用于自加密驱动器的虚拟带集中的制作方法

用于自加密驱动器的虚拟带集中的制作方法
【专利摘要】本申请案涉及用于自加密驱动器的虚拟带集中。一种设备包含存储装置及主机装置。所述存储装置可经配置以分别在写入及读取操作期间加密及解密用户数据。所述主机装置通信地耦合到所述存储装置。所述主机装置可经配置以通过将第一数目个虚拟带集中到第二数目个真实带中而执行所述写入及读取操作，其中所述第二数目小于所述第一数目。
【专利说明】用于自加密驱动器的虚拟带集中
[0001]相关申请案交叉参考
[0002]本申请案涉及2013年8月28日提出申请的第61/870，936号美国临时申请案，所述临时申请案特此以全文引用的方式并入本文中。

【技术领域】
[0003]本发明一般来说涉及存储系统，且更特定来说，涉及一种用于实施自加密驱动器的虚拟带集中的方法及/或设备。

【背景技术】
[0004]自加密驱动器(SED)通常采用硬件分别在写入及读取操作期间加密及解密用户数据。加密及解密是使用媒体加密密钥(MEK)来完成的。MEK通常为逻辑块地址(LBA)的函数，其中整个LBA空间被细分成数个LBA范围(称为“数据带”或简称为“带”)，其中每一带具有唯一 MEK。由于硬件限制，SED在无严重性能降级的情况下可支持的带的数目受到限制(16将为相当高的数目)。具有比硬件支持的LBA范围的数目多的有效带将由于不断密钥交换而对性能具有负面影响。在传统实施方案中，从主机的观点来看，需要在单一 LBA范围中连续地存储主机依据单一验证密钥(AK)而具有对其的存取控制的用户数据。单一LBA范围或带限制使得某些类型的应用(如，虚拟机器-VM)难以完全从SED部署获益，这是因为VM可能需要许多(或许，数千)带才能实现存储装置的较灵活且高效的使用。
[0005]将期望具有用于自加密驱动器的虚拟带集中。


【发明内容】

[0006]本发明关于一种包含存储装置及主机装置的设备。所述存储装置可经配置以分别在写入及读取操作期间加密及解密用户数据。所述主机装置通信地耦合到所述存储装置。所述主机装置可经配置以通过将第一数目个虚拟带集中到第二数目个真实带中而执行所述写入及读取操作，其中所述第二数目可小于所述第一数目。

【专利附图】

【附图说明】
[0007]依据以下详细描述及所附权利要求和图式，本发明的实施例将显而易见，图式中
[0008]图1是图解说明根据本发明的实施例的系统的图式；
[0009]图2是图解说明根据本发明的实施例的虚拟带集中器的主机部分的图式；
[0010]图3是图解说明根据本发明的实施例的虚拟带集中器的存储装置部分的图式；
[0011]图4是图解说明根据本发明的实施例的过程的图式；
[0012]图5是图解说明根据本发明的实施例的具有多个带的虚拟带管理器的图式；且
[0013]图6是图解说明根据本发明的实施例的具有带有一或多个带的多个虚拟带管理器的主机的图式。

【具体实施方式】
[0014]本发明的实施例包含提供用于自加密驱动器的虚拟带集中(VBC)，其可(i)将虚拟带管理器(VBM)实施为虚拟机器管理器(VMM)的部分；(ii)在每输入/输出(I/O)基础上产生媒体加密密钥；(iii)用硬件加密/解密来支持数千个虚拟数据带；(iv)促进虚拟机器迁移；(V)在每数据带基础上启用密码擦除；(vi)减少SED需要支持的带的数目，同时在主机侧上仍支持多个虚拟带；(vii)将第一数目个虚拟带集中到显著较小的第二数目个真实带中；及/或(viii)允许由主机针对每一读取/写入操作供应验证数据。
