專利名稱:具有物理可分離的密鑰存儲(chǔ)設(shè)備的硬件加密存儲(chǔ)設(shè)備的制作方法
具有物理可分離的密鑰存儲(chǔ)設(shè)備的硬件加密存儲(chǔ)設(shè)備
背景技術(shù):
計(jì)算設(shè)備日益用來對(duì)打算保密的數(shù)據(jù)和信息操作、存儲(chǔ)。這樣的數(shù)據(jù)和信息可以包括政府秘密,但是更可能包括商業(yè)和個(gè)人信息如果這樣的信息被惡意方或敵對(duì)方獲得, 該信息可能對(duì)一個(gè)或多個(gè)個(gè)體造成損害。因此,已經(jīng)與計(jì)算設(shè)備的硬件關(guān)聯(lián)地以及與計(jì)算設(shè)備的軟件關(guān)聯(lián)地實(shí)現(xiàn)了各種不同的安全機(jī)制。這樣的硬件安全機(jī)制的實(shí)例包括被設(shè)計(jì)成基于諸如指紋之類的生物統(tǒng)計(jì)信息產(chǎn)生安全口令的外設(shè)以及對(duì)計(jì)算設(shè)備的物理訪問屏障, 例如鍵盤鎖、通信端口鎖等等。與計(jì)算設(shè)備的軟件關(guān)聯(lián)的安全機(jī)制的實(shí)例包括各種不同的加密技術(shù)和各種不同的訪問控制技術(shù)。一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的數(shù)據(jù)的保護(hù)經(jīng)常在根本不與計(jì)算設(shè)備直接關(guān)聯(lián)的活動(dòng)期間失敗。例如,當(dāng)一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)的物理裝運(yùn)沒有被妥善保管并且因而丟失或者甚至被盜時(shí),計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的數(shù)據(jù)可能且已經(jīng)被損害。類似地,當(dāng)包括一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)的存儲(chǔ)設(shè)備被認(rèn)為發(fā)生故障并且因而被丟棄時(shí),計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的數(shù)據(jù)可能且已經(jīng)被損害。通常,這樣的“發(fā)生故障的”存儲(chǔ)設(shè)備保留了其計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的、處于可以由計(jì)算設(shè)備檢索和訪問的形式的相當(dāng)高百分比的數(shù)據(jù)。為了增強(qiáng)對(duì)于計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的數(shù)據(jù)的保護(hù),尤其是在這樣的介質(zhì)變得對(duì)于惡意方或敵對(duì)方可物理訪問的情況下,開發(fā)了“全卷”加密方法,其中計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的基本上所有的數(shù)據(jù)都以加密形式存儲(chǔ),使得即使惡意方或敵對(duì)方要獲得對(duì)于這種介質(zhì)的物理控制,他們?cè)跊]有適當(dāng)?shù)慕饷苊荑€的情況下也不太可能解密該數(shù)據(jù)。為了提供更大的性能,對(duì)作為存儲(chǔ)設(shè)備一部分的一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的數(shù)據(jù)的加密可以通過作為存儲(chǔ)設(shè)備本身一部分的專用密碼硬件,而不是通過給存儲(chǔ)和獲取這樣的數(shù)據(jù)的計(jì)算設(shè)備的一個(gè)或多個(gè)中央處理單元造成負(fù)擔(dān)來執(zhí)行。除了全卷加密方法之外,以適當(dāng)?shù)姆绞綄?duì)于其上存儲(chǔ)了敏感數(shù)據(jù)的計(jì)算機(jī)可讀介質(zhì)的物理破壞同樣可以增強(qiáng)這種數(shù)據(jù)的保護(hù)和安全。例如,可以物理地破碎可能已經(jīng)存儲(chǔ)了要保護(hù)的數(shù)據(jù)的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)或者使其暴露于隨機(jī)的強(qiáng)磁場(chǎng),使得數(shù)據(jù)物理上不一致,或者不可在物理上恢復(fù)該計(jì)算機(jī)可讀介質(zhì)。遺憾的是,計(jì)算機(jī)可讀介質(zhì)的這種物理破壞可能既昂貴又耗時(shí),并且由于尋求降低時(shí)間和開支的效率,可以采用可能損壞這種介質(zhì)上存儲(chǔ)的數(shù)據(jù)的捷徑,從而削弱物理破壞的努力。此外,諸如政府安全法規(guī)或者隱私法規(guī)之類的各種不同的法規(guī)可能施加額外的負(fù)擔(dān), 例如以特定的方式執(zhí)行和記錄計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的適當(dāng)破壞的要求。
發(fā)明內(nèi)容
包括硬件密碼系統(tǒng)的存儲(chǔ)設(shè)備可以與在這里稱為“密鑰設(shè)備”的物理實(shí)體關(guān)聯(lián),該密鑰設(shè)備可以與存儲(chǔ)設(shè)備的其余部分在物理上和通信上分離。密鑰設(shè)備可以包含可以由硬件密碼系統(tǒng)用來直接地或間接地對(duì)存儲(chǔ)設(shè)備的計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的數(shù)據(jù)加密和解密的密碼信息。當(dāng)例如通過將密鑰設(shè)備與存儲(chǔ)設(shè)備在物理上分離而使密鑰設(shè)備與硬件密碼系統(tǒng)在通信上分離時(shí),存儲(chǔ)設(shè)備的計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的加密數(shù)據(jù)不可能被解密,并且因而對(duì)于未授權(quán)的訪問是安全的。
在一個(gè)實(shí)施例中,存儲(chǔ)系統(tǒng)可以包括彼此在物理上且在通信上分離的密鑰設(shè)備和存儲(chǔ)設(shè)備。該存儲(chǔ)設(shè)備可以包括可以對(duì)存儲(chǔ)設(shè)備存儲(chǔ)的數(shù)據(jù)加密和解密的硬件密碼系統(tǒng)以及一個(gè)或多個(gè)可以存儲(chǔ)加密數(shù)據(jù)的計(jì)算機(jī)可讀介質(zhì),并且密鑰設(shè)備可以包括可以由硬件密碼系統(tǒng)在加密和解密數(shù)據(jù)中利用的密碼信息。例如通過將密鑰設(shè)備與存儲(chǔ)設(shè)備在物理上分離而引起的密鑰設(shè)備與硬件密碼系統(tǒng)的通信分離可以使得存儲(chǔ)設(shè)備的存儲(chǔ)介質(zhì)上的加密數(shù)據(jù)不可訪問,至少直到相同的密鑰設(shè)備與硬件密碼系統(tǒng)重新在通信上聯(lián)合時(shí)為止??煞蛛x的密鑰設(shè)備的密碼信息可以由制造商提供,或者由硬件密碼系統(tǒng)本身例如在存儲(chǔ)設(shè)備的初始化期間提供。在另一個(gè)實(shí)施例中,在物理上和通信上可分離的密鑰設(shè)備可以獨(dú)立地通信式地連接到指配計(jì)算設(shè)備,該指配計(jì)算設(shè)備可以充當(dāng)管理可以提供給一個(gè)或多個(gè)密鑰設(shè)備的密碼信息的設(shè)備。一旦通信式地連接到這樣的指配計(jì)算設(shè)備,密鑰設(shè)備可以從指配計(jì)算設(shè)備接收其密碼信息的至少一部分。密鑰設(shè)備然后可以連接到存儲(chǔ)設(shè)備,從而使得存儲(chǔ)設(shè)備能夠根據(jù)至少部分地由指配計(jì)算設(shè)備提供的密碼信息而加密和解密數(shù)據(jù)。在一個(gè)附加的實(shí)施例中,來自指配計(jì)算設(shè)備的密碼信息可以由在指配計(jì)算設(shè)備的啟動(dòng)過程完成之前將該密碼信息提供給密鑰設(shè)備的機(jī)構(gòu)提供,或者由可以在不使該密碼信息暴露于潛在的惡意指令的情況下提供該密碼信息的諸如專用RAID控制器之類的機(jī)構(gòu)提供,所述指令可以在指配計(jì)算設(shè)備完成啟動(dòng)之后在該指配計(jì)算設(shè)備上執(zhí)行。在另一實(shí)施例中,密鑰設(shè)備可以物理地連接到存儲(chǔ)設(shè)備,存儲(chǔ)設(shè)備則連接到計(jì)算設(shè)備。密鑰設(shè)備可以例如通過利用網(wǎng)絡(luò)連接或者存儲(chǔ)設(shè)備所連接的計(jì)算設(shè)備的其他通信能力建立與指配計(jì)算設(shè)備的安全通信隧道。指配計(jì)算設(shè)備然后可以通過該安全通信隧道向密鑰設(shè)備提供密碼信息。在又一個(gè)實(shí)施例中,存儲(chǔ)設(shè)備的硬件密碼系統(tǒng)可以不僅利用密鑰設(shè)備提供的密碼信息,而且利用由利用存儲(chǔ)設(shè)備存儲(chǔ)數(shù)據(jù)的計(jì)算設(shè)備提供的密碼信息。存儲(chǔ)設(shè)備的計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的數(shù)據(jù)于是可以通過這樣的密碼信息的組合保護(hù)。在又一個(gè)實(shí)施例中,如果不同的密鑰設(shè)備通信式連接到硬件密碼系統(tǒng),那么存儲(chǔ)設(shè)備的計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的、根據(jù)從在前密鑰設(shè)備接收的密碼信息加密的加密數(shù)據(jù)現(xiàn)在可以標(biāo)記為“自由空間”或者另外標(biāo)記為不再可用的數(shù)據(jù),并且按照這種方式可以被認(rèn)為已經(jīng)安全地擦除。如果沒有密鑰設(shè)備通信式地連接到硬件密碼系統(tǒng),并且也沒有密鑰設(shè)備之前已經(jīng)通信式地連接到該硬件密碼系統(tǒng),那么該硬件密碼系統(tǒng)可以報(bào)告存儲(chǔ)設(shè)備“未就緒”,或者它可以產(chǎn)生它可以用來在不涉及密鑰設(shè)備的情況下加密和解密數(shù)據(jù)的內(nèi)部密碼信息。存儲(chǔ)設(shè)備的行為在這種情況下可以是用戶可選擇的。提供該發(fā)明內(nèi)容是為了以簡(jiǎn)化的形式引入構(gòu)思的選擇,這些構(gòu)思在下面的具體實(shí)施方式
