[发明专利]用于控制对加密数据的访问的方法和装置

权利要求书

1.一种用于控制对加密数据的访问的方法，包括：

控制对存储在设备的存储器中的加密数据的访问，其中所述加密数据根据多个类别进行分类，其中每个加密数据是使用一个或多个相应的文件加密密钥进行加密的，一类别中的每个相应的文件加密密钥是使用与该类别相对应的相应类别密钥进行加密的，该相应的类别密钥是使用与该类别相对应的相应域主密钥进行加密的，该相应的域主密钥能够使用系统主密钥获得，所述系统主密钥是使用在所述设备的存储器中存储的处理器密钥进行加密的，所述系统主密钥被配置为保护多个类别中的每个类别的相应域主密钥中的每一个；以及

在设备启动时，通过使用处理器密钥解密系统主密钥并在满足与类别相关联的准则时执行以下操作中的一个或多个，控制对加密数据的访问：

解密或产生相应的域主密钥，

使用相应的域主密钥解密相应的类别密钥，

使用相应的类别密钥解密一个或多个相应的文件加密密钥，

在解密了所述一个或多个相应的文件加密密钥之后毁坏未加密的相应域主密钥；

其中所述准则包括以下中的一个或多个：所述设备被开启；在所述设备的输入设备处接收到与存储在存储器中的口令数据相匹配的口令；或在所述输入设备处接收到与从所述设备的外部存储器读取器所读取的数据相匹配的个人标识号。

2.根据权利要求1所述的方法，其中：所述多个类别中的每个类别基于排序系统、数据敏感性、设备的操作需要以及设备的可用性中的一个或多个。

3.根据权利要求1所述的方法，其中基于所述多个类别，在存储器的分区中存储所述加密数据，每个分区包括虚拟分区和存储器的物理分区中的一个或多个。

4.根据权利要求1所述的方法，其中：

所述类别包括启动类别，与其相关联的启动加密数据用于在打开设备时并且在接收输入设备处的用户输入之前启动设备，

与启动类别相关联的启动准则包括确定已经打开了设备，相应的域主密钥包括主启动加密密钥，相应的类别密钥包括启动加密密钥，

一旦在满足启动准则之后访问主启动加密密钥并在使用主启动加密密钥对启动加密密钥进行解密，进而使用启动加密密钥对相应的文件加密密钥进行解密，进而使用相应的文件加密密钥对启动加密数据进行了解密之后，启动加密数据便保持可访问。

5.根据权利要求1所述的方法，其中：

所述类别包括操作类别，与其相关联的操作加密数据用于进行如下操作中的一个或多个：在打开设备之后操作设备；在设备处执行操作；以及向用户提供设备处的操作经验，

与操作类别相关联的操作准则包括：接收使用输入设备的输入，所述输入与存储在存储器的口令数据和在设备的外部存储器读取器中接收到的从外部存储器读取的个人标识号中的一个或多个相匹配，相应的域主密钥包括主操作加密密钥，相应的类别密钥包括操作加密密钥，

一旦在满足操作准则之后访问主操作加密密钥并在使用主操作加密密钥对操作加密密钥进行解密，进而使用操作加密密钥对相应的文件加密密钥进行解密，进而使用相应的文件加密密钥对操作加密数据进行了解密之后，操作加密数据便保持可访问。

6.根据权利要求1所述的方法，其中：

所述类别包括锁定加密数据的锁定类别，

与所述锁定类别相关联的锁定准则包括：接收使用输入设备的输入，所述输入与存储在存储器的口令数据和在设备的外部存储器读取器中接收到的从外部存储器读取的个人标识号中的一个或多个相匹配，相应的域主密钥包括主锁定加密密钥，相应的类别密钥包括锁定加密密钥，

所述方法还包括：一旦在满足准则之后访问主锁定加密密钥，

使用主锁定加密密钥，对用于解密锁定加密数据的相应文件加密密钥、锁定加密密钥中的至少一个进行解密；以及

当满足一个或多个锁定触发准则时毁坏相应文件加密密钥、锁定加密密钥中的至少一个，使得锁定加密数据不再可访问，直到再次满足锁定准则。