备份存储在安全存储设备中的数字内容的制作方法

专利名称：备份存储在安全存储设备中的数字内容的制作方法
技术领域：
本发明大体上涉及存储设备，并且更具体地，涉及用于将一个安全存储设备 (“SSD”)的诸如保护多媒体内容(例如音频、电影和游戏)的数字版权管理(“DRM”)之 类的安全数字数据直接或经由第三方备份到另一 SSD中的方法，以及使用该数据备份方法 的系统。
背景技术：
存在多种类型的保护机制来阻止回放数字内容所要求的安全数据的未授权复制。 要求安全数据操作的数字内容在下文中被称为“受保护数字数据”或者简称为“受保护数 据”。支配(govern)回放数字内容的方式的使用规则是示范性的安全数据。一些保护机制 经常被宽松地称为或者被视为一种类型的数字版权管理(“DRM”)。导致了相当显著的效 果以停止将数字内容从一个电子设备复制到另一个。例如，与iPod设备一起使用的存储设 备包括禁止将音乐或音视频内容从一个iPod设备传输到另一个的保护机制，以阻止受保 护数据的未授权复制。目前，保护机制还阻止将一个SSD的受保护数据备份到另一 SSD。这 意味着SSD的整个数字内容不能被备份到另一 SSD，因为SSD的数字内容即便被拷贝到另一 SSD,由于没有与该数字内容一起拷贝到该另一 SSD的相关安全数据，仍不能在该另一 SSD 上回放。闪存存储器设备是例子SSD。SIM( “用户标识模块”)卡、megaSIM卡和通用串行 总线(“USB”)闪存驱动(“UFD”)是示范性的闪存存储器设备。SIM卡安全地存储用于识 别用户的服务-用户密钥数据。SIM卡允许用户通过简单地从一个电话中去除SIM卡并将 它插入到另一电话中来改变电话。目前，通过被称为“信任闪存(Trusted Flash) ”的技术来保护存储在闪存存储设 备中的数字内容。“信任闪存” (TF)是使得消费者可以购买闪存存储卡上的诸如音乐、电影 和游戏之类的多媒体内容以在移动电话、笔记本计算机、PDA和其他可兼容设备中使用的数 据存储技术。音乐制作商和电影工作室以及其他多媒体内容发起商和提供商更希望在被信任 的产品(在这里也被称为“支持设备”)上发布多媒体内容，因为TF技术提供了他们所要求 的安全性和DRM解决方案。DRM解决方案涉及将DRM政策强加到电子设备(例如手机、iPod) 上。DRM政策是施加到电子设备上的限制集合，“告诉”电子设备它对于什么数字内容可以 进行什么操作。例如，一个政策规则可以允许电子设备仅仅播放特定歌曲η次例如3次，另 一政策规则可以禁止数字内容的拷贝；另一政策规则可以允许仅仅由特定电子设备重播数 字数据流，等等。消费者将可以使用在线数字音乐服务来下载受保护数字内容，例如通过他 们的手机或个人计算机(“PC”)。信任闪存使得消费者可以使用他们所购买的支持设备中的多媒体内容。信任闪存 技术授予存储卡本身成为数字版权的管理者，从而赋予消费者将存储设备及其内容传输到 另一支持设备而无需受制于其内容保护系统的自由。信任闪存卡可以充当非安全主机设备中的常规存储卡。大体上包括TF存储卡和TF存储设备的存储设备存在于市场中，具有多种存储容 量(例如512M字节至8G字节)。目前，用户不能备份存储在SSD中的受保护多媒体内容，因 为这样，如果诸如珍贵图片和音视频记录之类的重要数字内容被记录在的原始SSD被盗、 丢失或损坏的话，它们将失去。其实，安全机制试图使将受保护数据从一个SSD备份到另一个、以及甚至将一个 SSD的受保护数据拷贝到另一 SSD变得有可能。这在一些安全存储设备中具有不幸的结果， 那就是即便受保护数据的授权所有人或被许可人也不能将一个SSD的原始数字内容备份 到另一 SSD中。

发明内容
因此，具有如下方法和系统将是有益的将帮助将一个SSD数字内容的安全数据 备份到另一 SSD中、以及将允许SSD信任第三方以将它的多媒体内容(包括相关联的安全 数据)以如下这样的方式备份到备份SSD中当要求在原始SSD和备份SSD之间进行交换 时，备份SSD上的多媒体内容将可以以与它在原始SSD上相同的方式使用。因此，允许SSD信任另一 SSD或第三方来以如下方式保存它的数字内容和相关安 全和/或敏感数据的备份拷贝将是有益的数字内容和相关安全和敏感数据的备份拷贝相 对于其使用将经受严格的规则。设计各种实施例来实现在这里提供其例子的这样的能力。 结合表示示范性和说明性但不限制范围的系统、工具和方法来描述和说明如下例子实施例 及其方面。根据本公开，可以通过并经由受信任的第三方(受信任的第三方在下文中被简称 为“第三方”)将包括安全数据的SSD的数字数据传递到另一 SSD来备份。可替代地，在第 三方的监管下，可以直接将SSD的数字数据传递到另一 SSD来备份。如果通过并经由第三 方将第一 SSD(即“源(source) SSD")的数字数据传递到第二 SSD(即“目标(destination) SSD")来备份，则第三方在源SSD (即，其数字数据需要被备份的SSD)和目标SSD之间建立 虚拟安全信道，通过虚拟安全信道，第三方从源SSD读取数字数据并将所读取的数字数据 写入目标SSD。在第三方、源SSD和目标SSD满足备份合格性先决条件之后，建立虚拟安全 信道，并通过虚拟安全信道传输数字数据；也就是，在每一方被相对方发现被授权来向相对 方发送数字数据或从相对方接收数字数据之后，可以发生如上情况。如果直接将源SSD的 数字数据传递到目标SSD来备份，则在源SSD和目标SSD之间建立直接安全信道，目标SSD 在确定每一方(即源SSD和目标SSD)满足备份合格性先决条件之后，经由直接安全信道从 源SSD读取数字数据。在将数字数据写入目标SSD之后，第三方暂时禁用目标SSD，并在第三方接收备份 请求时或响应于此，禁用源SSD并启用(enable)目标SSD。如果源SSD被偷、丢失或损坏， 则可以由用户或用户应用来初始化备份请求。第三方禁用(disable)被偷、丢失或损坏的 源SSD，使得源SSD不能由任何设备使用。如果源SSD的数字数据将直接由目标SSD备份 (但在第三方的监管下)，则将源SSD的数字数据直接拷贝到目标SSD(即没有第三方的干 预)，并且第三方仅仅处理上面提到的和下面描述的启用/禁用方面。提供了一种将SSD准备为备份SSD的方法。例如，SSD可以是USB闪存驱动、SD卡等。该方法包括确定源SSD是否被授权来传递将由目标SSD备份的安全数据，其中源SSD 包含包括如果源SSD未被授权的话则不可由源SSD传输的安全数据的数字数据；以及确定 目标SSD是否被授权来备份来自源SSD的安全数据。如果源SSD被授权来使它中的安全数 据被目标SSD备份、并且目标SSD被授权来备份来自源SSD的安全数据，则在源SSD和目标 SSD之间建立安全信道，并将来自源SSD的数字数据通过安全信道拷贝到目标SSD，使得目 标SSD中的数字数据的拷贝不可用直到启用目标SSD。可以由源SSD、目标SSD、相互合作的双方或第三方来使目标SSD中的数字数据的 拷贝不可用。可以在将数字数据从源SSD拷贝到目标SSD之前、期间或之后，使目标SSD中 的数字数据的拷贝不可用。可以通过如下中的任何一个来使目标SSD中的数字数据的拷贝 不可用(i)在它被拷贝到目标SSD之前或同时改变数字数据，(ii)修改目标SSD的属性， 以及(iii)在目标SSD处配置所拷贝的数字数据，或者将不可用配置应用到拷贝到目标SSD 的数据。可以由目标SSD或第三方进行源SSD是否被授权来由目标SSD备份的确定，以及 可以由源SSD或第三方进行目标SSD是否被授权来备份源SSD的确定。该方法还可以包括如下步骤通过禁用源SSD使得源SSD中的数字数据不可用、并 启用目标SDD使得拷贝到此的数字数据可用，将目标SSD准备为用作备份SSD。例如，通过 第三方发布源SSD的标识符，实现禁用源SSD，以及由第三方启用目标SSD包括第三方恢复 或回复目标SSD中的数据、或者目标SSD的属性、或者目标SSD的配置。可以在相互认证期 间、或者作为嵌入在从源SSD拷贝到目标SSD的数字数据中的数据，将源SSD的标识符从所 述源SSD传输到目标SSD，然后传输到第三方。可替代地，可以在相互认证期间、或者作为嵌 入在从源SSD拷贝到第三方的数字数据中的数据，将源SSD的标识符从源SSD直接传输到 第三方。该方法还可以包括如下步骤由源SSD或由目标SSD接收由用户应用发起的备份 请求，以将源SSD的数字数据备份到目标SSD中。该方法还可以包括如下步骤源SSD确定第三方是否被授权来从源SSD接收数字 数据。如果源SSD被授权来被备份、并且第三方被授权来从源SSD接收数字数据，则在源 SSD和第三方之间建立第一安全信道，并将数字数据通过第一安全信道从源SSD拷贝到第 三方。如果第三方用于将数字数据从源SSD拷贝到目标SSD，则第三方确定目标SSD是否被 授权来接收数字数据，在该情况下，目标SSD需要在允许第三方向目标SSD发送数字数据之 前，确定第三方是否合格于将数字数据发送给目标SSD。还提供了一种第三方来将一个SSD的数字数据备份到另一 SSD中。该第三方包括 认证管理器，认证管理器被配置为(i)认证包含来自源SSD的不可用数字数据的目标SSD， 其中数字数据包括不可传输到未合格设备的受保护数据，以及(ii)与被认证的目标SSD建 立安全信道。第三方还包括存储设备配置器，存储设备配置器适合于(i)禁用源SSD以使 得或呈现出存储在其中的数字数据不可用，以及(ii)通过安全信道启用目标SSD，以使目 标SSD中的数字数据可用。存储设备配置器可以通过恢复或回复目标SSD中的被修改的数据、或者目标SSD 的被修改的属性、或者目标SSD的被修改的配置，来启用目标SSD。存储设备配置器还可以 被配置为经由目标SSD接收源SSD的标识符，并向持有源SSD的主机发布该标识符，从而禁 用源SSD。可替代地，第三方可以直接从源SSD获取源SSD的标识符，其中该标识符被嵌入在第三方从源SSD接收的数字数据中、或者在第三方与源SSD的相互认证期间。在第三方从源SSD接收数字数据之前，源SSD认证第三方，并且第三方通过安全信 道从源SSD接收数字数据。另外，在第三方从源SSD接收数字数据之前，第三方认证源SSD。第三方还包括数据读/写机构，用于从源SSD读取数字数据，并将所读取的数字数 据写入目标SSD。可以在确定第三方被授权来接收数字数据之后，将数字数据从源SSD拷贝到第三 方，并在确定目标SSD被授权来接收数字数据之后，将数字数据从第三方拷贝到目标SSD。还提供了一种SSD来帮助将其受保护数据备份到目标SSD中。该SSD包括存储或 者可以存储数字数据的大容量存储区域，其中数字数据包括不可传输到不合格设备的受保 护数据。该SSD还包括安全存储控制器，安全存储控制器被配置为确定目标SSD或第三方 是否合格于从那里接收数字数据，如果是，则在安全存储控制器和目标SSD之间或在该SSD 和第三方之间建立安全信道。安全存储控制器还被配置为通过相应的安全信道直接或经由 第三方将数字数据传输到目标SSD来备份。安全存储控制器还被配置为禁用目标SSD以使得或呈现出所传输的数字数据不 可用。安全存储控制器可以在该SSD将数字数据传输到目标SSD或第三方之前、期间或之 后，使得或呈现出所传输的数字数据不可用。安全存储控制器还被配置为将源SSD的标识符直接或经由目标SSD传输到第三 方，以使第三方使用该标识符来禁用该SSD。在与第三方或目标SSD的相互认证期间、或者 被嵌入在所传输的数字数据中，安全存储控制器可以将该标识符传输到第三方或目标SSD。在安全存储控制器确定第三方或目标SSD合格于接收数字数据之后，安全存储控 制器可以将数字数据传输给第三方或目标SSD。根据本公开，该SSD可以在一个时刻用作源SSD、并在另一时刻用作目标SSD。充 当目标SSD，该SSD的安全存储控制器还被配置为(i)向源SSD或第三方证明该SSD(现在 充当目标或备份SSD)备份源SSD的合格性，并在证明该SSD的合格性时、之后或响应于此， 安全存储控制器还被配置为(ii)在该SSD和源SSD之间或在该SSD和第三方之间建立安 全信道，并通过相应的安全信道直接从源SSD或经由第三方接收数字数据(无论情况可能 是什么)。如果从源SSD接收的数字数据可用，则安全存储控制器还被配置为禁用该SSD，使 得或呈现出所接收的数字数据不可用。安全存储控制器可以通过如下中的任何一个来使得 或呈现出所接收的数字数据不可用(i)改变该SSD中的所接收的数字数据，(ii)修改该 SSD的属性，或者(iii)将不可用配置应用到拷贝到该SSD的数据。安全存储控制器还被配置为通过回复该SSD中的被改变的数据或者目标SSD的被 修改的属性，或者通过应用或恢复目标SSD的可用配置，来将该SSD准备为用作备份SSD，从 而使得或呈现出该SSD中的数字数据可用。安全存储控制器还可以被配置为接收源SSD的标识符。作为准备该SSD以作为备 份SSD操作的一部分，安全存储控制器将源SSD的标识符发送给第三方，以由第三方使用源 SSD标识符来禁用源SSD，使得或呈现出存储在源SSD中的数字数据不可用。作为准备该SSD以作为备份SSD来操作的一部分，安全存储控制器向持有源SSD 的主机发布源SSD的标识符，以使主机“知道”存储在源SSD中的数字数据不再合法(因为已经开始使用备份SSD而不是源SSD)，因此，禁止了源SSD的使用，其后果是存储在源SSD 中的数字数据不可用。除了上述示范性方面和实施例，通过参考附图并学习如下具体实施方式
，其他方 面和实施利将变得明显。


在附图中图示了示范性实施例。在此公开的实施例试图是说明性的而不是限制性 的。然而，当结合附图阅读时，参考如下详细描述，可以更好地理解该公开，在附图中图1是典型的安全存储设备(SSD)的框图；图2示意性地图示了根据例子实施例的用于将受保护数据从一个SSD拷贝到另一 个的系统；图3示意性地图示了根据另一例子实施例的用于将受保护数据从一个SSD拷贝到 另一个的系统；图4示意性地图示了根据本公开的另一例子实施例的用于将受保护数据从一个 SSD拷贝到再一个的系统；图5示意性地图示了根据再一例子实施例的用于将受保护数据从一个SSD拷贝到 另一个的系统；图6是根据例子实施例的第三方的框图；图7是图示根据例子实施例的认证过程和会话密钥生成的示意图；图8是图示根据例子实施例的内容密钥生成的示意图；图9示出了典型的认证证书的层次；图10是根据例子实施例的用于将受保护数据从源SSD拷贝到目标SSD的高层方 法；以及图11是更详细示出的图10的方法。将理解的是，为了说明的简化和清楚，在附图中示出的元件不需要按比例画出。此 外，在被认为合适的情况下，可以在附图中重复附图标记以指示同样、相应或相似的元件。
具体实施例方式通过参考本发明的例子实施例的当前详细描述，将更好地理解下面的权利要求。 该描述不试图限制权利要求的范围，而试图提供本发明的例子。根据本公开，可以通过并经由第三方或者直接但在第三方的监管下将源SSD的安 全多媒体内容(在这里也被称为“受保护数字内容”和“受保护内容”)备份到目标SSD中。 第三方提供有可以是认证证书和认证密钥的认证手段，以允许它向源SSD并向目标SSD识 别它自身，并向源SSD证明它被授权来从那里接收作为存储在源SSD中的部分数字数据的 受保护数据。第三方还提供有允许第三方识别SSD、并“知晓”是否授权源SSD由目标SSD 备份以及是否授权目标SSD备份源SSD的认证证书和认证密钥。作为受信任的计算机系统或受信任的应用的第三方可以是本地的或远端的(至 少从一个SSD的角度来看)，并且它可以独立地服务多个本地或远端SSD。“第三方”指被配 置来在严格的规则下将数字内容从源SSD传输到目标SSD、以大体上保护敏感数据和受保护数据的私密性、并将由源SSD最初强加到它的数字数据上的安全级告知给目标SSD的任 何计算机系统或应用。为了有利于DRM以及额外的或可替代的安全特征，TF卡的存储器空间被划分为多 个分区(partitions)，如在下面描述的图1所示。图1示出了根据现有技术的示范性安全存储设备(SSD) 100。SSD 100包括可以是 NAND (与非)闪存类型的大容量存储区域108。SSD 100还包括经由数据和控制线106管理 大容量存储区域108、并经由主机接口 102与主机设备150通信的安全存储控制器140。安全存储控制器140通过控制例如“读”、“写”和“擦除”操作、磨损测量(wear leveling)等来控制大容量存储区域108和主机设备150之间的数据。大容量存储区域108 包括用户存储区域110、受限存储区域120和安全性管理存储区域130。如果大容量存储区 域108是NAND闪存类型，则受限存储区域120被称为“隐藏存储区域”，以及安全性管理存 储区域130被称为“安全存储区域”。用户存储区域110存储在用户存储区域110中的数据是公开可得的，这意味着存储在用户存储区域 110中的数据对于SSD 100的用户和任何外部实体(例如主机设备150)无条件可得，而不 管主机的身份。也就是，存储在用户存储区域110中的数字数据可以包括可以由主机设备 (例如主机设备150)从SSD 100读取或者从SSD 100拷贝到主机设备、以及如其原样使用 (例如由主机设备150回放)的数据，而无需主机设备不得不向SSD 100认证它自己。例如，用户存储区域110可以保存多媒体内容、音视频内容等。用户存储区域110 还可以包括仅仅在主机设备也得到指示主机设备如何使用受保护数据的使用规则的情况 下可以由主机设备使用的受保护数据，没有得到这样的规则，主机设备将不能使用受保护 数据。仅仅向SSD 100认证它自己的主机设备可以得到使用规则，如下面结合受限存储区 域120和安全性管理存储区域130所描述的。受限存储区域120例如，受限存储区域120可以保存代表或者与保存在用户存储区域110中的数字 数据相关联的使用权限有关的受限数据(以及可选地，元数据和信息)。仅仅授权设备可以 接入存储在受限存储区域120中的受限数据。代表DRM规则的数据是示范性的受限数据， 因为它们支配数字内容的使用，从而试图使它们仅仅针对授权设备。“受保护数据”指存储在SSD中、但是仅仅可以从内部接入(即SSD的控制器接入) 或由外部授权设备接入的任何数据、文件、应用或例程。可以禁止将这样的数据、文件、应用 或例程传输到诸如主机设备150之类的外部设备，或者可以允许将所述数据、文件、应用或 例程传输或拷贝到另一设备，但是其在外部设备上是没有用的，如果外部设备不使用合适 手段(例如解密密钥)来接入或使用所述数据、文件、应用或例程的话。安全性管理存储区域130通常，安全性管理存储区域可以包括被授权接入存储设备的受限存储区域的设备 的认证密钥。再次返回图1，存储在安全性管理存储区域130中的数据(在下文中被称为 “安全性数据”)仅仅对于安全存储控制器140可用于内部过程(例如认证)，但是对于主机 设备150或主机设备的用户是不可用的。例如，保存在安全性管理存储区域130中的安全 性数据可以包括系统的固件、任何数据类型的操作参数(例如，SSD 100和外部设备的容量和特权、加密和解密密钥、证明身份的数字认证证书)、以及期望受到保护而不被随意接入 的其他数据，其中被随意接入将会是它们被存储在用户存储区域110中的情况。设备(例 如，媒体播放器和手机)的认证证书向安全存储控制器140指明被授权使用保存在受限存 储区域120中的数据的设备，以及存储在安全性管理存储区域130中的加密/解密密钥可 以由安全存储控制器140利用来加密和解密存储在SSD 100中的数据。典型地，保存在安 全性管理存储区域130中的安全性数据与安全性应用或安全性例程有关。传统上，安全性应用仅仅在它所装载的SSD上起作用。例如，安全性应用可以通过 使用安全存储的序列号或其他数据(例如隐秘号)来生成一次密码，然后提交它们以用于 用户或用户帐号的登陆或验证。这仅仅是例子，并且在安全性或其他功能中使用的任何数 量的算法可以至少部分基于存储设备特定数据。可以由用户多次(over time)装载安全性 应用。可以由SSD 100系统的固件和/或硬件、由加密/解密密钥和/或由安全性应用 来提供数字数据的安全性。在一些情况下，拷贝受限内容被加密，并且虽然可以将所加密的 内容从受限存储区域120拷贝到另一设备或应用，但是该另一设备或应用不能解密它，除 非该另一设备或引用被SSD 100认证并具有恰当的密钥来解密所加密的内容。安全存储控制器140利用安全性例程和安全性相关数据(例如加密密钥)来向 SSD 100赋予安全性能力，这意味着例如，SSD 100禁止存储在SSD 100中的受保护数字内 容的非法使用及其非法拷贝的生成。为了完成这个，安全存储控制器140基于保存在安全 性管理存储区域130中的安全性数据(例如，密钥、认证证书、安全性例程等)来控制到保 存在受限存储区域120中的内容的接入。可以通过使用私钥基础设施(“H(I”)、对称密钥、 基于密码的方案或者其它任何认证方案来执行认证。“H(I”是众所周知的安全性范例。在密码学中，PKI是通过证书授权中心(CA)的 方式将公钥与各个用户身份相绑定的布置。用户身份对于每个CA必须是唯一的。通过注 册和发布过程来建立绑定，这取决于绑定具有的保证等级而可以由CA处的软件或在人的 监管之下执行。对于每个用户，如果用户身份、公钥、它们的绑定、有效性条件和其他属性在 由CA发布的公钥证书中，则它们不能被伪造。PKI布置使得之前没有接触的计算机用户彼此认证并使用在它们公钥证书中的公 钥信息来加密给彼此的消息。通常，PKI包括客户端软件、服务器软件、硬件(例如智能卡)、 合法协议和保证以及操作过程。还可以由第三方使用签名者的公钥证书以验证使用签名者 的私钥得到的消息的数字签名。通常，PKI使得对话方可以建立私密性、消息完整性和用户 认证而无需提前交换任何秘密信息或者甚至有任何先前接触。在密码学中，公钥证书(或 身份证书)是合并数字签名以将公钥与身份信息绑定在一起的电子文档。证书可以用于验 证公钥属于个人。在典型的PKI方案中，签名可以是证书授权中心(CA)的。再次返回图1，主机设备150不能直接接入大容量存储区域108。也就是，如果主 机设备150要求或需要来自SSD 100的数据，则主机设备150不得不从安全存储控制器140 请求它，而不管在用户存储区域110中、受限存储区域120中还是安全性管理存储区域130 中保存所请求的数据。如果由主机设备150请求的数据存储在受限存储区域120中，则安 全存储控制器140通过利用存储在安全性管理存储区域130中的安全性数据来检查主机设 备150是否被授权来得到该数据。
为了使主机设备(示范性设备)使用例如保存在用户存储区域110中的媒体内 容，主机设备150与安全存储控制器140通信，并且安全存储控制器140利用存储在安全性 管理存储区域130中的数据来检查主机设备150是否被授予使用保存在用户存储区域110 中的媒体内容的权利。如果主机设备150被授权使用保存在用户存储区域110中的媒体内 容，则安全存储控制器140允许主机设备150基于保存在受限存储区域120中的使用规则 或限制来使用该数据。如果SSD 100与可以是例如MP3播放器的支持设备一起使用，存储在受限存储区 域120中的数据可以由支持设备使用，但是对于该设备的用户不可接入。该限制的原因在 于受限存储区域120包括向外部设备指明支配多媒体内容使用的规则(DRM或其他)的信 息或敏感数据，并且使受限存储区域120对于SSD 100用户不可接入以不允许用户处理或 违背DRM权限或使用规则。将一个SSD的多媒体内容备份到另一 SSD中涉及将多媒体内容从第一 SSD拷贝到 另一 SSD。可是，拷贝多媒体内容要求也拷贝DRM权限、认证特定物(即数字认证证书、密 钥等)以及与该多媒体内容有关的其它信息。然而，如上所解释的，存储在SSD 100的受限 存储区域120中的该信息(即DRM权限、认证特定物等)对于用户是不可接入的，因为该原 因，即使在一些情况下用户可能能够将感兴趣的多媒体内容拷贝到另一 SSD，该另一 SSD将 仍不能使用(例如回放)所拷贝的多媒体内容。作为另一例子，可以将与医学或金融记录有关的安全性应用装载到SSD 100中。 可以由安全存储控制器140独自或者与主机设备150的处理器(未在图1中示出)结合来 执行这些应用，并且这些应用可以不仅仅处理私密信息，而且还处理在加密并保护安全存 储的敏感内容中使用的秘密信息。这样，SSD 100和主机设备150可以在功能上深度互连 并依赖于SSD 100内的信息和安全性机制。在一些情况下，应用本身的安全性机制利用安 全存储特定信息，并且将不在另一安全存储上起作用。应用本身还可以被加密并且是设备 特定的，以阻止它们被错误使用(例如拷贝和攻击)。图2示意性地图示了通过并经由第三方210来将源SSD 250的受保护数据备份到 目标SSD 260中的数据备份系统200。通常，系统200包括用于持有(hosting)或容纳源 SSD 250和目标SSD 260以及其他或额外主机设备的主机设备系统205、以及与主机设备系 统205可操作相连的第三方210，其中在图2中将示范性的可操作连接示为虚线220和225。 源SSD 250包含包括不可向不合格设备传输、不可由不合格设备接入并使用的受保护数据 的数字数据。也就是，通常，通过媒体播放器(例如MP； )或手机从多媒体内容提供商下载 到SSD的数字内容试图仅仅用于它被装载到的特定媒体播放器，并且任何其他SSD被视为 不合格设备，使得它不能从任何其他SSD接收受保护数据，并且它不能接入另一 SSD中的这 样的数据或以任何方式使用它。通过SSD完成将数字内容绑定到特定媒体播放器，以将使用规则(例如DRM政策 规则)绑定到数字内容并将这些规则强加到数字内容上。为了阻止未授权设备使用数字 内容，SSD的安全存储控制器不允许这样的设备((即未授权设备)接入存储在它的受限存 储区域中和它的安全管理存储区域中的使用规则和安全性特征。然而，相应的证书可以由 受信任的证书授权中心(“CA”)发布并被提供给SSD，以“告诉” SSD存在许可或命令将一 个SSD的数字数据(包括受保护数据)备份到另一 SSD中的受信任实体(即受信任的第三方)。许可或命令备份数字数据的第三方被称为或视为“受信任的”。取决于环境，这样的第 三方可以暂时保存源SSD的数字内容的备份拷贝，直到第三方将备份拷贝传输到目标SSD， 或者第三方可以在单一会话中将源SSD的数字数据传输到目标SSD而无需保持备份数字内 容的拷贝。第三方210可以由诸如服务提供商270之类的服务提供商所有。如果第三方210 由服务提供商270所有，则用户将需要与服务提供商270之间的服务协议，以允许他们将一 个SSD (例如源SSD 250)的全部数字数据(包括受保护数据)经由第三方210备份到另一 SSD(例如目标SSD 260)中。服务提供商270将需要与将认证证书放置在SSD中的实体之 间的协议，该实体通常是SSD的制造商。在一些情况下，一些SSD可能没被赋予由第三方提供的数据备份服务。因此，在这 里描述的数据备份过程有可能与多个备份合格先决条件有关，例如源SSD向第三方210证 明它被服务的合格性，即它的数字数据可以被备份到另一(即目标)SSD中。同样地，第三 方210需要向源SSD 250证明它从那里接收全部数字数据(包括受保护数据)的合格性。 如果源SSD不能证明它被服务的合格性，则第三方将不从源SSD读取数字数据。如果第三 方不能证明它从源SSD接收数字数据的合格性，则源SSD将不允许第三方读取它的数字数 据。在第三方210向源SSD 250证明它从那里接收数字数据的合格性之后，当向第三 方210证明的SSD 250符合条件以被备份在目标SSD 260中时，第三方210建立与源SSD 250的第一安全信道220，其是在源SSD 250和目标SSD 260之间通过第三方210还没有建 立的虚拟安全信道的一部分。用“安全信道”表示通过其通信密码数据的通信信道。用“虚 拟安全信道”表示以将源SSD的数字数据备份到目标SSD中而无需源SSD和目标SSD直接 相互通信的方式、在源SSD和目标SSD之间主动通过并经由第三方开始其建立的安全信道。 安全信道是“虚拟”的，还在于它包括可以由第三方同时、并发或在不同时刻建立的两个单 独且独立的安全信道(例如安全信道220和225)。在第三方210和源SSD 250建立第一安全信道220之后，第三方210通过第一安 全信道220从源SSD 250接收或读取全部数字数据，并且并发地或者在这之后的任何时刻 建立与目标SSD 260的第二安全信道225以完成源SSD 250和目标SSD 260之间的虚拟安 全信道。第三方210可以从用户215接收用于与目标SSD 260建立第二安全信道225的指 令，例如紧跟在第三方210从源SSD 250接收数字数据之后、几秒之后、三个月之后等等。目标SSD必须向第三方证明它接收来自于SSD的数字数据的合格性。当向第三方 210证明目标SSD 260符合条件以接收来自于源SSD 250的数字数据时，第三方210通过虚 拟安全信道的第二部分(即通过安全信道22 将它所接收或读取的数字数据从源SSD 250 传输、拷贝或写到目标SSD 2600因为在第三方210中具有信任源SSD 250的一部分，所以不能存在数字数据的两 个合法拷贝(即源SSD中的一个和目标SSD中的另一个)。用“不能存在数字数据的两个 合法拷贝”表示，虽然原始数字数据的拷贝可以或者确实存在于目标SSD中(即备份中)， 但是只要源SSD中的原始数字数据是或者被视为合法或可用数据，它就不能由任何设备使 用。如果因为一些原因，期望或要求使用备份拷贝而不是原始数字数据，则要求使得或致使 目标SSD中的数字数据可用、并使得或致使源SSD中的原始数字数据不可用。为了确保仅仅可以使用数字数据的一个版本(即源SSD中的原始数据或目标SSD中它的拷贝)，第三方 210禁用目标SSD 260的操作。用“禁用目标SSD的操作”表示由第三方来使目标SSD中的 受保护数据不可由包括最初保存受保护数据的SSD的任何设备使用或接入。例如，通过使 目标SSD可逆地(reversibly)处理存储在目标SSD中的数据以阻止进一步使用目标SSD 的受保护数据，也就是只要源SSD可用，禁用目标SSD就可能是有效果的。第三方210可以通过将相应的指令或命令传递到目标SSD 260来使SSD 260处理 存储在其中的数据。在第三方210从源SSD 250接收数字数据之后的任何时刻，第三方210 可以使目标SSD 260处理存储在其中的数据。在一个例子中，在完成将数字数据从源SSD 250到第三方210的传输时或之后，并在第三方210将数字数据传输到目标SSD 260之前， 第三方210使目标SSD 260处理存储在其中的数据。在另一例子中，在完成数字数据到目 标SSD 260的传输时或之后，第三方210使目标SSD 260处理存储在其中的数据。第三方 可以在上述两种极限情况之间使目标SSD 260处理存储在其中的数据。由第三方210进行的对存储在目标SSD 260中的数据的处理可以包括禁用、擦除 或修改与受保护数据相关联的目标SSD 260中的安全特征。将被处理的数据的类型、数量 或位置(即SSD的存储区域中)可以被选择来使得在其处理之后，目标SSD 260的受保护 数据对于任何设备变得不可接入，并且处理本身是可逆的，使得可以恢复或回复使用备份 拷贝所要求的数据、信息或应用。可替代地，由第三方210进行的对存储在目标SSD 260中 的数据的处理可以包括禁用、擦除或修改与受保护数据相关联的保存在目标SSD 260中的 认证参数，使得没有设备可以使用受保护数据。可替代地，第三方210可以通过向目标SSD 260发送相应的阻碍(block)命令来使到目标SSD 260中的受保护数据的接入被阻碍，以阻 碍任何设备接入到受保护数据。通过在将数字数据传递到目标SSD或者第三方之前、改变源SSD中或者这之后目 标SSD中的数据，或者通过修改目标SSD的属性，或者通过向拷贝到目标SSD的数据适用不 可用配置，可以使得或者呈现出由目标SSD接收的数字数据不可由源SSD或目标SSD使用。 通过由源SSD将数字数据作为压缩数据发送到目标SSD或第三方、并将压缩数据存储(即 隐藏)在与图1中的隐藏区域120相似的隐藏或受限存储区域中，可以使得或者呈现出由 目标SSD接收的数字数据不可用。为了使得或者呈现出数字数据可用(即为了启用目标 SSD，第三方或目标SSD解压缩压缩数据；根据各种数据项的类型和/或功能来解析未压缩 数据，并将每个所解析的数据项存储在相应存储区域中的大容量存储区域中，无论它是用 户存储区域、受限存储区域还是安全性管理存储区域。除了如下之外，源SSD 230与图1的SSD 100相似根据本公开，源SSD 250的安 全存储控制器(源SSD 250的安全存储控制器未在图2中示出)也被配置为确定目标SSD 260或第三方210是否合格于从那里接收数字数据(符合可能的情况)，如果是，则建立源 SSD 250和目标SSD 260之间的安全信道(即信道22 、或者源SSD 250和第三方210之 间的安全信道(即安全信道220)。根据本公开，源SSD 250的安全存储控制器还被配置为 通过相应的安全信道(即分别通过信道222或220)将数字数据直接或经由第三方210传 输到目标SSD 260来备份。源SSD 250的安全存储控制器可以禁用目标SSD 260以使得或呈现出所传输的 数字数据不可用。源SSD 250的安全存储控制器可以在源SSD 250将数字数据传输到目标SSD 260或第三方210之前、期间或之后，来使得或呈现出所传输的数字数据不可用。源 SSD 250的安全存储控制器可以直接或经由目标SSD 260将源SSD 250的标识符传输到第 三方210，以使得由第三方210使用标识符来禁用源SSD 250。源SSD 250的安全存储控制 器可以在与第三方210或目标SSD 260的相互认证期间将源SSD 250的标识符传递到第三 方210或目标SSD沈0，或者(作为数据)被嵌入到所传输的数字数据中。源SSD 250的安 全存储控制器可以在第三方210或目标SSD 260被确定为合格于接收数字数据之后，将数 字数据传输到第三方210或目标SSD 2600可以由源SSD 250的安全存储控制器或者由在 源SSD 250上运行的专用应用来进行第三方210或目标SSD 260是否合格于接收数字数据 的确定。如可以理解的，SSD可以在一个时刻充当或者被视为源SSD，并在另一时刻充当或 者被视为目标(即备份)SSD。因此，具有充当备份/目标SSD的潜能，SSD(该情况下的目 标SSD)的安全存储控制器还被配置为向源SSD(例如，向源SSD证明的目标SSD 260)或第 三方证明SSD的合格性以备份源SSD。在证明SSD的和合格性以备份源SSD时、之后或者响 应于此，安全存储控制器还适合于建立SSD和源SSD或第三方之间的安全信道，并通过相应 的安全信道直接从源SSD或经由第三方接收数字数据。目标SSD直接从源SSD或从第三方接收的数字数据可以是可用的或不可用的。也 就是，源可以使得或呈现出它的数字数据不可用，然后再将它发送给目标SSD或第三方。可 替代地，在接收方可以使用数字数据的情况下，如果它被授权或者合格于这样做的话，源 SSD可以如其原样地发送它的数字数据。如果从源SSD接收的数字数据可用，则SSD的安全 存储控制器还被配置为禁用SSD，使得只要合法使用源SSD，就使得或呈现出所接收的数字 数据不可用。例如，通过改变SSD中所接收的数字数据，通过修改SSD的属性，或者通过将不可 用配置应用到拷贝到SSD的数据，安全存储控制器可以使得或呈现出所接收的数字数据不 可用。安全存储控制器通过回复SSD中所改变的数据或者目标SSD所修改的属性，或者通 过应用目标SSD的可用配置(即用可用配置来替代SSD的不可用配置)，可以使SSD为用作 备份SSD做好准备，从而使得或呈现出(目标/备份)SSD中的数字数据可用。SSD的安全存储控制器可以接收源SSD的标识符，并且作为将SSD准备为备份SSD 来操作的一部分，将它发送给第三方以由第三方使用它来禁用源SSD。当终端用户或用户应 用请求第三方这样做时，第三方可以向装有源SSD的主机发布源SSD的标识符，使得将不使 用存储在源SSD中的数字数据。可替代地，安全存储控制器可以发布源SSD的标识符，而不 是第三方。第三方210可以是由诸如源SSD 250之类的源SSD和诸如目标SSD 260之类的目 标SSD所信任的计算机系统。第三方210可以是在计算机系统上运行的应用，并被源SSD 250和目标SSD所信任。主机设备系统205包括两个独立的主机设备230和MO。每个主机设备230和240 可以具有容纳SSD的卡阅读器或者可以读取SSD的安全USB设备。每个卡阅读器可以容纳 源SSD或目标SSD。通过例子的方式，主机设备230的或者与主机设备230相关联的卡阅读 器容纳源SSD 250，以及主机设备MO的或者与主机设备240相关联的卡阅读器容纳目标 SSD 2600任何合适的传统卡阅读器可以用来从SSD读取内容/数据。
主机设备系统可以包括一个主机设备(例如，主机设备230，主机设备240是可选 的)，主机设备可以包括或者具有与之相关联的用于容纳源SSD和目标SSD (不同时)的一 个卡阅读器，或者每个卡阅读器用于每个SSD的两个卡阅读器。可替代地，主机设备系统可 以包括两个主机设备(例如，主机设备230和M0)，其中每个主机设备具有它自己的卡阅读 器。如果主机设备包括一个卡阅读器，则(通过使用由第三方提供的数据备份服务)将源 SSD的数字数据备份到目标SSD中涉及首先，使用卡阅读器来读取并将数字数据通过第一 安全信道从源SSD传输到第三方，并且在用目标SSD取代源SSD之后，然后，使用卡阅读器 来将数字数据通过第二安全信道从第三方写、传输或拷贝到目标SSD，等等。与主机设备相 关联的卡阅读器可以是主机设备的完整部分，或者在主机设备的外部并与主机设备可操作 地相连。源SSD 250和目标SSD 260中的每一个可以与图1的SSD 100相同或相似。源 SSD 250可以包含可以包括用户可接入多媒体内容和受保护数据的数字数据，其中受保护 数据可以包括版权保护数据、隐秘数据、隐秘元数据、安全性应用、DRM文件等，SSD的用户 可以确定将其备份到目标SSD 260中。将源SSD的受保护数据备份到目标SSD 260中还将 向目标SSD 260赋予与源SSD 250相关联的、或者由源SSD 250在数字内容上初始强加的 相同安全级。主机设备系统205可以包括被指定为“主机设备3” Q80处所示)至“主机设备 W290处所示)的、第三方210可以操作性与之相连的额外多个主机设备。相对于第三方 210，主机设备可以位于本地或者远端。可以经由专用通信线缆、陆上线路、数据网络、互联 网和无线通信链路的任何组合，执行第三方210和主机设备系统205中的任何一个主机设 备之间的通信。图3示意性地图示了根据例子实施例的将源SSD 350的包括受保护数据的数字数 据经由第三方310备份到目标SSD 360中的数据备份系统300。数据备份过程包括将源 SSD的数字数据拷贝到目标SSD的第一阶段(在这里被称为“数据拷贝阶段”)，以及只要源 SSD的所有人或用户可以使用源SSD 350、就可逆地禁用目标SSD的第二阶段(在这里被称 为“后数据拷贝阶段”)。第三方310经由数据网络(例如互联网)390与主机设备系统305可操作地相连。 主机设备系统305包括一个主机设备320，该主机设备320具有与之相关联的两个卡阅读 器卡阅读器330和卡阅读器340。卡阅读器330和340在主机设备320的外部。通过例 子的方式，卡阅读器330容纳源SSD 350，以及卡阅读器340容纳目标SSD 360。在满足上述合格性先决条件之后，第三方310通过与源SSD 350建立第一安全信 道并与目标SSD 360建立第二安全信道，来建立源SSD 350和目标SSD 360之间的虚拟安 全信道。通过通信线355和380并经由数据网络390来建立第一安全信道，以及通过通信 线365和380并经由数据网络390来建立第二安全信道。主机设备320包括用户应用370和用户接口 315。用户接口 315可以是例如健区 或触摸屏。用户接口 315使得用户可以与用户应用370交互。例如，用户可以使用用户接 口 315来输入将如下指示给用户应用370的指令源SSD 350和目标SSD 360在适当的位 置(即，源SSD位于卡阅读器330以及目标SSD位于卡阅读器340)以等待由第三方310 服务，以及如果满足合格性先决条件，则可以将源SSD 350的数字数据备份到目标SSD 360中。响应于这样的指令，用户应用370经由通信线380和数据网络390向第三方310发送 消息，指示第三方310开始与所牵涉的SSD的数据备份会话，例如首先与源SSD 350，然后与 目标 SSD 360。为了开始数据拷贝阶段，第三方310例如通过使用源SSD 350的系统访问控制记 录(“ACR”)来通过第一安全信道并经由主机设备320登陆(logs on)到源SSD 350中。 如果第三方310和源SSD 350相互认证、并且第三方310向源SSD 350证明它从那里接收数 字数据的合格性，则源SSD 350允许第三方310读取源SSD 350保存在它的大容量存储区 域中的任何数据，包括受保护数据，以及大体上第三方310所要求的每个数据。如果源SSD 350向第三方310证明它被另一 SSD备份的合格性，则第三方310将从源SSD 350读取数字 数据。在第三方310从源SSD 350读取数字数据之后，第三方310例如通过使用目标SSD 360的系统ACR来通过第二安全信道并经由主机设备320登陆到目标SSD 360系统中。如 果第三方310和目标SSD 360相互认证、并且目标SSD 360向第三方310证明它备份源SSD 350的合格性，则第三方310将它从源SSD 350读取的数据写到目标SSD 306中，从而完成 数据拷贝阶段。只要源SSD 350的所有人或用户可以使用源SSD 350，第三方310通过可逆地禁用 目标SSD 360来开始第二阶段(即，“后数据拷贝”阶段)，并且可选地，如果因为某些原因 而禁用源SSD 350并启用目标SSD 360，则源SSD 350的所有人或用户不再能够使用源SSD 350，例如因为它被偷了、丢失了或损坏了。图4示意性地图示了根据另一例子实施例的将源SSD 450的包括受保护数据的数 字数据经由第三方410备份到目标SSD 460中的系统400。第三方410经由数据网络(例 如互联网)490与主机设备系统405可操作地连接。主机设备系统405包括一个主机设备 G20处所示)，该主机设备420具有与之相连的一个卡阅读器卡阅读器430。卡阅读器430 在主机设备420的外部。通过例子的方式，卡阅读器430被示为容纳有源SSD 450，但是它 也可以容纳目标SSD 460。在满足指定的合格性先决条件之后，第三方410在源SSD 450和目标SSD 460之 间建立虚拟安全信道。为了在源SSD 450和目标SSD 460之间建立虚拟安全信道，第三方 410与源SSD 450建立第三方410通过其从源SSD 450读取数字数据的第一安全信道，并 在用目标SSD 460替代或交换源SSD 450(用虚线435象征性示出替代)之后，与目标SSD 460建立第二安全信道。因为第三方410每次处理两个SSD中的一个SSD，所以可以通过相 同的通信线455和480来建立第一安全信道和第二安全信道。图5示意性地图示了根据再一例子实施例的将源SSD 550的受保护数据经由第三 方510备份到目标SSD 560中的系统500。第三方510经由数据网络(例如互联网)590与 主机设备系统505可操作地相连。主机设备系统505可以包括主机设备520A和主机设备 520B这两个主机设备，每个主机设备具有与之相关联的一个卡阅读器和用户应用。卡阅读 器530和用户应用570A与主机设备520A相关联。卡阅读器540和用户应用570B与主机设 备520B相关联。卡阅读器530和卡阅读器540在各个主机设备的外部。然而，如上所述， 卡阅读器可以是主机设备的完整部分或者嵌入到主机设备中。通过例子的方式，卡阅读器 530容纳源SSD 550，以及卡阅读器540容纳源SSD 560。
主机设备520A和520B通过使用相同类型的通信路径或者不同类型的通信类经， 可以与第三方510可操作地相连。通过例子的方式，主机设备520A经由陆上线路510与第 三方510可操作地相连，以及主机设备520B经由通信线路580和数据网络590与第三方 510可操作地相连。例如，图5的配置在用户想要将她/他的SSD的数字数据备份到属于另 一人的远端SSD的情况下是有用的。例如，用户的主机设备(例如，主机设备520A)可以位 于一个城市，而另一人的主机设备(例如，主机设备520B)可以位于另一城市。用户应用570A和570B中的每一个可以包括两个单独且独立的过程“读取过程” 和“写过程”。读取过程允许用户指令第三方从源SSD读取数字数据，以及写过程允许相同 的用户或另一用户指令第三方将所读取的数字数据写到本地或远端的目标SSD。用户可以 根据SSD的角色(即源SSDA或目标SSD)来选择、激活、或者相反(otherwise)导致或触发 合适的过程(即读取过程或写过程)的执行。再次参考图5，第一用户可以选择、激活、或 者相反导致或触发(例如，通过使用用户接口 515A)读取过程的执行，以使第三方510从源 SSD 550读取数字数据。第二用户可以选择、激活、或者相反导致或触发(例如，通过使用用 户接口 515B)写过程的执行，以使第三方510将所读取的数字数据写到目标SSD 560。如果满足上述合格性先决条件，则第三方510在源SSD 550和目标SSD 560之间 建立虚拟安全信道。为了在源SSD 550和目标SSD 560之间建立虚拟安全信道，第三方 510 (经由通信路径510和55 与源SSD 550建立第三方510经由其从源SSD 550读取数 字数据的第一安全信道，并(经由通信路径580、数据网络590和通信路径56 与目标SSD 560建立第三方510经由其将所读取的数字数据写到目标SSD 560中的第二安全信道。图6是根据例子实施例的图3的第三方310的框图。将结合图3来描述图6。第 三方310包括通信接口 620、认证管理器630、存储设备配置器640、存储器650和数据读/ 写机构660。如果用户想要将存储在源SSD 350中的多媒体内容备份到目标SSD 360中，则用 户激活、调用用户应用370或与用户应用370交互，以使用户应用370将要求数据备份服 务、以及源SSD 350和目标SSD 360在合适的位置中并准备好数据传输的消息发送给第三 方310。调用客户端应用370还使第三方310开始与所牵涉的SSD的通信会话，并向第三方 310指名用户所请求的服务。例如，用户所请求的服务可以是将数字数据从源SSD 350传 输到第三方310并在那里暂时保存它(例如几天)，或者(假设已经在第三方310中保存 了数字数据)将数字数据从第三方310传输到目标SSD 360，或者将数字数据从源SSD 350 传输到第三方310并同时将数字数据从第三方310传输到目标SSD 360，或者在第三方310 将数字数据写入目标SSD 360之后马上禁用目标SSD 360，或者禁用源SSD 350并启用目标 SSD 360，等等。如上所述，将源SSD的数字数据备份到目标SSD(即备份SSD)中的第一阶段是将 源SSD的数字数据拷贝到目标SSD。为了将数字数据从源SSD拷贝到目标SSD，第三方初始 化包括如下时期(stages)的数据拷贝会话(1)认证时期，(2)经由第三方的源SSD和目标 SSD之间的虚拟安全信道的建立，( 由第三方从源SSD读取数据，(4)由第三方(重)配 置目标SSD，以及(5)由第三方将从源SSD读取的数据写到目标SSD。如上所述，需要执行 另一阶段(即后数据拷贝阶段)，它包括只要源SSD的所有人或用户可以使用源SSD，就由 第三方可逆地禁用目标SSD。如果源SSD的所有人或用户可以使用源SSD，则意味着源SSD仍然是可操作的(即“启用的”、“可用的”、或“有效的”)。后数据拷贝阶段还包括如果源 SSD和目标SSD的所有人或用户想要交换两个SSD，因为她/他由于可能的任何原因而不再 能够使用源SSD，则禁用源SSD并启用目标SSD。(1)认证源SSD 350的多媒体内容到目标SSD 360的成功传输还使如下成为必要将数据 从源SSD 350的受限存储区域传输到目标SSD 360的受限存储区域，以及将数据从源SSD 350的安全性管理存储区域传输到目标SSD 360的安全性管理存储区域。在第三方310向目标SSD 360传输任何数据之前，第三方310需要首先从源SSD 350请求(即读取)它。在源SSD 350服从该请求之前(S卩，在源SSD 350开始将所请求的 数据经由通信接口 620传输到第三方310之前)，需要开始第一认证会话，在该第一认证会 话期间第三方310和源SSD 350相互认证。第一认证会话涉及由源SSD 350检查第三方310的真实性，以确保第三方310合 格于接收存储在源SSD 350的受限存储区域中和安全性管理存储区域中的受保护数据，以 及由认证管理器630检查源SSD 350的真实性，以确保源SSD 350合格于由另一 SSD备份。 在认证管理器630开始第一认证会话之前，认证管理器630登陆到源SSD 350的系统中。认证管理器630开始单独的第二认证会话，在该会话期间第三方310和目标SSD 350相互认证。第二认证会话涉及由目标SSD 360检查第三方310的真实性，以确保第三 方310合格于将数据写入它的受限存储区域和它的安全性管理存储区域，以及由认证管理 器630检查目标SSD 360的真实性，以确保目标SSD 360合格于备份另一 SSD。在认证管理 器630开始第二认证会话之前，认证管理器630经由通信接口 620登陆到目标SSD 360的 系统中。可以通过在所牵涉的当事方之间交换认证证书，并且通过使用PKI范例，来执行第 一认证会话和第二认证会话，如下面结合图7更详细描述的。认证管理器630可以通过使用SSD的访问控制记录(“ACR”)来经由通信接口 620 登陆到源SSD 350和目标SSD360的系统中。简要地，“ACR”是可以被视为“超级中心记录 (super authority record) ”的访问控制范例，因为ACR包含用于编索引(indexing)的信 息，并且它可以与目录记录、关系数据库以及与其他相关的访问控制记录相联系。ACR概念 从“中心控制”的传统概念改变为“访问控制”。(2)虚拟安全信道的建立在(第一认证会话期间)源SSD 350和第三方310相互认证之后，认证管理器630 和源SSD 350的安全存储控制器(未在图3中示出)例如通过使用对于它们两者可用的第 一会话密钥来在它们之间建立第一安全信道，以及在目标SSD 360和第三方310相互认证 之后，第三方310和目标SSD 360例如通过使用对于它们两者可用的第二会话密钥来建立 第二安全信道。如上所述，可以同时建立第二安全信道和第一安全信道。然而，要注意的是， 可以在建立了第一安全信道之后、或者在建立第一安全信道之前的任何时刻建立第二安全 信道。第一会话密钥和第二会话密钥可以由每个通信会话所涉及的当事方来随机生成，或 者它们可以在其制造期间固定并存储在第三方310中和各个SSD中。对于第一种可选(即第一和第二会话密钥的随机生成)，认证管理器630初始化 第一安全信道的建立，并响应于该初始化，认证管理器630和源SSD 350联合生成第一会话 密钥，如结合下面描述的图7更详细描述的。在源SSD 350将数字数据传递到认证管理器630之前，源SSD 350使用第一会话密钥来加密由认证管理器630请求的数字数据(以保护 它)，以及当经由通信接口 620从源SSD 350接收所加密的数据时，认证管理器630使用第 一会话密钥来解密所加密的数字数据。当完成将所加密的数字数据从源SSD 350传输到认 证管理器630时或者在诸如刚好在认证管理器630被指示或确定(取决于用户应用370)将 数字数据写到目标SSD 360之前之类的任何其他时刻，认证管理器630可以使用第一会话 密钥来解密所加密的数字数据。要注意的是，可以在用第一会话密钥加密数字数据之前，由 源SSD 350预加密源SSD 350的数字数据，以进一步增加所传递的数字数据的安全级。例 如，源SSD 350可以通过使用对于目标SSD 360可用的内容密钥来预加密数字数据。同样，认证管理器630可以在它从源SSD 350接收用第一会话密钥加密的数字数 据之后的任何时刻，初始化第二安全信道的建立，并响应于该初始化，认证管理器630和目 标SSD 360联合生成第二会话密钥。在认证管理器630将数字数据传递到目标SSD 360之 前，认证管理器630使用第二会话密钥来加密将被拷贝到目标SSD 360的数字数据(以保 护它)。当从认证管理器630接收所加密的数据时，目标SSD 360使用第二会话密钥来解密 所加密的数字数据。要注意的是，可以首先生成第一会话密钥和第二会话密钥之一。也就 是，首先生成哪个会话密钥(即第一会话密钥或第二会话秘密钥)并不重要。虽然所加密的数据可以被存储在源SSD 350的用户存储区域中，但是解密它所要 求的解密密钥可以被存储在源SSD 350的安全性管理存储中或受限存储区域中。因此，将 所加密的数据与相关联的加密/解密密钥、以及典型地存储在所涉及的SSD的受限存储区 域之一中(即，受限存储区域中或安全性管理存储区域中)的其他安全相关数据/信息一 起从源SSD传输到目标SSD是有必要的。在可选方式中，源SSD 350和目标SSD 360可以通过使用对于源SSD350可用来加 密数字数据以及对于目标SSD 360可用来解密所加密的数字数据的预定内容密钥，来经由 第三方310建立虚拟安全信道。在该可选方式中，第三方310是通信透明的，意思是第三方 310充当通信连接，并向源SSD 350和目标SSD360提供通信连接，但是它并不主动牵涉到数 据的加密或解密中。(3)从源SSD读取数据在生成第一会话密钥之后，认证管理器630使用数据读/写机构660来从源SSD 350的用户存储区域、受限存储区域并从安全性管理存储区域读取将拷贝到目标SSD 360 的任何数据。第三方310包括用于保存可以有利于由第三方310提供的数据备份服务的 SSD的认证证书列表、并且还用于暂时保存第三方310从源SSD 350读取的数字数据的存储 区650。当暂时保存在存储器650中的数据不再要求时，它将被删除，使得没有可追踪的数 据将保持在第三方310以被用户误用或者被黑客接触或截取。(4)目标SSD的配置目标SSD 360具有与源SSD 350相同的配置是有必要的，因为除了所拷贝的多媒 体内容和相关受保护数据之外，源SSD 350的数据结构也被传输到目标SSD 360，这在功能 方面是必需的，否则数据将以错误的方式存储或者存储在错误的存储区域中，例如，存储在 用户存储区域中而不是受限存储区域中，或者存储在受限存储区域中而不是用户存储区域 中，这将使得或呈现出多媒体内容永久不可用。“数据结构”是将数据存储在计算机中的方 式，使得可以有效地访问和使用所存储的数据。特别地，“数据结构”指SSD内的数字数据的布置、每个数据项的类型和意思、SSD的存储器中每个数据项的绝对和相对位置，等等。数 据结构被定义为SSD的配置的一部分。因此，为了使目标SSD 360如源SSD 350中存储的那样来保存数字数据的实际拷 贝，第三方310需要在第三方310例如通过使用数据读/写机构660将源SSD的数字数据 写入目标SSD 360之前，确保目标SSD 360的配置匹配于源SSD 350的配置。为了实现这 个，认证管理器630向源SSD 350查询或者请求关于其配置的信息或者其配置的数据表示， 并且源SSD 350通过向第三方310通知它的配置来服从于该查询或请求。例如，源SSD 350 可以通过向第三方310发送配置表格来将它的配置通知给第三方310。在被源SSD 350通 知其配置之后，认证管理器630使存储设备配置器640使用从源SSD 350得到的配置信息 来以与源SSD 350相同的方式配置目标SSD 360。因此，可以说存储设备配置器640将源 SSD 350的配置施加或强加到目标SSD 360上。(5)由Il三方将源SSD的数字数据写入目标SSD在存储设备配置器640将源SSD 350的配置施加到目标SSD 360上之后，认证管 理器630使用数据读/写机构660来将它从源SSD 350接收的数字数据写到目标SSD 360，(6)禁用目标SSD如上面结合图2所说明的，第三方可逆地禁用目标SSD，以符合不允许存在多媒体 内容的一个以上合法可用拷贝的构思。因此，在认证管理器630 (通过使用读/写机构660) 从源SSD 350读取数字数据之后，第三方310或源SSD可逆地禁用目标SSD 360，以只要源 SSD 350的所有人或用户可以或想要使用SSD 350，就不允许使用目标SSD 360。可以由第 三方使目标SSD处理存储在其中的数据、或者使用例如结合图2在这里描述的任何方法，来 执行禁用目标SSD。图7示出了根据例子实施例的向源SSD 720认证第三方710以及相反情况的认证 方法。认证过程涉及交换认证证书和使用私钥基础设施(πα)方法，如下所述。可以与图3和6相似或相同的第三方710在其中存储有第三方证书711、第三方私 钥712以及源SSD 720的或与源SSD 720相关联的根证书713。第三方证书711包括第三 方710的公钥。同样，可以与图1的SSD 100相似或相同的源SSD 420在它的安全性管理 存储区域中存储有SSD证书721、SSD私钥722和第三方根证书723。SSD证书721包括源 SSD 720的公钥。认证过程可以包括如下阶段(1)公钥验证，(2)私钥验证，以及(3)会话 密钥协商，将在下面讨论它们。公钥验证响应于用于开始数据备份过程的用户指令(例如通过使用诸如用户应用370之类 的用户应用)，第三方710向源SSD 720发布并发送“设置证书”命令731以开始相互的认 证会话。作为发起者，第三方710与设置证书命令731 —起发送它的认证证书(即“第三方 证书” 711)。响应于设置证书命令731，源SSD 720利用“第三方根证书” 723来验证(732 处所示)第三方证书711的真实性。如果验证失败，则源SSD 720中断认证过程。如果第 三方710的认证证书(即“第三方证书” 711)被源SSD 720验证(732处所示)，则源SSD 720通过向第三方710发送它自己的认证证书(即“源SSD证书” 721)来响应于由第三方 710发布的命令733 (即“获取证书”)。
第三方710接收源SSD的认证证书(即“源SSD证书” 721)，并通过使用源设备根 证书713来验证(734处所示)“设备证书”721的真实性。如果该验证也成功，则双方(第 三方720和源SSD 720)从相应的认证证书得到对方的公钥第三方710根据被验证的源 SSD证书721而具有源SSD 720的公钥735，以及源SSD 720根据被验证的第三方证书711 而具有第三方710的公钥736。在完成该阶段之后，双方前进到作为“私钥验证”阶段的下 一阶段。典型地，将第三方根证书723存储在SSD的隐藏存储受限(隐藏)存储区域中。私钼验证可以通过使用各种加密方案来验证SSD或第三方的私钥，在下文中描述加密方案 之一。通过使用双边质询(challenge)-响应机制来完成私钥验证，其中源SSD 720通过使 用命令741( “获得质询”)来质询第三方710，其中源SSD 720使用由源SSD 720生成的相 对长(例如32字节)的质询随机数(742处所示)来将该命令提供给第三方710。第三方 710根据在H(CS#1版本2. 1中定义的RSA加密方案或者根据现在存在或将来可能提出的 任何其他恰当版本，通过使用第三方私钥712签章(743处所示)质询随机数来响应于命令 741 ( “获取质询”)。简要地，“RSA” (姓Rivest, Shamir和Adleman的首字母)是用于签 章和加密数字数据的加密算法。RSA涉及使用每个人已知的并用于加密消息的公钥以及私 钥。仅仅可以通过使用相比配(即相关联)的私钥来解密用公钥加密的消息。根据在RKCS#1版本2. 1中定义的RSA加密方案，源SSD 720通过使用第三方公钥 736来验证所签章(sign)的响应(744处所示)，其导致期望是随机数742的数的提取。如 果所提取的数匹配于随机数742，则这向源SSD 720指示第三方710是它的对话方并且第三 方710合格于从源SSD 720接收数字数据。如果在745处提取的数不同于随机数742，则认 证失败并且源SSD 720中断认证过程。第三方710利用相似的质询-响应机制来质询源SSD 720。也就是，第三方710生 成随机数并将它发送给源SSD 720，检查由源SSD 720返回的数是否匹配于所生成的随机 数。如果两个数相匹配，则这向第三方710指示源SSD 720是它的对话方并且源SSD 720 合格于由目标SSD备份。如果数不相匹配，则认证过程失败并且第三方710中断认证过程。在完成相互认 证阶段之后，双方(即，第三方710和源SSD 720)可以前进到作为“会话密钥协商”阶段的 下一阶段。通常，将第三方的根证书和SSD的私钥存储在SSD的受限(隐藏)存储区域中。会话密钥协商如上所述，通过以多种方式使用可以对于第三方710和源SSD 720可用的会话密 钥(在这里被称为“第一会话密钥”)，可以建立第三方和源SSD之间的安全信道(在这里 被称为“第一安全信道”)。也就是，可以由它们生成会话密钥(例如以图7所示的方式)， 或者从外部系统或设备向它们提供会话密钥。第三方710和源SSD 720将会话密钥用作双向(S卩，源SSD/第三方)认证的一部 分，以完成它们相互的认证过程，并且还用作加密密钥来加密在第三方710和源SSD 720之 间交换的数据。由第三方710和源SSD 720联合随机化会话密钥，并且会话密钥对于它们双 方是已知的，因为它由两个随机数(751和761处所示)组成，其中一个随机数(即随机数 761)由第三方710生成并在加密之后发送给源SSD 720，以及另一随机数(即随机数751) 由源SSD 720生成并在加密之后发送给第三方720，如下所述。
源SSD 720生成随机数751，并在加密(752处所示)之后将它发送给在那里解密 它的第三方710 (753处所示)。第三方710生成随机数761，并在加密(762处所示)之后 将它发送给在那里解密它的源SSD 720 (763处所示)。由每一侧生成的随机数可以长16字 节，并且它可以根据在H(CS#1版本2. 1中定义的RSA加密方案来加密。在每一方处“异或” 两个随机数751和761导致第三方710和源SSD 720具有相同的会话密钥(分别在771和 772中示出)。会话密钥将是根据两个随机数的异或操作得到的16字节的二进制值。在生成会话密钥之后，源SSD 720需要第三方已经生成并将使用相同会话密钥的 证明。作为证明，第三方710转发(781处所示)作为用会话密钥771加密的AES(高级加 密标准)的“开始会话”命令。源SSD 720用会话密钥772解密“开始会话”命令，并验证 “开始会话”命令包括消息“开始会话”。如果会话密钥771和772不相匹配，则认证过程失 败并且源SSD 720中断登陆过程。反之，源SSD 720利用会话密钥772来加密并向第三方 710发送(782处所示)“认证完成”消息782。第三方710使用会话密钥771解密“认证完 成”消息782，并验证“认证完成”消息782包含消息“认证完成”。该最后一个步骤完成了会 话密钥协商过程，并以安全的方式打开了可以通过其在第三方710和源SSD 720之间交换 命令和数据(例如数字数据)的安全信道。将在整个通信会话期间由第三方710和源SSD 720使用会话密钥，其中整个通信会话是直到第三方710读出存储在源SSD 720中的整个数 字数据的时段。通过必要的修正(mutatis mutandis)，可以类似地将在图7中例示的认证 和会话密钥生成过程用于向目标SSD认证第三方710以及相反的情况。也就是，在后一种 情况下，应该用词“目标”替代词“源”。在生成第一和第二会话密钥之后，通过源SSD用对于第三方可得的第一会话密钥 加密数字数据，来建立第一安全信道，以及通过第三方用第一会话密钥解密所加密的数字 数据、并用对于目标SSD可得的第二会话密钥加密所解密的数字数据，来建立第二安全信 道。可以将第一会话密钥和第二会话密钥存储在第三方中以及在制造SSD期间或之后存储 在各个SSD中。由源SSD用第一会话密钥加密数字数据可以包括前一步骤由源SSD用对于目标 SSD可得但对于第三方不可得的内容密钥来加密数字数据。可以在其制造期间将内容密钥 存储在源SSD和目标SSD中，或者可以由一方(例如源SSD)生成它们，并将它们传输给另 一方(例如目标SSD)，将在下面结合图8来描述后一种可选情况。第三方710参与建立包括与源SSD 720的第一安全信道和与目标SSD (未在图7中 示出)的第二安全信道的虚拟安全信道所要求的加密密钥的生成过程。然而，如上所述，第 三方可以将数字数据从源SSD拷贝到目标SSD，而无需第三方生成加密/解密密钥，并且无 需第三方知道源SSD和目标SSD使用哪个(哪些)加密/解密密钥，如下面描述的图8所示。图8示出了根据例子实施例的由源SSD 720进行的生成内容密钥的方法。为了 维持数字数据的私密性、同时将它(通过并经由第三方810)从源SSD 820转发到目标SSD 830，源SSD 820和目标SSD 830承担安全性责任，第三方承担中间角色，如下所述。假设第 三方810、源SSD 820和目标SSD 830已经完成了上面结合图7描述的公钥和私钥验证阶 段，因此，第三方810将目标SSD 830与包含目标SSD 830的公钥的认证证书相关联。通常， 源SSD 820在发送它的数字数据之前随机生成用于加密它的数字数据的内容密钥。在这之后，源SSD 820将内容密钥转发给目标SSD 830，使得目标SSD 830可以使用内容密钥来解 密所加密的数字数据。如下所述来执行内容密钥生成过程。在第三方810和目标SSD 830相互认证之后，第三方810保存目标SSD 730的认 证证书835。通常，第三方810将目标SSD 830的公钥转发给源SSD 820 ；源SSD 820利用 目标SSD的公钥来加密内容密钥(即用于密码化数据的密钥)；以及目标SSD 830利用内 容密钥来解密所加密的数据。为了实现这个，第三方810将目标SSD 830的认证证书835 转发840给源SSD 820，并且源SSD 820验证目标SSD 830的SSD证书835被由第三方保存 的目标SSD的根认证证书所签章。一旦目标SSD的根证书上的签字被源SSD 820验证，源 SSD 820就从目标SSD的认证证书中提取845目标SSD 830的公钥。源SSD 820生成充当 内容密钥的随机数850。然后，源SSD 820用所提取的目标SSD 830的公钥来加密855的随 机数(即内容密钥)，用源SSD的私钥来签章所加密的内容密钥，将源SSD的认证证书连接 到所签章的被加密的内容密钥，并向第三方810转发860所签章的被加密的内容密钥825。 在870处，第三方810将所加密的内容密钥825如其原样转发给目标SSD 830。接着，目标 SSD 830确保源SSD的认证证书已经被由第三方810保存的源SSD的根认证证书所签章，并 使用它的私钥836来解密所加密的内容密钥。目标SSD 830还使用保存在源SSD的证书中 的源SSD的公钥，以确保内容密钥没有改变。从该点开始，源SSD 820可以安全地经由第三方810向目标SSD 830发送数字数 据。由于不知道目标SSD的私钥，所以第三方810不能解密源SSD 820通过它向期望是安 全的目标SSD 830转发的任何数据。因此，第三方810将目标SSD 830的认证证书/公钥 从目标SSD 830传输或中继到源SSD 820，并将所加密的内容密钥从源SSD 820传输或中继 到目标SSD 830。可替代地，可以在源SSD的制造期间使内容密钥对于源SSD可用，并通过 将内容密钥从或经由第三方传输到目标SSD来使内容密钥对于目标SSD可用。可替代地， 通过将它从目标SSD经由第三方传输，可以使内容密钥对于源SSD可用。图9示出了示范性的认证证书的层次。安全存储设备和服务提供商信任PKI系统 根CA( “CA”代表“证明中心”)910。作为SSD的唯一根CA的设备的根CA 920被包含在第 三方中或由第三方保存，以允许第三方认证SSD。第三方可以为授权接受由第三方提供的数 字备份服务的SSD保存SSD的根CA列表。同样，作为第三方的根CA的第三方的根CA 930 被包含在SSD中或由SSD保存。由PKI系统根CA 910签章安全存储CA设备的根CA 920和 第三方的根CA 930中的每一个。因此，可以说对于安全存储CA设备的根CA 920和第三方 的根CA 930，共同受信任的中心(即PKI系统根CA 910)代表信任。作为SSD的证书的安 全存储设备证书940被包含在SSD中或由SSD保存，并由安全存储设备的根CA 920签章。 同样，作为第三方的证书的第三方证书950被包含在SSD中或由SSD保存，并由第三方的根 CA 930签章。如上所述，第三方信任安全存储CA设备的根CA 920，以及SSD信任第三方的根CA 930。因此，通过将安全存储CA设备的根CA 920放置、存储或保存在第三方中，并将第三方 的根CA 903放置、存储或保存在SSD中，可以帮助第三方和安全存储设备之间的相互信任。 更具体地，只有在第三方从SSD接收由安全存储设备的根CA 920签章的认证证书的情况 下，第三方才将信任SSD。同样，只有在SSD从第三方接收由第三方的根CA903签章的认证 证书的情况下，SSD才将信任第三方。对于第三方和源SSD，成功的认证还意味着，第三方合格于、被授权或有权利从源SSD接收或读取数字数据，以及源SSD合格于、被授权或有权利 接受由第三方提供的数据备份服务。对于第三方和目标SSD，成功的认证还意味着，第三方 合格于、被授权或有权利将数字数据写入目标SSD，以及目标SSD合格于、被授权或有权利 备份源SSD。图10示出了根据例子实施例的将SSD(在这里被称为“源SSD”)的数字数据备份 到另一 SSD(在这里被称为“目标SSD”)中的高层方法。将结合图3描述图10。假设源SSD 350包含或存储有包括不能被传输到不合格设备(即由其备份)的受 保护数据的数字数据，以及用户想要将源SSD 350的数字数据备份到目标SSD 360中，用户 将源SSD 350插入卡阅读器330并将目标SSD 360插入卡阅读器；340，并在步骤1010处，调 用主机设备320上的用户应用370以提示第三方310执行数据备份过程、或开始与源SSD 350和目标SSD 360的数据备份会话。数据备份过程包括两个单独的阶段“备份SSD准备”阶段，其中第三方310在步 骤1020处执行以使备份SSD(在该例子中为目标SSD 360)为备份数据做好准备；以及“备 份SSD使用准备”阶段，其中第三方310在步骤1040处执行以使备份SSD可用或可操作。 为了使数据备份过程发生，需要满足多个备份合格性先决条件，如这里所说明的。使备份SSD做好准备(即将SSD准备为备份设备)通常意味着将被备份的SSD (即 源SSD)的数字数据拷贝到备份SSD(即目标SSD)，并将备份SSD保持在睡眠状态(即无效、 不可操作、不可用或禁用)，至少使得只要存储在被备份的SSD中(即源中)的原始数字数 据由其合法用户或所有人使用或可以使用，就不能由任何设备使用其数字数据。假设满足 合格性先决条件，第三方310在源SSD 350和目标SSD 360之间建立虚拟安全信道，并将源 SSD 350的数字数据通过所建立的虚拟安全信道拷贝到目标SSD 360。在第三方310将目标SSD 360准备为备份之后，在步骤1030处，它等待用户应用 370发布备份请求。备份请求也被称为“SSD交换指令”以操作性地交换两个SSD。如果用户 应用370还没有发布交换指令(步骤1030处的“N”所示)，则第三方310继续(步骤1035 处所示)等待交换指令。如果源SSD 350被偷、丢失或损坏了，则它的合法用户可以调用用户应用370来向 第三方310发送SSD交换指令。当从用户应用370接收SSD交换指令(步骤1030处的“Y” 所示)时、同时、之后或响应于此，第三方310使备份SSD(例如目标SSD 360)为使用做好 准备。第三方310需要使备份SSD为使用做好准备，因为在该时期中备份SSD禁用；S卩，从 源SSD拷贝到此的数字数据不可用。在下面描述的图11中更详细阐述将SSD准备为备份 SSD并使备份SSD为使用做好准备。图11示出了根据例子实施例的将SSD准备为备份SSD、并在这之后使备份SSD为 使用做好准备的方法。将结合图3来描述图11。用户将源SSD插入主机设备系统305，并在步骤1105处调用主机设备系统305上 的用户应用370来提示第三方310执行数据备份过程或开始与源SSD 350和目标SSD 360 的数据备份会话。如上面结合图10所描述的，数据备份过程包括第三方310准备备份SSD 的第一阶段、以及第三方使备份SSD为使用做好准备的第二阶段。准备备份SSD在可以将目标SSD 360准备为源SSD 350的备份SSD之前，源SSD ；350、目标SSD360(即，期望的或潜在的备份SSD)和第三方310需要满足合格性先决条件。例如，在步骤 1110处，第三方310检查源SSD 350是否合格于由目标SSD备份或者由另一 SSD针对该情 况备份。如果第三方310确定源SSD 350不合格于由目标SSD备份(如步骤1110处的“N” 所示)，则第三方310终止或中断数据备份过程。然而，如果第三方310确定源SSD 350合 格于由目标SSD 360备份(如步骤1110处的“Y”所示)，则在步骤1115处第三方310(通 过通信线380、数据网络390和通信线35 建立与源SSD 350的第一安全信道。与源SSD 350的第一安全信道是第三方310在之后在源SSD 350和目标SSD 360之间完成的虚拟安 全信道的一部分。通常，仅仅在目标SSD 360向第三方310证明它备份源SSD 350或备份 多个SSD的合格性之后，第三方310才将完成虚拟安全信道。在步骤1120处，第三方310通过第一安全信道从源SSD 350读取数字数据(包括 受保护数据)，并且根据一个例子，保存所读取的数字数据，直到到达将它传输到目标SSD 360的时候。根据另一例子，第三方310可以在将数字数据拷贝到目标SSD 360之后，将所 读取的数字数据保存额外时间段(例如月或年)。如果备份SSD也被偷、丢失或损坏了，后 一例子也是有用的，因为同样地可以将数字数据存储在另一 /新SSD中。根据再一例子，第 三方310可以将所读取的数字数据保存预定时间段(例如2天)，在这之后，第三方310将 删除它而不管是否将它拷贝到目标SSD 360或另一备份SSD。如果第三方310删除它的拷 贝，则它可以在之后从所牵涉的源SSD得到数字数据的另一拷贝。在步骤1125处，第三方310检查目标SSD 360是否合格于备份源SSD 350或针对 该情况的另一源SSD。如果第三方310确定目标SSD 360不合格于备份源SSD 350(如步 骤1125处的“N”所示)，则第三方310终止或中断数据备份过程。然而，如果第三方310确 定目标SSD 360合格于备份源SSD 350(如步骤1125处的“Y”所示)，则在步骤1130处第 三方310(通过通信线380、数据网络390和通信线36 建立与目标SSD 360的第二安全 信道，从而完成源SSD 350和目标SSD 360之间的虚拟安全信道。在步骤1135处，第三方 310通过第二安全信道将它之前通过第一安全信道从源SSD 350读取的数字数据(包括受 保护数据)拷贝到目标SSD 360。在将源SSD 350的数字数据拷贝到目标SSD 360之后， 并假设源SSD 350仍然由它的合法用户或所有人使用，在步骤1140处，第三方310使目标 SSD 360禁用或无效，使得它的数字数据不能由任何设备使用。在步骤1150处，第三方310检查是否从用户应用370接收了 SSD交换指令。如果 没有接收这样的指令(如步骤1145处的“N”所示)，则假设源SSD 350的用户仍然可以使 用原始SSD (即源SSD 350)，因此，目标SSD 360仍然禁用、不可操作、不可用或无效，并且第 三方310继续等待或等候(mute) (1150处所示)交换指令。用“第三方310继续等待”来 表示第三方310可以有效操作(“开启”)并实际等待指令、或者不可操作(“关闭”)。然 而，因为由第三方310提供的服务是在线服务，所以第三方310应该是有效操作的，等待将 从用户接收的备份请求或SSD交换指令。在从用户应用370接收SSD交换指令(如步骤1150处的“Y”所示)时、之后或者 响应于此，在步骤1155处，第三方310启用、激活或恢复目标SSD 360，并在步骤1160处，第 三方310禁用源SSD 350或使源SSD 350无效，以确保仅仅只有数字数据的一个拷贝可用， 该拷贝从现在起是存储在目标SSD 360中的拷贝。在源SSD 350被禁用之后，要求启用目标SSD 360 (备份SSD)以允许它而不是被禁用的SSD (即，不是源SSD 350)被使用。因此，在步骤1165处，启用目标SSD 360，并在这 之后，使用它就好像它是(取代)源SSD 350，这时，源SSD 350和目标SSD 360可以被认为
已经交换了。要注意的是，可以以不同的顺序来执行至此描述的步骤(例如，包括步骤1110至 1135)的顺序，因为第三方310可以在检查源SSD 350的合格性之前或同时来检查目标SSD 360的合格性，并在建立第一安全信道之前或同时来建立第二安全信道，取决于可能存在的 情况(即，取决于由用户应用370提供的特征和选项，并取决于由用户实际选择的选项)。如果源SSD 350仍然可以由它的合法所有人或用户使用，则必须阻止任何设备对 目标SSD 360的使用(即对它的数字数据的使用)。同样地，如果因为一些原因、源SSD 350 的合法所有人或用户想要使用目标SSD 360而不是源SSD 350，则必须阻止任何设备对源 SSD 350的使用(即对它的数字数据的使用)。如果阻止任何设备对SSD (例如源SSD 350 或目标SSD 360)的使用，则阻止其使用的SSD可以被视为或认为“无效”、“不可操作”或“禁
田，，对上述目标禁用方法的一种替代，可以由第三方310在将数字数据传输到目标 SSD 360之前或同时通过加密数字数据来禁用目标SSD 360。可以通过使用只对第三方已 知的加密密钥来加密数字数据，使得传输到目标SSD 360的数字数据由于加密将不可由任 何设备/SSD使用。然而，如果设备/SSD从第三方310请求加密密钥以解密所加密的数字 数据，则在满足上述相关先决条件之后第三方310服从该请求。当完成将数字数据传输到 目标SSD之后，用户应用370可以向用户提供相应的消息(例如“备份过程完成”)。第三方310可以维持列出被撤销(revoked)(即被禁用)的源SSD的SSD撤销 (revocation)表格。每次第三方310接收新的源SSD的标识符，第三方310用新的源SSD 填充SSD撤销表格或更新该表格。在第三方310将源SSD的数字数据拷贝到备份/目标SSD之前或紧跟在这之后， 第三方310将源SSD标记为“被撤销”(即被禁用)。在第三方310从主机接收使用特定SSD的请求时、之后或响应于此，第三方310搜 索SSD撤销表格来寻找该特定SSD，并且如果在该表格中该特定SSD被标记为“被撤销”，则 第三方310向持有该特定SSD的主机发送消息，“告诉”该主机该特定SSD被撤销了，因此不 应该使用它。包括将主机的请求发送给第三方以使用特定SSD、并且第三方响应于该请求的过 程在这里被称为“发布”或“发布源SSD的标识符”。第三方可以更新SSD表格，并且每次每 隔一会儿将所更新的SSD表格发送给主机设备系统。SSD可以是闪存存储器设备。可以从如下集合中选择闪存存储器设备，包括(没有 穷尽列出)信任闪存(Trusted Flash)设备、安全数字(“SD”)、迷你SD(miniSD)、微SD、 硬驱动(“HD”)、存储条(“MS”)、USB设备、磁盘钥匙盒(“DOK”)、iNAND等。要注意的 是，源SSD和/或目的SSD可以是非闪存设备。取决于上下文，条目(articles) “一(a)”和“一(an) ”在这里被用来指该条目的 一个或多于一个(即至少一个)语法对象。通过例子的方式，取决于上下文，“元件”可以 表示一个元件或一个以上元件。术语“包括”在这里被用来表示短语“包括但不限于”，并且 可以与该短语“包括但不限于”交换使用。术语“或”和“和”在这里被用来表示术语“和/或”，并且可以与该术语“和/或”交换使用，除非上下文清楚地指示相反的情况。术语“例 如”在这里用来表示短语“例如但不限于”，并且可以与该短语“例如但不限于”交换使用。
至此描述了本发明的示范性实施例，对于本领域技术人员将明显的是，所公开的 实施例的修改将在本发明的范围内。从而，替代实施例可以包括更多模块、更少模块和/或 功能等价模块。本公开与各种类型的安全大容量存储设备相关，例如SD驱动的闪存存储 卡、闪存存储设备、非闪存存储设备等。
权利要求
1.一种准备备份安全存储设备的方法，包括a)确定源安全存储设备是否被授权来传递将由目标存储设备备份的安全数据，所述源 安全存储设备包含包括如果未被授权的话则不可由所述源安全存储设备传输的安全数据 的数字数据；b)确定所述目标安全存储设备是否被授权来备份来自所述源安全存储设备的安全数 据；以及c)如果所述源安全存储设备被授权来使其内的安全数据由所述目标安全存储设备备 份、并且所述目标安全存储设备被授权来备份来自所述源安全存储设备的安全数据，则在 所述源安全存储设备和所述目标安全存储设备之间建立安全信道，并将所述数字数据通过 所述安全信道从所述源安全存储设备拷贝到所述目标安全存储设备，使得所述目标安全存 储设备中的所述数字数据的拷贝不可用直到所述目标安全存储设备被启用为止。
2 如权利要求1所述的方法，其中由所述源安全存储设备、由所述目标安全存储设备 或者由受信任第三方使所述目标安全存储设备中的所述数字数据的拷贝不可用。
3.如权利要求1所述的方法，其中在将所述数字数据从所述源安全存储设备拷贝到所 述目标安全存储设备之前、期间或之后，使所述目标安全存储设备中的所述数字数据的拷 贝不可用。
4.如权利要求1所述的方法，其中通过如下中的任何一个来使所述目标安全存储设备 中的所述数字数据的拷贝不可用(i)在将所述数字数据拷贝到所述目标安全存储设备之 前或同时改变所述数字数据，(ii)修改所述目标安全存储设备的属性，以及(iii)在所述 目标安全存储设备处配置所拷贝的数字数据。
5.如权利要求1所述的方法，其中由所述目标安全存储设备或者由受信任第三方进行 所述源安全存储设备是否被授权来由所述目标存储设备备份的确定，以及其中由所述源安 全存储设备或由所述受信任第三方进行所述目标安全存储设备是否被授权来备份所述源 安全存储设备的确定。
6.如权利要求1所述的方法，还包括d)通过禁用所述源安全存储设备使得所述源安全存储设备中的数字数据不可用、并启 用所述目标安全存储设备使得拷贝到此的数字数据可用，将所述目标安全存储设备准备为 用作备份安全存储设备。
7.如权利要求6所述的方法，其中通过受信任第三方发布所述源安全存储设备的标识 符，实现禁用所述源安全存储设备，其中启用所述目标安全存储设备包括所述受信任第三 方恢复(i)所述目标安全存储设备中的数据、或者(ii)所述目标安全存储设备的属性、或 者(iii)所述目标安全存储设备的配置。
8.如权利要求7所述的方法，其中将所述源安全存储设备的标识符从所述源安全存储 设备(i)在相互认证期间、或作为嵌入在从所述源安全存储设备拷贝到所述目标安全存储 设备的所述数字数据中的数据，传输到所述目标安全存储设备，然后传输到所述受信任第 三方，或者(ii)在相互认证期间、或作为嵌入在从所述源安全存储设备拷贝到所述受信任 第三方的所述数字数据中的数据，直接传输到所述受信任第三方。
9.如权利要求1所述的方法，还包括d)由所述源安全存储设备或由所述目标安全存储设备接收由用户应用发起的备份请求，以将所述源安全存储设备的所述数字数据备份到所述目标安全存储设备中。
10.如权利要求5所述的方法，还包括d)由所述源安全存储设备确定所述受信任第三方是否被授权来接收所述源安全存储 设备的所述数字数据；以及e)如果所述源安全存储设备被授权来被备份、并且所述受信任第三方被授权来从所述 源安全存储设备接收所述数字数据，则在所述源安全存储设备和所述受信任第三方之间建 立第一安全信道，并将所述数字数据通过所述第一安全信道从所述源安全存储设备拷贝到 所述受信任第三方。
11.如权利要求10所述的方法，还包括f)由所述受信任第三方确定所述目标安全存储设备是否被授权来接收所述数字数据；以及g)如果所述目标安全存储设备被授权来从所述受信任第三方接收所述数字数据、并且 所述受信任第三方被授权来将所述数字数据发送给所述目标安全存储设备，则在所述源安 全存储设备和所述受信任第三方之间建立第二安全信道，并将所述数字数据通过所述第二 安全信道从所述受信任第三方拷贝到所述目标安全存储设备。
12.一种用于将一个安全存储设备的数字数据备份到另一安全存储设备中的受信任第 三方，所述受信任第三方包括a)认证管理器，所述认证管理器被配置为(i)认证目标安全存储设备，所述目标安全 存储设备包含源自源安全存储设备的不可用的数字数据，所述数字数据包括不可传输到未 授权设备的安全数据，以及(ii)与被认证的目标安全存储设备建立安全信道；b)存储设备配置器，(i)用于禁用所述源安全存储设备以使存储在其中的数字数据不可用；以及( )用于通过所述安全信道启用所述目标安全存储设备，以使所述目标安全存储设备 中的数字数据可用。
13.如权利要求12所述的第三方，其中所述存储设备配置器还被配置为通过恢复(i) 所述目标安全存储设备中的被修改的数据、或者(ii)所述目标安全存储设备的被修改的 属性、或者(iii)所述目标安全存储设备的被修改的配置，来启用所述目标安全存储设备。
14.如权利要求12所述的第三方，其中所述存储设备配置器还被配置为从所述源安全 存储设备或从所述目标安全存储设备接收所述源安全存储设备的标识符，以及向所述源安 全存储设备的主机发布所述标识符以禁用所述源安全存储设备。
15.如权利要求12所述的第三方，还包括c)数据读/写机构，被配置为从所述源安全存储设备读取所述数字数据，并将所读取 的数字数据通过安全信道写入所述目标安全存储设备。
16.如权利要求15所述的第三方，其中所述认证管理器还被配置为在所述数据读/写 机构从所述源安全存储设备读取所述数字数据之前，认证所述源安全存储设备，并向所述 源安全存储设备认证所述第三方。
17.如权利要求15所述的第三方，其中所述数据读/写机构从所述源安全存储设备读 取的所述数字数据包括所述源安全存储设备的标识符。
18.如权利要求17所述的第三方，其中所述存储设备配置器还被配置为通过向持有所述源安全存储设备的主机发布所述源安全存储设备的标识符，来禁用所述源安全存储设 备。
19.一种帮助将其中的受保护数据备份到目标安全存储设备中的安全存储设备，所述 安全存储设备包括a)存储数字数据的大容量存储区域，所述数字数据包括不可传输到未授权设备的安全 数据；以及b)安全存储控制器，被配置为(i)确定目标安全存储设备或受信任第三方是否被授权 来从那里接收所述数字数据，如果是，则在所述安全存储控制器和所述目标安全存储设备 之间或在所述安全存储控制器和所述受信任第三方之间建立安全信道，以及(ii)通过相 应的安全信道直接或经由所述受信任第三方将所述数字数据传输到所述目标安全存储设 备来备份。
20.如权利要求19所述的安全存储设备，其中所述安全存储控制器还被配置为禁用所 述目标安全存储设备以使所传输的数字数据不可用。
21.如权利要求20所述的安全存储设备，其中所述安全存储控制器在所述安全存储控 制器将所述数字数据传输到所述目标安全存储设备或所述第三方之前、期间或之后，使所 传输的数字数据不可用。
22.如权利要求19所述的安全存储设备，其中所述安全存储控制器还被配置为将所述 源安全存储设备的标识符直接或经由所述目标安全存储设备传输到所述第三方，以使所述 第三方使用所述标识符来禁用所述安全存储设备。
23.如权利要求22所述的安全存储设备，其中所述安全存储控制器在与所述第三方或 目标安全存储设备的相互认证期间、或作为嵌入在所传输的数字数据中的数据，将所述标 识符传输到所述第三方或所述目标安全存储设备。
24.如权利要求19所述的安全存储设备，其中所述安全存储控制器还被配置为(iii) 确定源安全存储设备是否被授权来向所述安全存储设备发送包括如果未被授权的话则不 可由所述源安全存储设备传输的安全数据的数字数据，以及如果是，(ii)在所述安全存储 设备和所述源安全存储设备或所述第三方之间建立安全信道，并通过各自的安全信道直接 从所述源安全存储设备或经由所述第三方接收所述源安全存储设备的数字数据。
25.如权利要求M所述的安全存储设备，其中，如果从所述源安全存储设备接收的数 字数据可用，则所述安全存储控制器还被配置为禁用所述安全存储设备，使得从所述源安 全存储设备接收的数字数据被呈现不可用。
26.如权利要求25所述的安全存储设备，其中所述安全存储控制器通过如下中的任何 一个来使所述源安全存储设备中的数字数据不可用(i)改变所述安全存储设备中的数字 数据，或者(ii)修改所述安全存储设备的属性，或者(iii)配置从所述源安全存储设备拷 贝到所述安全存储设备的数字数据。
27.如权利要求沈所述的安全存储设备，其中所述安全存储控制器还被配置为通过使 所述安全存储设备中的不可用的数字数据可用，来将所述安全存储设备准备为用作备份安 全存储设备。
28.如权利要求27所述的安全存储设备，其中所述安全存储控制器通过恢复所述安全 存储设备中的数据、所述目标安全存储设备的配置或者所述目标安全存储设备的属性，来使所述安全存储设备中的数字数据可用。
29.如权利要求27所述的安全存储设备，其中作为准备所述安全存储设备以作为备份 安全存储设备来操作的一部分，所述安全存储控制器将所述源安全存储设备的标识符发送 给所述第三方，以由所述第三方将它发布给持有所述源安全存储设备的主机，使得存储在 所述源安全存储设备中的数字数据不可用。
30.如权利要求四所述的安全存储设备，其中所述安全存储控制器直接从所述源安全 存储设备或经由所述受信任第三方接收所述源安全存储设备的标识符。
全文摘要
第三方帮助准备备份SSD以备份源SSD。通过并经由第三方或者直接从源SSD但在第三方的监管下，将包括受保护和敏感数据和信息的源SSD的数字数据拷贝到备份SSD。在严格的规则下，并且仅仅在每一方(即源SSD、目标SSD和第三方)向它与之一起操作的相对方设备证明它被授权来发送数字数据或从那里接收数字数据(取决于该方与之一起操作的设备)的情况下，才将源SSD的数字数据拷贝到备份SSD。
文档编号G06F21/00GK102084373SQ200980125995
公开日2011年6月1日 申请日期2009年7月20日 优先权日2008年8月4日
发明者罗特姆·西拉, 阿维亚德·泽 申请人:桑迪士克以色列有限公司