[发明专利]远程授权访问锁定的数据存储设备

权利要求书

1.一种数据存储设备，所述数据存储设备包括数据路径、访问控制器和非易失性数据存储库，其中：

所述数据路径包括：

数据端口，所述数据端口被配置为在主机计算机系统和所述数据存储设备之间传输数据；

非易失性存储介质，所述非易失性存储介质被配置为存储加密的用户内容数据；和

加密引擎，所述加密引擎连接在所述数据端口和所述存储介质之间，并且被配置为响应于来自所述主机计算机系统的请求而使用加密密钥对存储在所述存储介质上的所述加密的用户内容数据进行解密；并且

所述访问控制器被配置为：

从用户设备接收注册所述用户设备的请求；

生成对管理器设备的质询，其中所述管理器设备位于远离所述数据存储设备的位置；

向所述用户设备发送对所述管理器设备的所述质询；

从所述用户设备接收由所述管理器设备计算以批准所述注册请求的响应；

至少部分地基于由所述管理器设备计算的所述响应来计算所述加密密钥；以及

在所述非易失性数据存储库上创建和存储与所述用户设备相关联的授权数据，其中所述授权数据指示所述加密密钥，以向所述数据存储设备注册所述用户设备。

2.根据权利要求1所述的数据存储设备，其中所述质询能够在不安全的通信信道上共享。

3.根据权利要求1所述的数据存储设备，其中所述注册请求包括所述用户设备的公共密钥。

4.根据权利要求3所述的数据存储设备，其中所述访问控制器被进一步配置为在基于所述公共密钥确定所述用户设备未向所述数据存储设备注册时生成并发送所述质询。

5.根据权利要求1所述的数据存储设备，其中所述质询基于与所述管理器设备相关联并且存储在所述数据存储设备的所述数据存储库上的解锁公共密钥。

6.根据权利要求5所述的数据存储设备，其中与所述管理器设备相关联的所述解锁公共密钥对应于存储在所述管理器设备上的解锁私有密钥。

7.根据权利要求5所述的数据存储设备，其中与所述管理器设备相关联的所述解锁公共密钥存储在所述数据存储设备的所述数据存储库上，并且响应于接收到所述注册请求而可访问。

8.根据权利要求1所述的数据存储设备，其中：

所述访问控制器被进一步配置为在所述数据存储库上并且在接收所述注册请求之前存储与所述管理器设备相关联的授权数据；

所述授权数据包括加密形式的管理器密钥；并且

所述访问控制器被进一步配置为：

至少部分地基于所述响应来解密所述管理器密钥；以及

基于所述管理器密钥计算所述加密密钥。

9.根据权利要求8所述的数据存储设备，其中：

基于丢弃的临时私有密钥来加密所述管理器密钥；并且

所述质询基于对应于所述临时私有密钥的临时公共密钥。

10.根据权利要求9所述的数据存储设备，其中所述临时公共密钥存储在所述数据存储库上，并且响应于接收到所述注册请求而可访问。

11.根据权利要求1所述的数据存储设备，其中：

所述访问控制器被进一步配置为在所述数据存储库上并且在接收所述注册请求之前存储与相应多个管理器设备相关联的多个条目；并且

所述多个管理器设备中的一个管理器设备与远程审批人角色相关联，所述远程审批人角色通过启用对所述多个管理器设备中的所述管理器设备的所述质询的生成来定义。

12.根据权利要求11所述的数据存储设备，其中通过响应于接收到所述注册请求而提供对与所述多个管理器设备中的所述一个管理器设备相关联的解锁公共密钥的访问权限来启用所述质询的所述生成。