CN103577768A - 管理用于数据的安全存储的密钥的方法及其设备 - Google Patents
管理用于数据的安全存储的密钥的方法及其设备 Download PDFInfo
- Publication number
- CN103577768A CN103577768A CN201310339779.5A CN201310339779A CN103577768A CN 103577768 A CN103577768 A CN 103577768A CN 201310339779 A CN201310339779 A CN 201310339779A CN 103577768 A CN103577768 A CN 103577768A
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- encryption key
- storer
- decruption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Abstract
提供一种管理用于数据的安全存储的密钥的方法及其设备。所述设备包括:主控制器,被配置为处理命令;密码单元,被配置为基于主控制器处理命令的结果,加密第一密钥以形成加密密钥或者加密数据以形成加密数据,并基于主控制器处理命令的结果,对加密密钥或加密数据进行解密;散列单元,被配置为根据主控制器的控制来散列第一密钥;解密密钥存储器,被配置为存储第一密钥;以及加密密钥存储器,被配置为存储加密密钥。
Description
本申请要求于2012年8月6日提交的第10-2012-0085892号韩国专利申请的优先权,该申请的公开通过引用全部合并于此。
技术领域
本发明构思的示例实施例涉及数据存储方法和设备。
背景技术
随着移动装置中执行的应用的多样化,便利性已经增加,但处理重要数据(例如,财务数据、密钥、证书、国际移动装备身份(IMEI)和SimLock)的频率也已经增加,并且已经开发出了威胁到数据安全性的攻击技术。因此,可能重要的是,利用针对重要数据的密码技术来提供安全存储。安全存储特征是用于安全地存储并解密重要数据的技术。根据安全存储特征,在应用请求处理数据时安全地存储并管理数据,并且只允许所述应用访问数据。
安全存储特征可利用密码技术来保护数据免受没有数据访问权利的应用或恶意软件(即,恶意软件或病毒)的影响。安全存储特征还可利用用于安全地管理密码技术中使用的密钥的技术。
发明内容
至少一个示例实施例涉及一种密钥管理器。
在一个实施例中,所述密钥管理器包括:主控制器,被配置为处理命令;密码单元,被配置为基于主控制器处理命令的结果,对第一密钥进行加密以形成加密密钥或者对数据进行加密以形成加密数据,并基于主控制器处理命令的结果,对加密密钥或加密数据进行解密;散列单元,被配置为根据主控制器的控制来散列第一密钥;解密密钥存储器,被配置为存储解密密钥;以及加密密钥存储器,被配置为存储加密密钥。
在一个实施例中,主控制器包括:寄存器,被配置为存储命令;以及处理器,被配置为基于命令在有限状态机内的多个状态之间切换。
在一个实施例中,寄存器包括:命令寄存器,被配置为存储命令;以及状态寄存器,被配置为存储与命令相关联的状态信息。
在一个实施例中,命令包括命令类型和地址,其中,所述地址是解密密钥存储器中的解密密钥和加密密钥存储器中的加密密钥中的一个的地址。
在一个实施例中,命令包括密钥产生命令、密钥加密命令、密钥解密命令、密钥加载命令和密钥销毁命令中的一个。
在一个实施例中,第一密钥是被配置为对密钥进行加密的密钥加密密钥(KEK)。
在一个实施例中,密钥管理器还包括:一次性可编程(OTP)存储器,被配置为产生KEK;以及随机数产生器,被配置为产生数据加密密钥(DEK),DEK被配置为加密数据。
在一个实施例中,加密密钥包括第一加密密钥部分、第二加密密钥部分和散列值,第一加密密钥部分包括第一密钥的第一部分和由随机数产生器产生的随机数的第一部分,并且第二加密密钥部分包括第一密钥的第二部分和所述随机数的第二部分。
在一个实施例中,密码单元包括:密钥寄存器,被配置为存储加密密钥;输入数据寄存器,被配置为存储数据;以及输出数据寄存器,被配置为存储加密数据和解密密钥中的一个或多个。
在一个实施例中,密钥管理器还包括:调试模式模块,被配置为允许主机在测试模式期间访问密钥寄存器、输入数据寄存器和输出数据寄存器。
在一个实施例中,调试模式模块包括:调试模式寄存器,包括测试模式使能位、随机数使能位和保留位;以及调试模式使能逻辑单元,被配置为响应于测试模式使能位和随机数使能位来使得能够进行测试模式。
在一个实施例中,密码单元、散列单元、解密密钥存储器和加密密钥存储器在硬件中实现。
在一个实施例中,主控制器被配置为允许主机读取存储在加密密钥存储器中的加密密钥,并防止主机访问解密密钥存储器、密码单元和散列单元。
至少一个示例实施例涉及一种管理第一密钥的方法。
在一个实施例中,所述方法包括:处理命令寄存器中存储的命令;如果命令是密钥产生命令,则使用随机数产生器产生第一随机数,并将所产生的随机数作为解密密钥存储在解密密钥存储器中;以及如果命令是密钥加密命令,则产生加密密钥。产生加密密钥的步骤包括:对解密密钥和第一密钥的散列部分进行加密以形成加密密钥,将加密密钥存储在加密密钥存储器中,并且从加密密钥存储器读取并输出加密密钥。
在一个实施例中,命令包括加密密钥和解密密钥中的一个的命令类型和地址。
在一个实施例中,产生加密密钥的步骤包括:从解密密钥存储器读取解密密钥;通过将解密密钥与第二随机数混合来产生散列值;通过对解密密钥、第二随机数和散列值执行加密来产生加密密钥;以及将加密密钥存储在加密密钥存储器中。
至少一个示例实施例涉及一种密钥管理器。
在一个实施例中,所述密钥管理器包括:随机数产生器,被配置为产生随机数;存储器,被配置为存储第一密钥;以及主控制器,被配置为将随机数存储在解密密钥存储的地址中,基于第一密钥和随机数的散列部分来加密第一密钥以形成加密密钥,并将加密密钥存储在加密密钥存储器中,解密从外部主机接收的加密密钥以形成解密密钥,并控制与外部主机的通信,使得在正常操作模式下,允许外部主机访问加密密钥存储器并防止外部主机访问解密密钥存储器。
附图说明
通过参照附图详细描述本发明构思的示例性实施例,本发明构思的上述和其它特征和优点将变得更加清楚,其中:
图1是根据本发明构思的一些示例实施例的数据处理系统的功能框图;
图2是图1中示出的密钥管理器的详细框图;
图3是密钥的层次结构的示图;
图4是根据本发明构思的一些示例实施例的从解密密钥产生加密密钥的处理的示图;
图5是根据本发明构思的一些实施例的图2中示出的命令寄存器的示图;
图6是密钥产生命令的处理流程的示图;
图7是密钥加密命令的处理流程的示图;
图8是密钥解密命令的处理流程的示图;
图9是密钥加载命令的处理流程的示图;
图10是密钥销毁命令的处理流程的示图;
图11是与解密密钥存储器中存储的解密密钥条目对应的有效位的示图;
图12是密钥的生命周期的示图;
图13是根据本发明构思的一些实施例的密钥管理器的有限状态机的转变示图;
图14是根据本发明构思的一些实施例的调试模式模块的框图;
图15是根据本发明构思的其它实施例的数据处理系统的框图。
具体实施例
下文中,参照附图描述本发明构思,在附图中示出示例实施例。然而,这些示例实施例可用许多不同形式来实施,并且不应该被理解为局限于在此所阐述的示例实施例。相反地,提供这些示例实施例使得本发明将是彻底和完全的,并且将把实施例充分地传达给本领域的技术人员。在附图中,为了清晰起见,可夸大层和区域的大小和相对大小。相同标号始终表示相同元件。
应该理解的是,当元件被称作“连接”或“结合”至另一元件时,该元件可直接连接或结合至其它元件,或者可能存在中间元件。相反,当元件被称作“直接连接”或“直接结合”至另一元件时,不存在中间元件。如在这里使用的,术语“和/或”包括一个或多个相关所列项的任意组合和所有组合,并可被缩写为“/”。
应该理解的是,尽管这里可使用术语“第一”、“第二”等来描述各种元件,但这些元件应该不受这些术语限制。这些术语只是用于将一个元件与另一个元件区分开。例如,在不脱离本公开的教导的情况下,第一信号可被称为第二信号,并且类似地,第二信号可被称为第一信号。
这里使用的术语只是为了描述具体实施例的目的,而不意图限制本发明。如这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式。还将理解的是,当在本说明书中使用术语“包含”或“包括”时,说明存在所述特征、区域、整体、步骤、操作、元件和/或组件,但不排除存在或附加一个或多个其它特征、区域、整体、步骤、操作、元件、组件和/或其组合。
除非另有定义,否则这里使用的所有术语(包括技术术语和科学术语)具有与本领域的普通技术人员通常所理解的意思相同的意思。将进一步理解的是,除非这里明确定义,否则术语(例如在通用字典中定义的术语)应该被解释为具有与相关技术和/或本申请的上下文中的它们的意思相一致的意思,而不应以理想的或过于正式的意思来解释所述术语。
图1是根据本发明构思的一些示例实施例的数据处理系统10的功能框图。
如图1所示,数据处理系统10可包括片上系统(SOC)100、显示装置135和外部存储装置155。数据处理系统10可以是移动装置、智能电话、个人数字助理(PDA)、个人计算机(PC)、平板PC、笔记本、上网本、电子阅读器、便携式多媒体播放器(PMP)、MP3播放器或MP4播放器,但不限于此。
