[发明专利]安全存储器系统

权利要求书

1.一种包括多个存储器模块的存储器系统，其中，每个存储器模块包括：

持久性存储器，其用于存储根密钥信息和加密的主要数据；

易失性存储器，其用于存储用于加密数据的工作密钥，其中，存储在所述持久性存储器中的加密的主要数据是使用所述工作密钥来进行加密的；以及

控制单元，其用于提供对所述主要数据的加载和存储存取；

其中，所述存储器系统还包括工作密钥恢复机制，其用于：

从第一存储器模块取回第一根密钥信息并且从第二存储器模块取回第二根密钥信息；并且

基于取回的第一根密钥信息和取回的第二根密钥信息来计算所述多个存储器模块的给定的存储器模块的工作密钥。

2.根据权利要求1所述的存储器系统，其中，所述工作密钥恢复机制是由所述多个存储器模块中的至少一个存储器模块来实现的。

3.根据权利要求1所述的存储器系统，还包括与所述多个存储器模块中的每一个存储器模块通信的模块管理器，其中，所述工作密钥恢复机制包括用于由所述模块管理器的处理器执行的一组指令。

4.根据权利要求1所述的存储器系统，其中，所述给定的存储器模块的持久性存储器存储使用第二工作密钥来加密的加密的辅助数据，并且其中，所述给定的存储器模块的控制单元用于：

取回加密的第二工作密钥；

使用所述工作密钥来对所述加密的第二工作密钥进行解密；以及

使用所述第二工作密钥来对所述加密的辅助数据进行解密。

5.根据权利要求1所述的存储器系统，其中，由每一个存储器模块存储的根密钥信息包括掩蔽的根密钥以及所述掩码值的份额，所述掩蔽的根密钥是从与所述给定的存储器模块相关联的根密钥以及与所述给定的存储器模块相关联的掩码值导出的，并且其中，所述工作密钥恢复机制用于：

使用从所述第一存储器模块取回的该掩码值的第一份额以及从所述第二存储器模块取回的该掩码值的第二份额来计算与所述给定的存储器模块相关联的掩码值；

使用计算的掩码值和由所述给定的存储器模块存储的掩蔽的根密钥来计算与所述给定的存储器模块相关联的根密钥；以及

根据计算的根密钥来计算所述给定的存储器模块的工作密钥。

6.根据权利要求5所述的存储器系统，其中，与所述给定的存储器模块相关联的根密钥还与所述多个存储器模块的至少一个其他存储器模块相关联，和/或与所述给定的存储器模块相关联的掩码值与所述多个存储器模块的至少一个其他存储器模块相关联。

7.根据权利要求5所述的存储器系统，其中，所述第一存储器模块与所述第一根密钥相关联，并且所述第二存储器模块与第二、不同的根密钥相关联，并且其中，所述第一存储器模块的持久性存储器用于存储从所述第一根密钥导出的第一掩蔽的根密钥，并且所述第二存储器模块的持久性存储器用于存储从所述第二根密钥导出的第二掩蔽的根密钥。

8.根据权利要求1所述的存储器系统，其中，所述持久性存储器包括固态非易失性存储器。

9.根据权利要求10所述的存储器系统，其中，所述持久性存储器包括字节可寻址的非易失性存储器。

10.根据权利要求1所述的存储器系统，其中，所述给定的存储器模块的工作密钥是使用以下中的一个来计算的：秘密共享方案；阈值密码方案。

11.根据权利要求1所述的存储器系统，其中，所述控制单元用于经由存储器总线向至少一个处理器提供对所述主要数据的加载和存储存取。

12.一种用于确保包括多个存储器模块的存储器系统的安全的方法，每个存储器模块包括持久性存储器和易失性存储器，所述方法包括：

从所述多个存储器模块的至少两个存储器模块的持久性存储器取回根密钥信息；

基于取回的根密钥信息来计算所述多个存储器模块的给定的存储器模块的工作密钥；

将所述工作密钥存储在所述给定的存储器模块的易失性存储器中；

通过使用所述工作密钥来在主要数据被存储在所述持久性存储器中之前对所述主要数据进行加密并且在所述主要数据从所述持久性存储器加载之后对所述主要数据进行解密，提供对所述主要数据的加载和存储存取，所述主要数据被存储加密在所述给定的存储器模块的持久性存储器中。