,信息存储装置200包括非易失性存储介质210。非易失性存储介质210可包括例如半导体存储器,诸如NAND闪存。信息存储装置200可用于存储与主机100的控制关联的程序信息、用户数据和/或许多其它类型的数据和信息。在以下描述中,假设信息存储装置200作为自加密驱动器(SED)进行操作,其中,自加密驱动器能够在使用密码方案(诸如通过使用例如高级加密标准(AES)而实现的方案)对信息加密之后存储该信息。
[0040]图1的信息存储装置200还包括控制非易失性存储介质210的操作的存储器控制器220,其中,存储器控制器220包括主机接口 221、存储器接口 222、处理单元223、缓冲存储器224、密钥产生单元225和加密单元226。
[0041]主机接口 221充当信息存储装置200和主机100之间的接口。主机接口 221可用于将从主机100接收的命令或数据输出到处理单元223。主机接口 221可用于向主机100提供来自缓冲存储器224的数据和/或特定响应通知,诸如通常用于指示处理单元223执行(或完成)命令的通知。
[0042]存储器接口 222充当存储器控制器220和非易失性存储介质210之间的接口。存储器接口 222可用于将加密后的数据从加密单元226传输到非易失性存储介质210,和/或将加密后的数据从缓冲存储器224传输到非易失性存储介质210。存储器接口 222还可用于接收从非易失性存储介质210读取的加密后的数据,并将加密后的数据传输到加密单元226和/或缓冲存储器224。
[0043]在处理单元223的控制下,缓冲存储器224可用于临时存储在主机100和信息存储装置200之间交换的数据。在处理单元223的控制下,缓冲存储器224可用于存储由主机接口 221输出的加密后的数据、由加密单元226输出的数据和/或从存储器接口 222接收的数据。在处理单元223的控制下,缓冲存储器224还可用于临时存储将经由主机接口221被传输到主机100的数据。另外,在处理单元223的控制下,缓冲存储器224可用于输出将被传输到加密单元226的数据。因此,如将从上述内容理解的,处理单元223可用于控制信息存储装置200的特定功能块的操作和互操作。
[0044]在本发明构思的特定实施例中,从外部提供的数据可经由缓冲存储器224、加密单元226和存储器接口 222传输到非易失性存储介质210。或者,从外部提供的数据可经由加密单元226、缓冲存储器224和存储器接口 222传输到非易失性存储介质210。同样地,从非易失性存储介质210提供的数据可经由缓冲存储器224、加密单元226和主机接口 221传送到主机100。或者,从非易失性存储介质210提供的数据可经由加密单元226、缓冲存储器224和主机接口 221传送到主机100。
[0045]当主机接口 221从主机100接收命令时,处理单元223可用于对输入命令的检查实行控制。例如,处理单元223可用于在针对非易失性存储介质210执行写入操作期间控制缓冲存储器224、密钥产生单元225和存储器接口 222的互操作。类似地,处理单元223可用于在针对非易失性存储介质210执行读取操作期间控制缓冲存储器224、密钥产生单元225和存储器接口 222的互操作。
[0046]另外,处理单元223可被构造为确定由主机100提供的认证密钥是否是有效认证密钥,之后,处理单元223可响应于有效性确定结果选择性地实现从主机100接收的数据访问请求。
[0047]可以以各种方式来实现密钥产生单元225。例如,密钥产生单元225可被实现为随机数产生器,其中,随机数产生器被构造为产生安全密钥。在这方面,可使用硬件和/或软件组件或功能块来实现密钥产生单元225。如在下文中将在一些额外细节中描述的,“安全密钥”可用于产生相应的“加密密钥”。
[0048]加密单元226可用于对经由主机接口 221提供的数据进行加密,并将相应的加密后的数据输出到例如缓冲存储器224。此后,存储在缓冲存储器224中的加密后的数据可被传输到存储器接口 222。可选择地和另外地,加密单元226可用于对从缓冲存储器224提供的数据进行加密,并将相应的加密后的数据输出到存储器接口 222。
[0049]类似地,加密单元226可用于对从存储器接口 222提供的加密后的数据进行解密。也就是说,加密单元226可用于使用与被请求读取的数据相应的加密密钥对从非易失性存储介质210读取的加密后的数据进行解密。这里假设:加密单元226先前已被用于使用所述加密密钥对存储在非易失性存储介质210中的数据进行加密。
[0050]如果在主机100和信息存储装置200之间未建立(或“设置”)认证过程,则在上电时可从非易失性存储介质210自动加载加密密钥。然而,如果在主机100和信息存储装置200之间设置了认证过程,则当主机100和信息存储装置200之间的认证过程通过时,可从非易失性存储介质210加载加密密钥。
[0051]在这方面,根据本发明构思的特定实施例的图1的信息存储装置200起能够在认证状态和非认证状态下进行操作的SED的作用。这里,术语“认证状态”表示这样的状态:在从主机100提供的用户定义的认证信息已被确定为有效的情况下,从主机100接收的访问请求被正常处理。术语“非认证状态”表示这样的状态:在从主机100提供的用户定义的认证信息已被确定为无效的情况下,从主机100接收的访问请求无法被正常处理。
[0052]因此,可使用仅存在于信息存储装置200上的加密密钥对在认证状态下从主机100提供的数据进行加密。类似地,可使用仅存在于信息存储装置200上的加密密钥对在认证状态下由主机100请求的数据进行解密。以这种方式,可通过用于实现主机100和信息存储装置200之间的互操作的认证操作,来选择性地实现对信息存储装置200的访问。
[0053]在非认证状态下(例如,当用户装置10进入睡眠模式、锁屏模式时,由主机100提供的认证信息被认为无效,等),信息存储装置200认为从主机100接收的所有读取命令和写入命令无效。在这方面,当在非认证状态下从主机100接收到读取命令时,信息存储装置200可将加密后的数据在不被首先解密的情况下发送到主机100。
[0054]可选择地或另外地,在非认证状态下,信息存储装置200可提供被指定的用于在非认证状态下存储从主机100接收的数据的“临时存储区域”。这样完成后,在不涉及加密单元226的情况下,主机100可将数据写入临时存储区域和/或从临时存储区域读取数据。或者,尽管信息存储装置200使用与仅存储在临时存储区域中的数据关联的“临时加密密钥”,并使用临时加密密钥来执行加密/解密操作,但是可使用加密单元226将数据写入临时存储区域和/或从临时存储区域读取数据。以这种方式,信息存储装置200可提供被指定的用于以下数据的存储区域:在非认证状态下被例行执行的主机100的特定后台操作期间所使用的数据。
[0055]例如,一旦后台操作被完全执行,就可擦除存储在非易失性存储介质210的临时存储区域中的数据。在这种情况下,一旦信息存储装置200进入非认证状态,则仅可访问被指定的临时存储区域,直到信息存储装置200进入认证状态时为止。
[0056]图1的信息存储装置200可被构造为响应于已进入非认证状态的指示(例如,响应于从主机100接收的特定信息)来擦除与数据加密操作关联的特定易失性数据(例如,被加载到加密单元226的加密密钥)。
[0057]根据以上描述,信息存储装置200可被构造为在非认证状态期间阻止对被指定的临时存储区域之外的存储介质210的访问。但是,根据主机100的需要,信息存储装置200可实现对在非认证状态期间足以执行特定后台操作的临时存储区域的访问。以这种方式,能够更好地保护存储在非易失性存储介质210中的数据。
[0058]图2是示出根据本发明构思的实施例的能够由信息存储装置提供的不同加密级别的概念图。
[0059]在此情况下,当非易失性存储介质210的数据存储空间被划分时,可产生加密密钥。例如,当非易失性存储介质210的存储空间被划分为两个或更多个存储区域时,加密单元226和密钥产生单元225可合作产生和分配与每个划分出的存储区域相应的加密密钥。产生的加密密钥可存储在非易失性存储介质210的特定存储区域中。这里,可使用用户提供的信息(例如,诸如密码的认证信息)对加密密钥进行加密,并且加密后的加密密钥可存储在非易失性存储介质210的特定存储区域中。在此情况下,必须在首先获得用户提供的信息的情况下读取加密密钥。
[0060]在图2中,名称“MEK”指示对数据进行加密所需的介质加密密钥;名称“KEK”指示对介质加密密钥MEK进行加密所需的密钥加密密钥。使用另一密钥(例如,密码的散列(hash))对密钥加密密钥KEK进行加密,加密后的介质加密密钥可存储在非易失性存储介质210中。因此,认证密钥(即,认证所需的秘密信息)可以是从与用户认证关联的模式识另IJ、生物识别的结果、PIN、密码等获得的数据。
[0061]如图2中所示,使用介质加密密钥MEK对数据进行加密,并且,为了增加保护,使用密钥加密密钥KEK对介质加密密钥MEK进行加密。可通过主机100和信息存储装置200之间的认证来执行这种加密。例如,当从主机100提供的认证密钥被确定为有效时,信息存储装置200允许对非易失性存储介质210的访问。此结果与以上描述的“认证状态”相应。在认证状态下,可使用仅存在于信息存储装置200上的加密密钥对从主机100提供的数据进行加密/解密。
[0062]然而,当从主机100提供的认证密钥被确定为无效时,由主机100对在信息存储装置200的指定的临时存储区域之外的存储区域中存储的数据的访问被禁止。由于在信息存储装置200的驱动级别(即,功能启动级别)提供这种数据安全特征,因此更好地保护由信息存储装置200存储的数据。换句话说,在与主机100连接的信息存储装置200上首先执行认证操作,并且,作为确定认证操作有效的结果,信息存储装置200处理主机100的访问。因此,相应的认证密钥充当在根据本发明构思的实施例实现的SED中的信息存储装置200上安装的操作防火墙。
[0063]图3是进一步示出由根据本发明构思的实施例的图1的用户装置I执行写入操作