本发明专利技术涉及具有分区的通用内容控制。在一些移动存储装置中,通过将存储器划分为多个独立区域来提供内容保护,在所述独立区域中,存取受保护区域需要在先认证。尽管此特征提供某种保护,但其却不能保护免受通过非法途径获得口令的用户存取。因此,本发明专利技术的另一方面是基于以下认识的:可提供一种机制或结构来将存储器划分为多个分区,且使得所述分区中的至少一些数据可用密钥来加密,以使得除了存取某些所述分区所要求的认证之外,可能需要存取一个或一个以上密钥来解密此类分区中经加密的数据。在一些应用中,可更方便地使得用户能够通过使用一个应用程序来登录存储器系统,且接着能够使用不同应用程序来存取受保护内容而无需再次登录。在此类情况下,可将用户想要以此方式存取的所有内容与第一帐户进行关联,以使得可经由不同应用程序(例如,音乐播放器、电子邮件、蜂窝式通信等)来存取所有此类内容而无需多次登录。接着,可将不同组的认证信息用于进行登录,以存取在与所述第一帐户不同的账户中的受保护内容,即使所述不同帐户是针对相同用户或实体的。
【技术实现步骤摘要】
本专利技术大体上涉及存储器系统,更明确地说,涉及一种具有通用内容控制特征的 存储器系统。
技术介绍
计算装置市场正朝向在移动存储装置上包括内容存储以便通过产生较多数据交 换来增加平均收入的方向发展。这意味着在将移动存储媒体中的内容用于计算装置上时需 要保护所述内容。内容包括有价值的数据,此可为除了制造或出售所述存储装置的人之外 的群体所拥有的数据。在第6,457,126号美国专利中描述一种具有加密能力的存储装置。然而,此装置 所提供的能力非常有限。因此,需要提供一种具有较多通用内容控制特征的存储器系统。
技术实现思路
移动存储媒体中的内容保护可涉及加密媒体中的数据,以使得仅授权用户或应用 程序可存取用于加密存储在媒体中的数据的密钥。在一些现有系统中,用于加密和解密数 据的密钥存储在移动存储媒体外部的装置中。在此类情况下,拥有内容所有权权益的公司 或个人可能对媒体中内容的使用没有很多控制。由于用于加密媒体中数据的密钥存在于媒 体外部,因而可用不受内容所有者控制的方式将此密钥从一个装置传递到另一个装置。根 据本专利技术的一个特征,如果加密-解密密钥存储在媒体自身中且实质上不可由外部装置存 取,那么所有者权益的拥有者将占据控制存取媒体中内容的较佳位置。通过使得基本上不可从媒体外部存取密钥,此特征对安全内容提供可携性。因此, 含有以此类密钥来加密的安全内容的存储装置可用于由各种主机装置来存取,而没有破坏 安全性的危险,因为所述装置具有对存取密钥的专有控制。只有那些具有适当证书的主机 装置才能够存取所述密钥。为了增强存储在移动存储媒体中的内容的商业价值,需要内容所有权权益的拥有 者能够将不同许可授权给不同实体以用于存取内容。因此,本专利技术的另一特征基于以下认 识可存储用于授权不同许可(例如,给不同经授权实体)以存取存储在媒体中的数据的存 取策略。并入有所述两个上述特征的组合的系统尤其有利。一方面,内容拥有者或所有者 具有通过使用实质上外部装置不可存取的密钥来控制存取内容的能力,且同时具有授权用 于存取媒体中内容的不同许可的能力。因此,即使在外部装置获得存取的情况下,其存取仍 可受记录在存储媒体中的由内容拥有者或所有者设定的不同许可支配。又一特征基于以下认识当在快闪存取器中实施上述策略(其中将不同许可授权给不同经授权实体)时,这导致对内容保护尤其有用的媒体。许多存储装置不知道文件系统,而许多计算机主机装置以文件形式读取和写入数 据。根据另一特征,主机装置提供密钥参考或ID,而存储器系统作为响应产生与所述密钥 ID相关联的密钥值,其中所述密钥值用于密码处理与所述密钥ID相关联的文件中的数据。 主机将所述密钥ID与待由存储器系统密码处理的文件进行关联。因此,密钥ID由计算装 置和存储器用作句柄,存储器通过所述句柄保持对用于密码处理的密钥值的产生和使用的 完全且专有控制,而主机保持对文件的控制。在例如智能卡的一些移动存储装置中,卡控制器管理文件系统。在例如快闪存储 器、磁碟或光碟的许多其它类型的移动存储装置中,装置控制器不知道文件系统;而是,装 置控制器依赖主机装置(例如,个人计算机、数码相机、MP3播放器、个人数字助理、蜂窝式 电话)来管理文件系统。本专利技术的各种方面可容易地并入到此些类型的存储装置中,其中 所述装置不知道文件系统。这意味着可在各种各样的现有移动存储装置上实践本专利技术的各 种特征而无需重新设计此类装置来使得此类装置中的装置控制器变得知道且能够管理文 件系统。存储媒体中所存储的树结构提供对于实体在恰好获得存取之后可进行什么的控 制。树的每个节点指定对于已通过树的此节点获得入口的实体的许可。一些树具有不同等 级,其中在树的一节点处的一个或多个许可与在同一树中较高或较低或相同等级的另一节 点处的一个或多个许可具有预定关系。通过要求实体遵守在每个节点处如此指定的许可, 此应用程序的树特征允许内容拥有者控制哪些实体可采取行动和每个实体可采取哪些行 动,这与树是否具有不同等级无关。为了增强可由移动存储媒体提供的商业价值,需要移动存储装置能够同时支持一 个以上应用程序。当两个或两个以上应用程序正同时存取移动存储装置时,可能重要的是 能够分离所述两个或两个以上应用程序的操作,以使得其不会以本文称为串话的现象而彼 此干扰。因此,本专利技术的另一特征基于以下认识可提供优选地为分级的两个或两个以上 树以用于控制存取存储器。每个树在不同等级包含节点以用于控制相应组实体对数据的存 取,其中每个树的节点指定所述一个或多个相应实体用于存取存储器数据的一个或多个许 可。在每个树的节点处的所述一个或多个许可与在同一树中较高或较低等级的另一节点处 的一个或多个许可具有预定关系。优选地,在所述树的至少两者之间不存在串话。根据上文,将显然看到树是可用于内容安全性的强有力结构。所提供的一个重要 控制是控制树的创建。因此,根据本专利技术的另一特征,移动存储装置可具备能够创建至少一 个分级树(其在不同等级处包含节点以用于由相应实体控制存取存储在存储器中的数据) 的系统代理。树的每个节点指定一个或多个相应实体用于存取存储器数据的一个或多个许 可。在每个树的节点处的所述一个或多个许可与在同一树中较高或较低或相同等级的节点 处的一个或多个许可具有预定关系。因此,可在尚未创建任何树的情况下发行移动存储装 置,以使得装置的购买者可以自由地创建分级树,所述分级树适用于购买者所考虑的应用 程序。或者,可在已创建树的情况下发行移动存储装置,以使得购买者不必经历创建树的麻 烦。在这两种情况下,优选地,树的特定功能性在装置制成之后变得固定,以使得不能进一 步改变或修改所述功能性。这提供内容拥有者对装置中内容存取的较强控制。因此,在一 个实施例中,可优选地禁用系统代理,以使得不会创建额外的树。在一些移动存储装置中,通过将存储器划分为多个独立区域来提供内容保护,其中存取受保护区域要求在先认证。尽管此特征提供某种保护,但其不能保护以免通过非法 途径获得口令的用户存取。因此,本专利技术的另一方面基于以下认识可提供一种机制或结构 来将存储器划分为多个分区,且使得所述分区中的至少某些数据可用密钥来加密,以使得 除了存取某些所述分区所需要的认证之外,可能需要存取一个或一个以上密钥来解密此类 分区中经加密的数据。在一些应用中,可更方便地使得用户能够使用一个应用程序登录存储器系统,且 接着能够使用不同应用程序来存取受保护内容而无需再次登录。在此类情况下,用户想要 以此方式存取的所有内容可与第一帐户相关联,以使得可经由不同应用程序(例如,音乐 播放器、电子邮件、蜂窝式通信)来存取所有此类内容而无需多次登录。接着可将不同组认 证信息用于登录以存取在与第一帐户不同的帐户中的受保护内容,即使所述不同帐户是针 对相同用户或实体的。在存储系统中可单独使用上述特征或可以任何组合来组合上述特征,以提供内容 拥有者的控制和/或保护的较强通用性。附图说明图1是可用于说明本专利技术的与主机装置通信的存储器系统的方框图。图2是存储器的不同分区和存储在不同分区中的未加密和加密文件的示意图,其 中存取特定分区和加密文件由存取策略和认证程序控制,所述示意图用以说明本专利技术的实 施例。图3是说明存储器中不同分区的存储器的示意图。图4是本文档来自技高网...
【技术保护点】
一种存储装置,其包括:非易失性存储器,其具有分区且含有包括认证证书和账户许可的账户;以及控制器,其与所述非易失性存储器通信,其中所述控制器操作以:接收存取所述分区的请求,所述请求包括对话ID,在实体被认证给所述账户之后,所述对话ID与所述账户许可相关联,其中在认证所述实体之前,所述存储装置存储所述账户许可;使用包括在所述请求中的所述对话ID以在所述存储装置中查询与所述对话ID相关联的所述账户许可;确定所述账户许可是否授权对存取所述分区的所述请求;及如果所述账户许可授权对存取所述分区的所述请求,则授予对存取所述分区的所述请求。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:法布里斯约刚库仑,迈克尔霍尔茨曼,巴赫曼卡瓦米,罗恩巴尔齐莱,
申请(专利权)人:桑迪士克股份有限公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。