中進(jìn)一步加以描述。該發(fā)明內(nèi)容并不預(yù)期標(biāo)識(shí)要求保護(hù)的主題的關(guān)鍵特征或必要特征,也不預(yù)期用來限制要求保護(hù)的主題的范圍。根據(jù)以下參照附圖進(jìn)行的詳細(xì)描述,將使得附加的特征和優(yōu)點(diǎn)清楚明白。
當(dāng)結(jié)合附圖進(jìn)行描述時(shí)可以最佳地理解下面的詳細(xì)描述,其中
圖1為示例性計(jì)算設(shè)備以及包括存儲(chǔ)設(shè)備和可分離密鑰設(shè)備的示例性存儲(chǔ)系統(tǒng)的框圖2為包括存儲(chǔ)設(shè)備和可分離密鑰設(shè)備的存儲(chǔ)系統(tǒng)的示例性操作的框圖; 圖3為包括存儲(chǔ)設(shè)備和可分離密鑰設(shè)備的存儲(chǔ)系統(tǒng)的另一個(gè)示例性操作的框圖; 圖4為與指配計(jì)算設(shè)備組合的包括存儲(chǔ)設(shè)備和可分離密鑰設(shè)備的存儲(chǔ)系統(tǒng)的示例性操作的框圖5為與指配計(jì)算設(shè)備組合的包括存儲(chǔ)設(shè)備和可分離密鑰設(shè)備的存儲(chǔ)系統(tǒng)的另一個(gè)示例性操作的框圖6為可由能夠?qū)ζ渖洗鎯?chǔ)的數(shù)據(jù)進(jìn)行硬件加密的存儲(chǔ)設(shè)備實(shí)現(xiàn)的示例性密碼選項(xiàng)的框圖7為包括存儲(chǔ)設(shè)備和可分離密鑰設(shè)備的存儲(chǔ)系統(tǒng)的示例性操作的流程圖;以及圖8為由密鑰設(shè)備示例性建立安全通信隧道的流程圖。
具體實(shí)施例方式下面的描述涉及包括存儲(chǔ)設(shè)備以及可在物理上和在通信上分離的密鑰設(shè)備的存儲(chǔ)系統(tǒng),其中存儲(chǔ)設(shè)備包括可以對(duì)存儲(chǔ)設(shè)備的存儲(chǔ)介質(zhì)上存儲(chǔ)的數(shù)據(jù)加密和解密的硬件密碼系統(tǒng),并且密鑰設(shè)備包括硬件密碼系統(tǒng)利用的密碼信息。通過將密鑰設(shè)備與存儲(chǔ)設(shè)備分離,密碼信息不再變得可由硬件密碼系統(tǒng)訪問,并且存儲(chǔ)設(shè)備的存儲(chǔ)介質(zhì)上存儲(chǔ)的、根據(jù)這種分離的密鑰設(shè)備上的密碼信息而加密的任何數(shù)據(jù)變得不可讀。因此,數(shù)據(jù)安全以及安全數(shù)據(jù)破壞可以通過簡(jiǎn)單地切斷密鑰設(shè)備與存儲(chǔ)設(shè)備之間的通信連接,例如通過從存儲(chǔ)設(shè)備物理地移除密鑰設(shè)備而實(shí)現(xiàn)。密鑰設(shè)備上存儲(chǔ)的密碼信息可以由存儲(chǔ)設(shè)備的制造商提供, 或者它可以由指配計(jì)算設(shè)備例如經(jīng)由到密鑰設(shè)備的通信連接而提供,該通信連接獨(dú)立于到存儲(chǔ)設(shè)備本身的任何通信連接。這樣的到密鑰設(shè)備的獨(dú)立通信連接可以包括可以在指配計(jì)算設(shè)備與密鑰設(shè)備之間建立的安全通信隧道。本文描述的技術(shù)著眼于但不限于存儲(chǔ)設(shè)備以及可在物理上和在通信上分離的密鑰設(shè)備。事實(shí)上,下面描述的機(jī)制可以同樣地通過物理上分離的部件,包括例如通過獨(dú)立的密碼部件實(shí)現(xiàn),所述獨(dú)立的密碼部件可以通信式地耦合到各種不同的存儲(chǔ)介質(zhì),但是本身不用作傳統(tǒng)的存儲(chǔ)設(shè)備。因此,盡管下面的描述引用了具有下面描述的元件的單個(gè)存儲(chǔ)設(shè)備,但是這些描述本身的范圍并不預(yù)期受限于此。附加地,盡管不是要求的,下面的描述將處于由一個(gè)或多個(gè)處理單元執(zhí)行的諸如程序模塊之類的計(jì)算機(jī)可執(zhí)行指令的一般上下文中。更特別地,除非另有說明,這些描述將引用動(dòng)作和由一個(gè)或多個(gè)處理單元執(zhí)行的操作的符號(hào)表示。因此,應(yīng)當(dāng)理解的是,有時(shí)稱為被計(jì)算機(jī)執(zhí)行的這樣的動(dòng)作和操作包括處理單元對(duì)代表結(jié)構(gòu)化形式的數(shù)據(jù)的電信號(hào)的操縱。該操縱對(duì)數(shù)據(jù)進(jìn)行變換或者將其維持在存儲(chǔ)器中的位置處,該存儲(chǔ)器以本領(lǐng)域技術(shù)人員很好理解的方式重新配置或者以其他方式改變與其連接的處理單元或外設(shè)的操作。其中數(shù)據(jù)被維持的數(shù)據(jù)結(jié)構(gòu)是具有由數(shù)據(jù)的格式限定的特定特性的物理位置。通常,程序模塊包括執(zhí)行特定任務(wù)或者實(shí)現(xiàn)特定抽象數(shù)據(jù)類型的例程、程序、對(duì)象、組件、數(shù)據(jù)結(jié)構(gòu)等等。而且,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解的是,所提到的處理單元不必限于常規(guī)的個(gè)人計(jì)算處理單元,并且包括其他的處理器配置,包括在手持式設(shè)備、多處理器系統(tǒng)、基于微處理器的或可編程的消費(fèi)電子器件中經(jīng)常看到的專用處理器、特定用途處理器、通信處理器、總線處理器等等。類似地,下面的描述中提到的計(jì)算設(shè)備不必限于獨(dú)立的計(jì)算設(shè)備,因?yàn)檫@些機(jī)構(gòu)也可以在由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行任務(wù)的分布式計(jì)算環(huán)境中實(shí)現(xiàn)。在分布式計(jì)算環(huán)境中,程序模塊可以位于本地和遠(yuǎn)程記憶存儲(chǔ)設(shè)備中。轉(zhuǎn)到圖1,示出了包括示例性計(jì)算設(shè)備100和示例性存儲(chǔ)系統(tǒng)160的示例性系統(tǒng) 99。存儲(chǔ)系統(tǒng)160可以由計(jì)算設(shè)備100用來存儲(chǔ)該計(jì)算設(shè)備提供的數(shù)據(jù)和信息,并且存儲(chǔ)系統(tǒng)160可以用作被示為連接到計(jì)算設(shè)備100的特定部件的存儲(chǔ)設(shè)備141、146和147中的任何一個(gè)。首先轉(zhuǎn)到計(jì)算設(shè)備100,它可以包括但不限于一個(gè)或多個(gè)中央處理單元(CPU) 120、系統(tǒng)存儲(chǔ)器130以及將包括系統(tǒng)存儲(chǔ)器130的各種不同的系統(tǒng)部件耦合到處理單元 120的系統(tǒng)總線121。系統(tǒng)總線121可以是使用各種各樣的總線架構(gòu)中的任何一種的包括存儲(chǔ)總線或存儲(chǔ)控制器、外設(shè)總線和本地總線的若干類型的總線結(jié)構(gòu)中的任何一種。取決于特定的物理實(shí)現(xiàn)方式,CPU 120中的一個(gè)或多個(gè)以及系統(tǒng)存儲(chǔ)器130可以在物理上共同位于例如單個(gè)芯片上。在這種情況下,系統(tǒng)總線121中的一些或全部可以只是單芯片結(jié)構(gòu)內(nèi)的硅通路,并且其在圖1中的圖示嚴(yán)格說來是用于說明目的的概念上的便利。計(jì)算設(shè)備100典型地還包括計(jì)算機(jī)可讀介質(zhì),其可以包括可以由計(jì)算設(shè)備100訪問的任何可用的介質(zhì),包括易失性和非易失性介質(zhì)以及可移除和不可移除介質(zhì)。舉例而言并且非限制性地,計(jì)算機(jī)可讀介質(zhì)可以包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括以用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù)之類的信息的任何方法或技術(shù)實(shí)現(xiàn)的介質(zhì)。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括但不限于RAM、R0M、EEPR0M、閃存或其他存儲(chǔ)技術(shù)、CD-ROM、數(shù)字多功能盤(DVD)或其他光盤存儲(chǔ)裝置、磁帶盒、磁帶、磁盤存儲(chǔ)裝置或其他磁性存儲(chǔ)設(shè)備,或者可以用來存儲(chǔ)希望的信息且可以由計(jì)算設(shè)備100訪問的任何其他介質(zhì)。通信介質(zhì)典型地在諸如載波之類的調(diào)制數(shù)據(jù)信號(hào)或其他傳輸機(jī)制中包含計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或者其他數(shù)據(jù)并且包括任何信息輸送介質(zhì)。舉例而言并且非限制性地,通信介質(zhì)包括諸如有線網(wǎng)絡(luò)或直接有線連接之類的有線介質(zhì)以及諸如聲學(xué)的、RF、紅外和其他無線介質(zhì)之類的無線介質(zhì)。任何以上所述的組合也應(yīng)當(dāng)包含在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)。系統(tǒng)存儲(chǔ)器130包括諸如只讀存儲(chǔ)器(R0M)131和隨機(jī)存取存儲(chǔ)器(RAM)132之類的易失性和/或非易失性存儲(chǔ)器形式的計(jì)算機(jī)存儲(chǔ)介質(zhì)。包含例如在啟動(dòng)期間幫助在計(jì)算設(shè)備100內(nèi)的元件之間傳輸信息的基本例程的基本輸入/輸出系統(tǒng)133 (BIOS)典型地存儲(chǔ)在ROM 131中。RAM 132典型地包含可由處理單元120立即訪問和/或當(dāng)前由處理單元 120操作的數(shù)據(jù)和/或程序模塊。舉例而言并且非限制性地,圖1示出了操作系統(tǒng)134、其他程序模塊135和程序數(shù)據(jù)136。同樣示出的是全卷加密服務(wù)137,其在一些實(shí)施例中可以是操作系統(tǒng)134的一部分。全卷加密服務(wù)137可以使得計(jì)算設(shè)備100能夠加密它存儲(chǔ)在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上或者其部分上的絕大部分信息或者全部信息,所述部分例如由操作系統(tǒng)134或者計(jì)算設(shè)備的其他存儲(chǔ)控制器限定為單獨(dú)的卷的部分。計(jì)算設(shè)備100也可以包括其他可移除/不可移除的、易失性/非易失性的計(jì)算機(jī)存儲(chǔ)設(shè)備。例如,圖1示出了讀自或?qū)懙讲豢梢瞥姆且资源判越橘|(zhì)的硬盤存儲(chǔ)設(shè)備 141、146和147??梢耘c示例性計(jì)算設(shè)備一起使用的其他可移除/不可移除的、易失性/非易失性計(jì)算機(jī)存儲(chǔ)介質(zhì)包括但不限于磁帶盒、閃存卡、固態(tài)存儲(chǔ)設(shè)備(SSD)、數(shù)字多功能盤、
