本发明专利技术公开一种芯片组以及主机控制器,其中包括一储存装置主控制器以及硬件实现的一加解密引擎。该储存装置主控制器自所接收的写入指令解析出写入指令信息,并将写入数据与所述写入指令信息传递至该加解密引擎。该加解密引擎将硬盘密钥与所述写入指令信息组合,以便加密所述写入数据,并将加密后的所述写入数据交由该储存装置主控制器透过一通讯端口写入一储存装置。
【技术实现步骤摘要】
本专利技术涉及计算机
,尤其涉及一种具有硬盘加密功能的芯片组以及主机控制器。
技术介绍
关于可卸式储存装置(以下称之为硬盘),数据加解密为保护用户数据安全性的常见方法。现有的硬盘加密技术通常是由软件(例如微软公司的Bitlock程序或者开源的Truecrypt程序等)在系统存储器中进行,或者是由储存装置的控制器在储存装置内部进行。上述硬盘加密技术的密钥会暴露在系统存储器中或连接储存装置的总线上,造成安全性下降。因此如何避免硬盘密钥暴露以及提升加密规则破解难度等,是本
亟待解决的重要课题。
技术实现思路
根据本专利技术一种实施方式所实现的一芯片组,包括一储存装置主控制器以及一加解密引擎;该储存装置主控制器控制一通讯端口与一储存装置之间的通讯;该加解密引擎为硬件,耦接该储存装置主控制器;该储存装置主控制器自所接收的写入指令解析出写入指令信息,并将写入数据与所述写入指令信息传递至该加解密引擎;该加解密引擎将一硬盘密钥与所述写入指令信息组合,以便加密所述写入数据,并将加密后的所述写入数据交由该储存装置主控制器透过该通讯端口写入该储存装置。在一种实施方式中,该储存装置主控制器还自所接收的读取指令解析出读取指令信息,并将取自该储存装置的未解密的读取数据与所述读取指令信息传递至该加解密引擎;该加解密引擎将所述硬盘密钥与所述读取指令信息组合,以便将未解密的所述读取数据解密,以交由该储存装置主控制器响应所述读取指令。一种实施方式中,所述写入指令信息包括所述写入指令所指示的逻辑地址以及扇区的数量,且所述读取指令信息包括所述读取指令所指示的逻辑地址以及扇区的数量。该加解密引擎是根据所述逻辑地址以所述扇区为单位作数据加解密。一种实施方式中,所述硬盘密钥来自一可信赖平台模块的一硬盘密钥供应硬件。该加解密引擎可遵循一密钥交换协议与该硬盘密钥供应硬件通讯以获得所述硬盘密钥,以维护硬盘密钥安全性。另一种实施方式中,该加解密引擎是与该硬盘密钥供应硬件封装在一起,有效避免硬盘密钥曝光于外部。另一种实施方式中,该加解密引擎是与该硬盘密钥供应硬件制作在同一芯片上,有效避免硬盘密钥曝光于外部。本专利技术更有一种实施方式,将所述储存装置主控制器以及加解密引擎实现在一主机控制器中,安装在主机端上。在本专利技术上述的芯片组及主机控制器将加解密引擎以硬件方式封闭于芯片组中,数据安全性大大提升。如果将该加解密引擎集成在主机控制器内部,进一步提升加解密的安全性。此外,本专利技术的芯片组及主机控制器中的加解密引擎在数据加解密时还考虑写入/读取指令信息,大大提升被破解的难度。下文特举实施例,并配合所附图示,详细说明本
技术实现思路
。【附图说明】图1图解根据本专利技术一种实施方式所实现的一芯片组100 ;图2A图解XTS-AES数据加密技术;图2B图解XTS-AES数据解密技术;图3图解一可信赖平台模块300 ;图4为硬盘密钥交换协议的流程图;图5A为SATA硬盘写入的流程图;图5B为SATA硬盘读取的流程图;图6为采用NCQ DMA的SATA硬盘写入流程图;图7为USB硬盘写入的流程图。附图标记:100:芯片组;102:储存装置主控制器;104:加解密引擎;106:通讯端口 ;108:储存装置;202、204:加密运算硬件;206:模乘组件;208、210:模加组件;212:加密运算硬件;214:解密运算硬件;216:模乘组件;218、220:模加组件;300:可信赖平台模块;302:可信赖平台模块软件;304:硬盘密钥供应硬件;aj:常数;C:密文;cc:数据;Cmd_Info:写入/读取指令信息;Data:未加密的写入数据/解密的读取数据;Data_Encrypted:加密的写入数据/未解密的读取数据;DEK:硬盘密钥;DEK_keyUDEK_key2:组成硬盘密钥DEK的两部分密钥;p:明文;pp:数据;S402…S406、S502…S514、S522…S534、S602…S620、S702…S714:步骤;T:模乘结果。【具体实施方式】以下叙述列举本专利技术的多种实施例。以下叙述介绍本专利技术的基本概念,且并非意图限制本
技术实现思路
。实际专利技术范围应依照申请专利范围来界定。图1图解根据本专利技术一种实施方式所实现的一芯片组100。该芯片组100包括一储存装置主控制器102以及一加解密引擎104。该储存装置主控制器102控制一通讯端口(communicat1n port) 106与一储存装置108之间的通讯。通讯端口 106举例而言可以是串行高级技术附件(SATA)接口,也可以是通用串行总线(USB)接口。该储存装置108又称硬盘,可为机械硬盘或固态硬盘等。该加解密引擎104为硬件,耦接该储存装置主控制器102,以实现对写入或读出该储存装置108的数据进行加解密。由于该加解密引擎104以硬件方式封闭于芯片组100中,数据安全性大大提升。一种实施方式中,加解密引擎104所作的数据加解密完全不使用芯片组100外部空间作数据暂存。一种实施方式中,由北桥以及南桥组成的芯片组100是将该储存装置主控制器102以及该加解密引擎104制作在南桥内。在另一种实施方式中,还可将该加解密引擎104集成在该储存装置主控制器102内部,进一步提升加解密的安全性。至于该储存装置主控制器102,其包括自所接收的写入/读取指令解析出写入/读取指令信息Cmd_Info。在一种实施方式中,这里的写入/读取指令是由主机(图中未示出)的直接内存存取(DMA)控制器发送至该芯片组100的DMA请求。该加解密引擎104是在数据加解密时还考虑写入/读取指令信息Cmd_Info,大大提升被破解的难度。此段落讨论写入指令。该储存装置主控制器102会自所接收的写入指令解析出写入指令信息Cmd_Info,并将写入数据Data与所述写入指令信息Cmd_Info传递至该加解密引擎104。该加解密引擎104将硬盘密钥DEK与所述写入指令信息Cmd_Info组合,以便加密所述写入数据Data,并将加密后的所述写入数据Data_Encrypted交由该储存装置主控制器102透过该通讯端口 106写入该储存装置108。此段落讨论读取指令。该储存装置主控制器102自所接收的读取指令解析出读取指令信息Cmd_Info,并将取自该储存装置108的未解密的读取数据Data_Encrypted与所述读取指令信息Cmd_Info传递至该加解密引擎104。该加解密引擎104将所述硬盘密钥DEK与所述读取指令信息Cmd_Info组合,以便将未解密的所述读取数据Data_Encrypted解密,解密后的读取数据Data交由该储存装置主控制器102响应所述读取指令。DMA请求所存取的数据是以格式相对固定的数据块为单位进行传输,方便本专利技术的加解密引擎104进行自动的加解密操作,无需软件参与。DMA请求的写入/读取指令中包括其要存取的逻辑地址(例如,LBA)及扇区(sector)数量。一种实施方式中,加解密引擎104是根据写入/读取指令所指示的逻辑地址(例如,LBA)中的扇区号以扇区为单位作数据加解密;例如,XTS-AES/SM4数据加解密技术。写入/读取指令信息Cmd_Info包括所述写入/读取指令所指示的逻辑地址及扇区数量。图2A图解XT本文档来自技高网...
【技术保护点】
一种芯片组,其特征在于,包括:一储存装置主控制器,控制一通讯端口与一储存装置之间的通讯;以及一加解密引擎,所述加解密引擎为硬件,耦接该储存装置主控制器,其中:该储存装置主控制器自所接收的写入指令解析出写入指令信息,并将写入数据与所述写入指令信息传递至该加解密引擎;且该加解密引擎将一硬盘密钥与所述写入指令信息组合,以便加密所述写入数据,并将加密后的所述写入数据交由该储存装置主控制器透过该通讯端口写入该储存装置。
【技术特征摘要】
【专利技术属性】
技术研发人员:李凯,薛刚汝,沈昀,李辉,
申请(专利权)人:上海兆芯集成电路有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。