CN111914309A - 密码保护的数据储存装置以及非挥发式存储器控制方法 - Google Patents
密码保护的数据储存装置以及非挥发式存储器控制方法 Download PDFInfo
- Publication number
- CN111914309A CN111914309A CN201910475038.7A CN201910475038A CN111914309A CN 111914309 A CN111914309 A CN 111914309A CN 201910475038 A CN201910475038 A CN 201910475038A CN 111914309 A CN111914309 A CN 111914309A
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- password
- volatile memory
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000015654 memory Effects 0.000 title claims abstract description 110
- 238000013500 data storage Methods 0.000 title claims abstract description 36
- 238000000034 method Methods 0.000 title claims abstract description 16
- 239000007787 solid Substances 0.000 description 3
- 238000004806 packaging method and process Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000011022 opal Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0623—Securing storage systems in relation to content
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0629—Configuration or reconfiguration of storage systems
- G06F3/0637—Permissions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
- G06F3/0658—Controller construction arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
- G06F3/0679—Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及非挥发式存储器的安全机制,具体地说,涉及密码保护的数据储存装置以及非挥发式存储器控制方法。控制器将权限密码加密后,方以一非挥发式存储器储存。该非挥发式存储器中加密数据所使用的金钥也可被密钥加密金钥(KEK)加密后才储存到该非挥发式存储器。该密钥加密金钥(KEK)可更用于权限密码的加密,使该非挥发式存储器存有该权限密码、与该密钥加密密钥(KEK)组合的密文。符合该权限密码的存取要求可取得该密钥加密密钥(KEK),据以解密出密钥,再据以解密数据。
Description
技术领域
本发明有关于非挥发式存储器的安全性技术。
背景技术
非挥发式存储器有多种形式─例如,快闪存储器(flash memory)、磁阻式随机存取存储器(Magnetoresistive RAM)、铁电随机存取存储器(Ferroelectric RAM)、电阻式随机存取存储器(Resistive RAM)、自旋转移力矩随机存取存储器(Spin Transfer Torque-RAM,STT-RAM)…等,用于长时间数据保存,可做为储存媒体实现一数据储存装置。
数据储存装置的安全性提升为本技术领域重要议题。
发明内容
根据本发明一种实施方式实现的数据储存装置包括一非挥发式存储器以及一控制器。该控制器根据一主机的要求操作该非挥发式存储器。该控制器将一第一权限密码加密后,方以该非挥发式存储器储存。权限密码的安全性显著提升。
一种实施方式中,该控制器以一第一密钥将一第一数据加密后,方写入该非挥发式存储器。该控制器以一第一密钥加密密钥(KEK)将该第一密钥加密后,方储存至该非挥发式存储器。
