[发明专利]恢复可移动存储介质上残留的加密数据的方法和系统

权利要求书

1.一种方法，包括：

检测在可移动存储介质上的数据结束(EOD)标记，其中第一加密密钥与EOD标记前面的数据关联；

响应检测所述EOD标记，在所述EOD标记后面读取与所述EOD标记后面的数据关联的第二加密密钥的标识符；

使用所述标识符来存取所述第二加密密钥；以及

使用所述第二加密密钥来解密所述EOD标记后面的数据。

2.根据权利要求1所述的方法，其中使用所述标识符来获得所述第二加密密钥包括：

在被存储在所述可移动存储介质中的密钥文件中保存当前使用的和先前使用、用以加密所述可移动存储介质上的数据的加密密钥，其中所述标识符用来从所述密钥文件中存取所述第二加密密钥。

3.根据权利要求2所述的方法，进一步包括：

接收不可用模式的选择；以及

使在密钥文件中保存所述先前使用的加密密钥不可用，其中所述EOD标记后面的加密数据不能以不可用模式被解密。

4.根据权利要求2所述的方法，其中存储驱动器执行如下操作：检测所述EOD标记、读取所述第二加密密钥的标识符、使用所述标识符来存取所述第二加密密钥、使用所述第二加密密钥来解密所述数据和在可移动存储介质上保存所述密钥文件。

5.根据权利要求4所述的方法，其中，用至少一个密钥加密密钥(KEK)来加密在所述密钥文件中的所述加密密钥，其中利用一个KEK来加密被存取的第二加密密钥，进一步包括：

通过所述存储驱动器向密钥服务器发送被加密的第二加密密钥；

通过所述存储驱动器从所述密钥服务器接收未加密的第二加密密钥，其中所述未加密的第二加密密钥被用于解密所述EOD标记后面的数据。

6.根据权利要求2所述的方法，其中密钥索引被包括在被写入所述存储介质的每个数据块中，其中从所述EOD标记后面的第一密钥索引读取所述第二加密密钥的标识符，且其中所述标识符包括对于在所述密钥文件中的所述第二加密密钥的索引。

7.根据权利要求1所述的方法，其中使用所述第二加密密钥的标识符来存取所述第二加密密钥包括：

向密钥管理器发送所述标识符；以及

从所述密钥管理器接收由所述标识符所标识的所述第二加密密钥。

8.根据权利要求1所述的方法，其中所述EOD标记包括第一EOD标记，进一步包括：

在存储介质上所述第一EOD标记后面检测随后的EOD标记；

在所述随后的EOD标记后面读取与在随后的第一EOD标记后面的数据有关的第三加密密钥的标识符；

使用所述第三加密密钥的标识符来存取所述第三加密密钥；以及使用所述第三加密密钥来解密所述随后的EOD标记后面的数据。

9.一种耦接于可移动存储介质的系统，包括：

可操作以执行操作的数据恢复代码，所述操作包括：

检测在可移动存储介质上的数据结束(EOD)标记，其中第一加密密钥与EOD标记前面的数据关联；

响应检测所述EOD标记，在所述EOD标记后面读取与所述EOD标记后面的数据关联的第二加密密钥的标识符；

使用所述标识符来存取所述第二加密密钥；以及

可操作以使用所述第二加密密钥来解密所述EOD标记后面的数据的加密引擎。

10.根据权利要求9所述的系统，其中使用所述标识符来获得所述第二加密密钥包括：

在被存储在所述可移动存储介质中的密钥文件中保存当前使用的和先前使用、用以加密所述可移动存储介质上的数据的加密密钥，其中所述标识符用来从所述密钥文件中存取所述第二加密密钥。

11.根据权利要求10所述的系统，其中由所述数据恢复代码执行的操作进一步包括：

接收不可用模式的选择；以及

使在密钥文件中保存的所述先前使用的加密密钥不可用，其中所述EOD标记后面的加密数据不能以不可用模式被解密。

12.根据权利要求10所述系统，其中存储驱动器执行如下操作：检测所述EOD标记、读取所述第二加密密钥的标识符、使用所述标识符来存取所述第二加密密钥、使用所述第二加密密钥来解密所述数据和在可移动存储介质上保存所述密钥文件。