技术领域
[0001] 本
发明总的来说涉及硬盘驱动器(HDD)或其它数据存储设备。更具体地说,本发明提供可以在可操作数据存储设备之前通过网络确认的数据存储设备。 背景技术
[0002] 随着新技术不断发展,使用硬盘驱动器和其它数据存储设备越来越普及。虽然以前几乎无一例外地用在计算领域中,但现在也可以在数字音乐播放器、游戏控制台和为数据存储提供可靠和有效场所的其它
电子主设备中找到数据存储设备。数据存储设备对于存储诸如音乐、电子游戏或视频的不同媒体形式尤其有效,在那里,数据存储设备可以用于存储许多媒体文件。
[0003] 在电子主设备内使用数据存储设备可以引起几方面问题。例如,诸如游戏控制台、个人视频记录器(PVR)和闭路
电路机顶盒之类的电子主设备往往使用诸如硬盘驱动器之类的数据存储设备来存储无意在直接所有者(immediate owner)之外广泛分发的
许可内容。内容可能被许可给单个唯一数据存储设备。但是,所有者可能试图违背作为安全维护数据存储设备的内容的既得利益者的主设备制造者和媒体内容所有者意愿地克隆数据存储设备或复制存储在设备上的内容。另一方面,可能销售带有使存储在设备上的数据得到内容保护的特征的数据存储设备。因此,需要采取几个步骤来保证只有应允数据存储设备才可以与主设备一起使用,而不是第三方数据存储设备。
[0004] 在另一个例子中,诸如PVR制造者的主设备制造者可能按成本价或亏本地销售带有最小存储的基本主单元,以便提高市场渗透
力或销售额。然后,可能以补偿基本主单元折扣价的溢价销售存储扩充单元。因此,可能未经制造者许可地用较大容量的数据存储设备调换主设备内的当前数据存储设备来提高主设备的存储容量。为了消除这种担心,制造者可能试图防止第三方销售兼容存储扩充单元或让用户
修改他们的设备来接纳第三方存储扩充单元。另一方面,闭路电视公司可能希望将PVR存储容量作为附件销售给它们的现 有闭路电路服务对象以收取额外
费用。这也需要某种专
门接头来防止非许可驱动器用在主设备中。
发明内容
[0005] 本发明面对硬盘驱动器或其它数据存储设备。更具体地说,本发明提供了可以在可操作数据存储设备之前通过网络确认的数据存储设备。在特定
实施例中,可以实现验证用在主设备中的数据存储设备的方法,以防止数据存储设备或它的内容被非所愿复制或替换。应该认识到,本发明还有许许多多应用。
[0006] 按照本发明的一个方面,数据存储设备包含磁盘;含有从磁盘中读取数据/将数据写入磁盘中的读写头的头组件;配置成控制头组件从磁盘中读取数据/将数据写入磁盘中的
控制器;包含秘密密钥的磁盘安全区,该秘密密钥是包含秘密密钥和公开密钥的一对密码链接密钥之一;以及位于控制器内、包含辅助密钥的
存储器,该辅助密钥用于加密或解码秘密密钥。可替代地,磁盘安全区包含作为对称密钥的秘密密钥。
[0007] 在一些实施例中,磁盘安全区在磁盘的可正常寻址区之外。存储器可以是可以一次性编程的诸如控制器内的熔丝或抗熔丝之类的
只读存储器或一次性写入存储器。辅助密钥可以对称密钥。辅助密钥可以被一个或多个其它数据存储设备共享。辅助密钥可以是数据存储设备特有的。秘密密钥可以在控制器内加密和解密和不会以未加密形式通过任何
数据总线。来自证书管理机构的数字证书可以与秘密密钥一起存储,数字证书包含数据存储设备的公开密钥以及存储设备的唯一标识符,所有这些都用证书管理机构的秘密密钥加密。
[0008] 在特定实施例中,用于媒体应用的主设备包含上述数据存储设备;配置成允许读写
访问数据存储设备的主设备控制器,该主设备控制器被进一步配置成接收存储在数据存储设备上的数据和将数据发送到与主设备连接的输出设备;以及配置成允许在设备控制器与存储设备之间传送数据的通信总线。输入设备可以被配置成为主设备的操作提供输入。 [0009] 按照本发明的另一个方面,数据存储设备包含磁盘;含有从磁盘中读取数据/将数据写入磁盘中的读写头的头组件;配置成控制头组件从磁盘中读取数据/将数据写入磁盘中的控制器;以及位于控制器内、包含秘密密钥的存储 器,该秘密密钥是一对密码链接密钥之一,该对密码链接密钥的另一个是公开密钥。