7數(shù)字視頻帶、固態(tài)RAM、固態(tài)ROM等等。硬盤存儲(chǔ)設(shè)備141、146和147或者任何這些其他可移除/不可移除的、易失性/非易失性計(jì)算機(jī)存儲(chǔ)介質(zhì)典型地通過諸如接口 140之類的存儲(chǔ)器接口直接地或間接地連接到系統(tǒng)總線121。在圖1的示出的示例性計(jì)算設(shè)備100中,硬盤存儲(chǔ)設(shè)備141被示為例如通過計(jì)算設(shè)備100內(nèi)部的物理連接或者經(jīng)由端口暴露的外部連接直接地連接到非易失性存儲(chǔ)器接口 140,而硬盤存儲(chǔ)設(shè)備146和147被示為連接到存儲(chǔ)主機(jī)控制器145,例如廉價(jià)設(shè)備冗余陣列(RAID)控制器,該控制器然后又可以再次例如通過計(jì)算設(shè)備100物理上內(nèi)部的連接而連接到接口 140。非易失性存儲(chǔ)器接口 140可以是任何非易失性存儲(chǔ)器接口,包括但不限于通用串行總線(USB)接口、遵照IEEE1394規(guī)范中的任何一個(gè)或多個(gè)的接口、串行AT附接(SATA)接口或者其他類似接口。計(jì)算設(shè)備100可以通過使用到一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)的邏輯連接而操作于聯(lián)網(wǎng)環(huán)境中。為了說明簡(jiǎn)單起見,計(jì)算設(shè)備100在圖1中被示為連接到不限于任何特定網(wǎng)絡(luò)或網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)155。圖1中繪出的邏輯連接是通用網(wǎng)絡(luò)連接151,其可以是局域網(wǎng)(LAN)、 廣域網(wǎng)(WAN)或者其他網(wǎng)絡(luò)。計(jì)算設(shè)備100通過網(wǎng)絡(luò)接口或適配器150連接到通用網(wǎng)絡(luò)連接151,該網(wǎng)絡(luò)接口或適配器又連接到系統(tǒng)總線121。在聯(lián)網(wǎng)環(huán)境中,相對(duì)于計(jì)算設(shè)備100 或者其部分或外設(shè)而描述的程序模塊可以存儲(chǔ)在通過通用網(wǎng)絡(luò)連接151通信式地耦合到計(jì)算設(shè)備100的一個(gè)或多個(gè)其他計(jì)算設(shè)備的存儲(chǔ)器中。應(yīng)當(dāng)理解的是,示出的網(wǎng)絡(luò)連接是示例性的,并且可以使用建立計(jì)算設(shè)備之間的通信鏈接的其他方式。轉(zhuǎn)到存儲(chǔ)系統(tǒng)160,該存儲(chǔ)系統(tǒng)可以以相同的方式用作并且可以代替或充當(dāng)上面描述的硬盤存儲(chǔ)設(shè)備141、146和147中的任何一個(gè)。此外,存儲(chǔ)系統(tǒng)160的存儲(chǔ)設(shè)備210 可以是硬盤驅(qū)動(dòng)器,或者它可以是利用任何上面描述的存儲(chǔ)介質(zhì)的任何存儲(chǔ)設(shè)備。如示例性存儲(chǔ)系統(tǒng)160中示出的,存儲(chǔ)設(shè)備210可以包括一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)190,并且這樣的計(jì)算機(jī)可讀介質(zhì)可以像在硬盤存儲(chǔ)設(shè)備141、146和147的情況中一樣包括不可移除的非易失性磁性介質(zhì),或者它可以包括其他可移除/不可移除的、易失性/非易失性計(jì)算機(jī)存儲(chǔ)介質(zhì),例如磁帶盒、閃存卡、固態(tài)存儲(chǔ)設(shè)備(SSD)、數(shù)字多功能盤、數(shù)字視頻帶、固態(tài)RAM、 固態(tài)ROM等等。存儲(chǔ)系統(tǒng)160的存儲(chǔ)設(shè)備210的計(jì)算機(jī)可讀介質(zhì)190可以由計(jì)算設(shè)備100用來存儲(chǔ)用于計(jì)算設(shè)備100的計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其他數(shù)據(jù)。例如,存儲(chǔ)設(shè)備 210的計(jì)算機(jī)可讀介質(zhì)190被示為存儲(chǔ)加密數(shù)據(jù)195,該加密數(shù)據(jù)可以是在由存儲(chǔ)設(shè)備210 解密時(shí)提供用于操作系統(tǒng)134、其他程序模塊135或程序數(shù)據(jù)136中的一些或全部的基礎(chǔ)。除了計(jì)算機(jī)可讀介質(zhì)190之外,存儲(chǔ)系統(tǒng)160的示例性存儲(chǔ)設(shè)備210也可以包括硬件密碼系統(tǒng)180,該硬件密碼系統(tǒng)可以加密提供給存儲(chǔ)系統(tǒng)160以便存儲(chǔ)到計(jì)算機(jī)可讀介質(zhì)190上的數(shù)據(jù)并且可以解密從計(jì)算機(jī)可讀介質(zhì)讀取的數(shù)據(jù),該數(shù)據(jù)然后將提供給計(jì)算設(shè)備100。因此,硬件密碼系統(tǒng)180可以執(zhí)行其密碼功能而不對(duì)計(jì)算設(shè)備100的CPU 120或者其他元件造成負(fù)擔(dān),所述CPU或其他元件在一個(gè)實(shí)施例中可以以與任何其他存儲(chǔ)設(shè)備相同的方式處理存儲(chǔ)系統(tǒng)160,而不考慮數(shù)據(jù)加密和解密。為了執(zhí)行上面提到的密碼功能,存儲(chǔ)設(shè)備210的硬件密碼系統(tǒng)180可以包括用于執(zhí)行密碼功能的一個(gè)或多個(gè)處理單元181和指令183,所述密碼功能例如對(duì)提供給存儲(chǔ)系統(tǒng)160的數(shù)據(jù)加密以及對(duì)從計(jì)算機(jī)可讀介質(zhì)190讀取的數(shù)據(jù)解密。硬件密碼系統(tǒng)180也可以包括總線182,例如上面詳細(xì)地描述的總線121,其可以將處理單元181鏈接到可以包括指令183的存儲(chǔ)介質(zhì)或存儲(chǔ)器。與下面的描述相關(guān)的是,存儲(chǔ)系統(tǒng)160可以進(jìn)一步包括可以包含密碼信息175的密鑰設(shè)備170。密鑰設(shè)備170的密碼信息175可以由存儲(chǔ)設(shè)備210的硬件密碼系統(tǒng)180引用并且可以告知該硬件密碼系統(tǒng)180執(zhí)行的加密和解密。在一個(gè)實(shí)施例中,如下面進(jìn)一步描述的,硬件密碼系統(tǒng)180可以根據(jù)密鑰設(shè)備170的密碼信息175以及由例如全卷加密服務(wù)137提供的附加密碼信息來執(zhí)行其密碼功能。全卷加密服務(wù)137可以提供邏輯密鑰,該邏輯密鑰可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)190上,并且可以由硬件密碼系統(tǒng)180引用和利用。密鑰設(shè)備170是與存儲(chǔ)設(shè)備210在物理上可分離且在通信上可分離的物理實(shí)體。 存儲(chǔ)系統(tǒng)160周圍的虛線意在表示存儲(chǔ)系統(tǒng)160可以不一定是單個(gè)物理構(gòu)造。特別地,當(dāng)在這里和下面的描述中使用時(shí),術(shù)語“存儲(chǔ)系統(tǒng)”意在包括密鑰設(shè)備170和存儲(chǔ)設(shè)備210,即使這樣的部件不在物理上共同位于單個(gè)物理容器或其他物理構(gòu)造內(nèi)。轉(zhuǎn)到圖2 (上面的少數(shù)段落引用了圖2,合適嗎?),其示出了具有在物理上和在通信上可移除的密鑰設(shè)備170的存儲(chǔ)系統(tǒng)160的一個(gè)示例性操作。如圖所示,在所示的實(shí)施例中,存儲(chǔ)設(shè)備210可以不僅包括先前描述的硬件密碼系統(tǒng)180和計(jì)算機(jī)可讀介質(zhì)190,而且包括密鑰設(shè)備接口 270。在一個(gè)實(shí)施例中,密鑰設(shè)備接口 270可以是存儲(chǔ)設(shè)備210上的插槽或連接器,使得密鑰設(shè)備170可以物理地插入到密鑰設(shè)備接口 270中或者以另外的方式連接到該接口,從而當(dāng)插入或連接時(shí),密鑰設(shè)備170基本上不改變存儲(chǔ)設(shè)備210的尺寸。在這種情況下,存儲(chǔ)設(shè)備210可以由諸如上面詳細(xì)地描述的計(jì)算設(shè)備100之類的計(jì)算設(shè)備利用,就像任何其他類似存儲(chǔ)設(shè)備那樣。例如,如果存儲(chǔ)設(shè)備210被設(shè)計(jì)成符合標(biāo)準(zhǔn)硬盤驅(qū)動(dòng)器尺寸,那么計(jì)算設(shè)備100可以將包括存儲(chǔ)設(shè)備210和與其物理連接的密鑰設(shè)備170的存儲(chǔ)系統(tǒng)160用作內(nèi)部硬盤驅(qū)動(dòng)器,并且密鑰設(shè)備的存在或不存在不會(huì)改變存儲(chǔ)設(shè)備210的物理尺寸以抑制這樣的使用。在另一個(gè)實(shí)施例中,密鑰設(shè)備170可以采取例如通常用于蜂窩電話的全球移動(dòng)通信系統(tǒng)(GSM)用戶身份模塊(SIM)的形式。在這種情況下,密鑰設(shè)備接口 270可以是GSM SIM接口,其再次典型地包含于蜂窩電話中。這樣的實(shí)施例可以提供成本優(yōu)勢(shì),因?yàn)槊荑€設(shè)備170和密鑰設(shè)備接口 270 二者的物理形狀因子可以是通常利用的,并且因而是廉價(jià)的。如果密鑰設(shè)備170處于GSM SIM卡的形式,那么可以充分利用傳統(tǒng)GSM SIM卡的特定特性。例如,通常存儲(chǔ)在GSM SIM卡上的SIM序列號(hào)(SSN)可以用來標(biāo)識(shí)密鑰設(shè)備170。 