DE102012111793A1 - Speichervorrichtung zum Schützen von sicheren Daten und Verfahren zum Authentifizieren einer Speichervorrichtung unter Verwendung von sicheren Daten - Google Patents

Speichervorrichtung zum Schützen von sicheren Daten und Verfahren zum Authentifizieren einer Speichervorrichtung unter Verwendung von sicheren Daten Download PDF

Info

Publication number
DE102012111793A1
DE102012111793A1 DE102012111793A DE102012111793A DE102012111793A1 DE 102012111793 A1 DE102012111793 A1 DE 102012111793A1 DE 102012111793 A DE102012111793 A DE 102012111793A DE 102012111793 A DE102012111793 A DE 102012111793A DE 102012111793 A1 DE102012111793 A1 DE 102012111793A1
Authority
DE
Germany
Prior art keywords
key
storage device
encrypted
secure data
memory area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102012111793A
Other languages
English (en)
Other versions
DE102012111793B4 (de
Inventor
Jae-Bum Lee
Hyoung-Suk Jang
Min-Kwon Kim
Seok-Heon Lee
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of DE102012111793A1 publication Critical patent/DE102012111793A1/de
Application granted granted Critical
Publication of DE102012111793B4 publication Critical patent/DE102012111793B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/605Copy protection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

Bei einem Ausführungsbeispiel weist die Speichervorrichtung (100) einen ersten Speicherbereich (110) und einen zweiten Speicherbereich (120) auf. Der erste Speicherbereich (110) zeichnet sichere Daten (111) auf. Auf den ersten Speicherbereich (110) kann durch eine externe Vorrichtung (200) nicht zugegriffen werden. Der zweite Speicherbereich (120) ist konfiguriert, um verschlüsselte sichere Daten (121) aufzuzeichnen. Auf den zweiten Speicherbereich (120) kann durch die externe Vorrichtung (200) zugegriffen werden, und die verschlüsselten sicheren Daten (121) sind eine verschlüsselte Version der sicheren Daten (111) in dem ersten Speicherbereich (110).

Description

  • Diese Anmeldung beansprucht die Priorität aus der koreanischen Patentanmeldung Nr. 10-2011-0136797 , eingereicht am 16. Dezember 2011 beim koreanischen Amt für geistiges Eigentum, deren Offenbarung hierin durch Bezugnahme in ihrer Gesamtheit aufgenommen ist. Diese Anmeldung beansprucht ferner die Priorität aus der provisorischen US-Anmeldung 61/585,333, eingereicht am 11. Januar 2012, deren Offenbarung hierin durch Bezugnahme in ihrer Gesamtheit aufgenommen ist.
  • HINTERGRUND
  • 1. Gebiet der Erfindung
  • Exemplarische Ausführungsbeispiele beziehen sich auf eine Speichervorrichtung, die sichere Daten schützt, und/oder auf ein Verfahren zum Schützen von Daten unter Verwendung der sicheren Daten und insbesondere auf eine Speichervorrichtung, die sichere Daten speichert und die aufgezeichneten (gespeicherten) sicheren Daten schützt, und/oder auf ein Verfahren zum Authentifizieren der Speichervorrichtung unter Verwendung der sicheren Daten, die in der Speichervorrichtung aufgezeichnet (gespeichert) sind.
  • 2. Beschreibung der verwandten Technik
  • In jüngster Zeit wurden verschiedene Typen von Speichervorrichtungen eingeführt. Einige Beispiele weisen eine Speicherkarte, die einen Flash-Speicher als ein Aufzeichnungsmedium (Speichermedium) verwendet, einen Speicher für einen universellen seriellen Bus (USB), der mit einem USB-Anschluss verbunden werden kann, und ein Festkörperlaufwerk (SSD; SSD = solid state drive) auf. Wie durch diese Speichervorrichtungen belegt ist, werden Speichervorrichtungen hinsichtlich der Aufzeichnungskapazität (bzw. Speicherkapazität) größer und hinsichtlich des Volumens kleiner, und ihre Schnittstelle ist in eine Host-Vorrichtung einführbar/aus derselben entfernbar. Die Mobilität der Speichervorrichtungen erhöht sich somit. Als ein neuer Typ einer Festplatte, die als eine von nicht aufwendigen Speichervorrichtungen bewertet wird, wurde beispielsweise eine externe Festplatte eingeführt. Die externe Festplatte bietet anders als eine herkömmliche Festplatte, die an einem Personalcomputer fixiert ist, eine Mobilität.
  • Dieser Trend ist nicht auf Speichervorrichtungen begrenzt. Host-Vorrichtungen, die Inhalte, die in einer Speichervorrichtung aufgezeichnet sind, brauchen können, werden ebenfalls kleiner und tragbar. Eine Umgebung, in der digitale Inhalte, die in einer Speichervorrichtung aufgezeichnet sind, jederzeit und überall genossen werden können, wurde dementsprechend erzeugt. Mit der Erzeugung dieser Umgebung werden Inhalte zunehmend in der Form von digitalen Daten verteilt. Dies erhöht die Wichtigkeit einer Technologie, die ein illegales Kopieren von digitalen Inhalten, die in einer Speichervorrichtung aufgezeichnet sind, verhindert.
  • Ein Beispiel der Technologie, die ein illegales Kopieren von digitalen Inhalten verhindert, ist eine Technologie, die unter Verwendung eines eindeutigen Schlüssels, der in einer Speichervorrichtung aufgezeichnet ist, digitale Inhalte verschlüsselt. Wenn jedoch der eindeutige Schlüssel, der in der Speichervorrichtung aufgezeichnet ist, durchsickert, können die digitalen Inhalte in einer Umgebung, in der die digitalen Inhalte nicht überwacht sind, entschlüsselt werden. Ein illegales Kopieren der digitalen Inhalte ist als ein Resultat möglich. In dieser Hinsicht ist eine Technologie, die das Durchsickern eines eindeutigen Schlüssels, der in der Speichervorrichtung aufgezeichnet ist, verhindern kann, wünschenswert.
  • KURZFASSUNG
  • Einige exemplarische Ausführungsbeispiele beziehen sich auf eine Speichervorrichtung.
  • Bei einem Ausführungsbeispiel weist die Speichervorrichtung einen ersten Speicherbereich und einen zweiten Speicherbereich auf. Der erste Speicherbereich zeichnet sichere Daten auf. Auf den ersten Speicherbereich kann durch eine externe Vorrichtung nicht zugegriffen werden. Der zweite Speicherbereich ist konfiguriert, um verschlüsselte sichere Daten aufzuzeichnen. Auf den zweiten Speicherbereich kann durch die externe Vorrichtung zugegriffen werden, und die verschlüsselten sicheren Daten sind eine verschlüsselte Version der sicheren Daten in dem ersten Speicherbereich.
  • Die externe Vorrichtung kann eine Host-Vorrichtung, eine Speichersteuerung etc. sein.
  • Bei einem Ausführungsbeispiel weist die Speichervorrichtung ferner eine Eingangs-/Ausgangs-Logik, die konfiguriert ist, um die Speichervorrichtung mit der externen Vorrichtung schnittstellenmäßig zu verbinden, auf.
  • Bei einem Ausführungsbeispiel ist die sichere Logik konfiguriert, um von dem ersten Speicherbereich auf die sicheren Daten zuzugreifen, die verschlüsselten sicheren Daten aus den sicheren Daten, auf die zugegriffen wurde, zu erzeugen, und die verschlüsselten sicheren Daten in dem zweiten Speicherbereich aufzuzeichnen.
