使用公共存储器区域中的虚拟文件来访问私有存储器区域中的多个受保护文件的存储设备和方法

摘要

公开了使用公共存储器区域中的虚拟文件来访问私有存储器区域中的多个受保护文件的存储设备和方法。在一个实施例中，存储设备接收来自主机的访问该公共存储器区域中的虚拟文件的请求，其中该虚拟文件与存储在该私有存储器区域中的多个受保护文件相关联。存储设备通过选择存储在该私有存储器区域中的该多个受保护文件中的一个并为主机提供对该受保护文件的访问来响应该请求。存储设备从主机接收访问虚拟文件的另外的请求，并通过选择存储在该私有存储器区域中的该多个受保护文件中的不同一个并为主机提供对该受保护文件的访问来响应该另外的请求。

说明书

背景技术

诸如存储卡的存储设备通常被用于存储诸如数字音频（例如音乐）和/或 视频（例如电影）文件的内容。为了防止内容被未授权访问，内容可以存储 在存储设备中的私有存储器区域中，其仅可由验证的主机访问。通常，主机 将其证明呈献给存储设备用于验证。如果主机被验证，则存储设备允许主机 访问存储在私有存储器区域中的内容。尽管此安全系统防止未授权的主机访 问存储在私有存储器区域中的内容，但是如果验证的主机上具有病毒或者其 他恶意软件，则可能出现问题。在该情况下，一旦验证的主机被允许访问私 有存储器区域，则主机上的恶意软件可以利用该访问来对私有存储器区域中 存储的数据进行未授权动作。

发明内容

本发明的实施例由权利要求限定，此部分中的任何内容不应被当作对那 些权利要求的限制。

作为例子，以下描述的实施例通常涉及使用公共存储器区域中的虚拟文 件来访问私有存储器区域中的多个受保护文件的存储设备和方法。在一个实 施例中，存储设备接收来自主机的访问该公共存储器区域中的虚拟文件的请 求，其中该虚拟文件与存储在该私有存储器区域中的多个受保护文件相关联。 存储设备通过选择存储在该私有存储器区域中的该多个受保护文件中的一个 并为主机提供对该受保护文件的访问来响应该请求。存储设备从主机接收访 问虚拟文件的另外的请求，并通过选择存储在该私有存储器区域中的该多个 受保护文件中的不同一个并为主机提供对该受保护文件的访问来响应该另外 的请求。

提供了其他实施例，并且每个实施例可以单独使用或者组合在一起使用。 现在将参考附图描述各个实施例。

附图说明

图1是实施例的主机和存储设备的框图。

图2是实施例的主机和存储设备的框图。

图3A是实施例的主机的框图。

图3B是实施例的存储设备的框图。

图4A和4B是实施例的登录处理的流程图。

图5A和5B是实施例的登录后读取处理的流程图。

图6A和6B是实施例的未登录而读取处理的流程图。

图7是实施例的访问常规文件的处理的流程图。

图8A和8B是用于访问范围之外的数据并为文件填充另外的数据的实施 例的处理的流程图。

图9A和9B是实施例的确定文件的实际长度的处理的流程图。

图10A和10B是使用加密的实施例的保护处理的流程图。

图11A和11B是使用计数器的实施例的保护处理的流程图。

图12A和12B是使用滑动窗的实施例的保护处理的流程图。

图13A和13B是用于数据速率控制的实施例的处理的流程图。

图14A和14B是用于添加内容的实施例的处理的流程图。

具体实施方式

介绍

以下实施例通常涉及使用公共存储器区域中的虚拟文件来访问私有存储 器区域中的多个受保护文件的存储设备和方法。在这些实施例中，公共存储 器区域包含担当对于私有存储器区域中的多个受保护文件的网关的虚拟文 件。当存储设备中的控制器（例如根据访问虚拟文件的逻辑块地址的尝试） 检测到主机正试图访问该虚拟文件时，控制器确定多个受保护文件中的哪个 应该被提供给主机，如果存在该文件的话。

存在与这些实施例相关联的几个优点。例如，Java和其他预定义的应用 程序接口（API）（比如在许多手持设备和移动电话中使用的）仅允许基于文 件的命令并且不使用可以用于控制存储设备以提供对私有存储器区域中的具 体受保护文件的访问的低级命令。这就是为什么有些存储设备可以准许主机 访问整个私有存储器区域的原因，当主机上的恶意软件利用对于私有存储区 域的此开放的访问时，这可能导致未授权的动作。尽管可以写入支持受保护 文件流出私有存储区域的专有API，但是非常少的移动设备将允许这样的 API。使用公共存储器区域中的虚拟文件作为对于私有存储器区域中的受保护 文件的网关克服了此问题，因为Java和其他预定义的API使用的基于文件的 命令可以用于访问虚拟文件，其中存储设备中的控制器负责为主机选择和提 供对适当受保护文件的访问。以此方式，这些实施例提供了可以用在多个主 机上以及不同操作系统上的通用解决方案，都同时使得存储设备能够以安全 的方式控制数据流入以及流出存储设备。

示例的虚拟文件实施例

现在转向附图，图1是实施例的与存储设备100通信的主机50的框图。 如在此使用的，短语“与……通信”意味着直接与之通信或者通过一个或多 个组件间接与之通信，该一个或多个组件可能有或者可能没有在此示出或描 述。主机50可以采取任何适当的形式，比如但不限于专用内容播放器、移动 电话、个人计算机（PC）、游戏设备、个人数字助理（PDA）、信息站和TV 系统，存储设备100也可以采取任何适当的形式，比如但不限于手持、可移 除存储卡（例如闪存卡）、通用串行总线（USB）设备以及固态驱动器。优选 地，存储设备100可移除地连接到主机50，以便用户可以与各种主机一起使 用存储设备100。

如图1所示，存储设备100包括控制器110和存储器120。控制器110 可以按任何适当的方式实现。例如，控制器110可以采取微处理器或者处理 器以及例如存储可由（微）处理器执行的计算机可读程序代码（例如软件或 固件）的计算机可读介质、逻辑门、开关、专用集成电路（ASIC）、可编程 逻辑控制器以及嵌入的微控制器的形式。控制器的例子包括但不限于以下微 控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicon  Labs C8051F320。可以在控制器中使用的各个组件的例子在以下讨论的实施 例中描述并示出在相关附图中。控制器110也可以作为存储器控制逻辑的部 分而实现。

还如图1所示，存储设备100包括存储器120，其可以采取任何适当的 形式。在一个实施例中，存储器120采取固态（例如，快闪）存储器的形式 并且可以是一次可编程、数次可编程或者多次可编程的。但是，可以使用诸 如光存储器和磁存储器的其他形式的存储器。尽管在图1中被示出为单个组 件，但是控制器110和/或存储器120可以利用几个组件来实现。在图1中， 存储器120包括公共存储器区域130和私有存储器区域140。在此实施例中， 公共和私有存储器区域130、140是单个存储器设备中的不同分区；但是，在 其他实施例中，公共和私有存储器区域130、140是不同的存储器设备。公共 存储器区域130通常可以没有限制地访问，而私有存储器区域仅可以由被授 权的实体访问并且通常对主机不可见（例如隐藏的分区）。这样，私有存储器 区域140可以用于存储仅应该由被授权的实体访问的多个内容文件（在此的 文件1-N）。“内容文件”可以采取任何适当的形式，比如但不限于数字视频 （带有或者不带有随附的音频）（例如电影、一集电视剧、新闻节目等）、音 频（例如歌曲、播客、一个或一系列声音、音频书等）、静止或运动图像（例 如照片、计算机产生的显示等）、文本（带有或者不带有图形）（例如文章、 文本文件等）、视频游戏或其他软件以及这些形式中的两个或多个的混合多媒 体呈现。术语“内容”、“内容文件”以及“文件”在此将可互换地使用，并 且存储在私有存储器区域140中的文件将被称为“受保护文件”。

在此实施例中，公共存储器区域130包含虚拟文件150。虚拟文件150 在以下意义上是“虚拟的”：其作为公共存储器区域130的文件分配表（FAT） 中的已分配的逻辑块地址而存在，但是不包含任何数据并且实际上不可访问。 对于虚拟文件150甚至可能不存在在公共存储器区域130中分配的任何物理 存储位置（尽管如下所述在某些实施例中在公共存储器区域130中可以分配 相对小量的物理存储位置（例如15MB）用于虚拟文件150）。但是，因为虚 拟文件150具有分配给其的在公共存储器区域130中的FAT表中的逻辑块地 址，所以对主机50而言虚拟文件150看起来是常规文件。

在此实施例中，虚拟文件150用作私有存储器区域140中的多个受保护 文件的网关。即，当控制器110（例如根据在读命令中指定的逻辑块地址） 识别出正进行访问虚拟文件150的尝试时，控制器110将采取特殊动作而不 是为主机提供对虚拟文件150本身的访问。例如，当控制器110接收到来自 主机50的访问虚拟文件150的请求时，控制器110可以选择存储在私有存储 器区域140中的多个受保护文件1-N中的一个并且通过为主机50提供对所选 受保护文件的访问来对该请求做出响应。当相同的虚拟文件150稍后被访问 时，控制器110可以选择多个受保护文件1-N中的不同一个并提供对其的访 问。例如，如果虚拟文件150被命名为“audio.MP3”并且与存储在私有存储 器区域140中的20首歌曲的播放列表相关联，则每次主机50请求访问 “audio.MP3”时，控制器110可以选择播放列表上的另一歌曲并提供对其的 访问。

任何适当的实现方式可以用于允许控制器110处理对于虚拟文件150的 主机请求。例如，在图2所示的一个实施例中，应用（或者caplet（胶囊式应 用程序）160）存储确定控制器110管理私有存储器区域140中的受保护文 件的方式（例如要访问哪些受保护文件以及何时）的规则集。在此实施例中， caplet 160被存储在私有存储器区域140中以防止黑客篡改规则集。控制器110 使用caplet 160中的规则集来确定如何对来自主机50的访问虚拟文件150的 请求作出反应。私有存储器区域140还存储将多个受保护文件1-N与虚拟文 件150相关联的数据库170。以此方式，数据库170担当多个受保护文件1-N 的播放列表。在一个实施例中，数据库170与多个受保护文件1-N一起被预 加载到存储设备100中。如果数据库170被加密，则caplet 160可以保持解密 数据库170的密钥。

在操作中，当存储设备100被上电时，caplet 160规划(program)控制器110 以根据预加载的数据库170控制主机50对虚拟文件150的访问尝试。例如， 响应于访问虚拟文件150的请求，控制器110可以基于数据库170选择多个 受保护文件1-N中的一个并提供对其的访问。作为另一例子，控制器110可 以确定主机50是被授权还是未被授权，以及可以据此提供对不同类型的内容 的访问，如果存储设备100是可以与可能被授权或者可能未被授权的各种主 机一起使用的便携式存储卡，则这可能是希望的。因此，如果主机50是被授 权的播放器，则控制器110可以通过提供对受保护内容读访问而对来自主机 50的访问虚拟文件150的请求做出响应。否则，控制器110可以通过提供对 替换的文件的访问来对该主机请求做出响应。以此方式，规则集可以指定如 果主机50上的应用被授权则控制器110应该提供对受保护文件（例如电影） 的访问；否则，控制器110可以提供对替换的文件（例如该电影的预告片） 的访问，该替换文件可以存储在公共或者私有存储器区域130、140中。以此 方式，访问虚拟文件150的类似主机请求可以由控制器110基于主机50是被 授权还是未被授权的实体而不同地处理（例如如果用户没有登录或者未被存 储设备100验证，则存储设备100可以返回专门的广告（commercial））。当 然，这仅仅是一个例子，并且可以使用其他类型的规则和条件。例如，文件 的选择可以基于时间、关于用户的信息、主机是否登录到存储设备50中以及 如何登录或者任意其他适当的条件。从这些例子可以看出，在不同的情况下 可以不同地对待虚拟文件150，并且公共存储器区域130中的单个虚拟文件 150可以用于提供对私有存储器区域140中的一个或多个受保护文件的访问。

现在返回图2，在此实施例中，主机50运行主机应用60和媒体播放器 （在此Java播放器70）。主机应用60控制Java播放器70并且还向存储设备 100的控制器110发送另外的指令，这将在以下描述。如上所述，在此实施 例中，虚拟文件150（例如名为“audio.MP3”）与存储在私有存储器区域140 中的多个受保护文件1-N相关联。每次主机50请求访问“audio.MP3”时， 控制器110可以选择多个受保护文件1-N中的不同一个并提供对其的访问。 在此实施例中，虚拟文件150的大小至少和私有存储器区域140中的最大的 受保护文件的大小一样大。如果所选的受保护内容小于虚拟文件150的大小， 则控制器110可以用有效数据填充该内容，以便主机50中的Java播放器70 不出故障。例如，如果受保护文件是音频文件，则控制器110可以实时地（on  the fly）用诸如无声的MP3帧或者期望的头部信息的有效数据来填充该音频 文件。这样做以能够支持不同的主机先行缓存（cache-ahead）机制。为了防 止控制器110播放填充的数据，控制器110可以通知主机50文件的实际播放 长度，并且主机50可以在其到达填充的数据之前停止文件的回放。

考虑其中Java播放器70使用JSR-135协议向存储设备110发送请求来读 取虚拟文件150的例子，该Java播放器70认为虚拟文件150是音频文件。 存储设备100中的控制器110（例如根据在请求中指定的逻辑块地址）检测 到正进行访问虚拟文件150的尝试，并且基于caplet160中的规则，控制器110 还向主机应用60通知歌曲A的实际大小，该实际大小可能小于虚拟文件150 的大小，如上所述。主机应用60监视回放，并且当歌曲A完成时，主机应 用60经由JSR-75协议向控制器110发送命令以停止流式传输数据并跳到下 一歌曲。（JSR-135协议不支持此类型的命令。）响应于此命令，控制器110 更新数据库170以指向下一歌曲（歌曲B）。主机应用60指示Java播放器70 再次请求访问虚拟文件150。但是，这次，控制器110为Java播放器70选择 并提供对歌曲B（不是歌曲A）的访问。然后在Java播放器70继续请求回放 另外的歌曲时，上述处理重复。

存在可以与这些实施例一起使用的许多替换。例如，在一个实施例中， 存储设备100使用“专用文件系统”用于回放预加载的受保护文件以最小化 存储设备100定位和访问该预加载的受保护文件所花费的时间以及最小化提 取关于预加载到的受保护文件的细节（例如音轨名称、艺术家名字、专辑名 称、音轨持续时间等）所花费的时间。以此方式，不考虑在向受保护文件提 供网关功能性时所涉及的控制器110开销，访问虚拟文件150的时间应该与 访问另一类型的文件的时间大约相同。为了实施此专用文件系统，受保护文 件可以按连续的逻辑块地址（LBA）的顺序预加载到私有存储器区域140中。 然后在产生期间建立表格，用于指定每个受保护文件的确切开始LBA，连同 任何其他相关数据比如文件持续时间。因为读取这样的表格比打开文件以收 集所需信息更快，所以使用此专用文件系统提供了更快的响应时间。

如从以上描述可以理解，“专用文件系统”可以用于降低定位和访问不同 的预加载内容所需的时间量。这可以通过定义用于以具体方式保存仅回放所 需的数据的专用结构（例如表格）来进行。根据产品特定要求（例如音轨名 称、艺术家名字、专辑名称、音轨持续时间等），此数据可以在不同的产品之 间改变。此数据结构可以按连续的LBA顺序预加载到存储设备100中的安全 位置中，保持该数据的表格与之前指定的其他数据一起位于每个文件的确切 开始LBA处。表格中的每个条目可以表示具体文件，该具体文件可以使用表 格中的条目键(key)来标识。基于访问具体文件的请求，在表格中定位该文件， 并检索相关数据。例如，使用虚拟文件150从开头播放歌曲可能需要知道文 件的开始LBA、其实际持续时间以及要播放的专辑名称。按这样的处理文件 的方式，与处理FAT表和解析文件内容所需的时间相比，定位和回放文件所 需的时间量急剧降低。

作为对于提供更快的响应时间的另一替换，存储设备100可以支持使用 “复合命令”。复合命令是并入了控制回放系统的不同方面的两个或多个命 令——比如例如改变虚拟文件状态和正播放的歌曲两者——的单个命令。在 其中希望快速响应时间的诸如音频流的环境下可能尤其希望使用复合命令。 例如，复合命令可以指定“跳过频道”和“跳过前面的两首歌曲”或者“跳 过歌曲并进入暂停”。在许多情况下，可能需要同时发生几个模式改变。例如， “播放歌曲、进入暂停模式、然后跳到下一歌曲”的序列可能需要在跳过发 生后立即开始下一歌曲。在此情况下，可能需要在总线上发送两个命令以便 进行此改变。在另一例子中，可能需要同时控制系统的不同方面，比如改变 虚拟文件状态和正播放的歌曲两者。再次，想法是减少处理存储设备100上 的状态改变所需的时间量以及将命令从主机50传输到存储设备100以及传输 回所花费的时间量。

在另一替换中，代替为虚拟文件150分配公共存储器区域130中的实际 存储器，可以通过下述操作来减少存储器消耗：使公共存储器区域130针对 主机50将其本身模拟为扩展的存储区域，以便对于该扩展的（模拟的）存储 区域的主机请求，控制器110就像该主机请求是对存储设备的私有存储器区 域140的主机请求那样处理。结果，虚拟文件150不消耗公共存储器区域130 中的实际存储器。这允许存储大的文件（例如电影）而不消耗珍贵的存储器。 例如考虑其中虚拟文件150是15MB并且公共存储器区域130是30MB的情 况。使用上述技术，存储设备100可以将其本身标识为具有45MB公共存储 器区域130，其中30MB被映射到物理地址而15MB没有被映射到物理地址。

尽管上述实施例涉及从存储设备中读出受保护文件，但是在替换实施例 中，虚拟文件150用于在私有存储器区域140中添加新内容，如果主机50被 授权这样做的话。例如，当用户购买歌曲时，主机应用70可以控制私有存储 器区域140以在其空闲空间中添加新内容，然后使用虚拟文件150将新歌曲 数据写到私有存储器区域140。在另一例子中，存储的广告可以被更新为新 广告。这可以通过将虚拟文件150链接到此私有文件然后通过向虚拟文件150 写入而改变其内容来实现。存储设备100可以截获写命令，并将写操作改变 到私有存储器区域140中的正确地点。这使能够更新私有存储器区域140以 按安全的方式保持更新后的内容和购买的内容。

另外的替换涉及复制保护机制。因为虚拟文件150在公共存储器区域130 中是可访问的，所以可以容易地通过来自任何主机的简单复制命令而复制虚 拟文件150。以下替换可以用于防止虚拟文件150的复制，由此确保对存储 在私有存储器区域140中的受保护内容的访问仅被给予被允许访问该内容的 验证的实体。否则，主机50可以简单地将虚拟文件150复制到公共存储器区 域130中的另一地址范围并自由地访问受保护内容。

一个示例的复制保护机制使用加密方案来加密通过对虚拟文件150的读 取操作从存储设备100发送出的受保护内容。这可以通过使用会话密钥来进 行，每次在主机应用60和存储设备100之间应用验证处理时（例如在登录期 间）更新会话密钥。此会话密钥对主机50和存储设备100两者是已知的，因 此存储设备100可以使用该会话密钥来加密受保护内容，并且主机50可以使 用该会话密钥来解密该受保护内容。以此方式使用会话密钥创建了在存储设 备100和主机应用60之间的安全信道。

另一示例复制保护机制在存储设备100中使用计数器以对已被主机50读 取的扇区计数。当计数器达到零时，存储设备100可以开始发送无声音频的 缓冲。主机50在适当的验证后以后可以指示存储设备100随着回放时间而增 加计数器。设置计数器的此操作可以在文件读取期间（例如在歌曲的回放期 间）进行。在进行尝试复制文件的情况下，存储设备100可以检测到该尝试 并开始向主机50返回无效数据。这防止复制歌曲，因为在不增加计数器的情 况下黑客仅可以获取一定量的歌曲（例如5MB歌曲中的1MB音频）。

在另一示例复制保护机制中，在检查从主机50到虚拟文件150的读取操 作的样式之后，由存储设备100实施数据速率控制（“DRC”）。如果这些读操 作不像预期那样发生（例如由于快速和急速的文件访问，存储设备100检测 到正发生虚拟文件150的复制），存储设备100可以返回无效数据或者使读取 处理失败。以此方式，存储设备100对从存储设备100读取的受保护文件实 施数据速率控制。主机50可能能够在向存储设备100进行适当的验证之后配 置存储设备DRC机制以符合当前主机50的具体特征。

“滑动窗”也可以被用作示例的复制保护机制。利用此机制，存储设备 100允许主机50读取仅在特定LBA范围内的实际数据。访问在此LBA范围 之外的数据返回无声音频的缓冲。主机50在适当的验证之后可以重配置允许 的范围。因为允许的范围移动，所以在此将其称为“滑动窗”。以上讨论的计 数器的概念可以被用作滑动窗（例如对于目前复制从1到500），或者可以允 许仅从虚拟文件150内部的特定位置开始回放数据。

在另一实施例中，虚拟文件150可以用于从本地的(native)媒体播放器回 放。这可以通过为每个内容播放列表使用相对大的虚拟文件来进行。此虚拟 文件可以实时地(on the fly)一首接一首地连接起来。存储设备100也可以为要 在主机本地的播放器中显示的每个信道的内容提供ID3标签。以此方式，可 以在每个可用主机（例如手持机）或者操作系统上使用存储设备100。可以 通过允许存储设备感测尝试跳过歌曲的方式（例如通过检测用户何时试图快 进/倒回/拖动进度条）来增强此方案。

示例的存储设备和处理流程

如上所述，这些实施例的存储设备可以按任何适当的方式实现。以下段 落和参考的附图描述了一个示例实现方式。应该理解，此实现方式仅仅是例 子，并且在此示出和描述的细节不应被解释到权利要求中，除非其中明确列 出。

返回到附图，图3A和3B是实施例的存储设备300和主机350的框图。 首先以图3B开始，存储设备300包括控制器310和存储器320。控制器310 包括用于与存储器320相接口的存储器接口311和用于与主机350相接口的 主机接口312。控制器310还包括中央处理单元（CPU）313、可操作以提供 加密和/或解密操作的密码引擎314、读存取存储器（RAM）315、存储用于 存储设备300的基本操作的固件（逻辑）的只读存储器（ROM）316以及存 储用于加密/解密操作的设备专用密钥的非易失性存储器（NVM）317。应该 注意，存储设备专用密钥可以存储在存储设备内的其他存储器区域中。图3B 中所示的组件可以按任何适当的方式实现。

在此实施例中，存储器320包括由主机350上的文件系统管理的公共分 区325以及由控制器310内部管理的隐藏受保护系统区域335。隐藏受保护 系统区域335存储内容加密密钥（CEK）340、内容、数据和caplet（胶囊式 应用程序）342，如上所述。隐藏受保护系统区域335是“隐藏的”，因为其 由控制器310（而不是由主机控制器360）内部管理，并且是“受保护的”， 因为存储在该区域335中的对象被用存储在控制器310的非易失性存储器317 中的特有密钥加密。（存储设备硬件特有密钥可以存储在控制器310的非易 失性存储器317中或者存储设备300内的其他区域。）因而，为了访问存储在 该区域335中的对象，控制器310将使用密码引擎314和存储在非易失性存 储器317中的密钥来解密加密的对象。优选地，存储设备300采取来自在 SanDisk公司的TrustedFlash^TM平台上构建的系列产品的安全产品的形式。公 共分区325包含虚拟文件330。

现在转向图3A的主机350，主机350包括控制器360，该控制器360具 有用于与存储设备300相接口的存储设备接口361。控制器360还包括中央 处理单元（CPU）363、可操作以提供加密和/或解密操作的密码引擎364、读 存取存储器（RAM）365和只读存储器（ROM）366。应该注意，框360中 的每个组件可以实现为整个主机系统中的单独的芯片。主机350还包括应用 370，该应用370包括内容引擎371、文件系统API 372、内容解码器API 373 和主机证书374。

存储设备300和主机350经由存储设备接口361和主机接口362彼此通 信。对于涉及数据的安全传输的操作，优选存储设备300和主机350中的密 码引擎314、364用于彼此相互验证并提供密钥交换。相互验证处理要求主机 350和存储设备300交换特有证书ID。在相互验证完成后之后，优选会话密 钥被用于建立用于在存储设备350和主机300之间的通信的安全信道。

图4A到14B是使用图3A和3B中的存储器设备300和主机350的实施 例的几个示例处理流程的流程图。具体地，图4A和4B是实施例的登录处理 的流程图，图5A和5B是实施例的登录后读取处理的流程图，图6A和6B 是实施例的未登录而读取处理的流程图，图7是实施例的访问常规文件的处 理的流程图，图8A和8B是用于访问在范围之外的数据并用另外的数据填充 文件的实施例的处理的流程图，图9A和9B是实施例的确定文件的实际长度 的处理的流程图，图10A和10B是使用加密的实施例的保护处理的流程图， 图11A和11B是使用计数器的实施例的保护处理的流程图，图12A和12B 是使用滑动窗的实施例的保护处理的流程图，图13A和13B是数据速率控制 的实施例的处理的流程图，以及图14A和14B是用于添加内容的实施例的处 理的流程图。

结论

意图将以上详细描述理解为对本发明可以采取的所选形式的例示而不是 对本发明的限定。意图仅以下权利要求、包括所有等效物来定义要求保护的 本发明的范围。最后，应该注意，在此所述的任何优选实施例的任何方面可 以单独使用或者彼此组合使用。