CN111914309A - 密码保护的数据储存装置以及非挥发式存储器控制方法 - Google Patents

密码保护的数据储存装置以及非挥发式存储器控制方法 Download PDF

Info

Publication number
CN111914309A
CN111914309A CN201910475038.7A CN201910475038A CN111914309A CN 111914309 A CN111914309 A CN 111914309A CN 201910475038 A CN201910475038 A CN 201910475038A CN 111914309 A CN111914309 A CN 111914309A
Authority
CN
China
Prior art keywords
key
encryption
password
volatile memory
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910475038.7A
Other languages
English (en)
Inventor
潘泓廷
林志宇
许颂伶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Silicon Motion Inc
Original Assignee
Silicon Motion Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Silicon Motion Inc filed Critical Silicon Motion Inc
Publication of CN111914309A publication Critical patent/CN111914309A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0623Securing storage systems in relation to content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0637Permissions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0658Controller construction arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及非挥发式存储器的安全机制,具体地说,涉及密码保护的数据储存装置以及非挥发式存储器控制方法。控制器将权限密码加密后,方以一非挥发式存储器储存。该非挥发式存储器中加密数据所使用的金钥也可被密钥加密金钥(KEK)加密后才储存到该非挥发式存储器。该密钥加密金钥(KEK)可更用于权限密码的加密,使该非挥发式存储器存有该权限密码、与该密钥加密密钥(KEK)组合的密文。符合该权限密码的存取要求可取得该密钥加密密钥(KEK),据以解密出密钥,再据以解密数据。