[0015]在各种实施例中，提供一种用以动态地产生多个数据带的唯一媒体加密密钥(MEK)的方法及/或设备。术语“数据带”(或简单地“带”)通常是指逻辑块地址(LBA)范围。整个LBA空间被细分成数个LBA范围(带)。每一带与唯一 MEK相关联。MEK是基于由主机动态地提供的验证信息(例如，作为与用户验证操作相关联的“元数据”的部分)。动态地产生MEK通常是指按照每一 I/O操作创建新密钥的过程。MEK的动态产生通常描述为“即时的(on the fly)”。在各种实施例中，允许跨越多个带使用共同验证密钥(AK)以模拟需要用单一验证密钥管理的主机数据的逻辑块地址(LBA)空间的非连续带。密钥材料(例如，验证数据)由主机(例如，VM播放器或VM管理器-VMM等)针对每一读取/写入操作供应，这提供启用数千个(或更多)带的安全方法。
[0016]参考图1，展示实施根据本发明的实施例的虚拟带集中方案的系统100的图式。在各种实施例中，系统100可实施为自加密存储系统。在一些实施例中，系统100包括块101、块103及块105。块101包括实施根据本发明的实施例的带管理器及加密/解密电路的存储控制器。块103实施存储媒体。在一些实施例中，块103包括非易失性存储器(NVM)媒体(例如，磁性存储器、快闪存储器等)。然而，可相应地实施其它类型的媒体(例如，具有或不具有电池支持的易失性存储器)以满足特定应用的设计准则。不过，在易失性存储器的情况下，在电力丢失后，将损失安全性(及数据)。块105包括实施根据本发明的实施例的虚拟存储器管理器(VMM)的主机。块101及103操作地耦合以形成存储装置(SD) 102。SD 102及主机105经配置以彼此通信地耦合。
[0017]控制器101可经配置以控制一或多个个别存储器通道。在一些实施例中，控制器101可实施多个存储器通道控制器实例以控制多个存储器通道。控制器101具有经配置以将控制器101耦合到存储媒体103的媒体接口。在非易失性存储器(NVM)实施例中，存储媒体103可包括一或多个非易失性存储器装置107。在一些实施例中，非易失性存储器装置107具有一或多个非易失性存储器目标(例如，裸片、磁盘板等)109。根据非易失性存储器装置107中的特定一者的类型，特定非易失性存储器装置107中的多个非易失性存储器目标109可任选地及/或选择性地并行存取。非易失性存储器装置107通常表示经启用以通信地耦合到控制器101的一种类型的存储装置。然而，在各种实施例中，可使用任何类型的存储装置，例如，磁性存储装置、光学存储装置、SLC (单电平单元)NAND快闪存储器、MLC (多电平单元)NAND快闪存储器、TLC (三电平单元)NAND快闪存储器、NOR快闪存储器、电可编程只读存储器(EPROM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、磁阻随机存取存储器(MRAM)、铁磁性存储器(例如，FeRAM, F-RAM、FRAM等)、相变存储器(例如，PRAM、PCRAM等)、赛道式存储器(或畴壁存储器(DWM))、电阻式随机存取存储器(RRAM或ReRAM)，或者任何其它类型的存储器装置或存储媒体。
[0018]在一些实施例中，控制器101及非易失性存储器媒体103实施于单独集成电路(或装置)上。当控制器101及非易失性存储器媒体103实施为单独集成电路(或装置)时，控制器101的媒体接口通常经启用以管理多个数据输入/输出(I/O)引脚及多个控制I/o引脚。数据I/O引脚及控制I/O引脚可经配置以将含有控制器101的装置连接到形成非易失性存储器媒体103的外部装置。在各种实施例中，控制器101实施为嵌入式控制器。在各种实施例中，控制器101及NVM媒体103实施固态混合硬盘驱动器(SSHD)、硬盘驱动器(HDD)或固态驱动器/磁盘(SSD)。
