与存储器子系统的安全数据通信技术方案

本申请涉及与存储器子系统的安全数据通信。本文所描述的各种实施例提供了主机系统与存储器子系统之间的安全数据通信。例如，一些实施例使用盐值、对称加密和非对称加密来促进所述主机系统与所述存储器子系统之间的安全数据通信。

【技术实现步骤摘要】
与存储器子系统的安全数据通信
本公开的实施例总体上涉及存储器子系统，更具体地，涉及与存储器子系统的安全数据通信。
技术介绍
存储器子系统可包含一或多个存储数据的存储器组件。存储器组件可为，例如非易失性存储器组件和易失性存储器组件。通常，主机系统可利用存储器子系统以在存储器组件处存储数据并从存储器组件检索数据。
技术实现思路
在一方面，本公开涉及一种存储器子系统，其包括：一组存储器装置；以及处理装置，其可操作地耦合到所述一组存储器装置，经配置以执行包括以下的操作：从主机系统接收对存储在存储器子系统上的非对称公钥的请求；响应于所述请求，向主机系统发送非对称公钥；从主机系统接收包括第一存取密钥和当前主机盐值的加密数据；通过非对称私钥对加密数据进行解密，以从加密数据中获得第一存取密钥和当前主机盐值，所使用的非对称私钥和当前盐值中的每一者存储在存储器子系统上；确定第一存取密钥是否与存储在存储器子系统上的第二存取密钥匹配；确定当前主机盐值是否与存储在存储器子系统上的当前存储器子系统盐值匹配；以及响应于确定第一存取密钥与第二存取密钥匹配以及当前主机盐值与当前存储器子系统盐值匹配，准许主机系统存取一组存储器装置。在另一方面，本公开涉及一种方法，其包括：从主机系统向存储器子系统发送对存储在存储器子系统上的非对称公钥的请求；在主机系统处从存储器子系统接收非对称公钥；由主机系统存取存储在主机系统上的第一存取密钥；在主机系统处，通过非对称公钥对第一存取密钥和当前主机盐值进行加密以生成加密数据，所使用的当前主机盐值存储在主机系统上；以及从主机系统向存储器子系统发送加密数据。在另一方面，本公开涉及一种非暂时性计算机可读存储介质，其包括当由存储器子系统的处理装置执行时，致使处理装置执行包括以下操作的指令：从主机系统接收对从存储器子系统的保留存储器空间读取非对称公钥的请求；响应于请求，向主机系统发送非对称公钥；从主机系统接收包括第一存取密钥和当前主机盐值的加密数据；通过非对称私钥对加密数据进行解密，以从加密数据中获得第一存取密钥和当前主机盐值，所使用的非对称私钥和当前盐值中的每一者存储在存储器子系统上；确定第一存取密钥是否与存储在存储器子系统上的第二存取密钥匹配；确定当前主机盐值是否与存储在存储器子系统上的当前存储器子系统盐值匹配；以及响应于确定第一存取密钥与第二存取密钥匹配以及当前主机盐值与当前存储器子系统盐值匹配，准许主机系统存取存储器子系统的一组存储器装置。附图说明通过下面给出的详细描述以及通过本公开的各种实施例的附图，将更全面地理解本公开。然而，附图不应被理解为将本公开限制为特定实施例，而是仅用于解释和理解。图1示出了根据本公开的一些实施例的包含存储器子系统的实例计算环境。图2和3是根据本公开的一些实施例的用于存储器子系统以促进与主机系统的安全数据通信的实例方法的流程图。图4和5是根据本公开的一些实施例的用于主机系统以促进与存储器子系统的安全数据通信的实例方法的流程图。图6A至6D提供了示出了在其中执行用于与存储器子系统进行安全数据通信的方法的一些实施例的上下文中计算环境的组件之间的交互的交互图。图7是其中可操作本公开的实施例的实例计算机系统的框图。具体实施方式本公开的各方面针对与存储器子系统的安全数据通信。存储器子系统可为存储装置、存储器模块或者存储装置与存储器模块的混合体。下面结合图1描述存储装置和存储器模块的实例。通常，主机系统可利用包含存储数据的一或多个存储器装置的存储器子系统。主机系统可提供将存储在存储器子系统处的数据，并且可请求从存储器子系统中检索数据。目前，有几种高密度的非易失性存储器技术(例如，新的持久存储介质)正在开发中以用作计算设备中的主存储器。这些存储器技术可使数据能够保持在持久主存储器中，并且随后即使在主机系统重启之后也可由软件应用程序存取。因此，这些存储器技术通常很好地适用于各种存储器内计算应用，尤其是那些需要将兆兆字节的数据存储在主存储器中的应用。不幸的是，由于如此多的数据(例如，用户或敏感数据)能够持久地存储在主存储器中，因此保持所存储的数据安全是很有挑战性的。已知在过去已经发生了数据破坏，其中攻击者使用软件和硬件探测器以物理存储器/主存储器上的数据为目标。复杂的初始化和探测攻击(例如，使用中央处理单元高速缓存，结合使用硬件中介层)可能潜在地揭示正在访问的数据的持久主存储器中的物理地址，以及随后的数据本身。从应用软件的观点来看，持久数据通常与地址位置表(例如，用于存储指向数据的地址指针的数据结构)一起存储，因此如果攻击者能够访问这些地址表的物理地址，他或她可能获得对所有地址指针的存取，并因此存取存储在这些位置的所有数据。另外，用诸如AES(高级加密标准)之类的强大的标准对存储在持久主存储器上的数据进行加密可能不是合适的选项，鉴于强大的加密标准在计算上可能会非常昂贵(例如，可能需要花费数千个处理器时钟周期来执行)并且可能使持久主存储器的性能变慢到可能使持久主存储器不适合用作主存储器的程度。本公开的各方面通过实现主机系统与诸如非易失性双列直插式存储器模块(NVDIMM)装置(例如，其可用作持久主存储器)等存储器子系统之间的安全数据连接来解决上述和其它缺陷。为了促进主机系统与存储器子系统之间的安全数据通信，本文所述的各种实施例使用基于非对称公钥和私钥的强加密，并且使用基于随时间变化(例如，由主机系统以不规则时间间隔改变)的对称密钥的较弱加密。使用本文所述的各种实施例可防止(或至少使其具有挑战性)主机系统与存储器子系统之间的地址或数据信道(例如，总线)上的数据的未经授权窥探，从而减轻某些基于硬件的存储器攻击的机会。另外，本文所述的各种实施例可提供主机系统与存储器子系统之间的安全数据通信，同时使存储器子系统能够维持主存储器数据性能。如本文所述，本文公开了促进与存储器子系统进行安全数据通信的系统的一些实例。图1示出了根据本公开的一些实施例的包含存储器子系统110的实例计算系统100。存储器子系统110可包含诸如一或多个易失性存储器装置(例如，存储器装置140)、一或多个非易失性存储器装置(例如，存储器装置130)等的介质，或此些的组合。存储器子系统110可为存储装置、存储器模块或者存储装置和存储器模块的混合体。存储装置的实例包含固态驱动器(SSD)、闪存驱动器、通用串行总线(USB)闪存驱动器、嵌入式多媒体控制器(eMMC)驱动器、通用闪存(UFS)驱动器和硬盘驱动器(HDD)。存储器模块的实例包含双列直插式存储器模块(DIMM)、小外形DIMM(SO-DIMM)和非易失性双列直插式存储器模块(NVDIMM)。计算系统100可为计算装置，诸如台式计算机、膝上型计算机、网络服务器、移动装置、交通工具(例如，飞机、无人机、火车、汽车或其它运输工具)、物联网(IoT)、嵌入式装置、嵌入式计算机(例如，包含于交通工具、工业设备或联网商业装置中的嵌入式计算机)，或包含存储器和处理装置的此计算装置本文档来自技高网...

【技术保护点】
1.一种存储器子系统，其包括：/n一组存储器装置；以及/n处理装置，其可操作地耦合到所述一组存储器装置，经配置以执行包括以下的操作：/n从主机系统接收对存储在所述存储器子系统上的非对称公钥的请求；/n响应于所述请求，向所述主机系统发送所述非对称公钥；/n从所述主机系统接收包括第一存取密钥和当前主机盐值的加密数据；/n通过非对称私钥对所述加密数据进行解密，以从所述加密数据中获得所述第一存取密钥和所述当前主机盐值，所使用的所述非对称私钥和所述当前盐值中的每一者存储在所述存储器子系统上；/n确定所述第一存取密钥是否与存储在所述存储器子系统上的第二存取密钥匹配；/n确定所述当前主机盐值是否与存储在所述存储器子系统上的当前存储器子系统盐值匹配；以及/n响应于确定所述第一存取密钥与所述第二存取密钥匹配以及所述当前主机盐值与所述当前存储器子系统盐值匹配，准许所述主机系统存取所述一组存储器装置。/n

【技术特征摘要】
20191125 US 16/694,5571.一种存储器子系统，其包括：
一组存储器装置；以及
处理装置，其可操作地耦合到所述一组存储器装置，经配置以执行包括以下的操作：
从主机系统接收对存储在所述存储器子系统上的非对称公钥的请求；
响应于所述请求，向所述主机系统发送所述非对称公钥；
从所述主机系统接收包括第一存取密钥和当前主机盐值的加密数据；
通过非对称私钥对所述加密数据进行解密，以从所述加密数据中获得所述第一存取密钥和所述当前主机盐值，所使用的所述非对称私钥和所述当前盐值中的每一者存储在所述存储器子系统上；
确定所述第一存取密钥是否与存储在所述存储器子系统上的第二存取密钥匹配；
确定所述当前主机盐值是否与存储在所述存储器子系统上的当前存储器子系统盐值匹配；以及
响应于确定所述第一存取密钥与所述第二存取密钥匹配以及所述当前主机盐值与所述当前存储器子系统盐值匹配，准许所述主机系统存取所述一组存储器装置。


2.根据权利要求1所述的存储器子系统，其中所述操作进一步包括：
在准许所述主机系统存取所述一组存储器装置之后：
从所述主机系统接收包括加密请求数据的第二请求；
通过对称密钥对所述加密请求数据进行解密，以从所述加密请求数据中获得未加密的请求数据，所述对称密钥包括当前存储在所述存储器子系统上的所述当前存储器子系统盐值；以及
基于所述未加密的请求数据处理所述第二请求。


3.根据权利要求2所述的存储器子系统，其中根据非确定性存储器协议从所述主机系统接收所述第二请求。


4.根据权利要求3所述的存储器子系统，其中所述非确定性存储器协议包括非易失性双列直插式存储器模块-PNVDIMM-P存储器协议。


5.根据权利要求2所述的存储器子系统，其中所述操作进一步包括：
在准许所述主机系统存取所述一组存储器装置之后：
基于对所述第二请求的所述处理生成响应数据；
通过所述对称密钥对所述响应数据进行加密以生成加密响应数据；以及
向所述主机系统发送包括所述加密响应数据的响应。


6.根据权利要求2所述的存储器子系统，其中所述存储器子系统使用所述存储器子系统的特定存储器地址来存储所述当前存储器子系统盐值，并且其中基于所述未加密的请求数据对所述第二请求的所述处理包括：
通过将新的盐值写入所述特定存储器地址，将所述当前存储器子系统盐值设置为所述新的盐值，所述未加密的请求数据指定所述新的盐值和所述特定存储器地址。


7.根据权利要求6所述的存储器子系统，其中所述特定存储器地址与模式寄存器相关联，所述模式寄存器符合非易失性双列直插式存储器模块-PNVDIMM-P存储器协议。


8.根据权利要求2所述的存储器子系统，其中所述未加密的请求数据包括存储器命令数据或存储器地址数据中的至少一者。


9.根据权利要求1所述的存储器子系统，其中对所述非对称公钥的所述请求指定与所述存储器子系统的模式寄存器相关联的特定存储器地址，所述模式寄存器符合非易失性双列直插式存储器模块-PNVDIMM-P存储器协议。


10.根据权利要求1所述的存储器子系统，其中所述第二存取密钥最初作为制造所述存储器子系统的一部分存储在所述存储器子系统上。


11.根据权利要求1所述的存储器子系统，其中所述当前存储器子系统盐值最初作为制造所述存储器子系统...

【专利技术属性】
技术研发人员：D·巴维什，
申请(专利权)人：美光科技公司，
类型：发明
国别省市：美国;US