TWI728355B - 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法 - Google Patents

密碼保護的資料儲存裝置以及非揮發式記憶體控制方法 Download PDF

Info

Publication number
TWI728355B
TWI728355B TW108116307A TW108116307A TWI728355B TW I728355 B TWI728355 B TW I728355B TW 108116307 A TW108116307 A TW 108116307A TW 108116307 A TW108116307 A TW 108116307A TW I728355 B TWI728355 B TW I728355B
Authority
TW
Taiwan
Prior art keywords
key
encryption
volatile memory
authority password
password
Prior art date
Application number
TW108116307A
Other languages
English (en)
Other versions
TW202042092A (zh
Inventor
潘泓廷
林志宇
許頌伶
Original Assignee
慧榮科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 慧榮科技股份有限公司 filed Critical 慧榮科技股份有限公司
Priority to TW108116307A priority Critical patent/TWI728355B/zh
Priority to CN201910475038.7A priority patent/CN111914309A/zh
Priority to US16/508,517 priority patent/US20200356285A1/en
Publication of TW202042092A publication Critical patent/TW202042092A/zh
Application granted granted Critical
Publication of TWI728355B publication Critical patent/TWI728355B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0623Securing storage systems in relation to content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0637Permissions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0658Controller construction arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

非揮發式記憶體之安全機制。控制器將權限密碼加密後,方以一非揮發式記憶體儲存。該非揮發式記憶體中加密資料所使用的金鑰也可被密鑰加密金鑰(KEK)加密後才儲存到該非揮發式記憶體。該密鑰加密金鑰(KEK)可更用於權限密碼之加密,使該非揮發式記憶體存有該權限密碼、與該密鑰加密密鑰(KEK)組合之密文。符合該權限密碼的存取要求可取得該密鑰加密密鑰(KEK),據以解密出密鑰,再據以解密資料。

Description

密碼保護的資料儲存裝置以及非揮發式記憶體控制方法
本案係有關於非揮發式記憶體之安全性技術。
非揮發式記憶體有多種形式─例如,快閃記憶體(flash memory)、磁阻式隨機存取記憶體(Magnetoresistive RAM)、鐵電隨機存取記憶體(Ferroelectric RAM)、電阻式隨機存取記憶體(Resistive  RAM)、自旋轉移力矩隨機存取記憶體(Spin Transfer Torque-RAM, STT-RAM)…等,用於長時間資料保存,可做為儲存媒體實現一資料儲存裝置。
資料儲存裝置之安全性提升為本技術領域重要議題。
根據本案一種實施方式實現的資料儲存裝置包括一非揮發式記憶體以及一控制器。該控制器根據一主機之要求操作該非揮發式記憶體。該控制器將一第一權限密碼加密後,方以該非揮發式記憶體儲存。權限密碼的安全性顯著提升。
一種實施方式中,該控制器以一第一密鑰將一第一資料加密後,方寫入該非揮發式記憶體。該控制器以一第一密鑰加密密鑰(KEK)將該第一密鑰加密後,方儲存至該非揮發式記憶體。
一種實施方式中,該控制器將該第一密鑰加密密鑰用於該第一權限密碼之加密,使該非揮發式記憶體存有該第一權限密碼與該第一密鑰加密密鑰組合之密文,而符合該第一權限密碼的存取要求可取得該第一密鑰加密密鑰,據以解密該第一密鑰,再據以解密該第一資料。
一種實施方式中,該控制器提供複數種加密邏輯。該控制器自上述複數種加密邏輯中組合出兩種不同的加密演算法,分別實現該第一權限密碼之加密、以及該第一密鑰之加密。
一種實施方式中,該控制器以一第二密鑰將一第二資料加密後,方寫入該非揮發式記憶體。該控制器以一第二密鑰加密密鑰(KEK)將該第二密鑰加密後,方儲存至該非揮發式記憶體。該控制器令該第二密鑰加密密鑰用於一第二權限密碼之加密,使該非揮發式記憶體中,更包括相關該第二權限密碼以及該第二密鑰加密密鑰之密文,而符合該第二權限密碼的存取要求得以取得該第二密鑰加密密鑰,據以解密該第二密鑰,再據以解密該第二資料。一種實施方式中,該控制器包括一隨機數產生器,為該第一密鑰、以及該第二密鑰分別產生該第一密鑰加密密鑰、以及該第二密鑰加密密鑰。一種實施方式中,該控制器提供複數種加密邏輯。該控制器自上述複數種加密邏輯中組合出兩種不同的加密演算法,分別實現該第一權限密碼之加密、以及該第二權限密碼之加密。
一種實施方式中,該控制器將一第二權限密碼加密後,方以該非揮發式記憶體儲存。該控制器令該第二權限密碼之加密與該第一權限密碼之加密隔絕。一種實施方式中,該控制器包括一隨機數產生器,為該第一權限密碼、以及該第二權限密碼之加密分別產生一第一權限密碼密鑰、以及一第二權限密碼密鑰。一種實施方式中,該控制器提供複數種加密邏輯。該控制器自上述複數種加密邏輯中組合出兩種不同的加密演算法,分別進行該第一權限密碼之加密、以及該第二權限密碼之加密。
一種實施方式中,該控制器將對應該第一權限密碼的資料之加密所使用的一第一密鑰加密,並將所使用的一第一密鑰加密密鑰(KEK)用於加密該第一權限密碼。該控制器更將對應該第二權限密碼的資料之加密所使用的一第二密鑰也加密,並將所使用的一第二密鑰加密密鑰(KEK)用於加密該第二權限密碼。
本案概念可用於實施非揮發式記憶體控制方法。
下文特舉實施例,並配合所附圖示,詳細說明本發明內容。
非揮發式記憶體可以是快閃記憶體(Flash Memory)、磁阻式隨機存取記憶體(Magnetoresistive RAM)、鐵電隨機存取記憶體(Ferroelectric RAM)、電阻式記憶體(Resistive RAM,RRAM)、自旋轉移力矩隨機存取記憶體(Spin Transfer Torque-RAM, STT-RAM)…等,提供長時間資料保存之儲存媒體。以下特別以快閃記憶體為例進行討論。
現今資料儲存裝置常以快閃記憶體為儲存媒體,實現記憶卡(Memory Card)、通用序列匯流排閃存裝置(USB Flash Device)、固態硬碟(SSD) …等產品。有一種應用是採多晶片封裝、將快閃記憶體與其記憶體控制器包裝在一起─稱為嵌入式快閃記憶體函式(如eMMC)。
以快閃記憶體為儲存媒體的資料儲存裝置可應用於多種電子裝置中。所述電子裝置包括智慧型手機、穿戴裝置、平板電腦、虛擬實境設備…等。電子裝置的運算模塊可視為主機(Host),操作所使用的資料儲存裝置,以存取其中快閃記憶體。
以快閃記憶體為儲存媒體的資料儲存裝置也可用於建構數據中心。例如,伺服器可操作固態硬碟(SSD)陣列形成數據中心。伺服器即可視為主機,操作所連結之固態硬碟,以存取其中快閃記憶體。資料儲存裝置的應用相當廣泛,其安全性提升為本技術領域重要議題。
第1圖根據本案一種實施方式圖解資料儲存裝置100,較佳以快閃記憶體102為儲存媒體。資料儲存裝置100的記憶體控制器104根據來自主機106之主機指令來操作快閃記憶體102。本發明為資料儲存裝置100的資料安全性提供了解決方案。
資料儲存裝置100所儲存的資料可區分成不同權限。符合設定的權限密碼(Privilege Password)才能對資料儲存裝置100所儲存的資料進行存取,例如,管理者(Administrator)需輸入管理者密碼,一般使用者則輸入使用者密碼,才能分別對資料儲存裝置100所儲存的資料進行存取。由上述中可知,權限密碼會決定資料的存取權利,若將權限密碼以明文方式儲存在快閃記憶體102,駭客只要找到儲存位置就可以取得資料的存取權利。因應之,記憶體控制器104將權限密碼加密後才儲存到快閃記憶體102,權限密碼的安全性可以顯著提升。另外,權限密碼亦可由管理者或使用者保管再載入資料儲存裝置100使用,如此一來,駭客更無法從資料儲存裝置100取得權限密碼。
記憶體控制器104對寫入快閃記憶體102的使用者資料(User Data),或簡稱為資料,也有其保護措施。記憶體控制器104會將來自主機106的資料加密後才儲存到快閃記憶體102,如第1圖中的加密之資料110所示。記憶體控制器104特別將資料加/解密用的密鑰也加密,再儲存到快閃記憶體102,如第1圖中的加密之密鑰112所示。駭客即使在快閃記憶體102找到加密之密鑰112,由於無法解密加密之密鑰112,因此,也就沒有能力將加密之資料110解密,如此一來,資料安全性得到顯著地提升及保障。在上述中,密鑰之加密的演算過程主要會運用到「密鑰加密密鑰(Key Encryption Key,KEK)。
由於KEK的重要性,如果能夠對KEK再度進行加密處理,則資料安全性可以得到更顯著地提升及保障。在一種實施方式中,記憶體控制器104以權限密碼對KEK進行加密,使不僅保護密鑰加密密鑰(KEK),也保護權限密碼。密鑰加密密鑰(KEK)與權限密碼結合為密文。KEK可視為權限密碼之密鑰。權限密碼也可視為KEK 之密鑰。之後,當主機106欲讀取資料時,主機指令需提供權限密碼,記憶體控制器104依據權限密碼而對加密之KEK 108進行解密以取得KEK,再以KEK對加密之密鑰112進行解密以取得密鑰,再用密鑰對加密之資料110進行解密以取得資料(明文)。權限密碼可由主機指令直接提供,或於執行主機指令時,要求主機106提供。如果權限密碼不符,則無法正確地解密出KEK,加密之密鑰112無法被解密。駭客自然就無法解讀加密之資料110,達到本發明的目的。
為了達到本發明的目的,記憶體控制器104較佳以不同的加密演算法產生加密之KEK 108以及加密之密鑰112。在一種實施例中,記憶體控制器104提供加密邏輯114,可由邏輯元件/電路佐以程式運算實現。記憶體控制器104可以自加密邏輯114中組合出兩種甚至更多不同的加密演算法。資料加密、密鑰加密、KEK加密可採不同加密邏輯。不同權限密碼之相關加密也可以不同加密邏輯實現。藉由如此設計,加密複雜度提升,更不易被駭客破解。
記憶體控制器104更包括隨機數產生器116。密鑰加密密鑰(KEK)可以是由隨機數產生器116產生。
記憶體控制器104可使用進階加密標準(Advanced Encryption Standard,AES)對資料進行加密而形成加密之資料110,反之亦然。
儲存裝置安全管理規範TCG OPAL下,進階加密標準(AES)可應付在多範圍(Multiple Ranges)之資料的加密,不同範圍的資料較佳採用不同的密鑰以提供資料較佳的保護。例如,記憶體控制器104將第一資料以第一密鑰加密、第二資料以第二密鑰加密,之後,將加密後的第一資料或第二資料儲存至快閃記憶體102,形成加密之資料110。第一資料與第二資料分屬於不同的鎖定範圍(Locking Range),例如:第一資料位於鎖定範圍#1,第二資料位於鎖定範圍#2。第三資料如不位於任何鎖定範圍中,那就是位於全球範圍(Global Range),記憶體控制器104將第三資料以第三密鑰加密後,再儲存至快閃記憶體102。記憶體控制器104以同一KEK對第一密鑰或第二密鑰進行加密以形成加密之密鑰112,再將加密之密鑰112儲存至快閃記憶體102。為了簡化說明,在下述中僅以第一資料和第二資料為例進行說明,但不以此為限。
之後,在收到主機指令時,主機指令例如是資料讀取指令,記憶體控制器104依據主機指令的權限密碼而對加密之KEK 108進行解密。如果權限密碼正確,記憶體控制器104可取得KEK。之後,記憶體控制器104依據KEK對加密之密鑰112進行解密以取得第一密鑰或第二密鑰。記憶體控制器104再依據取得的第一密鑰或第二密鑰對加密之資料110進行解密以取得第一資料或第二資料。最後,記憶體控制器104依據取得的第一資料或第二資料回應主機指令。
隨機數產生器116可用以產生第一密鑰、第二密鑰以及KEK。
一種實施方式中,第一密鑰以及第二密鑰採用相同KEK進行加密。在另一種實施方式中,第一密鑰以及第二密鑰可採用不同KEK進行加密。各密鑰加密密鑰(KEK)都可以與對應的權限密碼結合為密文。
一般而言,管理者和一般使用者的權限密碼不相同,因此,權限密碼保護邏輯(如,第2圖之204,以下討論之)依據不同的權限密碼而對KEK進行加密後,將產生不同的加密之KEK 108。
第2圖根據本案一種實施方式圖解本案安全存儲之概念,權限密碼保護邏輯204可依據權限密碼202而對KEK 210進行加密以產生加密之KEK 108。反之,權限密碼保護邏輯204係依據權限密碼202而對加密之KEK 108進行解密以產生KEK 210。另外,密鑰保護邏輯208可依據KEK 210而對密鑰206進行加密以產生加密之密鑰112。反之,密鑰保護邏輯208係依據KEK 210而對加密之密鑰112進行解密以產生密鑰。記憶體控制器104再依據密鑰而對資料進行加密或對加密的資料進行解密,其中,不同鎖定範圍的資料較佳採用不同的密鑰。
第3圖為流程圖,根據本案一種實施方式圖解資料儲存裝置如何回應主機指令,主機指令來自於主機106,例如是資料讀取指令。步驟S302:資料儲存裝置的記憶體控制器104取得主機指令中的權限密碼。步驟S304:記憶體控制器104判斷能否依據權限密碼對加密之KEK 108進行解密以取得KEK 210,若無法解密則不予執行主機指令,另外,資料儲存裝置亦可回傳警告訊息至主機106。若成功解密取得KEK210則執行步驟S306:記憶體控制器104依據KEK 210而對加密之密鑰112進行解密以取得密鑰。步驟S308:記憶體控制器104依據密鑰而對將主機指令所欲存取的資料進行解密。步驟S310:記憶體控制器104回傳解密後的資料。
前述記憶體控制器104控制該快閃記憶體102的方法都屬於本案所欲保護技術範圍。本案更據以提出的非揮發式記憶體控制方法。
雖然本發明已以較佳實施例揭露如上,然其並非用以限定本發明,任何熟悉此項技藝者,在不脫離本發明之精神和範圍內,當可做些許更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
100:資料儲存裝置 102:快閃記憶體 104:記憶體控制器 106:主機 108:加密之”密鑰加密密鑰(KEK)” 110:加密之資料 112:加密之密鑰 114:加密邏輯 116:隨機數產生器 202:權限密碼 204:權限密碼保護邏輯 206:密鑰 208:密鑰保護邏輯 210:密鑰加密密鑰(KEK) S302~S310:步驟
第1圖根據本案一種實施方式圖解一資料儲存裝置100,為了快閃記憶體102的安全性提供了解決方案; 第2圖根據本案一種實施方式圖解本案安全存儲之概念;且 第3圖為流程圖,根據本案一種實施方式圖解如何應付使用者對快閃記憶體102的存取要求。
100:資料儲存裝置
102:快閃記憶體
104:記憶體控制器
106:主機
108:加密之”密鑰加密密鑰(KEK)”
110:加密之資料
112:加密之密鑰
114:加密邏輯
116:隨機數產生器

Claims (18)

  1. 一種資料儲存裝置,包括:一非揮發式記憶體;以及一控制器,根據一主機之要求操作該非揮發式記憶體,其中:該控制器將一第一權限密碼加密後,方以該非揮發式記憶體儲存;該控制器以一第一密鑰將一第一資料加密後,方寫入該非揮發式記憶體;該控制器以一第一密鑰加密密鑰(KEK)將該第一密鑰加密後,方儲存至該非揮發式記憶體;且該控制器將該第一密鑰加密密鑰用於該第一權限密碼之加密,使該非揮發式記憶體存有該第一權限密碼與該第一密鑰加密密鑰組合之密文,而符合該第一權限密碼的存取要求可取得該第一密鑰加密密鑰,據以解密該第一密鑰,再據以解密該第一資料。
  2. 如申請專利範圍第1項所述之資料儲存裝置,其中:該控制器提供複數種加密邏輯;該控制器自上述複數種加密邏輯中組合出一第一加密演算法,且以該第一加密演算法實現該第一權限密碼之加密;該控制器自上述複數種加密邏輯中組合出一第二加密演算法,且以該第二加密演算法實現該第一密鑰之加密;且該第一加密演算法不同於該第二加密演算法。
  3. 如申請專利範圍第1項所述之資料儲存裝置,其中:該控制器以一第二密鑰將一第二資料加密後,方寫入該非揮發式記憶體;該控制器以一第二密鑰加密密鑰(KEK)將該第二密鑰加密後,方儲存至該非揮發式記憶體;且該控制器令該第二密鑰加密密鑰用於一第二權限密碼之加密,使該非揮發式記憶體中,更包括相關該第二權限密碼以及該第二密鑰加密密鑰之密文,而符合該第二權限密碼的存取要求得以取得該第二密鑰加密密鑰,據以解密該第二密鑰,再據以解密該第二資料。
  4. 如申請專利範圍第3項所述之資料儲存裝置,其中:該控制器包括一隨機數產生器,為該第一密鑰、以及該第二密鑰分別產生該第一密鑰加密密鑰、以及該第二密鑰加密密鑰。
  5. 如申請專利範圍第3項所述之資料儲存裝置,其中:該控制器提供複數種加密邏輯;該控制器自上述複數種加密邏輯中組合出一第一加密演算法,且以該第一加密演算法實現該第一權限密碼之加密;該控制器自上述複數種加密邏輯中組合出一第二加密演算法,且以該第二加密演算法實現該第二權限密碼之加密;且該第一加密演算法不同於該第二加密演算法。
  6. 如申請專利範圍第1項所述之資料儲存裝置,其中:該控制器將一第二權限密碼加密後,方以該非揮發式記憶體儲存;且 該控制器令該第二權限密碼之加密與該第一權限密碼之加密隔絕。
  7. 如申請專利範圍第6項所述之資料儲存裝置,其中:該控制器包括一隨機數產生器,為該第一權限密碼、以及該第二權限密碼之加密分別產生一第一權限密碼密鑰、以及一第二權限密碼密鑰。
  8. 如申請專利範圍第6項所述之資料儲存裝置,其中:該控制器提供複數種加密邏輯;該控制器自上述複數種加密邏輯中組合出一第一加密演算法,且是以該第一加密演算法進行該第一權限密碼之加密;該控制器自上述複數種加密邏輯中組合出一第二加密演算法,且是以該第二加密演算法進行該第二權限密碼之加密;且該第一加密演算法不同於該第二加密演算法。
  9. 如申請專利範圍第6項所述之資料儲存裝置,其中:該控制器將對應該第一權限密碼的資料之加密所使用的一第一密鑰加密,並將所使用的一第一密鑰加密密鑰(KEK)用於加密該第一權限密碼;且該控制器將對應該第二權限密碼的資料之加密所使用的一第二密鑰也加密,並將所使用的一第二密鑰加密密鑰(KEK)用於加密該第二權限密碼。
  10. 一種非揮發式記憶體控制方法,包括:根據一主機之要求操作一非揮發式記憶體; 將一第一權限密碼加密後,方以該非揮發式記憶體儲存;以一第一密鑰將一第一資料加密後,方寫入該非揮發式記憶體;以一第一密鑰加密密鑰(KEK)將該第一密鑰加密後,方儲存至該非揮發式記憶體;且將該第一密鑰加密密鑰用於該第一權限密碼之加密,使該非揮發式記憶體存有該第一權限密碼與該第一密鑰加密密鑰組合之密文,而符合該第一權限密碼的存取要求可取得該第一密鑰加密密鑰,據以解密該第一密鑰,再據以解密該第一資料。
  11. 如申請專利範圍第10項所述之非揮發式記憶體控制方法,更包括:提供複數種加密邏輯;自上述複數種加密邏輯中組合出一第一加密演算法,且以該第一加密演算法實現該第一權限密碼之加密;自上述複數種加密邏輯中組合出一第二加密演算法,且以該第二加密演算法實現該第一密鑰之加密,其中,該第一加密演算法不同於該第二加密演算法。
  12. 如申請專利範圍第10項所述之非揮發式記憶體控制方法,更包括:以一第二密鑰將一第二資料加密後,方寫入該非揮發式記憶體;以一第二密鑰加密密鑰(KEK)將該第二密鑰加密後,方儲存至該非揮發式記憶體;且 令該第二密鑰加密密鑰用於一第二權限密碼之加密,使該非揮發式記憶體中,更包括相關該第二權限密碼以及該第二密鑰加密密鑰之密文,而符合該第二權限密碼的存取要求得以取得該第二密鑰加密密鑰,據以解密該第二密鑰,再據以解密該第二資料。
  13. 如申請專利範圍第12項所述之非揮發式記憶體控制方法,更包括:提供一隨機數產生器,為該第一密鑰、以及該第二密鑰分別產生該第一密鑰加密密鑰、以及該第二密鑰加密密鑰。
  14. 如申請專利範圍第12項所述之非揮發式記憶體控制方法,更包括:提供複數種加密邏輯;自上述複數種加密邏輯中組合出一第一加密演算法,且以該第一加密演算法實現該第一權限密碼之加密;自上述複數種加密邏輯中組合出一第二加密演算法,且以該第二加密演算法實現該第二權限密碼之加密,其中,該第一加密演算法不同於該第二加密演算法。
  15. 如申請專利範圍第10項所述之非揮發式記憶體控制方法,更包括:將一第二權限密碼加密後,方以該非揮發式記憶體儲存;且令該第二權限密碼之加密與該第一權限密碼之加密隔絕。
  16. 如申請專利範圍第15項所述之非揮發式記憶體控制方法,更包括: 提供一隨機數產生器,為該第一權限密碼、以及該第二權限密碼之加密分別產生一第一權限密碼密鑰、以及一第二權限密碼密鑰。
  17. 如申請專利範圍第15項所述之非揮發式記憶體控制方法,更包括:提供複數種加密邏輯;自上述複數種加密邏輯中組合出一第一加密演算法,且以該第一加密演算法進行該第一權限密碼之加密;自上述複數種加密邏輯中組合出一第二加密演算法,且以該第二加密演算法進行該第二權限密碼之加密,其中,該第一加密演算法不同於該第二加密演算法。
  18. 如申請專利範圍第15項所述之資料儲存裝置,更包括:將對應該第一權限密碼的資料之加密所使用的一第一密鑰加密,並將所使用的一第一密鑰加密密鑰(KEK)用於加密該第一權限密碼;且將對應該第二權限密碼的資料之加密所使用的一第二密鑰也加密,並將所使用的一第二密鑰加密密鑰(KEK)用於加密該第二權限密碼。
TW108116307A 2019-05-10 2019-05-10 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法 TWI728355B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW108116307A TWI728355B (zh) 2019-05-10 2019-05-10 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法
CN201910475038.7A CN111914309A (zh) 2019-05-10 2019-06-03 密码保护的数据储存装置以及非挥发式存储器控制方法
US16/508,517 US20200356285A1 (en) 2019-05-10 2019-07-11 Password protected data storage device and control method for non-volatile memory

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW108116307A TWI728355B (zh) 2019-05-10 2019-05-10 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法

Publications (2)

Publication Number Publication Date
TW202042092A TW202042092A (zh) 2020-11-16
TWI728355B true TWI728355B (zh) 2021-05-21

Family

ID=73046017

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108116307A TWI728355B (zh) 2019-05-10 2019-05-10 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法

Country Status (3)

Country Link
US (1) US20200356285A1 (zh)
CN (1) CN111914309A (zh)
TW (1) TWI728355B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112417491A (zh) * 2020-12-11 2021-02-26 合肥大唐存储科技有限公司 固态硬盘的数据加密密钥获取、恢复方法和数据读写方法
KR20220124452A (ko) * 2021-03-03 2022-09-14 삼성전자주식회사 스토리지 장치
US20230350603A1 (en) * 2022-04-28 2023-11-02 Rambus Inc. Securing dynamic random access memory (dram) contents to non-volatile in a persistent memory module
CN116578505B (zh) * 2023-07-11 2023-09-15 苏州浪潮智能科技有限公司 基于磁盘加密的数据共享方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201211821A (en) * 2010-06-22 2012-03-16 Sandisk Il Ltd Storage device and method for communicating a password between first and second storage devices using a double-encryption scheme
TWI447583B (zh) * 2012-02-10 2014-08-01 Phison Electronics Corp 資料保護方法、記憶體控制器與記憶體儲存裝置
US20170372087A1 (en) * 2016-06-28 2017-12-28 Line Corporation Method and system for data management
CN108256340A (zh) * 2017-12-22 2018-07-06 中国平安人寿保险股份有限公司 数据采集方法、装置、终端设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60128290T2 (de) * 2000-05-11 2007-08-30 Matsushita Electric Industrial Co., Ltd., Kadoma Vorrichtung zur Dateienverwaltung
US10193689B2 (en) * 2010-05-19 2019-01-29 International Business Machines Corporation Storing access information in a dispersed storage network
EP2817916B1 (en) * 2012-02-21 2020-06-10 Microchip Technology Incorporated Cryptographic transmission system using key encryption key
US20170046531A1 (en) * 2015-08-14 2017-02-16 Strong Bear Llc Data encryption method and system for use with cloud storage

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201211821A (en) * 2010-06-22 2012-03-16 Sandisk Il Ltd Storage device and method for communicating a password between first and second storage devices using a double-encryption scheme
TWI447583B (zh) * 2012-02-10 2014-08-01 Phison Electronics Corp 資料保護方法、記憶體控制器與記憶體儲存裝置
US20170372087A1 (en) * 2016-06-28 2017-12-28 Line Corporation Method and system for data management
CN108256340A (zh) * 2017-12-22 2018-07-06 中国平安人寿保险股份有限公司 数据采集方法、装置、终端设备及存储介质

Also Published As

Publication number Publication date
US20200356285A1 (en) 2020-11-12
CN111914309A (zh) 2020-11-10
TW202042092A (zh) 2020-11-16

Similar Documents

Publication Publication Date Title
TWI728355B (zh) 密碼保護的資料儲存裝置以及非揮發式記憶體控制方法
US10361850B2 (en) Authenticator, authenticatee and authentication method
US9043610B2 (en) Systems and methods for data security
US9160531B2 (en) Host device, semiconductor memory device, and authentication method
US11308241B2 (en) Security data generation based upon software unreadable registers
US11929995B2 (en) Method and apparatus for protecting confidential data in an open software stack
US20150242332A1 (en) Self-encrypting flash drive
US20100310076A1 (en) Method for Performing Double Domain Encryption in a Memory Device
CN103368740A (zh) 绑定内容到智能存储装置的数字版权管理***、装置和方法
CN103154963A (zh) 对地址的加扰和对需存储于存储设备中的写入数据的加密
CA2537299A1 (en) On-chip storage, creation, and manipulation of an encryption key
TWI644229B (zh) 採加密技術之數據中心與數據中心操作方法
US11381388B2 (en) Storage device sharing data encryption key as encrypted and operating method of storage device
CN110659506A (zh) 基于密钥刷新对存储器进行重放保护
JP2024511236A (ja) コンピュータファイルのセキュリティ暗号化方法、復号化方法および読み取り可能な記憶媒体
CN108920984A (zh) 一种防克隆篡改安全ssd主控芯片架构
CN111949999A (zh) 管理数据的设备和方法
US10970232B2 (en) Virtual root of trust for data storage device
US20230021749A1 (en) Wrapped Keys with Access Control Predicates
US11283600B2 (en) Symmetrically encrypt a master passphrase key
CN1607511B (zh) 数据保护方法及保护***
TW201642621A (zh) 金鑰保護裝置及金鑰保護方法
CN102236754B (zh) 数据保密方法以及使用此数据保密方法的电子装置
CN101281585A (zh) 智能密码钥匙以及智能ic卡的管理口令之管理方法
KR101386606B1 (ko) 백업용 스토리지 제어 방법