SOC100可以是应用处理器。应用处理器可控制数据处理系统10的整体操作。SOC100可以包括中央处理单元(CPU)110、密钥管理器120、显示控制器130、只读存储器(ROM)140、随机存取存储器(RAM)160、存储控制器150和总线。SOC100还可包括其它元件,例如电源管理单元、电视(TV)处理器、图形处理单元(GPU)和时钟单元。
CPU110可根据例如操作时钟频率来处理或执行存储器140、160或155中存储的程序和/或数据。CPU110可被实现为多核处理器。多核处理器是具有两个或更多个独立的实际处理器(被称为“核”)的单个计算组件。这些处理器中的每个可读取并执行程序指令。多核处理器可以同时驱动多个加速器,因此,包括多核处理器的数据处理系统可执行多加速(multi-acceleration)。
密钥管理器120管理用于加密的密钥,并且对数据和密钥进行加密和解密。安全存储是一种用于只允许被授权的用户或程序访问重要数据的技术。为了安全存储,将数据加密并安全地存储在存储器中,然后当使用所述数据时将所述数据解密,使得所述数据免受非法用户或程序的影响。关于非法访问的判断取决于该访问是否有权限使用用于加密的密钥。
密钥管理器120保护密钥免受密钥嗅探攻击(key sniffing attack)和密钥攻陷攻击(key corruption attack)。密钥嗅探攻击是对密钥的非法访问而密钥攻陷攻击是损坏或破坏密钥。因此,为了安全地管理密钥,密钥管理器120阻挡对密钥的这些非法访问并可确认密钥的完整性。
密钥管理器120提供密钥管理功能。密钥管理功能涉及密钥的整个生命周期的管理,包括密钥的创建、使用、存储、解密和销毁。密钥管理功能包括加密密钥并将其存储在非易失性存储器中为可能的断电作准备,以及在必要时解密密钥。密钥管理功能还包括密钥加密、密钥散列和禁止主机(例如,在主机中执行的软件或应用)访问密钥的访问控制。
根据本发明构思的一些示例实施例,主机可仅通过命令来操作密钥管理器120,并且软件不允许访问密钥。
存储在外部存储装置155中的程序和/或数据可在必要时被加载到SOC100内的内存或CPU110。
ROM140可存储永久的程序和/或数据。可以用可擦除可编程ROM(EPROM)或电可擦除可编程ROM(EEPROM)来实现ROM140。
RAM160可以暂时存储程序、数据或指令。可根据ROM140中存储的启动代码或者CPU110的控制,将存储在ROM140中的程序和/或数据暂时存储在RAM160中。可用动态RAM(DRAM)或静态RAM(SRAM)实现RAM160。
存储控制器150用于与外部存储装置155连接。存储控制器150控制外部存储装置155的整体操作,并控制主机和外部存储装置155之间的数据通信。存储控制器150可控制外部存储装置155以在主机请求时写入或读取数据。主机可以是主要装置,例如CPU110或显示控制器130。
外部存储装置155是用于存储数据的存储装置,并可存储操作系统(OS)和各种类型的程序和数据。可用易失性存储器(例如DRAM)或非易失性存储器(例如闪存存储器、相变RAM(PRAM)、磁阻式RAM(MRAM)、电阻式RAM(ReRAM)或铁电RAM(FeRAM))来实现外部存储装置155。在其它实施例中,外部存储装置155可被嵌入SOC100中。
元件110至160可以通过总线相互通信。
显示装置135可显示多媒体数据。显示装置135可以是液晶显示(LCD)装置,但本发明构思不限于此。在其它示例实施例中,显示装置135可以是发光二极管(LED)显示装置、有机LED(OLED)显示装置或者其它类型的显示装置中的一种。显示控制器130控制显示装置135的操作。
图2是图1中示出的密钥管理器120的详细框图。
参照图2,密钥管理器120包括密钥管理器核200、密钥产生器和密钥存储器。
密钥管理器核200包括寄存器210、主控制器220、分组密码单元230和散列单元240。
密钥产生器包括随机数字产生器250和一次性可编程(OTP)存储器260。尽管OTP存储器260被图示为在密钥管理器120内,但在其它示例实施例中,OTP存储器260可被设置在密钥管理器120的外部。
密钥存储器包括存储加密密钥的加密密钥存储器280和存储还没有加密的密钥的解密密钥存储器270。
密钥管理器核200可在硬件中实现。还可用硬件模块来实现分组密码单元230、散列单元240和存储器270和280,但本发明构思不限于此。
密钥管理器核200支持具有各种密钥大小的分组密码,并响应于不同的命令来提供密钥产生功能、密钥加密功能、密钥解密功能、密钥加载功能和密钥销毁功能。
寄存器210包括命令寄存器211和状态寄存器212。命令寄存器211存储从主机21接收的命令。状态寄存器212存储执行主机21的命令的结果。使用中断或轮询方法,将状态寄存器212的数据报告给主机21。
主控制器220解释并执行来自主机21的命令。可用有限状态机(FSM)来实现主控制器220。
分组密码单元230可根据主控制器的控制对数据和密码进行加密或解密(或恢复)。分组密码单元230可从密钥产生器中的随机数产生器250接收用于加密数据的密钥(下文中,被称为“数据加密密钥(DEK)”)。可用硬件随机数产生器(HRNG)、真随机数产生器(TRNG)或伪随机数产生器(PRNG)来实现随机数产生器250。分组密码单元230可从OTP存储器260接收用于加密密钥的密钥(下文中,被称为“密钥加密密钥(KEK)”)。分组密码单元230可包括核逻辑231、密钥寄存器232、输入数据寄存器233和输出数据寄存器234。
核逻辑231是执行加密和解码的逻辑。密钥寄存器232暂时存储用于加密或解码密钥的密钥(即,KEK)或用于加密或解密数据的密钥(即,DEK)。输入数据寄存器233暂时存储将被加密或解密的密钥或数据。输出数据寄存器234暂时存储经过加密或解密的密钥或数据。
加密相同的密钥产生相同的密码。因此,当将加密密钥存储在外部存储器中时,即使并不知道密钥的真实值,也可检查密钥的相同性。为了防止发生对密钥的嗅探,在加密期间,将随机数与密钥混合,以使加密密钥随机化。可由随机数产生器250产生所述随机数。
散列单元240根据主控制器的控制来散列密钥。散列单元240的散列算法是将具有随机长度的输入值转换成具有固定长度的输出值的函数。这里,所述输出值是散列值。随后将描述散列单元240的操作。
解密密钥存储器270存储从随机数产生器250产生的原始密钥,即,还不是被加密的密钥或被解密的密钥的密钥。加密密钥存储器280存储经过加密的将被发送到外部的密钥。
密钥管理器120通过主机接口22与主机21连接。主机接口22在主机21和密钥管理器120之间传输命令、状态和密钥。主机接口22可以是高级微控制器总线架构(AMBA)高性能总线(AHB)从属接口,但示例实施例不限于此。
密钥管理器120中使用的密钥被划分为加密密钥和解密密钥。解密密钥是还没有加密的密钥。解密密钥只在密钥管理器120内使用并且不能被主机21访问。加密密钥是已经加密的将被发送出去以存储解密密钥的密钥。使用随机数和密钥的散列值来加密密钥,以使密钥随机化。
图3是密钥的层次结构的示图。
参照图3,存在两种类型的密钥:一种是系统级使用的密钥加密密钥KEK30;另一种是用户级使用的数据加密密钥DEK31。KEK是用于加密密钥的密钥并且也被称为根密钥(root key)。KEK由核200的外部(例如,由OTP存储器260)提供。使用DEK31-1至31-N加密数据。DEK31-1至31-N由随机数产生器(例如,TRNG或PRNG)250产生并且被存储在解密密钥存储器270中。
图4是根据本发明构思的一些示例实施例的从解密密钥产生加密密钥的处理的示图。
参照图4,解密密钥可被划分为两个部分:第一解密密钥部分DEK_1和第二解密密钥部分DEK_2。由随机数产生器250产生的随机数也可被划分为两个部分:第一随机数部分RN_1和第二随机数部分RN_2。
第一解密密钥部分DEK_1和第一随机数部分RN_1被组合成第一加密密钥部分41。换句话讲,第一加密密钥部分41由第一解密密钥部分DEK_1和第一随机数字部分RN_1组成。第二解密密钥部分DEK_2和第二随机数部分RN_2被组合成第二加密密钥部分42。换句话讲,第二加密密钥部分42由第二解密密钥部分DEK_2和第二随机数部分RN_2组成。
解密密钥可由M位组成,其中,M是至少为2的整数。由随机数产生器250产生的随机数也还可由M位组成,但解密密钥中的位数没必要与随机数中的位数相同。
解密密钥的一部分(例如,高位)可对应于第一解密密钥部分DEK_1,并且解密密钥的剩余部分(例如,低位)可对应于第二解密密钥部分DEK_2,但本发明构思不限于此。由随机数产生器250产生的随机数的一部分(例如,高位)可对应于第一随机数部分RN_1,并且随机数的另一部分(例如,中间位)可对应于第二随机数部分RN_2,但本发明构思不限于此。
加密密钥包括第一加密密钥部分41、第二加密密钥部分42和散列值43。从加密密钥产生解密密钥的处理(即,解密处理)与上述的加密处理相反。
图5是根据本发明构思的一些实施例的图2中示出的命令寄存器211的示图。参照图5,命令包括命令类型211a COMMAND_TYPE和解密密钥地址22b REDMEM_ADDR。因此,命令寄存器211具有用于存储命令类型COMMAND_TYPE和解密密钥地址REDMEM_ADDR的结构。