[0019]控制器101还具有经配置以接收命令且将响应发送到主机105的命令接口。在实施多个非易失性存储器装置的实施例中，控制器101包含:至少一个NVM控制处理器，其经由专属过程来管理非易失性存储器装置；及主机处理器，其根据其它过程来管理主机接口。NVM控制处理器及主机处理器经由预定义接口进行通信。主机处理器将主机命令传达到NVM控制处理器，所述NVM控制处理器根据预定义通信接口(或协议)来处理命令。控制器101还包含经配置以实施根据本发明的实施例的虚拟带集中方案的带管理器(BM) 110及加密/解密(E/D)块(或电路)112。带管理器110包含存储由存储装置102使用的密钥材料(KM)的密钥存储装置(KS) 114。在一些实施例中，密钥存储装置114还可存储由主机105使用的虚拟密钥材料(VKM)。
[0020]主机105包含虚拟机器管理器(VMM)块120。VMM 120经配置以实施根据本发明的实施例的虚拟带集中方案。VMM 120包括一或多个虚拟带管理器(VBM) 122。在一些实施例中，VMM 120针对每一真实带运行单独VBM 122实例。每一 VBM 122包含存储虚拟密钥材料(VKM)的虚拟密钥存储装置(VKS) 124。每一 VBM 122将多个虚拟带(VB)集中到真实带130中以供存储于SD 102上。由每一 VBM 122接收的多个虚拟带来自在主机105上运行的通过VMM 120与每一 VBM 122相关联的一定数目个虚拟机器(VM)。单一 VBM 122可管理一或多个真实带。每一 VBM 122通过提供相应验证密钥(AK) 104而向存储装置102验证自身。
[0021]参考图2，展示主机105的图式，其图解说明根据本发明的实施例的虚拟带集中器的主机部分。下文使用可用于数个安全协议(包含但不限于TCG企业SSC、TCG Opal及ATA安全性)中的通用安全范例来描述本发明的实施例。在各种实施例中，自加密驱动器(SED)对逻辑块地址(LBA)范围(或数据带)进行操作。举例来说，图2及3中展示具有LBA1.1到LBA1.2的LBA范围的带130。在各种实施例中，主机105可运行使用验证密钥(AK) 104向存储装置(SD) 102验证自身的某类安全应用(AP)。
[0022]在常规SED中，带的数目受到限制，这是因为为了维持数据速率，LBA范围查找通常以硬件实施且硬件表的大小为有限的。因此，常规SED在无性能影响的情况下很少能支持16个以上LBA范围。尽管此图对于大多数应用来说为相当足够的(例如，TCG Opal 2.0仅仅要求8个带)，但其针对极为普遍的虚拟机器(VM)环境产生困难。
[0023]在一些实施例中，单一计算机可托管多个所谓的虚拟机器(VM)，所述VM中的每一者针对相应操作需要某一 LBA范围(例如，图2展示在主机105上运行的三个虚拟机器VM311、312及313)。从每一虚拟机器311-313 (例如，标示为VM_x，x = 1、2、…)的观点来看，每一 VM-x可使用从O到LBA_MAX (x)的LBA，其中x为VM的数目。由VM使用的LBA称为“虚拟LBA” (VLBA)以将其与存储装置102知晓的真实LBA区分开。VM管理器(VMM) 120负责将VLBA映射到存储装置102可理解的真实LBA中。
[0024]由于一直在创建及删除VM，因此为每一 VM分配连续的真实LBA范围并非始终是可能的。而是，从存储装置102的真实LBA空间中任意地分配(“切出”)一组带。因此，如图2中的实例中所展示，将虚拟机器VM-1的两个虚拟带(VB) 320及321映射到单一真实LBA带130中。一般来说，真实带的数目小于虚拟带的数目，且在许多情况中，真实带的数目可显著小于虚拟带的数目。举例来说，介于10与20之间的真实带将视为相当高数目的真实带，而特定应用所需要的虚拟带的数目可为数百、数千或甚至更大数目。因此，举例来说，真实数据带的数目与虚拟数据带的数目可相差一或多个数量级。几乎充当个别主机的每一 VM311-313可借助于执行虚拟LBA与真实LBA之间的翻译的VBM 122向存储装置102验证自身，且反之亦然。VBM 122的实施方案是根据与存储装置102的BM 110的实施方案相同的安全标准，尤其是关于VKS维持及存取。
[0025]VBM 122验证VM 311-313并将验证密钥(AK) 104及安全协议(例如，TCG或任何其它协议)终止提供到存储装置(SD)102。在主机侧上，VBM 122可经配置以支持任何数目个虚拟带(VB)。在存储装置侧上，VBM 122可仅支持VBM 122将多个虚拟带合并或集中到其中的几个真实数据带，如下文所解释。在许多实施例中，VBM 122经配置以支持仅仅一个存储装置侧(真实)数据带130，如在图2上所展示。
[0026]在一些实施例中，VBM 122将虚拟密钥存储装置(VKS) 124自身持久地保存(举例来说)于单独快闪装置或EEPROM上。VKS 124存储每一虚拟带的虚拟密钥材料(VKM)(例如，图2中分别针对VBl.1及VBl.2展示虚拟密钥材料VKM1.1381及VKM1.2382)。在其它实施例中，存储装置102提供所谓的不透明密钥存储装置(OKS) 362 (图解说明于图3中)以存储虚拟密钥材料。OKS 362称为“不透明”的是因为SD 102不了解虚拟带且因此并不知晓OKS 362含有任何密钥材料。就SD 102来说，OKS 362仅仅为另一数据块。
[0027]将虚拟密钥材料存储于位于SD 102中的OKS 362中促进从一个主机到另一主机的VM迁移。只要知晓VMM凭证(例如，AK 104), VMM 120就可使用来自OKS 362的内容389在另一主机上恢复相应VKS 124。SD 102关于保存于OKS 362中的信息类型并未注意。当VBM 122改变虚拟密钥材料(例如，VKM1.1381、VKM1.2382等)中的任一者时，重新写入整个OKS 362且将旧副本清零(例如，SD 102需要在主机请求时提供此类型的服务)。
[0028]参考图3，展示存储装置102的图式，其图解说明根据本发明的实施例的虚拟带集中器的存储装置部分。在各种实施例中，SD 102运行含有密钥存储装置(KS) 114的带管理器(BM)应用程序110。重要的是记住当KS 114被覆写时，KS 114的所有较旧副本均需要清洗或清零(例如，清洗程序取决于存储媒体103的类型且可包含但不限于将磁性媒体消磁、擦除快闪装置等)。在一些实施例中，KS 114针对每一真实数据带含有密钥材料(KM) 361的一个样本。图3中展示带130的密钥材料361 (KMl)的单一样本。
[0029]通过用对应KM来“包裹” AK 104而产生每一真实数据带的媒体加密密钥(MEK) 3410图3中展示通过包裹AK 104及密钥材料KMl而产生媒体加密密钥MEKl的实例。包裹操作由乘法器351图解说明。本文在极为一般的意义上使用包裹。在一些实施例中，KM 361仅为用AK 104加密的对应MEK(例如，AK 104用作密钥加密密钥(KEK)，因此“包裹”351等效于加密操作)。加密/解密可包含但不限于AES或XTS的某一版本。在一些实施例中，包裹可包含但不限于在AK 104与密钥材料361 (例如，图3中的KMl)之间执行“异或”运算。然而，可相应地实施并不降低密钥材料361的随机性的任何操作以满足特定应用的设计准则。在多带实施例中，通过用相应密钥材料361(例如，枷1、枷2、…、KMn)包裹AK 104来针对η个带中的每一者产生相应MEK(例如，ΜΕΚ1、ΜΕΚ2、...、ΜΕΚη)。
