CN112149189A - 公钥保护技术 - Google Patents
公钥保护技术 Download PDFInfo
- Publication number
- CN112149189A CN112149189A CN202010587805.6A CN202010587805A CN112149189A CN 112149189 A CN112149189 A CN 112149189A CN 202010587805 A CN202010587805 A CN 202010587805A CN 112149189 A CN112149189 A CN 112149189A
- Authority
- CN
- China
- Prior art keywords
- write
- public key
- protection group
- memory
- host device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004224 protection Effects 0.000 title claims abstract description 165
- 238000000034 method Methods 0.000 title claims abstract description 108
- 230000015654 memory Effects 0.000 claims abstract description 229
- 230000002085 persistent effect Effects 0.000 claims abstract description 16
- 238000012986 modification Methods 0.000 claims abstract description 6
- 230000004048 modification Effects 0.000 claims abstract description 6
- 230000001052 transient effect Effects 0.000 claims description 44
- 238000004519 manufacturing process Methods 0.000 claims description 7
- 238000012937 correction Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 21
- 230000008569 process Effects 0.000 description 19
- 238000005192 partition Methods 0.000 description 18
- 238000004891 communication Methods 0.000 description 16
- 230000002093 peripheral effect Effects 0.000 description 14
- 239000000758 substrate Substances 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 238000003860 storage Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 239000004065 semiconductor Substances 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 239000002245 particle Substances 0.000 description 4
- 229910052710 silicon Inorganic materials 0.000 description 4
- 239000010703 silicon Substances 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 239000003990 capacitor Substances 0.000 description 2
- 239000000969 carrier Substances 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000004020 conductor Substances 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 239000011521 glass Substances 0.000 description 2
- 230000000630 rising effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- JBRZTFJDHDCESZ-UHFFFAOYSA-N AsGa Chemical compound [As]#[Ga] JBRZTFJDHDCESZ-UHFFFAOYSA-N 0.000 description 1
- ZOXJGFHDIHLPTG-UHFFFAOYSA-N Boron Chemical compound [B] ZOXJGFHDIHLPTG-UHFFFAOYSA-N 0.000 description 1
- 229910002601 GaN Inorganic materials 0.000 description 1
- 229910001218 Gallium arsenide Inorganic materials 0.000 description 1
- JMASRVWKEDWRBT-UHFFFAOYSA-N Gallium nitride Chemical compound [Ga]#N JMASRVWKEDWRBT-UHFFFAOYSA-N 0.000 description 1
- 108700038250 PAM2-CSK4 Proteins 0.000 description 1
- OAICVXFJPJFONN-UHFFFAOYSA-N Phosphorus Chemical compound [P] OAICVXFJPJFONN-UHFFFAOYSA-N 0.000 description 1
- 101100206155 Schizosaccharomyces pombe (strain 972 / ATCC 24843) tbp1 gene Proteins 0.000 description 1
- 229910000577 Silicon-germanium Inorganic materials 0.000 description 1
- LEVVHYCKPQWKOP-UHFFFAOYSA-N [Si].[Ge] Chemical compound [Si].[Ge] LEVVHYCKPQWKOP-UHFFFAOYSA-N 0.000 description 1
- 229910045601 alloy Inorganic materials 0.000 description 1
- 239000000956 alloy Substances 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 229910052785 arsenic Inorganic materials 0.000 description 1
- RQNWIZPPADIBDY-UHFFFAOYSA-N arsenic atom Chemical compound [As] RQNWIZPPADIBDY-UHFFFAOYSA-N 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 229910052796 boron Inorganic materials 0.000 description 1
- -1 but not limited to Substances 0.000 description 1
- 239000013626 chemical specie Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000013078 crystal Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000005669 field effect Effects 0.000 description 1
- 229910052732 germanium Inorganic materials 0.000 description 1
- GNPVGFCGXDBREM-UHFFFAOYSA-N germanium atom Chemical compound [Ge] GNPVGFCGXDBREM-UHFFFAOYSA-N 0.000 description 1
- 239000012212 insulator Substances 0.000 description 1
- 238000005468 ion implantation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 229910052751 metal Inorganic materials 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 150000002739 metals Chemical class 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 229910052698 phosphorus Inorganic materials 0.000 description 1
- 239000011574 phosphorus Substances 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 229910052594 sapphire Inorganic materials 0.000 description 1
- 239000010980 sapphire Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
本申请案是针对公钥保护技术。描述用于公钥保护技术的方法、系统及装置。可格式化嵌入式多媒体卡eMMC以包含永久性写入保护群组,所述永久性写入保护群组经配置以防止停用对存储在所述永久性写入保护群组中的数据的写入保护。所述eMMC可将与第一主机装置相关联的公钥存储在所述eMMC的所述永久性写入保护群组中。数据包可从所述主机装置接收,且通过使用存储在所述永久性写入保护群组中的所述公钥加以认证。所述嵌入式存储器控制器可经配置以防止修改或写入数据到永久性写入保护群组。
Description
交叉引用
本专利申请案主张LIU的标题为“公钥保护技术(PUBLIC KEY PROTECTIONTECHNIQUES)”的第16/546,390号美国专利申请案的优先权,所述美国专利申请案于2019年6月28日提交、让渡给本受让人且以全文引用的方式并入本文中。
技术领域
技术领域涉及公钥保护技术。
背景技术
