TW201118639A

TW201118639A - Data storage apparatus having cryption and method thereof

Info

Publication number: TW201118639A
Application number: TW099131827A
Authority: TW
Inventors: Woo-Hyun Lee; Bum-Seok Yu
Original assignee: Samsung Electronics Co Ltd
Priority date: 2009-09-22
Filing date: 2010-09-20
Publication date: 2011-06-01
Also published as: US20110072276A1; KR101601790B1; DE102010037291A1; JP2011070664A; JP5648209B2; CN102023935A; KR20110032249A; US8886956B2; TWI525471B

Description

201118639 六、發明說明：【相關申請案之交叉參考】本申凊案根據35 U.S.C· §ii9(a)主張來自2_年9月 22曰在韓國工業財產局申請的韓國專利申請案第厕-89644號的優先權，所述申請案的揭露内容以引用的方式併入本文。【發明所屬之技術領域】一本廣義發明概念是關於資料儲存裝置以及加密及解，气料之方法，且更特定言之，是關於處理密鑰 key)之裝置及其方法。〃【先前技術】宜入^处—馮自儲存媒體讀取資料及將資米存舰之計算設備。f料儲存設備可含有移動告有任何有效移動部分。具有移動部分之資步旋磁^ (之貫例為傳統磁碟機（齡driVe)，其中例如自料之-齡）之磁魏似具有並寫入養備通常稱翻_(祕敝^)。之貞觸存战援碟雜碟加密技術來支儲存媒體上在所述技術中使用加密錄來加密人，# 4。在習知系統中，回應於讀取或寫入今二5迷、資料自儲存器擷取且經解密，或者資料‘ 1 且儲存。雖然可將經加播上，但加密及㈣4存於*全磁碟機解密镥由主機設備中之外部處理器或藉由安 201118639 微;:器來處置。因為資料必須在按照讀取密及解解密，用於加【發明内容】的輸送量及效能影響。加密if ir概念提供較快速效缺較佳安全性。因為限且從不概且贿於騎硬咖，所叫财離開其界作業系統中或從不由應用程式軟體使用。體加密較安全且管理起來較不複雜。本廣義發明概念之額外態樣及優勢將部分陳述於以二ί中#且將自所述描述顯而易見，或可藉由本廣義發明概念之實踐而瞭解。本廣義發明概念之上述及/或其他態樣及效用可藉由提供-種儲存裝置來實現’其包含：齡單元，其用以儲存資料；處理H單元，其用以根據自外料備接收之命令來處理所述資料；以及密料元，其用以在所述處理器單元處理所述資料時同時處理對應於所述命令之加密。本廣義發明概念之上述及/或其他態樣及效用亦可藉由提供一種儲存裝置來實現，其包含：儲存單元，其用二儲存資料；處理器單元，其用以根據自外部設備接收之命令來處理所述資料；密錄單元，其用以儲存多個密錄；以及解碼器單元，其用以根據自所述外部設備接收之所述命令之位址資訊而選擇所述密鑰中之一者。本廣義發明概念之上述及/或其他態樣及效用亦可藉由提供一種儲存裝置來實現，其包含：處理器單元，其用 201118639 -J-J t t Ourix =據1外部設備接收之命令來執行資料之處理;解碼器資句二用以根據自所述外部設備接收之所述命令之位址元==行歸之選擇’其中所述處理器及所述解碼器單所述所述命令之後分別㈣執行所述資料之處理及汴攻费輪之選擇。由接^廣義發明概念之上収/或其他紐及效用亦可藉產座二種儲存系統來實現，其包含：主機裝置，其用以诚i二令；以及儲存裝置’其可連接輯駐機裝置，所二，:襞置包含：儲存單元，其用以儲存資料；處理器單 =·二用=根據自外部設備接收之所述命令來處理所述資 j：田雄鑰單元’其用以儲存多個密餘：以及解碼器單元，根據自所述外部設備接收之所述命令之位址資訊選擇所述密鑰中之一者。本廣義發明概念之上述及/或其他態樣及效用亦可藉，供-種儲存系統來實現，其包含：主機裝置，其用以 =命令；職贿裝置，其可連接輯駐機裝置，所 =储存裝置包含··處理器單元，其用以根據自外部設備接 =命令來執行資料之處理；解碼器單元，其用以根據自外部設備触之所述命令之位址資誠執行密錄之選其中所述處理器及所述解碼器單元在接收到所述命令之後分別同時執行所述資料之處理及所述密鑰之選擇。本廣義發日細念之上述及/或其他態樣及效用亦可藉健二供—種儲存裝置來實現，其包含：密鮮元，其用以爾存多個歸；解·單元，翻以根據自外部設備接收 201118639 之位址資訊而選擇所述密鑰中之一者· 料-及控制處理器單元其述ί; 自所元之資料的讀取及寫入，其所述控制處理器單元而選擇所述 =發明概念之上述及/或其他態樣及效用，二種固態磁碟機來實現，其包含：密瑜單元，以儲存夕個密鑰;解碼器單元，其用以根據自：而選擇所述密输中之-者;記憶體單元，ϊ :=!料；以及控制處理器單元，其用以使用所述選官理來自所述記憶體單元之資料的讀取及寫入單元獨立於所述控制處理器單元而選擇所由提=其轉樣及效用亦可藉吝;.糾糸、絲$現，其包含：主機裝置，其用以述儲t置=儲存裝置，其可連接至所述主機裝置，所 =存裝^含：錄單元，其㈣儲衫個錄；解碼述=中設備，之位址資訊而選擇所制處理其用讀存¥料；以及控早70，其用以使用所述選定密鑰來管理來自所述單70之資料的讀取及寫人，其中所述解碼器單元獨 ;斤述控制處理器單元而選擇所述密射之一者。由担#廣義發明概念之上述及/或其他態樣及效用亦可藉 '、一種加密資料之方法來實現，所述方法包含：接收 6 201118639 / I Opll 命令，自所述命令剖析位址；接收邏輯區塊位址範圍；產生對應於所述邏輯區塊位址範圍之密錄旗標；以及使用所述密鑰旗標來選擇密鑰。 β本廣義發明概念之上述及/或其他態樣及效用亦可藉 ' 由長種加达、資料之方法來實現，所述方法包含：接收、 ^入凊求；自所述寫入請求剖析位址；接收邏輯區塊位址範圍；產生對應於所述邏輯區塊位址範圍之密鑰旗標；使用所述密繪旗標來選擇密鑰；使用所述密鑰來加密資料；以及將所述經加密資料寫入至記憶體。本廣義發明概念之上述及/或其他態樣及效用亦可藉由提供一種解密資料之方法來實現，所述方法包含：接收命令；自所述命令剖析位址；接收邏輯區塊位址範圍；產生對應於所述邏輯區塊位址範圍之密鑰旗標；以及使用所述密鑰旗標來選擇密鑰。本廣義發明概念之上述及/或其他態樣及效用亦可藉由提供一種解密資料之方法來實現，所述方法包含：接收讀取請求；自所述讀取請求剖析位址；接收邏輯區塊位址 * 範圍；產生對應於所述邏輯區塊位址範圍之密鑰旗標；使用所述密鑰旗標來選擇密鑰；使用所述密鑰來解密資料；以及自記憶體讀取所述經解密資料。本廣義發明概念之上述及/或其他態樣及效用亦可藉由提供一種在儲存裝置中執行加密操作之方法來實現，所述方法包含：接收命令；以及同時根據所述命令處理資料及根據所述命令之位址資訊執行密输之選擇。 201118639 本廣義發明概念之上述及/或其他態樣及效用亦可藉由提供一種電腦可讀媒體來實現，所述電腦可讀媒體含有作為程式之電腦可讀程式碼以執行在儲存裝置中執行加密操作之方法’所述方法包含：接收命令；以及同時根據所述命令處理資料及根據所述命令之位址資訊執行密鑰之選擇。、【實施方式】現將詳細參考本廣義發明概念之實施例，其實例說明於附圖中，其中相同參考數字自始至終指代相同元件°。下文描述實施例以便在參看附圖的同時解釋本廣義發元全磁碟力口密解決方案使用多個安纟性或加密密來加密不同的分區。絲經授權用戶能夠存取電腦，經授權用戶*能存取所有檔案。檔案及資，磁碟之不同部分使用不同密鑰。因此未經授權自仍處於加密之檔案及資料夾提取資訊。 ▲硬體加密與僅程式加密方法相比之益處包含較 =能及較佳安全性。因為加密錄產生且儲存於驅動硬體丄所以其其界限且從隸持於健純中不由應用程式軟體使用。硬體加密較安全且管理起來較不複雜。个 ‘一下文中互換使用之“加密錄，，、“安全性密瑜卢術語可結合用以加密及/或解密諸之進階加密払準（AdvancedEnerypti〇n standard，AES)或資料加密標 201118639 準（Data Encryption Standard，DES )或適當時結合另一加密系統來使用。圖1A、圖1B、圖2A及圖2B為說明根據本廣義發明概念之例不性實施例之安全儲存裝置1〇〇及2〇()的視圖。參看圖1A及圖1B，安全儲存裝置包含介面ι1〇、處理器120、儲存單元13〇及密鑰單元14〇。安全儲存裝置 100與位於主機裝置105中之主機處理器1〇8通信。圖1A中，安全儲存裝置1〇〇在包含主機處理器ι〇8 之主機裝置105外部且經由介面11〇通信。安全儲存裝置 100可經由其巾之端子可拆卸式酬接至主機裝置105。一圖1B中，安全儲存裝置1〇〇位於主機裝置1〇5内部且，由介面11〇與主機處理器通信。安全儲存裝置觸於主機裝置1〇5中。主機袋置105可具有安裝於其中的至少一個額外儲存裝置。置用主機健105。主機裝s 105與安全儲存裝姿人所述主機裝置ι〇5顯然地加密及解密儲存於密二之Γ斗。用戶可在開機或啟動時輸入戶可不=鎖疋狀態下存取安全儲存裝置議。或者，用裝置^^碼何在未敎狀態無限·存取安全儲存在鎖定狀熊φ鎖定或未鎖定之任—狀態中’資料已被加密。用戶r、，用戶藉由設定密碼來控制安全性密鑰。或範圍而密碼以藉由不同限制或加密/解密等級在鎖!^存於儲存單元l3G中之資料產生文件。疋大態下，可使用若干技術來重新獲得丟失的密 201118639 -- -r __ 碼》可使用挑戰/回應序列來重新獲得丟失的密竭。或者，密碼保護的加密密鑰檔案可創建並儲存於安全的地方。處理器120根據自主機處理器1〇8接收之命令（例如，讀取/寫入命令）來處理資料。處理器12〇可為微處理器、微控制器、數位信號處理器、專用或通用程式化晶片。儲存單元130儲存資料。儲存單元13〇可為用以儲存資料之半導體固態磁碟機（semic〇nduct〇r s〇Ud state出认 drive，SSD)。儲存單元m可為另—類型之記憶體儲存器’諸如快閃記憶體、多個半導體記憶體晶片之模組或封裝、記憶卡（memory card)等。或者，儲存單元13〇可為另一類型之記憶體儲存器，諸如習知硬碟機（hard齡 dri^e ’ HDD)、光碟機（〇ρ_ 她，〇ro)等儲存早7L l3〇具有用以儲存資料或資訊之記憶體空體記憶體空間）。密瑜單元140同時處理對應於自主機處理！ 108接收 =讀取/寫人命令的加密及解密，而處理器單幻2()回應於自主機處理器⑽接收之命令而處理資料。在本廣義發明 $念之例7F性實施财’錄單元騎命令從而自所述命二^ι^ιΐ：㈣所述位址來查找安全性密錄，且根據讀 ^寫功令來執行㈣之加密或解密。密鑰單元140可為 =立單二，其具有用，存安全性密鑰清單之記憶體以及以執打安全性密输查找及資料之加密的專用或通用微處理器。所述命令可包含對應於處理器110所進行之處理資料 201118639 的第=命令以及對應於密鑰單元14G所進行之加密或的第二命令。且’命令可藉由處理器12G及藉由密鑰單 140來同時解譯以同時執行資料處理及加密或解密。安全性密鑰清單與儲存單元13〇有關。儲存單元^ 劃分為η個範圍，且每—範圍具有與其相關聯之獨特性密鑰’所述魏用於加密及解密其巾所含的資料可藉由製造絲界定且為資料量。安錄練清單應於儲存單元13G之η個範圍之η個安全性密鑰。每々圍中之資料可具有固定區塊大小’例如⑷立元、⑵位乾 =2位7L、256位元等，且每―範圍之安全性錄可為例如位y 128位元、192位元、256位元等。自接收自主理，1G8之讀取/寫人命令剖析之位址可結合安全使用，S判定具有所剖析位址之特定將之加密及/ 或解街所需的安全性密餘。说/仓當安全性錄已使用來自接收自主機處理11⑽之讀 =寫_入艾的，析位址而自安全性密鑰清單選擇時，密 -: 制安錢密料加肢/或解密資料。密鍮單 :可使用進階加密標準（AES)或資料加來加^及/或解密資料，或可適當時使㈣—加密系統。） m 自命令剖析位址，且在無需利用處理器理如密及/或解密。因此，處理器120可處理如命令中所缺之資料，而密鱗幻40同時處理資料且密鑰單元140能夠在無需中斷處理器120 不需要控制的情況下加密或解密資料，而處理器120能 11 201118639 / / uuu 夠在無需巾斷躲單元140的情況下處理㈣。 H0及處理器12〇中之任—者均不比另— = 單元140及處理器120均未干擾另一者。疋且名鄉處理器120處理資料，其可包含執行映射操作以根據命令將邏輯位址映射至儲存單元13〇中之相應;=據處理器120可在由密料元14()處理加密之後執之額外處理。處理器120可能不等待’或延遲資料之處理直至密输早=140完成加密或解密處理器為止。處理器12〇可在密繪單元HG進行域或解密㈣顧執行資料處理之一部分。處理器uo可在密鑰單元14〇進行加間準備資料處理，以使得纽可在歸單^^ 成加密或解密程序之後根據命令完成資料處理。同時處理加密及資料之速度比依核理加密及資料 =速度快。花費-段時間（其可為單—時脈循環或另一段，間）來同時處理加密及資料’所述時間段比依序處理加畨及資料所花費的時間段短。參看圖2A及圓2B，安全儲存裝置2〇〇包含介面跡 ^理器22G、儲存單元23G及安全性單元24G，所述安全性早TC 240包含解碼器單元242、密鑰單元2糾及編密單元 •pher unit) 246。女全儲存裝置2〇〇與位於主機裝置2仍中之主機處理器2〇8通信。圖2A中，女全儲存裝置200在包含主機處理器2〇8 之主機裝£ 205夕卜部且經由介面21〇通信。安全儲存裝置 12 201118639 /opll 200可、、由其巾之端子可拆卸式地附接至主機裝置205。 b r 中，安全儲存裝置200位於主機裝置205内部可^裝機處理器208通信。安全儲存裝置200 中的至+ —伽^置2〇5中。主機裴置2〇5可具有安裝於其中的至ν個額外儲存裝置。置2:3主絲置挪。主機農置205與安全儲存裝安全儲^晋戶 1 述主機裝置2〇5顯然地加密及解密儲存於密碼以便戶可在開機或啟動時輪入貝疋狀態下存取安全儲存裝置200。或者，用裝置2〇〇H而n鎖定狀態無限制地存取安全儲存在鎖定狀態巾，之^:狀射，龍已被加密。用戶稭由设定密碼來控制安全性密鑰。或範圍而自可二;;二限制或加密/解密等級儲存早"°23()中之資料產生文件。 ^制轩技娜㈣麟丢失的密密碼保重新獲得丟失的密碼。或者，處理案可創建並儲存於安全的地方。 ::=^資料。處二Μ 態磁碟機(SSD)。儲存單元體晶片之模喊封裝、記料憶 13 201118639 儲存單元230可為另-類型之記憶體儲存器，諸碟機⑽D)、光碟機（0DD)等。儲存單元23〇以儲存資料或資訊之記㈣空間（或實體記憶體空門及二=。24°包含解碼器單元242、密— ―解碼器單元242自接枚自主機|置2〇8之命令址資訊並選擇相應的安全性密鍮。解碼器單元2 為獨立的專用或通用電路）可經由處理器22〇 ^ 接收命令，或可直接自介面21G接收命令並解碼命令。所述命令可包含對應於處理器21〇所進行之處理，第-命令以及對應於解碼器單元242所進行之加密令。且，命令可藉由處理器220及藉由解碼器早兀242來同時解譯以同時執行資料處理及加密或解密。解碼器單元242剖析命令且自命令判定位址。自接收 ^主機處理H 之讀取/寫人命令着之位址可結合儲存於密料元244中之密鑰清單使用，關定具有所剖析位址之特定資料之加密及/或解密所需的安全性密錄。在本廣義發明概念之例示性實施例中，密鑰單元244 儲存安全性魏之清單。密鑰單元Μ4可為含有密錄清單之獨立記憶體單元’或可位於儲存單元23G上。安全性密 =清單與儲存單元23G有關。儲存單元23G劃分為n個範且每-範圍具有與其相關聯之獨特安全性密錄，所述於加密及解密其中所含的資料^範圍可藉由製造商 ’定且為資料量。安全性密瑜清單含有對應於儲存單元 201118639 二之n個範圍之n個安全性密鑰具有固定區塊大小，例如64位元、128位元圍=科可 =元等’且每-範圍之安全性麵可為例^ 128位兀、192位元、256位元等。 230上解二使用位址來直接自儲存於儲存單元可使用自全性密鑰，或解部單元242 自所接收命令剖析之位址來產生密鍮旗 ag : ^鑰旗標接著可用以自儲存於儲存單 =早選擇相應的安全性密鑰。解碼器單元242可比= 以產生用以選擇加密或解密資料之安全性密錄的料。喿作以根據選定密·加密資進^ γ 、°為獨立的專用或通用電路）可為 tTced Encrypti〇n System J AES) ^f 任何合=-°nsystem，DEs)編密器，或主機ίΐΐ性密瑜已藉由解碼器單元242使用來自接收自於：之讀取•命令的所剖析位址而自儲存二中之安全㈣鑰清單選擇時，編密單元246 用進讀來加密及/或解密資料。編密單元246可使及ES)崎料加密標準（DES)來加密及/或解密資料，或可適當時使用另—加密系統。益需單兀242自命令剖析位址，且編密單元246在 ‘、，'需利用處理器220之情況下處理加密及/或解密。因此， 15 201118639 djI/opn 處理器220可處理如命令中所指定之資料，时 2:0 :時選擇安全性密鑰 '編密單元2如能夠在無處理斋220且不需要控制的情況下加密或解密斷理器220能夠在無需中斷編密單元246的情況下产= 料。解碼器單元242及處理器220中之任一者均不^二者優先，且解碼器單元242及處理器220均未干擾另一^ 處理器220處理資料，其可包含執行映射诚位址映射至儲存料⑽中之相應實體位^據 U 220 ▼在由編密單元26〇處理加密之後執行資料之主Ϊ:22〇25〇可根據所處理資料及加密操作而輸處，器220可能不等待’或延遲資料之處理直至解碼 ^ „42完成加密或解密處理器為^1。處理器220可在 ―，單it 2彳2進行加密或解密程序期間執行資料處理之理器220可在解碼器單元242進行加密或解密間準備資料處理，以使得處理器22()可在解碼器單疋完成加密或解密程序之後根據命令完成資料處理。夕、* f時處理加密及資料之速度比依序處理加密及資料日°化費一段時間（其可為單一時脈循環或另一段來同時處理加密及資料，所述時間段比依序處理加雄'及資料所花費的時間段短。以改间Bif/理-器220及解碼器單S242在接收到命令之後分別可盐山行資料之處理及安全性密錄之選擇。主機裝置205 產生對應於用戶視窗之介面信號來與用戶通信， 16 201118639 r /opil 變安全性密翰。解碼器單元242 ί、:：，單元242獨立於處理器^、改變之安全性密來選擇安全性密鑰中之一者。° 或主機處理器208 處理器22〇在自館存清早選擇安全性密鑰的過程中二早疋244上之密錄解碼器單元242 1理n 22G根密或解密及未控制而輸出信鏡至主機裝置2〇，理資料及加密操作選擇安全性密鑰及編密單元2 在解=單元242 理所述資料。允許處理器22()在^°==期中處作時輸出自所處理資料產生之信號操向處理器220指示加細C一產生的安,明展示本廣義發明概念之例示性實施例 Π 參考下文更詳細描述之包含解碼器單來ml單7^ 344及編密單幻46之安全性單元340 ^田述圖2之解碼器單元242、密输單元Μ及編密單元 246 〇圖3包含解碼器單元342、密鎗單元344及編密單元

346 °解碼器單元342接收命令且自命令剖析位址。位址可為邏輯區塊位址（l〇gicbl〇ekaddress，LBA)。位址或LBA 用以自密鑰單元344選擇安全性密鑰。密鑰單元344包含岔鑰1、密鑰2.....密鑰η。每一密鑰對應於圖2之例示性實施例之儲存單元230的儲存範圍。安全性密鑰用於編密單兀346中’其可為進階加密系統（AES)或資料加密系統（DES)編密器或任何合適編密器。 17 201118639 參看圖4’說明展示本廣義發明概念之例示性實施例的儲存裝置400之方塊圖。儲存裝置4〇〇經由匯流排415 與處理器420通信’且經由介面41〇與外部設備4〇5通信。可使用串列進階附接技術（Advanced Technology Attachment ’ ΑΤΑ)碟機及介面’或可使用任何其他合適碟機及介面標準。可使用發送命令且自外部記憶體儲存器接收資料之任何合適處理器或主機。處理器42〇可包含額外s己憶體單元（諸如’ r〇m或j^M)以執行資料處理。命令剖析器441剖析諸如讀取或寫入命令之命令（而非如按照慣例執行一樣由處理器42〇剖析命令），並提取位址。下文在圖5至圖7中說明命令剖析器441之操作。命令剖析器441所剖析之位址（其可為LBA)萨由 LBA解碼單元442結合_單元444使用以產生安全^ 鑰。安全性密錄用於編密單元446中以加密或解密儲存於儲存裝置4〇0上之記憶體43〇中的資料。在加密或解密之後’將，傳遞至處理器42〇以用於處理。因為剖析碼及加密/解密在單-硬體解決方案中發生，所以資料在應於命令而磐遞至處” 讀絲傳遞 420以用於加密/解密。炎里器或者’ LBA解碼單元442可使用位址來產生標。接著將密鑰旗標傳遞至編密單元_，其錢密= 標而自密鑰單元444選擇安全 2 :密:元446使用以加密或解密健存於記憶趙料，如上所述。 τ的# 18 201118639 / /〇ρΐΙ 命令剖析器441可經由匯流排415發送子命令至處理器420且亦發送至LBA解碼單元442。處理器420及LBA 解碼單元442可在接收到命令之後分別同時執行資料之處理及安全性密鑰之選擇。圖5說明圖4之命令剖析器441之例示性操作。命令剖析器441接收來自外部設備（例如，主機設備4〇5)之呈訊框形式的命令，且剖析所述訊框以判定訊框中所指定之位址。串列ΑΤΑ硬體架構實施方案中之習知主機至設備訊框資訊結構（frame information structure，FIS)包含：訊框開始（start of frame，SOF)定界符、包含傳輸層資訊 (transport layer information)之有效負載、循環冗餘檢查 (cyclic redundancy check，CRC)及訊框結束（end 〇f frame，EOF)定界符。fis亦包含邏輯區塊位址500，其可呈磁柱（cylinder)、頁首（head)及磁區（sector)的形式’且包含南Cyl及低Cyl，以及兩Cyl(exp)及低Cyl(exp)。高Cyl包含儲存單元430之高磁柱暫存器之内容，且低Cyl 包含儲存單元430之低磁柱暫存器之内容。高Cyl(exp)及低Cyl(exp)包含儲存單元430之擴展位址攔位之内容。邏輯區塊位址500由命令剖析器441剖析，且由LBA解碼單元442與密输單元444使用以產生安全性密鑰或密鑰旗標。圖6說明圖4之命令剖析器441所使用之串列ΑΤΑ硬體架構實施方案中之設備至主機訊框資訊結構（ns)。邏輯區棟位址600可呈磁柱、頁首及磁區的形式，且包含高 Cyl及低Cyl，以及南Cyl(exp)及低Cyl(exp)。邏輯區塊位

201118639 / /OUlX 址600由命令剖析器441剖析，且由LBA解竭單元442 與密錄單元444使用以產生安全性密錄或密鑰旗標。圖7說明圖4之命令剖析器441所使用之串列ΑΤΑ硬體架構實施方案中之另一設備至主機訊框資訊結構 (FIS)。邏輯區塊位址700可呈磁柱、頁首及磁區的形式，且包含高Cyl及低Cy卜以及高Cyl(exp)及低Cyl(exp)。邏輯區塊位址700由命令剖析器441剖析’且由LBA解碼單元442與密鑰單元444使用以產生安全性密鑰或密鑰旗標》圖8至圖11說明本廣義發明概念之實施例之各種例示性簡化電腦架構。參看圖 8,中央處理單元（central processing unit，CPU ) 810使用在下文圖12中描述之方法來經由串列ΑΤΑ介面 820與光碟機（ODD) 830通信。ODD 830可包含在加密及解密CPU 810所使用之資料的過程中使用之處理器及密鑰單元’如上文參看圖1所述。或者，ODD 830可包含在加密及解密CPU 810所使用之資料的過程中使用之處理器、密鑰單元、解碼單元及編密單元，如上文參看圖2所述。參看圖9，CPU 910經由串列ΑΤΑ介面920與硬碟機 (ODD) 930通信。HDD 930可包含在加密及解密CPU 910 所使用之資料的過程中使用之處理器及密鑰單元，如上文參看圖1所述。或者，HDD 930可包含在加密及解密CPU 910所使用之資料的過程中使用之處理器、密鑰單元、解碼單元及編密單元’如上文參看圖2所述。 20 201118639 參看圖10, CPU 1010經由多媒體卡控制器1020與多媒體卡1030通信。多媒體卡1030可包含在加密及解密 CPU 1010所使用之資料的過程中使用之處理器及密瑜單兀，如上文參看圖1所述。或者，多媒體卡1〇3〇可包含在加密及解密CPU 1010所使用之資料的過程中使用之處理器、密鑰單元、解碼單元及編密單元，如上文參看圖2所述。參看圖11，CPU 1110經由安全數位介面112〇與安全數位卡（secure digital card ’ SD 卡）1130 通信。SD 卡 113〇 "T包含在加密及解密CPU 1110所使用之資料的過程中使用之處理器及密鑰單元，如上文參看圖i所述。或者，SD 卡1130可包含在加密及解密CPU111〇所使用之資料的過程中使用之處理器、密鑰單元、解碼單元及編密單元，如上文參看圖2所述。圖12展示本廣義發明概念之實施例之流程圖。出於說明目的，使用圖4之儲存裝置400來描述圖12。在操作步驟1205中，由儲存裝置400接收命令。在操作步驟121〇中，由命令剖析器441剖析命令。自所述命令剖析邏輯區塊位址（LBA)，且藉由LBA解碼單元442來比較LBA與當刖LBA。若LBA不同，則在操作步驟1215中由LBA 解碼單元442使用新的LBA。若LBA相同，則由編密單元446在加密及解密的過程中使用當前LBA及安全性密鑰。在操作步驟1220中，在LBA解碼單元442中使用新的LBA以產生適當的密鑰旗標。根據LBA解碼單元442 21 201118639 所產生之密鑰旗標，在操作步驟1225中，自密鑰單元444 選擇安全性密鑰，且此後由編密單元446在加密及料的過程中使用。類似地，在圖1之安全儲存裝置1〇〇中，安全儲存裝置100接收命令。同時，處理器12〇回應於命令而處理^ 料，且密鎗單元140使用命令之位址資訊來選擇安全性密鑰。密鑰單元140使用安全性密鑰來加密或解密資料。類似地，在圖1之安全儲存裝置200中，安全儲存裝置200接收讀取/寫入請求。解碼單元242自讀取/寫入社求剖析位址（其可為邏輯區塊位址），且產生對應於邏輯= 塊位=之密鑰旗標。密鮮元244使贿賴標來選擇安 ^性密鑰，且編密單元246使用安全性密絲根據讀取/ 寫入請求所指定而解㈣料或加密資料m 加密時，將資料傳遞至處理器220以用於進一步處理，包含將經解㈣料傳遞至主機裝置2G5或將經加㈣料寫入至儲存單元230。圖13展示本廣義發明概念之實施例之流程圖。出於二明使用® 1A及圖1B之儲存裝置1〇〇來描述圖接此人^作步驟1305中，由儲存裝置觸自主機裝置105 ρ。同時將命令傳遞至處理器12〇及密餘單元14〇。乍步驟_中，處理器⑽開始根據命令來處理資驟1215中’密鑰單元14G執行資料之加密或 120^ 步驟1220中，當加密或解密完成時，處理器疋成經加密或經解密資料之處理。因此，在密鑰單元 22 201118639 JJ//Opu =執ϊί:=!密的同時，處理器_始處理或經解密資料:處理“成時’由處理器12〇完成經加密可讀ΐΐί發體現為電腦可讀媒體上之電腦腦可可祕财包含電腦可讀記錄媒體及電服了項傳輪媒體^ t腦此後可由電腦系統讀取之程式的 ROM ) > ^ y- ^ , ^ 3 ^〇| ^ ( read-only memory > 子取 δ己憶體（rand〇m_access memory，RAM )、、磁帶、軟性磁碟及光學資料儲存設備。電腦可 ^己錄媒體亦可分散__接之電«統上，以使得電細可讀知式如X分散式方式儲存及執行。電腦可讀傳輸媒體可傳輸餘或錢（例如，經由網際晴進行之有線或無線資料傳輸）。且’心實現本廣義發明概念之功能程式、程式碼及碼段可容易由熟f本廣義發明概念所屬領域的程式設計人員來解釋。儘管已展示並描述本廣義發明概念之幾個實施例，但熟習此項技術者將瞭解可在不背離廣義發明概念之原理及精神的情況下對此等實施例進行修改’本發明之範圍界定於隨附申請專利範圍及其均等物中。【圖式簡單說明】本廣義發明概念之此等及/或其他態樣及優勢將自結合附圖之以下實施例描述而變得顯而易見且更容易瞭解。圖1A及圖1B為說明根據本廣義發明概念之實施例的 23 201118639 與主儲存裝置的視圖。與主機裝根據本_發明概念之實施例的之儲存裝置的視圖。夕邱八二說明根據本廣義發明概念之實施例的儲存裝置之一部分的視圖。 4 + •ΙτΓ® Α說％根據本廣義發明概念之實施例的儲存裝置之万塊圖。系統:視㊁說明根據本廣義發明概念之實施例的訊框資訊圖為說明根據本廣義發明概念之實施例的訊框資訊糸統之視圖。圖7為說明根據本廣義發明概念之實施例的訊框資訊乐研*之視圖。圖8為說明根據本廣義發明概念之實施例的包含裘置之電腦架構的視圖。于圖為說明根據本廣義發明概念之實施例的包含儲存裝置之電腦架構的視圖。圖10為說明根據本廣義發明概念之實施例的包含儲存裝置之電腦架構的視圖。圖11為說明根據本廣義發明概念之實施例的包含儲存裝置之電腦架構的視圖。一圖12為說明根據本廣義發明概念之實施例的加密或解密儲存裝置上之#料的方法的流㈣。一圖〖3為說明根據本廣義發明概念之實施例的加密或 201118639 OJ / /οριι 解密儲存裝置上之資料的方法的流程圖。【主要元件符號說明】 100 :安全儲存裝置 105 :主機裝置 108 :主機處理器 110 :介面 120 :處理器 130:儲存單元 140 :密鑰單元 200 :安全儲存裝置 205 :主機裝置 208 :主機處理器 210 :介面 220 :處理器 230 :儲存單元 240 :安全性單元 242 :解碼器單元 244 :密鑰單元 246 :編密單元 340 :安全性單元 342 :解碼器單元 344 :密鑰單元 346 ··編密單元 400 :儲存裝置 25 201118639 405 :外部設備 410 :介面 415 :匯流排 420 :處理器 430 :記憶體（儲存單元） 441 :命令剖析器 442 :邏輯區塊位址（LBA)解碼單元 444 :密鑰單元 446 :編密單元 500 :邏輯區塊位址 600 :邏輯區塊位址 700 :邏輯區塊位址 810 :中央處理單元（CPU) 820 :串列進階附接技術（ΑΤΑ)介面 830 :光碟機（ODD)

910 ： CPU 920 :串列ΑΤΑ介面 930 :硬碟機（HDD)

1010 : CPU 1020 :多媒體卡控制器 1030 :多媒體卡

1110 ： CPU 1120 :安全數位介面 1130 :安全數位卡（SD卡） 26 201118639 i^V/Spit 1205〜1225 ··操作步驟 1305〜1320 :操作步驟 27

Claims

201118639 jj//opu 七、申請專利範園： 1· 一種儲存裝置，其包括：儲存單元，其用以儲存資料；單元，其用以根據自外部設備接收之命令來處理所述資料；以及，餘單元’其㈣在所述處理^單元處理所述資料時同時處理對應於所述命令之加密。 —ί:如申請專利範圍第1項所述之儲存裝置，其中所述密齡70在無需中斷所述處理器的情況下同時處理所述加密。 —^如申請專利範圍帛1項所述之儲存裝置，其中所述密錄單元在無需㈣所述處理^單元的情況下處理所述加密。 4. ^巾料圍第丨項所述之儲存裝置，其中所述處理器單元在無f巾斷所述密料元的情況下處理所述資料。 5. 如申明專利範圍第1項所述之儲存裝置，其中所述密錄單元朗域理科絲所聰料元減所述加密之所述處理之後彼此通信。 6. 如申請專利範圍第1項所述之儲存裝置，其中所述密錄單元與所述處理H單·時處理所述加密及所述資料’且所述資料之處理不同於所述加密之處理。次7.如申請專利範圍第1項所述之儲存裝置，其中所述資料之處理及所處理的加密不具有優先權，所述優先權為 28 201118639 * / /opu 根據所述命令依序處理所處理的加密及所述資料的次序。 8.如申請專利範圍第〗項所述之鍺存裝置，其中所述資料之處理及所處理的加密未相互干擾。 /、 ,9·如申請專利範圍第1項所述之儲存裝置，其中所述理包括處理映射操作，所述映射操作根據所述命令將邏輯位址映射至實體位址。、ι〇.如申請專利範圍第1項所述之儲存裝置，其中所述處，盗单7G根據所述加密之處理的結果而執行所述資料之另處理。 ^如申請專利範圍第i項所述之儲存裝置，其中： =費第一時期來依序處理所述加密及資料；花費第一時期來同時處理所述力σ密及所述第二時期比所述第一時期短。、十、6·如申°月專利範圍第1項所述之儲存裝置，其中所 13. —種儲存裴置，其包括：儲存單元，其用以儲存資料；理所單元’其_據自外部設備接收之命令來處密鑰單元，其用以儲存多個密輪；以及命令職收之所述 M.如申請專利範圍第13項所述之储存裝置，其中所 29 201118639 W < f 述處理器及所述解碼器單元在接收到所述命令之後分別同時執行所述資料之處理及所述密鑰之選擇。 is.如申請專利範圍第13項所述之儲存裝置，其括：編密單元，其用以執行加密操作以根據所選定的來加密資料》 16. 如申明專利範圍第15項所述之儲存裝置，其中：所述處理料元根據所處理的#料及所述加密操作而輸出信號至所述外部設備。 17. 如申明專利範圍第項所述之儲存裝置，其中：、、所理器單元在所述解碼器單元選擇所述密錄及所述編密單7L執行所述加密操作的時期中處理所述資料。 18. 如申請專利範圍第15項所述之儲存裝置，其中：允許所述處理器單元在所述編密單元完成所述加密操作時輸出自所處理的資料產生之信號。 19. 如申请專利範圍第丨3項所述之餘存裝置，其中所述解碼器產生向所述處理器單元指示加密操作之信^。 20. 如申睛專利範圍第13項所述之儲存裳置，其中所，解碼器單元比較所述位址資訊與基準以產生用以^擇加密所述資料之所述密鑰的信號。 21. 如申請專利範圍第13項所述之儲存裝置，其中所述解碼器單元產生表示所述一個密錄之選擇的密錄^標。 22. 如申請專利範圍第13項所述之儲存裝置，其中所述多個密鍮包括64位元之倍數。 201118639 r / opll 述處利範圍第13項所述之儲存裝置，其中所早讀據所述命令而未執行所述解碼器單元」述二ΐ:=範圍第13項所述之储存裝置，其，所時獲得所述位:資訊外部設備之命令以實述解ϊϋΐ申:t利範圍第13項所述之儲存裝置，其中所所述，芩所:：:===接至對應於 ί攄利範圍第13項所述之儲存裝置，其中：根據所述選疋密輪來完成加密操作；且之所單元根據所述處理資料及所述加密操作所4元成而㈣另—資料至所述外部設備。括：27.如申明專利範圍帛13項所述之儲存裝置，其更包 ^面單元，其用以自所述外部設備接收所述命令， c二中所述處判單元及所述解碼科元自所述介面所述命令，以根據所述所接收命令而分別執行所迷資料之處理及加密操作。 28.如申凊專利範圍第15項所述之儲存裝置，其更包括：、資料匯流排’其連接至所述處理器單元及所述解碼器二將所述命令傳輸至所述處理器單元及所述解碼器中之各別一者。 31 201118639 I I U|/I.X 述資端… 連接至所述解碼H單元之第二端子。端子以及括·讥如申請專利範圍第13項所述之儲存裝置，其更包元、戶接至^料料備以容納所述儲存單處理、所述密鑰單元及所述解碼内彼此料騎料抑單元麵述外殼 .如申請專利範圍帛13項所述之單元在所述加密操作中之所述密期3 由所述處理器單元控制。 1禾 32. —種儲存裝置，其包括：行資其用以根據自外部設備接收之命令來執人解碼器單元’其用以根據自所述外部設備接收之所述〒令之位址資訊而執行密鑰之選擇，八其中所述處理器及所述解碼器單元在接收到所述命令之後分別同時執行所述資料之處理及所述密鑰之選擇。 33, 一種儲存系統，其包括：主機裝置，其用以產生命令；以及儲存展置，其可連接至所述主機裝置，所述儲存裝置包括：儲存單元，其用以儲存資料； 32 201118639 f f UMU. 處理器單元’其用以根據自外部設備接收之所述命令來處理所述資料；也錄^元’其用以儲存多個密鑰；以及解碼㈡單7C ’翻以根據自所述外部設備接收之所述命令之位址資訊而選擇所職射之一者。 34. —種儲存系統，其包括：主機裝置，其用以產生命令；以及包括儲存裝置，其可連接至所述主機裝置，所述儲存裝置虛 iS gg — 行資料之i理兀，其用以根據自外部設備接收之命令來執解碼器單亓，甘m 命令r址資訊而執=33述外部設備接收之所述、料料从接㈣所述命 .矶仃所述資料之處理及所述密鑰之選擇。所述主專利範圍第34項所述之儲存系統，其中：變所述密输。、置產生對應於用戶視窗之介面信號以改所專利範圍第35項所述之儲存系統’其中：斤返解竭II執行所改變之_之選擇。錢置，其包括：單ΐ:其用以儲存多個密鑰；而選擇所i::中:::根據自外部設備接收之位址資訊 33 201118639 記憶體單元H羯存資料；以及控制處理器單元，Α田、，从β 自所述記憶趙單元之選定密錄來管理來元獨立於所驗制處理器單元而 38. 二種固態磁碟機，其包括：密錄?Ϊ:其用以儲存多個密鑰；疋’其用以根據自外部設備接收之位址資訊而選擇所述密鍮中之—I. °己隐體單70 ’翻以儲存資料；以及自所單元:其用以使用所述選定密输來管理來自所这。己It體早几之資料的讀取及寫入， /、令斤迷解>5馬器單元獨立於 ^ 選擇所述密鑰中之一者。 k顺埋益早7〇而 39. 一種資料系統，其包括：主機褒置，其用以產生命令；以及所述儲存裴置儲存農置’其可連接至所述主機裝置包括： :鑰·^ ’其用以儲存多個密錄；而選I:;:中:::根據自外部設備接收之位址資訊錢體單疋，其用以儲存資料；以及自所單S ’其用以使用所述選定錄來管理來自所述°己隐體早元之資料的讀取及寫入， 34 201118639 JJ / /opli 其中所述解碼器單元獨立於所述控制處理器覃選擇所述密鑰中之一者。早7°而 4〇·種加密資料之方法，所述方法包括以下步驟. 接收命令； ^ · 自所述命令剖析位址；接收邏輯區塊位址範圍；產生對應於所述邏輯區塊位址範圍之密錄旗標；以及使用所述密鑰旗標來選擇密鑰。 41. 一種加密資料之方法接收寫入請求；所述方法包括以下步驟：自所述寫入請求剖析位址；接收邏輯區塊位址範圍；產生對應於所述邏輯區塊位址範圍之密鑰旗標；使用所述密鑰旗標來選擇密鑰；下’ 使用所述密鑰來加密資料；以及將所述經加密資料寫入至記憶體。 42. —種解密資料之方法，接收命令；所述方法包括以下步驟：自所述命令剖析位址；接收邏輯區塊位址範圍；以及產生對應於所述邏獅塊位城圍之密錄旗禪；使用所述密鑰旗標來選擇密輪。、v ’ 43.- 接收讀it㈣之方法’所述妓包括以下步驟 35 201118639 «/*/ $ $ 自所述讀取請求剖析位址；接收邏輯區塊位址範圍；產生對應於所述邏輯區塊位址範圍之密輪旗户使用所述密鑰旗標來選擇密鑰；、V 使用所述密鑰來解密資料；以及自記憶體讀取所述經解密資料。 44. 法包括：一種在儲存裝置中執行加密操作之方法’所述方接收命令；以及同時根據所述命令處理資料及根據所述命令之位址資訊執行密鑰之選擇。 45· —種電腦可讀媒體’其含有作為程式之電腦可讀程式碼以執行在儲存裝置中執行加密操作之方法，所述方法包括：接收命令；以及同時根據所述命令處理資料及根據所述命令之位址資訊執行密錄之選擇。 36