[发明专利]解锁数据存储设备

权利要求书

1.一种数据存储设备，所述数据存储设备包括数据路径和访问控制器，其中：

所述数据路径包括：

数据端口，所述数据端口被配置为在主机计算机系统和所述数据存储设备之间传输数据，其中所述数据存储设备被配置为向所述主机计算机系统注册为块数据存储设备；

非易失性存储介质，所述非易失性存储介质被配置为存储加密的用户内容数据；和

加密引擎，所述加密引擎连接在所述数据端口和所述存储介质之间，并且被配置为响应于来自所述主机计算机系统的请求而使用加密密钥对存储在所述存储介质上的所述加密的用户内容数据进行解密；并且

所述访问控制器被配置为：

针对授权设备生成质询；

通过不同于所述数据路径的通信信道来将所述质询发送到所述授权设备；

通过所述通信信道从所述授权设备接收对所述质询的响应；

至少部分地基于所述响应来计算所述加密密钥；以及

将所述加密密钥提供到所述加密引擎，以对存储在所述数据存储设备的所述存储介质上的所述加密的用户内容数据进行解密。

2.根据权利要求1所述的数据存储设备，其中所述质询基于椭圆曲线加密。

3.根据权利要求1所述的数据存储设备，其中所述质询基于所述数据存储设备的公共密钥。

4.根据权利要求3所述的数据存储设备，其中所述数据存储设备的所述公共密钥与私有密钥相关联，所述私有密钥在生成所述公共密钥之后被丢弃。

5.根据权利要求3所述的数据存储设备，其中：

所述访问控制器被进一步配置为针对每个质询生成盲值；并且

所述质询基于所述数据存储设备的所述公共密钥乘以所述盲值。

6.根据权利要求5所述的数据存储设备，其中所述访问控制器被进一步配置为：

计算所述盲值的倒数；

通过将所述响应与所述盲值的所述倒数相乘来计算所述加密密钥以确定解锁秘密；以及

使用所述解锁秘密来导出所述加密密钥。

7.根据权利要求1所述的数据存储设备，其中所述响应基于私有密钥，所述私有密钥存储在所述授权设备中的安全硬件模块中。

8.根据权利要求1所述的数据存储设备，其中所述访问控制器被进一步配置为：

从所述授权设备接收证书，所述证书包括证书数据；

使用所述证书数据来在数据存储库中查询设备记录；以及

基于所述设备记录来生成所述质询。

9.根据权利要求1所述的数据存储设备，还包括数据存储库，所述数据存储库被配置为存储与相应授权设备相关联的条目，每个条目包括与所述相应授权设备中的一个授权设备相关联的元数据。

10.根据权利要求9所述的数据存储设备，其中所述元数据使用包含在证书中的加密密钥以加密的形式存储在所述数据存储库中，所述证书由所述数据存储设备发出并从所述授权设备接收。

11.根据权利要求10所述的数据存储设备，其中所述元数据包括所述相应授权设备中的一个授权设备的标识符。

12.根据权利要求9所述的数据存储设备，其中每个条目包括能够基于所述响应解密的加密密钥。

13.根据权利要求12所述的数据存储设备，其中能够基于所述响应解密的所述加密密钥对于多个授权设备是相同的。

14.根据权利要求12所述的数据存储设备，其中能够基于所述响应解密的所述加密密钥能够解密所述加密的用户内容数据。