下文大体上涉及包含至少一个存储器装置的系统,且更具体地说,涉及公钥保护技术。
存储器装置广泛用于将信息存储在例如计算机、无线通信装置、相机、数字显示器等各种电子装置中。通过编程存储器装置的不同状态来存储信息。举例来说,二进制装置最经常存储两个状态中的一个,经常由逻辑1或逻辑0表示。在其它装置中,可存储多于两个状态。为了存取所存储的信息,装置的组件可读取或感测存储器装置中的至少一个所存储状态。为了存储信息,装置的组件可写入或编程存储器装置中的状态。
存在各种类型的存储器装置,包含磁性硬盘、随机存取存储器(RAM)、只读存储器(ROM)、动态RAM(DRAM)、同步动态RAM(SDRAM)、铁电RAM(FeRAM)、磁性RAM(MRAM)、电阻式RAM(RRAM)、快闪存储器、相变存储器(PCM)等。存储器装置可为易失性或非易失性的。例如FeRAM的非易失性存储器可维持其所存储的逻辑状态很长一段时间,即使无外部电源存在也是这样。例如DRAM的易失性存储器装置在与外部电源断开连接时可能会丢失它们所存储的状态。FeRAM能够实现类似于易失性存储器的密度,但可具有非易失性特性,这是因为使用铁电电容器作为存储装置。
一些存储器装置可配置有安全特征以保护从电子装置发送或由电子装置接收的数据。在一些情况下,加密技术可用以防止数据包的内容被未授权装置存取。加密技术可依赖于例如公钥-私钥对等加密密钥,其可用以认证或验证所接收数据包是由特定装置发送。
发明内容
描述一种方法。在一些实例中,所述方法可包含:格式化嵌入式多媒体卡的第一部分以包含永久性写入保护群组,所述永久性写入保护群组经配置以防止停用对存储在所述永久性写入保护群组中的数据的写入保护;将与第一主机装置相关联的第一公钥存储在所述嵌入式多媒体卡的所述永久性写入保护群组中;从所述第一主机装置接收第一数据包;以及使用存储在所述永久性写入保护群组中的所述第一公钥认证来自所述第一主机装置的所述第一数据包。
描述一种装置。在一些实例中,所述装置可包含:嵌入式多媒体卡,其包含多个存储器单元;存储器接口,其与所述嵌入式多媒体卡耦合且可操作以与主机装置通信;控制器,其与所述嵌入式多媒体卡耦合。所述控制器可可操作以管理所述多个存储器单元的操作且致使所述装置:格式化所述多个存储器单元的第一部分以包含永久性写入保护群组;将与第一主机装置相关联的第一公钥存储在所述多个存储器单元的所述永久性写入保护群组中;从所述第一主机装置接收第一数据包;以及使用所述第一公钥认证来自所述第一主机装置的所述第一数据包。
描述另一种方法。在一些实例中,所述方法可包含:在嵌入式多媒体卡处注册永久性写入保护群组,其中所述注册包含一次性配置,其防止所述永久性写入保护群组基于所述嵌入式多媒体卡与主机装置耦合而被重新配置;以及基于注册所述永久性写入保护群组而将与所述主机装置相关联的第一公钥存储在所述嵌入式多媒体卡的所述永久性写入保护群组中,以防止所述第一公钥通过存取操作而被修改。
附图说明
图1说明根据如本文中所公开的实例的支持公钥保护技术的系统的实例。
图2说明根据如本文中所公开的实例的支持公钥保护技术的存储器系统的实例。
图3说明根据如本文中所公开的实例的支持公钥保护技术的嵌入式多媒体系统的实例。
图4说明根据如本文中所公开的实例的支持公钥保护技术的处理流程的实例。
图5说明根据如本文中所公开的实例的支持公钥保护技术的存储器装置的框图。
图6及7说明根据如本文中所公开的实例的展示支持公钥保护技术的一或多种方法的流程图。
具体实施方式
存储器装置可使用密码技术认证或验证数据包的发送者。举例来说,电子装置可使用私用加密密钥为数据包加签名,且将经签名数据包发送到主机装置。主机装置可与存储器装置协调以执行一或多个认证过程且确认数据包是来自特定电子装置。在一些情况下,存储器装置可存储与私钥相关联的公钥,且使用不对称密码技术,可基于私钥及公钥对认证数据包。例如试图能存取存储器装置的恶意装置可尝试利用存储在存储器装置处的密钥。举例来说,恶意装置可存取存储器装置的公钥,且用对应于由恶意装置控制的私钥的公钥来替换说说公钥。因此,存储器装置可接收且错误地认证来自恶意装置的数据包。
主机装置可包含嵌入式多媒体卡(eMMC),其可包含接口、嵌入式存储器阵列及嵌入式存储器控制器。eMMC可与主机装置耦合,且从主机装置的控制器接收命令。eMMC可将嵌入式存储器阵列的一或多个区段配置为永久性写入保护群组,其可包含保护存储在这些区段中的数据免受覆写或擦除的写入保护。在一些情况下,存取凭证可用于嵌入式控制器以存取(例如,读取或写入)写入保护群组。另外,eMMC可防止停用永久性写入保护群组的写入保护。举例来说,一旦区段已格式化为永久性写入保护群组,则eMMC可防止重新格式化或重新配置永久性写入群组。
主机装置可将例如加密密钥等一或多个安全密钥存储在eMMC的一或多个永久性写入保护群组或暂时性写入保护群组中。主机装置控制器可将命令发送到嵌入式控制器以存取存储在嵌入式存储器阵列中的一或多个加密密钥。在接收到数据包时,主机装置可使用存储在eMMC装置处的加密密钥认证数据包。使用eMMC来配置及管理写入保护群组可减小恶意装置能存取由主机装置使用的加密密钥的可能性。
首先在参考图1所描述的存储器系统及存储器裸片的上下文中描述本公开的特征。在如参考图2到4所描述的系统图及处理流程的上下文中描述本公开的特征。进一步参考如参考图5到7所描述的涉及公钥保护技术的设备图及流程图说明并描述本公开的这些及其它特征。
图1说明根据如本文中所公开的实例的利用一或多个存储器装置的系统100的实例。系统100可包含外部存储器控制器105、存储器装置110及耦合外部存储器控制器105与存储器装置110的多个通道115。系统100可包含一或多个存储器装置,但为易于描述,一或多个存储器装置可被描述为单个存储器装置110。
系统100可包含例如计算装置、移动计算装置、无线装置或图形处理装置等电子装置的部分。系统100可为便携式电子装置的实例。系统100可为计算机、膝上型计算机、平板计算机、智能电话、蜂窝电话、可穿戴装置、因特网连接装置等等的实例。存储器装置110可为经配置以存储系统100的一或多个其它组件的数据的系统组件。在一些实例中,系统100能够进行机器类型通信(MTC)、机器对机器(M2M)通信或装置对装置(D2D)通信。
系统100的至少部分可为主机装置的实例。这类主机装置可为使用存储器来执行过程的装置的实例,所述装置例如计算装置、移动计算装置、无线装置、图形处理装置、计算机、笔记本电脑、平板电脑、智能电话、蜂窝电话、可穿戴装置、因特网连接装置、一些其它固定或便携式电子装置等等。在某些情况下,主机装置可指代实施外部存储器控制器105的功能的硬件、固件、软件或其组合。在某些情况下,外部存储器控制器105可被称为主机或主机装置。
在一些情况下,存储器装置110可为独立的装置或组件,其经配置以与系统100的其它组件通信,并提供系统100可使用或引用的物理存储器地址/空间。在一些实例中,存储器装置110可为可配置的以与至少一或多个不同类型的系统100一起工作。系统100的组件与存储器装置110之间的信令可为可操作的以支持用以调制信号的调制方案、用于传达信号的不同引脚设计、系统100及存储器装置110的不同封装、系统100与存储器装置110之间的时钟信令及同步、时序惯例及/或其它因素。
存储器装置110可经配置以存储用于系统100的组件的数据。在一些情况下,存储器装置110可充当系统100的从属类装置(例如,对系统100通过外部存储器控制器105提供的命令作出响应及执行所述命令)。此类命令可包含用于存取操作的存取命令,例如用于写入操作的写入命令、用于读取操作的读取命令、用于刷新操作的刷新命令或其它命令。存储器装置110可包含两个或更多个存储器裸片160(例如,存储器芯片)以支持用于数据存储的所需或指定能力。包含两个或更多个存储器裸片的存储器装置110可被称作多裸片存储器或封装(也被称作多芯片存储器或封装)。
系统100可进一步包含处理器120、基本输入/输出系统(BIOS)组件125、一或多个外围组件130及输入/输出(I/O)控制器135。系统100的组件可使用总线140彼此电子通信。
处理器120可经配置以控制系统100的至少部分。处理器120可为通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件,或其可为这些类型的组件的组合。在此些情况下,处理器120可为中央处理单元(CPU)、图形处理单元(GPU)、通用图形处理单元(GPGPU)或芯片上系统(SoC)的实例,还存在其它实例。
BIOS组件125可为包含作为固件操作的BIOS的软件组件,其可初始化并运行系统100的各种硬件组件。BIOS组件125还可管理处理器120与系统100的各种组件之间的数据流,所述各种组件例如是外围组件130、I/O控制器135等。BIOS组件125可包含存储在只读存储器(ROM)、快闪存储器或任何其它非易失性存储器中的程序或软件。
外围组件130可为任何输入装置或输出装置,或用于这类装置的接口,其可集成到系统100中或与所述系统集成在一起。实例可包含磁盘控制器、声音控制器、图形控制器、以太网控制器、调制解调器、通用串行总线(USB)控制器、串行或并行端口,或外围卡槽,例如外围组件互连(PCI)或专门的图形端口。外围组件130可为所属领域的技术人员理解为外围装置的其它组件。
I/O控制器135可管理处理器120与外围组件130、输入装置145或输出装置150之间的数据通信。I/O控制器135可管理未集成到系统100中或未与所述系统集成在一起的外围装置。在一些情况下,I/O控制器135可表示与外部外围组件的物理连接或端口。
输入145可表示系统100外部的装置或信号,其将信息、信号或数据提供到系统100或其组件。这可包含用户接口或与其它装置接口或在其它装置之间。在一些情况下,输入145可为经由一或多个外围组件130与系统100介接的外围装置,或可由I/O控制器135管理。
输出150可表示在系统100外部的装置或信号,其经配置以从系统100或其组件中的任一个接收输出。输出150的实例可包含显示器、音频扬声器、打印装置或印刷电路板上的另一处理器等等。在一些情况下,输出150可为经由一或多个外围组件130与系统100介接的外围装置,或可由I/O控制器135管理。
系统100的组件可由经设计以执行其功能的通用或专用电路构成。这可包含经配置以执行本文中所描述的功能的各种电路元件,例如,导线、晶体管、电容器、电感器、电阻器、放大器或其它有源或无源元件。
存储器装置110可包含装置存储器控制器155及一或多个存储器裸片160。每一存储器裸片160可包含本地存储器控制器165(例如,本地存储器控制器165-a、本地存储器控制器165-b及/或本地存储器控制器165-N)及存储器阵列170(例如,存储器阵列170-a、存储器阵列170-b及/或存储器阵列170-N)。存储器阵列170可为存储器单元的集合(例如,网格),其中每一存储器单元经配置以存储数字数据的至少一个位。参考图2更详细地描述存储器阵列170及/或存储器单元的特征。
存储器装置110可为二维(2D)存储器单元阵列的实例或可为三维(3D)存储器单元阵列的实例。举例来说,2D存储器装置可包含单个存储器裸片160。3D存储器装置可包含两个或更多个存储器裸片160(例如,存储器裸片160-a、存储器裸片160-b及/或任何数量的存储器裸片160-N)。在3D存储器装置中,多个存储器裸片160-N可堆叠在彼此的顶部上或紧挨彼此。在一些情况下,3D存储器装置中的存储器裸片160-N可称为叠组、层级、层或裸片。3D存储器装置可包含任何数量的堆叠的存储器裸片160-N(例如,两个高、三个高、四个高、五个高、六个高、七个高、八个高)。这相比于单个2D存储器装置可增加可定位于衬底上的存储器单元的数量,又可减少生产成本或提高存储器阵列的性能,或这两者。在一些3D存储器装置中,不同叠组可共享至少一个共同存取线以使得一些层面可共享字线、数字线及/或板线中的至少一个。