[0030]在各种实施例中，将加密器/解密器(ED) 112实施为硬件(HW)模块。ED 112维持其中界定每一带的边界(例如，图3中所展示的带130的LBA1.1-LBA1.2)的表。基于AK 104及对应密钥材料361而通过包裹操作351计算每一带的MEK 341，接着将其加载到EDl 12中。在这些实施例中，当读取/写入数据请求311从主机105到达时，ED 112执行查找以将请求的LBA分类为一数据带且选择适当MEK 341 (例如，针对真实带130选择ΜΕΚ1)。在常规SED中，将用选定MEK来解密读取数据，而将用选定MEK来加密写入数据。在虚拟带集中实施例中，选定MEK 341不用于加密/解密数据，而是选定ΜΕΚ341用于计算用于通过包裹操作342-348加密/解密每一 I/O请求的实际MEK(例如，ΜΕΚ1.1344、ΜΕΚ1.2345、ΜΕΚ3.1347、ΜΕΚ3.2349等)。可类似于包裹操作351而实施包裹操作342-348(下文所描述)。
[0031]在各种实施例中，MEK 341不发送到主机105且(作为良好的做法)不以明文形式存储于媒体103上。而是，仅存储密钥材料KM 361且恢复MEK 341需要验证密钥(AK) 104。倘若SD 102经恰当配置，则从媒体103读取数据/将数据写入到媒体103对于并不知晓正确凭证的任何人来说是不可能的。
[0032]在一些实施例中，允许每一个别带的密码擦除。举例来说，当用户改变特定带的KM361或VKM 381、382且根据特定媒体清洗规则(例如，磁性媒体的消磁、快闪的擦除等)清洗KM 361或VKM 381、382的所有旧复本(甚至经加密副本)时，任何人(包含知晓凭证的任何人)再也无法读取特定带中的数据。所谓的“Crypt0_EraSe”功能提供一种用于数据移除的快速、可靠且精确的方法，且允许安全的存储装置再使用。
[0033]在虚拟带集中实施例中，VBM 122使用AK 104向SD带管理器(BM) 110验证自身。在验证之后，VBM 122从另一装置或从OKS 362加载相应VKS 124。VM 311-313中的每一者将需要使用相应验证密钥验证自身(例如，VM-1 311使用AK1304验证自身，VM-3313使用AK3305验证自身等等)。通过用适当虚拟密钥材料(例如，VKM1.1381、VKM1.2382等)包裹(例如，相应包裹操作383、385等)相应验证密钥AKx而针对每一虚拟带(VB)产生相应虚拟MEK (VMEK) 384、386、387、388。将对应VMEK附加到正发送到SD 102的每一 I/O请求。ED 112用数据带的MEK 341包裹附接到每一 I/O请求的VMEK(例如，MEKl用于图2及3中所展示的数据带130)，从而创建用于特定数据操作的个别MEK(例如，MEK1.K MEK1.2、MEK3.UMEK3.2 等)。
[0034]在NVM Express (NVME)主机协议实施例中，可界定其中提供特殊SGL (分散-收集列表)的供应商特定读取/写入。SGL含有每一 I/O操作的VMEK信息。在SATA协议中，主机可通过以下操作简单地将VMEK附加到写入命令:扩展写入中的扇区的数目并指示在何处提供密钥或传送较大扇区(例如，520字节扇区)并将密钥材料置于较大扇区自身中。读取较难以适应现有SATA(ACS)协议。在一个实例中，可界定允许与待读取的LBA—起传送VMEK的供应商唯一命令。在另一实例中，主机可将VMEK的表传送到驻存于存储装置中的缓冲器中且使用所保留的位(总共7个)来标引到存储装置的表中以在传送时快速地查找VMEK。此实施例允许在控制器中使用现有SATA HW自动化。
[0035]参考图4，其展示图解说明根据本发明的实施例的实例性过程400的图式。在一些实施例中，过程(或方法)400可包括步骤(或状态)402、步骤(或状态)404、步骤(或状态)406、步骤(或状态)408、步骤(或状态)410及步骤(或状态)412。在步骤402中，主机105中的虚拟带管理器(VBM) 122使用验证密钥(AK) 104来向存储装置102中的带管理器(BM) 110验证自身。在步骤404中，VBM 122从另一装置或从存储装置102中的不透明密钥存储装置(OKS) 362加载虚拟密钥存储装置(VKS) 124。