  • Bei einem Ausführungsbeispiel ist der zweite Bereich konfiguriert, um die verschlüsselten sicheren Daten, die von einem Hersteller der Speichervorrichtung empfangen werden, aufzuzeichnen.
  • Bei einem Ausführungsbeispiel ist der zweite Bereich konfiguriert, um die verschlüsselten sicheren Daten während der Herstellung der Speichervorrichtung aufzuzeichnen.
  • Bei einem Ausführungsbeispiel weisen die sicheren Daten einen Hauptschlüssel zum Authentifizieren der Speichervorrichtung auf, und die verschlüsselten sicheren Daten weisen einen verschlüsselten Hauptschlüssel auf. Bei diesem Ausführungsbeispiel kann der erste Bereich konfiguriert sein, um mindestens einen Ersatzschlüssel aufzuzeichnen, wobei der Ersatzschlüssel zum Erzeugen von Authentifizierungsinformationen der Speichervorrichtung dient. Bei diesem Ausführungsbeispiel kann der zweite Bereich konfiguriert sein, um mindestens einen Ersatzschlüsselindex aufzuzeichnen, wobei der Ersatzschlüsselindex mit dem Ersatzschlüssel verknüpft ist. Der Ersatzschlüsselindex kann einem Verkäufer der Speichervorrichtung entsprechen. Bei diesem Ausführungsbeispiel kann die Speichervorrichtung ferner einen dritten Speicherbereich, der konfiguriert ist, um mindestens einen verschlüsselten Entschlüsselungsschlüssel aufzuzeichnen, aufweisen. Durch die externe Vorrichtung kann auf den dritten Speicherbereich zugegriffen werden. Der verschlüsselte Entschlüsselungsschlüssel ist eine verschlüsselte Version eines Entschlüsselungsschlüssels, und der Entschlüsselungsschlüssel dient zum Entschlüsseln des verschlüsselten Hauptschlüssels. Bei diesem Ausführungsbeispiel kann der dritte Speicherbereich konfiguriert sein, um eine Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln aufzuzeichnen. Mindestens einer der Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln kann einem Verkäufer der externen Vorrichtung entsprechen.
  • Bei einem Ausführungsbeispiel weisen die sicheren Daten einen Hauptschlüssel zum Authentifizieren der Speichervorrichtung auf, und die verschlüsselten sicheren Daten weisen einen verschlüsselten Hauptschlüssel auf. Bei diesem Ausführungsbeispiel kann der erste Speicherbereich konfiguriert sein, um eine Mehrzahl von Ersatzschlüsseln aufzuzeichnen. Die Mehrzahl von Ersatzschlüsseln dient zum Erzeugen von Authentifizierungsinformationen der Speichervorrichtung. Der zweite Speicherbereich ist konfiguriert, um eine Mehrzahl von Ersatzschlüsselindizes aufzuzeichnen. Die Mehrzahl von Ersatzschlüsselindizes ist mit der Mehrzahl von Ersatzschlüsseln verknüpft. Die Mehrzahl von Ersatzschlüsselindizes kann einem Verkäufer der Speichervorrichtung entsprechen.
  • Bei einem Ausführungsbeispiel ist ein dritter Speicherbereich konfiguriert, um mindestens einen verschlüsselten Entschlüsselungsschlüssel aufzuzeichnen. Durch die externe Vorrichtung kann auf den dritten Speicherbereich zugegriffen werden. Der verschlüsselte Entschlüsselungsschlüssel ist eine verschlüsselte Version eines Entschlüsselungsschlüssels, und der Entschlüsselungsschlüssel dient zum Entschlüsseln des verschlüsselten Hauptschlüssels. Der dritte Speicherbereich kann konfiguriert sein, um eine Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln aufzuzeichnen. Mindestens einer der Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln kann einem Verkäufer der externen Vorrichtung entsprechen.
  • Bei einem anderen Ausführungsbeispiel der Speichervorrichtung weist die Speichervorrichtung einen ersten Speicherbereich, der einen Hauptschlüssel und mindestens einen Ersatzschlüssel aufzeichnet, auf. Durch externe Vorrichtungen kann auf den ersten Speicherbereich nicht zugegriffen werden. Die Speichervorrichtung weist ferner einen zweiten Speicherbereich auf, der konfiguriert ist, um einen verschlüsselten Hauptschlüssel und mindestens einen Ersatzschlüsselindex aufzuzeichnen. Durch die externen Vorrichtungen kann auf den zweiten Speicherbereich zugegriffen werden. Die verschlüsselten sicheren Daten sind eine verschlüsselte Version der sicheren Daten in dem ersten Speicherbereich. Der Ersatzschlüsselindex ist mit dem Ersatzschlüssel verknüpft, und der Ersatzschlüsselindex ist einem Verkäufer der Speichervorrichtung zugeordnet.
  • Bei einem Ausführungsbeispiel ist der Ersatzschlüsselindex durch eine Ersatzschlüsselzahl mit dem Ersatzschlüssel verknüpft.
  • Bei einem Ausführungsbeispiel zeichnet der erste Speicherbereich eine Mehrzahl von Ersatzschlüsseln auf, und der zweite Speicherbereich ist konfiguriert, um eine Mehrzahl von Ersatzschlüsselindizes aufzuzeichnen. Die Mehrzahl von Ersatzschlüsselindizes ist mit der Mehrzahl von Ersatzschlüsseln verknüpft.
  • Bei einem Ausführungsbeispiel ist die Mehrzahl der Ersatzschlüsselindizes durch Ersatzschlüsselzahlen mit der Mehrzahl von Ersatzschlüsseln verknüpft.
  • Bei einem Ausführungsbeispiel weist die Speichervorrichtung ferner einen dritten Speicherbereich, der eine Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln aufzeichnet, auf. Durch die externe Vorrichtung kann auf den dritten Speicherbereich zugegriffen werden. Die verschlüsselten Entschlüsselungsschlüssel sind verschlüsselte Versionen einer jeweiligen Mehrzahl von Entschlüsselungsschlüsseln. Die Mehrzahl von Entschlüsselungsschlüsseln dient zum Entschlüsseln des verschlüsselten Hauptschlüssels, und die Mehrzahl von Entschlüsselungsschlüsseln ist Verkäufern der externen Vorrichtungen zugeordnet.
  • Ein weiteres Ausführungsbeispiel der Speichervorrichtung weist einen ersten Speicherbereich, der sichere Daten aufzeichnet, und einen zweiten Speicherbereich, der konfiguriert ist, um verschlüsselte sichere Daten aufzuzeichnen, auf. Die verschlüsselten sicheren Daten sind eine verschlüsselte Version der sicheren Daten in dem ersten Speicherbereich. Die Speichervorrichtung ist derart konfiguriert, dass keine Ausgabe der sicheren Daten auftreten kann und eine Ausgabe der verschlüsselten sicheren Daten auftreten kann.