更特別地,典型的SSN包括19個(gè)數(shù)字,其設(shè)置為兩位數(shù)電信標(biāo)識(shí)符,接著是兩位數(shù)國家代碼,接著是兩位數(shù)網(wǎng)絡(luò)代碼,接著是代表制造GSM SIM的月份和年份的四位數(shù),接著是引用交換機(jī)配置代碼的兩位數(shù),接著是引用SIM號(hào)的六位數(shù),接著是最后的單個(gè)校驗(yàn)位數(shù)。在 GSM SIM卡形式的密鑰設(shè)備170的情況下,可以給前四位數(shù)分配零,就像引用交換機(jī)配置的兩位數(shù)那樣,但是其余位數(shù)可以以類似的方式利用。附加地,在密鑰設(shè)備170處于GSM SIM卡形式的實(shí)施例中,集成電路卡標(biāo)識(shí)符 (ICCID)可以用來存儲(chǔ)密鑰設(shè)備170所關(guān)聯(lián)的存儲(chǔ)設(shè)備物理容器210的唯一標(biāo)識(shí)。如下面將進(jìn)一步詳細(xì)地描述的,這樣的ICCID,連同密鑰設(shè)備170上的其他可視物理標(biāo)記,可以用作破壞根據(jù)密碼信息175加密的加密數(shù)據(jù)195的證據(jù)。由于現(xiàn)有的GSM SIM卡及其各自的協(xié)議不能被設(shè)計(jì)成向硬件密碼系統(tǒng)180提供密碼信息175,因而可以向諸如IS07816協(xié)議之類的傳統(tǒng)GSM SIM卡協(xié)議添加新的功能,該新的功能使得硬件密碼系統(tǒng)180能夠?qū)?shù)據(jù)傳遞給要由密碼信息175簽名的密鑰設(shè)備170。 這種功能可以是一種機(jī)制,通過該機(jī)制使得加密數(shù)據(jù)195不可訪問,除非密鑰設(shè)備170通信式地耦合到硬件密碼系統(tǒng)180。在另一個(gè)實(shí)施例中,密鑰設(shè)備170可以包括諸如通用串行總線(USB)連接器之類的公共連接器,正如可以類似地包括相應(yīng)的密鑰設(shè)備接口 270。像上面描述的GSM SIM實(shí)施例一樣,USB連接器同樣地由于其普遍存在而提供了成本優(yōu)勢(shì)。在這樣的實(shí)施例中,下面描述的密鑰設(shè)備170與硬件密碼系統(tǒng)180之間的通信可以通過公知的USB通信協(xié)議來執(zhí)行。由于存儲(chǔ)系統(tǒng)160可以用作任何其他存儲(chǔ)設(shè)備,因而密鑰設(shè)備接口 270可以在存儲(chǔ)設(shè)備210內(nèi)定向或定位,從而可以完成檢驗(yàn)密鑰設(shè)備170的存在或不存在的密鑰設(shè)備接口 270的容易的視覺檢查。例如,如果存儲(chǔ)設(shè)備210為硬盤驅(qū)動(dòng)器,那么密鑰設(shè)備接口 270 可以沿著存儲(chǔ)設(shè)備的外圍定位,一旦安裝了存儲(chǔ)設(shè)備,該接口典型地是可見的。在這種情況下,如果存儲(chǔ)設(shè)備210與許多其他存儲(chǔ)設(shè)備一起例如安裝在適合于服務(wù)器計(jì)算設(shè)備的機(jī)架安裝系統(tǒng)中,那么可以在不從機(jī)架移除存儲(chǔ)設(shè)備210的情況下完成密鑰設(shè)備接口 270的視覺檢查。可替換地,存儲(chǔ)設(shè)備210可以進(jìn)一步包括透明部分或者物理上不存在的部分,使得同樣地可以在無需從其到例如計(jì)算設(shè)備100的物理連接中移除存儲(chǔ)設(shè)備210的情況下完成密鑰設(shè)備接口 270中密鑰設(shè)備170的存在或不存在的視覺檢驗(yàn)。在另一個(gè)實(shí)施例中,密鑰設(shè)備接口 270可以通信式地連接到諸如發(fā)光二極管 (LED)之類的視覺信令機(jī)構(gòu),所述視覺信令機(jī)構(gòu)可以在諸如密鑰設(shè)備170之類的密鑰設(shè)備被物理地連接到密鑰設(shè)備接口 270時(shí)發(fā)信號(hào)告知。視覺信令機(jī)構(gòu)可以進(jìn)一步由硬件密碼系統(tǒng)180的處理單元181控制。例如,給定計(jì)算機(jī)可讀介質(zhì)190上存儲(chǔ)的加密數(shù)據(jù)195,如果處理單元181確定密碼信息175不合適或者無效,那么可以指示視覺信令機(jī)構(gòu)產(chǎn)生適當(dāng)?shù)男盘?hào),例如紅色信號(hào)或閃爍信號(hào),從而告知用戶該用戶可能插入了不正確的密鑰設(shè)備170。如圖2中所示,密鑰設(shè)備170可能在最初時(shí)與存儲(chǔ)設(shè)備210在物理上分離。在一個(gè)實(shí)施例中,密鑰設(shè)備170與存儲(chǔ)設(shè)備210之間的這種物理分離也可能導(dǎo)致密鑰設(shè)備170 與存儲(chǔ)設(shè)備210在通信上的分離。在不訪問密鑰設(shè)備170的密碼信息175的情況下,硬件密碼系統(tǒng)180可能不能夠解密計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的、根據(jù)密碼信息175加密的任何數(shù)據(jù)。隨后,可以將密鑰設(shè)備170物理地插入到或者以其他方式附接或連接到密鑰設(shè)備接口 270。這樣的物理連接可以進(jìn)一步啟用密鑰設(shè)備170與存儲(chǔ)設(shè)備210之間的通信連接。 啟用的通信連接可以允許硬件密碼系統(tǒng)180的處理單元181從密碼信息175中檢索或者以其他方式獲得與計(jì)算機(jī)可讀介質(zhì)190上存儲(chǔ)的先前加密的數(shù)據(jù)的解密相關(guān)的信息。在一個(gè)實(shí)施例中,密碼信息175可以包括“物理密鑰”220,該物理密鑰可以是以本領(lǐng)域技術(shù)人員公知的方式用作用于加密和解密操作的密鑰的一系列比特。下面的描述中利用的術(shù)語“物理密鑰”因而意在表示用作密碼密鑰的數(shù)據(jù)集合,其提供自且存儲(chǔ)于諸如密鑰設(shè)備170之類的可在物理上移除的源。這樣的物理密鑰220意在與“邏輯密鑰”形成對(duì)照,所述邏輯密鑰不可與其上存儲(chǔ)了利用這種密鑰加密的數(shù)據(jù)的介質(zhì)分離。密鑰設(shè)備170不一定需要物理地連接到存儲(chǔ)設(shè)備210以通信式連接到存儲(chǔ)設(shè)備。 上面描述的實(shí)施例提供了密鑰設(shè)備170與存儲(chǔ)設(shè)備210之間的物理連接以避免通過存儲(chǔ)設(shè)備的普通類型接口發(fā)送任何密碼信息175。按照這種方式,密鑰設(shè)備170和存儲(chǔ)設(shè)備210的
10硬件設(shè)計(jì)可以確保密碼信息175不可能被外部實(shí)體獲得,并且因而如下面進(jìn)一步詳細(xì)地描述的密鑰設(shè)備170的物理破壞可以用作密碼信息175的不可用性的證據(jù),因?yàn)檫@樣的信息不可能從密鑰設(shè)備170復(fù)制并且保留在別處。然而,在一個(gè)可替換的實(shí)施例中,可以保護(hù)密碼信息,而不管至少一些密碼信息 175通過存儲(chǔ)設(shè)備210的外部通信接口傳輸。轉(zhuǎn)到圖3,示出了系統(tǒng)300,其圖解說明了密鑰設(shè)備170與存儲(chǔ)設(shè)備210之間通過計(jì)算設(shè)備100的通信連接,而不管密鑰設(shè)備170與存儲(chǔ)設(shè)備210的物理分離。如圖所示,系統(tǒng)300可以包括計(jì)算設(shè)備100和存儲(chǔ)系統(tǒng)160,該存儲(chǔ)系統(tǒng)160又包括密鑰設(shè)備170和存儲(chǔ)設(shè)備210。在一個(gè)實(shí)施例中,密鑰設(shè)備170和存儲(chǔ)設(shè)備210 二者可以獨(dú)立地連接到計(jì)算設(shè)備,盡管如圖所示密鑰設(shè)備170到計(jì)算設(shè)備100的連接可以是可選的并且密鑰設(shè)備170可以通過諸如到存儲(chǔ)設(shè)備210的連接之類的其他連接與計(jì)算設(shè)備100通信。例如,在一個(gè)實(shí)施例中,存儲(chǔ)設(shè)備210可以以例如內(nèi)部硬盤驅(qū)動(dòng)器的形式內(nèi)部地連接到計(jì)算設(shè)備100。密鑰設(shè)備170又可以連接到計(jì)算設(shè)備100的外部接口,例如流行外設(shè)或存儲(chǔ)接口,包括有線接口和無線接口。按照這種方式,密鑰設(shè)備170可以在無需物理訪問存儲(chǔ)設(shè)備210的情況下與存儲(chǔ)設(shè)備160的其他元件在通信上分離。盡管為了說明和演示的簡(jiǎn)單起見未在其他附圖中特別地示出,但是密鑰設(shè)備170 可選地可以包括除了密碼信息175之外的元件。例如,如下面將進(jìn)一步描述的,密鑰設(shè)備 170可以包括與信任平臺(tái)模塊(TPM)類似的模塊。在圖3中,出于描述密鑰設(shè)備170與計(jì)算設(shè)備100之間的可選獨(dú)立連接的目的,示出了包括一個(gè)或多個(gè)處理單元176和一個(gè)或多個(gè)接口 177的可選元件。特別地,接口 177可以是與上面描述的接口 140相同類型的接口,以便啟用計(jì)算設(shè)備100與密鑰設(shè)備170之間的物理或無線的通信連接。類似地,所述一個(gè)或多個(gè)處理單元176可以包括可以例如通過適合于接口 140和177的通信協(xié)議而建立且維持密鑰設(shè)備170與計(jì)算設(shè)備100之間的通信的處理單元。因此,本說明書內(nèi)對(duì)于密鑰設(shè)備170 的引用意在作為可選的部件而包括接口 177和處理單元176以便使得密鑰設(shè)備170能夠獨(dú)立地與例如計(jì)算設(shè)備100通信并且執(zhí)行下面描述的如密鑰設(shè)備170執(zhí)行的步驟,包括但不限于下面參照?qǐng)D4、圖5和圖8描述的步驟。此外,存儲(chǔ)驅(qū)動(dòng)器堆棧310例如可以是例如操作系統(tǒng)134或者甚至BIOS 133的一部分,可以識(shí)別密鑰設(shè)備170和存儲(chǔ)設(shè)備210到計(jì)算設(shè)備100的諸如接口 140之類的接口的連接。當(dāng)檢測(cè)到密鑰設(shè)備170和存儲(chǔ)設(shè)備210的連接時(shí),存儲(chǔ)驅(qū)動(dòng)器堆棧310可以允許實(shí)現(xiàn)它們之間的安全通信。例如,密鑰設(shè)備170與存儲(chǔ)設(shè)備210之間的通信可以通過使得這樣的通信對(duì)于更高級(jí)別的軟件,例如對(duì)于操作系統(tǒng)134或程序模塊135的其他元件不可訪問而被保護(hù)。