密钥加密处理制造技术

一种设备包括用以产生媒体加密密钥以对数个存储器组件中的数据加密的加密密钥产生器，其中所述加密密钥产生器经配置以包覆所述媒体加密密钥以产生经加密媒体加密密钥。所述经加密媒体加密密钥是存储于非易失性存储器中。所述设备包括具有使用所述经加密媒体加密密钥将所述设备转变到安全状态及从所述安全状态转变的指令的固件。

【技术实现步骤摘要】
【国外来华专利技术】密钥加密处理优先权申请案本申请案主张在2018年8月14日申请的第16/103,184号美国申请案的优先权益，第16/103,184号美国申请案主张在2018年2月8日申请的第62/628,123号美国临时申请案的优先权益，所述申请案中的每一者以全文引用的方式并入本文中。
本专利技术的实施例大体上涉及存储器子系统，且更明确来说，涉及管理存储器子系统，包含关于对所述存储器子系统中的数据加密的密钥加密处理。
技术介绍
存储器子系统可为存储系统，例如非易失性双列直插式存储器模块(NVDIMM)，且可包含存储数据的一或多个存储器组件。例如，所述存储器组件可为非易失性存储器组件及易失性存储器组件。一般来说，主机系统可利用存储器子系统以将数据存储于存储器组件处及从存储器组件检索数据。附图说明将从下文给出的详细描述及从本专利技术的各个实施例的附图更充分理解本专利技术。然而，图式不应被视为将本专利技术限于特定实施例，而是仅供解释及理解。图1说明根据各个实施例的包含存储器子系统的实例计算环境。图2是根据各个实施例的包含经结构化具有用于安全加密的密钥管理能力的实例非易失性具寄存器的双列直插式存储器模块的实例系统的框图。图3A是根据各个实施例的产生经加密媒体加密密钥以保护媒体加密密钥的包覆方法的说明。图3B是根据各个实施例的恢复图3A的媒体加密密钥的解包方法的说明。图4是根据各个实施例的装置状态应用程序编程接口状态图的实例。图5说明根据各个实施例的实例装置状态功能应用程序编程接口。图6是根据各个实施例的密钥产生/恢复单元的框图。图7是根据各个实施例的处理加密密钥的实例方法的流程图。图8是根据各个实施例的处理加密密钥的实例方法的流程图。图9是本专利技术的实施例可在其中操作的实例计算机系统的框图。具体实施方式本专利技术的方面涉及管理存储器子系统，所述管理包含关于对所述存储器子系统中的数据加密的密钥加密处理。加密是将数据、程序、图像或其它信息转换成不可读密文的安全技术。此转换可使用应用于希望进行的加密的原始内容的复杂算法来执行。加密密钥是为对数据加扰及解扰而明确建立的随机位字符串且通常经设计具有希望确保每个密钥不可预测且唯一的算法。如本文中所论述，密钥加密包含对加密密钥加密。存储器子系统在下文也被称为“存储器装置”。存储器子系统的实例是存储系统，例如非易失性双列直插式存储器模块(NVDIMM)。在一些实施例中，所述存储器子系统是混合存储器/存储子系统。一般来说，主机系统可利用包含一或多个存储器组件的存储器子系统。所述主机系统可提供待存储于所述存储器子系统处的数据且可请求从所述存储器子系统检索数据。NVDIMM是具有用于正常操作的易失性存储器及(在电力出现故障的情况下)使用机载备份电源在其中转储所述易失性存储器的内容的非易失性存储器的随机存取存储器类型。NVDIMM-N是在相同模块上具有快闪存储装置及传统动态随机存取存储器(DRAM)的双列直插式存储器模块(DIMM)。主机处理单元可直接存取传统DRAM。倘若发生电力故障，NVDIMM-N将数据从其易失性传统DRAM复制到其永久性快闪存储装置，且在电力恢复时将数据复制回到易失性传统DRAM。NVDIMM-N的一类型是NVRDIMM-N。NVRDIMM-N是非易失性具寄存器的双列直插式存储器模块(DIMM)，其是针对企业级服务器系统的标准的具寄存器的DIMM(RDIMM)。具寄存器的存储器模块(也被称为缓冲存储器模块)意味着包含介于动态随机存取存储器(DRAM)模块与相应系统存储器控制器之间的寄存器，其中DRAM模块含有数个DRAMS(其是易失性存储器)。RDIMM使用缓冲到到模块的控制信号的硬件寄存器。在用于NVRDIMM-N的架构中，作为以配置其基本存储器单元的“与非”(NAND)逻辑形式命名的永久性存储装置的NAND存储器是与标准DRAM一起布置。因为DRAM是易失性的，所以在移除所述DRAM的电力时，所述DRAM中的数据丢失。当在NVRDIMM-N中检测断电或从主机接收检测即将断电的信号时，捕获DRAM的当前状态并将其移动到由NVRDIMM-N的NAND提供的永久性存储装置中。通过记录计算机的当前状态，当再次提供电力时，可将数据从NAND拉回到DRAM，且应用程序的执行可从由于电力移除而导致执行停止的点继续进行。此能力为企业级服务器系统提供价值。在NVRDIMM-N中，对DRAM提供DRAM控制器且对NAND提供NAND控制器，其中NVRDIMM-N负责将NVRDIMM-N的DRAM的所有数据的状态转换为NVRDIMM-N的NAND上的永久性数据。可在电力循环上执行将所有DRAM数据的状态转换为NAND上的永久性数据。随后，NVRDIMM-N负责将NAND中的永久性数据传送回到DRAM中。企业级系统通常存储保密信息，且因此在永久性地存储此数据时，传送到NAND的数据受到保护。例如，在将数据从DRAM传送到NAND时，可通过密文窃取(XTS)加密引擎(其是用于数据的标准加密引擎)通过基于高级加密标准(AES)256位异或-加密-异或(XEX)的调整码本模式运行数据传送，使得所有数据都通过此加密存储。AES-XTS加密引擎需要密钥(即，加密AES密钥及XTS密钥)。通常，这些密钥从主机传递到NVRDIMM-N中。对关于存储器子系统的处理加密密钥及传递密钥的加强可提供机制以避免与黑客试图经由来自主机的命令或主机的预期动作存取加密密钥相关联的问题，所述问题可能不利地影响经存储的安全数据。本专利技术的方面通过对用于存储器子系统的存取加密密钥加密，将所述经加密的加密密钥存储于所述存储器子系统的非易失性存储器中，使用固件以使用所述经加密媒体加密密钥将所述存储器子系统转变到数据的安全状态及从数据的安全状态转变，从而解决与所述存取加密密钥相关联的上述及其它缺点。在各个实例实施例中，用存取密钥或擦除密钥(此取决于操作)对密钥加密及存取所述密钥以保护所述密钥免受存储器子系统中的黑客攻击。可通过使密钥在统计上不可破解的各种算法处理密钥。装置(例如但不限于NVDIMM-N)可作为多状态装置操作，其中可通过用于安全加密的密钥管理来处理NVDIMM-N的状态之间的转变，其中状态可通过装置存储的数据的安全性予以定义。图1说明根据本专利技术的一些实施例的包含存储器子系统110的实例计算环境100。存储器子系统110可包含媒体(例如存储器组件112A到112N)。存储器组件112A到112N可为易失性存储器组件、非易失性存储器组件或此类的组合。在一些实施例中，存储器子系统110是存储系统。存储系统的实例是NVDIMM。在一些实施例中，存储器子系统110是混合存储器/存储子系统。一般来说，计算环境100可包含使用存储器子系统110的主机系统120。例如，主机系统120可将数据写入到存储器子系统110及从存储器子系统110读取数据。主机系统120可为计算装置，例如桌面计算机、膝上型计算机、网络本文档来自技高网...

【技术保护点】
1.一种设备，其包括：/n多个存储器组件；/n加密密钥产生器，其用以产生媒体加密密钥以对所述多个存储器组件中的数据加密，所述加密密钥产生器经配置以包覆所述媒体加密密钥以产生经加密媒体加密密钥；/n非易失性存储器，其用以存储所述经加密媒体加密密钥；及/n固件，其具有使用所述经加密媒体加密密钥将所述设备转变到安全状态及从所述安全状态转变的指令。/n

【技术特征摘要】
【国外来华专利技术】20180208 US 62/628,123;20180814 US 16/103,1841.一种设备，其包括：
多个存储器组件；
加密密钥产生器，其用以产生媒体加密密钥以对所述多个存储器组件中的数据加密，所述加密密钥产生器经配置以包覆所述媒体加密密钥以产生经加密媒体加密密钥；
非易失性存储器，其用以存储所述经加密媒体加密密钥；及
固件，其具有使用所述经加密媒体加密密钥将所述设备转变到安全状态及从所述安全状态转变的指令。


2.根据权利要求1所述的设备，其中所述设备是四状态设备，所述四种状态为无主状态、secure_unlocked状态、secure_locked状态及不安全状态。


3.根据权利要求2所述的设备，其中所述固件具有执行以下操作的指令：使用从主机装置接收的存取密钥从所述secure_locked状态转变到所述secure_unlocked状态，包含相对于所述经接收的存取密钥对所述经加密媒体加密密钥的成功解包操作。


4.根据权利要求2所述的设备，其中所述加密密钥产生器经配置以：产生擦除密钥；包覆所述擦除密钥以形成经包覆擦除密钥；及将所述经包覆擦除密钥发送到所述非易失性存储器。


5.根据权利要求4所述的设备，其中所述固件具有执行以下操作的指令：使用从主机装置接收的擦除密钥从所述secure_locked状态转变到所述secure_unlocked状态以更换存取密钥，包含相对于所述经接收的擦除密钥对所述经包覆擦除密钥的成功解包操作。


6.根据权利要求1所述的设备，其中所述加密密钥产生器包含：
确定性随机数产生器，其用以产生作为所述媒体加密密钥的随机数；
加密块，其用以接收所述随机数及由主机装置产生的存取密钥及通过使用第一加密算法产生媒体密钥加密密钥；及
包覆块，其用以接收所述媒体密钥加密密钥及所述媒体加密密钥及通过使用第二加密算法产生所述经加密媒体加密密钥。


7.一种非易失性双列直插式存储器模块，其包括：
多个易失性存储器组件；
第一非易失性存储器，在检测电力故障之后即在其中转储所述易失性存储器组件的内容；
非易失性控制器，其用以控制所述多个易失性存储器组件及所述非易失性存储器；
加密密钥产生器，其用以产生媒体加密密钥以对所述多个存储器组件中的数据加密，所述加密密钥产生器经配置以包覆所述媒体加密密钥以产生经加密媒体加密密钥；
第二非易失性存储器，其用以存储所述经加密媒体加密密钥；及
固件，其具有使用所述经加密媒体加密密钥将所述非易失性控制器转变到安全状态及从所述安全状态转变的指令。


8.根据权利要求7所述的非易失性双列直插式存储器模块，其中所述非易失性控制器作为四状态装置操作，所述四种状态为无主状态、secure_unlocked状态、secure_locked状态及不安全状态。


9.根据权利要求8所述的非易失性双列直插式存储器模块，其中所述加密密钥产生器经配置以：产生擦除密钥；包覆所述擦除密钥以形成经包覆擦除密钥；及将所述经包覆擦除密钥发送到所述第二非易失性存储器。


10.根据权利要求9所述的非易失性双列直插式存储器模块，其中所述固件具有执行以下操作的指令：使用从主机装置接收的用于所述...

【专利技术属性】
技术研发人员：N·A·埃克尔，S·D·切克，
申请(专利权)人：美光科技公司，
类型：发明
国别省市：美国;US