  • Bei noch einem weiteren Ausführungsbeispiel der Speichervorrichtung weist die Speichervorrichtung einen ersten Speicherbereich, der einen Hauptschlüssel und einen Ersatzschlüssel aufzeichnet, auf. Durch eine externe Vorrichtung kann auf den ersten Speicherbereich nicht zugegriffen werden. Die Speichervorrichtung weist ferner einen ersten Verschlüssler, der konfiguriert ist, um basierend auf dem Ersatzschlüssel und einem Eingangssignal bzw. einer Eingabe, die von der externen Vorrichtung empfangen wird, einen Sitzungsschlüssel zu erzeugen, und einen zweiten Verschlüssler auf, der konfiguriert ist, um basierend auf dem Sitzungsschlüssel und einem Hauptschlüssel Authentifizierungsinformationen zu erzeugen. Der zweite Verschlüssler ist konfiguriert, um die Authentifizierungsinformationen zu der externen Vorrichtung auszugeben.
  • Bei einem Ausführungsbeispiel weist die Speichervorrichtung ferner einen dritten Verschlüssler, der konfiguriert ist, um basierend auf einer Ersatzschlüsselvariantenzahl, die von der externen Vorrichtung empfangen wird, den Ersatzschlüssel zu verschlüsseln, um eine Ersatzschlüsselvariante zu erzeugen, auf. Hier ist der erste Verschlüssler konfiguriert, um basierend auf einer Zufallszahl, die von der externen Vorrichtung empfangen wird, den Ersatzschlüssel zu verschlüsseln, um den Sitzungsschlüssel zu erzeugen.
  • Bei einem Ausführungsbeispiel ist der zweite Verschlüssler konfiguriert, um unter Verwendung des Sitzungsschlüssels den Hauptschlüssel zu verschlüsseln, um die Authentifizierungsinformationen zu erzeugen.
  • Bei einem Ausführungsbeispiel weist die Speichervorrichtung ferner einen Auswähler auf, der konfiguriert ist, um basierend auf einer Zielersatzschlüsselzahl, die von der externen Vorrichtung empfangen wird, den Ersatzschlüssel zu erhalten.
  • Bei einem anderen Ausführungsbeispiel weist die Speichervorrichtung ferner einen Auswähler auf, der konfiguriert ist, um von der externen Vorrichtung eine Zielersatzschlüsselzahl zu empfangen und einen einer Mehrzahl von Ersatzschlüsseln, die in dem ersten Speicherbereich aufgezeichnet (gespeichert) sind, basierend auf der Zielersatzschlüsselzahl auszuwählen, und einen dritten Verschlüssler auf, der konfiguriert ist, um basierend auf einer Ersatzschlüsselvariantenzahl, die von der externen Vorrichtung empfangen wird, den ausgewählten Ersatzschlüssel zu verschlüsseln, um eine Ersatzschlüsselvariante zu erzeugen. Der erste Verschlüssler ist hier konfiguriert, um basierend auf einer Zufallszahl, die von der externen Vorrichtung empfangen wird, die Ersatzschlüsselvariante zu verschlüsseln, um den Sitzungsschlüssel zu erzeugen.
  • Bei einem Ausführungsbeispiel ist der zweite Verschlüssler konfiguriert, um unter Verwendung des Sitzungsschlüssels den Hauptschlüssel zu verschlüsseln, um die Authentifizierungsinformationen zu erzeugen.
  • Einige Ausführungsbeispiele beziehen sich auf ein Verfahren zum Betreiben einer Speichervorrichtung.
  • Ein Ausführungsbeispiel des Verfahrens weist ein Aufzeichnen von sicheren Daten in einem ersten Speicherbereich der Speichervorrichtung auf. Durch eine externe Vorrichtung kann auf den ersten Speicherbereich nicht zugegriffen werden. Das Verfahren weist ferner ein Aufzeichnen von verschlüsselten sicheren Daten in einem zweiten Speicherbereich der Speichervorrichtung auf. Durch die externe Vorrichtung kann auf den zweiten Speicherbereich zugegriffen werden. Die verschlüsselten sicheren Daten sind eine verschlüsselte Version der sicheren Daten in dem ersten Speicherbereich.
  • Bei einem Ausführungsbeispiel weist das Verfahren ferner ein Zugreifen auf die sicheren Daten von dem ersten Speicherbereich unter Verwendung einer Logik, die sich in der Speichervorrichtung befindet, und ein Erzeugen der verschlüsselten sicheren Daten aus den sicheren Daten, auf die zugegriffen wurde, unter Verwendung der Logik auf.
  • Bei einem Ausführungsbeispiel weisen die sicheren Daten einen Hauptschlüssel zum Authentifizieren der Speichervorrichtung auf, und die verschlüsselten sicheren Daten weisen einen verschlüsselten Hauptschlüssel auf. Bei diesem Ausführungsbeispiel kann das Verfahren ferner ein Aufzeichnen von mindestens einem Ersatzschlüssel in dem ersten Speicherbereich, wobei der Ersatzschlüssel zum Erzeugen von Authentifizierungsinformationen der Speichervorrichtung dient, und ein Aufzeichnen von mindestens einem Ersatzschlüsselindex in dem zweiten Speicherbereich aufweisen. Der Ersatzschlüsselindex ist mit dem Ersatzschlüssel verknüpft.
  • Bei einem Ausführungsbeispiel kann der Ersatzschlüsselindex einem Verkäufer der Speichervorrichtung entsprechen.
  • Bei einem Ausführungsbeispiel kann der Ersatzschlüsselindex durch eine Ersatzschlüsselzahl mit dem Ersatzschlüssel verknüpft sein.
  • Bei einem Ausführungsbeispiel weist das Verfahren ferner ein Aufzeichnen von mindestens einem verschlüsselten Entschlüsselungsschlüssel in einem dritten Speicherbereich der Speichervorrichtung auf. Durch die externe Vorrichtung kann auf den dritten Speicherbereich zugegriffen werden. Der verschlüsselte Entschlüsselungsschlüssel ist eine verschlüsselte Version eines Entschlüsselungsschlüssels, und der Entschlüsselungsschlüssel dient zum Entschlüsseln des verschlüsselten Hauptschlüssels. Die verschlüsselten Entschlüsselungsschlüssel können Verkäufern externer Vorrichtungen entsprechen.
  • Bei einem anderen Ausführungsbeispiel des Verfahrens zum Betreiben einer Speichervorrichtung kann das Verfahren ein Aufzeichnen von sicheren Daten in einem ersten Speicherbereich der Speichervorrichtung und ein Aufzeichnen von verschlüsselten sicheren Daten in einem zweiten Speicherbereich der Speichervorrichtung aufweisen. Die verschlüsselten sicheren Daten sind eine verschlüsselte Version der sicheren Daten in dem ersten Speicherbereich. Das Verfahren weist ferner ein Verbieten einer Ausgabe der sicheren Daten und ein Erlauben der Ausgabe der verschlüsselten sicheren Daten auf.
  • Einige exemplarische Ausführungsbeispiele beziehen sich auf ein Verfahren für eine Speichervorrichtung, um Authentifizierungsinformationen zu erzeugen.
  • Bei einem exemplarischen Ausführungsbeispiel weist das Verfahren ein Erzeugen eines Sitzungsschlüssels basierend auf einem Ersatzschlüssel und einer Eingabe, die von einer externen Vorrichtung empfangen wird, durch die Speichervorrichtung und ein Erzeugen von Authentifizierungsinformationen basierend auf dem Sitzungsschlüssel und einem Hauptschlüssel durch die Speichervorrichtung auf. Der Hauptschlüssel und der Ersatzschlüssel sind in einem Bereich der Speichervorrichtung, auf den durch die externe Vorrichtung nicht zugegriffen werden kann, aufgezeichnet. Das Verfahren weist ferner ein Ausgeben der Authentifizierungsinformationen zu der externen Vorrichtung auf.
