[发明专利]用硬件加密存储设备进行外部加密和恢复管理

权利要求书

1.一个或多个包括用于在硬件加密存储设备(141)上存储和从中取回密钥的计算机可执行指令的计算机可读介质，所述计算机可执行指令涉及以下步骤，包括：

在所述硬件加密存储设备(141)上创建至少第一分区(210、310)和第二分区(220)；

指示所述硬件加密存储设备(141)实现对应于所述第二分区(220)的至少第一加密带(250)，所述第一加密带(250)覆盖与所述第二分区(220)相关联的所有存储单元，所述第一加密带与第一密钥相关联；以及

将与所述第一密钥相关联的经加密的密钥(270、271)存储在与所述第一分区(210、310)相关联的第一组一个或多个存储单元内，所述第一分区(210、310)对应于至少全局带(240)，所述全局带(240)不与任何密钥相关联。

2.如权利要求1所述的计算机可读介质，其特征在于，涉及创建至少所述第一分区和所述第二分区的所述计算机可执行指令是响应于创建仅一个分区的用户请求来执行的。

3.如权利要求1所述的计算机可读介质，其特征在于，还包括涉及在所述硬件加密存储设备上安装操作系统的计算机可执行指令，所述计算机可执行指令涉及安装所述操作系统，包括：所述计算机可执行指令涉及对所述硬件加密存储设备创建至少所述第一分区和所述第二分区；以及计算机可执行指令涉及保留所述第一分区以供所述操作系统使用。

4.如权利要求1所述的计算机可读介质，其特征在于，还包括涉及指示所述硬件加密存储设备实现对应于所述第一分区的至少第二加密带的计算机可执行指令，所述第二加密带覆盖与所述第一分区相关联的所有存储单元，所述第二加密带不与任何密钥相关联。

5.如权利要求1所述的计算机可读介质，其特征在于，还包括涉及将与所述第一密钥相关联的冗余的经加密的密钥存储在与所述第一分区相关联的第二组一个或多个存储单元内的计算机可执行指令，所述第二组一个或多个存储单元不同于所述第一组一个或多个存储单元。

6.如权利要求1所述的计算机可读介质，其特征在于，涉及创建至少所述第一分区和所述第二分区的所述计算机可执行指令还包括涉及创建至少第三分区的计算机可执行指令，所述计算机可读介质还包括涉及以下步骤的计算机可执行指令：指示所述硬件加密存储设备实现对应于所述第三分区的至少第二加密带，所述第二加密带覆盖与所述第三分区相关联的所有存储单元，所述第二加密带与第二密钥相关联；以及将与所述第二密钥相关联的第二经加密的密钥存储在与所述第一分区相关联的第二组一个或多个存储单元内。

7.如权利要求1所述的计算机可读介质，其特征在于，还包括涉及以下步骤的计算机可执行指令：检测包括与至少所述第一分区和所述第二分区有关的信息的分区表中的改变；以及指示所述硬件加密存储设备相应地改变包括与至少所述第一个加密带有关的信息的带表中的信息。

8.如权利要求1所述的计算机可读介质，其特征在于，所述经加密的密钥是由与所述硬件加密存储设备在通信上与之耦合的计算设备相关联的可信平台模块加密的。

9.如权利要求1所述的计算机可读介质，其特征在于，还包括涉及以下步骤的计算机可执行指令：接收涉及所述硬件加密存储设备上的分区的请求；根据所述请求改变所述硬件加密存储设备上的分区；以及指示所述硬件加密存储设备相应地改变包括与至少所述第一加密带有关的信息的带表中的信息。

10.一种硬件加密存储设备(141)，包括：

一个或多个存储介质；以及

用于执行各个步骤的一个或多个密码处理器(160)，所述步骤包括：

在将提供给所述硬件加密存储设备(141)的信息存储在所述存储介质上之前，选择性地加密提供给所述硬件加密存储设备(141)的信息；

在响应于请求提供从所述存储介质读取的信息之前，选择性地解密从所述存储介质读取的信息；以及

评估与提供给所述硬件加密存储设备(141)的信息或与对从所述存储设备读取的信息的请求一起提供的加密标志(510、520)；其中评估所述加密标志(510、520)告知所述选择性的加密和所述选择性的解密。