装置存储器控制器155可包含经配置以控制存储器装置110的操作的电路或组件。因而,装置存储器控制器155可包含使存储器装置110能够执行命令且可经配置以接收、发射或执行命令、数据或与存储器装置110有关的控制信息的硬件、固件及软件。装置存储器控制器155可经配置以与外部存储器控制器105、一或多个存储器裸片160或处理器120通信。在一些情况下,存储器装置110可从外部存储器控制器105接收数据及/或命令。举例来说,存储器装置110可接收写入命令或读取命令,所述写入命令指示存储器装置110应存储代表系统100的组件(例如,处理器120)的某些数据,所述读取命令指示存储器装置110应将存储在存储器裸片160中的某些数据提供到系统100的组件(例如,处理器120)。在一些情况下,装置存储器控制器155可与存储器裸片160的本地存储器控制器165结合控制本文所描述的存储器装置110的操作。装置存储器控制器155及/或本地存储器控制器165中包含的组件的实例可包含用于对从外部存储器控制器105接收的信号进行解调的接收器、用于调制及发射信号到外部存储器控制器105的解码器、逻辑、解码器、放大器、滤波器等。
本地存储器控制器165(例如,在存储器裸片160的本地)可经配置以控制存储器裸片160的操作。而且,本地存储器控制器165可经配置以与装置存储器控制器155通信(例如,接收及发射数据及/或命令)。本地存储器控制器165可支持装置存储器控制器155以控制如本文中所描述的存储器装置110的操作。在一些情况下,存储器装置110不包含装置存储器控制器155,且本地存储器控制器165或外部存储器控制器105可执行本文所描述的各种功能。因而,本地存储器控制器165可经配置以与装置存储器控制器155通信,与其它本地存储器控制器165通信,或直接与外部存储器控制器105或处理器120通信。
外部存储器控制器105可经配置以实现系统100的组件(例如,处理器120)与存储器装置110之间的信息、数据及/或命令的通信。外部存储器控制器105可充当系统100的组件与存储器装置110之间的联络,使得系统100的组件可不需要知道存储器装置的操作细节。系统100的组件可向外部存储器控制器105呈现外部存储器控制器105满足的请求(例如,读取命令或写入命令)。外部存储器控制器105可转换或转译在系统100的组件与存储器装置110之间交换的通信。在一些情况下,外部存储器控制器105可包含产生共同(源)系统时钟信号的系统时钟。在一些情况下,外部存储器控制器105可包含生成公共(源)数据时钟信号的公共数据时钟。
在一些情况下,外部存储器控制器105或系统100的其它组件或其在本文中所描述的功能可由处理器120实施。例如,外部存储器控制器105可为由处理器120或系统100的其它组件实施的硬件、固件或软件或其某一组合。尽管外部存储器控制器105被描绘为在存储器装置110外部,但是在一些情况下,外部存储器控制器105或其在本文中所描述的功能可由存储器装置110实施。例如,外部存储器控制器105可为由装置存储器控制器155或一或多个本地存储器控制器165实施的硬件、固件或软件或其某一组合。在一些情况下,外部存储器控制器105可跨处理器120及存储器装置110分布,使得外部存储器控制器105的部分由处理器120实施,且其它部分由装置存储器控制器155或本地存储器控制器165实施。同样地,在一些情况下,本文中归属于装置存储器控制器155或本地存储器控制器165的一或多个功能可在一些情况下由外部存储器控制器105(与处理器120分离或包含在所述处理器中)执行。
系统100的组件可使用多个通道115与存储器装置110交换信息。在一些实例中,通道115可使得能够在外部存储器控制器105与存储器装置110之间进行通信。每一通道115可包含与系统100的组件相关联的端子之间的一或多个信号路径或传输介质(例如,导体)。举例来说,通道115可包含第一端子,其包含外部存储器控制器105处的一或多个引脚或衬垫及存储器装置110处的一或多个引脚或衬垫。引脚可为系统100的装置的导电输入或输出点的实例,且引脚可经配置以充当通道的部分。在一些情况下,端子的引脚或衬垫可为通道115的信号路径的部分。额外信号路径可与通道的端子耦合以在系统100的组件内路由信号。举例来说,存储器装置110可包含将信号从通道115的端子路由到存储器装置110的各种组件(例如,装置存储器控制器155、存储器裸片160、本地存储器控制器165、存储器阵列170)的信号路径(例如,在存储器装置110或其组件内部的信号路径,例如在存储器裸片160内部的信号路径)。
通道115(及相关联的信号路径及端子)可专用于传达特定类型的信息。在一些情况下,通道115可为聚合通道(aggregated channel),且因此可包含多个个别通道。举例来说,数据通道190可为x4(例如,包含四个信号路径)、x8(例如,包含八个信号路径)、x16(包含十六个信号路径)等等。经由通道传达的信号可使用双数据速率(DDR)定时方案。举例来说,信号的一些符号可寄存在时钟信号的上升沿上,且信号的其它符号可寄存在时钟信号的下降沿上。经由通道传达的信号可使用单数据速率(SDR)传信。举例来说,对于每一时钟循环,可寄存信号的一个符号。
在一些情况下,通道115可包含一或多个命令及地址(CA)通道186。CA通道186可经配置以在外部存储器控制器105与存储器装置110之间传达命令,包含与命令相关联的控制信息(例如,地址信息)。举例来说,CA通道186可包含关于所需数据的地址的读取命令。在一些情况下,CA通道186可寄存在上升时钟信号沿及/或下降时钟信号沿上。在一些情况下,CA通道186可包含任何数量的信号路径以解码地址及命令数据(例如,八个或九个信号路径)。
在一些情况下,通道115可包含一或多个时钟信号(CK)通道188。CK通道188可经配置以在外部存储器控制器105与存储器装置110之间传达一或多个共同时钟信号。每一时钟信号可经配置以在高状态与低状态之间振荡且协调外部存储器控制器105与存储器装置110的动作。在一些情况下,时钟信号可为差分输出(例如,CK_t信号及CK_c信号),并且CK通道188的信号路径可相应地予以配置。在一些情况下,时钟信号可为单端的。CK通道188可包含任何数量的信号路径。在一些情况下,时钟信号CK(例如,CK_t信号及CK_c信号)可提供用于存储器装置110的命令及寻址操作或用于存储器装置110的其它全系统操作的定时参考。时钟信号CK可不同地称为控制时钟信号CK、命令时钟信号CK或系统时钟信号CK。系统时钟信号CK可由系统时钟产生,所述系统时钟可包含一或多个硬件组件(例如,振荡器、晶体、逻辑门、晶体管或类似物)。
在一些情况下,通道115可包含一或多个数据(DQ)通道190。数据通道190可经配置以在外部存储器控制器105与存储器装置110之间传达数据及/或控制信息。举例来说,数据通道190可传达待写入到存储器装置110的信息(例如,双向)或从存储器装置110读取的信息。
在一些情况下,通道115可包含可专用于其它目的的一或多个其它通道192。这些其它通道192可包含任何数量的信号路径。
通道115可使用多种不同架构将外部存储器控制器105与存储器装置110耦合。各种架构的实例可包含总线、点对点连接、纵横开关、例如硅中介层等高密度中介层,或形成于有机衬底中的通道,或其某一组合。例如,在一些情况下,信号路径可至少部分地包含高密度中介层,例如硅中介层或玻璃中介层。
可使用各种不同的调制方案来调制在通道115上传送的信号。在一些情况下,可以使用二进制符号(或二进制层级)调制方案来调制在外部存储器控制器105与存储器装置110之间传达的信号。二进制符号调制方案可为M进制调制方案的实例,其中M等于二。二进制符号调制方案的每一符号可经配置以表示一位数字数据(例如符号可表示逻辑1或逻辑0)。二进制符号调制方案的实例包含但不限于非归零(NRZ)、单极编码、双极编码、曼彻斯特编码、具有两个符号(例如,PAM2)的脉冲幅度调制(PAM),等。
系统100可包含多媒体控制器(MMC)180,其可包含嵌入式控制器182及嵌入式存储器阵列184。嵌入式控制器182可管理嵌入式存储器阵列184处的一或多个存取操作(例如,读取、写入、擦除,等)。在一些情况下,嵌入式控制器182可配置存储器的一或多个区段以根据不同操作模式进行操作,例如安全存取模式、只读模式、安全擦除等。嵌入式控制器182可执行其它操作,例如错误检测及校正、耗损均衡等。在一些情况下,嵌入式控制器182及嵌入式存储器可集成在同一裸片上。
MMC 180可为单独结构,且经由一或多个导电路径与存储器装置110耦合或集成于MMC 180内。在一些情况下,MMC 180可从装置存储器控制器155或一或多个本地存储器控制器165接收命令。在一些情况下,MMC 180可为用于系统100的独立存储器系统,且使用通道115与一或多个组件(例如,外部存储器控制器105、处理器120、I/O控制器135,等)介接。在一些情况下,MMC 180可经配置以从系统100的组件接收存取命令,且管理在嵌入式存储器阵列184处执行那些命令。在一些情况下,系统100可包含MMC 180作为仅有的存储器装置。
图2说明根据如本文中所公开的实例的支持公钥保护技术的存储器系统200的实例。存储器系统200可说明参考图1所描述的系统100的实例。存储器系统200可包含:主机装置202,其可为系统100的一或多个部分的实例,例如外部存储器控制器105、存储器装置110或参考图1所描述的电子装置的一部分;以及eMMC 210,其可为参考图1所描述的MMC 180的实例。主机装置202可包含存储器阵列240,其可为参考图1所描述的存储器裸片160或存储器阵列170的实例。eMMC 210可包含:接口215;嵌入式控制器220,其可为参考图1所描述的嵌入式控制器182的实例;嵌入式存储器阵列225,其可为参考图1所描述的嵌入式存储器阵列184的实例;写入保护电路230;以及认证电路235。
主机装置202可为电子装置,例如智能电话、平板计算机、计算机、相机或将数据包发送到其它电子装置且从其它电子装置接收数据包的其它装置。主机装置202可包含eMMC210,其可与主机装置202集成。在一些情况下,eMMC 210可为含有用于管理在嵌入式存储器阵列225上执行的操作的电子组件(例如,接口215、嵌入式控制器220、写入保护电路230、认证电路235,等)的单个硅裸片。eMMC 210可与主机装置202的一或多个组件(例如,外部控制器205)耦合。在一些情况下,主机装置202可将命令发送到eMMC 210以将数据存储在嵌入式存储器阵列225处或检索所述嵌入式存储器阵列处的数据,且eMMC 210(例如,嵌入式控制器220)可管理用于在嵌入式存储器阵列225处执行操作的存取参数(例如,读取/写入地址、指针位置、注册表更新、格式化存储器分区、存取控制、错误校正操作、耗损均衡,等)。
主机装置202可使用eMMC 210来安全地管理数据认证功能。举例来说,eMMC 210可经配置以将一或多个加密密钥存储在受保护存储器分区中。在此方面,主机装置202可能够存取加密密钥,且eMMC 210防止密钥被移除、替换或以其它方式修改。因此,eMMC 210的嵌入式结构可提供用于在主机装置202与其它电子装置之间发生的数据事务的安全特征。在一些情况下,eMMC 210可经配置以防止在不修改eMMC 210或主机装置202的硬件组件的情况下停用写入保护。
