预先授权设备的注册的制作方法

技术特征：
1.一种数据存储设备，所述数据存储设备包括数据路径、访问控制器和非易失性数据存储库，其中：所述数据路径包括：数据端口，所述数据端口被配置为在主机计算机系统和所述数据存储设备之间传输数据；非易失性存储介质，所述非易失性存储介质被配置为存储加密的用户内容数据；和加密引擎，所述加密引擎连接在所述数据端口和所述存储介质之间，并且被配置为响应于来自所述主机计算机系统的请求而使用加密密钥对存储在所述存储介质上的所述加密的用户内容数据进行解密；并且所述访问控制器被配置为：从管理器设备接收公共密钥，其中所述公共密钥与存储在待授权设备上的私有密钥相关联；确定提供对所述加密密钥的访问权限的用户密钥；基于所述公共密钥来加密所述用户密钥，并且使得所述用户密钥能够基于存储在所述待授权设备上的所述私有密钥解密；以及在所述数据存储库上存储指示所加密的用户密钥的授权数据。2.根据权利要求1所述的数据存储设备，其中所述访问控制器被进一步配置为响应于所述管理器设备连接到所述数据存储设备而接收所述公共密钥，确定所述用户密钥，加密所述用户密钥以及存储所述授权数据。3.根据权利要求2所述的数据存储设备，其中所述访问控制器被进一步配置为响应于所述管理器设备连接到所述数据存储设备，恢复使得能够确定所述用户密钥的管理器密钥。4.根据权利要求3所述的数据存储设备，其中：所述管理器设备基于授权数据向所述数据存储设备注册；并且所述授权数据存储在所述数据存储库上，并且指示基于存储在所述管理器设备上的私有密钥能够访问的所述管理器密钥。5.根据权利要求1所述的数据存储设备，其中所述访问控制器被配置为响应于所述待授权设备连接到所述数据存储设备，执行以下步骤：基于所述授权数据来确定对所述待授权设备的质询；将所述质询发送到所述待授权设备；接收基于存储在所述待授权设备上的所述私有密钥所计算的响应；使用元数据封装密钥加密所述授权数据的至少一部分；以及将所述元数据封装密钥提供给所述待授权设备。6.根据权利要求5所述的数据存储设备，其中所述质询基于能够使用所述公共密钥访问的授权数据。7.根据权利要求6所述的数据存储设备，其中能够使用所述公共密钥访问的所述授权数据基于所述公共密钥和存储在所述数据存储库中的私有密钥被加密。8.根据权利要求1所述的数据存储设备，其中所述授权数据包括基于所述公共密钥的、用于定位所述待授权设备的所述授权数据的索引。
9.根据权利要求8所述的数据存储设备，其中所述访问控制器被进一步配置为响应于将针对所述授权数据的所述索引发送到所述待授权设备，而用随机数据替换所述索引。10.根据权利要求1所述的数据存储设备，其中所述访问控制器被进一步配置为：生成证书；以及将所述证书发送到所述待授权设备。11.根据权利要求10所述的数据存储设备，其中：所述证书包括被配置为加密授权数据的元数据封装密钥；并且所述授权数据用于创建质询。12.根据权利要求11所述的数据存储设备，其中所述授权数据指示：传输公共密钥，所述传输公共密钥用于在所述访问控制器和所述待授权设备之间传输数据；和解锁公共密钥，所述解锁公共密钥用于生成对所述授权设备的所述质询。13.根据权利要求1所述的数据存储设备，其中：所述授权数据指示第一公共密钥和第二公共密钥；并且所述访问控制器被进一步配置为基于所述第一公共密钥与所述第二公共密钥相同来选择性地更新所述授权数据。14.根据权利要求1所述的数据存储设备，其中所述访问控制器被进一步配置为存储用于多个待授权设备的授权数据，并且所述加密密钥使用特定于所述多个待授权设备中的每个待授权设备的解锁秘密来加密。15.根据权利要求14所述的数据存储设备，其中所述访问控制器被进一步配置为基于来自所述多个待授权设备中的一个待授权设备的对质询的响应来计算所述解锁秘密，所述质询基于与所述多个待授权设备中的所述一个待授权设备相关联的所述公共密钥而生成。16.根据权利要求1所述的数据存储设备，其中所述授权数据包括通过能够从所述公共密钥导出的预先授权的元数据封装密钥加密的授权设备元数据。17.根据权利要求16所述的数据存储设备，其中所述预先授权的元数据封装密钥能够使用存储在所述数据存储库中的私有密钥经由密钥导出函数从所述公共密钥导出。18.根据权利要求17所述的数据存储设备，其中所述预先授权的元数据封装密钥是对称密钥。19.一种用于相对于数据存储设备注册用户设备的方法，所述方法包括：从管理器设备接收公共密钥，其中所述公共密钥与存储在待授权用户设备上的私有密钥相关联；确定用户密钥，所述用户密钥提供对能够用于解密存储在所述数据存储设备的存储介质上的加密的用户内容数据的加密密钥的访问权限；基于所述公共密钥来加密所述用户密钥，并且使得所述用户密钥能够基于存储在所述待授权设备上的所述私有密钥解密；以及在非易失性数据存储库上存储指示所加密的用户密钥的授权数据。20.一种数据存储设备，包括：用于从管理器设备接收公共密钥的装置，其中所述公共密钥与存储在待授权用户设备上的私有密钥相关联；
用于确定用户密钥的装置，所述用户密钥提供对能够用于解密存储在所述数据存储设备的存储介质上的加密的用户内容数据的加密密钥的访问权限；用于基于所述公共密钥来加密所述用户密钥并且使得所述用户密钥能够基于存储在所述待授权设备上的所述私有密钥解密的装置；和用于在非易失性数据存储库上存储指示所加密的用户密钥的授权数据的装置。

技术总结
本文公开了一种数据存储设备。数据端口在主机计算机系统和该数据存储设备之间传输数据。非易失性存储介质存储加密的用户内容数据，并且连接在该数据端口和该存储介质之间的加密引擎使用加密密钥来解密加密的用户内容数据。访问控制器从管理器设备接收公共密钥。该公共密钥与存储在待授权设备上的私有密钥相关联。该控制器确定提供对该加密密钥的访问权限的用户密钥；基于该公共密钥来加密该用户密钥，并且使得该用户密钥能够基于存储在该待授权设备上的私有密钥被解密；以及在数据存储库上存储指示所加密的用户密钥的授权数据。库上存储指示所加密的用户密钥的授权数据。库上存储指示所加密的用户密钥的授权数据。


技术研发人员：B
受保护的技术使用者：西部数据技术公司
技术研发日：2020.06.24
技术公布日：2021/10/22