命令类型COMMAND_TYPE可以是指示需要多个密钥命令中的哪一个的数字。也就是说,命令类型COMMAND_TYPE可以是指示需要多个密钥命令中的哪一个的数字。解密密钥地址REDMEM_ADDR是解密密钥的目标地址。
密钥命令可包括密钥产生命令、密钥加密命令、密钥解密命令、密钥加载命令和密钥销毁命令。这些密钥命令可以是预先定义或者预先确定的。
图6至图10是响应于命令处理各个命令的操作的流程图。可由数据处理系统10执行图6至图10中示出的操作。
图6是密钥产生命令的处理流程的示图。
如图6中所示,在操作S110中,主机21将密钥产生命令写入命令寄存器211。例如,主机21可以将与密钥产生命令对应的命令类型和解密密钥地址写入命令寄存器211。一旦密钥产生命令被写入命令寄存器211,主控制器220就解释并执行来自命令寄存器211的命令。
详细地,在操作S120中,主控制器220从随机数产生器250接收解密密钥。解密密钥是随机数产生器250产生的随机数。此后,在操作S130中,主控制器220将解密密钥写入解密密钥存储器270中的解密密钥地址。
图7是密钥加密命令的处理流程的示图。
如图7中所示,在操作S210中,主机21将密钥加密命令写入命令寄存器211。例如,主机21可将与密钥加密命令对应的命令类型和地址写入命令寄存器211。一旦密钥加密命令被写入命令寄存器211,主控制器220就解释并执行来自命令寄存器211的命令。
在操作S220中,主控制器220从解密密钥存储器270中的地址读取解密密钥并将所述解密密钥发送到分组密码单元230和散列单元240。在操作S230中,散列单元240将解密密钥与从随机数产生器250接收的随机数混合,以产生散列值。散列单元240将散列值发送到分组密码单元230。在操作S240中,分组密码单元230使用KEK对解密密钥、随机数和散列值进行加密。KEK可以由OTP存储器260来提供。在操作S250中,将产生的加密密钥存储在加密密钥存储器280中。在操作S260中,主机21从加密密钥存储器280读取加密密钥并将其存储在外部存储装置155中。
图8是密钥解密命令的处理流程的示图。
如图8中所示,在操作S310中,主机21通过主机接口22从外部存储装置155读取加密密钥并将其写入加密密钥存储器280,然后,在操作S320中,将密钥解密命令写入命令寄存器211。此时,主机21可将与密钥解密命令对应的命令类型和地址写入命令寄存器211。一旦密钥解密命令被写入命令寄存器211,主控制器220就解释并执行来自命令寄存器211的命令。
在操作S330中,主控制器220从加密密钥存储器280读取加密密钥并将其发送到分组密码单元230,并且分组密码单元230通过与上述加密处理相反的处理从加密密钥产生解密密钥。在操作S340中,将解密密钥发送到散列单元240,并且散列单元240使用解密密钥产生散列值,并比较该散列值与加密密钥中的散列值以检查密钥的完整性。在操作S350中,如果解密密钥通过了完整性检查,则将所述解密密钥写入解密密钥存储器270中其相应的地址。
图9是密钥加载命令的处理流程的示图。密钥加载命令用于加密数据。在操作S410中,主机21将密钥加载命令写入命令寄存器211。详细地讲,主机21可将与密钥加载命令对应的命令类型和地址写入命令寄存器211。一旦密钥加载命令被写入命令寄存器211,主控制器220就解释并执行来自命令寄存器211的命令。详细地讲,在操作S420中,主控制器220从解密密钥存储器270中的地址读取解密密钥,并将其写入分组密码单元230中的密钥寄存器232。
图10是密钥销毁命令的处理流程的示图。密钥销毁命令用于销毁密钥。在操作S510中,主机21将密钥销毁命令写入命令寄存器211。详细地讲,主机21可将与密钥销毁命令对应的命令类型和地址写入命令寄存器211。一旦密钥销毁命令被写入命令寄存器211,主控制器就解释并执行来自命令寄存器211的命令。详细地讲,在操作S520中,主控制器220将存储在解密密钥存储器270中的地址中的密钥转换成“0”。
状态寄存器212使用中断或轮询方法将执行命令的结果(例如,四种结果之一)报告给主机21。例如,在执行命令期间,主控制器220将命令执行结果(例如命令执行完成或者命令执行失败)写入状态寄存器212。此时,可使用中断将写入状态寄存器212的状态报告给主机21,或者主机21可以周期性地读取写入状态寄存器212的状态。
图11是与解密密钥存储器(或原始DEK存储器)270中存储的解密密钥条目对应的有效位的示图。参照图11,密钥管理器120管理分别与解密密钥存储器270中存储的解密密钥条目对应的有效位。
有效位可由单个位组成并且可具有“1”或“0”的值。可只针对通过密钥产生命令或密钥解密命令而产生的解密密钥条目,将有效位设置为“1”。这是因为,当被重设为值“0”的解密密钥存储器270中没有有效位时,不能将有效密钥(或随机密钥)与具有所有值为“0”的密钥区分开。当访问值的位没有被设置为“1”的解密密钥条目时,将命令失败报告给主机21。当使用具有所有值为“0”的密钥时,这意味着,主机21已知的值被用作DEK,这削弱了安全性。
只有当解密密钥存储器270中存储的解密密钥条目是通过密钥产生命令或者密钥解密命令产生时,主控制器220才可将有效位设置为“1”。主控制器220可检查解密密钥存储器270中的解密密钥条目是否是零密钥,并且当解密密钥条目是零密钥时,主控制器220可将相应的有效位设置为“0”。零密钥是具有所有位为“0”的密钥。有效位的默认值可以为“0”。
根据一些示例实施例,主机21可通过主机接口22设置密钥和数据,在其它示例实施例中,密钥管理器120可响应于从主机接收的命令来设置密钥和数据,并出了安全考虑,可限制主机21访问这些密钥和数据。有限状态机(FSM)可用于在某些状态下防止主机21访问数据或清除数据,并在其它状态下控制对数据的访问或清除。
图12是密钥的生命周期的示图。图13是根据本发明构思的一些示例实施例的密钥管理器120的FSM的转变示图。
参照图12,在阶段S10中产生密钥,在阶段S20中使用密钥,在阶段S30中存储并解密密钥,并在阶段S40中销毁密钥。
参照图13,密钥管理器120的FSM可具有五种状态,即,默认状态、使用状态、存储状态、解密状态和错误处理状态。
在默认状态下,密钥和数据不受保护。当在默认状态下响应于密钥加载命令加载密钥时,转变至使用状态。
在使用状态下,密钥被加载到分组密码单元230的密钥寄存器232并用于加密数据。在使用状态下,其中已经加载了密钥的密钥寄存器232受到保护。换句话讲,阻止主机21访问密钥寄存器232。在使用状态下,如果主机21设置了分组密码单元230的密钥寄存器232,则从存储状态转变至默认状态,并清除分组密码单元230的密钥寄存器232。
当在默认状态或使用状态下响应于密钥加密命令开始密钥加密时,转变至存储状态。在存储状态下,处理密钥加密命令。在这种状态下,密钥寄存器232和输入数据寄存器233受到保护。换句话讲,阻止主机21访问密钥寄存器232和输入数据寄存器233。此时,主机21可访问并读取被写入输出数据寄存器234的加密数据。当完成密钥加密时,从存储状态转变至默认状态。在转变期间,密钥寄存器232和输入数据寄存器233被初始化。换句话讲,从密钥寄存器232和输入数据寄存器233中清除值。
当在默认状态或使用状态下响应于密钥解密命令开始密钥解密时,转变至解密状态。在解密状态下,处理密钥解密命令。在这种状态下,密钥寄存器232和输出数据寄存器234受到保护。换句话讲,阻止主机21访问密钥寄存器232和输出数据寄存器234。当完成密钥解密时,从解密状态转变至默认状态。在转变期间,密钥寄存器232和输出数据寄存器234被初始化。换句话讲,从密钥寄存器232和输出数据寄存器234中清除值。
在错误处理状态下,处理错误。当在默认状态下输入异常命令时,转变至错误处理状态。当在解密状态下出现密钥散列不匹配时,转变至错误处理状态。此时,密钥寄存器232和输出数据寄存器234被初始化。密钥散列不匹配意味着,由散列单元240产生的散列值不同于加密密钥中的散列值。
密钥管理器120可支持调试模式,以为调试提供方便。出于安全考虑,在执行某些命令期间,不允许主机21访问密钥管理器120的主存储器。因此,可能难以在现场可编程门阵列(EPGA)或芯片测试中进行调试。为了解决这个问题,可允许主机21在调试模式期间访问密钥管理器120的主寄存器。
例如,可允许主机21在调试模式期间访问和读取有效位寄存器、输入数据寄存器233、输出数据寄存器234、密钥寄存器232和散列输出寄存器243中的数据。另外,可允许主机21从随机数寄存器和解密密钥存储器270读取数据,并将用户设置的值写入随机数寄存器和解密密钥存储器270,使得可使用用户想要的值进行测试。
图14是根据本发明构思的一些示例实施例的调试模式模块310的框图。调试模式模块310是使得能够进行调试模式的电路。
参照图14,调试模式模块310包括调试模式使能逻辑单元320和测试模式寄存器。调试模式模块310可被包括在密钥管理器120内。
测试模式寄存器可以是32位寄存器。它可包括测试模式使能位r_test_mode_en、随机数使能位r_test_rnd_en和保留位。