在另一個(gè)實(shí)施例中,指令183可以包括用于通過計(jì)算設(shè)備100的通信通路建立硬件密碼系統(tǒng)180與密鑰設(shè)備170之間的連接的指令。例如,指令183可以包括這樣的指令, 這些指令在密鑰設(shè)備170被計(jì)算設(shè)備100識(shí)別為連接的外設(shè)時(shí)查找并且建立與密鑰設(shè)備 170的通信。為了維護(hù)安全性,可以對(duì)這樣的通信加密或者可以實(shí)施其他的反惡意軟件措施。例如,密鑰設(shè)備可以將自己作為非存儲(chǔ)外圍設(shè)備而呈現(xiàn)給計(jì)算設(shè)備100以便阻止可能在計(jì)算設(shè)備100上運(yùn)行的惡意軟件試圖從密鑰設(shè)備170讀取密碼信息175。在一個(gè)可替換的實(shí)施例中,密鑰設(shè)備170可以包括用于建立與存儲(chǔ)設(shè)備210的通信的能力,該存儲(chǔ)設(shè)備可以通信式地連接到相同的計(jì)算設(shè)備100。例如,密鑰設(shè)備可以在其通信式地連接到計(jì)算設(shè)備100時(shí)查找特定的存儲(chǔ)設(shè)備標(biāo)識(shí)符。同樣地,可以實(shí)施安全措施以阻止可能正在計(jì)算設(shè)備100上運(yùn)行的惡意軟件干擾或攔截密鑰設(shè)備170與存儲(chǔ)設(shè)備210 之間的通信。一旦在密鑰設(shè)備170與硬件密碼系統(tǒng)180之間建立了通信,那么物理密鑰220或其他密碼信息175可以由處理單元181從密鑰設(shè)備170訪問,或者可以由密鑰設(shè)備提供給處理單元,以便使得處理單元能夠解密先前存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)190上的數(shù)據(jù)并且加密計(jì)算設(shè)備100提供的新數(shù)據(jù)以便存儲(chǔ)到計(jì)算機(jī)可讀介質(zhì)190上。在一個(gè)實(shí)施例中,密鑰設(shè)備170可以僅僅在處理單元181或者存儲(chǔ)設(shè)備物理容器210的其他部件中的一些或全部已向密鑰設(shè)備170驗(yàn)證了自己之后才向處理單元181提供物理密鑰220或者其他密碼信息 175。例如,“信任”密鑰設(shè)備(TKD)可以包括類似于一些計(jì)算設(shè)備上看到的信任平臺(tái)模塊 (TPM)的模塊連同上面詳細(xì)地描述的密鑰設(shè)備170的其他元件。這樣的TKD可以通過例如獲得來自存儲(chǔ)設(shè)備210的部件中的一些或全部部件的唯一值并且然后以本領(lǐng)域技術(shù)人員已知的方式散列和組合這些值來測(cè)量這樣的部件。得到的測(cè)量結(jié)果可以唯一地標(biāo)識(shí)存儲(chǔ)設(shè)備210,并且可以由該TKD將物理密鑰220或者其他密碼信息175密封到這些測(cè)量結(jié)果,從而同樣地按照本領(lǐng)域技術(shù)人員已知的方式,TKD可以不將物理密鑰或其他密碼信息釋放給處理單元181,除非TKD通信式耦合的存儲(chǔ)設(shè)備210被TKD發(fā)現(xiàn)具有與用來密封物理密鑰或其他密碼信息的測(cè)量結(jié)果相同的測(cè)量結(jié)果。按照這種方式,TKD可以阻止將物理密鑰220 或者其他密碼信息175釋放給僅僅努力“哄騙”存儲(chǔ)設(shè)備210以獲得TKD的物理密鑰或密碼信息的設(shè)備。密鑰設(shè)備170的密碼信息175可以在制造密鑰設(shè)備時(shí)存儲(chǔ)到該密鑰設(shè)備170上。 在一個(gè)實(shí)施例中,多組例如物理密鑰220可以存儲(chǔ)為密碼信息175,并且與密鑰設(shè)備170通信的每個(gè)后續(xù)存儲(chǔ)設(shè)備的硬件密碼系統(tǒng)180可以獲取下一個(gè)物理密鑰220并且將其標(biāo)記為在使用中,從而允許下一個(gè)存儲(chǔ)設(shè)備的硬件密碼系統(tǒng)180能夠適當(dāng)?shù)剡x擇下一個(gè)物理密鑰 220。按照這種方式,單個(gè)密鑰設(shè)備170可以由多個(gè)存儲(chǔ)設(shè)備共享。因此,例如,如果例如在 RADI系統(tǒng)中計(jì)算設(shè)備100通信式地連接到多個(gè)存儲(chǔ)設(shè)備,或者如果計(jì)算設(shè)備100正充當(dāng)服務(wù)器計(jì)算設(shè)備,那么單個(gè)密鑰設(shè)備170可以將適當(dāng)?shù)拿艽a信息175提供給這些存儲(chǔ)設(shè)備中的每一個(gè)。在一個(gè)可替換的實(shí)施例中,密鑰設(shè)備170的密碼信息175可以由存儲(chǔ)設(shè)備210本身提供。特別地,如果密鑰設(shè)備170例如以上面描述的方式通信式地耦合到存儲(chǔ)設(shè)備210, 但是密鑰設(shè)備170并不包括任何密碼信息175,那么存儲(chǔ)設(shè)備210的硬件密碼系統(tǒng)180可以產(chǎn)生密碼信息175并且將其提供給密鑰設(shè)備170。存儲(chǔ)設(shè)備210的計(jì)算機(jī)可讀介質(zhì)190上存儲(chǔ)的數(shù)據(jù)195的加密和解密于是可以以下面詳細(xì)地描述的方式進(jìn)行。然而,在另一個(gè)可替換的實(shí)施例中,可以通過指配計(jì)算設(shè)備將密鑰設(shè)備170的密碼信息175提供給密鑰設(shè)備170,該指配計(jì)算設(shè)備可以是利用存儲(chǔ)系統(tǒng)160存儲(chǔ)和檢索數(shù)據(jù)的相同計(jì)算設(shè)備,或者它可以是不同的計(jì)算設(shè)備。轉(zhuǎn)到圖4,示出了一種包括指配計(jì)算設(shè)備410和存儲(chǔ)系統(tǒng)160的系統(tǒng)400。如圖所示,指配計(jì)算設(shè)備410可以與上面描述的計(jì)算設(shè)備100相同,或者它可以是不同的計(jì)算設(shè)備。因此,為了便于參考和說明,指配計(jì)算設(shè)備410 的元件與計(jì)算設(shè)備100的類似元件不同地編號(hào),盡管它們的功能可能是相似的或者甚至相同的。因此,CPU 420、系統(tǒng)總線421、系統(tǒng)存儲(chǔ)器430、非易失性存儲(chǔ)器接口 440以及存儲(chǔ)主機(jī)控制器445都類似于先前描述的CPU 120、系統(tǒng)總線121、系統(tǒng)存儲(chǔ)器130、接口 140以及存儲(chǔ)主機(jī)控制器145。類似地,具有BIOS 433的ROM 431以及具有操作系統(tǒng)434、程序模塊435、程序數(shù)據(jù)436和全卷加密服務(wù)437的RAM 432也類似于上面描述的ROM 131、BIOS 133、RAM 132、操作系統(tǒng)134、程序模塊135、程序數(shù)據(jù)136以及全卷加密服務(wù)137。在一個(gè)實(shí)施例中,密鑰設(shè)備170可以例如通過非易失性存儲(chǔ)器接口 440直接地或者通過存儲(chǔ)設(shè)備210間接地通信式地連接到指配計(jì)算設(shè)備410,存儲(chǔ)設(shè)備210本身可以直接地連接到接口 440或者存儲(chǔ)主機(jī)控制器445。如果密鑰設(shè)備獨(dú)立地連接到指配計(jì)算設(shè)備 410,那么存儲(chǔ)設(shè)備210可選地也可以例如通過控制器445或接口 440連接到指配計(jì)算設(shè)備 410。像以前那樣,可選的連接在圖4中通過虛線示出。一旦密鑰設(shè)備170和指配計(jì)算設(shè)備 410彼此通信式耦合,那么指配計(jì)算設(shè)備410可以向密鑰設(shè)備170提供例如物理密鑰220形式的密碼信息175。圖4的密碼信息175被示為變灰以便指示其至少部分地不存在于密鑰設(shè)備170上,直到被指配計(jì)算設(shè)備410提供。由指配計(jì)算設(shè)備410提供給密鑰設(shè)備170的密碼信息175可以由指配計(jì)算設(shè)備 410的多個(gè)子系統(tǒng)中的任何一個(gè)提供。例如,除了利用邏輯密鑰之外,全卷加密服務(wù)437可以充分利用其現(xiàn)有的功能以產(chǎn)生物理密鑰220并且將該物理密鑰提供給密鑰設(shè)備170??商鎿Q地,物理密鑰220可以由專用硬件產(chǎn)生,該專用硬件例如可能存在于存儲(chǔ)主機(jī)控制器 445或者其他存儲(chǔ)接口中的硬件。作為又一可替換方案,物理密鑰220可以通過BIOS 433 提供給密鑰設(shè)備170。為了維護(hù)物理密鑰220或者提供給密鑰設(shè)備170的任何其他密碼信息175的安全性和保密性,這樣的信息可以由指配計(jì)算設(shè)備410以如下方式提供該方式最小化這種信息例如通過運(yùn)行在指配計(jì)算設(shè)備410上的惡意計(jì)算機(jī)可執(zhí)行指令而被敵對(duì)方獲得的潛在可能性。因此,在一個(gè)實(shí)施例中,可以在完成指配計(jì)算設(shè)備410的啟動(dòng)之前提供向密鑰設(shè)備 170提供的物理密鑰220或者任何其他密碼信息175,并且提供的信息也在完成指配計(jì)算設(shè)備的啟動(dòng)之前可從指配計(jì)算設(shè)備中刪除。由于惡意計(jì)算機(jī)可執(zhí)行指令典型地不可能在完成主機(jī)計(jì)算設(shè)備的啟動(dòng)之前操作,通過在完成指配計(jì)算設(shè)備410的啟動(dòng)之前提供并且然后丟棄給密鑰設(shè)備170的信息,可以保護(hù)提供的信息免受可能隨后在指配計(jì)算設(shè)備上執(zhí)行的任何惡意計(jì)算機(jī)可執(zhí)行指令的影響。例如,BIOS 433可以檢測(cè)通信式連接到指配計(jì)算設(shè)備410的接口的密鑰設(shè)備170 的存在,并且可以在啟動(dòng)指配計(jì)算設(shè)備上的任何其他處理之前,包括例如在啟動(dòng)操作系統(tǒng) 434的執(zhí)行之前將物理密鑰220提供給密鑰設(shè)備170。類似地,控制器445可以在RAID控制器初次初始化時(shí)且在至少完成(如果不是開始)操作系統(tǒng)434的啟動(dòng)之前檢測(cè)密鑰設(shè)備170 的存在。RAID控制器445然后同樣地可以將物理密鑰220提供給密鑰設(shè)備170并且可以在任何惡意計(jì)算機(jī)可執(zhí)行指令可能在指配計(jì)算設(shè)備410上執(zhí)行之前丟棄這樣的物理密鑰。