一种存储控制器、文件处理方法、装置及系统制造方法及图纸

一种存储控制器(103)包括：控制器(1031)、密钥库(1032)、密钥派生器(1033)、文件加解密装置(1034)、数据存储器接口(1035)。密钥库(1032)，用于存储组密钥；控制器(1031)，用于接收处理器(101)发送的待处理的文件的指示信息和随机数的指示信息，根据待处理的文件的指示信息获取待处理的文件，根据随机数的指示信息获取随机数，以及从密钥库(1032)存储的组密钥中获取第一组密钥；密钥派生器(1033)，用于根据由控制器(1031)获取的随机数和第一组密钥计算获得文件密钥；文件加解密装置(1034)，用于采用密钥派生器(1033)计算获得的文件密钥对待处理的文件进行处理得到处理后的文件；数据存储器接口(1035)，用于向数据存储器(300)写入处理后的文件；或，从数据存储器(300)读取待处理的文件。

【技术实现步骤摘要】
【国外来华专利技术】一种存储控制器、文件处理方法、装置及系统
本申请涉及文件存储控制
，尤其涉及一种存储控制器、文件处理方法、装置及系统。
技术介绍
当前，主流的电子设备存储系统中多采用文件加密方案存储文件。比较常见的文件加密方案为一个文件一个密钥(perfileperkey)的加密方案，不同的文件被不同的密钥加密保存于存储器中。此外，加密文件的密钥也会被另一密钥进行加密，例如，存在一密钥A用于加密文件，还存在另一密钥a用于加密密钥A，其中，密钥a可以称为组密钥(classkey)。文件的加密存储需要通过电子设备的处理器、存储控制器和存储器实现。其中，处理器的运行模式包括富操作系统运行环境(richexecutionenvironment，REE)模式和可信执行环境(trustexecuteenvironment，TEE)模式。为了系统安全，通常只有TEE模式下的处理器可以获取并使用组密钥。在进行文件写入时，处理器需要先切换至TEE模式，使用组密钥对为文件配置的密钥A进行加密获得密文B，以及将密钥A配置于存储控制器中。之后，处理器切换至REE模式，再向存储控制器发送指令以指示存储控制器使用密钥A对文件进行加密，并将加密后的文件和密文B存储于存储器中。在文件读取时，REE模式下的处理器需要先通过存储控制器从存储器中获取密文B，并切换至TEE模式。TEE模式下的处理器使用组密钥解密密文B从而获得密钥A，并将密钥A配置于存储控制器中。之后，处理器切换至REE模式，再向存储控制器发送指令以指示存储控制器从存储器中获取待读取的文件，并使用密钥A对所获取的文件进行解密，从而获取解密后的文件。然而，在电子设备的使用过程中往往需要对大量的文件进行读写，致使处理器需要较为频繁地从REE模式切换至TEE模式，对密钥A使用组密钥进行加密，或对密文B使用组密钥进行解密，之后，再从TEE切换至REE模式。REE模式与TEE模式之间的反复切换占用了处理器较多的处理资源，影响处理器处理其它任务的效率，从而对处理器的处理性能造成了一定的损失。
技术实现思路
本申请提供一种存储控制器、文件处理方法、装置及系统，用以在保证安全性前提下提高文件处理效率。第一方面，本申请实施例提供一种存储控制器，包括：控制器、密钥库、密钥派生器、文件加解密装置、数据存储器接口；其中，密钥库，用于存储至少一个组密钥classkey；控制器，用于接收处理器发送的待处理的文件的指示信息和随机数的指示信息；之后，根据待处理的文件的指示信息获取待处理的文件，根据随机数的指示信息获取随机数；并从密钥库存储的至少一个组密钥中获取第一组密钥；密钥派生器，用于根据由控制器获取的随机数和第一组密钥计算获得文件密钥；文件加解密装置，用于采用密钥派生器计算获得的文件密钥对待处理的文件进行处理得到处理后的文件；数据存储器接口，用于向数据存储器写入处理后的文件；或，从数据存储器读取待处理的文件。在以上方案所提供的存储控制器中，密钥库存储至少一个组密钥，而密钥派生器又可以根据至少一个组密钥中的第一组密钥和处理器所提供的随机数产生文件密钥。使得，存储控制器可以根据处理器所提供的随机数自行产生用于文件加密或解密处理的文件密钥，不再需要处理器在读写文件时切换至TEE模式做处理，在保证安全性的前提下，有利于降低读写加密存储的文件对处理器带来的性能损失，提高处理效率。基于第一方面，在一种可能的实现方式中，文件加解密装置，在采用密钥派生器计算获得的文件密钥对待处理的文件进行处理时，可以具体用于：采用上述文件密钥对待处理的文件进行加密处理得到处理后的文件；数据存储器接口，具体用于：向数据存储器写入处理后的文件。基于第一方面，在一种可能的实现方式中，待处理的文件的指示信息包括待处理的文件在运行存储器中的地址信息；控制器，在根据待处理的文件的指示信息获取待处理的文件时，具体用于：根据地址信息，通过系统接口从运行存储器中读取待处理的文件。基于第一方面，在一种可能的实现方式中，文件加解密装置，在采用文件密钥对待处理的文件进行处理时，具体用于：采用文件密钥对待处理的文件进行解密处理得到处理后的文件；数据存储器接口，具体用于：从数据存储器读取待处理的文件。基于第一方面，在一种可能的实现方式中，待处理的文件的指示信息包括待处理的文件在数据存储器中的地址信息；控制器，在根据待处理的文件的指示信息获取待处理的文件时，具体用于：根据地址信息，控制数据存储器接口从数据存储器中读取待处理的文件。基于第一方面，在一种可能的实现方式中，随机数的指示信息包括随机数；控制器，在根据随机数的指示信息获取随机数时，具体用于：获取随机数的指示信息中包括的随机数。基于第一方面，在一种可能的实现方式中，随机数的指示信息包括随机数在运行存储器中的地址信息；控制器，在根据随机数的指示信息获取随机数时，具体用于：根据上述地址信息，通过系统接口从运行存储器中读取随机数。基于第一方面，在一种可能的实现方式中，随机数的指示信息是处理器根据运行存储器中的随机数确定的；控制器，在接收处理器发送的待处理的文件的指示信息和随机数的指示信息之前，还用于：接收处理器发送的第二指示信息，根据第二指示信息控制数据存储器接口从数据存储器中读取待处理的文件的元数据，并通过系统接口将待处理的文件写入运行存储器；其中，待处理的文件的元数据包括随机数。基于第一方面，在一种可能的实现方式中，控制器还用于：接收处理器发送的第一指示信息，并根据第一指示信息控制数据存储器接口将随机数作为待处理的文件的元数据写入数据存储器。基于第一方面，在一种可能的实现方式中，控制器，在从密钥库存储的至少一个组密钥中获取第一组密钥时，具体用于：接收处理器发送的第一组密钥的指示信息；第一组密钥的指示信息用于指示第一组密钥在密钥库中的存储位置；根据第一组密钥的指示信息从密钥库中获取第一组密钥。第二方面，本申请实施例提供一种文件处理方法，包括：存储控制器接收处理器发送的待处理的文件的指示信息和随机数的指示信息；之后，存储控制器根据待处理的文件的指示信息获取待处理的文件，根据随机数的指示信息获取随机数，以及从预先存储的至少一个组密钥中获取第一组密钥；基于所获取的随机数和第一组密钥，存储控制器计算获得文件密钥；之后，存储控制器采用计算获得的文件密钥对待处理的文件进行处理得到处理后的文件。基于第二方面，在一种可能的实现方式中，待处理的文件的指示信息包括待处理的文件在运行存储器中的地址信息；存储控制器在根据待处理的文件的指示信息获取待处理的文件时，可以根据地址信息从运行存储器中读取待处理的文件。基于第二方面，在一种可能的实现方式中，存储控制器在采用文件密钥对待处理的文件进行处理得到处理后的文件时，可以采用文件密钥对待处理的文件进行解密处理得到处理后的文件；存储控制器在根据待处理的文件的指示信息获取待处理的文件时，可以根据待处理的文件的指示信息从数据存储器读取待处理的文件。基于第二方面，在一种可能的实现方式中，待处理的文件的指本文档来自技高网...

【技术保护点】
一种存储控制器，其特征在于，包括：控制器、密钥库、密钥派生器、文件加解密装置、数据存储器接口；/n所述密钥库，用于存储至少一个组密钥classkey；/n所述控制器，用于接收处理器发送的待处理的文件的指示信息和随机数的指示信息；根据所述待处理的文件的指示信息获取所述待处理的文件；根据所述随机数的指示信息获取所述随机数；从所述密钥库存储的至少一个组密钥中获取第一组密钥；/n所述密钥派生器，用于根据所述随机数和所述第一组密钥计算获得文件密钥；/n所述文件加解密装置，用于采用所述文件密钥对所述待处理的文件进行处理得到处理后的文件；/n所述数据存储器接口，用于向所述数据存储器写入所述处理后的文件；或，从所述数据存储器读取所述待处理的文件。/n

【技术特征摘要】
【国外来华专利技术】一种存储控制器，其特征在于，包括：控制器、密钥库、密钥派生器、文件加解密装置、数据存储器接口；
所述密钥库，用于存储至少一个组密钥classkey；
所述控制器，用于接收处理器发送的待处理的文件的指示信息和随机数的指示信息；根据所述待处理的文件的指示信息获取所述待处理的文件；根据所述随机数的指示信息获取所述随机数；从所述密钥库存储的至少一个组密钥中获取第一组密钥；
所述密钥派生器，用于根据所述随机数和所述第一组密钥计算获得文件密钥；
所述文件加解密装置，用于采用所述文件密钥对所述待处理的文件进行处理得到处理后的文件；
所述数据存储器接口，用于向所述数据存储器写入所述处理后的文件；或，从所述数据存储器读取所述待处理的文件。


如权利要求1所述的存储控制器，其特征在于，所述文件加解密装置，在采用所述文件密钥对所述待处理的文件进行处理时，具体用于：采用所述文件密钥对所述待处理的文件进行加密处理得到所述处理后的文件；
所述数据存储器接口，具体用于：向所述数据存储器写入所述处理后的文件。


如权利要求2所述的存储控制器，其特征在于，还包括：所述待处理的文件的指示信息包括所述待处理的文件在运行存储器中的地址信息；
所述控制器，在根据所述待处理的文件的指示信息获取所述待处理的文件时，具体用于：根据所述地址信息，通过系统接口从所述运行存储器中读取所述待处理的文件。


如权利要求1所述的存储控制器，其特征在于，所述文件加解密装置，在采用所述文件密钥对所述待处理的文件进行处理时，具体用于：采用所述文件密钥对所述待处理的文件进行解密处理得到所述处理后的文件；
所述数据存储器接口，具体用于：从所述数据存储器读取所述待处理的文件。


如权利要求4所述的存储控制器，其特征在于，所述待处理的文件的指示信息包括所述待处理的文件在所述数据存储器中的地址信息；
所述控制器，在根据所述待处理的文件的指示信息获取所述待处理的文件时，具体用于：根据所述地址信息，控制所述数据存储器接口从所述数据存储器中读取所述待处理的文件。


如权利要求1至5中任一项所述的存储控制器，其特征在于，所述随机数的指示信息包括所述随机数；
所述控制器，在根据所述随机数的指示信息获取随机数时，具体用于：获取所述随机数的指示信息中包括的所述随机数。


如权利要求1至5中任一项所述的存储控制器，其特征在于，所述随机数的指示信息包括所述随机数在所述运行存储器中的地址信息；
所述控制器，在根据所述随机数的指示信息获取随机数时，具体用于：根据所述地址信息，通过系统接口从所述运行存储器中读取所述随机数。


如权利要求1至7中任一项所述的存储控制器，其特征在于，所述随机数的指示信息是所述处理器根据运行存储器中的随机数确定的；
所述控制器，在接收处理器发送的待处理的文件的指示信息和随机数的指示信息之前，还用于：接收所述处理器发送的第二指示信息，根据所述第二指示信息控制所述数据存储器接口从所述数据存储器中读取所述待处理的文件的元数据，并通过系统接口将所述待处理的文件写入所述运行存储器；所述待处理的文件的元数据包括所述随机数。


如权利要求2或3所述的存储控制器，其特征在于，所述控制器还用于：接收所述处理器发送的第一指示信息，并根据所述第一指示信息控制所述数据存储器接口将所述随机数作为所述待处理的文件的元数据写入所述数据存储器。


如权利要求1至9中任一项所述的存储控制器，其特征在于，所述控制器，在从所述密钥库存储的至少一个组密钥中获取第一组密钥时，具体用于：
接收所述处理器发送的第一组密钥的指示信息；所述第一组密钥的指示信息用于指示所述第一组密钥在所述密钥库中的存储位置；
根据所述第一组密钥的指示信息从所述密钥库中获取所述第一组密钥。


一种文件处理方法，其特征在于，包括：
存储控制器接收处理器发送的待处理的文件的指示信息和随机数的指示信息；
所述存储控制器根据所述待处理的文件的指示信息获取所述待处理的文件，根据所述随机数的指示信息获取所述随机数，以及从预先存储的至少一个组密钥中获取第一组密钥；
所述存储控制器根据所述随机数和所述第一组密钥计算获得文件密钥；
所述存储控制器采用所述文件密钥对所述待处理的文件进行处理得到处理后的文件。


如权利要求11所述的方法，其特征在于，所述存储控制器采用所述文件密钥对所述待处理的文件进行处理得到处理后的文件，包括：所述存储控制器采用所述文件密钥对所述待处理的文件进行加密处理得到所述处理后的文件；
所述存储控制器采用所述文件密钥对所述待处理的文...

【专利技术属性】
技术研发人员：潘时林，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44