專(zhuān)利名稱(chēng):具有分區(qū)的通用內(nèi)容控制的制作方法
技術(shù)領(lǐng)域:
本發(fā)明大體上涉及存儲(chǔ)器系統(tǒng)����,更明確地說(shuō),涉及一種具有通用內(nèi)容控制特征的 存儲(chǔ)器系統(tǒng)�。
背景技術(shù):
計(jì)算裝置市場(chǎng)正朝向在移動(dòng)存儲(chǔ)裝置上包括內(nèi)容存儲(chǔ)以便通過(guò)產(chǎn)生較多數(shù)據(jù)交 換來(lái)增加平均收入的方向發(fā)展。這意味著在將移動(dòng)存儲(chǔ)媒體中的內(nèi)容用于計(jì)算裝置上時(shí)需 要保護(hù)所述內(nèi)容�。內(nèi)容包括有價(jià)值的數(shù)據(jù),此可為除了制造或出售所述存儲(chǔ)裝置的人之外 的群體所擁有的數(shù)據(jù)�����。在第6,457����,126號(hào)美國(guó)專(zhuān)利中描述一種具有加密能力的存儲(chǔ)裝置。然而�����,此裝置 所提供的能力非常有限�����。因此���,需要提供一種具有較多通用內(nèi)容控制特征的存儲(chǔ)器系統(tǒng)����。
發(fā)明內(nèi)容
移動(dòng)存儲(chǔ)媒體中的內(nèi)容保護(hù)可涉及加密媒體中的數(shù)據(jù)�����,以使得僅授權(quán)用戶(hù)或應(yīng)用 程序可存取用于加密存儲(chǔ)在媒體中的數(shù)據(jù)的密鑰����。在一些現(xiàn)有系統(tǒng)中�����,用于加密和解密數(shù) 據(jù)的密鑰存儲(chǔ)在移動(dòng)存儲(chǔ)媒體外部的裝置中�����。在此類(lèi)情況下�,擁有內(nèi)容所有權(quán)權(quán)益的公司 或個(gè)人可能對(duì)媒體中內(nèi)容的使用沒(méi)有很多控制�。由于用于加密媒體中數(shù)據(jù)的密鑰存在于媒 體外部����,因而可用不受內(nèi)容所有者控制的方式將此密鑰從一個(gè)裝置傳遞到另一個(gè)裝置。根 據(jù)本發(fā)明的一個(gè)特征�,如果加密-解密密鑰存儲(chǔ)在媒體自身中且實(shí)質(zhì)上不可由外部裝置存 取,那么所有者權(quán)益的擁有者將占據(jù)控制存取媒體中內(nèi)容的較佳位置�����。通過(guò)使得基本上不可從媒體外部存取密鑰���,此特征對(duì)安全內(nèi)容提供可攜性����。因此, 含有以此類(lèi)密鑰來(lái)加密的安全內(nèi)容的存儲(chǔ)裝置可用于由各種主機(jī)裝置來(lái)存取�����,而沒(méi)有破壞 安全性的危險(xiǎn)�,因?yàn)樗鲅b置具有對(duì)存取密鑰的專(zhuān)有控制。只有那些具有適當(dāng)證書(shū)的主機(jī) 裝置才能夠存取所述密鑰�����。為了增強(qiáng)存儲(chǔ)在移動(dòng)存儲(chǔ)媒體中的內(nèi)容的商業(yè)價(jià)值��,需要內(nèi)容所有權(quán)權(quán)益的擁有 者能夠?qū)⒉煌S可授權(quán)給不同實(shí)體以用于存取內(nèi)容�����。因此��,本發(fā)明的另一特征基于以下認(rèn) 識(shí)可存儲(chǔ)用于授權(quán)不同許可(例如�����,給不同經(jīng)授權(quán)實(shí)體)以存取存儲(chǔ)在媒體中的數(shù)據(jù)的存 取策略���。并入有所述兩個(gè)上述特征的組合的系統(tǒng)尤其有利��。一方面����,內(nèi)容擁有者或所有者 具有通過(guò)使用實(shí)質(zhì)上外部裝置不可存取的密鑰來(lái)控制存取內(nèi)容的能力,且同時(shí)具有授權(quán)用 于存取媒體中內(nèi)容的不同許可的能力�。因此,即使在外部裝置獲得存取的情況下��,其存取仍 可受記錄在存儲(chǔ)媒體中的由內(nèi)容擁有者或所有者設(shè)定的不同許可支配�。又一特征基于以下認(rèn)識(shí)當(dāng)在快閃存取器中實(shí)施上述策略(其中將不同許可授權(quán)給不同經(jīng)授權(quán)實(shí)體)時(shí),這導(dǎo)致對(duì)內(nèi)容保護(hù)尤其有用的媒體���。許多存儲(chǔ)裝置不知道文件系統(tǒng),而許多計(jì)算機(jī)主機(jī)裝置以文件形式讀取和寫(xiě)入數(shù) 據(jù)����。根據(jù)另一特征,主機(jī)裝置提供密鑰參考或ID�,而存儲(chǔ)器系統(tǒng)作為響應(yīng)產(chǎn)生與所述密鑰 ID相關(guān)聯(lián)的密鑰值,其中所述密鑰值用于密碼處理與所述密鑰ID相關(guān)聯(lián)的文件中的數(shù)據(jù)����。 主機(jī)將所述密鑰ID與待由存儲(chǔ)器系統(tǒng)密碼處理的文件進(jìn)行關(guān)聯(lián)�����。因此���,密鑰ID由計(jì)算裝 置和存儲(chǔ)器用作句柄,存儲(chǔ)器通過(guò)所述句柄保持對(duì)用于密碼處理的密鑰值的產(chǎn)生和使用的 完全且專(zhuān)有控制��,而主機(jī)保持對(duì)文件的控制��。在例如智能卡的一些移動(dòng)存儲(chǔ)裝置中��,卡控制器管理文件系統(tǒng)����。在例如快閃存儲(chǔ) 器、磁碟或光碟的許多其它類(lèi)型的移動(dòng)存儲(chǔ)裝置中����,裝置控制器不知道文件系統(tǒng);而是�����,裝 置控制器依賴(lài)主機(jī)裝置(例如,個(gè)人計(jì)算機(jī)�、數(shù)碼相機(jī)、MP3播放器���、個(gè)人數(shù)字助理����、蜂窩式 電話(huà))來(lái)管理文件系統(tǒng)�����。本發(fā)明的各種方面可容易地并入到此些類(lèi)型的存儲(chǔ)裝置中����,其中 所述裝置不知道文件系統(tǒng)。這意味著可在各種各樣的現(xiàn)有移動(dòng)存儲(chǔ)裝置上實(shí)踐本發(fā)明的各 種特征而無(wú)需重新設(shè)計(jì)此類(lèi)裝置來(lái)使得此類(lèi)裝置中的裝置控制器變得知道且能夠管理文 件系統(tǒng)�。存儲(chǔ)媒體中所存儲(chǔ)的樹(shù)結(jié)構(gòu)提供對(duì)于實(shí)體在恰好獲得存取之后可進(jìn)行什么的控 制。樹(shù)的每個(gè)節(jié)點(diǎn)指定對(duì)于已通過(guò)樹(shù)的此節(jié)點(diǎn)獲得入口的實(shí)體的許可���。一些樹(shù)具有不同等 級(jí),其中在樹(shù)的一節(jié)點(diǎn)處的一個(gè)或多個(gè)許可與在同一樹(shù)中較高或較低或相同等級(jí)的另一節(jié) 點(diǎn)處的一個(gè)或多個(gè)許可具有預(yù)定關(guān)系����。通過(guò)要求實(shí)體遵守在每個(gè)節(jié)點(diǎn)處如此指定的許可, 此應(yīng)用程序的樹(shù)特征允許內(nèi)容擁有者控制哪些實(shí)體可采取行動(dòng)和每個(gè)實(shí)體可采取哪些行 動(dòng)�,這與樹(shù)是否具有不同等級(jí)無(wú)關(guān)����。為了增強(qiáng)可由移動(dòng)存儲(chǔ)媒體提供的商業(yè)價(jià)值�����,需要移動(dòng)存儲(chǔ)裝置能夠同時(shí)支持一 個(gè)以上應(yīng)用程序��。當(dāng)兩個(gè)或兩個(gè)以上應(yīng)用程序正同時(shí)存取移動(dòng)存儲(chǔ)裝置時(shí)�,可能重要的是 能夠分離所述兩個(gè)或兩個(gè)以上應(yīng)用程序的操作,以使得其不會(huì)以本文稱(chēng)為串話(huà)的現(xiàn)象而彼 此干擾���。因此�����,本發(fā)明的另一特征基于以下認(rèn)識(shí)可提供優(yōu)選地為分級(jí)的兩個(gè)或兩個(gè)以上 樹(shù)以用于控制存取存儲(chǔ)器�。每個(gè)樹(shù)在不同等級(jí)包含節(jié)點(diǎn)以用于控制相應(yīng)組實(shí)體對(duì)數(shù)據(jù)的存 取��,其中每個(gè)樹(shù)的節(jié)點(diǎn)指定所述一個(gè)或多個(gè)相應(yīng)實(shí)體用于存取存儲(chǔ)器數(shù)據(jù)的一個(gè)或多個(gè)許 可�����。在每個(gè)樹(shù)的節(jié)點(diǎn)處的所述一個(gè)或多個(gè)許可與在同一樹(shù)中較高或較低等級(jí)的另一節(jié)點(diǎn)處 的一個(gè)或多個(gè)許可具有預(yù)定關(guān)系。優(yōu)選地�,在所述樹(shù)的至少兩者之間不存在串話(huà)。根據(jù)上文���,將顯然看到樹(shù)是可用于內(nèi)容安全性的強(qiáng)有力結(jié)構(gòu)��。所提供的一個(gè)重要 控制是控制樹(shù)的創(chuàng)建�����。因此��,根據(jù)本發(fā)明的另一特征�����,移動(dòng)存儲(chǔ)裝置可具備能夠創(chuàng)建至少一 個(gè)分級(jí)樹(shù)(其在不同等級(jí)處包含節(jié)點(diǎn)以用于由相應(yīng)實(shí)體控制存取存儲(chǔ)在存儲(chǔ)器中的數(shù)據(jù)) 的系統(tǒng)代理�����。樹(shù)的每個(gè)節(jié)點(diǎn)指定一個(gè)或多個(gè)相應(yīng)實(shí)體用于存取存儲(chǔ)器數(shù)據(jù)的一個(gè)或多個(gè)許 可����。在每個(gè)樹(shù)的節(jié)點(diǎn)處的所述一個(gè)或多個(gè)許可與在同一樹(shù)中較高或較低或相同等級(jí)的節(jié)點(diǎn) 處的一個(gè)或多個(gè)許可具有預(yù)定關(guān)系����。因此,可在尚未創(chuàng)建任何樹(shù)的情況下發(fā)行移動(dòng)存儲(chǔ)裝 置���,以使得裝置的購(gòu)買(mǎi)者可以自由地創(chuàng)建分級(jí)樹(shù)�����,所述分級(jí)樹(shù)適用于購(gòu)買(mǎi)者所考慮的應(yīng)用 程序�����?��;蛘撸稍谝褎?chuàng)建樹(shù)的情況下發(fā)行移動(dòng)存儲(chǔ)裝置��,以使得購(gòu)買(mǎi)者不必經(jīng)歷創(chuàng)建樹(shù)的麻 煩�。在這兩種情況下,優(yōu)選地�,樹(shù)的特定功能性在裝置制成之后變得固定,以使得不能進(jìn)一 步改變或修改所述功能性�。這提供內(nèi)容擁有者對(duì)裝置中內(nèi)容存取的較強(qiáng)控制。因此���,在一 個(gè)實(shí)施例中�,可優(yōu)選地禁用系統(tǒng)代理,以使得不會(huì)創(chuàng)建額外的樹(shù)���。
在一些移動(dòng)存儲(chǔ)裝置中���,通過(guò)將存儲(chǔ)器劃分為多個(gè)獨(dú)立區(qū)域來(lái)提供內(nèi)容保護(hù),其中存取受保護(hù)區(qū)域要求在先認(rèn)證�����。盡管此特征提供某種保護(hù)����,但其不能保護(hù)以免通過(guò)非法 途徑獲得口令的用戶(hù)存取。因此��,本發(fā)明的另一方面基于以下認(rèn)識(shí)可提供一種機(jī)制或結(jié)構(gòu) 來(lái)將存儲(chǔ)器劃分為多個(gè)分區(qū)����,且使得所述分區(qū)中的至少某些數(shù)據(jù)可用密鑰來(lái)加密,以使得 除了存取某些所述分區(qū)所需要的認(rèn)證之外�,可能需要存取一個(gè)或一個(gè)以上密鑰來(lái)解密此類(lèi) 分區(qū)中經(jīng)加密的數(shù)據(jù)。在一些應(yīng)用中����,可更方便地使得用戶(hù)能夠使用一個(gè)應(yīng)用程序登錄存儲(chǔ)器系統(tǒng)��,且 接著能夠使用不同應(yīng)用程序來(lái)存取受保護(hù)內(nèi)容而無(wú)需再次登錄。在此類(lèi)情況下���,用戶(hù)想要 以此方式存取的所有內(nèi)容可與第一帳戶(hù)相關(guān)聯(lián)�����,以使得可經(jīng)由不同應(yīng)用程序(例如�����,音樂(lè) 播放器��、電子郵件����、蜂窩式通信)來(lái)存取所有此類(lèi)內(nèi)容而無(wú)需多次登錄��。接著可將不同組認(rèn) 證信息用于登錄以存取在與第一帳戶(hù)不同的帳戶(hù)中的受保護(hù)內(nèi)容����,即使所述不同帳戶(hù)是針 對(duì)相同用戶(hù)或?qū)嶓w的��。在存儲(chǔ)系統(tǒng)中可單獨(dú)使用上述特征或可以任何組合來(lái)組合上述特征���,以提供內(nèi)容 擁有者的控制和/或保護(hù)的較強(qiáng)通用性。
圖1是可用于說(shuō)明本發(fā)明的與主機(jī)裝置通信的存儲(chǔ)器系統(tǒng)的方框圖���。圖2是存儲(chǔ)器的不同分區(qū)和存儲(chǔ)在不同分區(qū)中的未加密和加密文件的示意圖��,其 中存取特定分區(qū)和加密文件由存取策略和認(rèn)證程序控制�,所述示意圖用以說(shuō)明本發(fā)明的實(shí) 施例����。圖3是說(shuō)明存儲(chǔ)器中不同分區(qū)的存儲(chǔ)器的示意圖。圖4是用于圖3所示的存儲(chǔ)器的不同分區(qū)的文件位置表的示意圖���,其中所述分區(qū) 中的某些文件經(jīng)加密以說(shuō)明本發(fā)明的實(shí)施例���。圖5是存取受控記錄群組中的存取控制記錄和相關(guān)聯(lián)密鑰參考的示意圖,其用以 說(shuō)明本發(fā)明的實(shí)施例�����。圖6是由存取受控記錄群組和存取受控記錄形成的樹(shù)結(jié)構(gòu)的示意圖����,其用于說(shuō)明 本發(fā)明的實(shí)施例����。圖7是說(shuō)明存取受控記錄群組的三個(gè)分級(jí)樹(shù)的樹(shù)的示意圖��,其用以說(shuō)明所述樹(shù)的 形成過(guò)程���。圖8A和8B是說(shuō)明由主機(jī)裝置和存儲(chǔ)器裝置(例如,用于創(chuàng)建和使用系統(tǒng)存取控 制記錄的存儲(chǔ)卡)執(zhí)行的過(guò)程的流程圖���。圖9是說(shuō)明使用系統(tǒng)存取控制記錄來(lái)創(chuàng)建存取受控記錄群組的過(guò)程的流程圖�����,其 用以說(shuō)明本發(fā)明��。圖10是說(shuō)明用于創(chuàng)建存取控制記錄的過(guò)程的流程圖����。圖11是可用于說(shuō)明分級(jí)樹(shù)的特定應(yīng)用程序的兩個(gè)存取控制記錄群組的示意圖����。圖12是說(shuō)明用于授權(quán)特定權(quán)利的過(guò)程的流程圖�。圖13是存取受控記錄群組和存取控制記錄的示意圖���,其用以說(shuō)明圖12的授權(quán)過(guò)程��。圖14是說(shuō)明用于創(chuàng)建用于加密和/或解密目的的密鑰的過(guò)程的流程圖���。
圖15是說(shuō)明用于根據(jù)存取受控記錄來(lái)取消存取權(quán)利和/或針對(duì)數(shù)據(jù)存取的許可 的過(guò)程的流程圖。圖16是說(shuō)明當(dāng)存取權(quán)利和/或存取許可已被刪除或已期滿(mǎn)時(shí)請(qǐng)求存取的過(guò)程的 流程圖��。圖17A和圖17B是說(shuō)明用于認(rèn)證的規(guī)則結(jié)構(gòu)和用于授權(quán)存取密碼密鑰的策略的組 織的示意圖�,其用以說(shuō)明本發(fā)明的另一實(shí)施例。圖18是說(shuō)明當(dāng)打開(kāi)一些對(duì)話(huà)時(shí)認(rèn)證和存取對(duì)話(huà)的流程圖�����。圖19-22是說(shuō)明不同認(rèn)證過(guò)程的流程圖�����。為了簡(jiǎn)化說(shuō)明�,在此申請(qǐng)案中,用相同數(shù)字標(biāo)注相同元件�����。
具體實(shí)施例方式圖1的方框圖說(shuō)明其中可實(shí)施本發(fā)明各種方面的實(shí)例性存儲(chǔ)器系統(tǒng)。如圖1所 示����,存儲(chǔ)器系統(tǒng)10包括中央處理單元(CPU) 12、緩沖器管理單元(BMU) 14��、主機(jī)接口模塊 (HIM) 16和快閃接口模塊(FIM) 18����、快閃存儲(chǔ)器20和外圍存取模塊(PAM) 22。存儲(chǔ)器系統(tǒng) 10通過(guò)主機(jī)接口總線26和端口 26a與主機(jī)裝置24通信�?���?梢允荖AND類(lèi)型的快閃存儲(chǔ)器 20為主機(jī)裝置24提供數(shù)據(jù)存儲(chǔ)。也可將CPU 12的軟件代碼存儲(chǔ)在快閃存儲(chǔ)器20中�。FIM 18通過(guò)快閃接口總線28和端口 28a連接到快閃存儲(chǔ)器20。HIM16適于連接到例如數(shù)碼相 機(jī)��、個(gè)人計(jì)算機(jī)�、個(gè)人數(shù)字助理(PDA)、數(shù)字媒體播放器���、MP-3播放器�、蜂窩式電話(huà)或其它數(shù) 字裝置的主機(jī)系統(tǒng)。外圍存取模塊22選擇例如FIM����、HIM和BMU的適當(dāng)控制器模塊以用于 與CPU 12通信。在一個(gè)實(shí)施例中�,可將虛線框內(nèi)的系統(tǒng)10的所有元件裝入例如存儲(chǔ)卡或 棒10’的單個(gè)單元中且優(yōu)選地將其密封。盡管本文參考快閃存儲(chǔ)器來(lái)說(shuō)明本發(fā)明�����,但本發(fā)明也可適用于其它類(lèi)型的存儲(chǔ) 器�,例如磁碟、光學(xué)CD以及其它類(lèi)型的可重寫(xiě)非易失性存儲(chǔ)器系統(tǒng)��。緩沖器管理單元14包括主機(jī)直接存儲(chǔ)器存取(HDMA)32�����、快閃直接存儲(chǔ)器存取 (FDMA) 34����、仲裁器36、緩沖器隨機(jī)存取存儲(chǔ)器(BRAM) 38和密碼引擎40�����。仲裁器36是共享 總線仲裁器,以使得僅一個(gè)主導(dǎo)裝置或啟動(dòng)器(其可以是HDMA 32�、FDMA34或CPU 12)可在 任何時(shí)間起作用,且從屬裝置或目標(biāo)裝置是BRAM 38�。仲裁器負(fù)責(zé)將適當(dāng)啟動(dòng)器請(qǐng)求引導(dǎo) 到BRAM 38。HDMA 32和FDMA 34負(fù)責(zé)在HIM 16��、FIM 18與BRAM 38或CPU隨機(jī)存取存儲(chǔ) 器(CPU RAM) 12a之間傳送的數(shù)據(jù)�����。HDMA 32和FDMA34的操作是常規(guī)的���,且不需要在本文詳 細(xì)描述�����。BRAM 38用于存儲(chǔ)在主機(jī)裝置24與快閃存儲(chǔ)器20之間傳遞的數(shù)據(jù)。HDMA 32和 FDMA 34負(fù)責(zé)在HIM 16/FIM 18與BRAM 38或CPU RAM 12a之間傳送數(shù)據(jù)且指示扇區(qū)完成�。針對(duì)存儲(chǔ)在存儲(chǔ)器20中的內(nèi)容的改進(jìn)安全性,存儲(chǔ)器系統(tǒng)10產(chǎn)生用于加密和/或解密的密鑰值����,其中此值實(shí)質(zhì)上不可由例如主機(jī)裝置24的外部裝置存取。然而,通常逐 個(gè)文件地進(jìn)行加密和解密���,因?yàn)橹鳈C(jī)裝置以文件的形式讀取數(shù)據(jù)和將數(shù)據(jù)寫(xiě)入存儲(chǔ)器系統(tǒng) 10����。如同許多其它類(lèi)型的存儲(chǔ)裝置�����,存儲(chǔ)器裝置10不知道文件或文件系統(tǒng)�����。盡管存儲(chǔ)器20 存儲(chǔ)其中識(shí)別文件的邏輯地址的文件分配表(FAT)����,但所述FAT通常由主機(jī)裝置24而并非 由控制器12存取和管理。因此���,為了加密特定文件中的數(shù)據(jù)����,控制器12將必須依賴(lài)主機(jī)裝 置來(lái)發(fā)送存儲(chǔ)器20中的文件中的數(shù)據(jù)的邏輯地址����,以使得可由系統(tǒng)10找到特定文件的數(shù) 據(jù)并使用僅系統(tǒng)10可獲得的密鑰值對(duì)其進(jìn)行加密和/或解密���。
為了為主機(jī)裝置24和存儲(chǔ)器系統(tǒng)10兩者提供句柄以參考用于密碼地處理文件中 的數(shù)據(jù)的相同密鑰,主機(jī)裝置提供針對(duì)由系統(tǒng)10產(chǎn)生的每個(gè)密鑰值的參考�,其中此參考可 簡(jiǎn)單地是密鑰ID。因此���,主機(jī)24將由系統(tǒng)10密碼地處理的每個(gè)文件與密鑰ID進(jìn)行關(guān)聯(lián)�, 且系統(tǒng)10將用于密碼地處理數(shù)據(jù)的每個(gè)密鑰值與由主機(jī)提供的密鑰ID進(jìn)行關(guān)聯(lián)����。因此, 當(dāng)主機(jī)請(qǐng)求密碼地處理文件時(shí)�,其將把具有密鑰ID的請(qǐng)求連同待從存儲(chǔ)器20取出或存儲(chǔ) 在存儲(chǔ)器20中的數(shù)據(jù)的邏輯地址發(fā)送到系統(tǒng)10。系統(tǒng)10產(chǎn)生密鑰值��,并將由主機(jī)24提供 的密鑰ID與此值進(jìn)行關(guān)聯(lián)��,且執(zhí)行密碼處理�����。以此方式�,不需要對(duì)存儲(chǔ)器系統(tǒng)10操作且同 時(shí)允許其使用密鑰完全控制加密處理(包括對(duì)密鑰值的專(zhuān)有存取)的方式作出改變。換句 話(huà)說(shuō)�,系統(tǒng)10繼續(xù)允許主機(jī)24通過(guò)具有對(duì)FAT的專(zhuān)有控制來(lái)管理文件,而其維持對(duì)產(chǎn)生和 管理用于密碼處理的密鑰值的專(zhuān)有控制�。主機(jī)裝置24不參與產(chǎn)生和管理用于數(shù)據(jù)的密碼 處理的密鑰值。由主機(jī)24提供的密鑰ID和由存儲(chǔ)器系統(tǒng)產(chǎn)生的密鑰值形成兩個(gè)數(shù)量屬性����,下文 在一個(gè)實(shí)施例中稱(chēng)為“內(nèi)容加密密鑰”或CEK0盡管主機(jī)24可將每個(gè)密鑰ID與一個(gè)或一個(gè) 以上文件進(jìn)行關(guān)聯(lián),但主機(jī)24也可將每個(gè)密鑰ID與未組織數(shù)據(jù)或以任何方式組織的數(shù)據(jù) (且不限于組織成完整文件的數(shù)據(jù))進(jìn)行關(guān)聯(lián)����。為了使用戶(hù)或應(yīng)用程序能夠存取系統(tǒng)10中的受保護(hù)內(nèi)容或區(qū)域,將需要使用預(yù) 先向系統(tǒng)10注冊(cè)的證書(shū)來(lái)認(rèn)證�。證書(shū)與以此證書(shū)授予特定用戶(hù)或應(yīng)用程序的存取權(quán)利綁 定。在預(yù)先注冊(cè)過(guò)程中��,系統(tǒng)10存儲(chǔ)身份記錄和用戶(hù)或應(yīng)用程序的證書(shū)以及與由用戶(hù)或應(yīng) 用程序確定且通過(guò)主機(jī)24提供的此識(shí)別和證書(shū)相關(guān)聯(lián)的存取權(quán)利�。在完成預(yù)先注冊(cè)過(guò)程 之后,當(dāng)用戶(hù)或應(yīng)用程序請(qǐng)求將數(shù)據(jù)寫(xiě)入存儲(chǔ)器20時(shí)���,將需要通過(guò)主機(jī)裝置提供其身份和 證書(shū)�����、用于加密數(shù)據(jù)的密鑰ID和將存儲(chǔ)已加密數(shù)據(jù)的邏輯地址�����。系統(tǒng)10產(chǎn)生密鑰值��,且將 此值與由主機(jī)裝置提供的密鑰ID進(jìn)行關(guān)聯(lián)����,且將用于加密待寫(xiě)入數(shù)據(jù)的密鑰值的密鑰ID 存儲(chǔ)在其針對(duì)此用戶(hù)或應(yīng)用程序的記錄或表中。其隨后加密數(shù)據(jù)且將已加密數(shù)據(jù)存儲(chǔ)在由 主機(jī)指定的地址處��,以及存儲(chǔ)其產(chǎn)生的密鑰值�。當(dāng)用戶(hù)或應(yīng)用程序請(qǐng)求從存儲(chǔ)器20讀取已加密數(shù)據(jù)時(shí),其將需要提供其身份和 證書(shū)�����、先前用于加密所請(qǐng)求數(shù)據(jù)的密鑰的密鑰ID和存儲(chǔ)已加密數(shù)據(jù)的邏輯地址����。系統(tǒng)10 接著將由主機(jī)提供的用戶(hù)或應(yīng)用程序身份和證書(shū)與存儲(chǔ)在其記錄中的那些進(jìn)行匹配。如果 它們匹配�,那么系統(tǒng)10接著將從其存儲(chǔ)器取出與由用戶(hù)或應(yīng)用程序提供的密鑰ID相關(guān)聯(lián) 的密鑰值,使用密鑰值來(lái)解密存儲(chǔ)在由主機(jī)裝置指定的地址處的數(shù)據(jù)����,且將已解密數(shù)據(jù)發(fā) 送到用戶(hù)或應(yīng)用程序�����。通過(guò)將認(rèn)證證書(shū)與用于密碼處理的密鑰管理分離,接著能夠在不共享證書(shū)的情況 下共享存取數(shù)據(jù)的權(quán)利���。因此�,具有不同證書(shū)的一群組用戶(hù)或應(yīng)用程序可存取用于存取相 同數(shù)據(jù)的相同密鑰�,而此群組之外的用戶(hù)不能存取。雖然一群組內(nèi)的所有用戶(hù)或應(yīng)用程序 可存取相同數(shù)據(jù)�����,但是其仍可具有不同權(quán)利����。因此,一些可具有只讀存取�,而其它可具有只 寫(xiě)存取,而另一些可具有兩者�。因?yàn)橄到y(tǒng)10維持用戶(hù)或應(yīng)用程序身份和證書(shū)、其可存取的 密鑰ID和針對(duì)每個(gè)密鑰ID的相關(guān)聯(lián)存取權(quán)利的記錄�����,因而系統(tǒng)10能夠增加或刪除密鑰ID 且改變針對(duì)特定用戶(hù)或應(yīng)用程序的與這些密鑰ID相關(guān)聯(lián)的存取權(quán)利、使存取權(quán)利在用戶(hù) 或應(yīng)用程序之間彼此授權(quán)����、或甚至刪除或增加針對(duì)用戶(hù)或應(yīng)用程序的記錄或表,這所有動(dòng) 作均由適當(dāng)認(rèn)證的主機(jī)裝置來(lái)控制����。所存儲(chǔ)的記錄可指定需要安全通道來(lái)存取特定密鑰?���?墒褂脤?duì)稱(chēng)或不對(duì)稱(chēng)算法以及口令來(lái)進(jìn)行認(rèn)證。尤其重要的是存儲(chǔ)器系統(tǒng)10中的安全內(nèi)容的可攜性���。由于密鑰值是由存儲(chǔ)器系統(tǒng)產(chǎn)生的且實(shí)質(zhì)上外部系統(tǒng)不可獲得����,因而當(dāng)將存儲(chǔ)器系統(tǒng)或并入有所述系統(tǒng)的存儲(chǔ)裝置 從一個(gè)外部系統(tǒng)轉(zhuǎn)移到另一者時(shí)�,存儲(chǔ)在其中的內(nèi)容的安全得以維護(hù),且外部系統(tǒng)不能存 取此內(nèi)容����,除非其已經(jīng)被以完全由存儲(chǔ)器系統(tǒng)控制的方式認(rèn)證。即使在如此認(rèn)證之后,存取 也完全由存儲(chǔ)器系統(tǒng)控制�����,且外部系統(tǒng)僅可以根據(jù)存儲(chǔ)器系統(tǒng)中的預(yù)設(shè)記錄控制的方式來(lái) 存取��。如果請(qǐng)求不遵守這些記錄�����,那么將拒絕請(qǐng)求�。為了在保護(hù)內(nèi)容時(shí)提供較大靈活性����,構(gòu)思僅可由經(jīng)適當(dāng)認(rèn)證的用戶(hù)或應(yīng)用程序存 取存儲(chǔ)器的以下稱(chēng)為分區(qū)的某些區(qū)域。當(dāng)與以基于密鑰的數(shù)據(jù)加密的上述特征組合時(shí)���,系 統(tǒng)10提供較大數(shù)據(jù)保護(hù)能力���。如圖2所示的本發(fā)明的SanDisk新一代卡的實(shí)施例,快閃存 儲(chǔ)器20可將其存儲(chǔ)能力劃分為若干分區(qū)用戶(hù)區(qū)域或分區(qū)和定制分區(qū)���。用戶(hù)區(qū)域或分區(qū) PO可在無(wú)需認(rèn)證的情況下由所有用戶(hù)和應(yīng)用程序存取��。盡管可由任何應(yīng)用程序或用戶(hù)讀取 或?qū)懭氪鎯?chǔ)在用戶(hù)區(qū)域中的數(shù)據(jù)的所有位值���,但如果數(shù)據(jù)讀取被加密���,那么沒(méi)有解密權(quán)限 的用戶(hù)或應(yīng)用程序?qū)⒉荒艽嫒∮纱鎯?chǔ)在用戶(hù)區(qū)域中的位值所表示的信息。這通過(guò)(例如) 存儲(chǔ)在用戶(hù)區(qū)域PO中的文件102和104說(shuō)明����。同樣存儲(chǔ)在用戶(hù)區(qū)域中的還有未加密文件 (例如106),其可由所有應(yīng)用程序和用戶(hù)讀取和理解����。因此,以符號(hào)表示的方式�����,用與例如 文件102和104的文件相關(guān)聯(lián)的閉鎖來(lái)展示已加密的文件��。盡管未經(jīng)授權(quán)的應(yīng)用程序或用戶(hù)不能理解用戶(hù)區(qū)域PO中的加密文件����,但是這些 應(yīng)用程序或用戶(hù)仍可能夠刪除或破壞文件,這可對(duì)于一些應(yīng)用程序來(lái)說(shuō)是不良的��。為此目 的,存儲(chǔ)器20也可包括例如分區(qū)Pl和P2的受保護(hù)定制分區(qū)�����,所述分區(qū)不能在無(wú)先前認(rèn)證 的情況下進(jìn)行存取���。下文解釋此申請(qǐng)案的實(shí)施例中所允許的認(rèn)證過(guò)程��。同樣如圖2說(shuō)明��,多種用戶(hù)或應(yīng)用程序可存取存儲(chǔ)器20中的文件。因此��,圖2中 展示用戶(hù)1和2以及應(yīng)用程序1到4(在裝置上運(yùn)行)�。在允許這些實(shí)體存取存儲(chǔ)器20中 的受保護(hù)內(nèi)容之前,這些實(shí)體首先由認(rèn)證過(guò)程用下文解釋的方式來(lái)認(rèn)證�����。在此過(guò)程中��,需要 在主機(jī)側(cè)識(shí)別請(qǐng)求存取的實(shí)體以進(jìn)行基于任務(wù)的存取控制�。因此,請(qǐng)求存取的實(shí)體首先通 過(guò)提供例如“我是應(yīng)用程序2且我想要讀取文件1�,,的信息來(lái)自我識(shí)別?����?刂破?2接著將 身份���、認(rèn)證信息和請(qǐng)求與存儲(chǔ)在存儲(chǔ)器20或控制器12中的記錄進(jìn)行匹配�����。如果滿(mǎn)足所有 要求����,那么接著對(duì)此實(shí)體授權(quán)存取��。如圖2說(shuō)明����,允許用戶(hù)1從分區(qū)Pl中的文件101讀取 或?qū)懭氲轿募?01,但是除了用戶(hù)1具有無(wú)限制權(quán)利來(lái)從PO中的文件106讀取和寫(xiě)入到文 件106之外�,僅可讀取文件102和104。另一方面�,不允許用戶(hù)2存取文件101和104,但用 戶(hù)2能夠讀取和寫(xiě)入文件102���。如圖2指示���,用戶(hù)1和2具有相同登錄算法(AES)����,而應(yīng)用 程序1和3具有不同登錄算法(例如���,RSA和001001)���,這些算法也不同于用戶(hù)1和2的那 些算法。安全存儲(chǔ)應(yīng)用程序(SSA)是存儲(chǔ)器系統(tǒng)10的安全性應(yīng)用程序����,且說(shuō)明本發(fā)明的可 用于實(shí)施許多上述特征的實(shí)施例��?����?捎么鎯?chǔ)器20或CPU 12中的非易失性存儲(chǔ)器(未圖 示)中所存儲(chǔ)的數(shù)據(jù)庫(kù)來(lái)將SSA實(shí)施為軟件或計(jì)算機(jī)代碼���,且將其讀取到RAM 12a中并由 CPU 12執(zhí)行���。在下表中闡述關(guān)于SSA而使用的首字母縮寫(xiě) 定義��、首字母縮寫(xiě)&縮略語(yǔ)
ACR 存取控制記錄 AGP ACR群組 CBC 鏈?zhǔn)絽^(qū)塊密碼 CEK 內(nèi)容加密密鑰 ECB電子密碼本 ACAMACR屬性管理 PCR 許可控制記錄 "^SA~~安全存儲(chǔ)應(yīng)用程序
具有登錄SSA且因此利用其功能性的真實(shí)且單獨(dú)存在(主機(jī)側(cè))的任何事物SSA系統(tǒng)描述數(shù)據(jù)安全性����、完整性和存取控制是SSA的主要任務(wù)����。所述數(shù)據(jù)是原本將簡(jiǎn)單地存 儲(chǔ)在某類(lèi)型的大容量存儲(chǔ)裝置上的文件。SSA系統(tǒng)位于存儲(chǔ)系統(tǒng)上且增加用于所存儲(chǔ)的主 機(jī)文件的安全層�。SSA的主要任務(wù)是管理與存儲(chǔ)器中的所存儲(chǔ)(且安全)內(nèi)容相關(guān)聯(lián)的不同權(quán)利。 存儲(chǔ)器應(yīng)用程序需要管理多個(gè)用戶(hù)和內(nèi)容權(quán)利以成倍增加所存儲(chǔ)的內(nèi)容�。來(lái)自其側(cè)的主機(jī) 應(yīng)用程序看見(jiàn)此類(lèi)應(yīng)用程序可見(jiàn)的驅(qū)動(dòng)器和分區(qū)以及管理并描繪存儲(chǔ)裝置上的所存儲(chǔ)文 件的位置的文件分配表(FAT)。在此情況下�����,存儲(chǔ)裝置使用劃分為多個(gè)分區(qū)的NAND快閃芯片��,但也可使用其它移 動(dòng)存儲(chǔ)裝置且這些其它裝置屬于本發(fā)明范圍內(nèi)�����。這些分區(qū)是邏輯地址的連續(xù)線程����,其中開(kāi) 始和結(jié)束地址界定其邊界�����。因此��,如果需要的話(huà)�,可對(duì)隱藏分區(qū)的存取加上限制��,這借助于 將此類(lèi)限制與此類(lèi)邊界內(nèi)的地址進(jìn)行關(guān)聯(lián)的軟件(例如����,存儲(chǔ)在存儲(chǔ)器20中的軟件)來(lái)進(jìn) 行。分區(qū)可完全由SSA通過(guò)其邏輯地址邊界(由SSA管理)來(lái)識(shí)別����。SSA系統(tǒng)使用分區(qū)來(lái) 在實(shí)體上保護(hù)數(shù)據(jù)免受未授權(quán)的主機(jī)應(yīng)用程序存取。對(duì)于主機(jī)�,分區(qū)是界定存儲(chǔ)數(shù)據(jù)文件 的所有權(quán)空間的機(jī)制�����。這些分區(qū)可以是共享的����,其中存取存儲(chǔ)裝置的任何人可以看見(jiàn)且知 道裝置上分區(qū)的存在����,或者這些分區(qū)可為私有的或隱藏的�����,其中僅選定的主機(jī)應(yīng)用程序可 存取且知道存儲(chǔ)裝置中分區(qū)的存在��。圖3是說(shuō)明存儲(chǔ)器的分區(qū)P0����、P1、P2和P3 (明顯地���,可采用少于或多于四個(gè)分區(qū)) 的存儲(chǔ)器的示意圖�,其中PO是可由任何實(shí)體在無(wú)需認(rèn)證的情況下存取的公用分區(qū)���。私有分區(qū)(例如P1���、P2或P3)隱藏對(duì)其內(nèi)的文件的存取。通過(guò)防止主機(jī)存取所述 分區(qū)�,快閃裝置(例如����,快閃卡)提供對(duì)分區(qū)內(nèi)的數(shù)據(jù)文件的保護(hù)�����。然而���,此種保護(hù)通過(guò)對(duì)存 取存儲(chǔ)在所述分區(qū)內(nèi)的邏輯地址處的數(shù)據(jù)加以限制來(lái)吞沒(méi)駐存在隱藏分區(qū)中的所有文件���。 換句話(huà)說(shuō),所述限制與一個(gè)范圍的邏輯地址相關(guān)聯(lián)�����。能夠存取所述分區(qū)的所有用戶(hù)/主機(jī) 將能無(wú)限制地存取其內(nèi)部的所有文件����。為了將不同文件-或文件群組-彼此隔離,SSA系統(tǒng)使用密鑰和密鑰參考或密鑰ID對(duì)每個(gè)文件_或文件群組_提供另一等級(jí)的安全性和完 整性�。可將用于加密在不同存取器地址處的數(shù)據(jù)的特定密鑰值的密鑰參考或密鑰ID比喻 為含有已加密數(shù)據(jù)的容器或領(lǐng)域���。鑒于此原因�����,在圖4中�,將密鑰參考或密鑰ID(例如�����,“密 鑰1”和密鑰“2”)以圖形方式展示為使用與密鑰ID相關(guān)聯(lián)的密鑰值加密的文件周?chē)膮^(qū) 域���。參看圖4����,舉例來(lái)說(shuō)��,文件A可由所有實(shí)體存取而無(wú)需任何認(rèn)證���,因?yàn)槲募嗀經(jīng)展 示為未由任何密鑰ID包圍�����。即使公用分區(qū)中的文件B可由所有實(shí)體讀取或重寫(xiě)�����,文件B也 含有用具有ID “密鑰1”的密鑰來(lái)加密的數(shù)據(jù)�,以使得文件B中所含有的信息不可由實(shí)體存 取,除非此實(shí)體能存取此密鑰��。以此方式����,使用密鑰值和密鑰參考或密鑰ID僅提供邏輯保 護(hù),這與由上述分區(qū)所提供的保護(hù)類(lèi)型相反����。因此,可存取分區(qū)(公用或私有)的任何主機(jī) 能夠讀取或?qū)懭胝麄€(gè)分區(qū)中的數(shù)據(jù)���,包括經(jīng)加密的數(shù)據(jù)����。然而���,由于數(shù)據(jù)被加密���,因而未經(jīng) 授權(quán)的用戶(hù)僅可將其破壞���。其優(yōu)選地不能在沒(méi)有檢測(cè)的情況下改變數(shù)據(jù)或使用數(shù)據(jù)。通過(guò) 限制對(duì)加密和/或解密密鑰的存取����,此特征可僅允許經(jīng)授權(quán)的實(shí)體使用數(shù)據(jù)��。也可使用PO 中具有密鑰ID “密鑰2”的密鑰來(lái)加密文件B和C����。可通過(guò)使用內(nèi)容加密密鑰(CEK)的對(duì)稱(chēng)加密方法(每個(gè)CEK對(duì)應(yīng)一種方法)來(lái)提 供數(shù)據(jù)機(jī)密性和完整性��。在SSA實(shí)施例中�,通過(guò)僅內(nèi)部使用的快閃裝置(例如,快閃卡)來(lái) 產(chǎn)生CEK����,且將CEK保持為不為外界所知的秘密。經(jīng)加密或密碼化的數(shù)據(jù)也可被散列或者密 碼被鏈?zhǔn)浇M塊���,以確保數(shù)據(jù)完整性����。并非分區(qū)中的所有數(shù)據(jù)均由不同密鑰來(lái)加密且與不同密鑰ID相關(guān)聯(lián)。公用或用 戶(hù)文件中或操作系統(tǒng)區(qū)域(即�����,F(xiàn)AT)中的某些邏輯地址可以不與任何密鑰或密鑰參考相關(guān) 聯(lián)���,且因此可由自身可存取所述分區(qū)的任何實(shí)體獲得��。要求獲得創(chuàng)建密鑰和分區(qū)以及將數(shù)據(jù)寫(xiě)入分區(qū)或從分區(qū)讀取數(shù)據(jù)或使用密鑰的 能力的實(shí)體需要通過(guò)存取控制記錄(ACR)登錄SSA系統(tǒng)���。SSA系統(tǒng)中的ACR的特權(quán)被稱(chēng)為 動(dòng)作。每個(gè)ACR可具有用以執(zhí)行以下三個(gè)種類(lèi)的動(dòng)作的許可創(chuàng)建分區(qū)和密鑰/密鑰ID���、 存取分區(qū)和密鑰以及創(chuàng)建/更新其它ACR�。ACR被組織成稱(chēng)為ACR群組或AGP的群組���。一旦已成功認(rèn)證ACR�����,SSA系統(tǒng)便打開(kāi) 對(duì)話(huà)�����,通過(guò)所述對(duì)話(huà)可執(zhí)行任何ACR動(dòng)作���。用戶(hù)分區(qū)SSA系統(tǒng)管理一個(gè)或一個(gè)以上公用分區(qū)(也稱(chēng)為用戶(hù)分區(qū))���。此分區(qū)存在于存儲(chǔ) 裝置上,且是可通過(guò)存儲(chǔ)裝置的標(biāo)準(zhǔn)讀取寫(xiě)入命令存取的分區(qū)�。獲得關(guān)于分區(qū)大小以及其 存在于裝置上的信息優(yōu)選地不能向主機(jī)系統(tǒng)隱藏�����。SSA系統(tǒng)使得能夠通過(guò)標(biāo)準(zhǔn)讀取寫(xiě)入命令或SSA命令來(lái)存取此(些)分區(qū)���。因此���, 存取分區(qū)優(yōu)選地不能只限于特定ACR。然而�,SSA系統(tǒng)可使得主機(jī)裝置能夠限制對(duì)用戶(hù)分區(qū) 的存取?�?蓡为?dú)啟用/禁用讀取和寫(xiě)入存取�。允許所有四個(gè)組合(例如,只寫(xiě)��、只讀(寫(xiě)入 保護(hù))、讀取和寫(xiě)入以及無(wú)存取)�。SSA系統(tǒng)使得ACR能夠?qū)⒚荑€ID與用戶(hù)分區(qū)內(nèi)的文件進(jìn)行關(guān)聯(lián)并使用與這些密 鑰ID相關(guān)聯(lián)的密鑰來(lái)加密各個(gè)文件。將使用SSA命令組(關(guān)于SSA命令的詳細(xì)描述請(qǐng)參 考附錄A——在附錄中����,密鑰ID稱(chēng)為“領(lǐng)域”)來(lái)進(jìn)行存取用戶(hù)分區(qū)內(nèi)的加密文件以及設(shè)定 對(duì)所述分區(qū)的存取權(quán)利。以上特征也適用于未經(jīng)組織成文件的數(shù)據(jù)�。
SSA 分區(qū)這些是可僅通過(guò)SSA命令來(lái)存取的隱藏(向主機(jī)操作系統(tǒng)或OS隱藏)分區(qū)。除了通過(guò)由登錄到ACR而建立的對(duì)話(huà)(下文描述)外���,SSA系統(tǒng)將優(yōu)選地不允許主機(jī)裝置存 取SSA分區(qū)��。類(lèi)似地����,SSA優(yōu)選地將不提供關(guān)于SSA分區(qū)的存在��、大小和存取許可的信息�, 除非此請(qǐng)求從所建立的對(duì)話(huà)傳出。從ACR許可中導(dǎo)出對(duì)分區(qū)的存取權(quán)利��。一旦ACR登錄到SSA系統(tǒng)中�����,其便可與其 它ACR(下文描述)共享分區(qū)。當(dāng)創(chuàng)建分區(qū)時(shí)����,主機(jī)提供用于所述分區(qū)的參考名稱(chēng)或ID(例 如,圖3和4中的P0-P3)�����。此參考用于對(duì)所述分區(qū)的進(jìn)一步讀取和寫(xiě)入命令��。存儲(chǔ)裝置的分區(qū)優(yōu)選地��,將裝置的所有可用存儲(chǔ)容量分配給用戶(hù)分區(qū)和當(dāng)前配置的SSA分區(qū)��。因 此��,任何重新分區(qū)操作可涉及對(duì)現(xiàn)有分區(qū)的重新配置����。裝置容量(所有分區(qū)的大小總和) 的凈改變將為零���。通過(guò)主機(jī)系統(tǒng)來(lái)界定裝置存儲(chǔ)空間中的分區(qū)的ID��。主機(jī)系統(tǒng)可將一個(gè)現(xiàn)有分區(qū)重新分區(qū)為兩個(gè)較小分區(qū)�,或?qū)蓚€(gè)現(xiàn)有分區(qū)(可以 是相鄰或不相鄰的)合并為一個(gè)。由主機(jī)決定�,可擦除經(jīng)劃分或合并分區(qū)中的數(shù)據(jù)或使其 未受影響。由于存儲(chǔ)裝置的重新分區(qū)可造成數(shù)據(jù)損失(或者因?yàn)槠湓诖鎯?chǔ)裝置的邏輯地址 空間中被擦除或四處移動(dòng))���,因而由SSA系統(tǒng)管理對(duì)于重新分區(qū)的嚴(yán)格限制���。僅允許駐留在 根AGP (下文解釋)的ACR發(fā)出重新分區(qū)命令且其僅可參考其擁有的分區(qū)。由于SSA系統(tǒng) 不知道如何將數(shù)據(jù)組織成分區(qū)(FAT或其它文件系統(tǒng)結(jié)構(gòu))����,因而主機(jī)負(fù)責(zé)在對(duì)裝置進(jìn)行重 新分區(qū)的任何時(shí)候重建這些結(jié)構(gòu)。用戶(hù)分區(qū)的重新分區(qū)將改變主機(jī)OS所看見(jiàn)的此分區(qū)的大小和其它屬性�����。在重新分區(qū)之后�����,主機(jī)系統(tǒng)負(fù)責(zé)確保SSA系統(tǒng)中的任何ACR不參考非現(xiàn)有分區(qū)���。 如果這些ACR未被適當(dāng)刪除或更新��,那么將由系統(tǒng)檢測(cè)和拒絕存取非現(xiàn)有分區(qū)的未來(lái)努力 (以這些ACR的名義)���。對(duì)于已刪除密鑰和密鑰ID����,采用類(lèi)似照管����。密鑰、密鑰ID和邏輯保護(hù)當(dāng)將文件寫(xiě)入到特定隱藏分區(qū)時(shí)�����,將其向公眾隱藏�����。但是��,一旦實(shí)體(敵對(duì)或非敵 對(duì)的)獲得對(duì)此分區(qū)的認(rèn)識(shí)和存取��,文件便變得可用且易于看見(jiàn)�。為了進(jìn)一步保護(hù)文件����, SSA可在隱藏分區(qū)中對(duì)其加密���,其中用于存取用于解密文件的密鑰的證書(shū)優(yōu)選地不同于用 于存取所述分區(qū)的那些證書(shū)。由于文件不為SSA所知(由主機(jī)完全控制和管理)的事實(shí)����, 將CEK與文件進(jìn)行關(guān)聯(lián)是一個(gè)問(wèn)題。將文件鏈接到SSA知道的某事物_密鑰ID-對(duì)此進(jìn)行 調(diào)整����。因此,當(dāng)由SSA創(chuàng)建密鑰時(shí)���,主機(jī)將用于此密鑰的密鑰ID與使用由SSA創(chuàng)建的密鑰 來(lái)加密的數(shù)據(jù)進(jìn)行關(guān)聯(lián)���。密鑰值和密鑰ID提供邏輯安全性。使用相同內(nèi)容加密密鑰(CEK)(其參考名稱(chēng)或 密鑰ID在創(chuàng)建時(shí)由主機(jī)應(yīng)用程序唯一提供)來(lái)加密與給定密鑰ID相關(guān)聯(lián)的所有數(shù)據(jù)�,而 不管其位置如何。如果實(shí)體獲得對(duì)隱藏分區(qū)的存取(經(jīng)由通過(guò)ACR認(rèn)證)�����,且希望讀取或 寫(xiě)入此分區(qū)內(nèi)的加密文件���,那么其需要能夠存取與文件相關(guān)聯(lián)的密鑰ID�。當(dāng)授權(quán)存取針對(duì) 此密鑰ID的密鑰時(shí),SSA加載與此密鑰ID相關(guān)聯(lián)的CEK中的密鑰值����,且在將數(shù)據(jù)發(fā)送到主 機(jī)之前將其解密或在將數(shù)據(jù)寫(xiě)入到快閃存儲(chǔ)器20之前將其加密。與密鑰ID相關(guān)聯(lián)的CEK 中的密鑰值由SSA系統(tǒng)隨機(jī)創(chuàng)建一次且接著由其維護(hù)�����。SSA系統(tǒng)外部沒(méi)有裝置知道或存取CEK中的此密鑰值�。外界僅提供和使用參考或密鑰ID,而并非CEK中的密鑰值���。密鑰值由 SSA完全管理且僅可由SSA存取���。SSA系統(tǒng)使用以下加密模式中的任何一者來(lái)保護(hù)與密鑰ID相關(guān)聯(lián)的數(shù)據(jù)(所使用 的實(shí)際密碼算法以及CEK中的密鑰值受系統(tǒng)控制且不向外界展現(xiàn))塊模式-將數(shù)據(jù)劃分為塊,分別對(duì)其每一者進(jìn)行加密��。通常認(rèn)為此模式較不安全 且易受字典攻擊����。然而����,其將允許用戶(hù)隨機(jī)存取數(shù)據(jù)塊中的任何一者���。鏈模式-將數(shù)據(jù)劃分為塊,其在加密過(guò)程中被鏈接���。將每個(gè)塊用作下個(gè)塊的加密 過(guò)程的一個(gè)輸入�。盡管認(rèn)為此模式較安全����,但此模式要求從開(kāi)始到結(jié)束總是按序?qū)懭牒妥x 取數(shù)據(jù),從而造成總是不為用戶(hù)接受的額外開(kāi)銷(xiāo)�����。散列-具有可用于驗(yàn)證數(shù)據(jù)完整性的數(shù)據(jù)摘要的額外創(chuàng)建的鏈模式ACR和存取控制SSA經(jīng)設(shè)計(jì)以處理多個(gè)應(yīng)用程序��,其中將每個(gè)應(yīng)用程序表示為系統(tǒng)數(shù)據(jù)庫(kù)中的節(jié) 點(diǎn)樹(shù)�����。通過(guò)確保樹(shù)分枝之間沒(méi)有串話(huà)來(lái)實(shí)現(xiàn)應(yīng)用程序之間的相互排斥�����。為了獲得對(duì)SSA系統(tǒng)的存取,實(shí)體需要經(jīng)由系統(tǒng)ACR中的一者來(lái)建立連接�。由SSA 系統(tǒng)根據(jù)嵌入在用戶(hù)選擇與其連接的ACR中的定義來(lái)管理登錄程序。ACR是到SSA系統(tǒng)的各個(gè)登錄點(diǎn)����。ACR持有登錄證書(shū)和認(rèn)證方法。同樣駐存在記錄 中的還有SSA系統(tǒng)內(nèi)的登錄許可����,在所述許可當(dāng)中是讀取和寫(xiě)入特權(quán)。這在圖5中說(shuō)明��,圖 5說(shuō)明相同AGP中的η個(gè)ACR����。這意味著所述η個(gè)ACR中至少一些可共享對(duì)相同密鑰的存 取。因此�����,ACR#1和ACR#n共享對(duì)具有密鑰ID “密鑰3”的密鑰的存取�����,其中ACR#1和ACR#n 是ACR ID���,且“密鑰3”是針對(duì)用于加密與“密鑰3”相關(guān)聯(lián)的數(shù)據(jù)的密鑰的密鑰ID�����。也可 使用相同密鑰來(lái)加密和/或解密多個(gè)文件或多組數(shù)據(jù)�����。SSA系統(tǒng)支持若干類(lèi)型的到系統(tǒng)的登錄����,其中認(rèn)證算法和用戶(hù)證書(shū)可發(fā)生變化�, 同樣一旦用戶(hù)成功登錄其在系統(tǒng)中的特權(quán)也可變化。圖5再次說(shuō)明不同登錄算法和證書(shū)�����。 ACR#1要求口令登錄算法和口令作為證書(shū)����,而ACR#2要求PKI (公用密鑰基礎(chǔ)結(jié)構(gòu))登錄算 法和公用密鑰作為證書(shū)。因此���,為了登錄���,實(shí)體將需要出示有效ACR ID以及正確的登錄算 法和證書(shū)�����。一旦實(shí)體登錄到SSA系統(tǒng)的ACR中���,便在與ACR相關(guān)聯(lián)的許可控制記錄(PCR)中 定義其許可(其使用SSA命令的權(quán)利)。在圖5中���,根據(jù)所展示的PCR��,ACR#1對(duì)與“密鑰3” 相關(guān)聯(lián)的數(shù)據(jù)授予只讀許可�,且ACR#2對(duì)與“密鑰5”相關(guān)聯(lián)的數(shù)據(jù)授予讀取和寫(xiě)入許可���。不同ACR可共享系統(tǒng)中(例如�����,用來(lái)進(jìn)行讀取和寫(xiě)入的密鑰中)的共同權(quán)益和特 權(quán)����。為了實(shí)現(xiàn)此目的�����,將具有共同處的ACR分組為AGP (ACP群組)。因此����,ACR#1和ACR#n 共享對(duì)具有密鑰ID “密鑰3”的密鑰的存取����。以分級(jí)樹(shù)來(lái)組織AGP和其內(nèi)的ACR,且因此除了創(chuàng)建保持敏感數(shù)據(jù)安全的安全密鑰之外���;ACR可優(yōu)選地還創(chuàng)建對(duì)應(yīng)于其密鑰ID/分區(qū)的其它ACR實(shí)體��。這些ACR子代將具有 與其父代(創(chuàng)建者)相同或比其少的許可�,且可被給予針對(duì)父代ACR自身創(chuàng)建的密鑰的許 可�����。不用說(shuō)����,子代ACR獲得對(duì)其創(chuàng)建的任何密鑰的存取許可。這在圖6中說(shuō)明����。因此�,AGP 120中的所有ACR由ACR 122創(chuàng)建���,且兩個(gè)此類(lèi)ACR從ACR 122處繼承對(duì)與“密鑰3”相關(guān) 聯(lián)的數(shù)據(jù)的存取的許可�����。AGP
通過(guò)指定AGP和AGP內(nèi)的ACR來(lái)登錄到SSA系統(tǒng)上�。每個(gè)AGP具有唯一 ID (參考名稱(chēng))���,其用作其在SSA數(shù)據(jù)庫(kù)中的入口的索引�。當(dāng)創(chuàng) 建AGP時(shí)���,向SSA系統(tǒng)提供AGP名稱(chēng)�����。如果所提供的AGP名稱(chēng)已經(jīng)存在于系統(tǒng)中����,那么SSA 將拒絕創(chuàng)建操作。使用AGP來(lái)管理對(duì)于授權(quán)存取和管理許可的限制�����,如將在以下部分中描述�。由圖 6中的兩個(gè)樹(shù)提供的功能之一是管理由完全分離的實(shí)體(例如兩個(gè)不同應(yīng)用程序或兩個(gè)不 同計(jì)算機(jī)用戶(hù))的存取。出于此類(lèi)目的�,其對(duì)于實(shí)質(zhì)上彼此獨(dú)立(即,實(shí)質(zhì)上無(wú)串話(huà))的兩 個(gè)存取過(guò)程來(lái)說(shuō)是重要的�,即使兩個(gè)過(guò)程同時(shí)發(fā)生��。這意味著每個(gè)樹(shù)中的認(rèn)證���、許可以及額 外ACR和AGP的創(chuàng)建未連接到其它樹(shù)的那些且不依賴(lài)于其它樹(shù)的那些���。因此,當(dāng)在存儲(chǔ)器 10中使用SSA系統(tǒng)時(shí)���,這允許存儲(chǔ)器系統(tǒng)10同時(shí)服務(wù)多個(gè)應(yīng)用程序�����。其也允許所述兩個(gè) 應(yīng)用程序彼此獨(dú)立地存取兩個(gè)分離組的數(shù)據(jù)(例如�,一組照片和一組歌曲)。這在圖6中 說(shuō)明�����。因此���,與用于經(jīng)由圖6的頂部部分的樹(shù)中的節(jié)點(diǎn)(ACR)進(jìn)行存取的應(yīng)用程序或用戶(hù) 的“密鑰3”��、“密鑰X”和“密鑰Z”相關(guān)聯(lián)的數(shù)據(jù)可包含照片�����。與用于經(jīng)由圖6的底部部分 的樹(shù)中的節(jié)點(diǎn)(ACR)進(jìn)行存取的應(yīng)用程序或用戶(hù)的“密鑰5”和“密鑰Y”相關(guān)聯(lián)的數(shù)據(jù)可 包含歌曲��。僅當(dāng)AGP沒(méi)有ACR實(shí)體時(shí)���,創(chuàng)建AGP的ACR才具有將其刪除的許可。實(shí)體的SSA入口點(diǎn)存取控制記錄(ACR)SSA系統(tǒng)中的ACR描述許可實(shí)體登錄到系統(tǒng)中的方式����。當(dāng)實(shí)體登錄到SSA系統(tǒng)中 時(shí),其需要指定對(duì)應(yīng)于將要執(zhí)行的認(rèn)證過(guò)程的ACR�����。ACR包括許可控制記錄(PCR),所述PCR 說(shuō)明用戶(hù)一旦經(jīng)認(rèn)證(如圖5所說(shuō)明的ACR中定義)便可執(zhí)行的經(jīng)授權(quán)動(dòng)作�。主機(jī)側(cè)實(shí)體 提供所有ACR數(shù)據(jù)字段。當(dāng)實(shí)體已成功登錄到ACR上時(shí)����,實(shí)體將能夠詢(xún)問(wèn)所有ACR分區(qū)和密鑰存取許可和 ACAM許可(下文解釋)。ACR ID當(dāng)SSA系統(tǒng)實(shí)體初始化登錄過(guò)程時(shí)����,其需要指定對(duì)應(yīng)于登錄方法的ACR ID (如當(dāng) 創(chuàng)建ACR時(shí)由主機(jī)所提供),以使得當(dāng)已滿(mǎn)足所有登錄要求時(shí)SSA將建立正確的算法且選擇 正確的PCR�。當(dāng)創(chuàng)建ACR時(shí),向SSA系統(tǒng)提供ACR ID��。登錄/認(rèn)證算法認(rèn)證算法指定實(shí)體將使用哪種登錄程序和需要哪種證書(shū)來(lái)提供用戶(hù)身份的證明��。 SSA系統(tǒng)支持若干種標(biāo)準(zhǔn)登錄算法���,這基于對(duì)稱(chēng)或不對(duì)稱(chēng)密碼從無(wú)程序(和無(wú)證書(shū))和基于 口令的程序到雙向認(rèn)證協(xié)議。實(shí)體的證書(shū)對(duì)應(yīng)于登錄算法且由SSA使用來(lái)驗(yàn)證和認(rèn)證用戶(hù)����。證書(shū)的實(shí)例可以是 用于口令認(rèn)證的口令/PIN編號(hào)、用于AES認(rèn)證的AES密鑰等����。證書(shū)的類(lèi)型/格式(即���,PIN、 對(duì)稱(chēng)密鑰等)經(jīng)預(yù)先定義且得自認(rèn)證模式��;當(dāng)創(chuàng)建ACR時(shí)�,將其提供給SSA系統(tǒng)。SSA系統(tǒng) 不參與定義��、分配和管理這些證書(shū)����,除了基于PKI的認(rèn)證之外,其中可使用裝置(例如���,快閃 卡)來(lái)產(chǎn)生RSA密鑰對(duì)且可輸出公用密鑰以用于憑證產(chǎn)生��。許可控制記錄(PCR)PCR展示在實(shí)體登錄到SSA系統(tǒng)中并成功通過(guò)ACR認(rèn)證過(guò)程之后向?qū)嶓w授予什么���。 存在三個(gè)類(lèi)型的許可種類(lèi)用于分區(qū)和密鑰的創(chuàng)建許可、對(duì)分區(qū)和密鑰的存取許可和用于實(shí)體-ACR屬性的管理許可��。存取分區(qū)PCR的此部分含有實(shí)體在成功完成ACR階段之后可存取的分區(qū)(使用其提供給SSA系統(tǒng)的ID)的列表�����。對(duì)于每個(gè)分區(qū)來(lái)說(shuō),存取類(lèi)型可限于只寫(xiě)或只讀����,或者可指定全部 寫(xiě)入/讀取存取權(quán)利。因此�,圖5中的ACR#1能夠存取分區(qū)#2而并非分區(qū)#1。PCR中指定 的限制適用于SSA分區(qū)和公用分區(qū)����。可由到主導(dǎo)SSA系統(tǒng)的裝置(例如��,快閃卡)的常規(guī)讀取和寫(xiě)入命令或由SSA命令 存取公用分區(qū)�。當(dāng)根ACR(下文解釋)經(jīng)創(chuàng)建為具有用以限制公用分區(qū)的許可時(shí),他可將所 述許可傳遞給他的子代��。ACR可優(yōu)選地僅限制常規(guī)讀取和寫(xiě)入命令存取公用分區(qū)�����。SSA系 統(tǒng)中的ACR可僅在其創(chuàng)建方面受到限制�。一旦ACR具有用以讀取/寫(xiě)入公用分區(qū)的許可��, 則優(yōu)選地其不能被取走。存取密鉬IDPCR的此部分含有與當(dāng)實(shí)體的登錄過(guò)程已符合ACR策略時(shí)實(shí)體可存取的密鑰ID列 表(如由主機(jī)提供給SSA系統(tǒng))相關(guān)聯(lián)的數(shù)據(jù)�����。所指定的密鑰ID與駐存在出現(xiàn)于PCR中 的分區(qū)中的一個(gè)或多個(gè)文件相關(guān)聯(lián)�����。由于密鑰ID不與裝置(例如��,快閃卡)中的邏輯地址 相關(guān)聯(lián)���,因而當(dāng)一個(gè)以上分區(qū)與特定ACR相關(guān)聯(lián)時(shí)�����,文件可在任何一個(gè)所述分區(qū)中�。PCR中 所指定的密鑰ID可每一者具有不同組的存取權(quán)利����。存取由密鑰ID指向的數(shù)據(jù)可限于只寫(xiě) 或只讀,或者可指定全部寫(xiě)入/讀取存取權(quán)利�����。ACR 屬性管理(ACAM)這部分描述在某些情況下可如何改變ACR的系統(tǒng)屬性??稍赟SA系統(tǒng)中許可的ACAM動(dòng)作為創(chuàng)建/刪除/更新AGP和ACR。創(chuàng)建/刪除分區(qū)和密鑰���。授予對(duì)密鑰和分區(qū)的存取權(quán)利父代ACR優(yōu)選地不能編輯ACAM許可��。這將優(yōu)選地要求刪除和重新創(chuàng)建ACR�����。同 樣��,優(yōu)選地不能取走由ACR創(chuàng)建的對(duì)密鑰ID的存取許可���。創(chuàng)建/刪除/更新AGP和ACRACR可具有創(chuàng)建其它ACR和AGP的能力。創(chuàng)建ACR也可意味著授予其由其創(chuàng)建者 所擁有的ACAM許可中的一些或所有���。具有用以創(chuàng)建ACR的許可意味著具有用于以下動(dòng)作 的許可1.定義和編輯子代的證書(shū)——優(yōu)選地��,認(rèn)證方法一旦由創(chuàng)建ACR設(shè)定便不能被編 輯����?�?稍谝呀?jīng)針對(duì)子代定義的認(rèn)證算法的邊界內(nèi)改變證書(shū)����。2.刪除 ACR。3.將創(chuàng)建許可授予子代ACR (因此具有孫代)�����。具有用以創(chuàng)建其它ACR的許可的ACR具有用以將解鎖許可授予其創(chuàng)建的ACR的許 可(盡管其很可能不具有用以解鎖ACR的許可)����。父代ACR將在子代ACR中放置對(duì)其解鎖 者的參考。父代ACR是具有用以刪除其子代ACR的許可的唯一 ACR�����。當(dāng)ACR刪除其創(chuàng)建的較 低等級(jí)ACR時(shí)��,那么由此較低等級(jí)ACR產(chǎn)生的所有ACR同樣被自動(dòng)刪除����。當(dāng)ACR被刪除時(shí),那么其創(chuàng)建的所有密鑰ID和分區(qū)被刪除����。存在ACR可由此更新其自身記錄的兩個(gè)例外盡管口令/PIN由創(chuàng)建者ACR設(shè)定���,但僅可由包括其的ACR來(lái)更新。根ACR可將其自身和其所駐存的AGP刪除�。授予對(duì)密鑰和分區(qū)的存取權(quán)利將ACR和其AGP組合成分級(jí)樹(shù),其中 根AGP和其內(nèi)的ACR位于樹(shù)的頂部(例如��,圖 6中的根AGP 130和132)��。在SSA系統(tǒng)中可存在若干AGP樹(shù)����,盡管其完全彼此分離。AGP內(nèi) 的ACR可將對(duì)其密鑰的存取許可授予其所在的同一 AGR中的所有ACR以及由其創(chuàng)建的所有 ACR0用以創(chuàng)建密鑰的許可優(yōu)選地包括用以授予存取許可以使用密鑰的許可����。將對(duì)密鑰的許可劃分為三個(gè)種類(lèi)1.存取-此定義針對(duì)密鑰的存取許可,即讀取�����、寫(xiě)入��。2.擁有權(quán)-創(chuàng)建密鑰的ACR從定義上來(lái)說(shuō)是其擁有者�。可將此擁有權(quán)從一個(gè)ACR 授予給另一個(gè)ACR(只要其在相同AGP中或在子代AGP中)。密鑰的擁有權(quán)提供用以將其刪 除的許可以及向其授予許可�����。3.存取權(quán)利授予_此許可使得ACR能夠授予其持有的權(quán)利����。ACR可將存取許可授予其創(chuàng)建的分區(qū)以及其對(duì)此具有存取許可的其它分區(qū)�����。通過(guò)將分區(qū)名稱(chēng)和密鑰ID添加到指定ACR的PCR來(lái)進(jìn)行許可授予�。授予密鑰存 取許可可通過(guò)密鑰ID或通過(guò)規(guī)定存取許可是針對(duì)授權(quán)ACR的所有所創(chuàng)建密鑰的來(lái)進(jìn)行。ACR的封鎖和解鎖ACR可具有封鎖計(jì)數(shù)器����,其在系統(tǒng)對(duì)于實(shí)體的ACR認(rèn)證過(guò)程不成功時(shí)遞增。當(dāng)達(dá)到 不成功認(rèn)證的特定最大數(shù)目(MAX)時(shí)����,ACR將由SSA系統(tǒng)封鎖。經(jīng)封鎖的ACR可由另一 ACR解鎖���,其由所述經(jīng)封鎖的ACR參考���。對(duì)于解鎖ACR的參 考由其創(chuàng)建者設(shè)定����。解鎖ACR優(yōu)選地與經(jīng)封鎖ACR的創(chuàng)建者位于相同的AGP中且具有“解 鎖”許可���。系統(tǒng)中沒(méi)有其它ACR可解鎖經(jīng)封鎖的ACR���。ACR可經(jīng)配置具有封鎖計(jì)數(shù)器而沒(méi)有 解鎖器ACR。在此情況下���,如果此ACR受到封鎖��,那么其不能被解鎖�。根AGP-創(chuàng)建應(yīng)用程序數(shù)據(jù)庫(kù)SSA系統(tǒng)經(jīng)設(shè)計(jì)以處理多個(gè)應(yīng)用程序和隔離每個(gè)應(yīng)用程序的數(shù)據(jù)���。AGP系統(tǒng)的樹(shù) 結(jié)構(gòu)是用于識(shí)別和隔離專(zhuān)用數(shù)據(jù)的主要工具���。根AGP位于應(yīng)用程序SSA數(shù)據(jù)庫(kù)樹(shù)的尖端且 遵守稍有不同的行為規(guī)則?��?稍赟SA系統(tǒng)中配置若干個(gè)根AGP�����。在圖6中展示兩個(gè)根AGP 130和132�。顯然,可使用較少或較多AGP����,且這在本發(fā)明的范圍內(nèi)�。通過(guò)將新的AGP/ACR樹(shù)添加到裝置的過(guò)程來(lái)進(jìn)行向所述裝置(例如,快閃卡)注 冊(cè)所述裝置的新應(yīng)用程序和/或新應(yīng)用程序的發(fā)布證書(shū)�����。SSA系統(tǒng)支持三種不同模式的根AGP創(chuàng)建(以及根AGP的所有ACR和其許可)1.開(kāi)放未請(qǐng)求任何種類(lèi)的認(rèn)證的任何用戶(hù)或?qū)嶓w或通過(guò)系統(tǒng)ACR(下文解釋) 認(rèn)證的用戶(hù)或?qū)嶓w可創(chuàng)建新的根AGP�。所述開(kāi)放模式使得能夠在無(wú)需任何安全措施且同時(shí) 在開(kāi)放通道上(即,在發(fā)布機(jī)構(gòu)的安全環(huán)境中)進(jìn)行所有數(shù)據(jù)傳送的情況下創(chuàng)建根AGP��,或 者通過(guò)經(jīng)由系統(tǒng)ACR認(rèn)證(即����,無(wú)線(OTA)和后發(fā)布程序)建立的安全通道來(lái)創(chuàng)建根AGP。如果未配置系統(tǒng)ACR (這是可選特征)并將根AGP創(chuàng)建模式設(shè)定為開(kāi)放��,那么僅開(kāi)放通道選擇可用����。2.受控只有通過(guò)系統(tǒng)ACR認(rèn)證的實(shí)體可創(chuàng)建新的根AGP��。如果未配置系統(tǒng)ACR�����, 那么不可將SSA系統(tǒng)設(shè)定為此模式����。3.鎖定禁用根AGP的創(chuàng)建且不可向系統(tǒng)添加額外的根AGP�。控制此特征的兩個(gè)SSA命令(這些命令可用于任何用戶(hù)/實(shí)體而無(wú)需認(rèn)證)1.方法配置命令-用于將SSA系統(tǒng)配置為使用所述三個(gè)根AGP創(chuàng)建模式中的任何 一者�����。僅允許以下模式改變打開(kāi)_>受控����、受控_>鎖定(即,如果當(dāng)前將SSA系統(tǒng)配置為 受控�����,那么可僅將其改變?yōu)殒i定)���。2.方法配置鎖定命令-用于禁用方法配置命令和永久地鎖定當(dāng)前所選擇的方法����。當(dāng)創(chuàng)建根AGP時(shí),其具有特殊初始化模式���,所述模式實(shí)現(xiàn)其ACR的創(chuàng)建和配置(使 用適用于根AGP的創(chuàng)建的相同存取限制)�。在根AGP配置過(guò)程的末端����,當(dāng)實(shí)體明確地將其切 換到操作模式時(shí)��,不再能夠更新現(xiàn)有ACR且不再能夠創(chuàng)建額外的ACR�����。一旦將根AGP置于標(biāo)準(zhǔn)模式中�����,僅可通過(guò)使其通過(guò)指派有用以刪除根AGP的許可 的其一個(gè)ACR登錄到系統(tǒng)中來(lái)將其刪除��。除了特殊初始化模式之外���,這是根AGP的另一例 外���;其優(yōu)選地是可含有具有用以刪除其自身AGP的許可的ACR的唯一 AGP����,這與下一個(gè)樹(shù)等 級(jí)中的AGP相反���。根ACR與標(biāo)準(zhǔn)ACR之間的第三個(gè)也是最后一個(gè)區(qū)別在于���,其是系統(tǒng)中可具有用以 創(chuàng)建和刪除分區(qū)的許可的唯一 AGP。SSA 系統(tǒng) ACR可將系統(tǒng)ACR用于以下兩個(gè)SSA操作1.在敵對(duì)環(huán)境內(nèi)在安全通道的保護(hù)下創(chuàng)建ACR/AGR樹(shù)��。2.識(shí)別和認(rèn)證主導(dǎo)SSA系統(tǒng)的裝置����。優(yōu)選地,可在SSA中僅存在一個(gè)系統(tǒng)ACR��,且一旦經(jīng)定義�����,其便優(yōu)選地不可改變�����。當(dāng) 創(chuàng)建系統(tǒng)ACR時(shí)不需要系統(tǒng)認(rèn)證;僅需要SSA命令�。可禁用創(chuàng)建系統(tǒng)ACR特征(類(lèi)似于創(chuàng) 建根AGP特征)����。在創(chuàng)建系統(tǒng)ACR之后,創(chuàng)建系統(tǒng)ACR命令沒(méi)有效果�����,因?yàn)閮?yōu)選地�,僅允許一 個(gè)系統(tǒng)ACR�。當(dāng)在創(chuàng)建過(guò)程中時(shí),系統(tǒng)ACR不操作����。當(dāng)完成時(shí),需要發(fā)布特殊命令來(lái)指示系統(tǒng) ACR得以創(chuàng)建且準(zhǔn)備好運(yùn)行�。在此點(diǎn)之后,系統(tǒng)ACR優(yōu)選地不能被更新或取代���。 系統(tǒng)ACR在SSA中創(chuàng)建根ACR/AGP�����。其具有用以增加/改變根等級(jí)直到滿(mǎn)足主機(jī) 且主機(jī)將其封鎖為止的許可���。封鎖根AGP實(shí)質(zhì)上切斷其與系統(tǒng)ACR的連接���,且致使其防擾。 在此點(diǎn)處�,沒(méi)有一者能改變/編輯根AGP和其內(nèi)的ACR。此通過(guò)SSA命令進(jìn)行����。禁用創(chuàng)建根 AGP具有持久效應(yīng)且不可逆。圖7中說(shuō)明以上涉及系統(tǒng)ACR的特征��。系統(tǒng)ACR用于創(chuàng)建三 個(gè)不同根AGP��。在創(chuàng)建這些之后的某個(gè)時(shí)間�,從主機(jī)發(fā)送SSA命令以封鎖來(lái)自系統(tǒng)ACR的根 AGP,借此禁用創(chuàng)建根AGP特征�����,如圖7中將系統(tǒng)ACR連接到根AGP的虛線指示。這致使所 述三個(gè)根AGP防擾�。在封鎖根AGP之前或之后,所述三個(gè)根AGP可用于創(chuàng)建子代AGP以形 成三個(gè)單獨(dú)樹(shù)��。 上述特征為內(nèi)容擁有者在用內(nèi)容配置安全產(chǎn)品中提供較大靈活性�����。安全產(chǎn)品需要 “經(jīng)發(fā)布”�。發(fā)布是放置識(shí)別密鑰(裝置可通過(guò)這些密鑰來(lái)識(shí)別主機(jī)且反之亦然)的過(guò)程。識(shí) 別裝置(例如����,快閃卡)使得主機(jī)能夠決定其是否可將其秘密委托給所述裝置。另一方面�����,識(shí)別主機(jī)使得裝置能夠在僅當(dāng)主機(jī)被允許時(shí)實(shí)施安全策略(授予并執(zhí)行特殊主機(jī)命令)��。經(jīng)設(shè)計(jì)以服務(wù)多個(gè)應(yīng)用程序的產(chǎn)品將具有若干識(shí)別密鑰���。產(chǎn)品可以“先發(fā)布”(在 發(fā)貨之前在制造期間存儲(chǔ)密鑰)或“后發(fā)布”(在發(fā)貨之后添加新密鑰)。對(duì)于后發(fā)布來(lái)說(shuō)�, 存儲(chǔ)器裝置(例如,存儲(chǔ)卡)需要含有某類(lèi)型的用于識(shí)別被允許向裝置添加應(yīng)用程序的實(shí) 體的主導(dǎo)裝置或裝置等級(jí)密鑰�。上述特征使得產(chǎn)品能夠經(jīng)配置以啟用/禁用后發(fā)布�。另外��,可在發(fā)貨之后安全地 進(jìn)行后發(fā)布配置�����??蓪⒀b置作為零售產(chǎn)品來(lái)購(gòu)買(mǎi),其中在裝置上除了上述主導(dǎo)裝置或裝置 等級(jí)密鑰之外沒(méi)有其它密鑰�����,且接著由新?lián)碛姓吲渲盟鲅b置以啟用另外的后發(fā)布應(yīng)用程 序或?qū)⑵浣?���。因此,系統(tǒng)ACR特征提供用以實(shí)現(xiàn)上述目標(biāo)的能力-不具有系統(tǒng)ACR的存儲(chǔ)器裝置將允許無(wú)限制且不受控地添加應(yīng)用程序��。-不具有系統(tǒng)ACR的存儲(chǔ)器裝置可經(jīng)配置以禁用系統(tǒng)ACR創(chuàng)建����,這意味著沒(méi)有方法 來(lái)控制新應(yīng)用程序的添加(除非同樣禁用創(chuàng)建新根AGP的特征)。-具有系統(tǒng)ACR的存儲(chǔ)器裝置將僅允許經(jīng)由安全通道受控地添加應(yīng)用程序以通過(guò) 使用系統(tǒng)ACR證書(shū)的認(rèn)證程序來(lái)建立�����。-在添加應(yīng)用程序之前或之后,具有系統(tǒng)ACR的存儲(chǔ)器裝置可經(jīng)配置以禁用應(yīng)用 程序添加特征�。密鉬ID列表對(duì)每個(gè)特定ACR請(qǐng)求創(chuàng)建密鑰ID ;然而�,在存儲(chǔ)器系統(tǒng)10中,僅由SSA系統(tǒng)使用 這些密鑰ID�。當(dāng)創(chuàng)建密鑰ID時(shí),由創(chuàng)建ACR提供或向創(chuàng)建ACR提供以下數(shù)據(jù)1.密鑰ID�。所述ID由實(shí)體通過(guò)主機(jī)提供且用于參考密鑰和在所有進(jìn)一步讀取或 寫(xiě)入存取中使用密鑰加密或解密的數(shù)據(jù)。2.密鑰密碼和數(shù)據(jù)完整性模式(上述塊��、鏈和散列模式�����,且如下文解釋)除了主機(jī)提供的屬性之外����,由SSA系統(tǒng)維護(hù)以下數(shù)據(jù)1.密鑰ID擁有者。作為擁有者的ACR的ID����。當(dāng)創(chuàng)建密鑰ID時(shí),創(chuàng)建者ACR是其 擁有者�����。然而����,可將密鑰ID擁有權(quán)轉(zhuǎn)移給另一 ACR。優(yōu)選地��,僅允許密鑰ID擁有者轉(zhuǎn)移密 鑰ID的所有權(quán)和授權(quán)密鑰ID���。將存取許可授予相關(guān)聯(lián)密鑰和撤銷(xiāo)這些權(quán)利可由密鑰ID 擁有者或分配有授權(quán)許可的任何其它ACR來(lái)管理�。無(wú)論何時(shí)試圖實(shí)行這些操作中的任何一 者��,SSA系統(tǒng)將僅在批準(zhǔn)請(qǐng)求ACR時(shí)向其授權(quán)��。2. CEK0這是用于加密與密鑰ID相關(guān)聯(lián)的內(nèi)容或由密鑰ID指向的內(nèi)容的CEK��。CEK 可以是由SSA系統(tǒng)產(chǎn)生的128位AES隨機(jī)密鑰���。3. MAC和IV值��。用于鏈接塊密碼(CBC)加密算法中的動(dòng)態(tài)信息(消息認(rèn)證代碼和 初始向量)��。還參考圖8A-16中的流程圖來(lái)說(shuō)明SSA的各種特征����,其中步驟左側(cè)的“H”意味著操作由主機(jī)執(zhí)行,且“C”意味著操作由卡執(zhí)行�����。為了創(chuàng)建系統(tǒng)ACR��,主機(jī)向存儲(chǔ)器裝置10中 的SSA發(fā)布用以創(chuàng)建系統(tǒng)ACR的命令(方框202)�。裝置10通過(guò)檢查系統(tǒng)ACR是否已經(jīng)存 在來(lái)作出響應(yīng)(方框204,菱形206)����。如果已經(jīng)存在,那么裝置10返回失敗結(jié)果并停止(橢 圓形208)�����。如果不存在���,那么存儲(chǔ)器10檢查以查看是否允許系統(tǒng)ACR創(chuàng)建(菱形210)�,且 如果不允許則返回失敗狀態(tài)(方框212)��。因此���,可存在裝置發(fā)布者不允許創(chuàng)建系統(tǒng)ACR的情況�����,例如在已預(yù)先確定了所需要的安全性特征以使得不需要系統(tǒng)ACR的狀況下�。如果這 不被允許����,那么裝置10返回OK狀態(tài)且等待來(lái)自主機(jī)的系統(tǒng)ACR證書(shū)(方框214)。主機(jī)檢 查SSA狀態(tài)和裝置10是否已指示允許創(chuàng)建系統(tǒng)ACR (方框216和菱形218)����。如果不允許創(chuàng) 建或如果系統(tǒng)ACR已經(jīng)存在,那么主機(jī)停止(橢圓形220)���。如果裝置10已指示允許創(chuàng)建系 統(tǒng)ACR��,那么主機(jī)發(fā)出SSA命令以定義其登錄證書(shū)并將其發(fā)送到裝置10 (方框222)����。裝置 10用所接收的證書(shū)來(lái)更新系統(tǒng)ACR記錄并返回OK狀態(tài)(方框224)��。響應(yīng)于此狀態(tài)信號(hào)����, 主機(jī)發(fā)出指示系統(tǒng)ACR已準(zhǔn)備好的SSA命令(方框226)�。裝置10通過(guò)鎖定系統(tǒng)ACR以使 得其不能被更新或取代來(lái)作出響應(yīng)(方框228)�。這鎖定了系統(tǒng)ACR的特征和其用于向主機(jī) 識(shí)別裝置10的身份。通過(guò)在裝置中配置這些功能的方式來(lái)確定用于創(chuàng)建新樹(shù)(新的根AGP和ACR)的程序���。圖9解釋所述程序���。主機(jī)24與存儲(chǔ)器系統(tǒng)10兩者均遵守其。如果完全禁用添加新 根AGP���,那么不能添加新的根AGP (菱形246)���。如果其被啟用但需要系統(tǒng)ACR,那么主機(jī)通過(guò) 系統(tǒng)ACR來(lái)認(rèn)證并建立安全通道(菱形250�����,方框252)�����,且之后發(fā)出創(chuàng)建根AGP命令(方框 254)�。如果不需要系統(tǒng)ACR (菱形248)���,那么主機(jī)24可發(fā)出創(chuàng)建根AGP命令而無(wú)需認(rèn)證,并 進(jìn)入方框254����。如果系統(tǒng)ACR存在,那么即使不需要�,主機(jī)也可使用其(流程圖中未圖示)���。 如果禁用該功能�����,那么裝置(例如�,快閃卡)將拒絕任何創(chuàng)建新根AGP的試圖���,且如果需要 系統(tǒng)ACR�����,那么其將拒絕在沒(méi)有認(rèn)證的情況下創(chuàng)建新根AGP的試圖(菱形246和250)?����,F(xiàn) 在將方框254中的新創(chuàng)建的AGP和ACR切換到操作模式�����,以使得這些AGP中的ACR不能被 更新或改變�,且不能將任何ACR添加到其(方框256)。接著視情況將系統(tǒng)鎖定�����,以使得不能 創(chuàng)建額外的根AGP (方框258)�����。虛線框258是指示此步驟為可選步驟的常規(guī)方式�。此應(yīng)用 程序的圖式的流程圖中以虛線表示的所有框均是可選步驟。這允許內(nèi)容擁有者阻斷出于其 它非法目的的裝置10的使用(其可模仿具有合法內(nèi)容的真正存儲(chǔ)器裝置)���。為了創(chuàng)建ACR (除了上述根AGP中的ACR)����,可用具有創(chuàng)建ACR權(quán)利的任何ACR來(lái)開(kāi) 始(方框270)����,如圖10所示�����。實(shí)體可試圖通過(guò)提供實(shí)體點(diǎn)ACR身份和具有其希望創(chuàng)建的所 有必要屬性的ACR而經(jīng)由主機(jī)24進(jìn)入(方框272)�����。SSA檢查與ACR身份的匹配且具有此 身份的ACR是否具有創(chuàng)建ACR的許可(菱形274)�。如果請(qǐng)求被驗(yàn)證為經(jīng)授權(quán)的�,那么裝置 10中的SSA創(chuàng)建ACR (方框276)。圖11展示兩個(gè)AGP���,其說(shuō)明可用于使用圖10的方法的安全應(yīng)用程序的樹(shù)。因此�����, 營(yíng)銷(xiāo)AGP中具有身份ml的ACR具有用以創(chuàng)建ACR的許可����。ACR ml還可具有用以將密鑰用 于讀取和寫(xiě)入與密鑰ID “營(yíng)銷(xiāo)信息”相關(guān)聯(lián)的數(shù)據(jù)和與密鑰ID “價(jià)格列表”相關(guān)聯(lián)的數(shù)據(jù) 的許可。通過(guò)使用圖10的方法����,其創(chuàng)建具有兩個(gè)ACR的銷(xiāo)售AGP :sl和s2��,其對(duì)用于存取 與密鑰ID “價(jià)格列表”相關(guān)聯(lián)的定價(jià)數(shù)據(jù)的密鑰而不是對(duì)存取與密鑰ID “營(yíng)銷(xiāo)信息”相關(guān) 聯(lián)的數(shù)據(jù)所必要的密鑰的只讀許可�。以此方式����,具有ACR si和s2的實(shí)體僅可讀取而不能 改變定價(jià)數(shù)據(jù),且將不能存取營(yíng)銷(xiāo)數(shù)據(jù)���。另一方面�,ACR m2不具有用以創(chuàng)建ACR的許可�����,且 具有對(duì)用于存取與密鑰ID “價(jià)格列表”和密鑰ID “營(yíng)銷(xiāo)信息”相關(guān)聯(lián)的數(shù)據(jù)的密鑰的只讀 許可�。因此,可用上文解釋的方式授予存取權(quán)利�����,其中ml向si和s2授予用以讀取定價(jià) 數(shù)據(jù)的權(quán)利����。這對(duì)于涉及較大營(yíng)銷(xiāo)和銷(xiāo)售群組尤其有用。在僅存在一個(gè)或少數(shù)銷(xiāo)售人員的 情況下,可能不需要使用圖10的方法�����。而是��,可由ACR向在同一 AGP內(nèi)較低或相同等級(jí)處的ACR授予存取權(quán)利���,如圖12說(shuō)明���。首先,實(shí)體通過(guò)經(jīng)由主機(jī)用上文描述的方式在樹(shù)中指 定ACR來(lái)進(jìn)入此AGP的樹(shù)(方框280)��。接著��,主機(jī)將指定ACR和授予其的權(quán)利����。SSA檢查 此ACR的樹(shù)和是否ACR具有將權(quán)利授予所指定的另一 ACR的許可(菱形282)���。如果具有�����, 那么授予權(quán)利(方框284)�����;如果沒(méi)有�,那么停止。所述結(jié)果在圖13中說(shuō)明�。在此情況下, ACR ml具有授予ACR si讀取許可的許可���,以使得si將能夠在授權(quán)之后使用密鑰來(lái)存取定 價(jià)數(shù)據(jù)����。如果ml具有用以存取定價(jià)數(shù)據(jù)的相同或較大權(quán)利和如此授權(quán)的許可��,那么可執(zhí)行 這項(xiàng)操作�����。在一個(gè)實(shí)施例中�����,ml在授權(quán)之后維持其存取權(quán)利�。優(yōu)選地�����,可在例如有限時(shí)間���、 有限數(shù)目的存取等的受限條件下(而并非永久地)授予存取權(quán)利。圖14中說(shuō)明用于創(chuàng)建密鑰和密鑰ID的過(guò)程��。實(shí)體通過(guò)ACR來(lái)認(rèn)證(方框302)����。 實(shí)體請(qǐng)求創(chuàng)建具有由主機(jī)指定的ID的密鑰(方框304)。SSA檢查并查看所指定的ACR是 否具有這樣做的許可(菱形306)�。舉例來(lái)說(shuō),如果將要把密鑰用于存取特定分區(qū)中的數(shù)據(jù)�, 那么SSA將檢查并查看ACR是否可存取此分區(qū)。如果ACR被認(rèn)證��,那么存儲(chǔ)器裝置10創(chuàng)建 與由主機(jī)提供的密 鑰ID相關(guān)聯(lián)的密鑰值(方框308)����,且將密鑰ID存儲(chǔ)在ACR中并將密鑰 值存儲(chǔ)在其存儲(chǔ)器中(在與控制器相關(guān)聯(lián)的存儲(chǔ)器或存儲(chǔ)器20中)�,且根據(jù)由實(shí)體提供的 信息分派權(quán)利和許可(方框310)并修改具有這些所分派的權(quán)利和許可的此ACR的PCR(方 框312)。因此��,密鑰的創(chuàng)建者具有所有可用權(quán)利,例如讀取和寫(xiě)入許可����、授予及與同一 AGP 中其它ACR或較低等級(jí)處的ACR共享的權(quán)利和轉(zhuǎn)移密鑰擁有權(quán)的權(quán)利。ACR可改變SSA系統(tǒng)中另一 ACR的許可(或連同存在)�,如圖15說(shuō)明。實(shí)體可如同 以前那樣通過(guò)ACR進(jìn)入樹(shù)�����;在一種情況下���,實(shí)體經(jīng)認(rèn)證���,且接著其指定ACR(方框330、332)����。 其要求刪除目標(biāo)ACR或目標(biāo)ACR中的許可(方框334)。如果所指定的ACR或此時(shí)活動(dòng)的 ACR具有這樣做的權(quán)利(菱形336)�����,那么刪除目標(biāo)ACR����,或改變目標(biāo)ACR的PCR以刪除此許 可(方框338)����。如果這未被認(rèn)證�����,那么系統(tǒng)停止�����。在上述過(guò)程之后�,目標(biāo)將不再能夠存取其在所述過(guò)程之前能夠存取的數(shù)據(jù)。如圖 16所示�,實(shí)體可試圖在目標(biāo)ACR處進(jìn)入(方框350)并發(fā)現(xiàn)認(rèn)證過(guò)程失敗,因?yàn)橄惹按嬖诘?ACR ID不再存在于SSA中��,以使得存取權(quán)利被否定(菱形352)�。假定尚未刪除ACR ID,那 么實(shí)體指定ACR(方框354)和特定分區(qū)中的密鑰ID和/或數(shù)據(jù)(方框356)��,且SSA接著根 據(jù)此ACR的PCR檢查以查看密鑰ID或分區(qū)存取要求是否被許可(菱形358)���。如果許可已 被刪除或已期滿(mǎn)�����,那么再次拒絕請(qǐng)求�����。否則��,授權(quán)請(qǐng)求(方框360)����。上述過(guò)程描述裝置(例如���,快閃卡)如何管理存取受保護(hù)數(shù)據(jù)����,而不管ACR和其 PCR是否剛由另一 ACR改變或經(jīng)如此配置以開(kāi)始�。SSA系統(tǒng)經(jīng)設(shè)計(jì)以處理同時(shí)登錄的多個(gè)用戶(hù)。此特征要求由SSA接收的每個(gè)命令 與特定實(shí)體相關(guān)聯(lián)且僅在用于認(rèn)證此實(shí)體的ACR具有針對(duì)所請(qǐng)求行動(dòng)的許可時(shí)被執(zhí)行�。通過(guò)對(duì)話(huà)概念支持多個(gè)實(shí)體。在認(rèn)證過(guò)程期間建立對(duì)話(huà)����,且所述對(duì)話(huà)由SSA系統(tǒng) 分派對(duì)話(huà)id����。所述對(duì)話(huà)id內(nèi)在地與用于登錄到系統(tǒng)中的ACR相關(guān)聯(lián)���,且經(jīng)輸出給實(shí)體以用 于所有進(jìn)一步SSA命令�����。SSA系統(tǒng)支持兩個(gè)類(lèi)型的對(duì)話(huà)開(kāi)放對(duì)話(huà)和安全對(duì)話(huà)��。在ACR中界定與特定認(rèn)證 過(guò)程相關(guān)聯(lián)的對(duì)話(huà)類(lèi)型����。SSA系統(tǒng)將以類(lèi)似于其自身實(shí)施認(rèn)證的方式來(lái)實(shí)施對(duì)話(huà)建立���。由 于ACR界定實(shí)體許可��,因而此機(jī)制使得系統(tǒng)設(shè)計(jì)者能夠?qū)踩泶┡c存取特定密鑰ID或調(diào)用特定ACR管理操作(即����,創(chuàng)建新ACR和設(shè)定證書(shū))進(jìn)行關(guān)聯(lián)����。開(kāi)放對(duì)話(huà)開(kāi)放對(duì)話(huà)是用對(duì)話(huà)id而沒(méi)有總線加密來(lái)識(shí)別的對(duì)話(huà)��,所有命令和數(shù)據(jù)被不受阻 礙地傳遞���。此操作模式優(yōu)選地用于多用戶(hù)或多實(shí)體環(huán)境中�,其中實(shí)體既不是威脅模型的一 部分,也不在總線上竊聽(tīng)���。盡管既不保護(hù)數(shù)據(jù)的傳輸����,也不啟用主機(jī)側(cè)上應(yīng)用程序之間的有效防火墻功能����, 但開(kāi)放對(duì)話(huà)模式使得SSA系統(tǒng)能夠允許僅存取允許用于當(dāng)前經(jīng)認(rèn)證ACR的信息。開(kāi)放對(duì)話(huà)也可用于分區(qū)或密鑰需要保護(hù)的情況��。然而��,在有效認(rèn)證過(guò)程之后���,將存 取授予主機(jī)上的所有實(shí)體����。為了獲得經(jīng)認(rèn)證ACR的許可,各種主機(jī)應(yīng)用程序需要共享的唯 一事物是對(duì)話(huà)id�����。這在圖17A中說(shuō)明�。線400上的步驟是由主機(jī)24執(zhí)行的那些步驟。在 針對(duì)ACRl認(rèn)證實(shí)體(方框402)之后����,其要求存取存儲(chǔ)器裝置10中與密鑰ID X相關(guān)聯(lián)的文 件(方框404、406和408)�����。如果ACRl的PCR允許此存取�,那么裝置10授權(quán)所述請(qǐng)求(菱 形410)。如果不允許����,那么系統(tǒng)返回到方框402。在完成認(rèn)證之后�,存儲(chǔ)器系統(tǒng)10僅通過(guò) 所分派的對(duì)話(huà)id (而并非ACR證書(shū))來(lái)識(shí)別發(fā)出命令的實(shí)體。一旦ACRl獲得存取與其PCR 中的密鑰ID相關(guān)聯(lián)的數(shù)據(jù)�����,那么在開(kāi)放對(duì)話(huà)中,任何其它應(yīng)用程序或用戶(hù)可通過(guò)指定正確 對(duì)話(huà)ID (其在主機(jī)24上的不同應(yīng)用程序之間共享)來(lái)存取相同數(shù)據(jù)�����。此特征在更方便地使 得用戶(hù)能夠僅登錄一次且能夠存取與通過(guò)其為不同應(yīng)用程序執(zhí)行登錄的帳戶(hù)有關(guān)的所有 數(shù)據(jù)的應(yīng)用中是有利的���。因此,蜂窩式電話(huà)用戶(hù)可以能夠存取存儲(chǔ)器20中存儲(chǔ)的電子郵件 和聽(tīng)存儲(chǔ)器20中存儲(chǔ)的音樂(lè)而無(wú)需登錄多次�。另一方面,不由ACRl所包含的數(shù)據(jù)將為不 可存取的����。因此,同一蜂窩式電話(huà)用戶(hù)可具有可通過(guò)單獨(dú)帳戶(hù)ACR2存取的有價(jià)值內(nèi)容(例 如游戲和照片)���。這是他不希望借其電話(huà)的其他人存取的數(shù)據(jù)�,盡管他不介意其他人通過(guò)其 第一帳戶(hù)ACRl存取可用的數(shù)據(jù)����。將數(shù)據(jù)存取分為兩個(gè)單獨(dú)帳戶(hù),而允許在開(kāi)放對(duì)話(huà)中存取 ACRl提供使用方便性以及提供對(duì)有價(jià)值數(shù)據(jù)的保護(hù)�����。為了更進(jìn)一步方便在主機(jī)應(yīng)用程序當(dāng)中共享對(duì)話(huà)id的過(guò)程,當(dāng)ACR請(qǐng)求開(kāi)放對(duì)話(huà) 時(shí)��,其可特別地請(qǐng)求向所述對(duì)話(huà)分派“0(零)�����,���,id�����。如此��,應(yīng)用程序可經(jīng)設(shè)計(jì)以使用預(yù)定義 對(duì)話(huà)id�����。顯然�,唯一限制是在特定時(shí)間僅可認(rèn)證請(qǐng)求對(duì)話(huà)0的一個(gè)ACR���。認(rèn)證請(qǐng)求對(duì)話(huà)0 的另一 ACR的試圖將被拒絕��。安全對(duì)話(huà)為了添加安全層����,可使用對(duì)話(huà)id(如圖17B所示)。存儲(chǔ)器10接著還存儲(chǔ)活動(dòng)對(duì) 話(huà)的對(duì)話(huà)id�。在圖17B中,舉例來(lái)說(shuō)����,為了能夠存取與密鑰ID X相關(guān)聯(lián)的文件,實(shí)體將需要 在其被允許存取文件之前還提供對(duì)話(huà)id(例如�,對(duì)話(huà)id “A”)(方框404、406�、412和414)�。 以此方式,除非請(qǐng)求實(shí)體知道正確的對(duì)話(huà)id�,否則其不能存取存儲(chǔ)器10。由于在對(duì)話(huà)結(jié)束 之后刪除對(duì)話(huà)id且對(duì)話(huà)id對(duì)于每個(gè)對(duì)話(huà)是不同的�,因而實(shí)體可僅在其已能夠提供對(duì)話(huà)號(hào) 碼時(shí)獲得存取。除了通過(guò)使用對(duì)話(huà)號(hào)碼之外�����,SSA系統(tǒng)沒(méi)有其它方法來(lái)確保命令確實(shí)來(lái)自經(jīng)正確 認(rèn)證的實(shí)體��。對(duì)于其中存在攻擊者將試圖使用開(kāi)放通道來(lái)發(fā)送惡意命令的威脅的應(yīng)用程序 和使用情況來(lái)說(shuō),主機(jī)應(yīng)用程序使用安全對(duì)話(huà)(安全通道)����。當(dāng)使用安全通道時(shí),使用安全通道加密(對(duì)話(huà))密鑰來(lái)加密對(duì)話(huà)id以及整個(gè)命 令�����,且安全水平與主機(jī)側(cè)實(shí)施方案一樣高�。
終Ih對(duì)話(huà) 在任何一種以下情形中,終止對(duì)話(huà)且退出ACR 1.實(shí)體發(fā)出明確的結(jié)束對(duì)話(huà)命令�����。2.通信超時(shí)����。特定實(shí)體未對(duì)定義作為一個(gè)ACR參數(shù)的時(shí)間周期發(fā)出命令。3.在裝置(例如����,快閃卡)復(fù)位和/或功率周期之后終止所有打開(kāi)對(duì)話(huà)。數(shù)據(jù)完整件服各SSA系統(tǒng)驗(yàn)證SSA數(shù)據(jù)庫(kù)(其含有所有ACR��、PCR等)的完整性���。此外���,通過(guò)密鑰ID機(jī)制為實(shí)體數(shù)據(jù)提供數(shù)據(jù)完整性服務(wù)����。如果將散列用作其加密算法來(lái)配置密鑰ID���,那么將散列值連同CEK和IV—起存 儲(chǔ)在CEK記錄中�����。在寫(xiě)入操作期間計(jì)算和存儲(chǔ)散列值����。在讀取操作期間再次計(jì)算散列值并 將其與在先前寫(xiě)入操作期間存儲(chǔ)的值進(jìn)行比較�����。每次實(shí)體存取密鑰ID時(shí)���,將額外數(shù)據(jù)連接 (以密碼形式)到舊數(shù)據(jù)和經(jīng)更新的適當(dāng)散列值(用于讀取或用于寫(xiě)入)。由于只有主機(jī)知道與密鑰ID相關(guān)聯(lián)或由密鑰ID指向的數(shù)據(jù)文件�����,因而主機(jī)明確 地用以下方式管理數(shù)據(jù)完整性功能的若干方面1.從開(kāi)始到結(jié)束寫(xiě)入或讀取與密鑰ID相關(guān)聯(lián)或由密鑰ID指向的數(shù)據(jù)文件。任何 存取部分文件的試圖將使其混亂����,因?yàn)镾SA系統(tǒng)正使用CBC加密方法且產(chǎn)生整個(gè)數(shù)據(jù)的散 列消息摘要。2.無(wú)需處理相連流(數(shù)據(jù)流可與其它密鑰Id的數(shù)據(jù)流交錯(cuò)且可在多個(gè)對(duì)話(huà)上分 裂)中的數(shù)據(jù)����,因?yàn)橹虚g散列值由SSA系統(tǒng)維持。然而��,如果重新開(kāi)始數(shù)據(jù)流�,那么實(shí)體將 需要明確指示SSA系統(tǒng)重設(shè)散列值。3.當(dāng)完成讀取操作時(shí)�,主機(jī)必須明確請(qǐng)求SSA系統(tǒng)通過(guò)將讀取散列與在寫(xiě)入操作 期間計(jì)算出的散列值進(jìn)行比較來(lái)驗(yàn)證所述讀取散列。4. SSA系統(tǒng)同樣提供“虛擬讀取”操作����。此特征將使得數(shù)據(jù)串流通過(guò)密碼引擎,但 將不會(huì)把其發(fā)送出到主機(jī)�����。此特征可用于在將數(shù)據(jù)實(shí)際從裝置(例如��,快閃卡)讀出之前 驗(yàn)證數(shù)據(jù)完整性。隨機(jī)號(hào)碼產(chǎn)生SSA系統(tǒng)將使得外部實(shí)體能夠利用內(nèi)部隨機(jī)號(hào)碼產(chǎn)生器并請(qǐng)求將隨機(jī)號(hào)碼在SSA 系統(tǒng)外部使用�����。此服務(wù)可用于任何主機(jī)且不需要認(rèn)證��。RSA密鑰對(duì)產(chǎn)生SSA系統(tǒng)將使得外部用戶(hù)能夠利用內(nèi)部RSA密鑰對(duì)產(chǎn)生特征并請(qǐng)求將RSA密鑰對(duì) 在SSA系統(tǒng)外部使用�����。此服務(wù)可用于任何主機(jī)且不需要認(rèn)證�����。替代實(shí)施例代替使用分級(jí)方法��,可使用數(shù)據(jù)庫(kù)方法來(lái)實(shí)現(xiàn)類(lèi)似結(jié)果����,如圖18說(shuō)明。如圖18所示����,可將實(shí)體的證書(shū)����、認(rèn)證方法��、失敗試圖的最大數(shù)目和需要解鎖的證 書(shū)的最小數(shù)目的列表輸入到存儲(chǔ)在控制器12或存儲(chǔ)器20中的數(shù)據(jù)庫(kù)中��,這使得這些證書(shū) 要求與數(shù)據(jù)庫(kù)中由存儲(chǔ)器10的控制器12執(zhí)行的策略(讀取���、寫(xiě)入存取密鑰和分區(qū)、安全通 道要求)相關(guān)��。同樣存儲(chǔ)在數(shù)據(jù)庫(kù)中的還有對(duì)存取密鑰和分區(qū)的約束和限制����。因此,一些 實(shí)體(例如���,系統(tǒng)管理者)可在白名單上����,這意味著這些實(shí)體可始終存取所有密鑰和分區(qū)�。 其它實(shí)體可在黑名單上,且其對(duì)存取任何信息的試圖將被阻斷�。限制可以是全局的或密鑰和/或分區(qū)特定的。這意味著僅某些實(shí)體可始終存取某些特定密鑰和分區(qū),且某些實(shí)體始終不能存取�。可對(duì)內(nèi)容本身進(jìn)行約束����,而不管內(nèi)容所在的分區(qū)或用于將其加密或解密的密 鑰。因此���,某些數(shù)據(jù)(例如����,歌曲)可具有其僅可由存取其的前面五個(gè)主機(jī)裝置來(lái)存取或其 它數(shù)據(jù)(例如����,電影)僅可被讀取有限次數(shù)(而不管哪些實(shí)體已進(jìn)行存取)的屬性。認(rèn)證口令保護(hù) 口令保護(hù)意味著需要出示口令以存取受保護(hù)區(qū)域��。除非其不能是一個(gè)以上口令�����, 否則口令可與例如讀取存取或讀取/寫(xiě)入存取的不同權(quán)利相關(guān)聯(lián)��?�!?口令保護(hù)意味著裝置(例如,快閃卡)能夠驗(yàn)證由主機(jī)提供的口令��,即裝置也具 有存儲(chǔ)在由裝置管理的安全存儲(chǔ)區(qū)域中的口令�����。問(wèn)題和限制 口令常遭受重放攻擊�。因?yàn)榭诹钤诿看纬鍪局蟛话l(fā)生改變�,所以其可被同樣地 再次發(fā)送。這意味著如果待保護(hù)的數(shù)據(jù)是有價(jià)值的����,且通信總線可易于存取,那么照現(xiàn)在的 樣子不能使用口令�����?���!?口令可保護(hù)對(duì)所存儲(chǔ)數(shù)據(jù)的存取,但不應(yīng)用于保護(hù)數(shù)據(jù)(并非密鑰)·為了增加與口令相關(guān)聯(lián)的安全等級(jí)����,可使用主密鑰來(lái)使口令多樣化��,這導(dǎo)致一個(gè) 口令被黑(hack)不會(huì)破壞整個(gè)系統(tǒng)�?����;趯?duì)話(huà)密鑰的安全通信通道可用于發(fā)送口令�。圖19是說(shuō)明使用口令的認(rèn)證的流程圖。實(shí)體向系統(tǒng)10(例如����,快閃存儲(chǔ)卡)呈報(bào) 帳戶(hù)id和口令。系統(tǒng)檢查以查看所述口令是否與其存儲(chǔ)器中的口令匹配�����。如果匹配�,那么 返回受認(rèn)證狀態(tài)。否則���,針對(duì)那個(gè)帳戶(hù)遞增錯(cuò)誤計(jì)數(shù)器�����,且要求實(shí)體重新輸入帳戶(hù)id和口 令�。如果計(jì)數(shù)器溢出,那么系統(tǒng)返回拒絕存取的狀態(tài)�����。質(zhì)詢(xún)響應(yīng)圖20是說(shuō)明使用質(zhì)詢(xún)/響應(yīng)型方法的認(rèn)證的流程圖��。實(shí)體呈報(bào)帳戶(hù)id�,且從系 統(tǒng)10請(qǐng)求質(zhì)詢(xún)���。系統(tǒng)10產(chǎn)生隨機(jī)號(hào)碼并將其呈現(xiàn)給主機(jī)�����。主機(jī)從所述號(hào)碼計(jì)算出響應(yīng)���, 并將其發(fā)送給系統(tǒng)10。系統(tǒng)10將所述響應(yīng)與所存儲(chǔ)的值進(jìn)行比較��。剩余步驟類(lèi)似于圖19 中用于確定是否授權(quán)存取的步驟����。圖21是說(shuō)明使用另一質(zhì)詢(xún)/響應(yīng)型方法的認(rèn)證的流程圖。圖21與圖20的不同 之處在于�����,除了要求主機(jī)由系統(tǒng)10認(rèn)證之外,其還要求系統(tǒng)10由質(zhì)詢(xún)/響應(yīng)認(rèn)證����,其中系 統(tǒng)10也從主機(jī)請(qǐng)求質(zhì)詢(xún)且返回響應(yīng)以由主機(jī)檢查。圖22是說(shuō)明使用另一質(zhì)詢(xún)/響應(yīng)型方法的認(rèn)證的流程圖��。在此情況下��,只有系統(tǒng) 10需要被認(rèn)證����,其中主機(jī)將質(zhì)詢(xún)發(fā)送給系統(tǒng)10,系統(tǒng)10計(jì)算出響應(yīng)����,所述響應(yīng)由主機(jī)檢查 以確定與系統(tǒng)10的其記錄的匹配。對(duì)稱(chēng)密鑰對(duì)稱(chēng)密鑰算法意味著在兩側(cè)上使用SAME密鑰來(lái)進(jìn)行加密及解密���。其意味著在通 信之前密鑰必須被預(yù)先同意����。而且��,每側(cè)應(yīng)實(shí)施彼此反向的算法,即��,一側(cè)上是加密算法而 另一側(cè)上是解密算法�。所述兩側(cè)不需要實(shí)施兩個(gè)算法來(lái)通信。認(rèn)證 對(duì)稱(chēng)密鑰認(rèn)證意味著裝置(例如��,快閃卡)與主機(jī)共享相同密鑰且具有相同加密 算法(直接和反向�����,例如DES和DES-1)��。
·對(duì)稱(chēng)密鑰認(rèn)證意味著質(zhì)詢(xún)_響應(yīng)(保護(hù)以免受重放攻擊)�����。受保護(hù)裝置產(chǎn)生對(duì) 于另一裝置的質(zhì)詢(xún)���,且兩者均計(jì)算響應(yīng)。認(rèn)證裝置發(fā)送回響應(yīng)��,且受保護(hù)裝置檢查響應(yīng)且因 此驗(yàn)證認(rèn)證�。接著可授權(quán)與認(rèn)證相關(guān)聯(lián)的權(quán)利。認(rèn)證可以是 外部的裝置(例如��,快閃卡)認(rèn)證外界,即��,裝置驗(yàn)證給定主機(jī)或應(yīng)用程序的證 書(shū)·相互的在兩側(cè)上產(chǎn)生質(zhì)詢(xún)·內(nèi)部的主機(jī)應(yīng)用程序認(rèn)證裝置(例如�����,快閃卡)�����,即�,主機(jī)檢查裝置對(duì)于其應(yīng)用 程序來(lái)說(shuō)是否是真實(shí)的為了增加整個(gè)系統(tǒng)的安全等級(jí)(即,破壞一者不會(huì)破壞所有)·通?���?蓪?duì)稱(chēng)密鑰與使用主密鑰的多樣化結(jié)合·相互認(rèn)證使用來(lái)自?xún)蓚?cè)的質(zhì)詢(xún)以確保質(zhì)詢(xún)是真實(shí)質(zhì)詢(xún)加密對(duì)稱(chēng)密鑰密碼術(shù)也用于加密,因?yàn)槠涫欠浅S行У乃惴?����,即����,其不需要?qiáng)大CPU來(lái) 處理密碼術(shù)。當(dāng)用于保護(hù)通信通道時(shí) 兩個(gè)裝置必須知道用以保護(hù)通道(即,加密所有傳出數(shù)據(jù)和解密所有傳入數(shù)據(jù)) 的對(duì)話(huà)密鑰�。通常使用預(yù)先共享的秘密對(duì)稱(chēng)密鑰或使用PKI來(lái)建立此對(duì)話(huà)密鑰?!蓚€(gè)裝置必須知道并實(shí)施相同密碼算法簽名對(duì)稱(chēng)密鑰也可用于簽署數(shù)據(jù)。在所述情況下�����,簽名是加密的部分結(jié)果�����。保持結(jié)果 不完整允許簽署進(jìn)行所需要的次數(shù)而不會(huì)暴露密鑰值����。問(wèn)題和限制對(duì)稱(chēng)算法是非常有效且安全的�,但其基于預(yù)先共享的秘密。發(fā)布以動(dòng)態(tài)方式秘密 地共享此秘密且可能使其為隨機(jī)的(如同對(duì)話(huà)密鑰)���。此想法在于�����,共享秘密難以長(zhǎng)期保持 安全且?guī)缀醪豢赡芘c多人共享��。為了有利于此操作�����,已發(fā)明公用密鑰算法���,因?yàn)槠湓试S交換秘密而無(wú)需共享秘密�。公用密鑰密碼術(shù)不對(duì)稱(chēng)密鑰算法通常指公用密鑰密碼�。其是非常復(fù)雜且通常CPU密集的數(shù)學(xué)實(shí) 施。已發(fā)明其來(lái)解決與對(duì)稱(chēng)密鑰算法相關(guān)聯(lián)的密鑰分布的問(wèn)題�����。其也提供用于確保數(shù)據(jù)完 整性的簽署能力����。不對(duì)稱(chēng)密鑰算法使用分別被稱(chēng)為私有密鑰和公用密鑰的具有私有和公用元素的 密鑰。私有密鑰與公用密鑰兩者以數(shù)學(xué)方式鏈接在一起����。公用密鑰可被共享,而私有密鑰 需要保密��。至于所述密鑰���,不對(duì)稱(chēng)算法使用兩個(gè)數(shù)學(xué)函數(shù)(一個(gè)用于私有密鑰且一個(gè)用于 公用密鑰)來(lái)提供包裹及解開(kāi)或簽署和驗(yàn)證���。密鑰交換和密鑰分配密鑰交換通過(guò)使用PK算法而變得非常簡(jiǎn)單���。裝置將其公用密鑰發(fā)送給其它裝置。 其它裝置用所述公用密鑰來(lái)包裹其秘密密鑰�����,且將已加密的數(shù)據(jù)返回到第一裝置���。第一裝 置使用其私有密鑰來(lái)解開(kāi)數(shù)據(jù)���,且檢索兩側(cè)現(xiàn)都知道且可用于交換數(shù)據(jù)的秘密密鑰。因?yàn)榭扇菀椎亟粨Q對(duì)稱(chēng)密鑰�,所以其通常是隨機(jī)密鑰。簽名由于其本性的緣故���,公用密鑰算法通常僅用于簽署少量數(shù)據(jù)。為了確保數(shù)據(jù)完整 性�����,其接著與提供消息的單向足跡的散列函數(shù)組合。私有密鑰用于簽署數(shù)據(jù)��。公用密鑰(可自由獲得)允許驗(yàn)證簽名��。認(rèn)證認(rèn)證通常使用簽名質(zhì)詢(xún)經(jīng)簽署并返回以供驗(yàn)證��。密鑰的公用部分用于驗(yàn)證�。因?yàn)槿魏稳丝僧a(chǎn)生密鑰對(duì),所以需要證實(shí)公用密鑰的 擁有者以便證明這是使用正確密鑰的合適人��。憑證授權(quán)方提供憑證����,且將在簽署憑證中包 括公用密鑰。憑證由授權(quán)方自身簽署����。接著使用公用密鑰來(lái)驗(yàn)證簽名意味著信任發(fā)出含有 所述密鑰的憑證的授權(quán)方且能夠驗(yàn)證所述憑證尚未被黑掉,即���,由授權(quán)方簽署的憑證散列 是正確的��;意味著用戶(hù)具有授權(quán)方公用密鑰憑證并信任所述授權(quán)方公用密鑰憑證��。提供PK認(rèn)證的最普通方法是信任授權(quán)方或根憑證且間接信任由給定授權(quán)方證實(shí) 的所有密鑰對(duì)����。那么認(rèn)證是通過(guò)簽署質(zhì)詢(xún)和提供質(zhì)詢(xún)響應(yīng)和憑證來(lái)證明所具有的私有密鑰 與憑證匹配的事項(xiàng)。接著���,檢查憑證以確保其尚未被黑掉且其由受信任的授權(quán)方簽署���。接 著,驗(yàn)證質(zhì)詢(xún)響應(yīng)���。如果憑證被信任且質(zhì)詢(xún)響應(yīng)正確���,那么認(rèn)證成功。裝置(例如�����,快閃卡)中的認(rèn)證意味著對(duì)裝置加載受信任的根憑證且裝置能夠驗(yàn) 證質(zhì)詢(xún)響應(yīng)以及憑證簽署的散列��。文件加密PK算法并不用于加密大量數(shù)據(jù)�����,因?yàn)槠涫沁^(guò)于CPU密集的�����,但PK算法通常用于保 護(hù)經(jīng)產(chǎn)生以加密內(nèi)容的隨機(jī)化加密/解密密鑰���。舉例來(lái)說(shuō)����,SMIME (安全電子郵件)產(chǎn)生接 著用所有接受者的公用密鑰加密的密鑰����。問(wèn)題和限制因?yàn)槿魏问挛锟僧a(chǎn)生密鑰對(duì),所以其必須被證實(shí)以確保其來(lái)源��。在密鑰交換期間����, 一者可能想要確保秘密密鑰被提供給正確的裝置,即�����,將需要檢查所提供的公用密鑰的來(lái) 源����。那么憑證管理成為安全性的一部分�,因?yàn)槠淇赏ㄖP(guān)于密鑰的有效性和密鑰是否已被 撤銷(xiāo)��。盡管上文已參考各種實(shí)施例描述了本發(fā)明�����,但將了解�,可在不脫離本發(fā)明范圍的 情況下,對(duì)本發(fā)明作出各種改變和修改����,本發(fā)明的范圍應(yīng)僅由所附權(quán)利要求書(shū)和其等效物 界定。本文所提到的所有參考均以引用方式并入本文中����。
權(quán)利要求
一種存儲(chǔ)裝置,其包括非易失性存儲(chǔ)器����,其具有分區(qū)且含有包括認(rèn)證證書(shū)和賬戶(hù)許可的賬戶(hù);以及控制器����,其與所述非易失性存儲(chǔ)器通信,其中所述控制器操作以接收存取所述分區(qū)的請(qǐng)求�,所述請(qǐng)求包括對(duì)話(huà)ID����,在實(shí)體被認(rèn)證給所述賬戶(hù)之后����,所述對(duì)話(huà)ID與所述賬戶(hù)許可相關(guān)聯(lián)��,其中在認(rèn)證所述實(shí)體之前����,所述存儲(chǔ)裝置存儲(chǔ)所述賬戶(hù)許可;使用包括在所述請(qǐng)求中的所述對(duì)話(huà)ID以在所述存儲(chǔ)裝置中查詢(xún)與所述對(duì)話(huà)ID相關(guān)聯(lián)的所述賬戶(hù)許可�����;確定所述賬戶(hù)許可是否授權(quán)對(duì)存取所述分區(qū)的所述請(qǐng)求����;及如果所述賬戶(hù)許可授權(quán)對(duì)存取所述分區(qū)的所述請(qǐng)求,則授予對(duì)存取所述分區(qū)的所述請(qǐng)求���。
2.根據(jù)權(quán)利要求1所述的存儲(chǔ)裝置��,其中所述存儲(chǔ)器包括額外分區(qū)��,且其中所述控制 器進(jìn)一步操作以許可經(jīng)認(rèn)證的實(shí)體存取在所述額外分區(qū)中的數(shù)據(jù)�。
3.根據(jù)權(quán)利要求1所述的存儲(chǔ)裝置,其中對(duì)所述分區(qū)的一種存取獨(dú)立于用于將所述實(shí) 體認(rèn)證給所述賬戶(hù)的任何認(rèn)證�。
4.根據(jù)權(quán)利要求1所述的存儲(chǔ)裝置,其中多個(gè)賬戶(hù)能被授權(quán)給對(duì)所述分區(qū)的一種存取��。
5.根據(jù)權(quán)利要求1所述的存儲(chǔ)裝置��,其中關(guān)于所述賬戶(hù)的信息在認(rèn)證階段由所述控制 器從所述非易失性存儲(chǔ)器取出���。
6.根據(jù)權(quán)利要求1所述的存儲(chǔ)裝置��,其中所述分區(qū)包括一個(gè)連續(xù)范圍的地址����。
7.一種存儲(chǔ)裝置�����,其包括非易失性存儲(chǔ)器�����,其具有分區(qū)且含有包括認(rèn)證證書(shū)和賬戶(hù)許可的賬戶(hù);以及 控制器�����,其與所述非易失性存儲(chǔ)器通信�,其中所述控制器操作以 無(wú)需認(rèn)證而允許讀取和寫(xiě)入中的一者存取所述非易失性存儲(chǔ)器中的所述分區(qū);以及 僅在實(shí)體被認(rèn)證給所述賬戶(hù)之后允許對(duì)所述分區(qū)的所述讀取和寫(xiě)入存取中的另一者��, 其間將認(rèn)證對(duì)話(huà)ID提供給所述實(shí)體且其與所述賬戶(hù)許可相關(guān)聯(lián)����,其中在認(rèn)證所述實(shí)體之 前��,所述存儲(chǔ)裝置存儲(chǔ)所述賬戶(hù)許可��,以及僅發(fā)生在以下之后接收?qǐng)?zhí)行對(duì)所述分區(qū)的所述讀取和寫(xiě)入存取中的另一者的請(qǐng)求��,所述請(qǐng)求包括所述對(duì) 話(huà)ID ���;使用包括在所述請(qǐng)求中的所述對(duì)話(huà)ID以在所述存儲(chǔ)裝置中查詢(xún)與所述對(duì)話(huà)ID相關(guān)聯(lián) 的所述賬戶(hù)許可���;以及確定所述賬戶(hù)許可是否授權(quán)對(duì)所述分區(qū)的所述讀取和寫(xiě)入存取中的另一者。
8.根據(jù)權(quán)利要求7所述的存儲(chǔ)裝置��,其中基于至少一個(gè)其它賬戶(hù)來(lái)控制對(duì)所述分區(qū)的 存取。
9.根據(jù)權(quán)利要求7所述的存儲(chǔ)裝置�����,其中所述非易失性存儲(chǔ)器包括至少一個(gè)額外分區(qū)�。
10.根據(jù)權(quán)利要求7所述的存儲(chǔ)裝置,其中所述賬戶(hù)包括存取控制記錄�。
11.根據(jù)權(quán)利要求7所述的存儲(chǔ)裝置,其中關(guān)于所述賬戶(hù)的信息在認(rèn)證階段由所述控 制器從所述存儲(chǔ)器取出���。
12.根據(jù)權(quán)利要求7所述的存儲(chǔ)裝置���,其中所述分區(qū)包括一個(gè)連續(xù)范圍的地址。
全文摘要
本發(fā)明涉及具有分區(qū)的通用內(nèi)容控制�����。在一些移動(dòng)存儲(chǔ)裝置中�,通過(guò)將存儲(chǔ)器劃分為多個(gè)獨(dú)立區(qū)域來(lái)提供內(nèi)容保護(hù),在所述獨(dú)立區(qū)域中�,存取受保護(hù)區(qū)域需要在先認(rèn)證。盡管此特征提供某種保護(hù)�,但其卻不能保護(hù)免受通過(guò)非法途徑獲得口令的用戶(hù)存取。因此�����,本發(fā)明的另一方面是基于以下認(rèn)識(shí)的可提供一種機(jī)制或結(jié)構(gòu)來(lái)將存儲(chǔ)器劃分為多個(gè)分區(qū),且使得所述分區(qū)中的至少一些數(shù)據(jù)可用密鑰來(lái)加密�����,以使得除了存取某些所述分區(qū)所要求的認(rèn)證之外�����,可能需要存取一個(gè)或一個(gè)以上密鑰來(lái)解密此類(lèi)分區(qū)中經(jīng)加密的數(shù)據(jù)����。在一些應(yīng)用中����,可更方便地使得用戶(hù)能夠通過(guò)使用一個(gè)應(yīng)用程序來(lái)登錄存儲(chǔ)器系統(tǒng),且接著能夠使用不同應(yīng)用程序來(lái)存取受保護(hù)內(nèi)容而無(wú)需再次登錄����。在此類(lèi)情況下,可將用戶(hù)想要以此方式存取的所有內(nèi)容與第一帳戶(hù)進(jìn)行關(guān)聯(lián)�,以使得可經(jīng)由不同應(yīng)用程序(例如,音樂(lè)播放器��、電子郵件、蜂窩式通信等)來(lái)存取所有此類(lèi)內(nèi)容而無(wú)需多次登錄�。接著,可將不同組的認(rèn)證信息用于進(jìn)行登錄���,以存取在與所述第一帳戶(hù)不同的賬戶(hù)中的受保護(hù)內(nèi)容��,即使所述不同帳戶(hù)是針對(duì)相同用戶(hù)或?qū)嶓w的�����。
文檔編號(hào)G06F21/78GK101819612SQ20091021195
公開(kāi)日2010年9月1日 申請(qǐng)日期2005年12月21日 優(yōu)先權(quán)日2004年12月21日
發(fā)明者巴赫曼·卡瓦米, 法布里斯·約剛-庫(kù)侖, 羅恩·巴爾齊萊, 邁克爾·霍爾茨曼 申請(qǐng)人:桑迪士克股份有限公司