信息科技的快速发展使得信息的散布与取得更加的方便，而如何保护数字数据不被任意的复制也成为一个极受重视的问题；到目前为止已经有许多保护数字数据的技术被提出，较为常见的包括水印(Water Marking)以及加密技术，例如中国台湾专利核准公告号I307053的“数字水印自动加载系统及方法”提出了一种对受到数字版权管理(Digital Rights Management，以下简称DRM)保护的电子文件加入水印的打印技术；另外在中国台湾专利公开号200727656的“文件自动加密系统及方法”，则揭露了一种利用加密方法对数字数据进行保护的技术。以上这两种技术完全是利用计算机软件的技术就能实现对数字数据的保护，换言之就是一种与计算机硬件无关的数字数据保护技术。
支持通用序列总线(Universal Serial Bus，USB)的可携式储存装置，例如USB随身碟(Flash Disk)被发明以来，人们可以将数字数据储存其中随身携带，并且可与各种具有USB接口的计算机连接进而存取USB随身碟中的数据。使用随身碟来携带数字数据虽然方便，但是一般的USB随身碟并没有防止他人任意存取或是复制其中的数字数据的功能，保密能力不足，在已公告的中国台湾新型专利公告号M245546“具有光学式指纹辨识系统的随身碟结构”，提出了一种结合了光学式指纹辨识系统的随身碟，以增加使用的安全性。
为了解决具有智能财产权的数字文件容易被侵犯的问题，另外也可利用数字版权管理(DRM)技术来加以保护，DRM是一种保护多媒体内容免受未经授权的播放和复制的方法。其提供了一种机制，数字内容的提供者用以保护其私有音乐或其它数据免受非法复制和使用。这项技术通过对数字内容进行加密和附加使用规则而对数字内容进行保护，其中，可借由使用规则来判定用户是否符合存取或播放的资格。DRM虽然可以保护多媒体内容，不过需要将客户的数字数据进行DRM格式的转换，若是客户需要将数字数据复制在不同计算机中，另外的计算机也需要能够读取DRM格式的软件，换言之利用DRM技术保护的数字数据通常要搭配使用特定的软件来读取受到DRM保护的数字数据或是文件，对于数字数据传输的使用便利性则大打折扣。

为了解决可携式储存装置中的数字数据容易被任意复制的问题，本发明提出了一种数字数据的保护方法，利用具有可规划和读写隐藏扇区及利用密码开关保护扇区的控制芯片的可携式储存装置和一安全管理系统的配合，达到保护可携式储存装置中所储存的数字数据不被任意复制的功效。
本发明所揭露的方法，基本上包括下列步骤：
准备一种可携式储存装置，其中具有一隐藏扇区、一保护扇区，以及一可规划和读写隐藏扇区以及使用密码开关保护扇区的控制芯片；
将被保护的数字数据存入隐藏扇区；
提供一安全管理系统并在计算机中执行此安全管理系统；
当可携式储存装置被插入计算机时由安全管理系统对可携式储存装置的控制芯片的辨识码进行验证；
在可携式储存装置通过验证时开启并且初始化保护扇区；
将隐藏扇区中被选中要存取或是执行的数字数据复制至保护扇区，以安全管理系统存取或是执行保护扇区中的数字数据，再对保护扇区加锁保护；以及
在数字数据使用结束后，由安全管理系统清空保护扇区中的数字数据然后关闭保护扇区。
本发明所提出的方法还包括：拦截计算机操作系统中的操作信号，包括键盘、鼠标的操作信号和开启工作管理员的事件，以便在对可携式储存装置中的数字数据的存取过程中保证数字数据的安全。
本发明所提出的方法还包括：对储存至隐藏扇区的数字数据进行加密的步骤，使得隐藏扇区中的数字数据无法直接进行存取或执行。
为了解决可携式储存装置中的数字数据容易被任意复制的问题，本发明提出了一种数字数据的保护装置，利用一种具有可规划和读写隐藏扇区及开关保护扇区的控制芯片的可携式储存装置和一安全管理系统的配合，达到保护可携式储存装置中所储存的数字数据不被任意复制的功效。
本发明所提出的装置，包括：
一可携式储存装置，是一种可以储存数字数据并且与计算机连接的储存装置，具有一隐藏扇区、一保护扇区，以及一可规划和读写隐藏扇区以及使用密码开关保护扇区的控制芯片，控制芯片具有一可供辨识的辨识码并且提供一种能够控制及管理隐藏扇区和保护扇区的开发接口，用以进行数字数据的存取操作；
一安全管理系统，包含有多个不同的软件组件，执行于计算机中并通过可携式储存装置中的控制芯片所提供的开发接口对可携式储存装置的隐藏扇区和保护扇区中的数字数据进行存取或执行的操作。
由上述本发明所提出的方法及装置，将可获致以下的几项功效，分别为：
防止被保护的数字数据被任意的复制：通过本发明所提出的保护方法及装置，可以避免要被保护的数字数据遭到他人任意的复制或是侵害。
可以在多部计算机中使用：若使用者在第二地的计算机中有安装本发明的安全管理系统，且使用安全管理系统所认可的可携式储存装置，使用者可在第二地计算机设备中，利用安全管理系统直接存取或执行可携式储存装置中被保护的数字数据，而且在使用的过程中通过本发明的方法及装置保护的数字数据不会有外泄的疑虑。
可以方便地在不同的计算机中使用：即使与本发明所提出的可携式储存装置连结的计算机中并未预先安装有本发明的安全管理系统，也能通过随插即用(Plug and Play)的技术，可以将本发明中的安全管理系统依使用者需求，而决定是否要将安全管理系统自动安装于当前的计算机中。
以下结合附图和具体实施例对本发明进行详细描述，但不作为对本发明的限定。

图1为本发明的保护方法的一较佳实施例步骤流程图；
图2为本发明的保护方法的另一较佳实施例步骤流程图；
图3为本发明的保护方法的另一较佳实施例步骤流程图；
图4为本发明的保护装置的一较佳实施例图；
图5为本发明的安全管理系统的另一较佳实施例；
图6为本发明的保护装置的另一较佳实施例图。
其中，附图标记
10可携式储存装置
11控制芯片
12隐藏扇区
13保护扇区
14普通扇区
20安全管理系统
20a自动安装安全管理系统的可执行文件
21主管理程序
210操作接口
22硬件验证器
23隐藏扇区数字数据存取器
24保护扇区切换器
25文件传输器
26文件数据库
27信号拦截处理器
30计算机

下面结合附图对本发明的结构原理和工作原理作具体的描述：
本发明所揭露的方法如图1所示，基本上包括下列的步骤：
A.准备一种可携式储存装置，其中具有一隐藏扇区和一保护扇区，以及一可规划和读写隐藏扇区并且能使用密码开关保护扇区的控制芯片；
B.将被保护的数字数据(以下简称为数字数据)储存于隐藏扇区；
C.提供一安全管理系统并在计算机中执行此安全管理系统；
D.当可携式储存装置被插入计算机时由安全管理系统对可携式储存装置的控制芯片进行验证；
E.在可携式储存装置通过验证时开启并且初始化保护扇区；
F.将隐藏扇区中被选中要存取或是执行的数字数据复制至保护扇区，以安全管理系统存取或是执行保护扇区中的数字数据，再对保护扇区加锁保护(意即关闭保护扇区)；以及
G.在数字数据使用结束，由安全管理系统清空保护扇区中的数字数据然后关闭保护扇区。
在本发明中所称的数字数据意指以数字格式储存的各种数据、文件、程序或是可执行文件，有些数字数据可以被存取如资料或文件，有些可以被执行或是使用如程序和可执行文件。
本发明所提出的方法的另一实施例(见图2)，还包括：在安全管理系统运行的过程中拦截并且禁止计算机操作系统中有关复制(Copy)或是剪切(Cut)等操作信号的步骤(H)，例如键盘、鼠标的操作信号和开启工作管理员的事件，以便在对可携式储存装置中的数字数据的存取过程中保证数字数据的安全。
本发明所提出的方法的较佳实施例之一，前述的步骤B还包括：对储存至隐藏扇区的数字数据进行加密的步骤，使得隐藏扇区中的数字数据无法直接进行读取或执行。因此，对于隐藏扇区中已加密的数字数据而言，此一较佳实施例的完整步骤如图3示，其中为了便于区隔本实施例与图1的较佳实施例步骤的些微差异，特别将图3中有差异的步骤顺序标以数字1表示之：
A.准备一种可携式储存装置，其中具有一隐藏扇区和一保护扇区，以及一可规划和读写隐藏扇区并且能使用密码开关保护扇区的控制芯片；
B1.将被保护的数字数据进行加密(encrypt)然后储存于隐藏扇区；
C.提供一安全管理系统并在计算机中执行此安全管理系统；
D.当可携式储存装置被插入计算机时由安全管理系统对可携式储存装置的控制芯片进行验证；
E.在可携式储存装置通过验证时开启并且初始化保护扇区：
F1.将隐藏扇区中被选中要存取或是执行的数字数据复制至保护扇区并且进行解密(decrypt)，以安全管理系统存取或是执行保护扇区中的数字数据，再对保护扇区加锁保护；以及
G.在数字数据使用结束，由安全管理系统清空保护扇区中的数字数据然后关闭保护扇区。
为了确保可携式储存装置中的数字数据的安全，本发明的安全管理系统在被使用者关闭之前，安全管理系统还会再一次确认在保护扇区中的数字数据皆已被清空，才会结束安全管理系统。
本发明所提出的方法的另一实施例，还包括：
I.在隐藏扇区中建立一个文件数据库，用以记录被储存至隐藏扇区中被保护的数字数据；以及
II.建立一个能与安全管理系统通讯的操作界面(interface)，这个操作界面可调阅文件数据库中所记录的信息，并且可供使用者选取数字数据对被选中的数字数据进行存取或执行的操作。
本发明所提出的方法的较佳实施例，还包括：
C1.在可携式储存装置中建立一普通扇区，此一普通扇区能够在可携式储存装置与计算机连结时被计算机的操作系统发现并且读取其中的数据；
C2.将安全管理系统封包为一自动安装(Auto Installing)的可执行文件，储存于普通扇区；以及
C3.在可携式储存装置与计算机连接时，提示使用者一安装选项以决定是否要将安全管理系统自动安装于计算机中。
因此，对于支持即插即用(Plug and Play)的计算机操作系统而言，我们可以利用具有前述控制芯片的USB随身碟作为前述的可携式储存装置来实现本发明的方法，特别是一些试用版的软件可以利用本发明的方法预先储存于USB随身碟的隐藏扇区，就能在不同的计算机中使用受到本发明的方法保护的试用版软件，具备了携带使用方便而且不虞被他人任意复制的功效。
本发明所提出的装置如图4所示，包括：
一可携式储存装置10，是一种可以储存数字数据并且与计算机30连接的可携式储存装置10，具有一隐藏扇区和一保护扇区，以及一可规划和读写隐藏扇区以及使用密码开关保护扇区的控制芯片，控制芯片11具有一可供辨识的辨识码并且提供控制隐藏扇区12和保护扇区13的开发接口(开发接口是由控制芯片11的制造者提供)，用以进行数字数据的存取操作；
一安全管理系统20，是为多个不同的软件组件的集合，这些软件组件执行于计算机30中并且依据下列的步骤，通过可携式储存装置10中的控制芯片11对可携式储存装置10的隐藏扇区12和保护扇区13中的数字数据进行存取或执行的操作，所述的步骤包括：
1、当可携式储存装置10被插入计算机30时对可携式储存装置10的控制芯片11进行验证；
2、在可携式储存装置10通过验证时开启并且初始化保护扇区13；
3、将隐藏扇区12中被选中要存取或是执行的数字数据复制至保护扇区13，再以安全管理系统20存取或是执行保护扇区13中的数字数据，然后关闭保护扇区13；以及
4、在数字数据使用结束，由安全管理系统20清空保护扇区13中的数字数据然后关闭保护扇区13。
具体而言，可携式储存装置10以USB随身碟为佳，其它如USB移动硬盘(USB Hard Disk)或是类似的可携式储存装置10亦可。以窗口操作系统(Windows Operation System)为例，可携式储存装置10的隐藏扇区12不提供让窗口操作系统识别的数据，对隐藏扇区12的存取操作必需通过控制芯片11才能完成。
而保护扇区13则与一般磁盘驱动器的扇区型别相同，在本发明的另一较佳实施例(见图6)，还可以将保护扇区13分割为两块扇区，其中一个预设为保护扇区13，另一者为普通扇区14再利用一切换密码用来切换保护扇区13和普通扇区14的可擦写状态。例如：若A扇区为保护扇区13，B扇区则作为普通扇区14，在一般状况下，控制芯片11仅提供B扇区的硬件信息供计算机30的操作系统识别，如果安全管理系统将B扇区切换为保护扇区13之后，控制芯片11就会更新硬件信息，仅提供A扇区的硬件信息供计算机30的操作系统识别。
请参阅图4，安全管理系统包括下列多个软件组件，分别为：
一主管理程序21，主管理程序21基本上是安全管理系统20的核心，管理并协同其余的该些软件组件完成前述该安全管理系统20所执行的步骤，主管理程序21还提供使用者一个操作界面210(interface)，使用者可以通过这个操作界面210对可携式储存装置10中的数字数据进行存取操作或是选取要执行的程序或是可执行文件；在安全管理系统20中的所有软件组件都会与主管理程序21沟通并确认结果之后才进行后续步骤。主管理程序21会管理各软件组件的目前状态及代办程序，使得每个软件组件不会在执行中互相冲突；
一硬件验证器22，用以监视任何可携式储存装置10与计算机30连接的事件，并且验证连接至计算机30的可携式储存装置10是否为认可的可携式储存装置10，具体的实现方式是通过控制芯片11的应用接口(应用接口是由控制芯片11的制造者提供)对控制芯片11进行验证，验证的信息可是控制芯片11内建的识别码或是型号等信息，如果可携式储存装置10的控制芯片11是主管理程序21所认可的硬件，硬件验证器22会将验证结果传送至主管理程序21；以USB随身碟为例，在主管理程序21开启之后，任何可携式储存装置10通过USB接口与计算机30连接的事件，皆会被主管理程序21通过调用计算机操作系统(如窗口操作系统)的事件记录器中的信息加以捕捉并且转发给硬件验证器22进行验证确认；
一隐藏扇区数字数据存取器23，通过控制芯片11所提供的应用接口以及一预设的隐藏扇区密码(或称为金钥)对隐藏扇区12进行初始化，完成初始化之后隐藏扇区数字数据存取器23会将结果告知主管理程序21，主管理程序21在确认初始化完成之后才会对隐藏扇区12进行数字数据的存取操作；由于数字数据存放于隐藏扇区12中必为二进制数据，若是要保护的数字数据为美国国家信息交换标准代码(American Standard Code for Information Interchange，以下简称ASCII)格式，则这个隐藏扇区数字数据存取器23会进行ASCII与二进制(Binary)数据的转换以利隐藏扇区12的数字数据存取操作；
一保护扇区切换器24，通过控制芯片11提供的应用接口，利用一预设的保护扇区密码对保护扇区13进行加锁/解锁的切换，并将切换结果告知主管理程序21，主管理程序21在确认切换完成后才会进行后续处理，若是数字数据为可执行的文件，在需要执行这个可执行的文件时，主管理程序21会先将可执行的文件复制至保护扇区13后执行，然后以保护扇区密码关闭保护扇区13以免被使用者检视到；
一文件传输器25，负责执行数字数据的复制、搬移及清除的操作，并且在完成任何操作之后告知主管理程序21，以便主管理程序21在确认完成后进行后续的处理，文件传输器25负责隐藏扇区12的文件传输，保护扇区13的文件传输以及其它指定路径下的文件传输，而所指的文件传输可以是前述数字数据或是文件的复制、搬移及清除的任一种操作，文件传输器25会在各指定路径中确保文件传输完整以及离开时无文件残留；以及
一文件数据库26，可以记录被储存于可携式储存装置10之中的数字数据的清单及其路径，可供主管理程序21进行数字数据的管理与统计分析的利用，而使用者也可以通过主管理程序21所提供的操作界面210调阅文件数据库26中所记录的信息，进而对数字数据进行存取或执行的操作。
本发明所提出的安全管理系统20的另一较佳实施例，还包括有一信号拦截处理器27(见图5)，用以拦截并禁止计算机操作系统中有关复制或是剪贴的操作信号，包括键盘、鼠标的操作信号和开启工作管理员的信号，以便在对可携式储存装置10中的数字数据的存取过程或是文件传输过程中保证数字数据的安全。较佳的实施例中有关鼠标信号的部分，信号拦截处理器可拦截鼠标的右键信号，而键盘信号部分则可拦截ctrl+x及ctrl+c的信号，以防止使用者进行数据选取及复制的动作。除了鼠标及键盘信号的拦截外，为了保护可执行文件(.exe)执行过程中的保密性，工作管理员中执行绪的信息也必须被隐藏，因此信号拦截处理器27也会在被保护的程序或是可执行文件的执行过程中将工作管理员锁住以避免执行绪信息外泄。
关于将被保护的数字数据储存于隐藏扇区12的方法，是由主管理程序21命令隐藏扇区数字数据存取器23加以实现的，假设被保护的数字数据为可执行文件(.exe)，主管理程序21会将这些文件进行加密处理，使得被保护的数字数据无法直接被读取或执行，接着由主管理程序21向隐藏扇区数字数据存取器23发出隐藏扇区12的初始化及储存的操作命令，将被保护的数字数据储存至隐藏扇区12中，并在文件数据库26中记录之。
现在以一可执行文件为例说明如何利用本发明的方法及装置保护以及执行此一可执行文件的具体过程：
当所需保护的数字数据为可执行文件，主管理程序21先将此可执行文件进行加密处理，使得他人无法直接进行读取或执行，接着由主管理程序21向隐藏扇区数字数据存取器23发出隐藏扇区12的初始化及储存的命令，将加密后的可执行文件储存至隐藏扇区12中，并在文件数据库26中记录。
当使用者需要执行隐藏扇区12中已加密的可执行文件时，主管理程序21会先利用保护扇区切换器24将保护扇区13开启，确定开启后确认可执行文件在文件数据库26中的记录，使用隐藏扇区数字数据存取器23初始化隐藏扇区12，从隐藏扇区12读取已加密的可执行文件，复制至保护扇区13中进行解密，当已加密的可执行文件解密完成且存放于保护扇区13，主管理程序21即能直接执行此可执行文件然后关闭保护扇区13。可执行文件执行过程中不会受到保护扇区13已关闭的干扰。
当使用者关闭可执行文件或结束主管理程序时，主管理程序21先通过保护扇区切换器24开启保护扇区13，由文件传输器25确认是否需要传输文件，并清空保护扇区13，接着主管理程序21关闭保护扇区13，并视需求决定是否需要将相关的数字数据存放回隐藏扇区12。
本发明所提出的保护装置的另一较佳实施例，如图6所示，其中的可携式储存装置10还具有普通扇区14，此普通扇区14能够在可携式储存装置10与计算机30连结时被计算机30的操作系统发现并且读取其中的数据；而在普通扇区14中还具有一被封包为自动安装(Auto Installing)安全管理系统的可执行文件20a，因此当可携式储存装置10与支持随插即用的计算机30连接时，会提示使用者一安装选项以决定是否要将安全管理系统20自动安装于计算机30中。
当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。