作為另一種可替換方案,由于全卷加密服務(wù)437很可能已經(jīng)包括被設(shè)計(jì)成保護(hù)其邏輯密鑰免受指配計(jì)算設(shè)備410上執(zhí)行的惡意計(jì)算機(jī)可執(zhí)行指令的影響的機(jī)制,全卷加密服務(wù)437可以利用這些機(jī)制以便安全地將物理密鑰220提供給密鑰設(shè)備170并且然后丟棄該物理密鑰以便進(jìn)一步降低在指配計(jì)算設(shè)備410上發(fā)現(xiàn)該物理密鑰的可能性。一旦密碼信息175,包括例如物理密鑰220,由指配計(jì)算設(shè)備410提供給密鑰設(shè)備170,那么密鑰設(shè)備170可以與指配計(jì)算設(shè)備410在通信上斷開以及可選地在物理上斷開,并且然后可以如上面描述的結(jié)合存儲(chǔ)設(shè)備物理容器210加以利用以便使得存儲(chǔ)設(shè)備160能夠存儲(chǔ)加密數(shù)據(jù)并且訪問已經(jīng)存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)190上的加密數(shù)據(jù)。在另一個(gè)實(shí)施例中,代替指配物理地連接到指配計(jì)算設(shè)備410本身的密鑰設(shè)備 170,例如圖4的系統(tǒng)400中所示的密鑰設(shè)備170,例如如果密鑰設(shè)備170物理地插入到存儲(chǔ)設(shè)備210的密鑰設(shè)備接口 270中并且存儲(chǔ)設(shè)備210然后安裝到計(jì)算設(shè)備100中,那么密鑰設(shè)備170可以在其通信式連接到另一計(jì)算設(shè)備時(shí)由指配計(jì)算設(shè)備410指配。轉(zhuǎn)到圖5, 示出了一種系統(tǒng)500,其包括通信式耦合到計(jì)算設(shè)備100且由計(jì)算設(shè)備100利用的存儲(chǔ)系統(tǒng)160,該計(jì)算設(shè)備又通信式耦合到指配計(jì)算設(shè)備410。如將密鑰設(shè)備170連接到非易失性存儲(chǔ)器接口 140的虛線所示,該密鑰設(shè)備可選地可以例如如上面所描述的通過密鑰設(shè)備接口 270連接到存儲(chǔ)設(shè)備210,或者它可以連接到非易失性存儲(chǔ)器接口 140,并且該密鑰設(shè)備與存儲(chǔ)設(shè)備210的其他部件之間的通信可以通過計(jì)算設(shè)備100進(jìn)行。在一個(gè)實(shí)施例中,當(dāng)存儲(chǔ)設(shè)備210初始連接到計(jì)算設(shè)備100時(shí),該存儲(chǔ)設(shè)備210可能不能夠利用密鑰設(shè)備170的密碼信息175,因?yàn)槿鐖D5中的密碼信息的變灰所示,這樣的信息可能尚未被提供。為了獲得密碼信息175的至少一部分,密鑰設(shè)備170可以建立到指配計(jì)算設(shè)備410的安全通信隧道510。在一個(gè)實(shí)施例中,密鑰設(shè)備170可以包括這樣的機(jī)制這些機(jī)制可以請(qǐng)求訪問密鑰設(shè)備170和存儲(chǔ)設(shè)備160所連接的計(jì)算設(shè)備的網(wǎng)絡(luò)接口,例如存儲(chǔ)設(shè)備100的網(wǎng)絡(luò)接口 150。一旦密鑰設(shè)備170有權(quán)訪問網(wǎng)絡(luò)接口 150,那么它可以例如通過網(wǎng)絡(luò)155建立到指配計(jì)算設(shè)備410的通信連接。在一個(gè)實(shí)施例中,為了簡(jiǎn)化密鑰設(shè)備170的機(jī)制,由于密鑰設(shè)備170可能因?yàn)槔绯杀究紤]因素的原因而具有有限的能力,因而可以預(yù)先選擇指配計(jì)算設(shè)備410的網(wǎng)絡(luò)地址,使得搜索為指配計(jì)算設(shè)備的任何計(jì)算設(shè)備都可以被分配這樣的預(yù)先選擇的地址。然而,在一個(gè)可替換的實(shí)施例中,密鑰設(shè)備170可以包括可以通過更高級(jí)的方法在網(wǎng)絡(luò)155上搜索指配計(jì)算設(shè)備410的機(jī)制。一旦密鑰設(shè)備170例如通過網(wǎng)絡(luò)155已經(jīng)建立了與指配計(jì)算設(shè)備410的通信連接,那么它可以繼續(xù)通過諸如點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)或者2層隧道協(xié)議(L2TP)之類的標(biāo)準(zhǔn)隧道機(jī)制建立安全的通信隧道510。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)知道的是,這樣的隧道機(jī)制可以依賴于各種不同的安全憑證(例如共享的口令或密鑰)的交換,或者它們可以依賴于諸如 Kerberos或RADIUS服務(wù)器之類的獨(dú)立檢驗(yàn)器提供的安全憑證。在建立安全隧道510所需的程度上,密鑰設(shè)備170可以包括必要的口令、密鑰或者其他認(rèn)證機(jī)制或信息以便使其能夠建立安全隧道510。一旦在指配計(jì)算設(shè)備410與密鑰設(shè)備170之間建立了安全的通信隧道510,那么指配計(jì)算設(shè)備410可以諸如以上面描述的方式對(duì)密鑰設(shè)備170指配密碼信息175中的一些或全部。因此,如圖5中粗邊界所示,指配計(jì)算設(shè)備410通過安全隧道510對(duì)密鑰設(shè)備170的指配可以通過BIOS 433、存儲(chǔ)主機(jī)控制器445、全卷加密服務(wù)437或者指配計(jì)算設(shè)備410上的其他部件而發(fā)生,并且然后可以經(jīng)由網(wǎng)絡(luò)接口 450和通用網(wǎng)絡(luò)連接451、通過網(wǎng)絡(luò)155和通用網(wǎng)絡(luò)連接151傳送到密鑰設(shè)備以及存儲(chǔ)設(shè)備210在通信上且可能地在物理上連接的計(jì)算設(shè)備100的網(wǎng)絡(luò)接口 150。密鑰設(shè)備170的密碼信息175可以由硬件密碼系統(tǒng)180用來加密由計(jì)算設(shè)備100 提供給存儲(chǔ)設(shè)備160以便存儲(chǔ)到存儲(chǔ)設(shè)備的計(jì)算機(jī)可讀介質(zhì)190上的數(shù)據(jù),并且在由存儲(chǔ)設(shè)備160將已經(jīng)存儲(chǔ)到計(jì)算機(jī)可讀介質(zhì)190上的數(shù)據(jù)指配給計(jì)算設(shè)備100之前解密這樣的數(shù)據(jù)。轉(zhuǎn)到圖6,系統(tǒng)600示出了若干示例性機(jī)制,硬件密碼系統(tǒng)180通過這些機(jī)制可以利用或引用密鑰設(shè)備170的密碼信息175。例如,如圖所示,密碼信息175的物理密鑰220可以由硬件密碼系統(tǒng)180用來加密或解密計(jì)算機(jī)可讀介質(zhì)190上的數(shù)據(jù)195。在也被示出的一個(gè)可替換的實(shí)施例中,可以將從密鑰設(shè)備170的密碼信息175獲得的物理密鑰220與例如將由全卷加密服務(wù)137產(chǎn)生和利用的邏輯密鑰620組合。例如,如果邏輯密鑰620和物理密鑰220中的每一個(gè)都包括128比特的密鑰,那么可以通過簡(jiǎn)單地將這兩個(gè)128比特的密鑰級(jí)聯(lián)在一起而產(chǎn)生256比特的組合密鑰。這樣的256比特密鑰于是可以由硬件密碼系統(tǒng)180用來加密和解密計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的數(shù)據(jù)195。當(dāng)然,邏輯密鑰620和物理密鑰 220的其他組合也可以由硬件密碼系統(tǒng)180實(shí)現(xiàn)。傳統(tǒng)上,諸如數(shù)據(jù)195之類的數(shù)據(jù)的加密和解密包括多層密鑰。例如,用來加密和解密數(shù)據(jù)195的密鑰本身可以被另一密鑰加密,使得如果用來加密最終的加密和解密密鑰的密鑰丟失,那么可以產(chǎn)生新的密鑰,并且由于最終的加密和解密密鑰沒有改變,因而不必重新加密數(shù)據(jù)195。在特定的情況下,這樣的倒數(shù)第二個(gè)密鑰于是本身可以被又一下游密鑰加密以便提供附加的效率。為了說明這樣的多層密鑰的存在,圖6的系統(tǒng)600示出了可以由硬件密碼系統(tǒng)180用來加密和解密計(jì)算機(jī)可讀介質(zhì)190上存儲(chǔ)的數(shù)據(jù)195的加密/解密密鑰650。加密/解密密鑰650可以由物理密鑰220或者邏輯密鑰620和物理密鑰220的組合解密,而不是直接利用物理密鑰220解密數(shù)據(jù)195。如圖所示,也可以設(shè)想附加的這樣的密鑰層,盡管為了保持圖示的簡(jiǎn)單而未將它們示出。多層密鑰同樣可以用來實(shí)現(xiàn)上面描述的指配計(jì)算設(shè)備410對(duì)密鑰設(shè)備170的密碼信息175中的至少一些的指配。更特別地,代替直接提供密碼信息175的至少一部分給密鑰設(shè)備170的是,指配計(jì)算設(shè)備410可以改為將這樣的信息提供給存儲(chǔ)設(shè)備210。存儲(chǔ)設(shè)備 210然后可以利用內(nèi)部密鑰加密這樣接收的信息并且得到的密碼信息可以提供給密鑰設(shè)備 170且用來加密和解密存儲(chǔ)介質(zhì)190上的數(shù)據(jù)195。這樣的實(shí)施例將阻止最終用來加密和解密存儲(chǔ)介質(zhì)190上的數(shù)據(jù)195的密碼信息通過外部接口傳輸。由于計(jì)算機(jī)可讀介質(zhì)190上的所有的或者基本上所有的數(shù)據(jù)195可以通過硬件密碼系統(tǒng)180根據(jù)密碼信息175而加密,因而當(dāng)密碼信息175不再可用時(shí),例如當(dāng)密鑰設(shè)備 170與硬件密碼系統(tǒng)在通信上斷開以及可選地物理地?cái)嚅_時(shí),先前存儲(chǔ)到計(jì)算機(jī)可讀介質(zhì)上的數(shù)據(jù)195變得不再可訪問。此外,如果包括密碼信息175的密鑰設(shè)備170被破壞,使得密碼信息175不再可恢復(fù)或者可讀取,那么計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的數(shù)據(jù)195將不再可訪問,因?yàn)闆]有密鑰能夠利用可以解密這樣的數(shù)據(jù)的現(xiàn)有機(jī)制來創(chuàng)建。因此,密鑰設(shè)備170的破壞可以充當(dāng)計(jì)算機(jī)可讀介質(zhì)190上的數(shù)據(jù)195的實(shí)際破壞。因此,密鑰設(shè)備170可以是可以有效且安全地銷毀的設(shè)備。例如,密鑰設(shè)備170可以由這樣的材料構(gòu)造,該材料可以容易地被破碎或者以其他方式物理地變換,使得密碼信息175不再可恢復(fù)??商鎿Q地,可以對(duì)密鑰設(shè)備170穿孔或者以其他方式在結(jié)構(gòu)上沿著一個(gè)或多個(gè)軸弱化,使得它可以容易地破裂并且使其不可讀取。此外,由于密鑰設(shè)備170的破壞可以是計(jì)算機(jī)可讀介質(zhì)190上存儲(chǔ)的、根據(jù)密鑰設(shè)備170的密碼信息175加密的數(shù)據(jù)195 的實(shí)際破壞,因而密鑰設(shè)備170可以進(jìn)一步包括包含密鑰設(shè)備170所關(guān)聯(lián)的計(jì)算機(jī)可讀介質(zhì)190的存儲(chǔ)設(shè)備物理容器210的視覺指示器。例如,密鑰設(shè)備170可以在其上蝕刻或者印刷包含密鑰設(shè)備170所關(guān)聯(lián)的計(jì)算機(jī)可讀介質(zhì)190的存儲(chǔ)設(shè)備物理容器210的唯一標(biāo)識(shí)
