[发明专利]经由计算机网络对存储器装置的控制的批次转移

权利要求书

1.一种方法，其包括：

通过服务器系统建立与客户端计算机系统的安全认证连接；

在所述服务器系统中经由所述连接从所述客户端计算机系统接收具有批次识别符的请求，所述批次识别符配置于所述服务器系统中以识别多个存储器装置的批次；

基于存储于所述服务器系统中的数据而确定所述客户端计算机系统有资格控制所述批次中的所述多个存储器装置；和

通过所述连接从所述服务器系统将对所述请求的响应传输到所述客户端计算机系统，所述响应含有用于所述批次中的每一相应存储器装置的控制数据，所述控制数据是至少基于与所述相应存储器装置相关联地存储于所述服务器系统中的加密密钥，其中所述客户端计算机系统将使用所述控制数据将具有第一数字签名的命令提交到所述相应存储器装置，所述相应存储器装置在执行所述命令之前验证所述第一数字签名。

2.根据权利要求1所述的方法，其中所述服务器系统包含密钥管理服务器和存取控制服务器；所述密钥管理服务器存储使所述批次识别符与所述多个存储器装置的识别符相关联的数据但不存储使所述批次识别符与所述客户端计算机系统的识别符相关联的数据；所述存取控制服务器存储使所述批次识别符与所述客户端计算机系统的所述识别符相关联的数据但不存储使所述批次识别符与所述多个存储器装置的识别符相关联的数据；且在所述相应存储器装置中执行时，所述命令使得所述相应存储器装置激活所述相应存储器装置的安全特征，用第二加密密钥替换第一加密密钥，或其任何组合。

3.根据权利要求2所述的方法，其中所述第一数字签名应用于从所述客户端计算机系统到所述相应存储器装置的请求中的第一消息；且所述第一消息包含所述命令和第一加密随机数。

4.根据权利要求3所述的方法，其中所述第一数字签名包含由所述第一消息产生的基于散列的消息认证码HMAC和存储于所述相应存储器装置和所述服务器系统两者中的加密密钥。

5.根据权利要求4所述的方法，其中所述控制数据包含所述加密密钥。

6.根据权利要求4所述的方法，其中所述控制数据包含所述第一加密随机数和所述第一数字签名。

7.根据权利要求3所述的方法，其中所述控制数据包含加密密钥，所述加密密钥可用于验证应用于由所述相应存储器装置产生的标识数据上的第二数字签名。

8.根据权利要求3所述的方法，其进一步包括：

通过所述服务器系统确定所述相应存储器装置的标识数据；

基于所述标识数据的所述确定而计算会话密钥；

其中在所述客户端计算机系统接收所述控制数据之后，所述相应存储器装置将响应于来自所述客户端计算机系统的请求而独立于所述服务器系统产生所述标识数据；且

其中所述控制数据可由所述客户端计算机系统使用以验证由所述相应存储器装置产生的所述标识数据中的第二数字签名。

9.根据权利要求8所述的方法，其中由所述相应存储器装置产生的所述标识数据包含第二消息和使用所述相应存储器装置的秘密加密密钥应用于所述第二消息上的所述第二数字签名；所述第二消息包含所述相应存储器装置的唯一识别符、来自配置于所述相应存储器装置中的计数器的值和第二加密随机数；且从所述客户端计算机系统到所述相应存储器装置的对所述标识数据的所述请求包含在对具有所述批次识别符的所述请求的所述响应中接收到的所述第二加密随机数。

10.根据权利要求9所述的方法，其中所述控制数据包含由所述服务器系统产生的所述第二数字签名的版本。

11.根据权利要求9所述的方法，其中所述第一数字签名使用所述会话密钥或与所述相应存储器装置的所述唯一识别符相关联地存储于所述服务器系统中的加密密钥或其任何组合来产生。

12.根据权利要求11所述的方法，其中所述控制数据包含所述第一数字签名。