在一些情况下,主机装置202可与eMMC 210介接,且可使用eMMC 210来认证数据包且存储与数据包相关联的数据。即,主机装置202可接收经签名数据包且将其发送到eMMC210,以认证且存储数据(例如,在嵌入式存储器阵列225处)。在这些实例中,eMMC 210可使用嵌入式电路(例如,嵌入式控制器220及认证电路235)来管理数据包的认证及存储。在另一组实例中,主机装置202可处理数据包,且使用eMMC 210来安全地管理可用以认证数据包或对其加签名的加密密钥。在这些实例中,eMMC 210可存储一或多个加密密钥,其可由主机装置202存取以用于认证所接收数据包或对将由主机装置202发送的数据包加签名。在其它实例中,主机装置202可例如在使用eMMC 210认证数据包之后在本地存储器阵列240处存储数据。在其它实例中,主机装置202可认证数据,且接着将命令发送到eMMC 210以将数据存储在eMMC 210处(例如,存储在嵌入式存储器阵列225处)。
外部控制器205可经由接口215与eMMC 210耦合,且将一或多个命令发送到eMMC210。所述命令可包含存取命令,例如用于使eMMC 210写入数据或检索数据且将其发送到外部控制器205或将数据存储在嵌入式存储器阵列225处的请求。在一些实例中,所述命令可包含用于使eMMC 210格式化或配置嵌入式存储器阵列225的一或多个分区的配置命令。举例来说,外部控制器可发送用于使eMMC 210配置对嵌入式存储器阵列225的一或多个分区的写入保护的命令。在一些实例中,外部控制器205可经配置以执行认证程序。在这些情况下,外部控制器205可发送请求eMMC 210发送用于执行认证程序的一或多个加密密钥的命令。
在一些情况下,外部控制器205可与本地存储器阵列240耦合。外部控制器205可将来自由主机装置202接收的一或多个数据包的数据存储在本地存储器阵列240处。举例来说,在使用eMMC 210认证与数据包相关联的签名之后,外部控制器205可执行写入操作以将数据存储在本地存储器阵列240处。在其它情况下,外部控制器205可从本地存储器阵列240读取数据以发送到另一电子装置。外部控制器205可在发送数据包之前使用存储在主机装置202或eMMC 210处的一或多个密钥对数据包加签名,作为对其它电子装置的认证程序的部分。
嵌入式控制器220可管理与嵌入式存储器阵列225相关联的一或多个操作。举例来说,嵌入式控制器220可接收命令以检索嵌入式存储器阵列225处的数据或将数据存储在所述嵌入式存储器阵列处。嵌入式控制器220可经配置以管理与嵌入式存储器阵列225相关联的存储器地址、更新嵌入式寄存器、更新指针等。嵌入式控制器220可经配置以通过控制一或多个字线、数字线、位线、感测组件等来管理在嵌入式存储器阵列225上执行的读取及写入操作。
eMMC 210可经配置以实施一或多个安全特征以用于保护存储在嵌入式存储器阵列225处的数据。举例来说,嵌入式控制器220可分割或配置用于嵌入式存储器阵列225的一或多个部分的存取参数。在一些情况下,嵌入式控制器220、嵌入式存储器阵列225或其组合可与用于执行eMMC 210处的一或多个安全特征的写入保护电路230耦合。举例来说,嵌入式控制器220可为嵌入式存储器阵列225的一或多个分区配置不同类型的写入保护。嵌入式存储器阵列225的分区可配置有永久性写入保护,其可称为永久性写入保护群组。永久性写入保护群组可防止数据被写入到永久性写入保护分区或防止存储在永久性写入保护分区中的数据被修改。在一些情况下,永久性写入保护群组可包含写入保护电路230,其防止停用或移除对永久性写入保护群组的写入保护。举例来说,一旦在嵌入式存储器阵列225处配置永久性写入保护,嵌入式控制器220或写入保护电路230就可防止写入保护通过命令或使eMMC 210装置复位而被复位。在一些实例中,永久性写入保护可经配置以在制造期间用于一或多个分区,且因此,存储在这些分区中的数据(例如,在制造期间存储的加密密钥)不可通过在eMMC 210处执行的操作来删除或修改。举例来说,嵌入式控制器220可管理eMMC 210的存储器单元的错误校正操作、块管理、耗损均衡操作,或其组合。在一些情况下,块管理可包含管理存储器的存储体或存储器的块,作为存取操作、维护操作、其它操作或其组合的部分。
在额外或替代情况下,嵌入式控制器220、写入保护电路230或其组合可为嵌入式存储器阵列225的一或多个分区配置暂时性写入保护,其可称为暂时性写入保护群组。暂时性写入保护可防止数据写入到暂时性写入保护分区或在启用暂时性写入保护时防止所存储数据被修改。在一些情况下,嵌入式控制器220或写入保护电路230可经配置以停用暂时性写入保护。在一些情况下,可针对整个暂时性写入保护分区的一部分停用暂时性写入保护。在一些实例中,可在对存储在暂时性写入保护分区中的数据执行一或多个存取操作之后停用暂时性写入保护。举例来说,写入保护电路230可跟踪对存储在暂时性写入保护分区上的数据的存取(例如,读取),且防止停用写入保护,直到满足特定条件。在一些情况下,所述条件可为存取数据元素(例如,加密密钥)的数目、多个数据要素(例如,每一加密密钥的存取)的存取数目或其它因素。在一些实例中,条件可为持续时间。在这些实例中,一旦满足条件,嵌入式控制器220就可停用暂时性写入保护。在一些情况下,存储在暂时性写入保护中的数据可被删除或记录为不再安全。在一些实例中,嵌入式控制器220或写入保护电路230可经配置以基于从外部控制器205接收到命令而停用暂时性写入保护。在这些情况下,即使尚未存取暂时性写入保护分区中的数据,也可移除暂时性写入保护。
在一些情况下,eMMC 210可使用认证电路235执行认证操作。在主机装置202将经签名数据包发送到eMMC 210的情况下,eMMC 210可使用存储在嵌入式存储器阵列225处的一或多个加密密钥执行认证操作。在一些实例中,主机装置202可将命令发送到eMMC 210以使用数据包执行认证程序。在成功认证数据包时,eMMC 210可将来自数据包的数据存储在嵌入式存储器阵列225处、将认证成功的指示发射到主机装置202、将数据发射到主机装置202以用于进一步处理或将数据存储在本地存储器阵列240处,或其组合。
认证电路235可经配置以执行一或多个密码操作。举例来说,认证电路235可经配置以使用存储在嵌入式存储器阵列225处的加密密钥(例如,公钥或私钥)执行不对称密码程序。
在一些情况下,eMMC 210可经配置以从主机装置202接受命令的有限集合作为安全机制用于保护存储在嵌入式存储器阵列225处的数据。举例来说,eMMC 210可经配置以将从装置(例如,主机装置202)接收的特定命令识别为被锁定、受限或不支持的命令。响应于接收到被锁定、受限或不支持的命令,eMMC 210可传回错误消息、传回不可执行一或多个命令的指示、忽略尝试重新配置嵌入式存储器阵列225的命令、阻止或忽略命令的一部分(例如指示存取嵌入式存储器阵列225处的数据的读取或写入地址的命令部分),或忽略尝试停用嵌入式存储器阵列225处的一或多个保护(例如,写入保护)的命令。
图3说明根据如本文中所公开的实例的支持公钥保护技术的嵌入式多媒体系统300的实例。嵌入式多媒体系统300可实施参考图1及2描述的系统100及存储器系统200的方面。嵌入式多媒体系统300可包含主机装置302及电子装置305,其可为参考图2所描述的主机装置202的实例。嵌入式多媒体系统300还可包含eMMC 310,其可为参考图2所描述的eMMC210的实例。嵌入式多媒体系统300可说明使用eMMC 310对在主机装置302与电子装置305之间传送的数据包的签名及认证过程的实例。
eMMC 310可包含嵌入式控制器320及嵌入式存储器325,其可为参考图2所描述的嵌入式控制器220及嵌入式存储器阵列225的实例。在一些情况下,嵌入式存储器325可分割且格式化为不同群组。举例来说,嵌入式存储器325的第一区段可配置为如本文所描述的永久性写入保护群组330,嵌入式存储器325的第二部分可视情况配置为如本文所描述的暂时性写入保护群组335,且嵌入式存储器325的第三部分可格式化为开放读取及写入群组,其可由主机装置302写入或读取。
在一些情况下,永久性写入保护群组330可存储一或多个永久性加密密钥,其可包含至少一第一公钥(例如,公钥1)。在一些实例中,永久性加密密钥可在eMMC 310的制造期间存储在永久性写入保护群组处,且永久性写入保护群组可经配置以防止修改(例如,写入到)存储永久性加密密钥的存储器区段。在一些实例中,永久性写入群组可在eMMC 310的初始启动或配置事件期间加以配置。主机装置302可将永久性加密密钥存储在嵌入式存储器325处,且在初始启动周期或其它一次性配置事件期间配置永久性写入保护群组330。因此,在一些情况下,一旦永久性写入保护群组330已配置,其就变为不可被写入或所存储数据不可修改的只读分区。举例来说,嵌入式控制器320可经配置以仅从永久性写入保护群组330读取数据(例如,永久性加密密钥)。
永久性加密密钥可用以验证在主机装置302处接收的数据包308的发送者。举例来说,电子装置305可将数据包308发送到主机装置302。电子装置305可使用私钥307对数据包加签名,所述私钥可与存储在永久性写入保护群组中的公钥(例如,公钥1)相关联。在接收到数据包308时,主机装置302可将一或多个命令发送到嵌入式控制器320以验证数据包308的签名。嵌入式控制器320可存取(例如,读取)与私钥307相关联的第一公钥,且主机装置302或嵌入式控制器320可执行如本文所描述的验证过程。如果签名通过验证,则与数据包308相关联的数据可存储在主机装置或eMMC 310处。举例来说,eMMC 310可用读取及写入群组340分割,主机装置302可将存取评述(例如,读取、写入、擦除)发送到嵌入式控制器320以用于写入数据到读取及写入群组340。在一些情况下,主机装置302可存储一或多个永久性私钥(例如,私钥1)。
另外或替代地,eMMC 310可基于待存储在永久性写入保护群组330处的加密密钥的可能(例如,预期)或已知数目或密钥大小格式化永久性写入保护群组330的大小。举例来说,eMMC 310可将永久性写入保护群组的大小格式化为加密密钥大小的整数倍数。因此,永久性写入保护群组330可经配置以保持不同数目或大小的加密密钥。
在一些任选实例中,eMMC 310可包含可经配置以存储一或多个暂时性加密密钥的暂时性写入保护群组335,所述一或多个暂时性加密密钥可包含一或多个公钥(例如,公钥2)、一或多个私钥(例如,永久性密钥2),或其组合。暂时性写入保护群组335可连同永久性写入保护群组330一起用来存储与认证相关的密钥或信息。暂时性写入保护群组335可由eMMC 310基于一或多个触发事项配置、启用或停用。在一些情况下,触发事项可包含来自主机装置302的启用或停用配置命令。在其它实例中,触发事项可包含暂时性加密密钥中的一或多者的使用计数、持续时间,等。在一些情况下,eMMC 310可配置有多个暂时性写入保护群组335,其中的每一者可具有相同或不同触发事项。在一些情况下,暂时性写入保护群组335可具有多个触发事项,例如持续时间或使用计数或其组合。举例来说,对暂时性写入保护群组335的写入保护不可停用,直到持续时间已满足或过去及/或临时密钥已经用于验证过程中。
在一些情况下,永久性写入保护群组330或暂时性写入保护群组335可存储用于执行验证过程的多个暂时性密钥。举例来说,每一永久性公钥可与不同电子装置305相关联。因此,eMMC 310可配置永久性写入保护群组330或暂时性写入保护群组335用于与第一组电子装置305通信。举例来说,eMMC 310可从第一电子装置305接收第一数据包,且使用第一永久性公钥或第一暂时性公钥认证第一数据包。eMMC 310还可从第二电子装置305接收第二数据包,且使用第二永久性公钥或第二暂时性公钥认证第二数据包。在一些实例中,eMMC310可使用第一密钥(例如,公钥1),随后切换到第二密钥。在一些情况下,主机装置302或eMMC 310及电子装置可各自存储多个加密密钥对,且经配置以对于不同数据包308发射(例如,基于使用计数、模式等)循环使用不同密钥对。
在包含暂时性写入保护群组的实例中,eMMC 310可经配置以在满足密钥使用阈值时删除、重新格式化或重新配置暂时性写入保护群组335。在一些情况下,eMMC 310可在满足密钥使用阈值之后用经更新或新的暂时性加密密钥使暂时性写入保护群组复位。在其它情况下eMMC 310可启动用于使主机装置302复位或重新格式化暂时性写入保护群组335的命令组。举例来说,暂时性加密密钥可存储在嵌入式存储器325中,且暂时性写入保护群组配置eMMC 310的制造过程的一部分。一旦满足密钥阈值,主机装置302就可将命令发送到嵌入式控制器320以将与暂时性写入保护群组相关联的嵌入式存储器325格式化为读取及写入配置。在一些情况下,嵌入式控制器320可将经更新或新的暂时性密钥写入到嵌入式存储器325的一或多个部分,且接着针对经更新/新加密密钥重新配置暂时性写入保护群组335。举例来说,嵌入式控制器320可在主机装置302的请求下写入经更新或新的暂时性密钥。
eMMC 310可基于待存储在暂时性写入保护群组335处的加密密钥的可能(例如,预期)或已知数目或密钥大小格式化暂时性写入保护群组335的大小。举例来说,eMMC 310可将暂时性写入保护群组335的大小格式化为加密密钥大小的整数倍数。因此,暂时性写入保护群组335可经配置以存储不同数目或大小的加密密钥。
图4说明根据如本文中所公开的实例的支持公钥保护技术的处理流程400的实例。处理流程400可实施参考图1到3描述的系统100、存储器系统200及嵌入式多媒体系统300的方面。处理流程400可说明由主机装置402及eMMC 403执行的操作或其间的信令的实例,所述主机装置及eMMC可为参考图1到3描述的主机装置202、302及eMMC 210、310的实例。
操作、信令或通信可包含作为本文中描述的数据认证或验证过程的部分的在主机装置402与eMMC 403之间的一或多个命令、数据发射、过程指示等。在一些情况下,处理流程400可说明使用eMMC 403来对在主机装置402处接收的数据执行认证过程的实例。
在405处,eMMC 403可格式化在嵌入式存储器阵列处的写入保护群组。在一些情况下,写入保护群组可为永久性写入保护群组、暂时性写入保护群组或其组合(例如,eMMC403可格式化多个写入保护群组),如本文所描述。
在410处,eMMC 403可将第一加密密钥存储于在405处格式化的写入保护群组中。在一些情况下,第一加密密钥可为非对称密钥对的公钥,且与电子装置的私钥相关联。另外或替代地,eMMC 403可存储非对称密钥对的私钥,其用以对从可由其它电子装置授权或验证的主机装置402发送的数据包进行签名。
在415处,主机装置402可例如从另一电子装置接收数据包。数据包可包含用于认证由特定电子装置发送的数据包的签名。在一些情况下,数据包可包含使用与电子装置相关联的私钥进行签名的数据有效负载的散列函数。
在420处,主机装置402可将认证请求发送到eMMC 403以认证在415处接收的数据包。在一些情况下,认证请求可包含例如在主机装置402确定数据包将存储在eMMC 403的嵌入式存储器处的情况下,将数据包传送到eMMC 403。在一些情况下,认证请求可包含用于使eMMC 403将与电子装置相关联的加密密钥传送到主机装置402的命令。在一些情况下,认证请求可包含在主机装置保持与数据包相关联的有效负载时,主机装置将签名传送到eMMC403以进行验证。
在425处,eMMC 403可将加密密钥(例如与数据包的发送者相关联的公钥)传送到主机装置402。eMMC 403可从永久性写入保护群组或暂时性写入保护群组存取加密密钥,且基于在420处的认证请求中接收到针对加密密钥的命令而将密钥传送到主机装置。
在430-a处,主机装置402可使用例如公钥等加密密钥来认证数据包是从特定电子装置发送的。主机装置402可计算数据的散列函数,且使用公钥验证其匹配由电子装置发送的数据有效负载。
在430-b处,eMMC 403可使用例如公钥等加密密钥来认证数据包是从特定电子装置发送的。举例来说,eMMC 403可基于420处的认证请求而执行认证程序。举例来说,在主机装置发送命令到eMMC 403以认证且存储数据包的情况下。eMMC 403可计算数据的散列函数,且使用公钥验证其匹配由电子装置发送的数据有效负载。
在435处,在eMMC 403执行认证程序时,eMMC 403可将数据包是来自特定电子装置的指示发送到主机装置402。
在440处,eMMC 403可将来自数据包的数据有效负载存储在eMMC 403处的嵌入式存储器处。举例来说,eMMC 403可基于来自主机装置402的命令而存储数据有效负载。
在445处,主机装置402可处理或存储来自数据包的数据有效负载。在一些情况下,主机装置402可操纵、处理或以其它方式使用数据来在主机装置402处执行一或多个功能或过程。另外或替代地,主机装置402可例如在主机装置402的本地存储器处存储数据,如本文所描述。
图5展示根据如本文中所公开的实例的支持公钥保护技术的存储器装置505的框图500。存储器装置505可为如参考图1到4所描述的存储器装置的方面的实例。在一些情况下,存储器装置505可为eMMC的实例。存储器装置505可包含写入保护管理器510、安全密钥管理器515、数据管理器520及认证管理器525。这些模块中的每一者可直接或间接地彼此通信(例如,经由一或多个总线)。
写入保护管理器510可格式化嵌入式多媒体卡的第一部分以包含永久性写入保护群组,所述永久性写入保护群组经配置以防止停用对存储在永久性写入保护群组中的数据的写入保护。在一些实例中,写入保护管理器510可在嵌入式多媒体卡处配置永久性写入保护群组,其中所述注册为一次性配置,其防止永久性写入保护群组基于嵌入式多媒体卡与主机装置耦合而被重新配置。在一些实例中,写入保护管理器510可格式化嵌入式多媒体卡的第二部分以包含暂时性写入保护群组。在一些实例中,写入保护管理器510可将暂时性写入保护群组配置于只读模式。在一些实例中,写入保护管理器510可基于认证第二数据包而停用暂时性写入保护群组的只读模式。
在一些实例中,写入保护管理器510可基于认证来自一或多个主机装置的消息而停用只读模式。在一些实例中,写入保护管理器510可基于擦除用以认证消息的公钥而启用暂时性写入保护群组的只读模式。在一些实例中,写入保护管理器510可基于一组公钥中的至少一个密钥的使用计数已满足阈值而停用暂时性写入保护群组的只读模式。
在一些实例中,写入保护管理器510可基于待用以存储第一公钥的存储器的可能量而确定用于永久性写入保护群组的存储器的大小,其中格式化嵌入式多媒体卡的第一部分是基于确定所述大小。在一些实例中,写入保护管理器510可基于待存储在永久性写入保护群组中的公钥的可能数量而确定用于永久性写入保护群组的存储器的大小,其中格式化嵌入式多媒体卡的第一部分是基于确定所述大小。
在一些实例中,写入保护管理器510可在嵌入式多媒体卡处注册暂时性写入保护群组以将暂时性写入保护群组配置于只读模式。在一些情况下,写入保护防止修改存储在永久性写入保护群组中的数据。
安全密钥管理器515可将与第一主机装置相关联的第一公钥存储在嵌入式多媒体卡的永久性写入保护群组中。在一些实例中,安全密钥管理器515可基于配置永久性写入保护群组而将与主机装置相关联的第一公钥存储在嵌入式多媒体卡的永久性写入保护群组中,以防止第一公钥被存取操作修改。在一些实例中,安全密钥管理器515可将与嵌入式多媒体卡相关联的私钥存储在永久性写入保护群组中。
在一些实例中,安全密钥管理器515可将第二主机装置的第二公钥存储在处于只读模式的嵌入式多媒体卡的暂时性写入保护群组中。在一些实例中,安全密钥管理器515可基于停用暂时性写入保护群组的只读模式而从暂时性写入保护群组擦除第二公钥。在一些实例中,安全密钥管理器515可将与一或多个主机装置相关联的一组公钥存储在暂时性写入保护群组中。在一些实例中,安全密钥管理器515可擦除一组公钥中用以认证消息的公钥。
在一些实例中,安全密钥管理器515可跟踪存储在暂时性写入保护群组中的一组公钥的使用。在一些实例中,安全密钥管理器515可基于第一公钥的使用计数满足阈值而从使用第一公钥切换到一组公钥中的第三公钥。
在一些实例中,安全密钥管理器515可将与嵌入式多媒体卡相关联的私钥存储在暂时性写入保护群组。在一些实例中,安全密钥管理器515可将与第二主机装置相关联的第二公钥存储在嵌入式多媒体卡的暂时性写入保护群组中。
数据管理器520可从第一主机装置接收第一数据包。在一些实例中,数据管理器520可使用私钥对待从嵌入式多媒体卡发射的第二数据包加签名。在一些实例中,数据管理器520可从嵌入式多媒体卡发射经签名第二数据包。在一些实例中,数据管理器520可从第二主机装置接收第二数据包。在一些实例中,数据管理器520可使用私钥对与嵌入式多媒体卡相关联的数据包加签名。在一些实例中,数据管理器520可从与第一公钥相关联的主机装置接收第一数据包。
认证管理器525可使用存储在永久性写入保护群组中的第一公钥认证来自第一主机装置的第一数据包。在一些实例中,认证管理器525可通过从嵌入式多媒体卡的暂时性写入保护群组存取第二公钥来认证第二数据包。在一些实例中,认证管理器525可通过存取永久性写入保护群组中的第一公钥来认证第一数据包。在一些实例中,认证管理器525可使用第二公钥认证第二数据包。
图6展示根据本公开的方面的说明支持公钥保护技术的一或多种方法600的流程图。方法600的操作可由本文描述的存储器装置或其组件来实施。举例来说,方法600的操作可由如参考图5所描述的存储器装置执行。在一些实例中,存储器控制器可执行一组指令以控制存储器装置的功能元件,以执行所描述的功能。另外或替代地,存储器装置可使用专用硬件来执行所描述的功能的各方面。
在605处,存储器装置可格式化嵌入式多媒体卡的第一部分以包含永久性写入保护群组,所述永久性写入保护群组经配置以防止停用对存储在所述永久性写入保护群组中的数据的写入保护。可根据本文中所描述的方法来执行605的操作。在一些实例中,605的操作的方面可由如参考图5所描述的写入保护管理器执行。
在610处,存储器装置可将与第一主机装置相关联的第一公钥存储在嵌入式多媒体卡的永久性写入保护群组中。可根据本文中所描述的方法来执行610的操作。在一些实例中,610的操作的方面可由如参考图5所描述的安全密钥管理器来执行。
在615处,存储器装置可从第一主机装置接收第一数据包。可根据本文中所描述的方法来执行615的操作。在一些实例中,615的操作的方面可由如参考图5所描述的数据管理器执行。
在620处,存储器装置可使用存储在永久性写入保护群组中的第一公钥认证来自第一主机装置的第一数据包。可根据本文中所描述的方法来执行620的操作。在一些实例中,620的操作的方面可由如参考图5所描述的认证管理器执行。