15符??商鎿Q地,如前面所指出的,GSM SIM卡形式的密鑰設(shè)備170可以具有可以存儲(chǔ)包含密鑰設(shè)備170所關(guān)聯(lián)的計(jì)算機(jī)可讀介質(zhì)190的存儲(chǔ)設(shè)備物理容器210的唯一標(biāo)識(shí)符的ICCID。 因此,對(duì)于各種不同的認(rèn)證過程,可以通過破裂的或者以其他方式損壞的密鑰設(shè)備170的物理或數(shù)字檢查檢驗(yàn)計(jì)算機(jī)可讀介質(zhì)190上根據(jù)密鑰設(shè)備170的密碼信息175而加密的數(shù)據(jù)195的實(shí)際破壞。計(jì)算機(jī)可讀介質(zhì)190上的數(shù)據(jù)195的安全運(yùn)輸同樣地可以由可通信地且物理地分離的密鑰設(shè)備170促成。例如,如果要裝運(yùn)包括具有加密數(shù)據(jù)195的計(jì)算機(jī)可讀介質(zhì)190的一個(gè)或多個(gè)存儲(chǔ)設(shè)備210,那么可以移除關(guān)聯(lián)的密鑰設(shè)備170,或者以其他方式將其與存儲(chǔ)設(shè)備在通信上斷開,并且可以在分離的容器中或者通過分離的載體將其裝運(yùn),或者可替換地,可以持有該密鑰設(shè)備170并且僅在接收了存儲(chǔ)設(shè)備的安全接收的確認(rèn)之后才裝運(yùn)。如果存儲(chǔ)設(shè)備210丟失或被盜,那么這樣的存儲(chǔ)設(shè)備的計(jì)算機(jī)可讀介質(zhì)上的數(shù)據(jù)195在沒有密鑰設(shè)備170的情況下將是不可訪問的,所述密鑰設(shè)備假定也沒有丟失或被盜,因?yàn)樗鼈兺ㄟ^不同的路線運(yùn)輸。如果不同的密鑰設(shè)備通信式地連接到存儲(chǔ)設(shè)備210,那么先前的加密數(shù)據(jù)195可以被存儲(chǔ)設(shè)備210看作自由空間,從而實(shí)際上刪除了這樣的在前數(shù)據(jù)??商鎿Q地,硬件密碼系統(tǒng)180可以自動(dòng)地運(yùn)行安全刪除過程,從而進(jìn)一步阻止對(duì)數(shù)據(jù)195的訪問。作為又一個(gè)可替換方案,如果不同的密鑰設(shè)備通信式地連接到存儲(chǔ)設(shè)備210,那么可以維持先前的加密數(shù)據(jù)完好無損,使得在所述不同的密鑰設(shè)備通信式地連接到存儲(chǔ)設(shè)備210的同時(shí),在前密鑰設(shè)備170的后續(xù)使用將允許訪問該在前數(shù)據(jù),但是不允許訪問任何添加的數(shù)據(jù)。如果沒有密鑰設(shè)備170通信式地連接到存儲(chǔ)設(shè)備210,那么存儲(chǔ)設(shè)備可以拒絕任何訪問請(qǐng)求,而不是允許連接的計(jì)算設(shè)備100發(fā)布安全刪除命令。然而,在一個(gè)實(shí)施例中,如果沒有密鑰設(shè)備 170通信式地連接到存儲(chǔ)設(shè)備210,并且先前未曾連接這樣的密鑰設(shè)備170,那么存儲(chǔ)設(shè)備 210可以利用硬件密碼系統(tǒng)180內(nèi)部產(chǎn)生的密碼信息,或者它可以向通信式耦合的計(jì)算設(shè)備100報(bào)告自己為“未就緒”。在一個(gè)實(shí)施例中,這樣的選項(xiàng)可以是用戶或管理員可選擇的。 先前通信式連接的密鑰設(shè)備170的存在性可以由硬件密碼系統(tǒng)180例如在日志文件或者類似的構(gòu)造中維持。轉(zhuǎn)到圖7,流程圖700示出了可以由諸如上面描述的存儲(chǔ)設(shè)備210之類的存儲(chǔ)設(shè)備在根據(jù)密鑰設(shè)備170的存在或不存在確定其行為中執(zhí)行的一系列示例性步驟。初始時(shí),如步驟705所示,可以向存儲(chǔ)設(shè)備施加電力。隨后,在步驟710處,可以進(jìn)行檢查以確定密鑰設(shè)備170是否通信式地連接到例如硬件密碼系統(tǒng)180。通信式連接的密鑰設(shè)備170可選地也可以物理地連接,但是步驟710處的檢查可以解釋上面描述的任何通信連接。如果在步驟710處確定未通信式連接密鑰設(shè)備170,那么可以在步驟715處進(jìn)行檢查以確定先前是否連接了密鑰設(shè)備170。例如,如所指出的,存儲(chǔ)設(shè)備210的部件可以維持可以指示先前通信式耦合的密鑰設(shè)備170的日志文件或其他構(gòu)造。如果在步驟715處確定先前連接了密鑰設(shè)備170,那么處理可以結(jié)束于步驟720,其中存儲(chǔ)設(shè)備可以拒絕來自通信式耦合的計(jì)算設(shè)備100的請(qǐng)求,而不是安全地擦除存儲(chǔ)設(shè)備210的計(jì)算機(jī)可讀介質(zhì)190的內(nèi)容的請(qǐng)求。然而,如果在步驟715處例如通過參考日志文件確定先前沒有密鑰設(shè)備170通信式地耦合到存儲(chǔ)設(shè)備210,那么在這種情況下在步驟725處可以就選擇的缺省行為進(jìn)行檢查。如步驟730所指示的一個(gè)選項(xiàng)可以是通過向通信式耦合的計(jì)算設(shè)備100報(bào)告存儲(chǔ)設(shè)備 210為“未就緒”而結(jié)束處理。如步驟735所指示的另一個(gè)選項(xiàng)可以是產(chǎn)生內(nèi)部密碼信息, 該內(nèi)部密碼信息然后可以由硬件密碼系統(tǒng)180用來加密計(jì)算機(jī)可讀介質(zhì)190上存儲(chǔ)的數(shù)據(jù)以及解密從那里讀取的數(shù)據(jù)。這樣的內(nèi)部密碼信息的產(chǎn)生可以不同于其中存儲(chǔ)設(shè)備210產(chǎn)生密碼信息175并且將該密碼信息提供給密鑰設(shè)備170的上述實(shí)施例。在這種情況下,只要密鑰設(shè)備170保持通信式地耦合到存儲(chǔ)設(shè)備210,那么產(chǎn)生的存儲(chǔ)于密鑰設(shè)備170上的密碼信息175在存儲(chǔ)設(shè)備210斷電或重啟之后保持可用,從而允許訪問計(jì)算機(jī)可讀介質(zhì)190 上存儲(chǔ)的加密數(shù)據(jù)195。在當(dāng)前實(shí)施例中,內(nèi)部產(chǎn)生和利用的密碼信息未存儲(chǔ)在密鑰設(shè)備 170上,因?yàn)槿绮襟E710處所確定的,當(dāng)前沒有密鑰設(shè)備被通信式地連接。因此,使用這樣的內(nèi)部產(chǎn)生的密碼信息以加密的方式存儲(chǔ)到計(jì)算機(jī)可讀介質(zhì)190上的數(shù)據(jù)195在存儲(chǔ)設(shè)備 210斷電或重啟之后可能不可恢復(fù),因?yàn)橛脕砑用軘?shù)據(jù)195的密碼信息可能不再可用,因?yàn)樗赡茉陔娏χ袛嗥陂g丟失。當(dāng)希望確保遠(yuǎn)程站點(diǎn)上的文件和內(nèi)容在該遠(yuǎn)程站點(diǎn)處的終端被盜的情況下不可能被盜時(shí),數(shù)據(jù)的這種臨時(shí)存儲(chǔ)在例如終端驅(qū)動(dòng)器中可能是有用的。然后,相關(guān)的處理可以結(jié)束于步驟755,其中存儲(chǔ)設(shè)備210可以繼續(xù)利用密碼信息以便如所表示的加密和解密數(shù)據(jù)。如果在步驟710處檢測(cè)到通信式耦合的密鑰設(shè)備170,那么處理可以繼續(xù)到步驟740,其中例如就先前描述的日志文件進(jìn)行檢查以便確定檢測(cè)的密鑰設(shè)備170是否為先前通信式耦合的相同密鑰設(shè)備。如果通信式耦合的密鑰設(shè)備170為先前通信式耦合的相同密鑰設(shè)備,那么可以在步驟750處從密鑰設(shè)備170獲得密碼信息175 并且相關(guān)處理可以結(jié)束于步驟755,存儲(chǔ)設(shè)備160可以繼續(xù)利用該密碼信息來加密和解密計(jì)算機(jī)可讀介質(zhì)190上存儲(chǔ)的數(shù)據(jù)195。然而,如果在步驟740處確定通信式耦合的密鑰設(shè)備170不是先前通信式耦合的相同密鑰設(shè)備,那么在步驟745處,可以將利用在前密鑰設(shè)備170的密碼信息175加密的所有數(shù)據(jù)195標(biāo)記為計(jì)算機(jī)可讀介質(zhì)190上的自由空間,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)知道的是,這意味著這些數(shù)據(jù)可以被新數(shù)據(jù)隨機(jī)地覆蓋??商鎿Q地,如先前所指出的,可以保留利用在前密鑰設(shè)備170的密碼信息175加密的數(shù)據(jù)195,使得如果該在前密鑰設(shè)備170與存儲(chǔ)設(shè)備210重新連接,那么數(shù)據(jù)195將再次變得對(duì)于利用存儲(chǔ)系統(tǒng) 160的計(jì)算設(shè)備可用。隨后,在步驟745處,可以請(qǐng)求當(dāng)前通信式耦合的密鑰設(shè)備170的密碼信息175,并且相關(guān)處理可以結(jié)束于步驟755,其中如所描述的,新的密碼信息175用來加密和解密數(shù)據(jù)。如先前所指出的,密鑰設(shè)備170本身可以包括建立與指配計(jì)算設(shè)備410的安全通信隧道510的能力。圖8的流程圖800示出了一系列示例性步驟,密鑰設(shè)備170通過這些步驟可以建立這種安全通信隧道510。初始時(shí),如圖所示,可以在步驟810處向密鑰設(shè)備170 施加電力。隨后,在步驟820處,密鑰設(shè)備170可以檢查以確定其是否已經(jīng)被指配。例如, 指配計(jì)算設(shè)備410可以向密鑰設(shè)備170提供數(shù)據(jù),其可以通過例如使密鑰設(shè)備170在步驟 820處確定其未被正確指配而導(dǎo)致該密鑰設(shè)備試圖在規(guī)定的間隔重新連接到指配計(jì)算設(shè)備 410。在一個(gè)實(shí)施例中,如果密鑰設(shè)備170確定其被正確指配,那么在步驟870處可以結(jié)束相關(guān)處理。然而,如果在步驟820處密鑰設(shè)備170確定它可以請(qǐng)求指配,那么它可以在步驟 830處繼續(xù)確定它是否例如通過物理連接而直接連接到指配計(jì)算設(shè)備410,或者直接無線連接到指配計(jì)算設(shè)備410。如果密鑰設(shè)備170直接連接到指配計(jì)算設(shè)備410,那么它可以在步驟860處從指配計(jì)算設(shè)備接收密碼信息175,并且隨后相關(guān)處理可以在步驟870處結(jié)束。 如果在步驟830處密鑰設(shè)備170確定其未直接連接到指配計(jì)算設(shè)備410,那么它可以在步驟 840處試圖通過密鑰設(shè)備170通信式耦合的計(jì)算設(shè)備100的網(wǎng)絡(luò)連接例如以上面詳細(xì)地描述的方式接觸指配計(jì)算設(shè)備410。如果在步驟840處密鑰設(shè)備170確定它不能找到或者以其他方式接觸指配計(jì)算設(shè)備410,那么相關(guān)的處理可以在步驟870處結(jié)束。然而,如果密鑰設(shè)備170可以通過密鑰設(shè)備170通信式耦合的計(jì)算設(shè)備100的網(wǎng)絡(luò)連接建立與指配計(jì)算設(shè)備410的接觸,那么在步驟850處該密鑰設(shè)備可以例如以上面詳細(xì)地描述的方式建立安全通信隧道510。其后,密鑰設(shè)備170可以在步驟860處通過建立的安全隧道510從指配計(jì)算設(shè)備410接收密碼信息175,并且相關(guān)的處理可以隨后在步驟870處結(jié)束。
由上面的描述可見,提供了一種包括存儲(chǔ)設(shè)備和在通信上以及物理上可分離的密鑰設(shè)備的存儲(chǔ)系統(tǒng)。鑒于本文描述的主題的許多可能的變型,我們聲明可能落入以下權(quán)利要求書及其等價(jià)物的范圍內(nèi)的所有這樣的實(shí)施例為我們的發(fā)明。
權(quán)利要求
1.一種密鑰設(shè)備(170),可與存儲(chǔ)設(shè)備(210)在物理上和通信上分離,所述存儲(chǔ)設(shè)備包括從計(jì)算設(shè)備(100)接收的加密數(shù)據(jù)(195),該密鑰設(shè)備(170)包括至少一個(gè)通信接口(177);以及計(jì)算機(jī)可讀介質(zhì),其包括用來保護(hù)存儲(chǔ)設(shè)備(210)的數(shù)據(jù)(195)的密碼信息(175)。
2.權(quán)利要求1的密鑰設(shè)備,進(jìn)一步包括用于執(zhí)行這樣的步驟的測(cè)量和密封模塊,這些步驟包括從通信式連接的存儲(chǔ)設(shè)備的至少一些部件獲得唯一值;基于獲得的唯一值導(dǎo)出通信式連接的存儲(chǔ)設(shè)備的測(cè)量結(jié)果;以及如果通信式連接的存儲(chǔ)設(shè)備的測(cè)量結(jié)果等效于先前獲得的測(cè)量結(jié)果,則將密碼信息提供給通信式連接的存儲(chǔ)設(shè)備。
3.權(quán)利要求1的密鑰設(shè)備,其中所述通信接口物理地連接到存儲(chǔ)設(shè)備上的連接器。
4.權(quán)利要求1的密鑰設(shè)備,進(jìn)一步包括與所述計(jì)算機(jī)可讀介質(zhì)和所述至少一個(gè)通信接口中的至少一個(gè)交叉的結(jié)構(gòu)弱化部分,其中沿著結(jié)構(gòu)弱化部分物理地打破密鑰設(shè)備使得密碼信息不能使用。
5.權(quán)利要求1的密鑰設(shè)備,其中所述計(jì)算機(jī)可讀介質(zhì)進(jìn)一步包括由另一存儲(chǔ)設(shè)備利用的附加密碼信息。
6.權(quán)利要求1的密鑰設(shè)備,進(jìn)一步包括一個(gè)或多個(gè)處理單元,其中所述計(jì)算機(jī)可讀介質(zhì)進(jìn)一步包括可由所述一個(gè)或多個(gè)處理器執(zhí)行的指令,用于建立密鑰設(shè)備與提供密碼信息的指配計(jì)算設(shè)備之間的安全通信隧道。
7.權(quán)利要求1的密鑰設(shè)備,進(jìn)一步包括根據(jù)密碼信息來保護(hù)密鑰設(shè)備接收的數(shù)據(jù)的一個(gè)或多個(gè)處理單元。
8.一種存儲(chǔ)系統(tǒng),包括權(quán)利要求1的密鑰設(shè)備,該存儲(chǔ)系統(tǒng)進(jìn)一步包括存儲(chǔ)設(shè)備,該存儲(chǔ)設(shè)備包括具有存儲(chǔ)于其上的數(shù)據(jù)的一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì); 一個(gè)或多個(gè)處理單元;以及可由所述一個(gè)或多個(gè)處理單元執(zhí)行的用于執(zhí)行如下步驟的指令,這些步驟包括根據(jù)來自所述一個(gè)或多個(gè)密鑰設(shè)備中的通信式連接的密鑰設(shè)備的密碼信息來保護(hù)要存儲(chǔ)到所述一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上的數(shù)據(jù);以及如果所有所述一個(gè)或多個(gè)密鑰設(shè)備與存儲(chǔ)設(shè)備在通信上分離并且所述一個(gè)或多個(gè)密鑰設(shè)備中的至少一個(gè)先前通信式連接到存儲(chǔ)設(shè)備,則拒絕來自計(jì)算設(shè)備的訪問所述一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的數(shù)據(jù)的請(qǐng)求。
9.權(quán)利要求8的存儲(chǔ)系統(tǒng),其中用于根據(jù)密碼信息進(jìn)行保護(hù)的指令包括用于根據(jù)所述密碼信息以及所述一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的附加密碼信息來保護(hù)要存儲(chǔ)到所述一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上的數(shù)據(jù)。
10.權(quán)利要求8的存儲(chǔ)系統(tǒng),其中存儲(chǔ)設(shè)備進(jìn)一步包括可由所述一個(gè)或多個(gè)處理單元執(zhí)行的指令,用于在來自所述一個(gè)或多個(gè)密鑰設(shè)備中的當(dāng)前通信式連接的密鑰設(shè)備不同于先前通信式連接的密鑰設(shè)備的情況下,將所述一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上的、根據(jù)來自所述一個(gè)或多個(gè)密鑰設(shè)備中的先前通信式連接的密鑰設(shè)備的密碼信息來加密的數(shù)據(jù)標(biāo)記為不再可用。
11.權(quán)利要求8的存儲(chǔ)系統(tǒng),進(jìn)一步包括選擇器,用于在當(dāng)前通信式連接到存儲(chǔ)設(shè)備的一個(gè)或多個(gè)密鑰設(shè)備不等效于先前通信式連接到存儲(chǔ)設(shè)備的一個(gè)或多個(gè)密鑰設(shè)備的情況下,選擇可由所述一個(gè)或多個(gè)處理單元執(zhí)行的可選的指令之一,這些可選的指令包括用于向計(jì)算設(shè)備報(bào)告存儲(chǔ)設(shè)備未就緒的指令;以及用于產(chǎn)生要代替所述一個(gè)或多個(gè)密鑰設(shè)備的密碼信息而使用的內(nèi)部密碼信息的指令。
12.權(quán)利要求8的存儲(chǔ)系統(tǒng),其中存儲(chǔ)設(shè)備進(jìn)一步包括可由所述一個(gè)或多個(gè)處理單元執(zhí)行的指令,這些指令用于將數(shù)據(jù)發(fā)送到要引用所述至少一個(gè)密鑰設(shè)備的密碼信息來簽名的所述至少一個(gè)密鑰設(shè)備。
13.權(quán)利要求8的存儲(chǔ)系統(tǒng),其中所述密碼信息中的至少一些由指配計(jì)算設(shè)備提供給所述一個(gè)或多個(gè)密鑰設(shè)備。
14.權(quán)利要求13的存儲(chǔ)系統(tǒng),其中所述一個(gè)或多個(gè)密鑰設(shè)備中的至少一個(gè)包括一個(gè)或多個(gè)密鑰設(shè)備處理單元以及可由所述一個(gè)或多個(gè)密鑰設(shè)備處理單元執(zhí)行的用于建立與指配計(jì)算設(shè)備的安全通信隧道的指令。
15.權(quán)利要求13的存儲(chǔ)系統(tǒng),其中所述密碼信息在指配計(jì)算設(shè)備的操作系統(tǒng)的啟動(dòng)期間由指配計(jì)算設(shè)備提供;并且其中所述密碼信息進(jìn)一步在完成指配計(jì)算設(shè)備的操作系統(tǒng)的啟動(dòng)之前從指配計(jì)算設(shè)備中清除。
全文摘要
存儲(chǔ)設(shè)備可以提供對(duì)于由其存儲(chǔ)的數(shù)據(jù)的硬件加密和解密。硬件密碼功能可以根據(jù)在通信上和物理上可分離的密鑰設(shè)備的密碼信息來應(yīng)用??煞蛛x的密鑰設(shè)備的斷開可以使得加密數(shù)據(jù)不可訪問??煞蛛x的密鑰設(shè)備的破壞可以導(dǎo)致加密數(shù)據(jù)的實(shí)際破壞??煞蛛x的密鑰設(shè)備上的密碼信息可以由存儲(chǔ)設(shè)備制造商提供,或者由指配計(jì)算設(shè)備提供??煞蛛x的密鑰設(shè)備可以直接通信式地耦合到指配計(jì)算設(shè)備或者它可以通過該可分離的密鑰設(shè)備通信式耦合的計(jì)算設(shè)備建立與指配設(shè)備的安全通信隧道。密碼信息可以由指配計(jì)算設(shè)備在完成該設(shè)備的啟動(dòng)之前提供以及在完成該設(shè)備的啟動(dòng)之前從指配計(jì)算設(shè)備中刪除。
文檔編號(hào)G06F21/04GK102292732SQ201080005002
公開日2011年12月21日 申請(qǐng)日期2010年2月5日 優(yōu)先權(quán)日2009年1月20日
發(fā)明者C.利奧內(nèi)蒂, H.R.羅杰斯, J.R.哈米爾頓, S.P.奧拉里格, T.L.法爾克, V.薩多夫斯基 申請(qǐng)人:微軟公司