  • Bei einem Ausführungsbeispiel weist das Erzeugen eines Sitzungsschlüssels ein Empfangen einer Zielersatzschlüsselzahl, einer Ersatzschlüsselvariantenzahl und einer Zufallszahl von der externen Vorrichtung als eine Eingabe von der externen Vorrichtung, ein Erhalten eines Ersatzschlüssels basierend auf der empfangenen Zielersatzschlüsselzahl, ein Verschlüsseln des Ersatzschlüssels basierend auf der empfangenen Ersatzschlüsselvariantenzahl, um eine Ersatzschlüsselvariante zu erzeugen, und ein Verschlüsseln der Ersatzschlüsselvariante basierend auf der empfangenen Zufallszahl, um den Sitzungsschlüssel zu erzeugen, auf.
  • Bei einem Ausführungsbeispiel weist das Erzeugen von Authentifizierungsinformationen ein Verschlüsseln des Hauptschlüssels unter Verwendung des Sitzungsschlüssels, um die Authentifizierungsinformationen zu erzeugen, auf.
  • Bei einem Ausführungsbeispiel weist das Erzeugen eines Sitzungsschlüssels ein Empfangen einer Zielersatzschlüsselzahl, einer Ersatzschlüsselvariantenzahl und einer Zufallszahl von der externen Vorrichtung als eine Eingabe von der externen Vorrichtung, ein Auswählen eines einer Mehrzahl von Ersatzschlüsseln, die in dem Bereich der Speichervorrichtung aufgezeichnet sind, basierend auf der empfangenen Zielersatzschlüsselzahl, ein Verschlüsseln des ausgewählten Ersatzschlüssels basierend auf der empfangenen Ersatzschlüsselvariantenzahl, um eine Ersatzschlüsselvariante zu erzeugen, und ein Verschlüsseln der Ersatzschlüsselvariante basierend auf der empfangenen Zufallszahl, um den Sitzungsschlüssel zu erzeugen, auf.
  • Bei einem Ausführungsbeispiel weist das Erzeugen von Authentifizierungsinformationen ein Verschlüsseln des Hauptschlüssels unter Verwendung des Sitzungsschlüssels, um die Authentifizierungsinformationen zu erzeugen, auf.
  • Bei einem Ausführungsbeispiel ist die externe Vorrichtung eine Host-Vorrichtung.
  • Bei einem anderen Ausführungsbeispiel ist die externe Vorrichtung eine Speichersteuerung.
  • Bei einem anderen Ausführungsbeispiel des Verfahrens für eine Speichervorrichtung, um Authentifizierungsinformationen zu erzeugen, weist das Verfahren ein Empfangen einer Zielersatzschlüsselzahl, einer Ersatzschlüsselvariantenzahl und einer Zufallszahl von einer externen Vorrichtung, ein Verschlüsseln eines Ersatzschlüssels basierend auf der empfangenen Ersatzschlüsselvariantenzahl, um eine Ersatzschlüsselvariante zu erzeugen, ein Verschlüsseln der Ersatzschlüsselvariante basierend auf der empfangenen Zufallszahl, um den Sitzungsschlüssel zu erzeugen, ein Verschlüsseln eines Hauptschlüssels, der in der Speichervorrichtung aufgezeichnet ist, unter Verwendung des Sitzungsschlüssels, um die Authentifizierungsinformationen zu erzeugen, und ein Ausgeben der Authentifizierungsinformationen auf.
  • Einige exemplarische Ausführungsbeispiele beziehen sich auf ein Verfahren für eine externe Vorrichtung, um einen Hauptschlüssel einer Speichervorrichtung zu erhalten.
  • Bei einem Ausführungsbeispiel weist das Verfahren ein Erhalten eines verschlüsselten Hauptschlüssels und eines verschlüsselten ersten Entschlüsselungsschlüssels von der Speichervorrichtung bei der externen Vorrichtung auf. Der verschlüsselte erste Entschlüsselungsschlüssel ist eine verschlüsselte Version eines ersten Entschlüsselungsschlüssels. Der verschlüsselte Hauptschlüssel ist eine verschlüsselte Version des Hauptschlüssels. Die externe Vorrichtung ist unfähig, von der Speichervorrichtung den Hauptschlüssel zu lesen. Das Verfahren weist ferner ein Entschlüsseln des verschlüsselten ersten Entschlüsselungsschlüssels unter Verwendung eines zweiten Entschlüsselungsschlüssels, um den ersten Entschlüsselungsschlüssel zu erhalten, bei der externen Vorrichtung, und ein Entschlüsseln des verschlüsselten Hauptschlüssels der Speichervorrichtung unter Verwendung des ersten Entschlüsselungsschlüssels, um den Hauptschlüssel zu erhalten, bei der externen Vorrichtung auf.
  • Bei einem Ausführungsbeispiel erhält das Erhalten eine Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln von der Speichervorrichtung, und das Verfahren weist ferner ein Auswählen eines der Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln basierend auf einem Entschlüsselungsschlüsselindex der externen Vorrichtung auf. Das Entschlüsseln des verschlüsselten ersten Entschlüsselungsschlüssels entschlüsselt hier den ausgewählten verschlüsselten ersten Entschlüsselungsschlüssel unter Verwendung des zweiten Entschlüsselungsschlüssels.
  • Bei einem Ausführungsbeispiel weist das Verfahren ferner ein Aufzeichnen des Entschlüsselungsschlüsselindex und des zweiten Entschlüsselungsschlüssels bei der externen Vorrichtung auf. Das Aufzeichnen kann beispielsweise den Entschlüsselungsschlüsselindex und den zweiten Entschlüsselungsschlüssel, der durch eine Zertifizierungsbehörde bereitgestellt wird, aufzeichnen.
  • Bei einem Ausführungsbeispiel sind der Entschlüsselungsschlüsselindex und der zweite Entschlüsselungsschlüssel hinsichtlich eines Verkäufers der externen Vorrichtung eindeutig.
  • Bei einem Ausführungsbeispiel ist die Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln jeweils Verkäufern von externen Vorrichtungen zugeordnet.
  • Als Beispiele kann die externe Vorrichtung eine Host-Vorrichtung, eine Speichersteuerung etc. sein.
  • Einige exemplarische Ausführungsbeispiele beziehen sich auf eine externe Vorrichtung.
  • Bei einem Ausführungsbeispiel weist die externe Vorrichtung einen ersten Entschlüssler, der konfiguriert ist, um einen verschlüsselten ersten Entschlüsselungsschlüssel von einer Speichervorrichtung zu empfangen, auf. Der verschlüsselte erste Entschlüsselungsschlüssel ist eine verschlüsselte Version eines ersten Entschlüsselungsschlüssels. Der Entschlüssler ist konfiguriert, um unter Verwendung eines zweiten Entschlüsslungsschlüssels den verschlüsselten ersten Entschlüsselungsschlüssel zu entschlüsseln, um den ersten Entschlüsselungsschlüssel zu erhalten. Die externe Vorrichtung weist ferner einen zweiten Entschlüssler, der konfiguriert ist, um einen verschlüsselten Hauptschlüssel, der von der Speichervorrichtung empfangen wird, unter Verwendung des ersten Entschlüsselungsschlüssels zu entschlüsseln, um den Hauptschlüssel zu erhalten, auf.
