[发明专利]便携式安全存储设备及其存取控制方法

说明书

技术领域：

本发明涉及一种储存设备及其存取控制方法，特别涉及一种便携式安全存储设备(Secure portable storage device)及其存取控制(Access control)方法，尤指一种一主机(Host)与该便携式安全存储设备通过文件系统(Filesystem)，进行密钥交换验证得存取控制方法。

背景技术：

便携式消费类电子设备(Conventional handheld computing device)已日益普及。它们由最初应用在随身笔记以及纪录约会时间，演变至今日，其功能已日趋多样化。一般便携式消费类电子设备的储存容量是有所限制的，为了适应使用者对影音文档等大容量数据的储存需求，因此，目前大多是通过外接小型闪存卡(例如，包括Multimedia cards、Memory stick cards等规格的记忆卡)以扩充其存储容量。

随着各种规格的小型存储卡相继推出，终端使用者已普遍地将其运用以储存大容量数据。而这些被储存的数据中，有些包含具机密性质的资料，有些包含了受到版权保护的数据，因此种终端使用者或数据提供者希望将数据的存取权限加以限制，限制为单一或一群特定的使用者。目前的便携式安全储存设备(Secureportable storage device，或称为安全储存媒体(Secure media))是采用对使用者提出验证要求，来解决这个问题的。也就是说，在未通过验证程序的情况下，文件系统中的内容数据是被加密过(Encrypted)的。必须先通过便携式安全储存设备与使用者的主机(Host)两者对密钥(Key)进行交互验证后，解出真正的内容密钥(Content key)。然后，再以此内容密钥对加密过的数据进行解密(Decryption)。最后，再由主机输出正常的内容数据。

现今的密钥交互验证程序中，主机与便携式安全存储设备是通过协议层(Protocal)单元进行密钥的传输。例如，美国专利第6,892,306号案即揭露了一种数字内容的加密程序与设备，其中的密钥(Key)正是通过协议层进行的。并且，密钥的解密也是便携式安全存储设备端的运算单元加以执行。然而，透过协议层单元(例如应用协议数据单元，Application Protocal Data Unit)传输数据，必须通过琐碎的协议层指令来执行，进而一步一步地慢慢传送数据。而且基于相同的原因，当便携式安全储存设备的硬件升级时，主机端也必须同时安装相对应版本的驱动程序，两者才可以正常地进行数据传输。此外，密钥的解密由便携式安全储存设备端执行，将造成加密数据易于被破解。

发明内容：

本发明的目的之一为提供一种便携式安全储存设备，它可以通过文件系统(File system)与主机进行密钥交换验证，其中加密数据密的解密是由主机进行。

本发明另一目的为提供一种便携式安全储存设备的存取控制方法，该存取控制方法是适用于一主机对一便携式安全储存设备存取其中的加密内容数据。其中该主机与该便携式安全设备是通过文件系统进行密钥交换验证。

本发明的技术方案为：一种便携式安全储存设备，包括一文件系统、一控制/处理模块以及一内存。此便携式安全储存设备可以被连接于一主机，该主机包括一个第一解密模块、一个第二解密模块及一个预先储存的第一密钥。该文件系统是与该主机匹配的，而且其结构是配合储存加密内容数据。该文件系统同时具有一个第一暂存空间以及一个第二暂存空间。该控制/处理模块是匹配该文件系统。该内存是匹配于该控制/处理模块，且该内存中储存有一加密过的内容密钥。

便携式安全储存设备的存取控制方法包括以下步骤，首先，输出该第一密钥至该第一暂存空间。其次，验证该第一密钥是否正确，若该第一密钥为正确，将储存于该内存中的加密过的内容密钥复制至该第二暂存空间。随后，该主机将储存于该第二暂存空间的加密过的内容密钥传送到主机中。其后，利用该第一密钥，将该加密化内容密钥解密为一内容密钥。最后，利用该内容密钥，将该加密化内容数据解密为内容数据。

上述本发明的控制方法步骤流程中，该便携式安全储存设备的该内存同时储存有一第二密钥，该第一密钥的验证是通过比对该第一密钥以及该第二密钥来执行。

上述本发明的控制方法步骤流程中，该主机包括一个预先储存的第三密钥，该加密过的数据密钥的解密，是利用该第一密钥与该第三密钥自由组合使用。