[发明专利]用于加密存储器的数据访问控制方法及控制系统

说明书

本发明涉及一种用于加密存储器的数据访问控制方法以及系统。所述加密存储器包括存储器控制器和存储介质，所述存储器控制器设置有密码算法引擎，所述密码算法引擎包括高速密钥寄存器，所述高速密钥寄存器包括多个槽位，所述数据访问控制方法包括：接收数据访问命令，所述数据访问命令指定要访问的目标地址；检查所述目标地址所在分区对应的密钥是否已经加载到所述高速密寄存器中；如果不是，则检查所述多个槽位中是否仍有未被占用的槽位，并将所述目标地址所在分区对应的密钥加载到未被占用的槽位中；以及基于所述目标地址所在分区对应的密钥执行数据访问。这种方案在产品制造成本和系统性能之间取得合理的平衡，因此具有较高性价比。

技术领域

本申请涉及信息安全存储领域，特别涉及一种用于加密存储器的数据访问控制方法及控制系统。

背景技术

随着科学技术的进步，服务于各类用户的‘计算系统’正在发生潮流性的深刻变更，特别是迅速普及的‘云计算’平台正在改变传统的以PC为中心的个人计算环境，智能手机及平板电脑之类的个人终端将数以亿计的用户的计算需求连接至中心服务器，所执行的‘计算任务’亦从传统意义上的数据运算扩展到数字通讯、多媒体交互、导航、信息搜索等多种多样的应用。

催发这种历史性变更的技术支撑依赖很多科技产品的飞速进步。其中，大容量、高性能存储设备便是这类产品之一。今天的机械硬盘的容量已可达到十数TB，即便是几TB高性能的固态硬盘(SSD)也已在普通用户的鞭长可及范围之内。

普通用户因为无法预计自己在未来对计算资源的需求，在选购PC时往往选择远超自己当下需求的算力和存储容量，不但超需求选购浪费用户财力资源，并且由于计算技术日新月异，购买的计算机几乎转眼就过时了。然而由于用户对已注入的财力资源的不舍，不得不继续使用已落后的设备。云计算的兴起可以使这一状况大为改观。在云计算环境中，用户可以量体裁衣，按照自己当下的需求选购算力和存储容量，例如从1GB到几十GB不等。服务提供商按照用户需求在中心服务器上为用户按需求构建‘虚拟机’，包含一定的算力和存储容量。当用户的计算资源需求增加或减少时，只需重新调整自己的云端虚拟计算机的资源的配置，并与提供商缔结相应的合同。一台服务器可为多个用户的虚拟机提供宿主环境，使得用户和服务提供商各自满足自己的盈利和计算能力的需求。

参考图1，使用在这类应用中的存储设备因为需要存储多个用户的数据，保障用户的隐私和数据的安全就是一个无法避免的重要指标，实现多用户共享物理存储空间的一个自然的方法就是将物理空间按用户需求划分成多个分区，亦称逻辑分区，并在这些分区上构建虚拟硬盘。对多分区、多用户加密硬盘的应用场景来说，用户与分区之间的映射关系除去一个用户对应一个分区(虚拟盘)的状况以外，还可能出现一个用户对应多个分区，及一个分区对应于多个用户的情形，如图2所示。

保障用户数据安全的最常用的方法就是对每个分区用特有的密钥进行加密。换言之，需要对物理硬盘空间实现多分区、多密钥的加、解密操作，如图3所示。虽然一个物理硬盘的存储空间会被划分成多个虚拟硬盘，数据的加、解密通常都是通过同一组密码算法引擎实现。对不同虚拟硬盘的访问，只需通过更换对应授权对象的密钥来实现。这就需要存储器的控制系统高效率地管理和控制多个分区及其所对应的密钥。在极端情形下，一个存储器的控制系统可能会需要管理成百上千个分区，这便会同时需要管理所对应的成百上千个密钥。举例来说，如果一个物理硬盘的容量为4TB，而每个用户平均分配4GB的容量，则需要管理的分区及对应的密钥便会多达1000多个。

由此，在大数量用户、大数量分区的场景下如何基于密钥实现高效数据访问是一件值得非常关注的问题。

发明内容

有鉴于此，本发明提供一种用于加密存储器的数据访问控制方法及控制系统，高效实现大数量用户、大数量分区的密钥切换。

第一方面，本申请提供一种用于加密存储器的数据访问控制方法，所述加密存储器包括存储器控制器和存储介质，所述存储器控制器设置有密码算法引擎，所述密码算法引擎包括高速密钥寄存器，所述高速密钥寄存器包括多个槽位，所述数据访问控制方法在所述密码算法引擎使用，包括：