在步骤406中，每一虚拟机器(VMx)使用相应验证密钥(AKx)来验证自身。在步骤408中，通过用来自VKS 124的相应虚拟密钥材料(例如，VKMx)包裹相应验证密钥AKx而针对每一虚拟带(VB)产生虚拟媒体加密密钥(VMEK)。在步骤410中，将适当VMEK附加到正发送到存储装置102的每一 I/O请求。在步骤412中，存储装置102中的加密/解密硬件112用在存储装置102中针对对应数据带产生的媒体加密密钥(MEK)包裹附加到每一 I/O请求的VMEK，从而创建用于特定数据操作的个别MEK。
[0036]参考图5，展示图解说明根据本发明的实施例实施具有多个真实带的虚拟带管理器的系统500的图式。系统500包括具有存储媒体503及主机505的存储装置502。存储装置502还包含经配置以实施根据本发明的实施例的虚拟带集中方案(上文结合图2及3所描述)的带管理器(BM)510及加密/解密(E/D)块(或电路)512。加密/解密(E/D)块512经配置以处置一定数目个真实带130-1到130-N。带管理器510包含存储密钥材料(例如，KM1561到KMN 562)的密钥存储装置(KS) 514。所述密钥材料由存储装置502结合真实带130-1到130-N的加密/解密(例如，使用由包裹操作551到552产生的相应媒体加密密钥)而使用。可类似于上文结合图2及3所描述的包裹操作351、383及385而实施包裹操作551到552)。
[0037]主机505包含经配置以实施根据本发明的实施例的虚拟带集中方案的虚拟机器管理器(VMM)。所述VMM包括虚拟带管理器(VBM) 522。VBM 522经配置以管理多个真实带130-1到130-N。VBM 522可经配置以类似于图2的VBM 122而操作。VBM 522将多个虚拟带(VB)集中到真实带130-1到130-N中以供存储于SD 502上。由VBM 522接收的虚拟带可来自在主机505上运行的一定数目个虚拟机器(VM)。
[0038]参考图6，展示图解说明根据本发明的实施例实施具有多个虚拟带管理器的主机的系统600的图式。系统600包括具有存储媒体603及主机605的存储装置602。存储装置602还包含经配置以实施根据本发明的实施例的虚拟带集中方案(上文结合图2及3所描述)的带管理器(BM)610及加密/解密(E/D)块(或电路)612。加密/解密(E/D)块612经配置以处置一定数目个真实带130-1到130-N。带管理器610包含存储密钥材料(例如，KM1661到KMN 662)的密钥存储装置(KS)614。所述密钥材料由存储装置602结合真实带130-1到130-N的加密/解密(例如，使用由包裹操作651到652产生的相应媒体加密密钥)而使用。可类似于上文结合图2及3所描述的包裹操作351、383及385而实施包裹操作651到652)。
[0039]主机605包含经配置以实施根据本发明的实施例的虚拟带集中方案的虚拟机器管理器(VMM)。所述VMM包括多个虚拟带管理器(VBM) 622-1到622-N。VBM 622-1到622-N经配置以管理多个真实带130-1到130-N。VBM 622-1到622-N可经配置以类似于图2的VBM 122而操作。VBM 622-1到622-N将多个虚拟带(VB)集中到真实带130-1到130-N中以供存储于SD 602上。由VBM 622-1到622-N接收的多个虚拟带可来自在主机605上运行的一定数目个虚拟机器(VM)。
[0040]VBM 622-1到622-N中的每一者可将一定数目个虚拟带集中到真实带130-1到130-N中的一或多者中。VBM 622-1到622-N中的每一者用相应验证密钥AKl到AKN来验证自身。存储装置602的带管理器610通过包裹相应验证密钥AKl到AKN及相应密钥材料KMl 661到KMN 662而产生带130-1到130-N的相应媒体加密密钥。
[0041]术语“可”及“通常”在本文中结合“是”及动词使用时意在传达描述为示范性且相信足够广泛以涵盖本发明中所呈现的特定实例以及可基于本发明导出的替代实例两者的意图。如本文中所使用的术语“可”及“通常”不应理解为一定暗示省略对应要素的期望及可能性。术语“显著较小”通常意在传达所比较的物项可相差(举例来说)一或多个数量级的意图。
[0042]尽管已参考本发明的实施例特别地展示并描述了本发明，但所属领域的技术人员将理解，可在不背离本发明的范围的情况下做出形式及细节上的各种改变。
【权利要求】
1.一种设备，其包括: 存储装置，其经配置以分别在写入及读取操作期间加密及解密用户数据；及 主机装置，其经配置以通信地耦合到所述存储装置，所述主机装置进一步经配置以通过将第一数目个虚拟带集中到第二数目个真实带中而执行所述写入及读取操作，其中所述第二数目小于所述第一数目。
2.根据权利要求1所述的设备，其中所述主机装置包括经配置以将所述第一数目个虚拟带映射到所述第二数目个真实带的虚拟机器管理器。
3.根据权利要求1所述的设备，其中所述虚拟机器管理器包括经配置以将所述第一数目个虚拟带映射到所述第二数目个真实带的一或多个虚拟带管理器。
4.根据权利要求1所述的设备，其中所述一或多个虚拟带管理器中的每一者经配置以将一定数目个所述虚拟带映射到所述第二数目个真实带中的一或多者。
5.根据权利要求1所述的设备，其中所述存储装置包括经配置以存储密钥材料的带管理器。
6.根据权利要求3所述的设备，其中所述带管理器包括不透明密钥存储装置。
7.根据权利要求1所述的设备，其中所述存储装置包括加密与解密模块。
8.根据权利要求1所述的设备，其中所述加密与解密模块是以硬件实施的。
9.根据权利要求1所述的设备，其中从安全观点来看，每一虚拟带仍借助唯一验证及加密密钥而受到完全保护。
10.根据权利要求1所述的设备，其中所述第二数目显著小于所述第一数目。
11.一种将一定数目个虚拟带集中到一真实带中以供存储于自加密存储装置上的方法，所述方法包括: 使所述数目个虚拟带中的每一者的虚拟逻辑块地址范围的一或多个部分与所述真实带的逻辑块地址范围的部分相关联； 基于虚拟机器的验证密钥及存储于运行所述虚拟机器的主机装置上的虚拟密钥材料而产生所述数目个虚拟带中的每一者的相应虚拟媒体加密密钥；及 使所述数目个虚拟带中的特定一者的所述相应虚拟媒体加密密钥与涉及与所述数目个虚拟带中的所述特定一者相关联的所述真实带的所述逻辑块地址范围的部分的1/0请求相关联。
12.根据权利要求11所述的方法，其进一步包括: 基于所述主机装置的验证密钥及存储于所述自加密存储装置上的密钥材料而产生所述真实带的第一媒体加密密钥；及 基于所述第一媒体加密密钥及与涉及与所述数目个虚拟带中的所述特定一者相关联的所述真实带的所述逻辑块地址范围的部分的所述1/0请求相关联的所述相应虚拟媒体加密密钥中的每一者而产生所述1/0请求的一定数目个第二媒体加密密钥。
13.根据权利要求12所述的方法，其进一步包括: 在将与写入1/0请求相关联的数据写入于存储媒体上之前，使用所述第二媒体加密密钥来加密所述数据 '及 在从所述存储媒体读取与读取1/0请求相关联的数据之后，使用所述第二媒体加密密钥来解密所述数据。
14.根据权利要求11所述的方法，其中将第一数目个虚拟带集中到第二数目个真实带中，其中所述第二数目小于所述第一数目。
15.根据权利要求14所述的方法，其中所述第二数目显著小于所述第一数目。
【文档编号】H04L9/08GK104424016SQ201410431481
【公开日】2015年3月18日 申请日期:2014年8月28日 优先权日:2013年8月28日
【发明者】杰里米·沃纳, 利奥尼德·巴于丁 申请人:Lsi公司