在一些实例中,如本文所描述的设备可执行例如方法600等一或多种方法。所述设备可包含用于进行以下操作的特征、构件或指令(例如,存储可由处理器执行的指令的非暂时性计算机可读媒体):格式化嵌入式多媒体卡的第一部分以包含永久性写入保护群组,所述永久性写入保护群组经配置以防止停用对存储在所述永久性写入保护群组中的数据的写入保护;将与第一主机装置相关联的第一公钥存储在所述嵌入式多媒体卡的所述永久性写入保护群组中;从所述第一主机装置接收第一数据包;以及使用存储在所述永久性写入保护群组中的所述第一公钥认证来自所述第一主机装置的所述第一数据包。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:将与嵌入式多媒体卡相关联的私钥存储在永久性写入保护群组中;使用私钥对待从嵌入式多媒体卡发射的第二数据包加签名;以及从嵌入式多媒体卡发射经签名第二数据包。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:格式化嵌入式多媒体卡的第二部分以包含暂时性写入保护群组;将暂时性写入保护群组配置于只读模式;以及将第二主机装置的第二公钥存储在可处于只读模式的嵌入式多媒体卡的暂时性写入保护群组中。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:从第二主机装置接收第二数据包;以及通过从嵌入式多媒体卡的暂时性写入保护群组存取第二公钥来认证第二数据包。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:基于认证第二数据包而停用暂时性写入保护群组的只读模式;以及基于停用暂时性写入保护群组的只读模式而从暂时性写入保护群组擦除第二公钥。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:将与一或多个主机装置相关联的一组公钥存储在暂时性写入保护群组中;基于认证来自一或多个主机装置的消息而停用只读模式;以及擦除一组公钥中用以认证消息的公钥。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:基于擦除用以认证消息的公钥而启用暂时性写入保护群组的只读模式。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:跟踪存储在暂时性写入保护群组中的一组公钥的使用;以及基于第一公钥的使用计数满足阈值而从使用第一公钥切换到一组公钥中的第三公钥。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:基于一组公钥中的至少一个密钥的使用计数可能已满足阈值而停用暂时性写入保护群组的只读模式。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:将与嵌入式多媒体卡相关联的私钥存储在暂时性写入保护群组中;以及使用私钥对与嵌入式多媒体卡相关联的数据包加签名。
在本文中描述的方法600及设备的一些实例中,写入保护防止修改存储在永久性写入保护群组中的数据。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:基于待用以存储第一公钥的存储器的可能量而确定用于永久性写入保护群组的存储器的大小,其中格式化嵌入式多媒体卡的第一部分可以基于确定所述大小。
本文中描述的方法600及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:基于待存储在永久性写入保护群组中的公钥的可能数量而确定用于永久性写入保护群组的存储器的大小,其中格式化嵌入式多媒体卡的第一部分可以基于确定所述大小。
图7展示根据本公开的方面的说明支持公钥保护技术的一或多种方法700的流程图。方法700的操作可由如本文所描述的存储器装置或其组件实施。举例来说,方法700的操作可由如参考图5所描述的存储器装置执行。在一些实例中,存储器控制器可执行一组指令以控制存储器装置的功能元件,以执行所描述的功能。另外或替代地,存储器装置可使用专用硬件来执行所描述的功能的各方面。
在705处,存储器装置可在嵌入式多媒体卡处注册永久性写入保护群组,其中所述注册为一次性配置,其防止永久性写入保护群组基于嵌入式多媒体卡与主机装置耦合而被重新配置。可根据本文中所描述的方法来执行705的操作。在一些实例中,705的操作的方面可由如参考图5所描述的写入保护管理器执行。
在710处,存储器装置可基于注册所述永久性写入保护群组而将与主机装置相关联的第一公钥存储在嵌入式多媒体卡的永久性写入保护群组中,以防止第一公钥通过存取操作而被修改。可根据本文中所描述的方法来执行710的操作。在一些实例中,710的操作的方面可由如参考图5所描述的安全密钥管理器来执行。
在715处,存储器装置可从与第一公钥相关联的主机装置接收第一数据包。可根据本文中所描述的方法来执行715的操作。在一些实例中,715的操作的方面可由如参考图5所描述的数据管理器执行。
在720处,存储器装置可通过存取永久性写入保护群组中的第一公钥来认证第一数据包。可根据本文中所描述的方法来执行720的操作。在一些实例中,720的操作的方面可由如参考图5所描述的认证管理器执行。
在一些实例中,如本文所描述的设备可执行例如方法700等一或多种方法。所述设备可包含用于进行以下操作的特征、构件或指令(例如,存储可由处理器执行的指令的非暂时性计算机可读媒体):在嵌入式多媒体卡处注册永久性写入保护群组,其中所述注册包含一次性配置,其防止所述永久性写入保护群组基于所述嵌入式多媒体卡与主机装置耦合而被重新配置;以及基于注册所述永久性写入保护群组而将与所述主机装置相关联的第一公钥存储在所述嵌入式多媒体卡的所述永久性写入保护群组中,以防止所述第一公钥通过存取操作而被修改。
本文中描述的方法700及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:从与第一公钥相关联的主机装置接收第一数据包;以及通过存取永久性写入保护群组中的第一公钥来认证第一数据包。
本文中描述的方法700及设备的一些实例可进一步包含用于进行以下操作的操作、特征、构件或指令:在嵌入式多媒体卡处注册暂时性写入保护群组以将暂时性写入保护群组配置于只读模式;将与第二主机装置相关联的第二公钥存储在嵌入式多媒体卡的暂时性写入保护群组中;以及使用第二公钥认证第二数据包。
应注意,上文描述的方法描述了可能的实施方案,且操作及步骤可重新布置或以其它方式加以修改,且其它实施方案是可能的。此外,可组合方法中的两个或更多个的各部分。
描述一种装置。所述装置可包含:嵌入式多媒体卡,其包括多个存储器单元;存储器接口,其与所述嵌入式多媒体卡耦合且可操作以与主机装置通信;控制器,其与所述嵌入式多媒体卡耦合且可操作以管理所述多个存储器单元的操作且致使所述装置格式化所述多个存储器单元的第一部分以包括永久性写入保护群组、将与第一主机装置相关联的第一公钥存储在所述多个存储器单元的所述永久性写入保护群组中、从所述第一主机装置接收第一数据包,且使用所述第一公钥认证来自所述第一主机装置的所述第一数据包。
在所述装置的一些实例中,所述控制器可进一步可操作以致使所述装置防止在格式化所述多个存储器单元的所述第一部分之后停用对所述永久性写入保护群组的写入保护。在一些实例中,永久性写入保护群组作为所述装置的制造过程的部分而被格式化。
在所述装置的一些实例中,所述控制器管理所述多个存储器单元的错误校正操作、块管理、耗损均衡操作,或其组合。
在所述装置的一些实例中,所述控制器可进一步可操作以格式化所述多个存储器单元的第二部分以包括暂时性写入保护群组、将所述暂时性写入保护群组配置于只读模式,且将第二主机装置的第二公钥存储在所述多个存储器单元的所述暂时性写入保护群组中。
在所述装置的一些实例中,所述控制器可进一步可操作以从所述第二主机装置接收第二数据包,且通过从所述嵌入式多媒体卡的所述暂时性写入保护群组存取所述第二公钥来认证所述第二数据包。
可使用多种不同技术及技艺中的任何者来表示本文中所描述的信息及信号。举例来说,可用电压、电流、电磁波、磁场或磁粒子、光场或光粒子或其任何组合来表示在整个上文描述中可能参考的数据、指令、命令、信息、信号、位、符号及码片。一些图式可将信号示出为单个信号;然而,所属领域的一般技术人员将理解,所述信号可表示信号总线,其中总线可具有多种位宽度。
术语“电子通信”、“导电接触”、“连接”及“耦合”可指代组件之间支持信号在组件之间流动的关系。如果组件之间存在可在任何时间支持组件之间的信号流动的任何导电路径,则认为所述组件彼此电子连通(导电接触或连接或耦合)。在任何给定时间,基于包含所连接组件的装置的操作,彼此电子连通(或彼此导电接触,或彼此连接,或彼此耦合)的组件之间的导电路径可为开路或闭路。所连接组件之间的导电路径可为组件之间的直接导电路径,或所连接组件之间的导电路径可为间接导电路径,其可包含例如开关、晶体管或其它组件的中间组件。在一些情况下,可例如使用例如开关或晶体管的一或多个中间组件将所连接组件之间的信号流动中断一段时间。
术语“耦合”是指从组件之间的开路关系移动到组件之间的闭路关系的条件,在开路关系中,信号当前不能够经由导电路径在组件之间传达,在闭路关系中,信号可经由导电路径在组件之间传达。当例如控制器等组件将其它组件耦合在一起时,组件起始允许信号经由先前不准许信号流动的导电路径在其它组件之间流动的改变。
本文中论述的装置,包含存储器阵列,可形成于例如硅、锗、硅锗合金、砷化镓、氮化镓等半导体衬底上。在一些情况下,衬底为半导体晶片。在其它情况下,衬底可为绝缘体上硅(SOI)衬底,例如玻璃上硅(SOG)或蓝宝石上硅(SOP),或另一衬底上的半导体材料的外延层。可通过使用包含但不限于磷、硼或砷的各种化学物种的掺杂来控制衬底或衬底的子区的导电性。可在衬底的初始形成或生长期间,通过离子植入或通过任何其它掺杂方法来执行掺杂。
本文中所论述的开关组件或晶体管可表示场效应管(FET)且包含三端装置,所述三个端子装置包含源极、漏极及栅极。所述端子可通过例如金属的导电材料连接到其它电子元件。源极及漏极可为导电的,且可包含经重掺杂(例如,简并)半导体区。源极与漏极可由轻掺杂的半导体区或通道间隔开。如果通道是n型(即,多数载流子是电子),那么FET可被称作n型FET。如果通道是p型(即,多数载流子是电穴),那么FET可被称作p型FET。通道可由绝缘栅极氧化物封端。可通过将电压施加到栅极来控制通道导电性。举例来说,将正电压或负电压分别施加到n型FET或p型FET可导致通道变得导电。当大于或等于晶体管的阈值电压的电压被施加到晶体管栅极时,晶体管可“接通”或“启动”。当将小于晶体管的阈值电压的电压施加到晶体管栅极时,晶体管可“断开”或“撤销启动”。
本文结合附图阐述的描述内容描述了实例配置,且并不表示可实施的或在权利要求书的范围内的所有实例。本文中所使用的术语“示范性”是指“充当实例、例子或说明”,且不“优选于”或“优于”其它实例。具体实施方式包含提供对所描述的技术的理解的特定细节。然而,可在没有这些特定细节的情况下实践这些技术。在一些例子中,以框图的形式展示众所周知的结构及装置以免混淆所描述的实施例的概念。
在附图中,类似组件或特征可具有相同的参考标记。此外,通过遵循虚线及第二标记的参考标记可区分相同类型的各种组件,这些虚线及第二标记在相似组件当中予以区分。若在说明书中仅使用第一参考标记,则描述适用于具有相同第一参考标记而与第二参考标记无关的类似组件中之任一者。
可使用多种不同技术及技艺中的任何者来表示本文中所描述的信息及信号。举例来说,可用电压、电流、电磁波、磁场或磁粒子、光场或光粒子或其任何组合来表示在整个上文描述中可能参考的数据、指令、命令、信息、信号、位、符号及码片。