Description

密码保护的数据储存装置以及非挥发式存储器控制方法
技术领域
本发明有关于非挥发式存储器的安全性技术。
背景技术
非挥发式存储器有多种形式─例如,快闪存储器(flash memory)、磁阻式随机存取存储器(Magnetoresistive RAM)、铁电随机存取存储器(Ferroelectric RAM)、电阻式随机存取存储器(Resistive RAM)、自旋转移力矩随机存取存储器(Spin Transfer Torque-RAM,STT-RAM)…等,用于长时间数据保存,可做为储存媒体实现一数据储存装置。
数据储存装置的安全性提升为本技术领域重要议题。
发明内容
根据本发明一种实施方式实现的数据储存装置包括一非挥发式存储器以及一控制器。该控制器根据一主机的要求操作该非挥发式存储器。该控制器将一第一权限密码加密后,方以该非挥发式存储器储存。权限密码的安全性显著提升。
一种实施方式中,该控制器以一第一密钥将一第一数据加密后,方写入该非挥发式存储器。该控制器以一第一密钥加密密钥(KEK)将该第一密钥加密后,方储存至该非挥发式存储器。
一种实施方式中,该控制器将该第一密钥加密密钥用于该第一权限密码的加密,使该非挥发式存储器存有该第一权限密码与该第一密钥加密密钥组合的密文,而符合该第一权限密码的存取要求可取得该第一密钥加密密钥,据以解密该第一密钥,再据以解密该第一数据。
一种实施方式中,该控制器提供多种加密逻辑。该控制器自上述多种加密逻辑中组合出两种不同的加密演算法,分别实现该第一权限密码的加密、以及该第一密钥的加密。
一种实施方式中,该控制器以一第二密钥将一第二数据加密后,方写入该非挥发式存储器。该控制器以一第二密钥加密密钥(KEK)将该第二密钥加密后,方储存至该非挥发式存储器。该控制器令该第二密钥加密密钥用于一第二权限密码的加密,使该非挥发式存储器中,还包括相关该第二权限密码以及该第二密钥加密密钥的密文,而符合该第二权限密码的存取要求得以取得该第二密钥加密密钥,据以解密该第二密钥,再据以解密该第二数据。一种实施方式中,该控制器包括一随机数产生器,为该第一密钥、以及该第二密钥分别产生该第一密钥加密密钥、以及该第二密钥加密密钥。一种实施方式中,该控制器提供多种加密逻辑。该控制器自上述多种加密逻辑中组合出两种不同的加密演算法,分别实现该第一权限密码的加密、以及该第二权限密码的加密。
一种实施方式中,该控制器将一第二权限密码加密后,方以该非挥发式存储器储存。该控制器令该第二权限密码的加密与该第一权限密码的加密隔绝。一种实施方式中,该控制器包括一随机数产生器,为该第一权限密码、以及该第二权限密码的加密分别产生一第一权限密码密钥、以及一第二权限密码密钥。一种实施方式中,该控制器提供多种加密逻辑。该控制器自上述多种加密逻辑中组合出两种不同的加密演算法,分别进行该第一权限密码的加密、以及该第二权限密码的加密。
一种实施方式中,该控制器将对应该第一权限密码的数据的加密所使用的一第一密钥加密,并将所使用的一第一密钥加密密钥(KEK)用于加密该第一权限密码。该控制器还将对应该第二权限密码的数据的加密所使用的一第二密钥也加密,并将所使用的一第二密钥加密密钥(KEK)用于加密该第二权限密码。
本发明概念可用于实施非挥发式存储器控制方法。
下文特举实施例,并配合附图,详细说明本发明内容。
附图说明
图1根据本发明一种实施方式图解一数据储存装置100,为了快闪存储器102的安全性提供了解决方案;
图2根据本发明一种实施方式图解本发明安全存储的概念;且
图3为流程图,根据本发明一种实施方式图解如何应付使用者对快闪存储器102的存取要求。
符号说明
100~数据储存装置;
102~快闪存储器;
104~存储器控制器;
106~主机;
108~加密的"密钥加密密钥(KEK)";
110~加密的数据;
112~加密的密钥;
114~加密逻辑;
116~随机数产生器;
202~权限密码;
204~权限密码保护逻辑;
206~密钥;
208~密钥保护逻辑;
210~密钥加密密钥(KEK);
S302…S310~步骤。
具体实施方式
非挥发式存储器可以是快闪存储器(Flash Memory)、磁阻式随机存取存储器(Magnetoresistive RAM)、铁电随机存取存储器(Ferroelectric RAM)、电阻式存储器(Resistive RAM,RRAM)、自旋转移力矩随机存取存储器(Spin Transfer Torque-RAM,STT-RAM)…等,提供长时间数据保存的储存媒体。以下特别以快闪存储器为例进行讨论。
现今数据储存装置常以快闪存储器为储存媒体,实现记忆卡(Memory Card)、通用串行总线闪存装置(USB Flash Device)、固态硬碟(SSD)…等产品。有一种应用是采多芯片封装、将快闪存储器与其存储器控制器包装在一起─称为嵌入式快闪存储器函式(如eMMC)。
以快闪存储器为储存媒体的数据储存装置可应用于多种电子装置中。所述电子装置包括智慧型手机、穿戴装置、平板电脑、虚拟实境设备…等。电子装置的运算模块可视为主机(Host),操作所使用的数据储存装置,以存取其中快闪存储器。
以快闪存储器为储存媒体的数据储存装置也可用于建构数据中心。例如,伺服器可操作固态硬碟(SSD)阵列形成数据中心。伺服器即可视为主机,操作所连结的固态硬碟,以存取其中快闪存储器。数据储存装置的应用相当广泛,其安全性提升为本技术领域重要议题。
图1根据本发明一种实施方式图解数据储存装置100,较佳以快闪存储器102为储存媒体。数据储存装置100的存储器控制器104根据来自主机106的主机指令来操作快闪存储器102。本发明为数据储存装置100的数据安全性提供了解决方案。
数据储存装置100所储存的数据可区分成不同权限。符合设定的权限密码(Privilege Password)才能对数据储存装置100所储存的数据进行存取,例如,管理者(Administrator)需输入管理者密码,一般使用者则输入使用者密码,才能分别对数据储存装置100所储存的数据进行存取。由上述中可知,权限密码会决定数据的存取权利,若将权限密码以明文方式储存在快闪存储器102,骇客只要找到储存位置就可以取得数据的存取权利。因应之,存储器控制器104将权限密码加密后才储存到快闪存储器102,权限密码的安全性可以显著提升。另外,权限密码亦可由管理者或使用者保管再载入数据储存装置100使用,如此一来,骇客更无法从数据储存装置100取得权限密码。
存储器控制器104对写入快闪存储器102的使用者数据(User Data),或简称为数据,也有其保护措施。存储器控制器104会将来自主机106的数据加密后才储存到快闪存储器102,如第1图中的加密的数据110所示。存储器控制器104特别将数据加/解密用的密钥也加密,再储存到快闪存储器102,如图1中的加密的密钥112所示。骇客即使在快闪存储器102找到加密的密钥112,由于无法解密加密的密钥112,因此,也就没有能力将加密的数据110解密,如此一来,数据安全性得到显著地提升及保障。在上述中,密钥的加密的演算过程主要会运用到密钥加密密钥(Key Encryption Key,KEK)。
由于KEK的重要性,如果能够对KEK再度进行加密处理,则数据安全性可以得到更显著地提升及保障。在一种实施方式中,存储器控制器104以权限密码对KEK进行加密,使不仅保护密钥加密密钥(KEK),也保护权限密码。密钥加密密钥(KEK)与权限密码结合为密文。KEK可视为权限密码的密钥。权限密码也可视为KEK的密钥。之后,当主机106欲读取数据时,主机指令需提供权限密码,存储器控制器104依据权限密码而对加密的KEK 108进行解密以取得KEK,再以KEK对加密的密钥112进行解密以取得密钥,再用密钥对加密的数据110进行解密以取得数据(明文)。权限密码可由主机指令直接提供,或于执行主机指令时,要求主机106提供。如果权限密码不符,则无法正确地解密出KEK,加密的密钥112无法被解密。骇客自然就无法解读加密的数据110,达到本发明的目的。
为了达到本发明的目的,存储器控制器104较佳以不同的加密演算法产生加密的KEK 108以及加密的密钥112。在一种实施例中,存储器控制器104提供加密逻辑114,可由逻辑元件/电路佐以程序运算实现。存储器控制器104可以自加密逻辑114中组合出两种甚至更多不同的加密演算法。数据加密、密钥加密、KEK加密可采不同加密逻辑。不同权限密码的相关加密也可以不同加密逻辑实现。藉由如此设计,加密复杂度提升,更不易被骇客破解。
存储器控制器104更包括随机数产生器116。密钥加密密钥(KEK)可以是由随机数产生器116产生。
存储器控制器104可使用进阶加密标准(Advanced Encryption Standard,AES)对数据进行加密而形成加密的数据110,反之亦然。
储存装置安全管理规范TCG OPAL下,进阶加密标准(AES)可应付在多范围(Multiple Ranges)的数据的加密,不同范围的数据较佳采用不同的密钥以提供数据较佳的保护。例如,存储器控制器104将第一数据以第一密钥加密、第二数据以第二密钥加密,之后,将加密后的第一数据或第二数据储存至快闪存储器102,形成加密的数据110。第一数据与第二数据分属于不同的锁定范围(Locking Range),例如:第一数据位于锁定范围#1,第二数据位于锁定范围#2。第三数据如不位于任何锁定范围中,那就是位于全球范围(GlobalRange),存储器控制器104将第三数据以第三密钥加密后,再储存至快闪存储器102。存储器控制器104以同一KEK对第一密钥或第二密钥进行加密以形成加密的密钥112,再将加密的密钥112储存至快闪存储器102。为了简化说明,在下述中仅以第一数据和第二数据为例进行说明,但不以此为限。
之后,在收到主机指令时,主机指令例如是数据读取指令,存储器控制器104依据主机指令的权限密码而对加密的KEK 108进行解密。如果权限密码正确,存储器控制器104可取得KEK。之后,存储器控制器104依据KEK对加密的密钥112进行解密以取得第一密钥或第二密钥。存储器控制器104再依据取得的第一密钥或第二密钥对加密的数据110进行解密以取得第一数据或第二数据。最后,存储器控制器104依据取得的第一数据或第二数据回应主机指令。
随机数产生器116可用以产生第一密钥、第二密钥以及KEK。
一种实施方式中,第一密钥以及第二密钥采用相同KEK进行加密。在另一种实施方式中,第一密钥以及第二密钥可采用不同KEK进行加密。各密钥加密密钥(KEK)都可以与对应的权限密码结合为密文。
一般而言,管理者和一般使用者的权限密码不相同,因此,权限密码保护逻辑(如,图2的204,以下讨论之)依据不同的权限密码而对KEK进行加密后,将产生不同的加密的KEK108。
图2根据本发明一种实施方式图解本发明安全存储的概念,权限密码保护逻辑204可依据权限密码202而对KEK 210进行加密以产生加密的KEK 108。反之,权限密码保护逻辑204依据权限密码202而对加密的KEK 108进行解密以产生KEK 210。另外,密钥保护逻辑208可依据KEK 210而对密钥206进行加密以产生加密的密钥112。反之,密钥保护逻辑208是依据KEK 210而对加密的密钥112进行解密以产生密钥。存储器控制器104再依据密钥而对数据进行加密或对加密的数据进行解密,其中,不同锁定范围的数据较佳采用不同的密钥。
图3为流程图,根据本发明一种实施方式图解数据储存装置如何回应主机指令,主机指令来自于主机106,例如是数据读取指令。步骤S302:数据储存装置的存储器控制器104取得主机指令中的权限密码。步骤S304:存储器控制器104判断能否依据权限密码对加密的KEK 108进行解密以取得KEK 210,若无法解密则不予执行主机指令,另外,数据储存装置亦可回传警告讯息至主机106。若成功解密取得KEK210则执行步骤S306:存储器控制器104依据KEK 210而对加密的密钥112进行解密以取得密钥。步骤S308:存储器控制器104依据密钥而对将主机指令所欲存取的数据进行解密。步骤S310:存储器控制器104回传解密后的数据。
前述存储器控制器104控制该快闪存储器102的方法都属于本发明所欲保护技术范围。本发明更据以提出的非挥发式存储器控制方法。
虽然本发明已以较佳实施例揭示如上,然其并非用以限定本发明,任何熟悉本技术领域者,在不脱离本发明的精神和范围内,当可做些许更动与润饰,因此本发明的保护范围当以权利要求书界定为准。

Claims (22)

1.一种数据储存装置,包括:
一非挥发式存储器;以及
一控制器,根据一主机的要求操作该非挥发式存储器,
其中:
该控制器将一第一权限密码加密后,方以该非挥发式存储器储存。
2.如权利要求1所述的数据储存装置,其特征在于:
该控制器以一第一密钥将一第一数据加密后,方写入该非挥发式存储器;且
该控制器以一第一密钥加密密钥(KEK)将该第一密钥加密后,方储存至该非挥发式存储器。
3.如权利要求2所述的数据储存装置,其特征在于:
该控制器将该第一密钥加密密钥用于该第一权限密码的加密,使该非挥发式存储器存有该第一权限密码与该第一密钥加密密钥组合的密文,而符合该第一权限密码的存取要求可取得该第一密钥加密密钥,据以解密该第一密钥,再据以解密该第一数据。
4.如权利要求3所述的数据储存装置,其特征在于:
该控制器提供多种加密逻辑;
该控制器自上述多种加密逻辑中组合出一第一加密演算法,且以该第一加密演算法实现该第一权限密码的加密;
该控制器自上述多种加密逻辑中组合出一第二加密演算法,且以该第二加密演算法实现该第一密钥的加密;且
该第一加密演算法不同于该第二加密演算法。
5.如权利要求3所述的数据储存装置,其特征在于:
该控制器以一第二密钥将一第二数据加密后,方写入该非挥发式存储器;
该控制器以一第二密钥加密密钥(KEK)将该第二密钥加密后,方储存至该非挥发式存储器;且
该控制器令该第二密钥加密密钥用于一第二权限密码的加密,使该非挥发式存储器中,还包括相关该第二权限密码以及该第二密钥加密密钥的密文,而符合该第二权限密码的存取要求得以取得该第二密钥加密密钥,据以解密该第二密钥,再据以解密该第二数据。
6.如权利要求5所述的数据储存装置,其特征在于:
该控制器包括一随机数产生器,为该第一密钥、以及该第二密钥分别产生该第一密钥加密密钥、以及该第二密钥加密密钥。
7.如权利要求5所述的数据储存装置,其特征在于:
该控制器提供多种加密逻辑;
该控制器自上述多种加密逻辑中组合出一第一加密演算法,且以该第一加密演算法实现该第一权限密码的加密;
该控制器自上述多种加密逻辑中组合出一第二加密演算法,且以该第二加密演算法实现该第二权限密码的加密;且
该第一加密演算法不同于该第二加密演算法。
8.如权利要求1所述的数据储存装置,其特征在于:
该控制器将一第二权限密码加密后,方以该非挥发式存储器储存;且
该控制器令该第二权限密码的加密与该第一权限密码的加密隔绝。
9.如权利要求8所述的数据储存装置,其特征在于:
该控制器包括一随机数产生器,为该第一权限密码、以及该第二权限密码的加密分别产生一第一权限密码密钥、以及一第二权限密码密钥。
10.如权利要求8所述的数据储存装置,其特征在于:
该控制器提供多种加密逻辑;
该控制器自上述多种加密逻辑中组合出一第一加密演算法,且是以该第一加密演算法进行该第一权限密码的加密;
该控制器自上述多种加密逻辑中组合出一第二加密演算法,且是以该第二加密演算法进行该第二权限密码的加密;且
该第一加密演算法不同于该第二加密演算法。
11.如权利要求8所述的数据储存装置,其特征在于:
该控制器将对应该第一权限密码的数据的加密所使用的一第一密钥加密,并将所使用的一第一密钥加密密钥(KEK)用于加密该第一权限密码;且
该控制器将对应该第二权限密码的数据的加密所使用的一第二密钥也加密,并将所使用的一第二密钥加密密钥(KEK)用于加密该第二权限密码。
12.一种非挥发式存储器控制方法,包括:
根据一主机的要求操作一非挥发式存储器;且
将一第一权限密码加密后,方以该非挥发式存储器储存。
13.如权利要求12所述的非挥发式存储器控制方法,其特征在于,还包括:
以一第一密钥将一第一数据加密后,方写入该非挥发式存储器;且
以一第一密钥加密密钥(KEK)将该第一密钥加密后,方储存至该非挥发式存储器。
14.如权利要求13所述的非挥发式存储器控制方法,其特征在于,还包括:
将该第一密钥加密密钥用于该第一权限密码的加密,使该非挥发式存储器存有该第一权限密码与该第一密钥加密密钥组合的密文,而符合该第一权限密码的存取要求可取得该第一密钥加密密钥,据以解密该第一密钥,再据以解密该第一数据。
15.如权利要求14所述的非挥发式存储器控制方法,其特征在于,还包括:
提供多种加密逻辑;
自上述多种加密逻辑中组合出一第一加密演算法,且以该第一加密演算法实现该第一权限密码的加密;
自上述多种加密逻辑中组合出一第二加密演算法,且以该第二加密演算法实现该第一密钥的加密,
其中,该第一加密演算法不同于该第二加密演算法。
16.如权利要求14所述的非挥发式存储器控制方法,其特征在于,还包括:
以一第二密钥将一第二数据加密后,方写入该非挥发式存储器;
以一第二密钥加密密钥(KEK)将该第二密钥加密后,方储存至该非挥发式存储器;且
令该第二密钥加密密钥用于一第二权限密码的加密,使该非挥发式存储器中,还包括相关该第二权限密码以及该第二密钥加密密钥的密文,而符合该第二权限密码的存取要求得以取得该第二密钥加密密钥,据以解密该第二密钥,再据以解密该第二数据。
17.如权利要求16所述的非挥发式存储器控制方法,其特征在于,还包括:
提供一随机数产生器,为该第一密钥、以及该第二密钥分别产生该第一密钥加密密钥、以及该第二密钥加密密钥。
18.如权利要求16所述的非挥发式存储器控制方法,其特征在于,还包括:
提供多种加密逻辑;
自上述多种加密逻辑中组合出一第一加密演算法,且以该第一加密演算法实现该第一权限密码加密;
自上述多种加密逻辑中组合出一第二加密演算法,且以该第二加密演算法实现该第二权限密码的加密,
其中,该第一加密演算法不同于该第二加密演算法。
19.如权利要求12所述的非挥发式存储器控制方法,其特征在于,还包括:
将一第二权限密码加密后,方以该非挥发式存储器储存;且
令该第二权限密码的加密与该第一权限密码的加密隔绝。
20.如权利要求19所述的非挥发式存储器控制方法,其特征在于,还包括:
提供一随机数产生器,为该第一权限密码、以及该第二权限密码的加密分别产生一第一权限密码密钥、以及一第二权限密码密钥。
21.如权利要求16所述的非挥发式存储器控制方法,其特征在于,还包括:
提供多种加密逻辑;
自上述多种加密逻辑中组合出一第一加密演算法,且以该第一加密演算法进行该第一权限密码的加密;
自上述多种加密逻辑中组合出一第二加密演算法,且以该第二加密演算法进行该第二权限密码的加密,
其中,该第一加密演算法不同于该第二加密演算法。
22.如权利要求19所述的数据储存装置,其特征在于,还包括:
将对应该第一权限密码的数据的加密所使用的一第一密钥加密,并将所使用的一第一密钥加密密钥(KEK)用于加密该第一权限密码;且
将对应该第二权限密码的数据的加密所使用的一第二密钥也加密,并将所使用的一第二密钥加密密钥(KEK)用于加密该第二权限密码。
CN201910475038.7A 2019-05-10 2019-06-03 密码保护的数据储存装置以及非挥发式存储器控制方法 Pending CN111914309A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW108116307 2019-05-10
TW108116307A TWI728355B (zh) 2019-05-10 2019-05-10 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法

Publications (1)

Publication Number Publication Date
CN111914309A true CN111914309A (zh) 2020-11-10

Family

ID=73046017

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910475038.7A Pending CN111914309A (zh) 2019-05-10 2019-06-03 密码保护的数据储存装置以及非挥发式存储器控制方法

Country Status (3)

Country Link
US (1) US20200356285A1 (zh)
CN (1) CN111914309A (zh)
TW (1) TWI728355B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112417491A (zh) * 2020-12-11 2021-02-26 合肥大唐存储科技有限公司 固态硬盘的数据加密密钥获取、恢复方法和数据读写方法
KR20220124452A (ko) * 2021-03-03 2022-09-14 삼성전자주식회사 스토리지 장치
US20230350603A1 (en) * 2022-04-28 2023-11-02 Rambus Inc. Securing dynamic random access memory (dram) contents to non-volatile in a persistent memory module
CN116578505B (zh) * 2023-07-11 2023-09-15 苏州浪潮智能科技有限公司 基于磁盘加密的数据共享方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010056541A1 (en) * 2000-05-11 2001-12-27 Natsume Matsuzaki File management apparatus
CN104247327A (zh) * 2012-02-21 2014-12-24 密克罗奇普技术公司 使用密钥加密密钥的密码发射***
US20170046531A1 (en) * 2015-08-14 2017-02-16 Strong Bear Llc Data encryption method and system for use with cloud storage
US10193689B2 (en) * 2010-05-19 2019-01-29 International Business Machines Corporation Storing access information in a dispersed storage network

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011161494A1 (en) * 2010-06-22 2011-12-29 Sandisk Il Ltd. Storage device, host device, and method for communicating a password between first and second storage devices using a double-encryption scheme
TWI447583B (zh) * 2012-02-10 2014-08-01 Phison Electronics Corp 資料保護方法、記憶體控制器與記憶體儲存裝置
KR101835981B1 (ko) * 2016-06-28 2018-03-07 라인 가부시키가이샤 데이터 관리 방법 및 시스템
CN108256340B (zh) * 2017-12-22 2020-06-12 中国平安人寿保险股份有限公司 数据采集方法、装置、终端设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010056541A1 (en) * 2000-05-11 2001-12-27 Natsume Matsuzaki File management apparatus
US10193689B2 (en) * 2010-05-19 2019-01-29 International Business Machines Corporation Storing access information in a dispersed storage network
CN104247327A (zh) * 2012-02-21 2014-12-24 密克罗奇普技术公司 使用密钥加密密钥的密码发射***
US20170046531A1 (en) * 2015-08-14 2017-02-16 Strong Bear Llc Data encryption method and system for use with cloud storage

Also Published As

Publication number Publication date
TW202042092A (zh) 2020-11-16
US20200356285A1 (en) 2020-11-12
TWI728355B (zh) 2021-05-21

Similar Documents

Publication Publication Date Title
US9483664B2 (en) Address dependent data encryption
US9043610B2 (en) Systems and methods for data security
TWI728355B (zh) 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法
US7428306B2 (en) Encryption apparatus and method for providing an encrypted file system
US9160531B2 (en) Host device, semiconductor memory device, and authentication method
US10896267B2 (en) Input/output data encryption
US11308241B2 (en) Security data generation based upon software unreadable registers
CN103154963A (zh) 对地址的加扰和对需存储于存储设备中的写入数据的加密
US20150242332A1 (en) Self-encrypting flash drive
CN112560058B (zh) 基于智能密码钥匙的ssd分区加密存储***及其实现方法
CN110298186B (zh) 一种基于动态可重构密码芯片的无密钥数据加解密方法
CN102163267A (zh) 固态硬盘安全访问控制方法、装置和固态硬盘
CN111488630A (zh) 可配置安全存储区域的存储装置及其操作方法
US20100011221A1 (en) Secured storage device with two-stage symmetric-key algorithm
US20140108818A1 (en) Method of encrypting and decrypting session state information
US10291402B2 (en) Method for cryptographically processing data
CN108920984A (zh) 一种防克隆篡改安全ssd主控芯片架构
US11775652B2 (en) Platform security mechanism
US20200366483A1 (en) Devices and methods of managing data
CN110659506A (zh) 基于密钥刷新对存储器进行重放保护
US10970232B2 (en) Virtual root of trust for data storage device
US11381388B2 (en) Storage device sharing data encryption key as encrypted and operating method of storage device
JP2009071838A (ja) 電子デバイスにおけるセキュリティ・フィーチャー
CN103154967A (zh) 修改元素的长度以形成加密密钥
JP2007193800A (ja) カード認証システムのセキュリティレベルを向上させる装置及び方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination