自加密驱动器和包括自加密驱动器的用户装置的制造方法
【专利说明】自加密驱动器和包括自加密驱动器的用户装置
[0001]本申请要求于2014年2月27日在韩国知识产权局提交的第10-2014-0023281号韩国专利申请的优先权,所述专利申请的主题通过引用合并于此。
技术领域
[0002]本发明构思总体涉及数据存储装置,更具体地讲,涉及自加密驱动器(SED)。
【背景技术】
[0003]存在许多供选择的不同加密类型,如,基于主机的加密、基于设备的加密和基于自加密装置(SED)的加密。它们均具有自身的优点和缺点,但是使用SED的加密是保护用户的重要数据的一种容易、安全且实惠的方法。
[0004]使用软件来实现基于主机的加密。在某些情况下,具有加密功能的软件可能已被使用。软件加密的好处是实惠,并且可能已经被包括在用户所使用的软件中。然而,基于主机的加密存在一些主要缺点。最明显的缺点与性能有关。因为,基于主机的加密使用主机CPU,所以处理器周期被其它基于主机的应用占用。这对系统性能来说是主要消耗。此外,用于加密的密钥被存储在未被物理保护的区域中,并且当被使用时它暴露于主存储器上。
[0005]通过将加密设备插入到现有的网络或设施中来完成基于设备的加密。基于设备的加密克服了基于主机的加密的许多缺点。当基于主机的加密使用CPU周期来保护用户的数据时,基于设备的解决方案使用完全致力于加密的基于微处理器的硬件系统。这消除了任何性能劣化。然而,基于设备的加密与基于SED的加密相比具有一些缺点。例如,加密装置昂贵且需要持续更新。
[0006]使用SED的加密通过对驱动器自身上的每条数据进行加密而具有革命性的安全性。与其它加密方法不同,SED在对性能没有影响的情况下提供实惠的数据安全。位于驱动器中的SED的硬件加密引擎在没有性能劣化的情况下对所有数据进行加密。此外,因为用于加密的密钥在驱动器中被物理保护,并且不会被输出到装置外部,所以其安全性比传统技术的安全性更高。
【发明内容】
[0007]本发明构思的实施例的一方面旨在提供一种用户装置,所述用户装置包括:信息存储装置,包括提供数据存储空间的非易失性存储介质;主机,提供使信息存储装置从认证状态转变为非认证状态的事件指示,其中,在信息存储装置在非认证状态下进行操作时,响应于从主机接收到的访问请求,信息存储装置仅允许对由非易失性存储介质提供的数据存储空间中的一部分数据存储空间的访问,其中,所述一部分数据存储空间被指定为临时存储区域。
[0008]本发明构思的实施例的另一方面旨在提供一种用于包括主机和信息存储装置的用户装置的操作方法,其中,所述信息存储装置具有提供数据存储空间的非易失性存储介质。所述方法包括:将事件指示从主机提供给信息存储装置;响应于所述事件指示,使信息存储装置从认证状态转变为非认证状态;在信息存储装置处于非认证状态时,将访问请求从主机传送到信息存储装置;响应于所述访问请求,仅允许对由非易失性存储介质提供的数据存储空间中的一部分数据存储空间的访问,其中,所述一部分数据存储空间被指定为临时存储区域。
[0009]本发明构思的实施例的另一方面旨在提供一种用于包括主机和信息存储装置的用户装置的操作方法,其中,所述信息存储装置包括提供数据存储空间的非易失性存储介质以及具有被构造为对数据进行加密/解密的加密单元的存储器控制器。所述操作方法包括:在信息存储装置在非认证状态下操作时,将由非易失性存储介质提供的数据存储空间中的一部分数据存储空间分配为临时存储区域;在信息存储装置在非认证状态下操作时,允许主机仅对临时存储区域的访问;在信息存储装置在响应于确定用户提供的认证信息有效而进入的认证状态下操作时,允许主机对所有数据存储空间的访问。
【附图说明】
[0010]从以下参照附图进行的描述,以上和其它目的和特征将变得显而易见,其中,除非另有规定,否则相同的参考标号在各种附图中始终是指相同的部件,并且其中:
[0011]图1是示意性地示出根据本发明构思的实施例的用户装置的框图;
[0012]图2是示意性地示出根据本发明构思的实施例的信息存储装置的加密级别的示图;
[0013]图3是示意性地示出根据本发明构思的实施例的用于描述在认证状态下被执行的用户装置的写入操作的框图;
[0014]图4是示意性地示出根据本发明构思的实施例的在认证状态下被执行的用户装置的写入操作下的数据流的示图;
[0015]图5是示意性地示出根据本发明构思的实施例的在认证状态下被执行的用户装置的读取操作下的数据流的示图;
[0016]图6是根据本发明构思的实施例的用于描述当从非认证状态进入认证状态时用户装置的操作的框图;
[0017]图7是示意性地示出根据本发明构思的实施例的当从非认证状态进入认证状态时用户装置的数据流的示图;
[0018]图8是根据本发明构思的实施例的用于描述当从认证状态进入非认证状态时用户装置的操作的框图;
[0019]图9是示意性地示出根据本发明构思的实施例的当从认证状态进入非认证状态时用户装置的数据流的示图;
[0020]图10是示出在认证状态和非认证状态下可访问的非易失性存储介质的存储空间的不图;
[0021]图11是用于描述当用户装置想从非认证状态进入认证状态时用户装置的操作的框图;
[0022]图12是示意性地示出根据本发明构思的实施例的图1中示出的非易失性存储介质的框图;
[0023]图13是示意性地示出根据本发明构思的实施例的具有三维结构的存储器块的透视图;
[0024]图14是示意性地示出图13中示出的存储器块的等效电路的电路图;
[0025]图15是可实现若干实施例的示例装置的框图;
[0026]图16是示意性地示出根据本发明构思的实施例的计算系统的框图;
[0027]图17是示意性地示出根据本发明构思的实施例的固态驱动器的框图;
[0028]图18是示意性地示出根据本发明构思的实施例的存储卡的框图;
[0029]图19是示意性地示出应用图18中的存储卡的各种系统的示图。
【具体实施方式】
[0030]现在将参照附图在一些额外细节中描述本发明构思的实施例。然而,本发明构思可以以不同的形式来实现,并且不应被解释为仅受限于所示出的实施例。相反,这些实施例被提供为示例以使本公开将是彻底和完整的,并且将把本发明构思的构思充分传达给本领域技术人员。因此,将省略适用于以下实施例的描述的某些常规理解的处理、元件和技术。除非另外标注,否则在附图和书面描述中使用的相同的参考标号和标记指示相同或相似的元件。
[0031]将理解,虽然在这里可使用“第一”、“第二”、“第三”等术语来描述各个元件、组件、区域、层和/或部分,但是这些元件、组件、区域、层和/或部分不应受这些术语的限制。这些术语仅用于将一个元件、组件、区域、层或部分与另一个元件、组件、区域、层或部分区分开来。因此,在不脱离本发明构思的教导的情况下,以下讨论的第一元件、第一组件、第一区域、第一层或第一部分可以被称为第二元件、第二组件、第二区域、第二层或第二部分。
[0032]这里使用的术语仅仅是为了描述特定的实施例,而非意图限制本发明构思。如这里所使用的,单数形式也意图包括复数形式,除非上下文另外清楚地指示。还将理解的是,当在本说明书中使用术语“包含”和/或“包括”时,说明存在所陈述的特征、整体、步骤、操作、元件和/或组件,但不排除存在或附加一个或更多个其它特征、整体、步骤、操作、元件、组件和/或它们的组。如这里所使用的,术语“和/或”包括一个或更多个相关所列的项目的任意组合和所有组合。此外,术语“示例性的”意图指示示例或说明。
[0033]将理解,当元件或层被称为“在”另一元件或层“上”、“连接到”或“结合到”另一元件或层、“与”另一元件或层“相邻”时,该元件或层可直接在所述另一元件或层上、直接连接到或直接结合到所述另一元件或层、或直接与所述另一元件或层相邻,或者可以存在中间元件或中间层。相反,当元件被称为“直接在”另一元件或层“上”、“直接连接到”或“直接结合到”另一元件或层、“直接与”另一元件或层“相邻”时,不存在中间元件或中间层。
[0034]除非另有定义,否则这里使用的所有术语(包括技术术语和科学术语)具有与本发明构思所属领域的普通技术人员所通常理解的意思相同的意思。将进一步理解,除非这里明确定义,否则术语(例如在通用的字典中定义的术语)应该被解释为具有与在相关领域的上下文和/或本说明书中它们的意思一致的意思,而将不会理想地或者过于形式化地解释这些术语。
[0035]图1是示出根据本发明构思的实施例的用户装置的框图。
[0036]图1中示出的用户装置I通常包括经由通信介质2操作性地连接的主机100和信息存储装置200。在此配置中,信息存储装置200充当主机100的数据存储装置。连接主机100和信息存储装置200的通信介质2实现主机100和信息存储装置200之间的数据通信(例如,发送和/或接收)。用户装置I可以是个人计算机(例如,在主机100是构成中央处理器(CPU)的情况下)或便携式电子装置(诸如移动电话、个人数字助理(PDA)等)。
[0037]主机100可被构造为向信息存储装置200提供特定“事件指示”,诸如,用户装置I正进入或退出睡眠模式、省电模式、特定数据通信模式等的指示。在这方面,主机100还可被构造为响应于认证过程而转换到各种操作模式和从各种操作模式转换出。
[0038]存在许多不同类型的认证过程。一些认证过程是用户发起的认证过程。然而,大多数认证过程使用一种或更多种形式的认证信息来执行。这里,术语“认证信息”指示可在认证操作(诸如,图案认证、个人识别码(PIN)认证、密码认证等)期间使用的所有类型的数据。当认证方是用户时,可使用这些示例性认证操作中的每一个,或者,当认证方是远程服务器(例如,公司的内联网)时,使用被使用的认证信息。在许多类型的认证操作期间,主机100将向信息存储装置200提供认证信息。仅在提供的认证信息已被验证之后,主机100才将被允许访问由信息存储装置200存储的数据。
[0039]在图1中