[发明专利]用于向静止数据提供透明在线加密的系统和方法

说明书

本申请涉及用于向静止数据提供透明在线加密的系统和方法。具体地，涉及向由主机装置的主机控制器存储的静止数据(DAR)提供透明在线加密的改进系统。在物理地联接至所述主机装置内的系统板的硬件装置中，实例化加密核心。所述加密核心包括存储装置代理、加密引擎、以及多个主机装置代理。所述多个主机代理当中的每一个主机代理都经由所述存储装置代理将所述主机控制器接口连接至多个持久性存储装置当中的一个持久性存储装置。所述存储装置代理将所述多个持久性存储装置暴露至所述主机控制器，作为单个持久性存储装置。所述加密核心对在所述主机控制器与加密存储装置之间交换的DAR进行加密和解密。

技术领域

本发明总体上但非排它地涉及具有集成持久性存储介质的系统和计算装置，并且更具体地说，涉及用于向存储在集成持久性存储部中的静止数据(DAR:Data-at-Rest)提供透明在线加密(in-line encryption)技术的系统。

背景技术

集成存储介质(如嵌入式多媒体卡(eMMC)存储装置)通常用于向计算装置提供用于存储数据的集成持久性存储器。计算装置经常使用这种集成存储介质来存储静止数据(DAR)。DAR通常是指：计算装置的主机处理器未处理的，也未驻留在计算装置的系统存储器中的数据。用于加密DAR的现有方法通常是带外加密技术(out-of-band encryptiontechnique)。例如，用于加密DAR的现有方法可以被实现为由计算装置的主机处理器所利用的分离服务。

这种现有的带外加密技术可以劣化计算装置的性能。例如，可以缩减主机处理器用于执行其它工作的可用性，同时利用该分离服务来加密DAR，由此劣化计算装置的吞吐量和/或等待时间性能。而且，可能会损害联接主机处理器和分离服务的通信路径，由此缩减了加密技术的有效性。由此，需要一种用于加密存储在集成存储介质中的DAR的改进方法和系统。

发明内容

提供该摘要，以按简化形式介绍选择的概念，其在下面详细描述中进一步描述。本摘要不是旨在标识本要求保护的发明的关键特征或基本特征，也不是旨在用于限制本要求保护的发明的范围。

本发明公开了一种用于安全地存储静态数据(DAR)，而不会劣化主机装置的性能(如上利用现有加密技术所述的)的基于硬件的、在线加密技术，例如，不像带外加密技术，基于硬件的加密引擎的技术效果透明地向主机装置提供在线DAR加密，由此释放主机处理器以执行其它工作。通过释放主机处理器来执行其它工作，基于硬件的加密引擎改进了主机装置的吞吐量和/或等待时间性能。

根据本发明一方面，提供了一种用于向由主机装置的主机控制器存储的DAR提供透明在线加密的系统。所述系统实例化加密核心，该加密核心包括存储装置代理、加密引擎、以及多个主机装置代理。所述多个主机代理当中的每一个主机代理都经由所述存储装置代理将所述主机控制器接口连接至多个持久性存储装置当中的一个持久性存储装置。所述多个持久性存储装置包括：加密存储装置，其向所述主机装置提供存储器，用于存储加密DAR；和恢复存储装置，其提供存储能够用于修复所述主机装置的系统资源的未加密恢复数据的存储器。所述存储装置代理将所述多个持久性存储装置暴露至所述主机控制器，作为单个持久性存储装置。所述系统还在所述存储装置代理处，从所述主机控制器接收用于启动数据传递操作的传递命令。所述系统基于由所述传递命令启动的所述数据传递操作和所述加密引擎的加密状态，来处理所述传递命令。