使用者將一源SSD插入至—主主主機裝置系統305中，並在步驟1105處，對主機裝晉备&。^_ 衮置系統305調用使用者應用程式 370以促成第三方310執行一資料偌 ’ 科備伤過程’或開始—與源 SSD 350及目的地SSD 360之資料備份會話。如上文妊人圖 1〇所述，該資料備份過程包括一其中第三方31〇準=二備

份SSD之第-階段及-其中第三方31〇使該備份ssd準備好供使用之第二階段。

準備一備份SSD 在可使目的地880 360準備好作為源881：)35〇之一備份 SSD之前，源SSD 350、目的地SSD 36〇(即，既定或潛在備份SSD)及第三方310必須滿足資格先決條件。舉例而言，在步驟1110處，第三方310核對源SSD 350是否有資格由一目的地SSD，或由就此而言另一 SSD備份。若第三方 3 10確定源SSD 350無資格由一目的地SSD備份（在步驟111〇

處顯示為「N」）’則第三方310終止或中斷該資料備份過程。然而，第三方310確定源SSD 350有資格由目的地SSd 360備份（在步驟mo處顯示為「γ」），則第三方31〇在步驟1115處與源SSD 350建立一第一安全通道（藉由通信線路 380、資料網路390及通信線路355)。與源SSD 3 50之第一安全通道係第三方310稍後在源SSD 350與目的地SSD 360 之間完成之一虛擬安全通道之一部分。第三方310只有在目的地SSD 360向第三方310證明其備份源SSD 350或備份 141641.doc -54· 201009637 般而s SSD之資格之後才會完成該虛擬安全通道。 ^驟1120處，第二方31〇藉由第一安全通道自源88〇 WO讀取數位資料（其包括受保護資料），且根據一個實例，保存所讀取數位資料直至該將其傳送至一目的地SSD 360 時為止。根據另一實例，第三方31〇可保存該數位資料達一在所讀取數位資料複製至目的地SSD 36〇之後的額外時 1週期（例如，數月或數年）。後一個實例適用於備份sSD 亦被盜取、丟失或損壞之情況下，此乃因數位資料同樣可儲存於另一7新的SSD中。根據再一實例，第三方310可保存所讀取數位資料達一預定時間週期（例如，2天），在該預疋夺間週期之後第二方3 1 〇將刪除該數位資料而不管其是否複製至目的地SSD 36〇，或複製至另一備份SSD。若第三方310刪除其複本，則其可自稍後所述之源ssd得到該數位資料之另一複本。在步驟1125處，第三方31〇核對目的地SSD 36〇是否有資格備份源SSD 350或就此而言另一源SSD。若第三方31〇確定目的地SSD 360沒有資格備份源88〇 35〇(在步驟丨丨乃顯不為「N」），則第三方310終止或中斷該資料備份過程。然而，若第三方310確定目的地36〇有資格備份源SSD 350(在步驟1125處顯示為「γ」），則第三方31〇在步驟 1130處與目的地SSD 360建立一安全通道（藉由通信線路 3 80、資料網路390及通信線路365)，從而完成源SSD 35〇與目的地SSD 3 60之間的虛擬安全通道。在步驟處，第二方3 10藉由第二安全通道向目的地SSD 3 6〇複製其先前 141641.doc •55. 201009637 藉由第一安全通道自源SSD 350讀取之數位資料（包括受保護資料）。在源SSD 350之數位資料複製至目的地SSD 36〇之後，且假定源SSD 350仍在由其合法使用者或擁有者使用，則第二方310在步驟Π 40處停用或解除啟動目的地 SSD 360以使其數位資料無法由任何裝置使用。在步驟1150處，第三方310核對是否已自使用者應用程式370接收到一 SSD父換指令。若尚未接收到此指令（在步 · 驟1145處顯示為「N」），則假定源SSD 35〇之使用者仍可使用該原始SSD(即’源SSD 350) ’且因此，目的地SSD ❿ 360仍然處於停用、不可操作、不可用或非現用狀態，且第三方310繼續等待或靜候（顯示於115〇處）一交換指令。所胡「第二方3 10繼續等待」係指第三方3丨〇可處於操作（接「通」）狀癌且實際上正等待該指令’或處於不操作（關「斷」）狀態。然而，由於第三方31〇所賦予之服務係一線上服務，因此第二方3 10應處於操作狀態，以等待欲自使用者接收之備份請求或SSD交換指令。在自使用者應用程式370接收到一 SSD交換指令（在步驟 β 1150處顯示為「Y」）時、之後或回應於此，第三方31〇在步驟1155處啟用、啟動目的地SSD 360或使其復活，且在步驟1160處，第三方310停用或解除啟動源SSD 35〇以確定該數位資料之僅一個複本可用’該一個複本從現在開始係儲存於目的地SSD 360中之該複本。在源SSD 3 50被停用之後，需要啟用目的地SSD 36〇(該備份SSD)以使得其能夠用來代替該停用SSD(即，代替源 141641.doc •56· 201009637 SSD 350)。因此，在步驟1165處，目的地SSD 360被啟用，且隨後使用仿佛其係（即，代替）源SSD 3 50—般，在此點處，源SSD 350及目的地SSD 360可認為已被交換。應注意’到現在為止所述之步驟（例如，步驟1 1 1 〇至 1135’包括在内）之次序可執行為一不同次序，因為第三方3 10可在核對源SSD 350之資格之前或與此同時核對目的地SSD 360之資格，並在建立第一安全通道之前或與此同時建立第二安全通道’視情況而定（即，視使用者應用程式370所提供之特徵及選項以及該使用者實際選擇之選項而定）。若源SSD 350仍可由其合法擁有者或使用者使用，則必須阻止任何裝置對目的地SSD 360之使用（即，對其數位資料之使用）。同樣地’若出於某種原因，源SSD 350之合法擁有者或使用者希望使用目的地SSD 360來代替源SSD 350，則必須阻止任何裝置對源SSD 35〇之使用（即，對其數位資料之使用）。若阻止任何裝置對一 SSD(即，源SSD 350或目的地SSD 360)之使用，則其使用被阻止之SSD可視為或認為處於「非現用」、「不可操作」或「停用」狀態。代替上述目的地停用方法，目的地SSD 360可由第三方 31〇藉由在數位資料傳送至目的地SSD 36〇之前或同時加密該數位資料來停用。該數位資料可藉由使用一僅為該第三方所知之加密密鑰來加密’以使傳送至目的地SSD 360之數位資料將可藉助加密由任何裝置/SSD使用。然而，若一 141641.doc -57- 201009637 裝置/SSD向第三方3 1 0請求該加密密鑰以解密經加密數位資料，則第三方3 10在上述相關先決條件得到滿足之後答應該請求。當完成該數位資料至該目的地SSD之傳送時，使用者應用程式370可向該使用者呈現一對應訊息（例如，「備份過程完成」）。第三方310可維持一列出被撤銷（即，被停用）源SSD之 SSD撤銷表。第二方310填寫該SSD撤銷表，或每當第三方 310接收到一新的源SSD之一識別符時用新的源SSD來更新 β玄表。第二方310在其將該源sSd之數位資料複製至一備份/目的地SSD之前’或之後即刻將一源SSD標記為「被撤銷」（即，被停用）。當第三方310自一主機接收到一使用一特定SSD之請求時或回應於此，第三方31〇搜索該SSD撤銷表以查找該特定SSD，且若該特定SSD在彼表中標記為「被撤銷」，則第二方310向代管該特定SSD之主機發送一訊息，以「告訴」該主機該特定SSD已被撤銷，且因此，其不應被作用。涉及向該第二方發送該主機對使用該特定SSD之請求及該第二方對彼回應之回應之過程在本文中稱作「公佈」或「公佈一源SSD之一識別符」。該第三方可更新該SSD表並間或向該主機裝置系統發送一經更新sSD表。一 SSD可係一快閃記憶體裝置。該快閃記憶體裝置可選自包括（該清單並非係窮盡的）可信快閃裝置、安全數位 (「SD」）、mmiSD、microSD、硬碟機（「HD」）、記憶棒 (「MS」）、USB裝置、隨身碟（「D〇K」）、iNAND及諸如 141641.doc -58- 201009637 此類之群組。應注意，源SSD及/或目的地SSD可係非快閃裝置。本文所用冠詞「一」（「a」及「an」）係指一個或—個以上（即，指至少一個）該冠詞之文法受詞，此視上下文而定。舉例來說，端視上下文，「一元件」可意指一個元件或多於一個元件。本文所用措詞r包括」意指片語「包括 (但不限於）」，且可與該片語互換使用。除非上下文另有

明確指示，否則本文所用措詞「或」與「及」意指措詞「及/或」，且可與該措詞互換使用。本文所用措詞「例如」意指片語「例如（但不限於）」，且可與該片語互換使用0 雖已如此闡述本發明之實例性實施例，但熟悉此項技術者應明瞭對所揭示實施例之修改亦在本發明之範疇内。相應地’替代實施例可包括更多模組、t少模組及/或在功能上等價之模組。本揭示内容相關於各種類型之安全大容量儲存裝置，例如SD驅動之快閃記憶卡、快閃儲存裝置合非快閃儲存裝置等等。、【圖式簡單說明】實例性實施圖解說明於所參相式中。本文所揭示之實施例意在係闊釋性而非限制性。然而，參照附圖，閱讀上文詳細說明，可更好地理解本揭示内容，在附加中：圖1係一典型安全儲存裝置（SSD)之一方塊圖；圖保護 2示意性地圖解說明_根據—實例性實施例用資料自一個⑽複製至另-個SSD之系統；於將受 14164J.doc -59· 201009637 圖3示意性地圖解說明一根據另一實例性實施例用於將受保護資料自一個SSD複製至另一個SSD之系統；圖4示意性地圖解說明一根據本揭示内容之另一實例性實施例用於將受保護資料自一個SSD複製至再一個SSD之系統；圖5示意性地圖解說明一根據再一實例性實施例用於將受保護資料自一個SSD複製至另一個SSD之系統；圖6係一根據一實例性實施例之第三方之一方塊圖；圖7係一圖解說明一根據一實例性實施例之鑑別過程及會話密鑰產生之圖示；圖8係一圖解說明一根據一實例性實施例之内容密鑰產生之圖示；圖9顯示典型鑑別憑證之階層；圖10係一根據一實例性實施例用於將受保護資料自一源 SSD複製至一目的地SSD之高級方法；及圖11係更詳細顯示之圖〗〇之方法。應瞭解’為簡化及清晰說明起見，圖式中所示之元件未必按比例繪製。此外，在認為適當之處，參考編號可在該等圖式之間重複以指示相同、對應或類似元件。【主要元件符號說明】 100 安全儲存裝置 102 主機介面 106 資料及控制線 108 大容量儲存區 141641.doc -60· 201009637

110 使用者儲存區 120 受限儲存區 130 安全管理儲存區 140 安全儲存控制器 150 主機裝置 200 資料備份系統 205 主機裝置系統 210 第三方 215 使用者 220 安全通道 222 安全通道 225 安全通道 230 主機裝置 240 主機裝置 250 源SSD 260 目的地SSD 270 服務提供商 280 主機裝置3 290 主機裝置η 300 資料備份系統 305 主機裝置系統 310 第三方 315 使用者介面 320 主機裝置 •61- 141641.doc 201009637 330 讀卡器 340 讀卡器 350 源SSD 355 通信線路 360 目的地SSD 365 通信線路 370 使用者應用程式 380 通信線路 390 資料網路 400 系統 405 主機裝置系統 410 第三方 420 主機裝置 430 讀卡器 450 源SSD 455 通信線路 460 目的地SSD 480 通信線路 490 資料網路 500 系統 505 主機裝置系統 510 第三方 515A 使用者介面 515B 使用者介面 141641.doc -62- 201009637 520A 主機裝置 520B 主機裝置 530 讀卡器 540 讀卡器

550 源SSD 555 通信路徑

560 目的地SSD

565 570A 570B

580 590 620 630 640 650 660

通信路徑使用者應用程式使用者應用程式通信路徑資料網路通信介面鑑別管理器儲存裝置組態器記憶體資料讀取/寫入機構 141641.doc •63·

Claims

201009637 七、申請專利範圍： 1. 一種準備一備份安全儲存裝置之方法，其包含： a) 確定一源安全儲存裝置是否經授權以傳遞欲由一目的地安全儲存裝置備份之安全資料，該源安全儲存裝置含有包括若未經授權則不可由該源安全儲存裝置傳送之該安全資料之數位資料； * b) 確定該目的地安全儲存裝置是否經授權以自該源安 • 全儲存裝置備份該安全資料；及 c) 若該源女全儲存裝置經授權以使其中之該安全資料由戎目的地安全儲存裝置備份且該目的地安全儲存裝置經授權以自該源安全储存裝置備份安全資料，則在該源安全儲存裝置與該目的地安全儲存裝置之間建立女全通道，並藉由該安全通道將該數位資料自該源安全儲存裝置複製至該目的地安全儲存裝置，以使該數位資料在該目的地安全儲存裝置中之 • 複本係不可用直至該目的地安全儲存裝置被啟用為止。 2. 如β求項1之方法，其中使該數位資料在該目的地安全儲存裝置中之該複本變得不可由該源安全儲存裝置、由 ' 該目的地女全儲存裝置或由一可信第三方使用。 3. 如叫求項1之方法，其中使該數位資料在該目的地安全儲存裝置中之該複本在將該數位f料自該源安全儲存裝置複製至該目的地安全儲存裝置之前、期間或之後不可用0 141641.doc 201009637 4. 如請求们之方法，其中藉由以下操作中之任—操作來使該數位資料在該目的地安全儲存裝置中之該複本不可二：⑴在該數位資料被複製至該目的地安全儲存裝置之前或正複製至該目的地安全儲存裝置時改變該數位資料、（ii)修改該目的地安全儲存裝置之—屬性、及⑴在該目的地安全儲存裝置處組態該複製之數位資料。 5. 如請求们之方法’其中該確定該源安全儲存裝置是否經授權以由該目的地安全儲存裝置備份係由該目的地安全儲存裝置或由-可信第三方來完成，且其中該確定該目的地安全健存裝置是否經授權以備份該源安全儲存裝置係由該源安全儲存裝置或由該可信第三方來完成。 6. 如請求項1之方法，其進一步包含： d)藉由下述方式準備該目的地安全儲存裝置以供用作一備份安全儲存裝置：停用該源安全儲存裝置以使該源安全儲存裝置之該數位資料係不可用，並啟用該目的地安全儲存裝置以使複製至其之該數位資料係可用。如"月求項6之方法’其中停用該源安全错存裝置係藉由一可信第三方公佈該源安全儲存裝置之一識別符來實現，且其中啟用該目的地安全儲存裝置包括該可信第三方恢復⑴該目的地安全儲存裝置中之資料、或（π)該目的地安全儲存裝置m或（iii)該目的地安全儲存裝置之一組態。 8.如請求項7之方法’纟中該源安全儲存裝置之該識別符 141641.doc 201009637 係（i)在相互鑑別期間或在資料嵌入於自該源安全儲存裝置複製至該目的地安全儲存裝置並隨後複製至該可信第三方之該數位資料中時自該源安全儲存裝置傳送至該目的地安全儲存裝置，或（ii)在相互鑑別期間或在資料嵌入 • 於自該源安全儲存裝置複製至該可信第三方之該數位資料中時直接傳送至該可信第三方。 9. 如請求項1之方法，其進一步包含： φ d)由該源安全儲存裝置或由該目的地安全儲存裝置接收一由一使用者應用程式所發起之將該源安全儲存裝置之該數位資料備份於該目的地安全儲存裝置中之備份請求。 10. 如請求項5之方法，其進一步包含： d) 由該源安全儲存裝置來確定該可信第三方是否經授權以接收該源安全儲存裝置之該數位資料；及 e) 若該源安全儲存裝置經授權以被備份且該可信第三 Φ 方經授權以自該源安全儲存裝置接收該數位資料，則在該源安全儲存裝置與該可信第三方之間建立一第一安全通道並藉由該第一安全通道將該數位資料自該源安全儲存裝置複製至該可信第三方。 11. 如請求項10之方法，其進一步包含： f) 由該可信第三方來確定該目的地安全儲存裝置是否經授權以接收該數位資料；及 g) 若該目的地安全儲存裝置經授權以自該可信第三方接收該數位資料且該可信第三方經授權以向該目的 141641.doc 201009637 地安全儲存裝置發送該數位資料，則在該源安全儲存裝置與該可信第三方之間建立—第二安全通道並藉由該第二安全通道將該數位資料自該可信第三方複製至該目的地安全儲存裝置。 12·-種用於將-個安全儲存裝置之數位資料備份於另一個安全儲存裝置中之可信第三方，該可信第三方包含： a) -鑑別管理器，該鑑別管理器經組態以：⑴鑑別一目的地女全儲存裝置，該目的地安全儲存裝置含有起源於一源安全儲存裝置之一不可用數位資料，該數位資料包括不可傳送至未經授權裝置之安全資料；並（ii)與該經鑑別目的地安全儲存裝置建立一安全通道； b) 儲存裝置組態器，其用於： ⑴停用該源安全儲存裝置以使料於其中之該數位資料變得不可用，及 ⑼藉由該安全通道來啟用該目的地安全儲存裝置以使該目的地安全儲存裝置中之該數位資料可用。 13.如請求項12夕筮_ + 朴丄、之第二方’其中該儲存裝置組態器進-步經以藉由下述方式來啟用該目的地安全儲存裝置：恢目的地安全儲存裝置中之經修改資料、或⑴)該目全儲=儲存裝置之—經修改屬性、或㈣該目的地安儲存裝置之一經修改組態。 14 Γϋ!12之第三方’其中該儲存裝置組態器進-步經 ^該源安全儲存裝置或自該目的地安全儲存裝置 14164J.doc 201009637 接收該源安全儲在至該源安全儲存裝置識別符，並將該識別符公佈置。料裝置之—主機以停㈣源安全儲存裝 15_如請求項12之第三方，其進一步包含·

C) 2=/寫入機構’其經組態以藉由-安全通道數位資置讀取該數位資料並將該所讀取 •如請求項15二4該7地安全儲存裝置中。以在，資“ 該鑑別管理器進-步經組態位資料之1寫入機構自該源安全儲存裝置讀取該數該源安全儲存裝置。裝置並將該第二方鐘別至 17.如請求項15之當= 第二方，其中該資料讀取/寫入機構自該源 :子裝置讀取之該數位資料包括該源安全之一識別符》 18. 如明求項17之第三方’其中該儲存裝置組態器進一步經二〜、X藉由將該源安全儲存裝置之該識別符公佈至一代 &該源安全儲存裝置之主機來停用該源安全儲存裝置。 19. 一種促進將其受保護資料備份於一目的地安全儲存裝置中之安全儲存裝置，該安全儲存裝置包含： a) 儲存數位資料之大容量儲存區，該數位資料包括不可傳送至未經授權裝置之安全資料；及 b) —女全儲存控制器，其經組態以··⑴確定一目的地安全儲存裝置或一可信第三方是否經授權以自其接收該數位資料，若經授權，則在該安全儲存控制器 141641.doc 201009637 與該目的地安全健存裝置之間或在該安全儲存控制 :。與該可仏第二方之間建立一安全通道，並⑴)藉由二對應安全通道直接或經由該可信第三方將該數位 /料傳送至該目的地安全儲存裝置以供備份。 —月求項19之女全儲存裝置，其中該安全儲存控制器進 :步經組1以㈣該目的地安全儲存裝置以使該所傳送數位資料變得不可用。 21·如請求項2G之安全儲存裝置，其中該安全儲存控制器使該所傳送數位資料在該安全儲存㈣器將該數位資料傳送至該目的地安全儲存裝置或傳送至該第三方之前、期間或之後變得不可用。 22. 如清求項19之安全儲存裝置其中該安全儲存控制器進一步經組態以將該源安全儲存裝置之-識別符直接或經由该目的地安全儲存裝置傳送至該第三方以便該識別符由該第二方用來停用該安全儲存裝置。 23. 如請求項22之安全儲存裝置，其中該安全储存控制器在與该第三方或目的地安全儲存裳置之相互鑑別期間或在資料歲人於料料數位資料巾時將該朗符傳送至該第二方或傳送至該目的地安全儲存裝置。 24_如請求項19之安全儲存裝置，其中該安全儲存控制器進一步經組態以㈣確定-源安全儲存裝置是否經授權以向該安全儲存裝置發送包括若未經授權則不可由該源安全儲存裝置傳送之安全資料之數位資料，且若經授權，則⑻在該安全儲存裝置與該源安全錯存褒置或該第三方 141641.doc 201009637 之間建立一安全通道，並藉由該相應安全通道直接自該源安全儲存裝置或經由該第三方接收該源安全儲存裝置之該數位資料。 25·如請求項24之安全儲存裝置’其中若自該源安全儲存裝 .置所接收之該數位資料係可用，則該安全儲存控制器進 -步經組態以停用該安全儲存裝置以使自該源安全儲存裝置所接收之該數位資料變得不可用。 φ 26.如請求項25之安全儲存裝置’其中該安全健存控制器藉由以下操作中之任一操作來使該源安全儲存裝置之該數位資料變得不可用：⑴改變該安全儲存裝置巾之該數位資料、或⑻修改該安全儲存裝置之一屬性、或（出）組離自該源安全儲存裝置複製至該安全儲存裝置之該數位資 27^請求項Μ之安全儲存裝置，其中該安全儲存控制器進 ::!組態以藉由使該安全储存裝置中之不可用數位資儲存裝置。面仿女全 28.=:=安全儲存裝置，其中該安全鍺存控制器藉 =該：全儲存裝置中之資料、該目的地安全儲存裝讀目㈣安线存裝置之—輕來使該安子裝置中之該數位資料變得可用。 ° 29.=請求項27之安全儲存裝置其中作為該安全儲作為-備份安全儲存裝置之該、存控制器向該第三方於備之^刀，該安全儲發达该源文全錯存褒*之-識別符 141641.doc 201009637 以便其由6亥第二方公佈至一代管該源安全儲存裝置之主機’使付儲存於該源安全儲存裝置t之該數位資料不可用。 30.如請求項29之安全儲存裝置’其中該安全儲存控制器直接自該源安全儲存裝置或經由該可信第三方接收該源安全儲存裝置之該識別符。 141641.doc