一种实施方式中,该控制器将该第一密钥加密密钥用于该第一权限密码的加密,使该非挥发式存储器存有该第一权限密码与该第一密钥加密密钥组合的密文,而符合该第一权限密码的存取要求可取得该第一密钥加密密钥,据以解密该第一密钥,再据以解密该第一数据。
一种实施方式中,该控制器提供多种加密逻辑。该控制器自上述多种加密逻辑中组合出两种不同的加密演算法,分别实现该第一权限密码的加密、以及该第一密钥的加密。
一种实施方式中,该控制器以一第二密钥将一第二数据加密后,方写入该非挥发式存储器。该控制器以一第二密钥加密密钥(KEK)将该第二密钥加密后,方储存至该非挥发式存储器。该控制器令该第二密钥加密密钥用于一第二权限密码的加密,使该非挥发式存储器中,还包括相关该第二权限密码以及该第二密钥加密密钥的密文,而符合该第二权限密码的存取要求得以取得该第二密钥加密密钥,据以解密该第二密钥,再据以解密该第二数据。一种实施方式中,该控制器包括一随机数产生器,为该第一密钥、以及该第二密钥分别产生该第一密钥加密密钥、以及该第二密钥加密密钥。一种实施方式中,该控制器提供多种加密逻辑。该控制器自上述多种加密逻辑中组合出两种不同的加密演算法,分别实现该第一权限密码的加密、以及该第二权限密码的加密。
一种实施方式中,该控制器将一第二权限密码加密后,方以该非挥发式存储器储存。该控制器令该第二权限密码的加密与该第一权限密码的加密隔绝。一种实施方式中,该控制器包括一随机数产生器,为该第一权限密码、以及该第二权限密码的加密分别产生一第一权限密码密钥、以及一第二权限密码密钥。一种实施方式中,该控制器提供多种加密逻辑。该控制器自上述多种加密逻辑中组合出两种不同的加密演算法,分别进行该第一权限密码的加密、以及该第二权限密码的加密。
一种实施方式中,该控制器将对应该第一权限密码的数据的加密所使用的一第一密钥加密,并将所使用的一第一密钥加密密钥(KEK)用于加密该第一权限密码。该控制器还将对应该第二权限密码的数据的加密所使用的一第二密钥也加密,并将所使用的一第二密钥加密密钥(KEK)用于加密该第二权限密码。
本发明概念可用于实施非挥发式存储器控制方法。
下文特举实施例,并配合附图,详细说明本发明内容。
附图说明
图1根据本发明一种实施方式图解一数据储存装置100,为了快闪存储器102的安全性提供了解决方案;
图2根据本发明一种实施方式图解本发明安全存储的概念;且
图3为流程图,根据本发明一种实施方式图解如何应付使用者对快闪存储器102的存取要求。
符号说明
100~数据储存装置;
102~快闪存储器;
104~存储器控制器;
106~主机;
108~加密的"密钥加密密钥(KEK)";
110~加密的数据;
112~加密的密钥;
114~加密逻辑;
116~随机数产生器;
202~权限密码;
204~权限密码保护逻辑;
206~密钥;
208~密钥保护逻辑;
210~密钥加密密钥(KEK);
S302…S310~步骤。
具体实施方式
非挥发式存储器可以是快闪存储器(Flash Memory)、磁阻式随机存取存储器(Magnetoresistive RAM)、铁电随机存取存储器(Ferroelectric RAM)、电阻式存储器(Resistive RAM,RRAM)、自旋转移力矩随机存取存储器(Spin Transfer Torque-RAM,STT-RAM)…等,提供长时间数据保存的储存媒体。以下特别以快闪存储器为例进行讨论。
现今数据储存装置常以快闪存储器为储存媒体,实现记忆卡(Memory Card)、通用串行总线闪存装置(USB Flash Device)、固态硬碟(SSD)…等产品。有一种应用是采多芯片封装、将快闪存储器与其存储器控制器包装在一起─称为嵌入式快闪存储器函式(如eMMC)。
以快闪存储器为储存媒体的数据储存装置可应用于多种电子装置中。所述电子装置包括智慧型手机、穿戴装置、平板电脑、虚拟实境设备…等。电子装置的运算模块可视为主机(Host),操作所使用的数据储存装置,以存取其中快闪存储器。
以快闪存储器为储存媒体的数据储存装置也可用于建构数据中心。例如,伺服器可操作固态硬碟(SSD)阵列形成数据中心。伺服器即可视为主机,操作所连结的固态硬碟,以存取其中快闪存储器。数据储存装置的应用相当广泛,其安全性提升为本技术领域重要议题。
图1根据本发明一种实施方式图解数据储存装置100,较佳以快闪存储器102为储存媒体。数据储存装置100的存储器控制器104根据来自主机106的主机指令来操作快闪存储器102。本发明为数据储存装置100的数据安全性提供了解决方案。
数据储存装置100所储存的数据可区分成不同权限。符合设定的权限密码(Privilege Password)才能对数据储存装置100所储存的数据进行存取,例如,管理者(Administrator)需输入管理者密码,一般使用者则输入使用者密码,才能分别对数据储存装置100所储存的数据进行存取。由上述中可知,权限密码会决定数据的存取权利,若将权限密码以明文方式储存在快闪存储器102,骇客只要找到储存位置就可以取得数据的存取权利。因应之,存储器控制器104将权限密码加密后才储存到快闪存储器102,权限密码的安全性可以显著提升。另外,权限密码亦可由管理者或使用者保管再载入数据储存装置100使用,如此一来,骇客更无法从数据储存装置100取得权限密码。
存储器控制器104对写入快闪存储器102的使用者数据(User Data),或简称为数据,也有其保护措施。存储器控制器104会将来自主机106的数据加密后才储存到快闪存储器102,如第1图中的加密的数据110所示。存储器控制器104特别将数据加/解密用的密钥也加密,再储存到快闪存储器102,如图1中的加密的密钥112所示。骇客即使在快闪存储器102找到加密的密钥112,由于无法解密加密的密钥112,因此,也就没有能力将加密的数据110解密,如此一来,数据安全性得到显著地提升及保障。在上述中,密钥的加密的演算过程主要会运用到密钥加密密钥(Key Encryption Key,KEK)。
由于KEK的重要性,如果能够对KEK再度进行加密处理,则数据安全性可以得到更显著地提升及保障。在一种实施方式中,存储器控制器104以权限密码对KEK进行加密,使不仅保护密钥加密密钥(KEK),也保护权限密码。密钥加密密钥(KEK)与权限密码结合为密文。KEK可视为权限密码的密钥。权限密码也可视为KEK的密钥。之后,当主机106欲读取数据时,主机指令需提供权限密码,存储器控制器104依据权限密码而对加密的KEK 108进行解密以取得KEK,再以KEK对加密的密钥112进行解密以取得密钥,再用密钥对加密的数据110进行解密以取得数据(明文)。权限密码可由主机指令直接提供,或于执行主机指令时,要求主机106提供。如果权限密码不符,则无法正确地解密出KEK,加密的密钥112无法被解密。骇客自然就无法解读加密的数据110,达到本发明的目的。
为了达到本发明的目的,存储器控制器104较佳以不同的加密演算法产生加密的KEK 108以及加密的密钥112。在一种实施例中,存储器控制器104提供加密逻辑114,可由逻辑元件/电路佐以程序运算实现。存储器控制器104可以自加密逻辑114中组合出两种甚至更多不同的加密演算法。数据加密、密钥加密、KEK加密可采不同加密逻辑。不同权限密码的相关加密也可以不同加密逻辑实现。藉由如此设计,加密复杂度提升,更不易被骇客破解。
存储器控制器104更包括随机数产生器116。密钥加密密钥(KEK)可以是由随机数产生器116产生。
存储器控制器104可使用进阶加密标准(Advanced Encryption Standard,AES)对数据进行加密而形成加密的数据110,反之亦然。
储存装置安全管理规范TCG OPAL下,进阶加密标准(AES)可应付在多范围(Multiple Ranges)的数据的加密,不同范围的数据较佳采用不同的密钥以提供数据较佳的保护。例如,存储器控制器104将第一数据以第一密钥加密、第二数据以第二密钥加密,之后,将加密后的第一数据或第二数据储存至快闪存储器102,形成加密的数据110。第一数据与第二数据分属于不同的锁定范围(Locking Range),例如:第一数据位于锁定范围#1,第二数据位于锁定范围#2。第三数据如不位于任何锁定范围中,那就是位于全球范围(GlobalRange),存储器控制器104将第三数据以第三密钥加密后,再储存至快闪存储器102。存储器控制器104以同一KEK对第一密钥或第二密钥进行加密以形成加密的密钥112,再将加密的密钥112储存至快闪存储器102。为了简化说明,在下述中仅以第一数据和第二数据为例进行说明,但不以此为限。
之后,在收到主机指令时,主机指令例如是数据读取指令,存储器控制器104依据主机指令的权限密码而对加密的KEK 108进行解密。如果权限密码正确,存储器控制器104可取得KEK。之后,存储器控制器104依据KEK对加密的密钥112进行解密以取得第一密钥或第二密钥。存储器控制器104再依据取得的第一密钥或第二密钥对加密的数据110进行解密以取得第一数据或第二数据。最后,存储器控制器104依据取得的第一数据或第二数据回应主机指令。
随机数产生器116可用以产生第一密钥、第二密钥以及KEK。
一种实施方式中,第一密钥以及第二密钥采用相同KEK进行加密。在另一种实施方式中,第一密钥以及第二密钥可采用不同KEK进行加密。各密钥加密密钥(KEK)都可以与对应的权限密码结合为密文。
一般而言,管理者和一般使用者的权限密码不相同,因此,权限密码保护逻辑(如,图2的204,以下讨论之)依据不同的权限密码而对KEK进行加密后,将产生不同的加密的KEK108。
图2根据本发明一种实施方式图解本发明安全存储的概念,权限密码保护逻辑204可依据权限密码202而对KEK 210进行加密以产生加密的KEK 108。反之,权限密码保护逻辑204依据权限密码202而对加密的KEK 108进行解密以产生KEK 210。另外,密钥保护逻辑208可依据KEK 210而对密钥206进行加密以产生加密的密钥112。反之,密钥保护逻辑208是依据KEK 210而对加密的密钥112进行解密以产生密钥。存储器控制器104再依据密钥而对数据进行加密或对加密的数据进行解密,其中,不同锁定范围的数据较佳采用不同的密钥。
图3为流程图,根据本发明一种实施方式图解数据储存装置如何回应主机指令,主机指令来自于主机106,例如是数据读取指令。步骤S302:数据储存装置的存储器控制器104取得主机指令中的权限密码。步骤S304:存储器控制器104判断能否依据权限密码对加密的KEK 108进行解密以取得KEK 210,若无法解密则不予执行主机指令,另外,数据储存装置亦可回传警告讯息至主机106。若成功解密取得KEK210则执行步骤S306:存储器控制器104依据KEK 210而对加密的密钥112进行解密以取得密钥。步骤S308:存储器控制器104依据密钥而对将主机指令所欲存取的数据进行解密。步骤S310:存储器控制器104回传解密后的数据。
前述存储器控制器104控制该快闪存储器102的方法都属于本发明所欲保护技术范围。本发明更据以提出的非挥发式存储器控制方法。
虽然本发明已以较佳实施例揭示如上,然其并非用以限定本发明,任何熟悉本技术领域者,在不脱离本发明的精神和范围内,当可做些许更动与润饰,因此本发明的保护范围当以权利要求书界定为准。
Claims (22)
1.一种数据储存装置,包括:
一非挥发式存储器;以及
一控制器,根据一主机的要求操作该非挥发式存储器,
其中:
该控制器将一第一权限密码加密后,方以该非挥发式存储器储存。
2.如权利要求1所述的数据储存装置,其特征在于:
该控制器以一第一密钥将一第一数据加密后,方写入该非挥发式存储器;且
该控制器以一第一密钥加密密钥(KEK)将该第一密钥加密后,方储存至该非挥发式存储器。
3.如权利要求2所述的数据储存装置,其特征在于:
该控制器将该第一密钥加密密钥用于该第一权限密码的加密,使该非挥发式存储器存有该第一权限密码与该第一密钥加密密钥组合的密文,而符合该第一权限密码的存取要求可取得该第一密钥加密密钥,据以解密该第一密钥,再据以解密该第一数据。
4.如权利要求3所述的数据储存装置,其特征在于:
该控制器提供多种加密逻辑;
该控制器自上述多种加密逻辑中组合出一第一加密演算法,且以该第一加密演算法实现该第一权限密码的加密;
该控制器自上述多种加密逻辑中组合出一第二加密演算法,且以该第二加密演算法实现该第一密钥的加密;且
该第一加密演算法不同于该第二加密演算法。
5.如权利要求3所述的数据储存装置,其特征在于:
该控制器以一第二密钥将一第二数据加密后,方写入该非挥发式存储器;
该控制器以一第二密钥加密密钥(KEK)将该第二密钥加密后,方储存至该非挥发式存储器;且
该控制器令该第二密钥加密密钥用于一第二权限密码的加密,使该非挥发式存储器中,还包括相关该第二权限密码以及该第二密钥加密密钥的密文,而符合该第二权限密码的存取要求得以取得该第二密钥加密密钥,据以解密该第二密钥,再据以解密该第二数据。
6.如权利要求5所述的数据储存装置,其特征在于:
该控制器包括一随机数产生器,为该第一密钥、以及该第二密钥分别产生该第一密钥加密密钥、以及该第二密钥加密密钥。
7.如权利要求5所述的数据储存装置,其特征在于:
该控制器提供多种加密逻辑;
该控制器自上述多种加密逻辑中组合出一第一加密演算法,且以该第一加密演算法实现该第一权限密码的加密;
该控制器自上述多种加密逻辑中组合出一第二加密演算法,且以该第二加密演算法实现该第二权限密码的加密;且
该第一加密演算法不同于该第二加密演算法。
8.如权利要求1所述的数据储存装置,其特征在于:
该控制器将一第二权限密码加密后,方以该非挥发式存储器储存;且
该控制器令该第二权限密码的加密与该第一权限密码的加密隔绝。
9.如权利要求8所述的数据储存装置,其特征在于:
该控制器包括一随机数产生器,为该第一权限密码、以及该第二权限密码的加密分别产生一第一权限密码密钥、以及一第二权限密码密钥。
10.如权利要求8所述的数据储存装置,其特征在于:
该控制器提供多种加密逻辑;
该控制器自上述多种加密逻辑中组合出一第一加密演算法,且是以该第一加密演算法进行该第一权限密码的加密;
该控制器自上述多种加密逻辑中组合出一第二加密演算法,且是以该第二加密演算法进行该第二权限密码的加密;且
该第一加密演算法不同于该第二加密演算法。
11.如权利要求8所述的数据储存装置,其特征在于:
该控制器将对应该第一权限密码的数据的加密所使用的一第一密钥加密,并将所使用的一第一密钥加密密钥(KEK)用于加密该第一权限密码;且
该控制器将对应该第二权限密码的数据的加密所使用的一第二密钥也加密,并将所使用的一第二密钥加密密钥(KEK)用于加密该第二权限密码。
12.一种非挥发式存储器控制方法,包括:
根据一主机的要求操作一非挥发式存储器;且
将一第一权限密码加密后,方以该非挥发式存储器储存。
13.如权利要求12所述的非挥发式存储器控制方法,其特征在于,还包括:
以一第一密钥将一第一数据加密后,方写入该非挥发式存储器;且
以一第一密钥加密密钥(KEK)将该第一密钥加密后,方储存至该非挥发式存储器。
14.如权利要求13所述的非挥发式存储器控制方法,其特征在于,还包括:
将该第一密钥加密密钥用于该第一权限密码的加密,使该非挥发式存储器存有该第一权限密码与该第一密钥加密密钥组合的密文,而符合该第一权限密码的存取要求可取得该第一密钥加密密钥,据以解密该第一密钥,再据以解密该第一数据。
15.如权利要求14所述的非挥发式存储器控制方法,其特征在于,还包括:
提供多种加密逻辑;
自上述多种加密逻辑中组合出一第一加密演算法,且以该第一加密演算法实现该第一权限密码的加密;
自上述多种加密逻辑中组合出一第二加密演算法,且以该第二加密演算法实现该第一密钥的加密,
其中,该第一加密演算法不同于该第二加密演算法。
16.如权利要求14所述的非挥发式存储器控制方法,其特征在于,还包括:
以一第二密钥将一第二数据加密后,方写入该非挥发式存储器;
以一第二密钥加密密钥(KEK)将该第二密钥加密后,方储存至该非挥发式存储器;且
令该第二密钥加密密钥用于一第二权限密码的加密,使该非挥发式存储器中,还包括相关该第二权限密码以及该第二密钥加密密钥的密文,而符合该第二权限密码的存取要求得以取得该第二密钥加密密钥,据以解密该第二密钥,再据以解密该第二数据。
17.如权利要求16所述的非挥发式存储器控制方法,其特征在于,还包括:
提供一随机数产生器,为该第一密钥、以及该第二密钥分别产生该第一密钥加密密钥、以及该第二密钥加密密钥。
18.如权利要求16所述的非挥发式存储器控制方法,其特征在于,还包括:
提供多种加密逻辑;
自上述多种加密逻辑中组合出一第一加密演算法,且以该第一加密演算法实现该第一权限密码加密;
自上述多种加密逻辑中组合出一第二加密演算法,且以该第二加密演算法实现该第二权限密码的加密,
其中,该第一加密演算法不同于该第二加密演算法。
19.如权利要求12所述的非挥发式存储器控制方法,其特征在于,还包括:
将一第二权限密码加密后,方以该非挥发式存储器储存;且
令该第二权限密码的加密与该第一权限密码的加密隔绝。
20.如权利要求19所述的非挥发式存储器控制方法,其特征在于,还包括:
提供一随机数产生器,为该第一权限密码、以及该第二权限密码的加密分别产生一第一权限密码密钥、以及一第二权限密码密钥。
21.如权利要求16所述的非挥发式存储器控制方法,其特征在于,还包括:
提供多种加密逻辑;
自上述多种加密逻辑中组合出一第一加密演算法,且以该第一加密演算法进行该第一权限密码的加密;
自上述多种加密逻辑中组合出一第二加密演算法,且以该第二加密演算法进行该第二权限密码的加密,
其中,该第一加密演算法不同于该第二加密演算法。
22.如权利要求19所述的数据储存装置,其特征在于,还包括:
将对应该第一权限密码的数据的加密所使用的一第一密钥加密,并将所使用的一第一密钥加密密钥(KEK)用于加密该第一权限密码;且
将对应该第二权限密码的数据的加密所使用的一第二密钥也加密,并将所使用的一第二密钥加密密钥(KEK)用于加密该第二权限密码。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108116307 | 2019-05-10 | ||
TW108116307A TWI728355B (zh) | 2019-05-10 | 2019-05-10 | 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111914309A true CN111914309A (zh) | 2020-11-10 |
Family
ID=73046017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910475038.7A Pending CN111914309A (zh) | 2019-05-10 | 2019-06-03 | 密码保护的数据储存装置以及非挥发式存储器控制方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20200356285A1 (zh) |
CN (1) | CN111914309A (zh) |
TW (1) | TWI728355B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112417491A (zh) * | 2020-12-11 | 2021-02-26 | 合肥大唐存储科技有限公司 | 固态硬盘的数据加密密钥获取、恢复方法和数据读写方法 |
KR20220124452A (ko) * | 2021-03-03 | 2022-09-14 | 삼성전자주식회사 | 스토리지 장치 |
US20230350603A1 (en) * | 2022-04-28 | 2023-11-02 | Rambus Inc. | Securing dynamic random access memory (dram) contents to non-volatile in a persistent memory module |
CN116578505B (zh) * | 2023-07-11 | 2023-09-15 | 苏州浪潮智能科技有限公司 | 基于磁盘加密的数据共享方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010056541A1 (en) * | 2000-05-11 | 2001-12-27 | Natsume Matsuzaki | File management apparatus |
CN104247327A (zh) * | 2012-02-21 | 2014-12-24 | 密克罗奇普技术公司 | 使用密钥加密密钥的密码发射*** |
US20170046531A1 (en) * | 2015-08-14 | 2017-02-16 | Strong Bear Llc | Data encryption method and system for use with cloud storage |
US10193689B2 (en) * | 2010-05-19 | 2019-01-29 | International Business Machines Corporation | Storing access information in a dispersed storage network |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011161494A1 (en) * | 2010-06-22 | 2011-12-29 | Sandisk Il Ltd. | Storage device, host device, and method for communicating a password between first and second storage devices using a double-encryption scheme |
TWI447583B (zh) * | 2012-02-10 | 2014-08-01 | Phison Electronics Corp | 資料保護方法、記憶體控制器與記憶體儲存裝置 |
KR101835981B1 (ko) * | 2016-06-28 | 2018-03-07 | 라인 가부시키가이샤 | 데이터 관리 방법 및 시스템 |
CN108256340B (zh) * | 2017-12-22 | 2020-06-12 | 中国平安人寿保险股份有限公司 | 数据采集方法、装置、终端设备及存储介质 |
-
2019
- 2019-05-10 TW TW108116307A patent/TWI728355B/zh active
- 2019-06-03 CN CN201910475038.7A patent/CN111914309A/zh active Pending
- 2019-07-11 US US16/508,517 patent/US20200356285A1/en not_active Abandoned
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010056541A1 (en) * | 2000-05-11 | 2001-12-27 | Natsume Matsuzaki | File management apparatus |
US10193689B2 (en) * | 2010-05-19 | 2019-01-29 | International Business Machines Corporation | Storing access information in a dispersed storage network |
CN104247327A (zh) * | 2012-02-21 | 2014-12-24 | 密克罗奇普技术公司 | 使用密钥加密密钥的密码发射*** |
US20170046531A1 (en) * | 2015-08-14 | 2017-02-16 | Strong Bear Llc | Data encryption method and system for use with cloud storage |
Also Published As
Publication number | Publication date |
---|---|
TW202042092A (zh) | 2020-11-16 |
US20200356285A1 (en) | 2020-11-12 |
TWI728355B (zh) | 2021-05-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9483664B2 (en) | Address dependent data encryption | |
US9043610B2 (en) | Systems and methods for data security | |
TWI728355B (zh) | 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法 | |
US7428306B2 (en) | Encryption apparatus and method for providing an encrypted file system | |
US9160531B2 (en) | Host device, semiconductor memory device, and authentication method | |
US10896267B2 (en) | Input/output data encryption | |
US11308241B2 (en) | Security data generation based upon software unreadable registers | |
CN103154963A (zh) | 对地址的加扰和对需存储于存储设备中的写入数据的加密 | |
US20150242332A1 (en) | Self-encrypting flash drive | |
CN112560058B (zh) | 基于智能密码钥匙的ssd分区加密存储***及其实现方法 | |
CN110298186B (zh) | 一种基于动态可重构密码芯片的无密钥数据加解密方法 | |
CN102163267A (zh) | 固态硬盘安全访问控制方法、装置和固态硬盘 | |
CN111488630A (zh) | 可配置安全存储区域的存储装置及其操作方法 | |
US20100011221A1 (en) | Secured storage device with two-stage symmetric-key algorithm | |
US20140108818A1 (en) | Method of encrypting and decrypting session state information | |
US10291402B2 (en) | Method for cryptographically processing data | |
CN108920984A (zh) | 一种防克隆篡改安全ssd主控芯片架构 | |
US11775652B2 (en) | Platform security mechanism | |
US20200366483A1 (en) | Devices and methods of managing data | |
CN110659506A (zh) | 基于密钥刷新对存储器进行重放保护 | |
US10970232B2 (en) | Virtual root of trust for data storage device | |
US11381388B2 (en) | Storage device sharing data encryption key as encrypted and operating method of storage device | |
JP2009071838A (ja) | 電子デバイスにおけるセキュリティ・フィーチャー | |
CN103154967A (zh) | 修改元素的长度以形成加密密钥 | |
JP2007193800A (ja) | カード認証システムのセキュリティレベルを向上させる装置及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |