数据保护方法、存储器控制电路单元及存储器存储装置的制造方法

数据保护方法、存储器控制电路单元及存储器存储装置的制造方法
【专利摘要】本发明提供一种数据保护方法、存储器控制电路单元及存储器存储装置。数据保护方法包括：通过无线通信网络与电子装置建立安全通道；通过建立在无线通信网络上的安全通道取得识别码；使用识别码来获取加解密金钥并且将加解密金钥存储于缓冲存储器中；使用加解密金钥解码从可复写式非易失性存储器模块中读取的数据，其中可复写式非易失性存储器模块的数据以加解密金钥来被加密；检测是否从建立于无线通信网络上的安全通道接收到来自于电子装置的确认信号；倘若在预定时间内未接收到来自于电子装置的确认信号，清除存储于缓冲存储器中的加解密金钥。
【专利说明】
数据保护方法、存储器控制电路单元及存储器存储装置
技术领域
[0001]本发明是有关于一种用于可复写式非易失性存储器模块的数据保护方法、存储器控制电路单元及存储器存储装置。
【背景技术】
[0002]U盘是一种数据存储设备，其一般是以快闪存储器作为存储媒体。快闪存储器是一种电气抹除式可编程只读存储器(Electrically Erasable Programmable Read OnlyMemory,简称EEPROM)，其具有可写入、可抹除、以及断电后仍可保存数据的优点。此外，快闪存储器为非易失性存储器(Non-Volatile Memory)的一种，其具有体积小、存取速度快、耗电量低的优点，且因其数据抹除(Erasing)时是采用“一次一个块”(Block by Block)的抹除方式，所以具有操作速度快的优点。由于U盘体积小容量大且携带方便，因此已广泛用于个人数据的存储。然而，当U盘不小心遗失时，其所存储的大量数据也可能随之被盗用。
[0003]为了解决以上问题，厂商开发了无线相容认证(Wireless Fidelity，简称WiFi)U盘及安全数字(Secure Digital，简称SD)卡、W1-Fi无线读卡机或无线外接式硬盘盒等产品，其可设立个人W1-Fi保护存取(W1-Fi Protected Access Personal，简称WPA-Personal)等安全机制，但在此机制中各装置之间都是使用共享金钥方式来进行连线，因此每位在分享网络的用户都可在连线中窃取或窜改他人数据。基于上述，如何在无线通信网络环境下确保存储器存储装置的安全性是本领域中待解决的问题。

【发明内容】

[0004]本发明提供一种数据保护方法、存储器控制电路单元及存储器存储装置，其利用建立于无线通信网络的安全通道传输识别码，并使用识别码产生加解密金钥来读取存储器存储装置，以提高存储器存储装置的安全性。
[0005]本发明的一范例实施例提出一种数据保护方法，用于保护存储器存储装置中可复写式非易失性存储器模块的数据。本数据保护方法包括:通过无线通信网络与电子装置建立安全通道。本方法还包括:通过建立于无线通信网络上的安全通道取得识别码。本方法还包括:使用识别码来获取加解密金钥并且将加解密金钥存储于缓冲存储器中。本方法还包括:使用加解密金钥解码从可复写式非易失性存储器模块中读取的数据，其中可复写式非易失性存储器模块的数据以加解密金钥来被加密。本方法还包括:检测是否从建立于无线通信网络上的安全通道接收到来自于电子装置的确认信号。本方法还包括:倘若在预定时间内未接收到来自于电子装置的确认信号，清除存储于缓冲存储器中的加解密金钥。
[0006]在本发明的一实施例中，上述数据保护方法还包括:在清除存储于缓冲存储器中的加解密金钥之后，将存储器存储装置设定为无媒体状态。
[0007]在本发明的一实施例中，上述通过建立于无线通信网络上的安全通道取得识别码的步骤包括:通过建立于无线通信网络上的安全通道取得从电子装置输入的识别码，其中电子装置为手持电子装置。
[0008]在本发明的一实施例中，上述通过建立于无线通信网络上的安全通道取得识别码的步骤包括:通过建立于无线通信网络上的安全通道取得电子装置产生的识别码，其中电子装置为服务器并电性连接至无线网络存取点。
[0009]在本发明的一实施例中，其中无线通信网络为蓝牙网络、无线相容性认证网络、近场通信网络或无线射频识别网络。
[0010]在本发明的一实施例中，上述使用识别码来获取加解密金钥并且将加解密金钥存储于缓冲存储器中的步骤包括:在可复写式非易失性存储器模块中存储个人识别码信息摘要及密钥。上述步骤还包括:使用单向杂凑函数产生对应识别码的信息摘要。上述步骤还包括:判断信息摘要与个人识别码信息摘要是否相符，其中当信息摘要及个人识别码信息摘要相符时，依据识别码使用加解密函数解码密钥以获得加解密金钥。
[0011]在本发明的一实施例中，上述在可复写式非易失性存储器模块中存储个人识别码信息摘要及密钥的步骤包括:初始地通过单向杂凑函数依据个人识别码产生个人识别码信息摘要。上述步骤还包括:初始地依据个人识别码使用加解密函数加密加解密金钥以产生密钥。
[0012]在本发明的一实施例中，上述初始地依据个人识别码使用加解密函数加密加解密金钥以产生密钥的步骤包括:初始地以随机方式产生加解密金钥。
[0013]在本发明的一实施例中，上述使用加解密金钥解码从可复写式非易失性存储器模块中读取的数据的步骤包括:依据加解密金钥使用加解密函数解码从可复写式非易失性存储器模块中读取的数据，其中可复写式非易失性存储器模块的数据依据加解密金钥使用加解密函数被加密。
[0014]本发明的一范例实施例提出一种存储器控制电路单元，用于控制可复写式非易失性存储器模块，其包括主机接口、存储器接口、存储器管理电路及无线通信接口。主机接口电性连接至主机系统。存储器接口电性连接至可复写式非易失性存储器模块。存储器管理电路电性连接至主机接口及存储器接口。无线通信接口电性连接至存储器管理电路。其中存储器控制电路单元通过无线通信接口以无线通信网络与电子装置建立安全通道。其中无线通信接口通过建立于无线通信网络上的安全通道取得识别码。其中存储器管理电路使用识别码来获取加解密金钥并且将加解密金钥存储于缓冲存储器中。其中存储器管理电路使用加解密金钥解码从可复写式非易失性存储器模块中读取的数据，其中可复写式非易失性存储器模块的数据以加解密金钥来被加密。其中无线通信接口检测是否从建立于无线通信网络上的安全通道接收到来自于电子装置的确认信号。其中，倘若无线通信接口在预定时间内未接收到来自于电子装置的确认信号，存储器管理电路清除存储于缓冲存储器中的加解密金钥。
[0015]在本发明的一实施例中，上述存储器管理电路在存储器管理电路清除存储于缓冲存储器中的加解密金钥之后，当存储器管理电路接收到主机系统的存取信号时，存储器管理电路传送无媒体信号到主机系统。
[0016]在本发明的一实施例中，上述无线通信网络为蓝牙网络、无线相容性认证网络、近场通信网络或无线射频识别网络。
[0017]在本发明的一实施例中，上述存储器管理电路在可复写式非易失性存储器模块中存储个人识别码信息摘要及密钥。上述存储器管理电路还使用单向杂凑函数产生对应识别码的信息摘要。上述存储器管理电路还判断信息摘要与个人识别码信息摘要是否相符，其中当信息摘要及个人识别码信息摘要相符时，存储器管理电路依据识别码使用加解密函数解码密钥以获得加解密金钥。
[0018]在本发明的一实施例中，上述存储器管理电路初始地依据个人识别码使用加解密函数加密加解密金钥以产生密钥。
[0019]本发明的一范例实施例提出一种存储器存储装置，其包括连接接口单元、可复写式非易失性存储器模块、存储器控制电路单元及无线通信接口。连接接口单元电性连接至主机系统。存储器控制电路单元电性连接至连接接口单元及可复写式非易失性存储器模块。无线通信接口电性连接至存储器控制电路单元。其中存储器控制单元通过无线通信接口以无线通信网络与电子装置电子装置建立安全通道。其中存储器控制电路单元通过建立于无线通信网络上的安全通道取得识别码。其中存储器控制电路单元使用识别码来获取加解密金钥并且将加解密金钥存储于缓冲存储器中。其中存储器控制电路单元使用加解密金钥解码从可复写式非易失性存储器模块中读取的数据，其中可复写式非易失性存储器模块的数据以加解密金钥来被加密。其中存储器控制电路单元检测是否从建立于无线通信网络上的安全通道接收到来自于电子装置的确认信号。其中，倘若存储器控制电路单元在预定时间内未接收到来自于电子装置的确认信号，存储器控制电路单元清除存储于缓冲存储器中的加解密金钥。
[0020]在本发明的一实施例中，上述存储器控制电路单元在存储器控制电路单元清除存储于缓冲存储器中的加解密金钥之后，当存储器控制电路单元接收到主机系统的存取信号时，存储器控制电路单元传送无媒体信号到主机系统。
[0021 ] 在本发明的一实施例中，上述存储器控制电路单元通过建立于无线通信网络上的安全通道取得从电子装置输入的识别码，其中电子装置为手持电子装置。
[0022]在本发明的一实施例中，上述存储器控制电路单元通过建立于无线通信网络上的安全通道取得电子装置产生的识别码，其中电子装置为服务器并电性连接至无线网络存取点。
[0023]在本发明的一实施例中，上述无线通信网络为蓝牙网络、无线相容性认证网络、近场通信网络或无线射频识别网络。
[0024]在本发明的一实施例中，上述存储器控制电路单元在可复写式非易失性存储器模块中存储个人识别码信息摘要及密钥。上述存储器控制电路单元还使用单向杂凑函数产生对应识别码的信息摘要。上述存储器控制电路单元还判断信息摘要与个人识别码信息摘要是否相符，其中当信息摘要及个人识别码信息摘要相符时，存储器管理电路依据识别码使用加解密函数解码密钥以获得加解密金钥。
[0025]在本发明的一实施例中，上述存储器控制电路单元初始地依据个人识别码使用加解密函数加密加解密金钥以产生密钥。
[0026]在本发明的一实施例中，上述存储器控制电路单元初始地以随机方式产生加解密金钥。
[0027]在本发明的一实施例中，上述存储器控制电路单元依据加解密金钥使用加解密函数解码从复写式非易失性存储器模块中读取的数据，其中可复写式非易失性存储器模块的数据依据加解密金钥使用加解密函数被加密。
[0028]基于上述，本发明的数据保护方法通过建立于无线通信网络上的安全通道从电子装置取得识别码，使用识别码与预先存储于存储器存储装置中的密钥获取加解密金钥，并使用加解密金钥解码存储器存储装置的数据。若在预定时间内没有从安全通道接收到确认信号，可判断存储器存储装置已远离电子装置，则清除加解密金钥，并将存储器存储装置设定为无媒体状态。
[0029]为让本发明的上述特征和优点能更明显易懂，下文特举实施例，并配合附图作详细说明如下。
【附图说明】
[0030]图1是根据本发明一范例实施例所示出的主机系统、存储器存储装置及电子装置；
[0031]图2是根据本发明一范例实施例所示出的主机系统与输入/输出装置的示意图；
[0032]图3是根据本发明一范例实施例所示出的主机系统与存储器存储装置的示意图；
[0033]图4是示出图1所示的存储器存储装置的概要方块图；
[0034]图5是根据本发明一范例实施例所示出的存储器控制电路单元的概要方块图；
[0035]图6是根据本发明一范例实施例所示出的数据保护方法的流程图；
[0036]图7是根据本发明另一范例实施例所示出的数据保护方法的流程图。
[0037]附图标记说明:
[0038]1000:主机系统；
[0039]1100:计算机；
[0040]1102:微处理器；
[0041 ] 1104:随机存取存储器；
[0042]1106:输入/输出装置；
[0043]1108:系统总线；
[0044]1110:数据传输接口；
[0045]1202:鼠标；
[0046]1204:键盘；
[0047]1206:显示器；
[0048]1208:打印机；
[0049]1212:U 盘；
[0050]1214:存储卡；
[0051]1216:固态硬盘；
[0052]1310:数码相机；
[0053]1312:SD 卡；
[0054]1314:MMC 卡；
[0055]1316:记忆棒；
[0056]1318:CF 卡；
[0057]1320:嵌入式存储装置；
[0058]2000:电子装置；
[0059]100:存储器存储装置；
[0060]102:连接接口单元；
[0061]104:存储器控制电路单元；
[0062]106:可复写式非易失性存储器模块；
[0063]108:无线通信接口；
[0064]410(0)?410 (N):实体抹除单元；
[0065]202:存储器管理电路；
[0066]204:主机接口；
[0067]206:存储器接口；
[0068]252:缓冲存储器；
[0069]254:电源管理电路；
[0070]256:错误检查与校正电路；
[0071]S602、S604、S606、S608、S610、S612、S702、S704、S706、S708、S710、S712、S714、S716:步骤。
【具体实施方式】
[0072]—般而言，存储器存储装置(也称，存储器存储系统)包括可复写式非易失性存储器模块与控制器(也称，控制电路)。通常存储器存储装置是与主机系统一起使用，以使主机系统可将数据写入至存储器存储装置或从存储器存储装置中读取数据。
[0073]图1是根据本发明一范例实施例所示出的主机系统、存储器存储装置及电子装置。图2是根据本发明一范例实施例所示出的主机系统与输入/输出装置的示意图
[0074]请参照图1，电子装置2000可为手机、平板计算机等可携式电子装置，通过无线网络与存储器存储装置100进行无线通信。电子装置2000也可为服务器，通过无线网络存取点与存储器存储装置100进行无线通信。然而，本发明并不以此为限，电子装置2000也可为其他具有无线通信网络功能的装置，通过无线网络与存储器存储装置100进行无线通信。
[0075]主机系统1000 —般包括计算机1100与输入/输出(input/output,简称I/O)装置1106。计算机1100包括微处理器1102、随机存取存储器(random access memory,简称RAM) 1104、系统总线1108与数据传输接口 1110。输入/输出装置1106包括如图2的鼠标1202、键盘1204、显示器1206与打印机1208。必须了解的是，图2所示的装置非限制输入/输出装置1106，输入/输出装置1106可还包括其他装置。
[0076]在一范例实施例中，存储器存储装置100是通过数据传输接口 1110与主机系统1000的其他元件电性连接。通过微处理器1102、随机存取存储器1104与输入/输出装置1106的运作可将数据写入至存储器存储装置100或从存储器存储装置100中读取数据。例如，存储器存储装置100可以是如图2所示的U盘1212、存储卡1214或固态硬盘(SolidState Drive,简称SSD) 1216等的可复写式非易失性存储器存储装置。
[0077]图3是根据本发明一范例实施例所示出的主机系统与存储器存储装置的示意图。
[0078]—般而言，主机系统1000为可实质地与存储器存储装置100配合以存储数据的任意系统。虽然在本范例实施例中，主机系统1000是以计算机系统来作说明，然而，在另一范例实施例中，主机系统1000可以是数码相机、摄影机、通信装置、音频播放器或视频播放器等系统。例如，在主机系统为数码相机(摄影机)1310时，可复写式非易失性存储器存储装置则为其所使用的安全数码(Secure Digital,简称SD)卡1312、多媒体存储卡(MultiMedia Card,简称 MMC) 1314、记忆棒(memory stick) 1316、小型快闪(Compact Flash, CF)卡1318或嵌入式存储装置1320(如图3所示)。嵌入式存储装置1320包括嵌入式多媒体卡(Embedded MMC,简称eMMC)。值得一提的是，嵌入式多媒体卡是直接电性连接在主机系统的基板上。
[0079]图4是示出图1所示的存储器存储装置的概要方块图。
[0080]请参照图4，存储器存储装置100包括连接接口单元102、存储器控制电路单元104、可复写式非易失性存储器模块106与无线通信接口 108。在本范例实施例中，存储器存储装置100为U盘。但必须了解的是，在另一范例实施例中，存储器存储装置100也可以是存储卡或固态硬盘(Solid State Drive,简称SSD)。
[0081]在本范例实施例中，连接接口单元102是相容于通用串行总线(Universal SerialBus,简称USB)标准。然而，必须了解的是，本发明不限于此，连接接口单元102也可以是符合并行高级技术附件(Parallel Advanced Technology Attachment,简称 PATA)标准、电气和电子工程师协会(Institute of Electrical and Electronic Engineers,简称IEEE) 1394标准、高速外设互联接口(Peripheral Component Interconnect Express,简称PCI Express)标准、串行高级技术附件(Serial Advanced Technology Attachment,简称SATA)标准、超高速一代(Ultra High Speed-1,简称UHS-1)接口标准、超高速二代(UltraHigh Speed-1I,简称UHS-1I)接口标准、安全数码(Secure Digital,简称SD)接口标准、记忆棒(Memory Stick,简称MS)接口标准、多媒体存储卡(Multi Media Card,简称MMC)接口标准、小型快闪(Compact Flash,简称CF)接口标准、整合式驱动电子接口(IntegratedDevice Electronics,简称IDE)标准或其他适合的标准。在本范例实施例中，连接接口单元102可与存储器控制电路单元104封装在一个芯片中，或布设于一包含存储器控制电路单元104的芯片外。
[0082]存储器控制电路单元104用以执行以硬件形式或固件形式实作的多个逻辑门或控制指令，并且根据主机系统1000的指令在可复写式非易失性存储器模块106中进行数据的写入、读取与抹除等操作。
[0083]可复写式非易失性存储器模块106是电性连接至存储器控制电路单元104，并且用以存储主机系统1000所写入的数据。可复写式非易失性存储器模块106具有实体抹除单元410(0)?410 (N)。例如，实体抹除单元410 (0)?410 (N)可属于同一个存储器晶粒(die)或者属于不同的存储器晶粒。每一实体抹除单元分别具有复数个实体程序化单元，并且属于同一个实体抹除单元的实体程序化单元可被独立地写入且被同时地抹除。例如，每一实体抹除单元是由128个实体程序化单元所组成。然而，必须了解的是，本发明不限于此，每一实体抹除单元是可由64个实体程序化单元、256个实体程序化单元或其他任意个实体程序化单元所组成。
[0084]更具体来说，每一个实体抹除单元包括多条字符线与多条比特线，每一条字符线与每一条比特线交叉处配置有一个存储单元。每一个存储单元可存储一或多个比特。在同一个实体抹除单元中，所有的存储单元会一起被抹除。在此范例实施例中，实体抹除单元为抹除的最小单位。也即，每一实体抹除单元含有最小数目之一并被抹除的存储单元。例如，实体抹除单元为实体块。另一方面，同一个字符线上的存储单元会组成一或多个实体程序化单元。若每一个存储单元可存储2个以上的比特，则同一个字符线上的实体程序化单元可被分类为下实体程序化单元与上实体程序化单元。一般来说，下实体程序化单元的写入速度会大于上实体程序化单元的写入速度。在此范例实施例中，实体程序化单元为程序化的最小单元。即，实体程序化单元为写入数据的最小单元。例如，实体程序化单元为实体页面或是实体扇(sector)。若实体程序化单元为实体页面，则每一个实体程序化单元通常包括数据比特区与冗余比特区。数据比特区包含多个实体扇，用以存储用户的数据，而冗余比特区用以存储系统的数据(例如，错误更正码)。在本范例实施例中，每一个数据比特区包含32个实体扇，且一个实体扇的大小为512比特组(byte，简称B)。然而，在其他范例实施例中，数据比特区中也可包含8个、16个或数目更多或更少的实体扇，本发明并不限制实体扇的大小以及个数。
[0085]在本范例实施例中，可复写式非易失性存储器模块106为多层存储单元(MultiLevel Cell,简称MLC)NAND型快闪存储器模块，即一个存储单元中可存储至少2个比特。然而，本发明不限于此，可复写式非易失性存储器模块106也可是单层存储单元(SingleLevel Cell,简称SLC) NAND型快闪存储器模块、复数层存储单元(Trinary Level Cell,简称TLC)NAND型快闪存储器模块、其他快闪存储器模块或其他具有相同特性的存储器模块。
[0086]无线通信接口 108电性连接至存储器控制电路单元104并且具有短距离无线通信功能。无线通信接口 108可以是支援蓝牙(Bluetooth)、无线相容性认证(WirelessFidelity，简称 WiFi)、近场通信(Near Field Communicat1n，简称 NFC)、无线射频识别(Rad1 Frequency Identificat1n，简称RFID)等短距离无线通信功能的通信芯片。
[0087]图5是根据本发明一范例实施例所示出的存储器控制电路单元的概要方块图。
[0088]请参照图5，存储器控制电路单元104包括存储器管理电路202、主机接口 204及存储器接口 206。
[0089]存储器管理电路202用以控制存储器控制电路单元104的整体运作。具体来说，存储器管理电路202具有多个控制指令，并且在存储器存储装置100运作时，此些控制指令会被执行以进行数据的写入、读取与抹除等操作。以下说明存储器管理电路202的操作时，等同于说明存储器控制电路单元104的操作，以下并不再赘述。
[0090]在一范例实施例中，存储器管理电路202的控制指令是以固件形式来实作。例如，存储器管理电路202具有微处理器单元(未示出)、只读存储器(未示出)及随机存取存储器(未示出)，并且此些控制指令是被烧录至此只读存储器中。当存储器存储装置100运作时，此些控制指令会由微处理器单元来执行以进行数据的写入、读取与抹除等运作。
[0091]在另一范例实施例中，存储器管理电路202的控制指令也可以程序码形式存储于可复写式非易失性存储器模块106的特定区域(例如，可复写式非易失性存储器模块中专用于存放系统数据的系统区)中。此外，存储器管理电路202具有微处理器单元(未示出)、只读存储器(未示出)及随机存取存储器(未示出)。特别是，此只读存储器具有开机码(boot code)，并且当存储器控制电路单元104被触发时，微处理器单元会先执行此开机码来将存储于可复写式非易失性存储器模块106中的控制指令载入至存储器管理电路202的随机存取存储器中。之后，微处理器单元会运转此些控制指令以进行数据的写入、读取与抹除等运作。
[0092]此外，在另一范例实施例中，存储器管理电路202的控制指令也可以一硬件形式来实作。例如，存储器管理电路202包括微控制器、存储器管理单元、存储器写入单元、存储器读取单元、存储器抹除单元与数据处理单元。存储器管理单元、存储器写入单元、存储器读取单元、存储器抹除单元与数据处理单元是电性连接至微控制器。其中，存储器管理单元用以管理可复写式非易失性存储器模块106的实体抹除单元；存储器写入单元用以对可复写式非易失性存储器模块106下达写入指令以将数据写入至可复写式非易失性存储器模块106中；存储器读取单元用以对可复写式非易失性存储器模块106下达读取指令以从可复写式非易失性存储器模块106中读取数据；存储器抹除单元用以对可复写式非易失性存储器模块106下达抹除指令以将数据从可复写式非易失性存储器模块106中抹除；而数据处理单元用以处理欲写入至可复写式非易失性存储器模块106的数据以及从可复写式非易失性存储器模块106中读取的数据。
[0093]主机接口 204是电性连接至存储器管理电路202并且用以接收与识别主机系统1000所传送的指令与数据。也就是说，主机系统1000所传送的指令与数据会通过主机接口204来传送至存储器管理电路202。在本范例实施例中，主机接口 204是相容于USB标准。然而，必须了解的是本发明不限于此，主机接口 204也可以是相容于PATA标准、IEEE 1394标准、PCI Express标准、SATA标准、SD标准、UHS-1标准、UHS-1I标准、MS标准、MMC标准、eMMC标准、UFS标准、CF标准、IDE标准或其他适合的数据传输标准。
[0094]存储器接口 206是电性连接至存储器管理电路202并且用以存取可复写式非易失性存储器模块106。也就是说，欲写入至可复写式非易失性存储器模块106的数据会通过存储器接口 206转换为可复写式非易失性存储器模块106所能接受的格式。
[0095]缓冲存储器252是电性连接至存储器管理电路202并且用以暂存来自于主机系统1000的数据与指令或来自于可复写式非易失性存储器模块106的数据。
[0096]在一范例实施例中，存储器管理电路202会通过无线通信接口 108与电子装置2000(例如，用户的手机)建立安全通道。例如，在无线通信接口 108是支援蓝牙规范的例子中，此安全通道可通过无线通信接口 108传输蓝牙配对密码并通过电子装置2000确认后而建立。
[0097]存储器管理电路202还可通过无线通信接口 108从建立于蓝牙通信的安全通道取得识别码。在此，识别码可为用户识别码、用户密码、手机识别码或手机密码等的其中之一或其组合，并可由用户通过电子装置2000自行输入，但本发明并不以此为限。识别码也可以是通过电子装置2000上的应用程序自动输入。
[0098]当存储器管理电路202取得识别码时，存储器管理电路202可使用识别码来获取加解密金钥，并且将加解密金钥存储于缓冲存储器252中。详细来说，可复写式非易失性存储器模块106中会存储个人识别码信息摘要(personal identificat1n number messagedigest)及密钥(encrypted key)。存储器管理电路202具有一单向杂凑函数，并可利用此单向杂凑函数计算出对应上述识别码的信息摘要(message digest)。在本范例实施例中，上述单向杂凑函数是利用SHA-256来被实作在存储器管理电路202中。然而，本发明并不以此为限。在本发明另一范例实施例中，存储器管理电路202中的单向杂凑函数也可以由MD5、RIPEMD-160、SHAU SHA-386、SHA-512或其他适合的函数来实作。之后，存储器管理电路202会将所计算出的信息摘要与可复写式非易失性存储器模块106中所存储的个人识别码信息摘要进行比对，若所计算出的信息摘要与可复写式非易失性存储器模块106中所存储的个人识别码信息摘要相符时，则存储器管理电路202会根据此识别码，使用加解密函数解码密钥以获得加解密金钥。在存储器管理电路202获得加解密金钥之后，便可利用加解密金钥解码从可复写式非易失性存储器模块106中读取的数据。类似地，在存储器管理电路202获得加解密金钥之后，便可利用加解密金钥加密欲写入可复写式非易失性存储器模块106中数据。
[0099]在本范例实施例中，存储器管理电路202中的加解密函数是以高级加密标准(Advanced Encrypt1n Standard,简称AES) 128来实作，然而，本发明并不以此为限。在本发明另一范例实施例中也可使用AES256或数据加密标准(Data Encrypt1n Standard,简称DES)来实作存储器管理电路202中的加解密函数。
[0100]值得一提的是，存储在可复写式非易失性存储器模块106中的个人识别码信息摘要是通过此存储器存储装置100的用户设定个人识别码，并且利用上述单向杂凑函数所产生。例如，在此存储器存储装置100出厂时会由制造商预存一组个人识别码信息摘要，并且制造商会将此个人识别码信息摘要对应的个人识别码提供给用户。之后，用户可使用制造商所提供的个人识别码成功地通过存储器存储装置100的验证。此外，当用户重新设定一组新个人识别码时，存储器管理电路202会根据用户的新个人识别码以单向杂凑函数来重新计算一组新个人识别码信息摘要，并且将新个人识别码信息摘要存储在可复写式非易失性存储器模块106中以取代原始的个人识别码信息摘要。之后，存储器管理电路202会使用最新的个人识别码信息摘要来验证用户所输入的识别码。
[0101]另外，加解密金钥会在存储器存储装置100出厂时，通过一乱数产生器(未示出)以一随机方式产生。特别是，存储器管理电路202会依据个人识别码使用加解密函数来加密此加解密金钥，并且将加密此加解密金钥所获得的密钥存储于存储器存储装置100中。因此，当识别码通过上述验证时，此识别码即可正确地解码存储在存储器存储装置100中的密钥，而获取此加解密金钥。
[0102]在本范例实施例中，在存储器管理电路202通过无线通信接口 108与电子装置2000建立安全通道之后，存储器存储装置100可每隔一段预定时间，例如5秒，发送一个轮询(polling)信号给电子装置2000，当电子装置2000收到轮询信号时，则会回传一个确认(ack)信号给存储器存储装置100，以确认电子装置2000与存储器存储装置100的无线连线状况。只要存储器存储装置100在此环境中定期接收到电子装置2000回应轮询信号的确认信号，存储器管理电路202便可利用加解密金钥来存取可复写式非易失性存储器模块106。
[0103]反之，当存储器存储装置100离开此环境时，若存储器存储装置100在一预定时间都没收到电子装置2000回应轮询信号的确认信号，存储器管理电路202会清除缓冲存储器252中的加解密金钥并且将存储器存储装置100设定为无媒体状态。具体来说，当存储器存储装置100被设定为无媒体状态时，若存储器管理电路202接收到主机系统1000所传送的存取信号，存储器管理电路202会回应一个无媒体信号给主机系统1000，使得主机系统1000无法识别或存取存储器存储装置100，也就是说，主机系统1000的作业系统会判断存储器存储装置100处于中断连结的状态。如此一来，他人难以取得可复写式非易失性存储器模块106中的数据，即使取得了其中数据，由于加解密金钥已从缓冲存储器252中删除，因此他人也无法解码可复写式非易失性存储器模块106中经过加密的数据。
[0104]虽然以上说明了通过用户从电子装置2000输入识别码，并通过蓝牙无线通信网络传送识别码以确保存储器存储装置100的安全性，但本发明并不以此为限。在另一范例实施例中，存储器存储装置100可利用存储于其中的个人识别码信息摘要登录一个存取点(AP)的W1-Fi无线通信网络环境，在本实施例中，电子装置2000可为连接到存取点的服务器。在存储器存储装置100以个人识别码信息摘要登录W1-Fi之后，服务器可搜索对应个人识别码信息摘要的一识别码，并将该识别码通过存取点传送给存储器存储装置100。存储器存储装置100接收识别码并以单项杂凑函数产生对应识别码的信息摘要。若此信息摘要相同于存储在存储器存储装置100个人识别码信息摘要，则此识别码即可正确地解码存储在存储器存储装置100中的密钥，从而获取加解密金钥。因此，用户可通过加解密金钥存取存储器存储装置100。
[0105]在又一范例实施例中，存储器存储装置100可利用预设的登录码登录存取点。在此，电子装置2000可为连接到存取点的服务器。在存储器存储装置100成功登录存取点并建立W1-Fi网络连线之后，用户可直接在存取点利用输入装置输入识别码，使得识别码通过存取点传送到存储器存储装置100。接着，存储器存储装置100可接收识别码并以单项杂凑函数产生对应识别码的信息摘要。若此信息摘要相同于存储在存储器存储装置100个人识别码信息摘要，则此识别码即可正确地解码存储在存储器存储装置100中的密钥，从而获取加解密金钥。因此，用户可通过加解密金钥存取存储器存储装置100。
[0106]值得注意的是，当存储器存储装置100进入上述W1-Fi无线通信网络环境时，可同时从电子装置2000取得一把数据传输金钥，以对此无线通信网络环境中传输或接收的数据进行加密或解密。举例来说，当存储器存储装置100成功登录上述W1-Fi无线通信网络环境时，存储器存储装置100可从电子装置2000接收一把数据传输金钥并将其存储于缓冲存储器252中。电子装置2000在传输识别码之前会先利用数据传输金钥加密。当存储器存储装置100接收到电子装置2000在W1-Fi环境中传送的数据，也就是通过数据传输金钥所加密的识别码时，存储器存储装置100可利用缓冲存储器252中的数据传输金钥解密数据以取得识别码。
[0107]在本发明一范例实施例中，存储器控制电路单元104还包括电源管理电路254与错误检查与校正电路256。
[0108]电源管理电路254是电性连接至存储器管理电路202并且用以控制存储器存储装置100的电源。
[0109]错误检查与校正电路256是电性连接至存储器管理电路202并且用以执行错误检查与校正程序以确保数据的正确性。具体来说，当存储器管理电路202从主机系统1000中接收到写入指令时，错误检查与校正电路256会为对应此写入指令的数据产生对应的错误更正码(Error Correcting Code,简称ECC)，并且存储器管理电路202会将对应此写入指令的数据与对应的错误更正码写入至可复写式非易失性存储器模块106中。之后，当存储器管理电路202从可复写式非易失性存储器模块106中读取数据时会同时读取此数据对应的错误更正码，并且错误检查与校正电路256会依据此错误更正码对所读取的数据执行错误检查与校正程序。
[0110]图6是根据本发明一范例实施例所示出的数据保护方法的流程图。
[0111]请参照图6，在步骤S602中，存储器管理电路202会通过无线通信接口 108与电子装置2000建立安全通道，此安全通道可通过无线通信接口 108传输无线网络配对识别码并通过电子装置2000确认后而建立。
[0112]在建立存储器存储装置100与电子装置之间的安全通道之后，进入步骤S604中，存储器管理电路202通过无线通信接口 108从安全通道取得识别码。在此，识别码可以是用户通过电子装置2000自行输入或是通过电子装置2000上的应用程序自动输入。
[0113]在步骤S606中，存储器管理电路202使用识别码来获取加解密金钥，并将加解密金钥存储于缓冲存储器252中。
[0114]在存储器管理电路202获取加解密金钥之后，会进入步骤S608，使用加解密金钥与加解密函数来存取可复写式非易失性存储器模块106中的数据。详细来说，当用户欲写入数据到可复写式非易失性存储器模块106时，存储器管理电路202可根据加解密金钥使用高级加密标准(AES)对写入数据加密，接着再将加密过的数据写入可复写式非易失性存储器模块106。同理，当用户欲从可复写式非易失性存储器模块106读取数据时，存储器管理电路202可根据加解密金钥使用高级加密标准(AES)对数据解密，接着再读取解密后的数据。值得注意的是，用户除了通过USB或SATA等有线接口存取可复写式非易失性存储器模块106中的数据，用户还可通过无线通信接口 108，从远端通过无线网络来存取可复写式非易失性存储器模块106中的数据。
[0115]在存储器管理电路202会通过无线通信接口 108与电子装置2000建立安全通道之后，电子装置2000会通过回应存储器存储装置100的轮询信号发送一个确认信号到存储器存储装置100，以确认电子装置2000与存储器存储装置100的无线连线状况。在步骤S610中，无线通信接口 108会检测是否从建立于无线通信网络上的安全通道接收到来自于电子装置2000的确认信号。若无线通信接口 108检测到确认信号，则回到步骤S608，继续存取可复写式非易失性存储器模块106中的数据。
[0116]倘若存储器存储装置100的无线通信接口 108超过一预定时间内，例如10秒，没有收到电子装置2000所传送的确认信号时，代表此电子装置2000已经不在无线通信接口108短距离通信的范围之内，则在步骤S612中，存储器管理电路202会清除缓冲存储器252中的加解密金钥，并且将存储器存储装置100设定为无媒体状态。具体来说，当存储器存储装置100被设定为无媒体状态时，若存储器管理电路202接收到主机系统1000所传送的存取信号，存储器管理电路202会回应一个无媒体信号给主机系统1000，使得主机系统1000无法识别或存取存储器存储装置100，也就是说，主机系统1000的作业系统会判断存储器存储装置100处于中断连结的状态。如此一来，他人便难以取得可复写式非易失性存储器模块106中的数据，即使取得了其中数据，由于加解密金钥已从缓冲存储器252中删除，他人也无法解码可复写式非易失性存储器模块106中经过加密的数据。
[0117]图7是根据本发明另一范例实施例所示出的数据保护方法的流程图。
[0118]请参照图7，在步骤S702中，存储器管理电路202会通过无线通信接口 108与电子装置2000建立安全通道，此安全通道可通过无线通信接口 108传输无线网络配对密码并通过电子装置2000确认后而建立。
[0119]在建立存储器存储装置100与电子装置之间的安全通道之后，在步骤S704中，存储器管理电路202通过无线通信接口 108从安全通道取得识别码。在此，识别码可以是用户通过电子装置2000自行输入或是通过电子装置2000上的应用程序自动输入。
[0120]在步骤S706中，存储器管理电路202会利用杂凑函数对接收到的识别码作运算以产生对应的信息摘要，接着在步骤S708中，存储器管理电路202会判断上述信息摘要与个人识别信息摘要是否相符。在此，个人识别码信息摘要及密钥是预先存储在可复写式非易失性存储器模块106中，其中个人识别码信息摘要是初始地通过单向杂凑函数依据个人识别码产生，而密钥是初始地依据个人识别码，使用例如高级加密标准或数据加密标准等加解密函数，加密由随机方式产生的加解密金钥而产生。
[0121]若存储器管理电路202判断上述信息摘要与个人识别信息摘要不相符时，则回到步骤S704，以再一次从电子装置2000取得识别码。若存储器管理电路202判断上述信息摘要与个人识别信息摘要相符时，则在步骤S710中，存储器管理电路202依据识别码使用加解密函数解码密文以获得加解密金钥，并将加解密金钥存储于缓冲存储器252中。
[0122]获得加解密金钥之后，在步骤S712中，存储器管理电路202使用加解密金钥与加解密函数来存取可复写式非易失性存储器模块106中的数据。由于使用加解密金钥与加解密函数来存取可复写式非易失性存储器模块106中的数据的过程已在图6中说明过，因此不在赘述。
[0123]在存储器管理电路202通过无线通信接口 108与电子装置2000建立安全通道之后，电子装置2000会通过回应存储器存储装置100的轮询信号发送一个确认信号到存储器存储装置100，以确认电子装置2000与存储器存储装置100的无线连线状况。在步骤S714中，无线通信接口 108会检测是否从建立在无线通信网络上的安全通道接收到来自于电子装置2000的确认信号。若无线通信接口 108检测到确认信号时，则回到步骤S712，以继续存取可复写式非易失性存储器模块106中的数据。
[0124]倘若存储器存储装置100的无线通信接口 108超过一预定时间内，例如10秒，没有收到电子装置2000所传送的确认信号时，代表此电子装置2000已经不在无线通信接口108短距离无线通信网络的范围之内，则在步骤S716中，存储器管理电路202会清除缓冲存储器252中的加解密金钥并将存储器存储装置100设定为无媒体状态。具体来说，当存储器存储装置100被设定为无媒体状态时，若存储器管理电路202接收到主机系统1000所传送的存取信号，存储器管理电路202会回应一个无媒体信号给主机系统1000，使得主机系统1000无法识别或存取存储器存储装置100，也就是说，主机系统1000的作业系统会判断存储器存储装置100处于中断连结的状态。如此一来，他人便难以取得可复写式非易失性存储器模块106中的数据，即使取得了其中数据，由于加解密金钥已从缓冲存储器252中删除，他人也无法解码可复写式非易失性存储器模块106中经过加密的数据，从而达到保护存储装置中的数据的效果。
[0125]综上所述，本发明范例实施例的数据保护方法、存储器控制电路单元及存储器存储装置，建立存储器存储装置与电子装置之间的安全通道，且利用电子装置通过无线网络传送的识别码获得加解密金钥以存取可复写式非易失性存储器模块。当一定时间内没有收到来自电子装置的确认信号时，存储器存储装置判断其已经不在电子装置的短距离无线通信网络的范围之内，并删除缓冲存储器中的加解密金钥。如此一来，存储器存储装置一旦远离用户的手持电子装置或不在特定的无线网络环境内就无法运作。即使存储器存储装置被他人持有，也因为加解密金钥已被删除，而无法解码可复写式非易失性存储器模块中经过加密的数据，从而确保存储器存储装置中数据的安全性。
[0126]最后应说明的是:以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【主权项】
1.一种数据保护方法，其特征在于，用于保护存储器存储装置中可复写式非易失性存储器模块的数据，该数据保护方法包括: 通过无线通信网络与电子装置建立安全通道； 通过建立于该无线通信网络上的该安全通道取得识别码； 使用该识别码来获取加解密金钥并且将该加解密金钥存储于缓冲存储器中； 使用该加解密金钥解码从该可复写式非易失性存储器模块中读取的数据，其中该可复写式非易失性存储器模块的数据以该加解密金钥来被加密； 检测是否从建立于该无线通信网络上的该安全通道接收到来自于该电子装置的确认信号；以及 倘若在预定时间内未接收到来自于该电子装置的该确认信号，清除存储于该缓冲存储器中的该加解密金钥。2.根据权利要求1所述的数据保护方法，其特征在于，还包括: 在清除存储于该缓冲存储器中的该加解密金钥之后，将该存储器存储装置设定为无媒体状态。3.根据权利要求1所述的数据保护方法，其特征在于，通过建立于该无线通信网络上的该安全通道取得该识别码的步骤包括: 通过建立于该无线通信网络上的该安全通道取得从该电子装置输入的该识别码，其中该电子装置为手持电子装置。4.根据权利要求1所述的数据保护方法，其特征在于，通过建立于该无线通信网络上的该安全通道取得该识别码的步骤包括: 通过建立于该无线通信网络上的该安全通道取得该电子装置产生的该识别码，其中该电子装置为服务器并电性连接至无线网络存取点。5.根据权利要求1所述的数据保护方法，其特征在于，该无线通信网络为蓝牙网络、无线相容性认证网络、近场通信网络或无线射频识别网络。6.根据权利要求1所述的数据保护方法，其特征在于，使用该识别码来获取该加解密金钥并且将该加解密金钥存储于该缓冲存储器中的步骤包括: 在该可复写式非易失性存储器模块中存储个人识别码信息摘要及密钥； 使用单向杂凑函数产生对应该识别码的信息摘要；以及 判断该信息摘要与该个人识别码信息摘要是否相符，其中当该信息摘要及该个人识别码信息摘要相符时，依据该识别码使用加解密函数解码该密钥以获得该加解密金钥。7.根据权利要求6所述的数据保护方法，其特征在于，还包括: 初始地通过该单向杂凑函数依据个人识别码产生该个人识别码信息摘要；以及 初始地依据该个人识别码使用该加解密函数加密该加解密金钥以产生该密钥。8.根据权利要求7所述的数据保护方法，其特征在于，初始地依据该个人识别码使用该加解密函数加密该加解密金钥以产生该密钥的步骤还包括: 初始地以随机方式产生该加解密金钥。9.根据权利要求1所述的数据保护方法，其特征在于，使用该加解密金钥解码从该可复写式非易失性存储器模块中读取的数据的步骤包括: 依据该加解密金钥使用加解密函数解码从该可复写式非易失性存储器模块中读取的数据，其中该可复写式非易失性存储器模块的数据依据该加解密金钥使用该加解密函数被加密。10.一种存储器控制电路单元，其特征在于，用于控制可复写式非易失性存储器模块，该存储器控制电路单元包括: 主机接口，电性连接至主机系统； 存储器接口，电性连接至该可复写式非易失性存储器模块；以及 存储器管理电路，电性连接至该主机接口及该存储器接口 ； 其中该存储器控制电路单元通过无线通信接口以无线通信网络与电子装置建立安全通道， 其中该无线通信接口通过建立于该无线通信网络上的该安全通道取得识别码， 其中该存储器管理电路使用该识别码来获取加解密金钥并且将该加解密金钥存储于缓冲存储器中， 其中该存储器管理电路使用该加解密金钥解码从该可复写式非易失性存储器模块中读取的数据，其中该可复写式非易失性存储器模块的数据以该加解密金钥来被加密， 其中该无线通信接口检测是否从建立于该无线通信网络上的该安全通道接收到来自于该电子装置的确认信号， 其中，倘若该无线通信接口在预定时间内未接收到来自于该电子装置的该确认信号，该存储器管理电路清除存储于该缓冲存储器中的该加解密金钥。11.根据权利要求10所述的存储器控制电路单元，其特征在于，在该存储器管理电路清除存储于该缓冲存储器中的该加解密金钥之后，当该存储器管理电路接收到该主机系统的存取信号时，该存储器管理电路传送无媒体信号到该主机系统。12.根据权利要求10所述的存储器控制电路单元，其特征在于，该无线通信网络为蓝牙网络、无线相容性认证网络、近场通信网络或无线射频识别网络。13.根据权利要求10所述的存储器控制电路单元，其特征在于，该存储器管理电路在该可复写式非易失性存储器模块中存储个人识别码信息摘要及密钥， 其中该存储器管理电路使用单向杂凑函数产生对应该识别码的信息摘要， 其中该存储器管理电路判断该信息摘要与该个人识别码信息摘要是否相符，其中当该信息摘要及该个人识别码信息摘要相符时，该存储器管理电路依据该识别码使用加解密函数解码该密钥以获得该加解密金钥。14.一种存储器存储装置，其特征在于，包括: 连接接口单元，电性连接至主机系统； 可复写式非易失性存储器模块； 存储器控制电路单元，电性连接至该连接接口单元及该可复写式非易失性存储器模块；以及 无线通信接口，电性连接至该存储器控制电路单元， 其中该存储器控制电路单元通过该无线通信接口以无线通信网络与电子装置建立安全通道， 其中该存储器控制电路单元通过建立于该无线通信网络上的该安全通道取得识别码， 其中该存储器控制电路单元使用该识别码来获取加解密金钥并且将该加解密金钥存储于缓冲存储器中， 其中该存储器控制电路单元使用该加解密金钥解码从该可复写式非易失性存储器模块中读取的数据，其中该可复写式非易失性存储器模块的数据以该加解密金钥来被加密， 其中该存储器控制电路单元检测是否从建立于该无线通信网络上的该安全通道接收到来自于该电子装置的确认信号， 其中，倘若该存储器控制电路单元在预定时间内未接收到来自于该电子装置的该确认信号，该存储器控制电路单元清除存储于该缓冲存储器中的该加解密金钥。15.根据权利要求14所述的存储器存储装置，其特征在于，该存储器控制电路单元清除存储于该缓冲存储器中的该加解密金钥之后，当该存储器控制电路单元接收到该主机系统的存取信号时，该存储器控制电路单元传送无媒体信号到该主机系统。16.根据权利要求14所述的存储器存储装置，其特征在于，该存储器控制电路单元通过建立于该无线通信网络上的该安全通道取得从该电子装置输入的该识别码，其中该电子装置为手持电子装置。17.根据权利要求14所述的存储器存储装置，其特征在于，该存储器控制电路单元通过建立于该无线通信网络上的该安全通道取得该电子装置产生的该识别码，其中该电子装置为服务器并电性连接至无线网络存取点。18.根据权利要求14所述的存储器存储装置，其特征在于，该无线通信网络为蓝牙网络、无线相容性认证网络、近场通信网络或无线射频识别网络。19.根据权利要求14所述的存储器存储装置，其特征在于，该存储器控制电路单元在该可复写式非易失性存储器模块中存储个人识别码信息摘要及密钥， 其中该存储器控制电路单元使用单向杂凑函数产生对应该识别码的信息摘要， 其中该存储器控制电路单元判断该信息摘要与该个人识别码信息摘要是否相符，其中当该信息摘要及该个人识别码信息摘要相符时，该存储器控制电路单元依据该识别码使用加解密函数解码该密钥以获得该加解密金钥。20.根据权利要求19所述的存储器存储装置，其特征在于，该存储器控制电路单元初始地通过该单向杂凑函数依据个人识别码产生该个人识别码信息摘要， 其中该存储器控制电路单元初始地依据该个人识别码使用该加解密函数加密该加解密金钥以产生该密钥。21.根据权利要求20所述的存储器存储装置，其特征在于，该存储器控制电路单元初始地以随机方式产生该加解密金钥。22.根据权利要求14所述的存储器存储装置，其特征在于，该存储器控制电路单元依据该加解密金钥使用加解密函数解码从该可复写式非易失性存储器模块中读取的数据，其中该可复写式非易失性存储器模块的数据依据该加解密金钥使用该加解密函数被加密。
【文档编号】H04L9/32GK105868643SQ201510024806
【公开日】2016年8月17日
【申请日】2015年1月19日
【发明人】伍汉维, 罗仁玮, 李乾辅, 许家荣
【申请人】群联电子股份有限公司