一种多功能聚合的存储装置和终端的制作方法

本发明实施例涉及数据存储技术，尤指一种多功能聚合的存储装置和终端。

背景技术：

大数据时代带来了存储行业的迅猛方向，未来几年，数据量将大幅增加，固态硬盘ssd等存储产品的需求量将迎来爆发增长。然而，传统固态硬盘存储数据存在安全隐患，若ssd丢失或损坏，盘里的数据信息被不法分子所窃取，会给用户带来严重的经济损失。因此需要ssd硬盘不仅要在正常应用环境下保证数据安全，尤其在受到恶意攻击时也要保证数据的安全性，不能让破解者获取到用户隐私数据以及客户应用程序，避免造成信息泄漏的风险。

另外，传统的身份认证及数据传输加密芯片、数据终端运行环境安全芯片、数据存储芯片等对于数据的安全保护是分离的，如一个行业终端中会有多颗不同的芯片，有进行身份认证、数据传输安全防护的芯片、有进行终端数据运行安全环境保护的芯片、有进行数据安全存储的芯片，这样一个终端中有多颗安全芯片造成的问题是多颗芯片的总体成本高、安全防护水平差异性大且在终端中存在被分别旁路破解等风险，多颗芯片及其配件也造成产品的总体成本高、空间占用大等问题。

技术实现要素：

本发明实施例提供了一种多功能聚合的存储装置和终端，能够提高数据安全性能，节省产品成本，并节省空间。

为了达到本发明实施例目的，本发明实施例提供了一种多功能聚合的存储装置，所述存储装置可以包括：集成于一个芯片内的固态存储介质、安全处理模块、内部存储处理模块和外部应用处理模块；

所述固态存储介质，与所述安全处理模块相连，可以用于存储加密后的数据；

所述内部存储处理模块，与所述安全处理模块和外部的主控设备相连，可以用于向所述外部的主控设备提供数据存储接口，并对待存储数据进行预处理；

所述外部应用处理模块，与所述安全处理模块、所述内部存储处理模块和所述外部的主控设备相连，可以用于提供传输应用数据的应用接口，对所述应用数据进行预处理，并向所述内部存储处理模块和/或所述安全处理模块提供预处理后的应用数据；所述应用数据包括：用于身份认证的数据；

所述安全处理模块，可以用于进行身份认证，并在身份认证通过后通过预设的加密算法对所述待存储数据进行加密，并将加密后的数据存入所述固态存储介质中，或者，在身份认证通过后对待读取数据进行解密，并将解密后的数据通过所述内部存储处理模块发送给所述外部的主控设备。

在本发明的示例性实施例中，所述数据存储接口，可以用于所述外部的主控设备进行数据存储和数据读取；

所述数据存储接口可以包括以下任意一种或多种：串行高级技术附件sata、高速串行计算机扩展总线标准pcie以及通用串行总线usb。

在本发明的示例性实施例中，所述应用接口，可以用于采集所述用于身份认证的数据，并对该数据进行安全传输，提供数据安全环境；

所述数据存储接口可以包括以下任意一种或多种：串行外设接口spi、通用异步收发传输器uart、集成电路总线i2c以及usb。

在本发明的示例性实施例中，所述身份认证的方式可以包括以下一种或多种：动态口令、嵌入式客户识别模块esim、ukey、终端唯一性标识、终端指纹、生物识别以及二代证网络识别。

在本发明的示例性实施例中，所述预设的加密算法可以包括以下一种或多种：国密算法、国际算法和私有定制算法。

在本发明的示例性实施例中，所述安全处理模块，还可以用于在对所述待存储数据进行加密后，将加密密钥存储在自身的加密闪存flash中。

在本发明的示例性实施例中，所述安全处理模块，还可以用于在所述外部的主控设备向所述固态存储介质中存储数据时，从所述内部存储处理模块处获取经过预处理的存储请求数据，并对所述存储请求数据进行身份认证通过后，通过与所述外部的主控设备协商获取待存储数据的加密密钥；并在接收所述外部的主控设备下发的所述待存储数据后，通过所述加密秘钥对所述待存储数据进行加密，并将加密后的待存储数据存储到所述固态存储介质内；所述存储请求数据中包括：所述用于身份认证的数据。

在本发明的示例性实施例中，所述安全处理模块，还可以用于在所述外部的主控设备从所述固态存储介质中读取数据时，从所述内部存储处理模块处获取经过预处理的读取请求数据，并对所述读取请求数据进行身份认证通过后，从所述固态存储介质内将待读取数据取出，并采用存储在所述安全处理模块自身内的、与所述待读取数据对应的加密秘钥对所述待读取数据进行解密，并将解密后的所述待读取数据传输给所述外部的主控设备；所述读取请求数据中包括：所述用于身份认证的数据。

在本发明的示例性实施例中，所述外部应用处理模块，还可以用于在进行身份认证时或在进行身份认证之前预先根据所述应用数据生成加密秘钥时，通过不同类型的应用接口与不同的应用数据的采集终端适配，以采集不同的应用数据，实现不同方式的身份认证。

为了达到本发明实施例目的，本发明实施例还提供了一种终端，可以包括主控设备和上述任意一项所述的所述多功能聚合的存储装置。

本发明实施例的多功能聚合的存储装置可以包括：集成于一个芯片内的固态存储介质、安全处理模块、内部存储处理模块和外部应用处理模块；所述固态存储介质，与所述安全处理模块相连，可以用于存储加密后的数据；所述内部存储处理模块，与所述安全处理模块和外部的主控设备相连，可以用于向所述外部的主控设备提供数据存储接口，并对待存储数据进行预处理；所述外部应用处理模块，与所述安全处理模块、所述内部存储处理模块和所述外部的主控设备相连，可以用于提供传输应用数据的应用接口，对所述应用数据进行预处理，并向所述内部存储处理模块和/或所述安全处理模块提供预处理后的应用数据；所述应用数据包括：用于身份认证的数据；所述安全处理模块，可以用于进行身份认证，并在身份认证通过后通过预设的加密算法对所述待存储数据进行加密，并将加密后的数据存入所述固态存储介质中，或者，在身份认证通过后对待读取数据进行解密，并将解密后的数据通过所述内部存储处理模块发送给所述外部的主控设备。通过该实施例方案，提高了数据安全性能，节省了产品成本，并节省空间。

本发明实施例的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1为本发明实施例的多功能聚合的存储装置结构示意图；

图2为现有的存储终端结构示意图；

图3为本发明实施例的内部存储处理模块组成结构示意图；

图4为本发明实施例的外部应用处理模块组成结构示意图；

图5为本发明实施例的安全处理模块组成结构示意图；

图6为本发明实施例的终端结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

为了达到本发明实施例目的，本发明实施例提供了一种多功能聚合的存储装置1，如图1所示，所述存储装置1可以包括：集成于一个芯片内的固态存储介质11、安全处理模块12、内部存储处理模块13和外部应用处理模块14；

所述固态存储介质11，与所述安全处理模块12相连，可以用于存储加密后的数据；

所述内部存储处理模块13，与所述安全处理模块12和外部的主控设备15相连，可以用于向所述外部的主控设备15提供数据存储接口，并对待存储数据进行预处理；

所述外部应用处理模块14，与所述安全处理模块12、所述内部存储处理模块13和所述外部的主控设备15相连，可以用于提供传输应用数据的应用接口，对所述应用数据进行预处理，并向所述内部存储处理模块和/或所述安全处理模块提供预处理后的应用数据；所述应用数据包括：用于身份认证的数据；

所述安全处理模块12，可以用于进行身份认证，并在身份认证通过后通过预设的加密算法对所述待存储数据进行加密，并将加密后的数据存入所述固态存储介质中，或者，在身份认证通过后对待读取数据进行解密，并将解密后的数据通过所述内部存储处理模块13发送给所述外部的主控设备15。

所述安全处理模块12，还可以用于对所述待存储数据和所述应用数据进行数据传输安全防护和/或数据运行安全环境保护。

已知传统的使用存储产品的终端架构如图2所示，该传统的终端架构使得身份认证和数据传输加密芯片、数据终端运行环境安全芯片、数据存储芯片等对于数据的安全保护是分离的，即一个行业终端中会有多颗不同的芯片，有进行身份识别、数据传输安全防护的芯片、有进行终端数据运行安全环境保护的芯片、有进行数据安全存储的芯片，这样造成的问题是多颗芯片的总体成本高、安全防护水平差异性大且在终端中存在被分别旁路破解等风险，多颗芯片及其配件也造成产品的总体成本高、空间占用大等问题。另外，现有固态硬盘等存储产品中还没有将终端外部应用的用户识别(例如生物识别等)及数据传输加密、数据终端运行环境安全、数据存储等安全功能整合在一起的产品，更没有将上述功能整合在一颗芯片上的产品。现有产品由于没有整合上述功能在一起，所以存储多环节的分离存在被旁路等安全风险，也存在总体成本高、空间占用大等问题。并且用户数据从接口到加密模块为明文传输，容易被人截获篡改，密钥信息传输过程中容易被不法分子破解利用。

在本发明的示例性实施例中，为了提高通用固态存储硬盘的安全性和实用性。本发明实施例方案可以将包括数据加密、身份认证、数据传输安全防护、数据终端运行环境安全保护、数据存储等功能集成在一颗芯片中，其中包括将每个功能的相应模块或者相应的一个或多个集成模块集成在一个芯片中，还可以将每个模块分别采用不同的芯片集成在固态硬盘等存储产品中。

在本发明的示例性实施例中，具体地，可以将固态存储介质11、安全处理模块12、内部存储处理模块13和外部应用处理模块14集成于一个芯片内。

在本发明的示例性实施例中，将内部存储处理模块13、外部应用处理模块14、安全处理模块12及固态存储介质11等集成统一，形成多功能聚合的安全存储产品，实现了多芯片合一，从而节省了多颗芯片及其配件的成本；并且多芯片功能整合在在一个固态硬盘等存储产品中，节省了原有多颗芯片的配件成本。

在本发明的示例性实施例中，所述固态存储介质11，与所述安全处理模块12相连，可以用于存储加密后的数据。所述固态存储介质11可以包括但不限于固态硬盘、tf卡(tf卡又称microsd，是一种极细小的快闪存储器卡)、emmc\ufs(嵌入式多媒体卡\(尤尼斯文件系统)等嵌入式存储产品，以及移动硬盘等其他类型终端的存储产品。

在本发明的示例性实施例中，所述数据存储接口，可以用于所述外部的主控设备进行数据存储和数据读取；

所述数据存储接口可以包括以下任意一种或多种：串行高级技术附件sata、高速串行计算机扩展总线标准pcie以及通用串行总线usb。

在本发明的示例性实施例中，内部存储处理模块13可以提供对外接口存储数据使用的sata、pcie等存储接口，并对要存储的数据进行处理。

在本发明的示例性实施例中，如图3所示，内部存储处理模块13可以包括依次相连的主机接口控制器、主控cpu、内存接口控制器等。

在本发明的示例性实施例中，所述应用接口，可以用于采集所述用于身份认证的数据，并对该数据进行安全传输，提供数据安全环境；

所述数据存储接口可以包括以下任意一种或多种：串行外设接口spi、通用异步收发传输器uart、集成电路总线i2c以及usb。

在本发明的示例性实施例中，外部应用处理模块14可以提供用于身份识别(身份验证)及数据传输、数据安全环境等使用的spi\uart\i2c\usb等其他接口，对外部应用需要的数据进行处理。

在本发明的示例性实施例中，本发明实施例的多功能聚合存储产品可配置通用的外部应用通讯接口(如spi、i2c等)和通用固态存储接口(如sata、pcie等)，不同类型的通信接口，可以很方便的和不同类型的主机进行交互数据，适应性强。

在本发明的示例性实施例中，上述接口及外观形态与通用固态存储无差别，可以很方便的适用于大数据存储环境应用中。

在本发明的示例性实施例中，对所述待存储数据进行预处理可以包括但不限于：数据清理、数据集成、数据变换、数据归约等。

在本发明的示例性实施例中，所述对所述应用数据进行预处理可以包括但不限于：数据清理、数据集成、数据变换、数据归约等，并对所述用于身份认证的数据中的图像进行预处理；例如，对于指纹图像的滤波、方向场估计和校正等。

在本发明的示例性实施例中，所述身份认证的方式可以包括但不限于以下一种或多种：动态口令、嵌入式客户识别模块esim、ukey、终端唯一性标识、终端指纹、生物识别以及二代证网络识别。

在本发明的示例性实施例中，如图4所示，外部应用处理模块14可以包括网络应用数据处理、生物识别处理、视频/图像模式识别等多种功能。

在本发明的示例性实施例中，安全处理模块12主要提供对存储数据及应用数据进行加密处理、身份认证管理、密钥管理以及一些安全防护措施。其中该安全防护措施可以包括进行以下一种或多种安全设计：安全探测模块ip设计(可以包括频率探测器、光探测器、温度探测器、电压探测器，glitch探测器等)、总线加扰设计、真随机数ip设计等。

在本发明的示例性实施例中，如图5所示，安全处理模块12可以包括安全算法处理模块、安全防护处理模块、终端安全运行环境保护模块和数据安全传输处理模块等多种模块。

在本发明的示例性实施例中，所述安全处理模块12，还可以用于在所述外部的主控设备15向所述固态存储介质11中存储数据时，从所述内部存储处理模块13处获取经过预处理的存储请求数据，并对所述存储请求数据进行身份认证通过后，通过与所述外部的主控设备15协商获取待存储数据的加密密钥；并在接收所述外部的主控设备15下发的所述待存储数据后，通过所述加密秘钥对所述待存储数据进行加密，并将加密后的待存储数据存储到所述固态存储介质11内；所述存储请求数据中包括：所述用于身份认证的数据。

在本发明的示例性实施例中，所述安全处理模块12，还可以用于在所述外部的主控设备15从所述固态存储介质11中读取数据时，从所述内部存储处理模块13处获取经过预处理的读取请求数据，并对所述读取请求数据进行身份认证通过后，从所述固态存储介质11内将待读取数据取出，并采用存储在所述安全处理模块12自身内的、与所述待读取数据对应的加密秘钥对所述待读取数据进行解密，并将解密后的所述待读取数据传输给所述外部的主控设备15；所述读取请求数据中包括：所述用于身份认证的数据。

在本发明的示例性实施例中，所述预设的加密算法可以包括以下一种或多种：国密算法、国际算法和私有定制算法。

在本发明的示例性实施例中，作为安全存储方案应用时，主控通过标准sata、pcie等存储接口，进行主控与存储盘之间的身份认证以及数据加密，具体工作原理如下：

在本发明的示例性实施例中，主控(即所述外部的主控设备15)写数据时，可以先经过内部存储处理模块13处理，处理后给到安全处理模块12进行身份认证，认证通过后，两者协商好密钥，主控再下发数据(即待存储数据)，经过内部存储处理模块13处理后,利用安全处理模块12中存储的密钥进行数据加密，此处可以利用国密算法对数据进行加密，加密完数据存在固态存储介质11里。

在本发明的示例性实施例中，所述安全处理模块12，还可以用于在对所述待存储数据进行加密后，将加密密钥存储在自身的加密闪存flash中。

在本发明的示例性实施例中，待存储数据在安全处理模块12中利用国密算法对待存储数据进行加密处理，且密钥存储在芯片内部的加密flash中，保证了密钥的安全性和可靠性。

在本发明的示例性实施例中，主控读数据时，可以先经过内部存储模块13处理，处理好给到安全处理模块12认证，然后将加密的待读取数据从固态存储介质11中读出，并用相对应密钥解密，将解密后的数据传送给主控。

在本发明的示例性实施例中，数据的加解密密钥存在安全处理模块12中，具有金融芯片级高安全防护级别，有效保证了密钥的安全性和可靠性。

在本发明的示例性实施例中，主控写数据和读数据过程中的认证需要的证书，可以预先在高安室里预制进去，这样可以充分确保证书安全性。

在本发明的示例性实施例中，所述外部应用处理模块，还可以用于在进行身份认证时或在进行身份认证之前预先根据所述应用数据生成加密秘钥时，通过不同类型的应用接口与不同的应用数据的采集终端适配，以采集不同的应用数据，实现不同方式的身份认证。

在本发明的示例性实施例中，通过该实施例方案，实现了身份认证的多样化，拓展了应用场景，提高了用户体验感。

在本发明的示例性实施例中，本发明实施例的多功能聚合存储产品拥有可靠的证书鉴权功能，使用者必须鉴权成功后才能启动存储产品数据读写的功能，保证了使用者身份的可靠性。

在本发明的示例性实施例中，作为多功能融合产品方案应用时，主控可以利用外部通用处理模块14与安全处理模块12，进行用户身份认证，数据传输加密及数据加密存储等多功能应用。具体原理如下：

主控15在进行用户身份认证时，可以先经过外部应用处理模块对外部应用数据进行采集和处理，处理完成后利用安全处理模块12的身份识别算法，进行用户身份认证，用户身份认证通过后，进行后续数据加密存储，进行安全存储方案应用，具体步骤同上；

主控15在进行应用数据加密时，会根据不同应用，在外部应用处理模块14进行应用数据采集和处理，可以选择不同接口与不同的数据采集终端适配，通过安全处理模块12中的安全措施，如采用pki技术，进行数据健全及加密传输，从而达到数据终端运行环境安全及数据传输加密。传输密钥以及加密密钥存在安全处理模块中具有金融芯片级高安全防护级别，有效保证了密钥的安全性和可靠性。从而达到数据保护的高安全性。

在本发明的示例性实施例中，本发明实施例方案将身份认证及数据传输加密、数据终端运行环境安全、数据存储等安全功能整合在一起，实现了防止分离破解以提升产品总体安全性、多芯片合一以降低产品总体成本、减小产品空间占用以有利于实现产品小型化等目的。本发明实施例方案不仅提升了存储产品的安全性，也提升了身份识别、数据传输等的整体处理速度性能。上述存储产品包括但不限于固态硬盘、加密存储盘等。

本发明实施例的产品实现了身份认证及数据传输加密、数据终端运行环境安全、数据存储等的数据安全多功能合一，本发明实施例的产品至少具有以下优点：

1.安全性：

1)模块具有可靠的证书鉴权功能，充分保证了使用者身份可靠。

2)利用国密算法加密，保证了数据传输和存储的安全性。

3)模块的密钥数据及证书存在模块内部，安全性更强。

2.可靠性：

1)利用身份信息鉴权机制，保证了使用者身份信息可靠。

2)密钥设置的鉴权机制，保证了密钥的可靠性。

3.灵活性：

1)外围电路简单，与通用的固态存储硬盘相同，可灵活使用，适用于多种环境。

2)可配置的接口(如pcie、sata、usb、spi、i2c等)较多，可以和不同的主机进行数据交互，灵活性较强。

3)空间占用小，实现产品小型化。身份识别、数据传输、终端数据环境防护、数据存储的多芯片及其配件的多合一整合。

4.高效性：控制器芯片高速多核处理器技术，大幅提升了身份识别、数据传输加密、终端安全环境保护的处理性能。

5.低成本：

1)多芯片合一，节省了多颗芯片及其配件成本；

2)多芯片功能整合在在一个固态硬盘等存储产品中，节省了原有多颗芯片的配件成本。

为了达到本发明实施例目的，本发明实施例还提供了一种终端2，如图6所示，可以包括主控设备15和上述任意一项所述的所述多功能聚合的存储装置1。

本发明实施例的多功能聚合的存储装置可以包括：集成于一个芯片内的固态存储介质、安全处理模块、内部存储处理模块和外部应用处理模块；所述固态存储介质，与所述安全处理模块相连，可以用于存储加密后的数据；所述内部存储处理模块，与所述安全处理模块和外部的主控设备相连，可以用于向所述外部的主控设备提供数据存储接口，并对待存储数据进行预处理；所述外部应用处理模块，与所述安全处理模块、所述内部存储处理模块和所述外部的主控设备相连，可以用于提供传输应用数据的应用接口，对所述应用数据进行预处理，并向所述内部存储处理模块和/或所述安全处理模块提供预处理后的应用数据；所述应用数据包括：用于身份认证的数据；所述安全处理模块，可以用于进行身份认证，并在身份认证通过后通过预设的加密算法对所述待存储数据进行加密，并将加密后的数据存入所述固态存储介质中，或者，在身份认证通过后对待读取数据进行解密，并将解密后的数据通过所述内部存储处理模块发送给所述外部的主控设备。通过该实施例方案，提高了数据安全性能，节省了产品成本，并节省空间。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd-rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。