调试模式使能逻辑单元320可包括第一AND元件321和第二AND元件322。第一AND元件321对通过将从OTP存储器260产生的OTP位i_test_mode_en和测试模式使能位r_test_mode_en求反而得到的值执行AND运算。第二AND元件322对第一AND元件321的输出o_test_mode_en和随机数使能位r_test_rnd_en执行AND运算,并产生输出o_test_rnd_en。
测试模式使能位r_test_mode_en可以具有初始值“0”,并且可以只被写入一次。通过OTP位i_test_mode_en和测试模式使能位r_test_mode_en来确定调试模式使能。当这两个位都为“0”时,第一AND元件321的输出o_test_mode_en是使得能够进行调试模式的“1”。因此,在OTP位i_test_mode_en和测试模式使能位r_test_mode_en都为“0”(即,有效低)时,继续调试模式。当OTP位i_test_mode_en被设置为“1”或者值“1”被写入测试模式使能位r_test_mode_en时,调试模式会被终止。
随机数使能位r_test_rnd_en允许在调试模式期间用户的随机数被写入随机数寄存器。当在调试模式下随机数使能位r_test_rnd_en为“1”时,第二AND元件322的输出o_test_rnd_en是使得能够进行调试模式的“1”。因此,当随机数字使能位r_test_rnd_en为“1”时,用户指定的随机数字可被写入随机数字寄存器并被测试。
图15是根据本发明构思的其它实施例的数据处理系统500的框图。
参照图15,数据处理系统500可被实现为个人计算机(PC)、笔记本、膝上型计算机或数据服务器。数据处理系统500也可被实现为便携式装置。便携式装置可以是蜂窝电话、智能电话、平板个人计算机(PC)、个人数字助理(PDA)、企业数字助理(EDA)、数字静态相机、数字摄像机、便携式多媒体播放器(PMP)、便携式导航装置(PDN)、手持游戏操作台或e(电子)书装置。
数据处理系统500包括处理器100、电源410、存储器420、内存430、I/O端口440、扩展卡450、网络装置460和显示器470。数据处理系统500还可包括相机模块480。
处理器100可以是图1中示出的片上系统(SoC)。处理器100可以是多核处理器。
处理器100可控制元件100和410至480中的至少一个的操作。电源410可向元件100和410至480中的至少一个提供操作电压。可用硬盘驱动器(HDD)或固态驱动器(SSD)实现存储器420。
可用易失性或非易失性存储器实现内存430,并且内存430可对应于图1中示出的存储装置155。
控制对内存430的数据访问操作(例如读操作、写操作(或编程操作)或擦除操作)的存储控制器(未示出)可被集成到或者嵌入到处理器100中。可选地,存储控制器可以设置在处理器100和内存430之间。
I/O端口440是接收被发送到数据处理系统500的数据或者将数据从数据处理系统500发送到外部装置的端口。例如,I/O端口440可包括与点击装置(例如计算机鼠标)连接的端口、与打印机连接的端口和与USB驱动器连接的端口。
扩展卡450可被实现为安全数字(SD)卡或多媒体卡(MMC)。扩展卡450可以是用户识别模块(SIM)卡或通用SIM(USIM)卡。
网络装置460使得数据处理系统500能够与有线或无线网络连接。显示器470显示从存储器420、内存430、I/O端口440、扩展卡450或网络装置460输出的数据。
相机模块480可将光学图像转换成电子图像。因此,从相机模块480输出的电子图像可被存储在存储器420、内存430或扩展卡450中。并且,可通过显示器470显示从相机模块480输出的电子图像。
本发明构思还可被实施为计算机可读介质上的计算机可读代码。计算机可读记录介质是可将数据存储为此后可被计算机系统读取的程序的任何数据存储装置。计算机可读记录介质的示例包括只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光学数据存储装置。
计算机可读记录介质还可被分布在联网的计算机系统上,使得计算机可读代码以分布式方式被存储和执行。另外,编程人员可容易地理解用于实现本发明构思的功能程序、代码和代码段。
如上所述,根据一些示例实施例,允许主机只通过命令来访问密钥管理器中的密钥,并且控制软件不直接访问密钥,使得在从密钥产生到密钥销毁的整个生命周期期间安全地管理密钥。
虽然已经参照本发明构思的示例实施例具体示出和描述了本发明构思,但本领域的普通技术人员应该理解,在不脱离由权利要求书限定的本发明构思的精神和范围的情况下,可在实施例中进行形式和细节上的各种变化。
Claims (20)
1.一种密钥管理器,包括:
主控制器,被配置为处理命令;
密码单元,被配置为
基于主控制器处理命令的结果,对第一密钥进行加密以形成加密密钥或者对数据进行加密以形成加密数据,并且
基于主控制器处理命令的结果,对加密密钥或加密数据进行解密;
散列单元,被配置为根据主控制器的控制来散列第一密钥;
解密密钥存储器,被配置为存储第一密钥;以及
加密密钥存储器,被配置为存储加密密钥。
2.如权利要求1所述的密钥管理器,其中,主控制器包括:
寄存器,被配置为存储命令;以及
处理器,被配置为基于命令在有限状态机内的多个状态之间切换。
3.如权利要求2所述的密钥管理器,其中,寄存器包括:
命令寄存器,被配置为存储命令;以及
状态寄存器,被配置为存储与命令相关联的状态信息。
4.如权利要求3所述的密钥管理器,其中,命令包括命令类型和地址,其中,所述地址是解密密钥存储器中的第一密钥和加密密钥存储器中的加密密钥中的一个的地址。
5.如权利要求4所述的密钥管理器,其中,命令包括密钥产生命令、密钥加密命令、密钥解密命令、密钥加载命令和密钥销毁命令中的一个。
6.如权利要求1所述的密钥管理器,其中,第一密钥是被配置为对密钥进行加密的密钥加密密钥(KEK)或被配置为对数据进行加密的数据加密密钥(DEK)。
7.如权利要求6所述的密钥管理器,还包括:
一次性可编程(OTP)存储器,被配置为产生KEK;以及
随机数产生器,被配置为产生DEK。
8.如权利要求7所述的密钥管理器,其中,加密密钥包括:
第一加密密钥部分、第二加密密钥部分和散列值,第一加密密钥部分包括第一密钥的第一部分和由随机数产生器产生的随机数的第一部分,并且第二加密密钥部分包括第一密钥的第二部分和所述随机数的第二部分。
9.如权利要求1所述的密钥管理器,其中,密码单元包括:
密钥寄存器,被配置为存储加密密钥;
输入数据寄存器,被配置为存储数据;以及
输出数据寄存器,被配置为存储加密数据和解密密钥中的一个或多个。
10.如权利要求9所述的密钥管理器,还包括:
调试模式模块,被配置为允许主机在测试模式期间访问密钥寄存器、输入数据寄存器和输出数据寄存器。
11.如权利要求10所述的密钥管理器,其中,调试模式模块包括:
调试模式寄存器,包括测试模式使能位、随机数使能位和保留位;以及
调试模式使能逻辑单元,被配置为响应于测试模式使能位和随机数使能位来使得能够进行测试模式。
12.如权利要求1所述的密钥管理器,其中,密码单元、散列单元、解密密钥存储器和加密密钥存储器在硬件中实现。
13.如权利要求1所述的密钥管理器,其中,主控制器被配置为允许主机读取存储在加密密钥存储器中的加密密钥,并防止主机访问解密密钥存储器、密码单元和散列单元。
14.一种管理第一密钥的方法,所述方法包括:
处理命令寄存器中存储的命令;
如果命令是密钥产生命令,则使用随机数产生器产生第一随机数,并将所产生的随机数作为解密密钥存储在解密密钥存储器中;以及
如果命令是密钥加密命令,则产生加密密钥,产生加密密钥的步骤包括:
对解密密钥进行加密以形成加密密钥,
将加密密钥存储在加密密钥存储器中,并且
从加密密钥存储器读取并输出加密密钥。
15.如权利要求14所述的方法,其中,命令包括加密密钥和解密密钥中的一个的命令类型和地址。
16.如权利要求15所述的方法,其中,产生加密密钥的步骤包括:
从解密密钥存储器读取解密密钥;
通过将解密密钥与由随机数产生器产生的第二随机数混合来产生散列值;
通过对解密密钥、第二随机数和散列值执行加密来产生加密密钥;以及
将加密密钥存储在加密密钥存储器中。
17.一种密钥管理器,包括:
随机数产生器,被配置为产生随机数;
存储器,被配置为存储第一密钥;以及
主控制器,被配置为
将随机数存储在解密密钥存储的地址中,
基于第一密钥和随机数的散列部分来加密第一密钥以形成加密密钥,并将加密密钥存储在加密密钥存储器中,
解密从外部主机接收的加密密钥以形成解密密钥,并且
控制与外部主机的通信,使得在正常操作模式下,允许外部主机访问加密密钥存储器并防止外部主机访问解密密钥存储器。
18.如权利要求17所述的密钥管理器,其中,主控制器被配置为通过以下处理加密第一密钥:
基于第一散列值散列所选择的随机数字的一部分和第一密钥的一部分,以形成散列密钥,
加密散列密钥和第一散列值以形成加密密钥,并且
将加密密钥存储在加密密钥存储器中。
19.如权利要求17所述的密钥管理器,其中,主控制器被配置为通过以下处理解密加密密钥:
基于第一散列值和随机数解密加密密钥,以形成解密密钥;以及
对解密密钥执行完整性检查,执行完整性检测的步骤包括:
基于解密密钥产生第二散列值,并且
比较产生的第二散列值与解密密钥的第一散列值。
20.如权利要求17所述的密钥管理器,其中,在调试模式下,主控制器被配置为允许外部主机访问解密密钥存储器。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120085892A KR102013841B1 (ko) | 2012-08-06 | 2012-08-06 | 데이터의 안전한 저장을 위한 키 관리 방법 및 그 장치 |
| KR10-2012-0085892 | 2012-08-06 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103577768A true CN103577768A (zh) | 2014-02-12 |
Family
ID=49999318
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310339779.5A Pending CN103577768A (zh) | 2012-08-06 | 2013-08-06 | 管理用于数据的安全存储的密钥的方法及其设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9094190B2 (zh) |
| KR (1) | KR102013841B1 (zh) |
| CN (1) | CN103577768A (zh) |
| DE (1) | DE102013108394A1 (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104902138A (zh) * | 2014-03-06 | 2015-09-09 | 佳能株式会社 | 加密/解密系统及其控制方法 |
| CN105468935A (zh) * | 2015-11-13 | 2016-04-06 | 福州瑞芯微电子股份有限公司 | 一种保证key安全烧录的方法、发送端、工具端及烧录端 |
| CN106462439A (zh) * | 2014-05-05 | 2017-02-22 | 微软技术许可有限责任公司 | 以持续所有者访问对加密虚拟机的安全传输 |
| CN106664209A (zh) * | 2014-08-26 | 2017-05-10 | 国际商业机器公司 | 基于密码的秘密加密密钥的生成和管理 |
| CN106845254A (zh) * | 2017-01-20 | 2017-06-13 | 杭州华澜微电子股份有限公司 | 一种用于计算机的加密数据传输线 |
| CN108139984A (zh) * | 2015-10-06 | 2018-06-08 | 美光科技公司 | 安全子系统 |
| CN108287768A (zh) * | 2017-01-09 | 2018-07-17 | 三星电子株式会社 | 操作半导体装置的方法 |
| CN108416220A (zh) * | 2017-02-09 | 2018-08-17 | 深圳市中兴微电子技术有限公司 | 一种访问控制方法及装置 |
| CN108701200A (zh) * | 2015-12-24 | 2018-10-23 | 黑文技术私人有限公司 | 改善的存储系统 |
| CN108701191A (zh) * | 2015-12-16 | 2018-10-23 | 纳格拉维森公司 | 硬件完整性检查 |
| CN109829316A (zh) * | 2017-11-23 | 2019-05-31 | 三星电子株式会社 | 加密设备、包括所述加密设备的片上系统以及电子设备 |
| CN110020561A (zh) * | 2018-01-10 | 2019-07-16 | 三星电子株式会社 | 半导体装置和操作半导体装置的方法 |
| CN110059490A (zh) * | 2017-12-21 | 2019-07-26 | 三星电子株式会社 | 半导体存储器装置及其安全操作方法 |
| CN111131130A (zh) * | 2018-10-30 | 2020-05-08 | 北京忆芯科技有限公司 | 密钥管理方法及系统 |
| CN112384922A (zh) * | 2018-05-02 | 2021-02-19 | 北欧半导体公司 | 加密密钥分布 |
| CN112703703A (zh) * | 2018-07-17 | 2021-04-23 | J·B·坎特 | 用于存储敏感信息和其它数据的闪存设备 |
| CN114157422A (zh) * | 2015-12-16 | 2022-03-08 | 密码研究公司 | 生成加密密钥的方法、集成电路和计算机可读介质 |
| CN114631149A (zh) * | 2019-11-07 | 2022-06-14 | 美光科技公司 | 具有安全存取密钥的半导体装置及相关方法和系统 |
| CN115357528A (zh) * | 2022-10-08 | 2022-11-18 | 北京智芯微电子科技有限公司 | 固态硬盘的密钥加密方法、密钥解密方法和安全防护系统 |
| US11954049B2 (en) | 2019-11-07 | 2024-04-09 | Lodestar Licensing Group Llc | Semiconductor device with secure access key and associated methods and systems |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102060996B1 (ko) * | 2013-01-07 | 2020-02-11 | 삼성전자주식회사 | 단말기의 메모리 주소 및 데이터변환 장치 및 방법 |
| GB2512595A (en) * | 2013-04-02 | 2014-10-08 | Mastercard International Inc | Integrated contactless mpos implementation |
| US9594698B2 (en) * | 2013-08-13 | 2017-03-14 | Dell Products, Lp | Local keying for self-encrypting drives (SED) |
| CN111160902B (zh) * | 2013-12-02 | 2023-06-23 | 万事达卡国际股份有限公司 | 用于向不带有安全元件的移动设备安全传送远程通知服务消息的方法及系统 |
| US10275767B2 (en) | 2014-10-21 | 2019-04-30 | Mastercard International Incorporated | Method and system for generating cryptograms for validation in a webservice environment |
| US10013363B2 (en) * | 2015-02-09 | 2018-07-03 | Honeywell International Inc. | Encryption using entropy-based key derivation |
| KR102291806B1 (ko) | 2015-04-20 | 2021-08-24 | 삼성전자주식회사 | 불휘발성 메모리 시스템 및 그것의 동작 방법 |
| US10341381B2 (en) | 2015-04-29 | 2019-07-02 | Entit Software Llc | Inhibiting electromagnetic field-based eavesdropping |
| US9747982B1 (en) | 2016-02-22 | 2017-08-29 | Arm Ltd. | Device and method for generating random numbers |
| US10992453B2 (en) * | 2016-05-18 | 2021-04-27 | International Business Machines Corporation | System architecture for encrypting external memory |
| EP3472747B1 (en) | 2016-06-20 | 2021-08-04 | Hewlett-Packard Development Company, L.P. | Firmware-inaccessible key storage |
| US10721067B2 (en) * | 2016-08-10 | 2020-07-21 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Secure processor for multi-tenant cloud workloads |
| US10708073B2 (en) | 2016-11-08 | 2020-07-07 | Honeywell International Inc. | Configuration based cryptographic key generation |
| US10417433B2 (en) | 2017-01-24 | 2019-09-17 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Encryption and decryption of data owned by a guest operating system |
| US10949546B2 (en) | 2017-08-02 | 2021-03-16 | Samsung Electronics Co., Ltd. | Security devices, electronic devices and methods of operating electronic devices |
| US10104078B1 (en) * | 2017-08-07 | 2018-10-16 | Motorola Solutions, Inc. | Method and apparatus for associating sim card with a group of mobile communications devices |
| US10536267B2 (en) | 2017-09-15 | 2020-01-14 | Visa International Service Association | Cryptographic services utilizing commodity hardware |
| CN108229215A (zh) * | 2017-12-06 | 2018-06-29 | 杭州中天微系统有限公司 | 一种地址加扰的存储装置及方法 |
| US10922441B2 (en) * | 2018-05-04 | 2021-02-16 | Huawei Technologies Co., Ltd. | Device and method for data security with a trusted execution environment |
| KR102621645B1 (ko) * | 2019-03-12 | 2024-01-05 | 삼성전자주식회사 | 보안 집적 회로를 포함하는 전자 장치 |
| US11487886B2 (en) * | 2019-05-03 | 2022-11-01 | International Business Machines Corporation | Database private document sharing |
| FR3096161B1 (fr) * | 2019-05-14 | 2021-09-24 | Orange | Procédé, dispositif et système de sécurisation de données et de clés de chiffrement d'un objet connecté. |
| FR3106909B1 (fr) * | 2020-01-31 | 2022-02-18 | St Microelectronics Grenoble 2 | Circuit intégré configuré pour réaliser des opérations de chiffrement symétrique avec protection de clé secrète |
| FR3106910B1 (fr) | 2020-01-31 | 2022-02-18 | St Microelectronics Grenoble 2 | Circuit intégré configuré pour réaliser des opérations de chiffrement symétrique sans transmission de clé secrète |
| CN111769934B (zh) * | 2020-07-08 | 2023-12-08 | 深圳思凯微电子有限公司 | 数据传输方法、系统及计算机可读存储介质 |
| JP2022030661A (ja) * | 2020-08-07 | 2022-02-18 | キオクシア株式会社 | メモリシステム、制御方法、および情報処理システム |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4888802A (en) * | 1988-06-17 | 1989-12-19 | Ncr Corporation | System and method for providing for secure encryptor key management |
| CN101019368A (zh) * | 2004-07-14 | 2007-08-15 | 英特尔公司 | 使用分发cd将直接证明私钥传递给设备的方法 |
| CN101159541A (zh) * | 2006-10-05 | 2008-04-09 | 株式会社东芝 | 加密密钥管理装置和加密密钥管理方法 |
| CN101174942A (zh) * | 2006-10-31 | 2008-05-07 | 华为技术有限公司 | 一种实现密钥保护的方法及系统 |
| CN101268650A (zh) * | 2005-12-08 | 2008-09-17 | 艾格瑞系统有限公司 | 在微控制器中用于数据安全性处理的方法和装置 |
| US20090116643A1 (en) * | 2007-10-31 | 2009-05-07 | Yasuo Hatano | Encryption apparatus, decryption apparatus, and cryptography system |
| CN101965573A (zh) * | 2008-03-07 | 2011-02-02 | 高通股份有限公司 | 用于检测对计算装置的未授权接入和安全传送关于所述未授权接入的信息的方法和设备 |
| CN102163178A (zh) * | 2010-02-24 | 2011-08-24 | 上海果壳电子有限公司 | 数据安全存储方法 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5737419A (en) * | 1994-11-09 | 1998-04-07 | Bell Atlantic Network Services, Inc. | Computer system for securing communications using split private key asymmetric cryptography |
| US6108425A (en) * | 1997-06-30 | 2000-08-22 | International Business Machines Corporation | Method and apparatus for controlling the configuration of a cryptographic processor |
| US6539479B1 (en) * | 1997-07-15 | 2003-03-25 | The Board Of Trustees Of The Leland Stanford Junior University | System and method for securely logging onto a remotely located computer |
| US6708273B1 (en) * | 1997-09-16 | 2004-03-16 | Safenet, Inc. | Apparatus and method for implementing IPSEC transforms within an integrated circuit |
| US6490680B1 (en) * | 1997-12-04 | 2002-12-03 | Tecsec Incorporated | Access control and authorization system |
| EP1090480B1 (en) | 1998-06-03 | 2019-01-09 | Cryptography Research, Inc. | Improved des and other cryptographic processes with leak minimization for smartcards and other cryptosystems |
| TW514844B (en) * | 2000-01-26 | 2002-12-21 | Sony Corp | Data processing system, storage device, data processing method and program providing media |
| JP4112188B2 (ja) | 2001-03-09 | 2008-07-02 | シャープ株式会社 | データ記憶装置 |
| US7305567B1 (en) | 2002-03-01 | 2007-12-04 | Cavium Networks, In. | Decoupled architecture for data ciphering operations |
| AU2003302544A1 (en) * | 2002-12-03 | 2004-06-23 | Matsushita Electric Industrial Co., Ltd. | Key sharing system, shared key creation device, and shared key restoration device |
| US7366302B2 (en) * | 2003-08-25 | 2008-04-29 | Sony Corporation | Apparatus and method for an iterative cryptographic block |
| JP4559794B2 (ja) * | 2004-06-24 | 2010-10-13 | 株式会社東芝 | マイクロプロセッサ |
| US7929518B2 (en) * | 2004-07-15 | 2011-04-19 | Broadcom Corporation | Method and system for a gigabit Ethernet IP telephone chip with integrated DDR interface |
| US7546461B2 (en) | 2005-06-28 | 2009-06-09 | Microsoft Corporation | Strengthening secure hash functions |
| FR2892876A1 (fr) * | 2005-11-02 | 2007-05-04 | Gemplus Sa | Procede de depot securise de donnees numeriques, procede associe de recuperation de donnees numeriques, dispositifs associes pour la mise en oeuvre des procedes, et systeme comprenant les dits dispositifs |
| US8094819B1 (en) * | 2006-07-28 | 2012-01-10 | Rockwell Collins, Inc. | Method and apparatus for high agility cryptographic key manager |
| JP2008103936A (ja) * | 2006-10-18 | 2008-05-01 | Toshiba Corp | 秘密情報管理装置および秘密情報管理システム |
| JP2009032003A (ja) | 2007-07-26 | 2009-02-12 | Toshiba Corp | 携帯可能電子装置、端末装置、認証システム、及び認証方法 |
| EP2186250B1 (en) * | 2007-08-31 | 2019-03-27 | IP Reservoir, LLC | Method and apparatus for hardware-accelerated encryption/decryption |
| WO2009060631A1 (ja) * | 2007-11-09 | 2009-05-14 | Icon Corp. | 鍵管理装置及び当該装置を用いた情報伝達システム |
| JP4934010B2 (ja) | 2007-11-27 | 2012-05-16 | 日本電信電話株式会社 | 公開鍵暗号システム、公開鍵暗号方法、暗号化装置、復号化装置、暗号化プログラム及び復号化プログラム |
| KR100992184B1 (ko) | 2007-12-17 | 2010-11-04 | 한국전자통신연구원 | 플랫폼 장착용 모듈 및 플랫폼 장착용 모듈을 위한 기능변경 방법 |
| US8005227B1 (en) * | 2007-12-27 | 2011-08-23 | Emc Corporation | Key information consistency checking in encrypting data storage system |
| KR100954841B1 (ko) | 2008-07-18 | 2010-04-28 | 고려대학교 산학협력단 | 모바일 기기에서의 통합형 데이터 관리 방법, 그 장치 및이를 기록한 기록 매체 |
| DE102009053392A1 (de) | 2009-11-14 | 2011-06-22 | Umicore AG & Co. KG, 63457 | Verfahren zur Herstellung von Ru(0) Olefin-Komplexen |
| KR20110090602A (ko) * | 2010-02-04 | 2011-08-10 | 삼성전자주식회사 | 인증서버 없이 공개키를 인증하는 방법 및 장치 |
| JP5624526B2 (ja) * | 2011-08-26 | 2014-11-12 | 株式会社東芝 | 鍵共有装置、鍵共有方法および鍵共有プログラム |
-
2012
- 2012-08-06 KR KR1020120085892A patent/KR102013841B1/ko active IP Right Grant
-
2013
- 2013-08-01 US US13/956,592 patent/US9094190B2/en active Active
- 2013-08-05 DE DE102013108394.3A patent/DE102013108394A1/de active Pending
- 2013-08-06 CN CN201310339779.5A patent/CN103577768A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4888802A (en) * | 1988-06-17 | 1989-12-19 | Ncr Corporation | System and method for providing for secure encryptor key management |
| CN101019368A (zh) * | 2004-07-14 | 2007-08-15 | 英特尔公司 | 使用分发cd将直接证明私钥传递给设备的方法 |
| CN101268650A (zh) * | 2005-12-08 | 2008-09-17 | 艾格瑞系统有限公司 | 在微控制器中用于数据安全性处理的方法和装置 |
| CN101159541A (zh) * | 2006-10-05 | 2008-04-09 | 株式会社东芝 | 加密密钥管理装置和加密密钥管理方法 |
| CN101174942A (zh) * | 2006-10-31 | 2008-05-07 | 华为技术有限公司 | 一种实现密钥保护的方法及系统 |
| US20090116643A1 (en) * | 2007-10-31 | 2009-05-07 | Yasuo Hatano | Encryption apparatus, decryption apparatus, and cryptography system |
| CN101965573A (zh) * | 2008-03-07 | 2011-02-02 | 高通股份有限公司 | 用于检测对计算装置的未授权接入和安全传送关于所述未授权接入的信息的方法和设备 |
| CN102163178A (zh) * | 2010-02-24 | 2011-08-24 | 上海果壳电子有限公司 | 数据安全存储方法 |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104902138A (zh) * | 2014-03-06 | 2015-09-09 | 佳能株式会社 | 加密/解密系统及其控制方法 |
| CN104902138B (zh) * | 2014-03-06 | 2018-07-03 | 佳能株式会社 | 加密/解密系统及其控制方法 |
| CN106462439A (zh) * | 2014-05-05 | 2017-02-22 | 微软技术许可有限责任公司 | 以持续所有者访问对加密虚拟机的安全传输 |
| US10956321B2 (en) | 2014-05-05 | 2021-03-23 | Microsoft Technology Licensing, Llc | Secure management of operations on protected virtual machines |
| CN106462439B (zh) * | 2014-05-05 | 2020-02-07 | 微软技术许可有限责任公司 | 以持续所有者访问对加密虚拟机的安全传输 |
| CN106664209A (zh) * | 2014-08-26 | 2017-05-10 | 国际商业机器公司 | 基于密码的秘密加密密钥的生成和管理 |
| CN108139984A (zh) * | 2015-10-06 | 2018-06-08 | 美光科技公司 | 安全子系统 |
| CN108139984B (zh) * | 2015-10-06 | 2022-01-25 | 美光科技公司 | 安全子系统 |
| CN105468935A (zh) * | 2015-11-13 | 2016-04-06 | 福州瑞芯微电子股份有限公司 | 一种保证key安全烧录的方法、发送端、工具端及烧录端 |
| CN108701191B (zh) * | 2015-12-16 | 2022-04-05 | 纳格拉维森公司 | 数据处理设备和验证数据处理设备的完整性的方法 |
| CN108701191A (zh) * | 2015-12-16 | 2018-10-23 | 纳格拉维森公司 | 硬件完整性检查 |
| CN114157422A (zh) * | 2015-12-16 | 2022-03-08 | 密码研究公司 | 生成加密密钥的方法、集成电路和计算机可读介质 |
| CN108701200B (zh) * | 2015-12-24 | 2023-08-22 | 黑文技术私人有限公司 | 改善的存储系统 |
| CN108701200A (zh) * | 2015-12-24 | 2018-10-23 | 黑文技术私人有限公司 | 改善的存储系统 |
| CN108287768B (zh) * | 2017-01-09 | 2023-07-21 | 三星电子株式会社 | 操作半导体装置的方法 |
| CN108287768A (zh) * | 2017-01-09 | 2018-07-17 | 三星电子株式会社 | 操作半导体装置的方法 |
| CN106845254A (zh) * | 2017-01-20 | 2017-06-13 | 杭州华澜微电子股份有限公司 | 一种用于计算机的加密数据传输线 |
| CN108416220B (zh) * | 2017-02-09 | 2021-02-09 | 深圳市中兴微电子技术有限公司 | 一种访问控制方法及装置 |
| CN108416220A (zh) * | 2017-02-09 | 2018-08-17 | 深圳市中兴微电子技术有限公司 | 一种访问控制方法及装置 |
| CN109829316A (zh) * | 2017-11-23 | 2019-05-31 | 三星电子株式会社 | 加密设备、包括所述加密设备的片上系统以及电子设备 |
| CN110059490A (zh) * | 2017-12-21 | 2019-07-26 | 三星电子株式会社 | 半导体存储器装置及其安全操作方法 |
| CN110020561B (zh) * | 2018-01-10 | 2023-12-15 | 三星电子株式会社 | 半导体装置和操作半导体装置的方法 |
| CN110020561A (zh) * | 2018-01-10 | 2019-07-16 | 三星电子株式会社 | 半导体装置和操作半导体装置的方法 |
| CN112384922A (zh) * | 2018-05-02 | 2021-02-19 | 北欧半导体公司 | 加密密钥分布 |
| CN112384922B (zh) * | 2018-05-02 | 2024-02-13 | 北欧半导体公司 | 加密密钥分布 |
| CN112703703A (zh) * | 2018-07-17 | 2021-04-23 | J·B·坎特 | 用于存储敏感信息和其它数据的闪存设备 |
| CN112703703B (zh) * | 2018-07-17 | 2024-04-12 | J·B·坎特 | 用于存储敏感信息和其它数据的闪存设备 |
| CN111131130B (zh) * | 2018-10-30 | 2022-04-22 | 北京忆芯科技有限公司 | 密钥管理方法及系统 |
| CN111131130A (zh) * | 2018-10-30 | 2020-05-08 | 北京忆芯科技有限公司 | 密钥管理方法及系统 |
| CN114631149A (zh) * | 2019-11-07 | 2022-06-14 | 美光科技公司 | 具有安全存取密钥的半导体装置及相关方法和系统 |
| CN114631149B (zh) * | 2019-11-07 | 2023-03-31 | 美光科技公司 | 具有安全存取密钥的半导体装置及相关方法和系统 |
| US11704255B2 (en) | 2019-11-07 | 2023-07-18 | Micron Technology, Inc. | Semiconductor device with secure access key and associated methods and systems |
| US11954049B2 (en) | 2019-11-07 | 2024-04-09 | Lodestar Licensing Group Llc | Semiconductor device with secure access key and associated methods and systems |
| CN115357528A (zh) * | 2022-10-08 | 2022-11-18 | 北京智芯微电子科技有限公司 | 固态硬盘的密钥加密方法、密钥解密方法和安全防护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102013108394A1 (de) | 2014-02-13 |
| US9094190B2 (en) | 2015-07-28 |
| KR20140019599A (ko) | 2014-02-17 |
| US20140037093A1 (en) | 2014-02-06 |
| KR102013841B1 (ko) | 2019-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103577768A (zh) | 管理用于数据的安全存储的密钥的方法及其设备 | |
| KR101975027B1 (ko) | 시스템 온 칩, 이의 동작 방법, 이를 포함하는 장치들 | |
| CN103221961B (zh) | 包括用于保护多用户敏感代码和数据的架构的方法和装置 | |
| CN100578473C (zh) | 嵌入式系统和增加嵌入式系统安全性的方法 | |
| TWI447583B (zh) | 資料保護方法、記憶體控制器與記憶體儲存裝置 | |
| CN107092495A (zh) | 平台固件铠装技术 | |
| CN110851886B (zh) | 存储装置 | |
| US10691627B2 (en) | Avoiding redundant memory encryption in a cryptographic protection system | |
| US20180095812A1 (en) | Memory integrity violation analysis method and apparatus | |
| CN104160407A (zh) | 利用存储控制器总线接口以确保存储设备和主机之间的数据传输安全 | |
| CN105046163A (zh) | 保护嵌入式管理程序系统中的重要数据结构 | |
| US9935768B2 (en) | Processors including key management circuits and methods of operating key management circuits | |
| EP3044900A1 (en) | Security processing unit with configurable access control | |
| US20220327214A1 (en) | Firmware verification mechanism | |
| CN103257938A (zh) | 数据保护方法、存储器控制器与存储器储存装置 | |
| CN109643344A (zh) | 用于共享安全性元数据存储器空间的方法和装置 | |
| KR20230029113A (ko) | 전자 장치 | |
| CN113536330A (zh) | 存储装置及其数据清理方法 | |
| CN109583196B (zh) | 一种密钥生成方法 | |
| TW202011248A (zh) | 資料儲存裝置以及其操作方法 | |
| US10785031B2 (en) | Data encryption of a storage area | |
| CN113536331B (zh) | 存储器和计算系统的数据安全 | |
| CN109598150B (zh) | 一种密钥使用方法 | |
| CN114996725B (zh) | 一种保护开发程序的方法以及处理器 | |
| US20220207193A1 (en) | Security management of ferroelectric memory device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140212 |
|
| RJ01 | Rejection of invention patent application after publication |