[发明专利]解锁数据存储设备

说明书

本文公开了一种数据存储设备，该数据存储设备包括数据路径和访问控制器。数据路径包括数据端口，该数据端口被配置为在主机计算机和数据存储设备之间传输数据。数据存储设备被配置为向主机计算机注册为块数据存储设备。非易失性存储介质存储加密的用户内容数据，并且加密引擎连接在数据端口和存储介质之间并使用加密密钥来解密加密的用户内容数据。访问控制器针对授权设备生成质询；将质询发送到授权设备；通过通信信道从授权设备接收对质询的响应；基于响应来计算加密密钥；以及将加密密钥提供到加密引擎，以对存储在存储介质上的加密的用户内容数据进行解密。

技术领域

本公开涉及可被锁定和解锁的数据存储设备。

背景技术

数据加密能够在数据存储设备上，诸如能够经由通用串行总线(USB)电缆连接的块数据存储设备上相对安全地进行存储。然而，用户体验通常令人失望，因为密码、密钥等的设置对于技术上不熟练的用户来说是麻烦而且复杂的。如果使用加密，则密钥和密码的存储经常是不安全的。因此，许多用户并没有有效地使用现有的加密技术，从而导致机密数据暴露。

发明内容

本公开涉及一种数据存储设备，诸如但不限于能够经由USB电缆连接到主机计算机系统的块数据存储设备，使得数据存储设备向主机计算机系统的操作系统注册为大容量数据存储设备。数据存储设备被锁定，使得主机计算机系统不能访问存储在数据存储设备上的数据。然而，用户可通过使用授权设备来解锁数据存储设备，该授权设备被设置为对数据存储设备进行解锁。

本文公开了一种数据存储设备，该数据存储设备包括数据路径和访问控制器。数据路径包括：数据端口，该数据端口被配置为在主机计算机系统和数据存储设备之间传输数据，其中数据存储设备被配置为向主机计算机系统注册为块数据存储设备；非易失性存储介质，所述非易失性存储介质被配置为存储加密的用户内容数据；和加密引擎，该加密引擎连接在数据端口和存储介质之间，并且被配置为响应于来自主机计算机系统的请求而使用加密密钥对存储在存储介质上的加密的用户内容数据进行解密。访问控制器被配置为针对授权设备生成质询；通过不同于数据路径的通信信道来将质询发送到授权设备；通过通信信道从授权设备接收对质询的响应；至少部分地基于该响应来计算加密密钥；以及将加密密钥提供到加密引擎，以对存储在数据存储设备的存储介质上的加密的用户内容数据进行解密。

在一些实施方案中，质询基于椭圆曲线加密。

在一些实施方案中，质询基于数据存储设备的公共密钥。

在一些实施方案中，数据存储设备的公共密钥与私有密钥相关联，该私有密钥在生成公共密钥之后被丢弃。

在一些实施方案中，访问控制器被进一步配置为针对每个质询生成盲值；并且质询基于数据存储设备的公共密钥乘以盲值。

在一些实施方案中，访问控制器被进一步配置为计算盲值的倒数；通过将响应与盲值的倒数相乘来计算加密密钥以确定解锁秘密；以及使用解锁秘密来导出加密密钥。

在一些实施方案中，响应基于私有密钥，该私有密钥存储在授权设备中的安全硬件模块中。

在一些实施方案中，访问控制器被进一步配置为：从授权设备接收证书，该证书包括证书数据；使用证书数据来在数据存储库中查询设备记录；以及基于设备记录来生成质询。

在一些实施方案中，数据存储设备还包括数据存储库，该数据存储库被配置为存储与相应授权设备相关联的条目，每个条目包括与相应授权设备中的一个授权设备相关联的元数据。

在一些实施方案中，元数据使用包含在证书中的加密密钥以加密的形式存储在数据存储库中，该证书由数据存储设备发出并从授权设备接收。

在一些实施方案中，元数据包括相应授权设备中的一个授权设备的标识符。

在一些实施方案中，每个条目包括能够基于响应解密的加密密钥。