[发明专利]大容量存储设备存储器加密方法、系统及装置

说明书

相关申请的交叉引用

本申请要求于2011年6月16日提交的、题为“Mass Storage Device with On-The-Fly Encryption”的美国临时申请No.61/355,399的优先权，其内容通过引用全部合并在本文中。

背景技术

能够存储相对大量的数据（例如，几百兆字节或几千兆字节，有时几十千兆字节）并且可以很容易地连接至计算机和从计算机断开的小型便携式电子设备正变得越来越受欢迎，因为它们为用户传输计算机数据提供了方便的方式。在许多情况下，这样的设备可以通过即插即用技术容易地连接到主机，并将本身作为具有标准文件系统的大容量存储设备（MSD）呈现给主机的操作系统。在许多情况下，将设备连接到主机的接口为USB（通用串行总线）型。所谓的USB密钥装置或USB记忆棒是这样的设备的示例。在某些情况下，该设备还提供其他的功能，或者大容量存储功能被集成到具有另外的主要功能的设备中。例如，一些USB密钥装置还包含智能卡或智能卡芯片，并提供安全功能（通常在公钥基础设施（PKI）的环境中），而很多数码相机可以通过USB连接来连接到计算机，然后作为大容量存储设备对主机可见。

因为它们对于传输计算机数据来说是如此方便，所以这些便携式大容量存储设备经常用于存储和传送机密或敏感的数据。因此，它们会具有由于它们相对较小的尺寸而加剧的安全风险，因为相对较小的尺寸使得它们容易被盗或丢失。

附图说明

图1是图示了根据本发明的各个方面的大容量存储设备的框图；

图2是图示了根据本发明的各个方面的从大容量存储设备中读取受保护数据的处理的不同步骤的流程图;

图3是图示了根据本发明的各个方面的将受保护数据写入大容量存储设备的处理的不同步骤的流程图;

图4是图示了根据本发明的各个方面的获得批量加密/解密密钥的处理的一些步骤的流程图；

图5是图示了根据本发明的各个方面的大容量存储设备和安全密钥层级的框图;

图6是图示了根据本发明的各个方面的加密算法的框图;

图7是图示了根据本发明的各个方面的解密算法的框图;

图8是图示了根据本发明的各个方面的替选的大容量存储设备和安全密钥层级的框图；

图9是图示了根据本发明的各个方面的替选的加密算法的框图；

图10是图示了根据本发明的各个方面的替选的解密算法的框图；以及

图11是图示了根据本发明的一个方面的大容量存储设备的初始化的流程图。

具体实施例

本发明人已经认识到：便携式大容量存储设备需要具备当从便携式大容量存储设备的大容量存储器读取存储数据或向其写入数据时对这些数据进行实时地（on-the-fly）加密和解密的能力。

具有加密存储数据能力的便携式大容量存储设备的一个技术问题是：用于加密和解密存储数据的密钥的安全性必须足够高。另一个技术问题是：鉴于大量的数据要被加密或解密，加密和解密速度必须足够高，以便不会以不可接受的方式减慢读取和写入操作。具体的挑战是采用相对廉价的标准部件来解决这两个问题。

本发明的各个方面基于发明人的如下见解：可以通过如下大容量存储设备来克服上述两个问题，该大容量存储设备包括：（1）一方面，能够安全地存储秘密的第一安全密钥存储部件，以及（2）另一方面，能够高速地加密和解密写入大容量存储设备的大容量存储器或从大容量存储器读出的大量数据（例如几百兆或几千兆字节）的第二高速加密/解密部件，由此，高速加密/解密部件用于对写入大容量存储器或从大容量存储器读取的数据进行加密和解密的加密和解密密钥中的至少一些的机密性由使用安全地存储在安全密钥存储部件中的秘密的安全机制来保护。例如，批量加密和解密密钥可以直接存储在安全密钥存储部件中，或者它们可以从安全地存储在安全密钥存储部件中的秘密导出，或者它们存储在其它地方（例如存储在大容量存储器上）并且用直接存储在安全密钥存储部件中的密钥加密或用从存储在安全密钥存储部件中的密钥导出的密钥加密，或者它们从存储在其它地方（例如，存储在大容量存储器上）的密钥导出并且用直接存储在安全密钥存储部件中的密钥加密或用从存储在安全密钥存储部件中的密钥导出的密钥加密。

本发明的另一个方面包括一种用于对存储在具有大容量存储功能的设备的大容量存储器中的数据进行加密和解密的方法。