[0010] 按照本发明的另一个方面,设备管理系统包含主设备;与主设备耦合的数据存储设备,该数据存储设备含有用于将该数据存储设备与其它数据存储设备区分开的唯一标识符;保存已经处在使用之中的有效数据存储设备的列表的服务提供者,该服务提供者从主设备接收唯一标识符和将该唯一标识符与有效数据存储设备列表相比较以确定唯一标识符是否已经处在使用之中;以及用于在主设备与服务提供者之间传送信息的通信连接。 [0011] 在一些实施例中,服务提供者进一步保存唯一标识符已经泄露或被复制的数据存储设备的撤消表。服务提供者进一步保存以前已经向服务提供者注册过或试图注册过的所有数据存储设备的列表。如果来自数据存储设备的唯一标识符与有效数据存储设备列表上的另一个数据存储设备的唯一标识符匹配,则将撤消消息发送到主设备,并且不允许主设备运行该数据存储设备。如果来自数据存储设备的唯一标识符与有效数据存储设备列表上的另一个数据存储设备的任何唯一标识符都不匹配,则将该数据存储设备的唯一标识符加入有效数据存储设备列表中,并将消息发送到主设备,以允许主设备运行该数据存储设备。通信连接的至少一部分通过因特网。
[0012] 按照本发明的另一个方面,确认媒体设备的方法包含:提供与主设备耦合的数据存储设备,该数据存储设备含有将它与其它数据存储设备区分开的唯一标识符;通过主设备将唯一标识符提交给服务提供者;对照处在使用之中的有效设备的列表检验唯一标识符,以确定带有相同唯一标识符的数据存储设备是否已处在使用之中;以及如果带有相同唯一标识符的数据存储设备已处在使用之中,则将撤消消息发送到主设备,并且不允许主设备操作该数据存储设备。
[0013] 在一些实施例中,该方法进一步包含:如果带有相同唯一标识符的数据存储设备未处在使用之中,则将该数据存储设备加入处在使用之中的有效数据存储设备的列表中,并将消息从服务提供者发送到主设备,以允许主设备运行该数据存储设备。该方法可以进一步包含:对照包含唯一标识符已经泄露或被复制的数据存储设备的列表的撤消表检验唯一标识符;以及如果唯一标识符与撤消表中的一个或多个项目匹配,则将撤消消息发送到主设备,并且不允许主设备操作该数据存储设备。服务提供者也是证书管理机构。唯一标识符在通过主设备将唯一标识符提交给服务提供者之前加密。唯一标识符是数据存储设备的序列号。
[0014] 按照本发明的另一个方面,提供设备管理系统,包含:主设备;与主设备耦合的数据存储设备,该数据存储设备含有用于将该数据存储设备与其它数据存储设备区分开的唯一标识符;保存已经处在使用之中的有效数据存储设备的列表的服务提供者,该服务提供者从主设备接收唯一标识符和将该唯一标识符与有效数据存储设备列表相比较以确定唯一标识符是否已经处在使用之中;以及用于在主设备与服务提供者之间传送信息的通信连接,其中,该数据存储设备包含磁盘,含有从磁盘中读取数据/将数据写入磁盘中的读写头的头组件,配置成控制头组件从磁盘中读取数据/将数据写入磁盘中的控制器,包含秘密密钥的磁盘安全区,该秘密密钥是包含秘密密钥和公开密钥的一对密码链接密钥之一,以及位于控制器内、包含辅助密钥的存储器,该辅助密钥用于加密或解码秘密密钥。 [0015] 按照本发明的另一个方面,提供设备管理系统,包含:主设备;与主设备耦合的数据存储设备,该数据存储设备含有用于将该数据存储设备与其它数据存储设备区分开的唯一标识符;保存已经处在使用之中的有效数据存储设备的列表的服务提供者,该服务提供者从主设备接收唯一标识符和将该唯一标识符与有效数据存储设备列表相比较以确定唯一标识符是否已经处在使用之中;以及用于在主设备与服务提供者之间传送信息的通信连接,其中,该数据存储设备包含磁盘,含有从磁盘中读取数据/将数据写入磁盘中的读写头的头组件,配置成控制头组件从磁盘中读取数据/将数据写入磁盘中的控制器,以及位于控制器内、包含秘密密钥的存储器,该秘密密钥是一对密码链接密钥之一,该对密码链接密钥的另一个是公开密钥。
[0016] 按照本发明的另一个方面,提供设备管理系统,包含:主设备;与主设备耦合的数据存储设备,该数据存储设备含有用于将该数据存储设备与其它数据存储设备区分开的唯一标识符;保存已经处在使用之中的有效数据存储设备的列表的服务提供者,该服务提供者从主设备接收唯一标识符和将该唯一标识符与有效数据存储设备列表相比较以确定唯一标识符是否已经处在使用之中;以及用于在主设备与服务提供者之间传送信息的通信连接。
附图说明
[0017] 图1是示出与数据存储设备耦合的主设备的数据存储系统的简化示范图; [0018] 图2是根据本发明一个实施例的、可以用作计算设备内的数据存储设备的硬盘驱动器(HDD)的示范性简化透视图;
[0019] 图3是根据本发明一个实施例的HDD的示范性简化功能方
块图; [0020] 图4是根据本发明一个实施例的、示出在数据存储设备与主设备之间进行通信以建立安全授权的简化处理流程的示范图;
[0021] 图5-7是根据本发明一个实施例的、将秘密密钥存储在不同地方的数据存储设备实现的示范性简化图;
[0022] 图8是根据本发明一个实施例的、主设备与服务提供者通信以核实和注册主设备内的数据存储设备的示范性简化图;以及
[0023] 图9是根据本发明一个实施例的、主设备与服务提供者通信以核实和注册主设备内的数据存储设备的示范性简化
流程图。
[0024] 本发明详述
[0025] 图1是示出与数据存储设备耦合的主设备的数据存储系统的简化示范图。配备了包含数据存储设备100的主设备2。主设备可以是个人计算机、媒体中心个人计算机、游戏控制台、个人视频记录器、闭路电视机顶盒或包括数据存储设备100的其它设备。数据存储设备100可以是硬盘、诸如USB或闪速驱动器的固态存储器件或存储数据的其它设备。数据存储设备100通常包含在主设备2的机壳内。例如,硬盘驱动器可以包含在主设备2的
外壳内。主设备2也可以拥有诸如Windows XP、Linux、Windows CE、Palm、专用
操作系统等,用于操作设备的操作系统。在其它实施例中,数据存储设备100不需要在物理上包含在主设备2内。
[0026] 主设备2也可以与供用户6观看的输出设备4耦合。输出设备可以是电视机、计算机显示器、音乐系统或能够输出来自主设备2的
信号的其它设备。也可以包括遥控器8,以帮助用户6操作主设备2和输出设备4。
[0027] 主设备2可以通过诸如以太网连线或其它线缆之类的物理连接与输出设备4耦合。可替代地,也可以通过无线连接将主设备2与输出设备4耦合。无线连接可以通过包括TCP/IP、802.11、蓝牙(Bluetooth)和无线
电信号(但不局限于这些)的各种不同无线协议建立。在主设备2上也可以出现附加连接,使主设备2可以发送和接收来自外源的数据。例如,CD游戏盘、DVD游戏盘或其它媒体可以与主设备2一起使用,或主设备2可以通过因特网、线缆、卫星或其它连接接收和发送数据。
[0028] 数据存储设备100可以包含可以为用户打开或播放的文件。例如,该文件可以是包括视频游戏数据、记录视频、数字音乐文件、电影或位于数据存储设备100上的其它内容的媒体文件。这个媒体内容可以由内容的创作者或所有者许可只用在特定数据存储设备100内,而任何其它设备不得使用。可以不允许用户将数据存储设备100上的材料传送或复制到另一个媒体上,或可以不允许用户拆卸现有数据存储设备100或用提供诸如更大存储空间之类的不同性能特性的另一个数据存储设备替换现有数据存储设备100。但是,由于用户有可能开发出拆卸和替换数据存储设备100的替代方法,因此适当采取以防止从主设备
2中拆卸数据存储设备100的物理措施可能难以有效实现。但是,验证数据存储设备100的方法可以用于确定是否允许将数据存储设备100用在主设备2中。通过验证主设备2内的数据存储设备100,可以确定适当的数据存储设备100是否正在与主设备2一起使用。 [0029] 图2是根据本发明一个实施例的、可以用作主设备2内的数据存储设备100的硬盘驱动器(HDD)的示范性简化透视图。数据存储设备100可以在物理上包含在主设备2内。
图3是根据本发明一个实施例的HDD的示范性简化功能方块图。如图2所示,HDD100包括含有顶盖103的盘盒200,顶盖103被安装成封住箱状底部102的顶口,箱状底部102可以由例如
铝合金制成。顶盖103可以由例如不锈
钢制成,并且通过扣件扣在带有
密封件(未示出)的底部102上,该密封件的形状像长方形
框架。盘盒200包含
主轴电机(未示出),主轴电机包含例如hub-in三相DC(直流电)
伺服电机。主轴电机将旋转驱动力传递给作为存储媒体的磁盘105。依照HDD100的存储容量要求安装一个或多个单元的磁盘105。将
插件板300附在底部102的底面上。插件板300携带
信号处理电路、主轴电机的驱动电路和如后所述的其它部件。
[0030] 将致动臂106安装在盘盒200内。使致动臂106的中间部分
支撑在底部 102上面,以便它可以绕转动轴107转动。将复合磁头108安装在致动臂106的一端。将VCM(音圈电机)线圈109安装在致动臂106的其余一端。VCM线圈109和
定子110构成VCM111,定子110由永久磁
铁制成和扣在盘盒200上。当VCM
电流流过VCM线圈109时,致动臂106可以移动到磁盘105上的特定
位置。这种运动使复合磁头108执行寻道操作。磁盘105受到驱动,绕主轴电机的主轴旋转起来。当HDD不工作时,磁盘105变成静止。 [0031] 如图3所示,复合磁头单元108可以是ILS(Integrated lead suspension,集成头悬架)(未示出)、包含GMR(巨大磁阻)
传感器的读头155和包含感应型转换器的写头154的组合。当头单元108读数据,写数据,或进行寻道操作时,读头155读取伺服信息。对于读数据操作,读头155还在伺服信息的项目之间读取数据。对于写数据或读数据,致动臂
106在其旋转期间在磁盘105的表面上转动,以便复合磁头单元108执行寻道操作,对磁盘
105上的任何轨道进行扫描。在这种情况下,面向磁盘105的复合磁头单元108的ABS(气承面)因在ABS与磁盘105之间生成的气流而感受到升力。其结果是,复合磁头单元108不断地在磁盘105的表面上升起预定距离。
[0032] 构成复合磁头单元108的读头155和写头154与头IC152电连接头。IC152被安装在致动臂106的转动轴107的侧面上。弯曲线缆113的一端与头IC152连接,以便允许与插件板300交换数据。连接器114附在弯曲线缆113的其余一端上以便与插件板300连接。可以将
温度传感器115安装在连接器114的上表面上,以便测量盘盒200内的温度(磁盘105的
环境温度)。
[0033] 插件板300包括如图3所示的电子线路,它们控制致动臂106的操作和执行与磁盘105有关的数据读写操作。插件板300通过主轴/VCM驱动器159控制磁盘105的旋转和驱动VCM线圈109控制致动臂106的寻道操作。
[0034] HDD控制器150在外部主机(未示出)与磁盘105之间传送数据,从伺服数据中生成位置误差信号(PES),并将有关复合磁头108的位置信息发送到读写控制器151和
微处理器158。主轴/VCM驱动器159驱动VCM线圈109将复合磁头108
定位在特定轨道上。磁头单元108的定位由IC位置转换器156响应来自磁头单元108的信号确定。微处理器
158进一步翻译通过HDD控制器150从外部主机(未示出)发送的命令,并且,指令HDD控制器150执行与该命令
指定的地址有关的数据读写操作。按照HDD控制器150生成的有关复合磁头108的位置信息,微处理器158还将控制信息发送到主轴/VCM 驱动器159,以便执行寻道操作,将复合磁头108定位在特定轨道上。
[0035] 数据存储设备100还拥有在数据存储设备的制造期间创建的唯一秘密密钥和相应公开密钥。秘密和公开密钥以称为公开密钥加密的加密形式使用,其中,密钥的组合用于安全地加密和解密消息。公开和秘密密钥数学相关,但即使给定公开密钥,秘密密钥也不应该是可确定的。秘密密钥受到严密保护,不向任何对方公开,而公开密钥分发给公众和易于获得。利用数据存储设备100的公开和秘密密钥建立数据存储设备与主设备之间的验证将结合图4-7作更详细描述。
[0036] 除了拥有公开和秘密密钥的数据存储设备100之外,还可能存在拥有它自己的一组公开和秘密密钥的证书管理机构。证书管理机构起主设备2和数据存储设备100两者都知道的信赖方的作用。例如,如果主设备2和数据存储设备100两者都由同一个公司颁发,证书管理机构将是两者都知道的信赖方。在制造数据存储设备100时,可以将数据存储设备100的公开密钥与存储设备的唯一标识符并置(concatenate)和利用证书管理机构的秘密密钥加密。这就构成了可以用于帮助不同设备,在这种情况下,数据存储设备100和主设备2利用证书管理机构相互验证的数字证书。数字证书用于
声明包含在证书中的公开密钥的确属于在证书中指出的设备。如果主设备2信赖证书管理机构和可以核实证书管理机构的数字签名,那么,它也可以核实某个公开密钥的确属于在证书中标识的那一个。证书可以与数据存储设备100的唯一公开和秘密密钥一起存储在数据存储设备100中。 [0037] 图4是根据本发明一个实施例的示出在数据存储设备与主设备之间进行通信以建立安全授权的简化处理流程的示范图。处理流程320包括检测主设备的接通状态或其它初始条件的步骤302、将随机消息从主设备发送到数据存储设备的步骤S304、确定数据存储设备是否接收到随机消息的步骤S306、数据存储设备加密消息和将加密消息发送到主设备的步骤S308、由主设备解密加密消息的步骤S310、确定是否接收到正确消息的步骤S312和与主设备成功验证数据存储设备的步骤S314。当然,可以存在其它变化、修改和替代。 [0038] 在步骤302中,让接通状态或其它初始条件得到满足以便启动主设备2和数据存储设备100之间的验证处理。假设主设备2已成功与数据存储设备100耦合。可替代初始条件的例子包括:主设备2检测到的
硬件变化、与诸如因特网之类的外部设备或媒体的连接的建立或主设备2内的内部计时器的 计时的完成,但不局限于这些。用于启动验证处理的一个或几个特定条件可以由主设备2的制造者或设计者选择,并且视使用的特定实现而定,可以随各种主设备而不同。
[0039] 在步骤304中,主设备2将随机消息发送到数据存储设备100。该消息可以是随机生成的数字、短语或主设备2创建的其它随机复杂数据段。使用随机生成短语的优点是第三方不能简单地再次重放以前对验证
请求的响应来达到访问目的。通过从主设备到数据存储设备100、可以是两个设备之间的总线通道的连接发送随机生成消息。例如,第三方可以获得数据存储设备100的公开密钥,但如果没有秘密密钥,它也不能作出适当响应。另外,如果第三方生成新的一对公开和秘密密钥,没有证书管理机构的秘密密钥就不能生成适当的数字证书。
[0040] 在步骤306中,数据存储设备100确定是否已经从主设备2接收到消息。数据存储设备100和主设备2之间的干扰、硬件故障或不良连接都有可能使消息不能适当地从主设备2发送或被数据存储设备100接收。是否接收到消息的确定可以通过
跟踪自在步骤304中发出消息以来经过的时间量和将它与预置超时值相比较来完成。如果自发出无线消息以来经过的时间超过预置超时值,那么,可以重新发送随机消息。
[0041] 在步骤308中,数据存储设备100加密从主设备2接收的随机消息。该加密可以利用使数据存储系统的不同部件可以以前没有访问过共享秘密密钥地安全通信的公开密钥加密来完成。该消息可以利用只有数据存储设备知道的数据存储设备100的秘密密钥加密。然后,将加密消息发送到主设备2。
[0042] 使用随机生成短语的优点之一是第三方不能简单地再次重放以前的响应来达到授权目的。例如,第三方可以通过在数据存储设备100和主设备2之间的通信总线上窃听获取数据存储设备100的公开密钥,但如果没有秘密密钥,它也不能作出适当响应。另外,如果第三方生成新的一对公开和秘密密钥,没有证书管理机构的秘密密钥就不能生成适当的数字证书。
[0043] 在步骤310中,由主设备2解密加密消息。如果证书与加密消息结合在一起使用,利用众所周知的证书管理机构的公开密钥解密证书。将那个解密的结果与数据存储设备100的已知公开密钥相比较,以确认数据存储设备100的身份。利用数据存储设备100的公开密钥进一步解密消息,并且获取结果。在步骤312中,将结果与在步骤304中发送到数据存储设备100的原始数据 相比较。如果数据存储设备100返回不正确消息,主设备2可以在步骤304中将新随机消息重新发送到数据存储设备100。新消息用于重新测试数据存储设备100保持的秘密密钥的有效性。如果接收到正确消息,在步骤314中完成数据存储设备100与主设备2之间的验证。
[0044] 在特定实施例中,可以支持计数器来检验在步骤304中发送消息的次数或像在步骤312中识别的那样发送不正确消息的次数以提高安全性。例如,预编码的设置可以只允许在某个时间间隔内在停止验证处理之前在步骤304中发送固定数量的加密消息。相对地,在中止验证处理之前在步骤312中只可以接受某个数量的不正确解密消息。 [0045] 虽然在图4中例示了示范性验证处理,但也可以使用其它验证处理。例如,可以使用多个加密密钥,或可以与如图4所述的加密方案结合在一起使用秘密密钥密码术。 [0046] 为了实现如图4所示的验证处理流程,可以实现为数据存储设备100存储秘密密钥的安全方法。如果秘密密钥被放在不安全地方或容易泄露,数据存储设备100的身份可以被克隆或复制,从而造成数据存储设备100被未经许可复制。试图将秘密密钥存储在安全地方存在一定难度。例如,理想的解决方案是提供无论如何都不允许提取秘密密钥的抗窜改模块(TRM)但是,冒充的攻击者往往拥有完全不同的各种方法和资源来破坏对秘密密钥的保护,使确保绝对安全的解决方案几乎不可能实现。
[0047] 这个问题的一种解决方案是使攻击者在极大地降低获得单个秘密密钥的利益的同时,只有提高提取成本才能提取秘密密钥,从而在经济上不可行。这样,攻击者的经济利益极大地降低了,从而提高了攻击者将他们的精力花在其它地方的可能性。通过提高提取成本,攻击者的直接成本以资金、材料和时间的形式增加。类似地,通过降低获取单个秘密密钥的利益,攻击者即使在获得密钥之后也只能获得少量利益。下面结合图5-7讨论存储秘密密钥的几种不同方案。
[0048] 图5是根据本发明一个实施例的将秘密密钥存储在数据存储设备内的数据存储设备实现的示范性简化图。例如,图400中的数据存储设备100可以是硬盘驱动器。数据存储设备100包括作为存储媒体的一个或多个磁盘105和硬盘驱动器控制器150。可以将设备的唯一秘密密钥存储在硬盘驱动器控制器150中的只读存储器(ROM)402内。ROM402可以实现成闪速或固态 存储器,因此,即使在电源故障或断电的情况下,也可以使秘密密钥得以保持。各个熔丝或抗熔丝可以被‘烧断’或设置成编码ROM402上的秘密密钥。这就提供了为了读取ROM402的内容需要特殊硬件介入或专门硬盘驱动器
微码知识的安全解决方案。
[0049] 数据存储设备通常在一个接着一个地生成多个单元的工厂中成批地或大量地制造出来,以优化生产设备的吞吐量和减少设备之间的故障量。因此,像一系列熔丝和抗熔丝那样实现诸如每个ROM402内的每个秘密密钥的设置之类的改变可能显得有点昂贵。密钥可以在数据存储设备制造期间在制造了硬盘控制器150之后分别存储到每个硬盘控制器150中。另外,数据存储设备100上非易失性存储量也增加了,从而使数据存储设备100的总成本相应地增加。尽管相对更昂贵一些,但这种手段提供了更高层次的安全和保护。 [0050] 图6是根据本发明一个实施例的将秘密密钥存储在数据存储设备内的数据存储设备实现的示范性简化图。例如,图500中的数据存储设备100可以是硬盘驱动器。数据存储设备100包括作为存储媒体的一个或多个磁盘105和硬盘驱动器控制器150。可以将设备的秘密密钥存储在硬盘驱动器控制器150中的ROM或其它存储场所中。但是,图6中的秘密密钥是公用密钥,这意味着成批数据存储设备100共享秘密密钥。由于多个数据存储设备将共享同一个秘密密钥,这种实现的优点是将共享秘密密钥放在数据存储设备100内的成本降低了。但是,缺点之一是,如果一个公用秘密密钥被偷了,共享同一个秘密密钥的所有数据存储设备都泄露了。由于可以为不同批次数据存储设备实现不同的公用密钥,这种
风险可以得到部分减轻。这种技术也提高了制造数据存储设备的成本,但比上面提供设备专有标识的技术更便宜。这种实现未顾及设备专有标识,只要数据存储设备100属于某类或某批数据存储设备就可以了。
[0051] 图7是根据本发明一个实施例的将秘密密钥存储在数据存储设备内的数据存储设备实现的示范性简化图。例如,图600中的数据存储设备100可以是硬盘驱动器。数据存储设备100包括作为存储媒体的一个或多个磁盘105和硬盘驱动器控制器150。在制造硬盘驱动器150期间将辅助密钥存储在硬盘驱动器150上。辅助密钥用于解密和加密存储在磁盘105的保留区中的秘密密钥。例如,辅助密钥可以是每个数据存储设备特有的密钥,或可以被一个或多个设备共享。ROM或闪速ROM可以用于存储辅助密钥,或辅助密钥 可以存储在控制器内的熔丝或抗熔丝中。对于利用闪速ROM的驱动器,辅助密钥可以是每个数据存储设备特有的密钥,另一方面,对于利用厂家掩模ROM的数据存储设备,生成的每批数据存储设备将共享相同的辅助密钥。由于为了读取ROM的内容需要专门驱动器微码知识或硬件介入,这将使人们难以获得秘密密钥。
[0052] 辅助密钥的一种示范性实现像用在与公开密钥密码术不同的对称或秘密密钥密码术中的辅助密钥那样。在秘密密钥密码术中,将单个密钥用于加密和解密消息或相关信息,而不是将公开和秘密密钥用于解密。辅助密钥可以是在一起制造的一批数据存储设备之间共享,或可以在同一型号的所有数据存储设备之间共享的公用辅助密钥。另一方面,辅助密钥可以是数据存储设备100特有的。即使获得辅助密钥也不允许你访问唯一秘密密钥。辅助密钥只由硬盘驱动器150用于加密和解密数据存储设备100的秘密密钥,并不是非常易受攻击的。
[0053] 数据存储设备100的秘密密钥存储在数据存储设备100的可正常寻址区之外的磁盘105的保留区或扇区602中,并且用辅助密钥加密。秘密密钥保护磁盘105的表面免遭可以改变数据存储设备100内的
电路板或IC芯片和读取保留区的攻击者的攻击。秘密密钥与加密和解密秘密密钥的辅助密钥一起使用的组合使防止攻击者攻击的附加廉价保护层成为可能。现在,通过使用唯一秘密密钥,即使秘密密钥泄露了或以破坏许可协议的方式使用,也可以分别识别或撤消各个数据存储设备。
[0054] 图8是根据本发明一个实施例的主设备与服务提供者通信以核实和注册供主设备使用的数据存储设备的示范性简化图。例如,如果秘密或公开密钥对数据存储设备100的加密被破坏了,可以使用撤消过程,从而使多个数据存储设备100不能同时使用单个泄露秘密密钥。这样,克隆或复制数据存储设备100的经济利益会显著降低。图8也可以与图9结合在一起得到更适当理解,图9是根据本发明一个实施例的主设备与服务提供者通信以核实和注册主设备内的数据存储设备的示范性简化流程图。流程图800包括将数据存储设备信息从主设备发送到服务提供者的步骤802、对照撤消表检验数据存储设备信息的步骤804、对照服务提供者上的有效设备列表检验数据存储设备信息的步骤806、将数据存储设备信息加入有效设备列表中的步骤808、将消息发送到主设备以便允许运行数据存储设备的步骤810、将撤消消息发送 到主设备的步骤812和不允许进一步运行数据存储设备的步骤814。当然,可以存在其它变化、修改和替代。
[0055] 包含数据存储设备100的主设备2拥有与服务提供者704的连接702。连接702可以是诸如以太网连线、同轴线缆或其它连线的物理连接,或通过包括TCP/IP、802.11、蓝牙和无线电信号(但不局限于这些)的各种不同无线协议建立的无线连接。例如,连接702可以穿过因特网或允许在数据存储设备100和服务提供者702之间形成连接的其它交换站。服务提供者702是保存当前处在使用之中的有效设备的列表706的第三方。被撤消设备的撤消表708也可以由服务提供者706保存。例如,撤消表可以列出已经泄露或以前检测到复制驱动器的驱动器。服务提供者704可以数据存储设备100的制造者、主设备2的制造者或订立合同向数据存储系统700提供进一步验证功能的第三方。服务提供者也可以是证书管理机构。
[0056] 在开始处理流程800之前,可以完成图4中的处理流程320,以便与数据存储设备100验证主设备2。尽管在步骤314中完成了数据存储设备100与主设备2之间的验证,但在允许操作主设备2和/或数据存储设备100之前,可以适当采取要求与服务提供者704进行网络确认的附加防范措施。适当采取这些防范措施是为了防止操作拥有与其它数据存储设备相同的数据存储设备信息的复制数据存储设备。处理流程800也可以利用各种条件启动,这些条件包括主设备2中数据存储设备100的替换、主设备2的最初用法或周期性地重申主设备2内的数据存储设备2的有效性,但不局限于这些。
[0057] 在步骤802中,主设备2通过连接702将数据存储设备信息发送到服务提供者704。由于数据存储设备100可能拥有,也可能不拥有将数据发送到除主设备2之外的外方的能力,所以主设备2通常用于发送信息。发送的数据存储设备信息可以包含用于将每个数据存储设备与其它数据存储设备区分开的标识信息。例如,数据存储设备信息可以是数据存储设备100的唯一序列号或加密形式的数据存储设备100的唯一秘密密钥,或其它区分信息。数据存储设备100的唯一秘密密钥可以由服务提供者704解密,随后进行验证。
数字证书也可以与秘密密钥一起发送,数字证书由证书管理机构颁发,并且由利用证书管理机构的秘密密钥加密的数据存储设备的公开密钥组成。如果服务提供者404未接收到信息,可以进行数据的重新发送,直到满足预置超时条件或服务提供者704成功地接收到数据。
[0058] 在步骤804中,服务提供者704确定从主设备2接收的数据存储设备信息是否在以前撤消数据存储设备的撤消表708中。撤消表708可以包括标识以前被注册成复制或泄露设备的数据存储设备的数据存储设备信息的列表。撤消表708可以通过
软件自动保存或由系统管理者修改。如果数据存储设备信息与撤消表上的数据存储设备信息匹配,执行步骤812和814。否则,执行步骤806。
[0059] 在步骤806中,将数据存储设备信息与有效设备列表706相比较。服务提供者704保存处在使用之中的有效数据存储设备的列表,并且对照那个列表检验数据存储设备信息,以确定数据存储设备100是否在两个不同地方得到使用。如果这是真的,数据存储设备100可以被克隆,要不然被复制,这些驱动器之一或两者可能违反了数据存储设备100或主设备2的许可协议。如果发生这种情况,执行步骤812和814。否则,执行步骤808和810。 [0060] 服务提供者704可以存储除有效数据存储设备列表之外的其它附加信息。例如,服务提供者可以与主设备使用的因特网协议(IP)地址一起,保存以前已经向服务提供者
704注册过或试图注册过的所有数据存储设备的日志。这样,服务提供者704可以将撤消表
70和有效设备列表706的功能组合在一个列表中。例如,视服务提供者704存储的列表的具体实现而定,可以将步骤804和806组合成单个步骤。
[0061] 如果从主设备2发送的数据存储设备信息与撤消表708或有效设备列表706上的任何数据存储设备都不匹配,执行步骤808。将数据存储设备信息加入有效设备列表706中,因此向服务提供者704注册了数据存储设备100。在这个注册之后,在步骤810中,将确认信息从服务提供者70发送到主设备2,允许运行数据存储设备100。在步骤810之后,可以启
用例如像与注册
服务器的因特网连接或下载标记材料或媒体那样的附加功能。 [0062] 如果从主设备2发送的数据存储设备信息与撤消表708或有效设备列表706上的任何数据存储设备匹配,执行步骤812。将撤消消息从服务提供者704发送到主设备2,通知主设备2数据存储设备100处在被拒绝状态。在步骤814中,不允许运行主设备2中的数据存储设备100。例如,不能让主设备2访问或可以封
锁存储在数据存储设备100上的数据,直到服务提供者704可以达到成功确认状态或采取了其它纠正动作。可以另外采取其它步骤,以便进一步限制数据存储设备100的操作。例如,可以由证书管理机构撤消数 据存储设备100的数字证书,从而防止任何主设备2操作数据存储设备100。 [0063] 应该明白,上面的描述是例示性的,而不是限制性的。通过查看上面的描述,许多实施例对于本领域的普通技术人员来说都是显而易见的。因此,本发明的范围不是参照上面的描述来确定,而应该参照所附
权利要求书及其等效物来确定。