结合本文中的公开内容所描述的各种说明性块及模块可使用通用处理器、DSP、ASIC、FPGA或经设计以执行本文中所描述的功能的其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何组合来实施或执行。通用处理器可为微处理器,但在替代方案中,处理器可为任何处理器、控制器、微控制器或状态机。处理器也可实施为计算装置的组合(例如,DSP与微处理器的组合、多个微处理器、一或多个微处理器结合DSP核心,或任何其它此类配置)。
本文中所描述的功能可以硬件、由处理器执行的软件、固件或其任何组合来实施。如果在由处理器执行的软件中实施,那么可将功能作为一或多个指令或代码存储在计算机可读媒体上或经由计算机可读媒体发射。其它实例及实施方案在本公开及所附权利要求书的范围内。例如,由于软件的性质,上文所描述的功能可使用由处理器、硬件、固件、硬连线或这些中的任何者的组合执行的软件实施。实施功能的特征也可在物理上位于各个位置处,包含经分布以使得功能的各部分在不同物理位置处实施。而且,如本文中所使用,包含在权利要求书中,项目的列表(例如,以例如“中的至少一者”或“中的一或多者”的短语开始的项目的列表)中所使用的“或”指示包含性列表,使得(例如)A、B或C中的至少一者的列表意指A或B或C或AB或AC或BC或ABC(即,A及B及C)。另外,如本文中所使用,短语“基于”不应理解为提及封闭条件集。举例来说,在不脱离本公开的范围的情况下,描述为“基于条件A”的示例性步骤可基于条件A及条件B两者。换句话说,如本文中所使用,短语“基于”应同样地解释为短语“至少部分地基于”。
计算机可读媒体包含非暂时性计算机存储媒体以及包含促进将计算机程序从一处传送到另一处的任何媒体的通信媒体两者。非暂时性存储媒体可为可由通用或专用计算机存取的任何可供使用的媒体。借助于实例而非限制,非暂时性计算机可读媒体可包含RAM、ROM、电可擦除可编程只读存储器(EEPROM)、光盘(CD)ROM或其它光盘存储装置、磁盘存储器或其它磁性存储装置装置、或任何其它可用以携载或存储呈指令或数据结构形式的所要程序代码装置且可被通用或专用计算机或通用或专用处理器存取的的非暂时性媒体。而且,可适当地将任何连接称为计算机可读媒体。举例来说,如果使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)或例如红外线、无线电及微波的无线技术从网站、服务器或其它远程源发射软件,那么所述同轴电缆、光纤电缆、双绞线、数字订户线(digital subscriberline,DSL)或例如红外线、无线电及微波的无线技术包含在媒体的定义中。如本文中所使用,磁盘及光盘包含CD、激光光盘、光学光盘、数字多功能光盘(DVD)、软性磁盘及蓝光光盘,其中磁盘通常以磁性方式再现数据,而光盘用激光以光学方式再现数据。以上各者的组合也包含在计算机可读媒体的范围内。
提供本文描述以使得所属领域的技术人员能够制造或使用本公开。对本公开的各种修改对所属领域的技术人员来说将是显而易见的,且本文所定义的一般原理可在不脱离本公开的范围的情况下应用于其它变体。因此,本公开不限于本文描述的实例及设计,而是被赋予与本文公开的原理及新颖特征一致的最宽范围。
Claims (23)
1.一种方法,其包括:
格式化嵌入式多媒体卡的第一部分以包括永久性写入保护群组,所述永久性写入保护群组经配置以防止停用对存储在所述永久性写入保护群组中的数据的写入保护;
将与第一主机装置相关联的第一公钥存储在所述嵌入式多媒体卡的所述永久性写入保护群组中;
从所述第一主机装置接收第一数据包;以及
使用存储在所述永久性写入保护群组中的所述第一公钥认证来自所述第一主机装置的所述第一数据包。
2.根据权利要求1所述的方法,其进一步包括:
将与所述嵌入式多媒体卡相关联的私钥存储在所述永久性写入保护群组中;
使用所述私钥对待从所述嵌入式多媒体卡发射的第二数据包加签名;以及
从所述嵌入式多媒体卡传送所述经签名第二数据包。
3.根据权利要求1所述的方法,其进一步包括:
格式化所述嵌入式多媒体卡的第二部分以包括暂时性写入保护群组;
将所述暂时性写入保护群组配置于只读模式;以及
将第二主机装置的第二公钥存储在所述嵌入式多媒体卡的处于所述只读模式的所述暂时性写入保护群组中。
4.根据权利要求3所述的方法,其进一步包括:
从所述第二主机装置接收第二数据包;以及
通过从所述嵌入式多媒体卡的所述暂时性写入保护群组存取所述第二公钥来认证所述第二数据包。
5.根据权利要求4所述的方法,其进一步包括:
至少部分地基于认证所述第二数据包而停用所述暂时性写入保护群组的所述只读模式;以及
至少部分地基于停用所述暂时性写入保护群组的所述只读模式而从所述暂时性写入保护群组擦除所述第二公钥。
6.根据权利要求3所述的方法,其进一步包括:
将与一或多个主机装置相关联的多个公钥存储在所述暂时性写入保护群组中;
至少部分地基于认证来自所述一或多个主机装置的消息而停用所述只读模式;以及
擦除所述多个公钥中用以认证所述消息的公钥。
7.根据权利要求6所述的方法,其进一步包括:
至少部分地基于擦除用以认证所述消息的所述公钥而启用所述暂时性写入保护群组的所述只读模式。
8.根据权利要求6所述的方法,其进一步包括:
跟踪存储在所述暂时性写入保护群组中的所述多个公钥的使用;以及
至少部分地基于所述第一公钥的使用计数满足阈值而从使用所述第一公钥切换到所述多个公钥中的第三公钥。
9.根据权利要求8所述的方法,其进一步包括∶
至少部分地基于所述多个公钥中的至少一个密钥的所述使用计数已满足所述阈值而停用所述暂时性写入保护群组的所述只读模式。
10.根据权利要求1所述的方法,其进一步包括:
将与所述嵌入式多媒体卡相关联的私钥存储在暂时性写入保护群组中;以及
使用所述私钥对与所述嵌入式多媒体卡相关联的数据包加签名。
11.根据权利要求1所述的方法,其中所述写入保护防止修改存储在所述永久性写入保护群组中的数据。
12.根据权利要求1所述的方法,其进一步包括:
至少部分地基于待用以存储所述第一公钥的存储器的可能量而确定用于所述永久性写入保护群组的存储器的大小,其中格式化所述嵌入式多媒体卡的所述第一部分至少部分地基于确定所述大小。
13.根据权利要求1所述的方法,其进一步包括:
至少部分地基于待存储在所述永久性写入保护群组中的公钥的可能数量而确定用于所述永久性写入保护群组的存储器的大小,其中格式化所述嵌入式多媒体卡的所述第一部分至少部分地基于确定所述大小。
14.一种装置,其包括:
嵌入式多媒体卡,其包括多个存储器单元;
存储器接口,其与所述嵌入式多媒体卡耦合且可操作以与主机装置通信;
控制器,其与所述嵌入式多媒体卡耦合且可操作以管理所述多个存储器单元的操作且致使所述装置:
格式化所述多个存储器单元的第一部分以包括永久性写入保护群组;
将与第一主机装置相关联的第一公钥存储在所述多个存储器单元的所述永久性写入保护群组中;
从所述第一主机装置接收第一数据包;以及
使用所述第一公钥认证来自所述第一主机装置的所述第一数据包。
15.根据权利要求14所述的装置,其中所述控制器进一步可操作以致使所述装置:
防止在格式化所述多个存储器单元的所述第一部分之后停用对所述永久性写入保护群组的写入保护。
16.根据权利要求15所述的装置,其中:
防止停用对所述永久性写入保护群组的所述写入保护不同于修改所述装置的硬件组件。
17.根据权利要求14所述的装置,其中所述永久性写入保护群组作为所述装置的制造过程的部分而被格式化。
18.根据权利要求14所述的装置,其中所述控制器管理所述多个存储器单元的错误校正操作、块管理、耗损均衡操作,或其组合。
19.根据权利要求14所述的装置,其中所述控制器进一步可操作以致使所述装置:
格式化所述多个存储器单元的第二部分以包括暂时性写入保护群组;
将所述暂时性写入保护群组配置于只读模式;以及
将第二主机装置的第二公钥存储在所述多个存储器单元的所述暂时性写入保护群组中。
20.根据权利要求19所述的装置,其中所述控制器进一步可操作以致使所述装置:
从所述第二主机装置接收第二数据包;以及
通过从所述嵌入式多媒体卡的所述暂时性写入保护群组存取所述第二公钥来认证所述第二数据包。
21.一种方法,其包括:
在嵌入式多媒体卡处注册永久性写入保护群组,其中所述注册包括一次性配置,其防止所述永久性写入保护群组至少部分地基于所述嵌入式多媒体卡与主机装置耦合而被重新配置;以及
至少部分地基于注册所述永久性写入保护群组而将与所述主机装置相关联的第一公钥存储在所述嵌入式多媒体卡的所述永久性写入保护群组中,以防止所述第一公钥通过存取操作而被修改。
22.根据权利要求21所述的方法,其进一步包括:
从与所述第一公钥相关联的所述主机装置接收第一数据包;以及
通过存取所述永久性写入保护群组中的所述第一公钥来认证所述第一数据包。
23.根据权利要求21所述的方法,其进一步包括:
在所述嵌入式多媒体卡处注册暂时性写入保护群组以将所述暂时性写入保护群组配置于只读模式;
将与第二主机装置相关联的第二公钥存储在所述嵌入式多媒体卡的所述暂时性写入保护群组中;以及
使用所述第二公钥认证第二数据包。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/456,390 US11184170B2 (en) | 2019-06-28 | 2019-06-28 | Public key protection techniques |
US16/456,390 | 2019-06-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112149189A true CN112149189A (zh) | 2020-12-29 |
CN112149189B CN112149189B (zh) | 2024-07-05 |
Family
ID=73888600
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010587805.6A Active CN112149189B (zh) | 2019-06-28 | 2020-06-24 | 公钥保护技术 |
Country Status (2)
Country | Link |
---|---|
US (2) | US11184170B2 (zh) |
CN (1) | CN112149189B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11184170B2 (en) * | 2019-06-28 | 2021-11-23 | Micron Technology, Inc. | Public key protection techniques |
CN112214240B (zh) | 2019-07-10 | 2024-05-31 | 慧荣科技股份有限公司 | 主机输出输入命令的执行装置及方法及计算机可读取存储介质 |
US11455102B2 (en) * | 2020-03-09 | 2022-09-27 | SK Hynix Inc. | Computing system and operating method thereof |
US11461021B2 (en) | 2020-03-09 | 2022-10-04 | SK Hynix Inc. | Computing system and operating method thereof |
US20240072999A1 (en) * | 2022-08-29 | 2024-02-29 | Micron Technology, Inc. | Cloud storage with enhanced data privacy |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102541765A (zh) * | 2010-09-30 | 2012-07-04 | 美光科技公司 | 处理器主存储器的存储器内容的安全保护 |
CN104572168A (zh) * | 2014-09-10 | 2015-04-29 | 中电科技(北京)有限公司 | 一种bios自更新保护系统及方法 |
US20150161399A1 (en) * | 2013-12-10 | 2015-06-11 | Memory Technologies Llc | Storage module with authenticated storage access |
CN106033503A (zh) * | 2015-03-19 | 2016-10-19 | 阿里巴巴集团控股有限公司 | 在数字内容设备中在线写入应用密钥的方法、装置及系统 |
CN106301845A (zh) * | 2015-05-30 | 2017-01-04 | 四川泰瑞创通讯技术股份有限公司 | 交换机日志记录模块 |
CN106462509A (zh) * | 2014-04-08 | 2017-02-22 | 美光科技公司 | 用于保全存取保护方案的设备及方法 |
CN108108631A (zh) * | 2017-11-29 | 2018-06-01 | 晨星半导体股份有限公司 | 一种根密钥处理方法及相关装置 |
US20180173421A1 (en) * | 2016-12-15 | 2018-06-21 | Western Digital Technologies, Inc. | Non-volatile storage device with physical authentication |
US20190012464A1 (en) * | 2017-06-06 | 2019-01-10 | Pax Computer Technology (Shenzhen) Co., Ltd. | Method and device for ensuring security of firmware of pos machine |
CN109600392A (zh) * | 2019-01-15 | 2019-04-09 | 四川虹微技术有限公司 | 一种防止信息篡改的方法及装置 |
CN109634628A (zh) * | 2017-10-05 | 2019-04-16 | 哈曼国际工业有限公司 | 在可信存储装置上生成校验和以加速认证 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000025473A1 (en) * | 1998-10-23 | 2000-05-04 | L-3 Communications Corporation | Apparatus and methods for managing key material in heterogeneous cryptographic assets |
EP1615225B1 (en) * | 2004-07-08 | 2009-01-28 | Nokia Corporation | Method for partial permanent write protection of a memory card and corresponding memory card |
US20070143530A1 (en) * | 2005-12-15 | 2007-06-21 | Rudelic John C | Method and apparatus for multi-block updates with secure flash memory |
US8164426B1 (en) * | 2008-04-09 | 2012-04-24 | Chanan Steinhart | System and method for producing and distributing digital images including data identifying subjects being photographed |
EP2396791B1 (en) * | 2009-02-12 | 2014-08-06 | Ramot at Tel-Aviv University Ltd. | Apparatus and method for enhancing flash endurance by encoding data |
JP5749236B2 (ja) * | 2012-09-28 | 2015-07-15 | 株式会社東芝 | 鍵付け替え管理装置および鍵付け替え管理方法 |
US10621080B2 (en) * | 2016-04-01 | 2020-04-14 | Intel Corporation | Pipelined hash table with reduced collisions |
US11444759B2 (en) * | 2019-05-29 | 2022-09-13 | Stmicroelectronics, Inc. | Method and apparatus for cryptographically aligning and binding a secure element with a host device |
US11184170B2 (en) * | 2019-06-28 | 2021-11-23 | Micron Technology, Inc. | Public key protection techniques |
-
2019
- 2019-06-28 US US16/456,390 patent/US11184170B2/en active Active
-
2020
- 2020-06-24 CN CN202010587805.6A patent/CN112149189B/zh active Active
-
2021
- 2021-11-03 US US17/518,182 patent/US11700118B2/en active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102541765A (zh) * | 2010-09-30 | 2012-07-04 | 美光科技公司 | 处理器主存储器的存储器内容的安全保护 |
US20150161399A1 (en) * | 2013-12-10 | 2015-06-11 | Memory Technologies Llc | Storage module with authenticated storage access |
CN106462509A (zh) * | 2014-04-08 | 2017-02-22 | 美光科技公司 | 用于保全存取保护方案的设备及方法 |
CN104572168A (zh) * | 2014-09-10 | 2015-04-29 | 中电科技(北京)有限公司 | 一种bios自更新保护系统及方法 |
CN106033503A (zh) * | 2015-03-19 | 2016-10-19 | 阿里巴巴集团控股有限公司 | 在数字内容设备中在线写入应用密钥的方法、装置及系统 |
CN106301845A (zh) * | 2015-05-30 | 2017-01-04 | 四川泰瑞创通讯技术股份有限公司 | 交换机日志记录模块 |
US20180173421A1 (en) * | 2016-12-15 | 2018-06-21 | Western Digital Technologies, Inc. | Non-volatile storage device with physical authentication |
US20190012464A1 (en) * | 2017-06-06 | 2019-01-10 | Pax Computer Technology (Shenzhen) Co., Ltd. | Method and device for ensuring security of firmware of pos machine |
CN109634628A (zh) * | 2017-10-05 | 2019-04-16 | 哈曼国际工业有限公司 | 在可信存储装置上生成校验和以加速认证 |
CN108108631A (zh) * | 2017-11-29 | 2018-06-01 | 晨星半导体股份有限公司 | 一种根密钥处理方法及相关装置 |
CN109600392A (zh) * | 2019-01-15 | 2019-04-09 | 四川虹微技术有限公司 | 一种防止信息篡改的方法及装置 |
Non-Patent Citations (2)
Title |
---|
张金凤: "基于PKI体系的片上操作系统的设计与实现", 《中国优秀硕士学位论文全文数据库 经济与管理科学辑》, no. 03, pages 150 - 711 * |
胡嘉航: "硬件安全模块的设计及应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》, no. 01, pages 138 - 417 * |
Also Published As
Publication number | Publication date |
---|---|
US20220131693A1 (en) | 2022-04-28 |
CN112149189B (zh) | 2024-07-05 |
US11700118B2 (en) | 2023-07-11 |
US20200412534A1 (en) | 2020-12-31 |
US11184170B2 (en) | 2021-11-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112149189B (zh) | 公钥保护技术 | |
US11625170B2 (en) | Row hammer protection for a memory device | |
US11899982B2 (en) | Command block management | |
CN112149155B (zh) | 用于存储器系统的有效负载验证 | |
WO2020171933A1 (en) | Error correction on a memory device | |
US11870918B2 (en) | Security descriptor generation | |
US20240176510A1 (en) | Memory system and operations of the same | |
CN111696597A (zh) | 用于由非特权用户进行安全写入的方法和设备 | |
US12086425B2 (en) | Techniques for non-volatile data protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |