[发明专利]远程授权访问锁定的数据存储设备

说明书

本文公开了一种数据存储设备，该数据存储设备具有存储加密的用户内容数据的存储介质。加密引擎使用加密密钥来解密该加密的用户内容数据。访问控制器从用户设备接收注册该用户设备的请求并生成对管理器设备的质询。该管理器设备位于远离该数据存储设备的位置。该控制器向该用户设备发送对管理器设备的质询；从该用户设备接收由该管理器设备计算以批准注册请求的响应；至少部分地基于由该管理器设备计算的响应来计算该加密密钥；并且创建并存储与该用户设备相关联的授权数据。该授权数据指示该加密密钥，以向该数据存储设备注册该用户设备。

技术领域

本公开涉及可被锁定和解锁的数据存储设备。

背景技术

数据加密使得能够在数据存储设备上，诸如能够经由通用串行总线(USB)电缆连接的块数据存储设备上相对安全地进行存储。然而，用户体验通常令人失望，因为密码、密钥等的设置对于技术上不熟练的用户来说是麻烦而且复杂的。如果使用加密，则密钥和密码的存储经常是不安全的。因此，许多用户并没有有效地使用现有的加密技术，从而导致机密数据暴露。

此外，如果定义了多个角色，诸如具有受限访问权限的用户角色和具有完全访问权限的管理者角色，则数据存储设备的管理会更有效而且更安全。然而，操作系统中使用的常见解决方案，诸如基于登录凭据的访问控制列表，对于在不同主机计算机系统之间移动的数据存储设备是不切实际的。希望在不使用外部操作系统和访问控制列表的情况下在数据存储设备内部定义多个角色。还希望提供向数据存储设备注册用户设备而不将管理器设备连接到数据存储设备的可能性。

发明内容

本公开提供了一种数据存储设备，该数据存储设备使得能够在已注册的管理器设备处于远程位置(相对于数据存储设备)并且因此不能直接连接到数据存储设备时注册用户设备。

本文公开了一种数据存储设备，该数据存储设备包括数据路径、访问控制器和非易失性数据存储库。数据路径包括：数据端口，该数据端口被配置为在主机计算机系统和该数据存储设备之间传输数据；非易失性存储介质，该非易失性存储介质被配置为存储加密的用户内容数据；和加密引擎，该加密引擎连接在数据端口和存储介质之间，并且被配置为响应于来自主机计算机系统的请求而使用加密密钥对存储在存储介质上的加密的用户内容数据进行解密。访问控制器被配置为：从用户设备接收注册该用户设备的请求；生成对管理器设备的质询，其中该管理器设备位于远离该数据存储设备的位置；向用户设备发送对管理器设备的该质询；从该用户设备接收由该管理器设备计算以批准注册请求的响应；至少部分地基于由该管理器设备计算的响应来计算加密密钥；以及在非易失性数据存储库上创建和存储与用户设备相关联的授权数据，其中该授权数据指示该加密密钥，以向数据存储设备注册用户设备。

在一些实施方案中，质询能够在不安全的通信信道上共享。

在一些实施方案中，注册请求包括用户设备的公共密钥。

在一些实施方案中，访问控制器被进一步配置为在基于公共密钥确定用户设备未向数据存储设备注册时生成并发送质询。

在一些实施方案中，质询基于与管理器设备相关联并存储在数据存储设备的数据存储库上的解锁公共密钥。

在一些实施方案中，与管理器设备相关联的解锁公共密钥对应于存储在管理器设备上的解锁私有密钥。

在一些实施方案中，与管理器设备相关联的解锁公共密钥存储在数据存储设备的数据存储库上，并且响应于接收到注册请求而可访问。

在一些实施方案中，访问控制器被进一步配置为在数据存储库上并且在接收注册请求之前存储与管理器设备相关联的授权数据。授权数据包括加密形式的管理器密钥。并且，访问控制器被进一步配置为：至少部分地基于响应来解密管理器密钥；以及基于管理器密钥来计算加密密钥。

在一些实施方案中，基于丢弃的临时私有密钥来加密管理器密钥；并且质询基于对应于临时私有密钥的临时公共密钥。