  • Bei einem Ausführungsbeispiel weist die externe Vorrichtung einen Auswähler, der konfiguriert ist, um eine Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln von der Speichervorrichtung zu erhalten, auf. Der Auswähler ist konfiguriert, um basierend auf einem Entschlüsselungsschlüsselindex der externen Vorrichtung einen der Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln auszuwählen, und der Entschlüssler ist konfiguriert, um den ausgewählten verschlüsselten ersten Entschlüsselungsschlüssel unter Verwendung des zweiten Entschlüsselungsschlüssels zu entschlüsseln.
  • Bei einem Ausführungsbeispiel ist mindestens eine Aufzeichnungseinheit konfiguriert, um den Entschlüsselungsschlüsselindex und den zweiten Entschlüsselungsschlüssel aufzuzeichnen. Die Aufzeichnungseinheit ist beispielsweise konfiguriert, um den Entschlüsselungsschlüsselindex und den zweiten Entschlüsselungsschlüssel, der durch eine Zertifizierungsbehörde bereitgestellt wird, aufzuzeichnen.
  • Bei einem Ausführungsbeispiel sind der Entschlüsselungsschlüsselindex und der zweite Entschlüsselungsschlüssel hinsichtlich eines Verkäufers der externen Vorrichtung eindeutig.
  • Bei einem Ausführungsbeispiel ist die Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln jeweils Verkäufern von externen Vorrichtungen zugeordnet.
  • Die externe Vorrichtung kann eine Host-Vorrichtung, eine Speichersteuerung etc. sein.
  • Einige exemplarische Ausführungsbeispiele beziehen sich auf ein Verfahren für eine externe Vorrichtung, um Authentifizierungsinformationen zum Authentifizieren einer Speichervorrichtung zu erzeugen.
  • Bei einem Ausführungsbeispiel weist das Verfahren ein Erzeugen eines Sitzungsschlüssels basierend auf Ersatzschlüsselinformationen bei der externen Vorrichtung auf. Die Ersatzschlüsselinformationen weisen Informationen hinsichtlich eines Ersatzschlüssels auf, der durch die Speichervorrichtung verwendet ist, um erste Authentifizierungsinformationen zu erzeugen. Das Verfahren weist ferner ein Erzeugen von zweiten Authentifizierungsinformationen basierend auf dem Sitzungsschlüssel und einem abgeleiteten Hauptschlüssel bei der externen Vorrichtung auf. Der abgeleitete Hauptschlüssel ist ein Hauptschlüssel der Speichervorrichtung, und die externe Vorrichtung ist unfähig, den Hauptschlüssel von der Speichervorrichtung zu lesen.
  • Bei einem Ausführungsbeispiel weist das Erzeugen eines Sitzungsschlüssels ein Erhalten eines Ersatzschlüsselindex von der Speichervorrichtung basierend auf einer Zielersatzschlüsselzahl, wobei die Ersatzschlüsselinformationen die Zielersatzschlüsselzahl aufweisen, ein Auswählen einer Ersatzschlüsselvariante aus einem Satz von Ersatzschlüsselvarianten basierend auf dem erhaltenen Ersatzschlüsselindex, und ein Verschlüsseln der Ersatzschlüsselvariante basierend auf einer Zufallszahl, um den Sitzungsschlüssel zu erzeugen, auf.
  • Bei einem Ausführungsbeispiel weist das Verfahren ferner ein Senden der Zielersatzschlüsselzahl und der Zufallszahl zu der Speichervorrichtung auf.
  • Bei einem Ausführungsbeispiel weist das Erzeugen von zweiten Authentifizierungsinformationen ein Verschlüsseln eines abgeleiteten Hauptschlüssels der Speichervorrichtung unter Verwendung des Sitzungsschlüssels auf.
  • Bei einem Ausführungsbeispiel weist das Verfahren ferner ein Authentifizieren der Speichervorrichtung basierend auf den ersten Authentifizierungsinformationen und den zweiten Authentifizierungsinformationen auf.
  • Bei einem Ausführungsbeispiel weist das Verfahren ferner ein Verschlüsseln eines Inhalts basierend auf dem abgeleiteten Hauptschlüssel und einem anwendungsspezifischen geheimen Wert, wenn die Speichervorrichtung authentifiziert wird, und ein Aufzeichnen des verschlüsselten Inhalts in der Speichervorrichtung auf.
  • Bei einem Ausführungsbeispiel weist das Verfahren ferner ein Erhalten eines verschlüsselten Hauptschlüssels und eines verschlüsselten ersten Entschlüsselungsschlüssels von der Speichervorrichtung bei der externen Vorrichtung auf. Der verschlüsselte erste Entschlüsselungsschlüssel ist eine verschlüsselte Version eines ersten Entschlüsselungsschlüssels, und der verschlüsselte Hauptschlüssel ist eine verschlüsselte Version des Hauptschlüssels. Das Verfahren weist ferner ein Entschlüsseln des verschlüsselten ersten Entschlüsselungsschlüssels unter Verwendung eines zweiten Entschlüsselungsschlüssels bei der externen Vorrichtung, um den ersten Entschlüsselungsschlüssel zu erhalten, und ein Entschlüsseln des verschlüsselten Hauptschlüssels der Speichervorrichtung unter Verwendung des ersten Entschlüsselungsschlüssels, um den abgeleiteten Hauptschlüssel zu erhalten, bei der externen Vorrichtung auf.
  • Bei einem Ausführungsbeispiel erhält das Erhalten eine Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln von der Speichervorrichtung. Das Verfahren weist hier ferner ein Auswählen eines der Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln basierend auf einem Entschlüsselungsschlüsselindex der externen Vorrichtung auf. Das Entschlüsseln des verschlüsselten ersten Entschlüsselungsschlüssels entschlüsselt den ausgewählten verschlüsselten ersten Entschlüsselungsschlüssel unter Verwendung des zweiten Entschlüsselungsschlüssels.
  • Bei einem Ausführungsbeispiel weist das Verfahren ferner ein Aufzeichnen des Entschlüsselungsschlüsselindex und des zweiten Entschlüsselungsschlüssels bei der externen Vorrichtung auf. Das Aufzeichnen zeichnet beispielsweise den Entschlüsselungsschlüsselindex und den zweiten Entschlüsselungsschlüssel, der durch eine Zertifizierungsbehörde bereitgestellt wird, auf.
  • Bei einem Ausführungsbeispiel sind der Entschlüsselungsschlüsselindex und der zweite Entschlüsselungsschlüssel hinsichtlich eines Verkäufers der externen Vorrichtung eindeutig.
  • Bei einem Ausführungsbeispiel ist die Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln jeweils Verkäufern von externen Vorrichtungen zugeordnet.
  • Bei dem Verfahren kann die externe Vorrichtung eine Host-Vorrichtung, eine Speichersteuerung etc. sein.
  • Bei einem anderen Ausführungsbeispiel der externen Vorrichtung weist die externe Vorrichtung einen Sitzungsschlüsselgenerator auf, der konfiguriert ist, um basierend auf Ersatzschlüsselinformationen einen Sitzungsschlüssel zu erzeugen. Die Ersatzschlüssel weisen Informationen hinsichtlich eines Ersatzschlüssels auf, der durch die Speichervorrichtung verwendet ist, um die ersten Authentifizierungsinformationen zu erzeugen. Die externe Vorrichtung weist ferner einen Authentifizierungsinformationsgenerator auf, der konfiguriert ist, um basierend auf dem Sitzungsschlüssel und einem abgeleiteten Hauptschlüssel zweite Authentifizierungsinformationen zu erzeugen. Der abgeleitete Hauptschlüssel ist ein Hauptschlüssel der Speichervorrichtung, und die externe Vorrichtung ist unfähig, den Hauptschlüssel aus der Speichervorrichtung zu lesen.
  • Bei einem Ausführungsbeispiel weist die externe Vorrichtung ferner einen Auswähler, der konfiguriert ist, um basierend auf einem Ersatzschlüsselindex, der von der Speichervorrichtung erhalten wird, eine Ersatzschlüsselvariante aus einem Satz von Ersatzschlüsselvarianten auszuwählen, einen Zufallszahlgenerator, der konfiguriert ist, um eine Zufallszahl zu erzeugen, und einen ersten Verschlüssler, der konfiguriert ist, um basierend auf der Zufallszahl die Ersatzschlüsselvariante zu verschlüsseln, um den Sitzungsschlüssel zu erzeugen, auf.
  • Bei einem anderen Ausführungsbeispiel weist die externe Vorrichtung ferner einen Ausgliederer bzw. Analysator (englisch: parser) auf, der konfiguriert ist, um den Ersatzschlüsselindex von der Speichervorrichtung basierend auf einer Ersatzschlüsselzahl zu erhalten. Der Analysator kann konfiguriert sein, um den Ersatzschlüsselindex aus einer Mehrzahl von Ersatzschlüsselindizes, die in der Speichervorrichtung aufgezeichnet sind, unter Verwendung der Ersatzschlüsselzahl auszugliedern bzw. zu analysieren.
  • Bei einem Ausführungsbeispiel weist der Authentifizierungsinformationsgenerator einen zweiten Verschlüssler, der konfiguriert ist, um einen abgeleiteten Hauptschlüssel der Speichervorrichtung unter Verwendung des Sitzungsschlüssels zu verschlüsseln, auf.
  • Bei einem Ausführungsbeispiel weist die externe Vorrichtung ferner einen Authentifizierer, der konfiguriert ist, um basierend auf den ersten Authentifizierungsinformationen und den zweiten Authentifizierungsinformationen die Speichervorrichtung zu authentifizieren, auf.
  • Bei einem anderen Ausführungsbeispiel weist die externe Vorrichtung ferner einen dritten Verschlüssler, der konfiguriert ist, um basierend auf dem abgeleiteten Hauptschlüssel und einem anwendungsspezifischen geheimen Wert einen Inhalt zu verschlüsseln, wenn die Speichervorrichtung authentifiziert ist, und die externe Vorrichtung auf, die konfiguriert ist, um den verschlüsselten Inhalt in der Speichervorrichtung aufzuzeichnen.
  • Bei noch einem weiteren Ausführungsbeispiel weist die externe Vorrichtung einen ersten Entschlüssler, der konfiguriert ist, um von einer Speichervorrichtung einen verschlüsselten ersten Entschlüsselungsschlüssel zu empfangen, auf. Der verschlüsselte erste Entschlüsselungsschlüssel ist eine verschlüsselte Version eines ersten Entschlüsselungsschlüssels. Der Entschlüssler ist konfiguriert, um den verschlüsselten ersten Entschlüsselungsschlüssel unter Verwendung eines zweiten Entschlüsselungsschlüssels zu entschlüsseln, um den ersten Entschlüsselungsschlüssel zu erhalten. Ein zweiter Entschlüssler ist konfiguriert, um einen verschlüsselten Hauptschlüssel, der von der Speichervorrichtung empfangen wird, unter Verwendung des ersten Entschlüsselungsschlüssels zu entschlüsseln, um den abgeleiteten Hauptschlüssel zu erhalten.
  • Bei einem Ausführungsbeispiel weist die externe Vorrichtung einen Auswähler, der konfiguriert ist, um eine Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln von der Speichervorrichtung zu erhalten, auf. Der Auswähler ist konfiguriert, um basierend auf einem Entschlüsselungsschlüsselindex der externen Vorrichtung einen der Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln auszuwählen. Der Entschlüssler ist hier konfiguriert, um den ausgewählten verschlüsselten ersten Entschlüsselungsschlüssel unter Verwendung des zweiten Entschlüsselungsschlüssels zu entschlüsseln.
  • Bei einem Ausführungsbeispiel weist die externe Vorrichtung mindestens eine Aufzeichnungseinheit, die konfiguriert ist, um den Entschlüsselungsschlüsselindex und den zweiten Entschlüsselungsschlüssel aufzuzeichnen, auf. Die Aufzeichnungseinheit kann beispielsweise konfiguriert sein, um den Entschlüsselungsschlüsselindex und den zweiten Entschlüsselungsschlüssel, der durch eine Zertifizierungsbehörde bereitgestellt wird, aufzuzeichnen.
  • Bei einem Ausführungsbeispiel sind der Entschlüsselungsschlüsselindex und der zweite Entschlüsselungsschlüssel für einen Verkäufer der externen Vorrichtung eindeutig.
  • Bei einem Ausführungsbeispiel ist die Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln jeweils Verkäufern von externen Vorrichtungen zugeordnet.
  • Die externe Vorrichtung kann eine Host-Vorrichtung, eine Speichersteuerung etc. sein.
  • Einige Ausführungsbeispiele beziehen sich auf ein System.
  • Bei einem Ausführungsbeispiel weist das System eine Speichervorrichtung und eine externe Vorrichtung auf. Die Speichervorrichtung ist konfiguriert, um in einem ersten Speicherbereich einen Hauptschlüssel und mindestens einen Ersatzschlüssel aufzuzeichnen. Die Speichervorrichtung ist konfiguriert, um in einem zweiten Speicherbereich einen verschlüsselten Hauptschlüssel und mindestens einen Ersatzschlüsselindex aufzuzeichnen, und die Speichervorrichtung ist konfiguriert, um mindestens einen verschlüsselten Entschlüsselungsschlüssel aufzuzeichnen. Die Speichervorrichtung ist konfiguriert, um basierend auf dem Hauptschlüssel und dem Ersatzschlüssel erste Authentifizierungsinformationen zu erzeugen. Die Speichervorrichtung ist konfiguriert, um zu erlauben, dass eine externe Vorrichtung auf den zweiten Speicherbereich, jedoch nicht den ersten Speicherbereich, zugreift. Die externe Vorrichtung ist konfiguriert, um auf den verschlüsselten Hauptschlüssel, den Ersatzschlüsselindex und den verschlüsselten Entschlüsselungsschlüssel zuzugreifen. Die externe Vorrichtung ist konfiguriert, um basierend auf dem verschlüsselten Hauptschlüssel und dem verschlüsselten Entschlüsselungsschlüssel einen abgeleiteten Hauptschlüssel zu erzeugen. Die externe Vorrichtung ist konfiguriert, um basierend auf dem Ersatzschlüsselindex und dem abgeleiteten Hauptschlüssel zweite Authentifizierungsinformationen zu erzeugen. Die externe Vorrichtung ist konfiguriert, um basierend auf den ersten Authentifizierungsinformationen und den zweiten Authentifizierungsinformationen zu bestimmen, ob die Speichervorrichtung verifiziert ist.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die vorhergehenden und andere Aspekte und Merkmale der vorliegenden Erfindung sind durch detailliertes Beschreiben von exemplarischen Ausführungsbeispielen derselben unter Bezugnahme auf die beigefügten Zeichnungen offensichtlicher. Es zeigen:
  • 1 und 2 Diagramme, die ein Speichersystem, das ein Speicherelement, das sichere Daten schützt, aufweist, gemäß einem ersten Ausführungsbeispiel darstellen;
  • 3 ein Flussdiagramm, das einen Betrieb des Speicherelements, das sichere Daten schützt, gemäß dem ersten Ausführungsbeispiel darstellt;
  • 4 ein Diagramm, das eine elektronische Vorrichtung, die ein Speicherelement, das sichere Daten schützt, aufweist, gemäß einem zweiten Ausführungsbeispiel darstellt;
  • 5 ein Flussdiagramm, das den Betrieb des Speicherelements, das sichere Daten schützt, gemäß dem zweiten Ausführungsbeispiel darstellt;
  • 6 ein Diagramm, das eine elektronische Vorrichtung, die ein Speicherelement, das einen eindeutigen Speicherschlüssel (MUK; MUK = memory unique key) schützt, aufweist, gemäß einem dritten Ausführungsbeispiel darstellt;
  • 7 ein Diagramm, das ein Verfahren, bei dem eine Host-Vorrichtung einen MUK erhält, gemäß dem dritten Ausführungsbeispiel darstellt;
  • 8 ein Diagramm, das ein Speicherelement, das unter Verwendung eines MUK Authentifizierungsinformationen erzeugt, gemäß einem vierten Ausführungsbeispiel darstellt;
  • 9 ein Diagramm, das eine Host-Vorrichtung, die eine Speichervorrichtung authentifiziert, Daten verschlüsselt, wenn die Speichervorrichtung erfolgreich authentifiziert ist, und die verschlüsselten Daten in der Speichervorrichtung aufzeichnet, gemäß einem fünften Ausführungsbeispiel darstellt;
  • 10 ein Diagramm, das eine Speichervorrichtung, die einen MUK schützt, gemäß einem sechsten Ausführungsbeispiel darstellt;
  • 11 ein Diagramm, das eine Speichervorrichtung, die einen MUK schützt, gemäß einem siebten Ausführungsbeispiel darstellt;
  • 12 ein Diagramm, das ein Verfahren, durch das eine Host-Vorrichtung einen MUK erhält, gemäß einem achten Ausführungsbeispiel darstellt;
  • 13 ein Diagramm, das ein Verfahren, durch das eine Host-Vorrichtung eine Speichervorrichtung authentifiziert, und ein Verfahren, durch das die Host-Vorrichtung einen Schlüssel für eine Datenverschlüsselung erzeugt, wenn die Speichervorrichtung erfolgreich authentifiziert ist, gemäß einem neunten Ausführungsbeispiel darstellt;
  • 14 ein Diagramm, das ein Verfahren, durch das eine Host-Vorrichtung eine Speichervorrichtung authentifiziert und verschlüsselte Inhalte aufzeichnet, gemäß einem zehnten Ausführungsbeispiel darstellt;
  • 15 ein Blockdiagramm einer Speichervorrichtung gemäß verschiedenen Ausführungsbeispielen;
  • 16 ein Blockdiagramm, das eine Speicherkarte gemäß einem Ausführungsbeispiel der erfinderischen Konzepte schematisch darstellt;
  • 17 ein Blockdiagramm, das einen moviNICHT-UND gemäß einem Ausführungsbeispiel der erfinderischen Konzepte schematisch darstellt;
  • 18 ein anderes Blockdiagramm einer Speichervorrichtung gemäß verschiedenen Ausführungsbeispielen;
  • 19 ein Blockdiagramm, das ein Festkörperlaufwerk gemäß einem Ausführungsbeispiel der erfinderischen Konzepte schematisch darstellt;
  • 20 ein Blockdiagramm, das ein Rechnersystem, das ein SSD in 19 gemäß einem Ausführungsbeispiel der erfinderischen Konzepte aufweist, schematisch darstellt;
  • 21 ein Blockdiagramm, das eine elektronische Vorrichtung, die ein SSD in 19 gemäß einem Ausführungsbeispiel der erfinderischen Konzepte aufweist, schematisch darstellt;
  • 22 ein Blockdiagramm, das ein Serversystem, das ein SSD in 19 gemäß einem Ausführungsbeispiel der erfinderischen Konzepte aufweist, schematisch darstellt;
  • 23 ein Blockdiagramm, das eine Mobilvorrichtung gemäß einem Ausführungsbeispiel der erfinderischen Konzepte schematisch darstellt; und
  • 24 ein Blockdiagramm, das eine in einer Hand haltbare elektronische Vorrichtung gemäß einem Ausführungsbeispiel der erfinderischen Konzepte schematisch darstellt.
  • DETAILLIERTE BESCHREIBUNG DER AUSFÜHRUNGSBEISPIELE
  • Vorteile und Merkmale der exemplarischen Ausführungsbeispiele und Verfahren zum Erreichen derselben sind durch Bezugnahme auf die folgende detaillierte Beschreibung und die beigefügten Zeichnungen leichter verstehbar. Die vorliegende Erfindung kann jedoch in vielen unterschiedlichen Formen ausgeführt sein und sollte nicht als auf die hierin dargelegten Ausführungsbeispiele begrenzt aufgefasst werden. Diese Ausführungsbeispiele sind vielmehr vorgesehen, sodass diese Offenbarung gründlich und vollständig ist, und vermitteln Fachleuten vollständig das Konzept der Erfindung, und die vorliegende Erfindung ist lediglich durch die beigefügten Ansprüche definiert. In den Zeichnungen können Größen und relative Größen von Elementen für eine Klarheit übertrieben dargestellt sein. Gleiche Bezugsziffern beziehen sich durch die Beschreibung hindurch auf gleiche Elemente. Wie hierin verwendet, umfasst der Ausdruck „und/oder” irgendeine und alle Kombinationen von einem oder mehreren der zugeordneten aufgelisteten Gegenstände.
  • Die hierin verwendete Terminologie dient lediglich dem Zweck eines Beschreibens von besonderen Ausführungsbeispielen und soll die Erfindung nicht begrenzen. Wie hierin verwendet, sollen die Singularformen ebenfalls die Pluralformen umfassen, es sei denn, dass es der Zusammenhang deutlich anders angibt. Es ist ferner offensichtlich, dass die Ausdrücke „aufweisen” und/oder „aufweisend”, wenn dieselben in dieser Beschreibung verwendet sind, die Anwesenheit von erwähnten Elementen spezifizieren, jedoch nicht die Anwesenheit oder Hinzufügung von einem oder mehreren anderen Elementen dazu ausschließen.
  • Es ist offensichtlich, dass, obwohl die Ausdrücke erste(r, s), zweite(r, s) dritte(r, s) etc. hierin verwendet sein können, um verschiedene Elemente zu beschreiben, diese Elemente nicht durch diese Ausdrücke beschränkt sein sollen. Diese Ausdrücke unterscheiden lediglich einen Element von einem anderen Element. Ein erstes Element, das im Folgenden erläutert ist, könnte somit als ein zweites Element festgelegt sein, ohne von den Lehren der vorliegenden Erfindung abzuweichen.
  • Ausführungsbeispiele der Erfindung sind hierin unter Bezugnahme auf schematische Darstellungen von idealisierten Ausführungsbeispielen der Erfindung beschrieben. Als solche sind Variationen von den Formen der Darstellungen als ein Resultat von beispielsweise Herstellungsverfahren zu erwarten. Ausführungsbeispiele der Erfindung sollten somit nicht als auf die besonderen Formen von Regionen, die hierin dargestellt sind, begrenzt aufgefasst werden, sondern sollen Abweichungen der Formen, die beispielsweise aus einem Herstellen resultieren, umfassen. Die in den Zeichnungen dargestellten Regionen sind somit hinsichtlich ihrer Natur und ihren Formen schematisch, sollen nicht die tatsächliche Form einer Region einer Vorrichtung darstellen und sollen nicht den Schutzbereich der Erfindung begrenzen.
  • Es sei denn, dass es anders definiert ist, haben alle Ausdrücke (einschließlich technischer und wissenschaftlicher Ausdrücke), die hierin verwendet sind, die gleiche Bedeutung, wie sie durch Fachleute, die diese Erfindung betrifft, allgemein verstanden wird. Es versteht sich ferner von selbst, dass Ausdrücke, wie zum Beispiel dieselben, die in allgemein verwendeten Wörterbüchern definiert sind, als eine Bedeutung besitzend interpretiert werden sollten, die mit ihrer Bedeutung in dem Zusammenhang der relevanten Technik konsistent ist, und nicht in einem idealisierten oder übermäßig formalen Sinn interpretiert werden, es sei denn, dass es ausdrücklich hierin so definiert ist.
  • Im Folgenden ist eine Speichervorrichtung 100, die sichere Daten schützt, gemäß einem ersten Ausführungsbeispiel der vorliegenden Erfindung unter Bezugnahme auf 1 bis 3 beschrieben.
  • Die Speichervorrichtung 100 kann ein nicht flüchtiger Speicher sein und kann ein Chip oder eine Baugruppe sein, die einen NICHT-UND(engl.: NAND-)FLASH-Speicher, einen NICHT-ODER-(engl.: NOR-)FLASH-Speicher, einen Phasenänderungs-Zufallszugriffsspeicher (PRAM; PRAM = phase change random access memory), einen magnetischen Zufallszugriffsspeicher (MRAM; MRAM = magnetic random access memory) oder einen resistiven Zufallszugriffsspeicher (RRAM; RRAM = resistive random access memory) als ein Aufzeichnungsmedium verwendet. Beispiele der Baugruppe, die die Speichervorrichtung 100 aufweist, können eine Baugruppe auf Baugruppe (PoP; PoP = Package an Package), Kugelgitteranordnungen (BGA; BGA = Ball Grid Array), Chipmaßstabsbaugruppen (CSP; CSP = Chip Scale Package), einen mit Anschlüssen versehenen Kunststoffchipträger (PLCC; PLCC = Plastic Leaded Chip Carrier), eine zweireihige Kunststoffbaugruppe (PDIP), Plättchen-in-Waffelpaket (engl.: Die in Waffle Pack), Plättchen-in-Scheibenform (engl.: Die in Wafer Form), Chip-auf-Leiterplatte (COB; COB = Chip On Board), eine zweireihige Keramikbaugruppe (CERDIP; CERDIP = Ceramic Dual Inline Package), ein metrisches Kunststoff-Viereckflachpaket (MQSP; MQSP = Plastic Metric Quad Flat Pack), ein dünnes Viereckflachpaket (TQFP, TQFP = Thin Quad Flat Pack), eine integrierte Schaltung mit kleinem Umriss (SOIC; SOIC = Small Outline Integrated Circuit), eine Schrumpfbaugruppe mit kleinem Umriss (SSOP; SSOP = Shrink Small Outline Package), eine dünne Baugruppe mit kleinem Umriss (TSOP; TSOP = Thin Small Outline Package), ein dünnes Viereckflachpaket (TQFP; TQFP = Thin Quad Flag Pack), ein System in der Baugruppe (SIP; SIP = System In Package), eine Mehrchipbaugruppe (MCP; MCP = Multi Chip Package), eine auf Wafer-Ebene gefertigte Baugruppe (WFP; WFP = Wafer-level Fabricated Package) und eine auf Wafer-Ebene verarbeitete Stapelbaugruppe (WSP; WSP = Wafer-level Processed Stack Package) aufweisen.
  • Bezug nehmend auf 1 weist die Speichervorrichtung 100 gemäß dem aktuellen Ausführungsbeispiel eine sichere Logik 140, einen ersten Speicherbereich 100 und eine Eingangs-/Ausgangs-(E/A)Logik 150 auf. Die Speichervorrichtung 100 kann zusätzlich zu dem ersten Speicherbereich 110 einen oder mehrere Speicherbereiche aufweisen. In 1 ist zusätzlich zu dem ersten Speicherbereich 110 ein zweiter Speicherbereich 120 dargestellt. In 2 sind zusätzlich zu einem ersten Speicherbereich 110 ein zweiter Speicherbereich 120 und ein dritter Speicherbereich 130 dargestellt. Die Speichervorrichtungen 100 von 1 und 2 können ferner einen Benutzerbereich, der Benutzerdaten aufzeichnet und der nicht in 1 und 2 gezeigt ist, aufweisen. Die Speicherbereiche der Speichervorrichtung 100, die in 1 und 2 gezeigt ist, können den gleichen Typ von Speicherzellen verwenden. Der erste Speicherbereich 110 kann sonst von einem zu dem Benutzerbereich unterschiedlichen Typ sein. Das heißt der erste Speicherbereich 110 kann ein Einmal-Programmierungsspeicher sein, in den Daten lediglich einmal programmiert werden können, und der Benutzerbereich kann ein Mehrmals-Programmierungsspeicher sein, in den Daten eine Mehrzahl von Malen programmiert werden können.
  • Auf den ersten Speicherbereich 110 kann nicht auf die gleiche Weise zugegriffen werden, wie auf andere Speicherbereiche zugegriffen wird. Eine externe Vorrichtung, die mit der Speichervorrichtung 100 verbunden ist, kann keine Daten, die in dem ersten Speicherbereich 110 aufgezeichnet sind, lesen. Die externe Vorrichtung kann eine Steuerung 200 oder eine Host-Vorrichtung 300 (in 3) sein, die mit der Speichervorrichtung 100 verbunden ist und einen Betrieb der Speichervorrichtung 100 steuert. Die externe Vorrichtung ist keine Vorrichtung, die während einer Herstellung verwendet wird, wie zum Beispiel eine Testausrüstung. Stattdessen ist die externe Vorrichtung eine Vorrichtung, die mit der Speichervorrichtung 100 nach einem Verkauf der Speichervorrichtung 100 in Betrieb ist.
  • Da die externe Vorrichtung, die mit der Speichervorrichtung 100 verbunden ist, die Daten, die in dem ersten Speicherbereich 110 aufgezeichnet sind, nicht lesen kann, ist der erste Speicherbereich 110 in 1 bis 4 so dargestellt, dass durch die Steuerung 200 oder die Host-Vorrichtung 300 „NICHT ZUGEGRIFFEN WERDEN KANN”. Wenn der erste Speicherbereich 110 als „ES KANN NICHT ZUGEGRIFFEN WERDEN” beschrieben oder dargestellt ist, versteht es sich von selbst, dass die externe Vorrichtung unfähig ist, die Daten, die in dem ersten Speicherbereich 110 aufgezeichnet sind, zu lesen. In 10 ist ein Bereich 410 eines Typs 1 ebenfalls so dargestellt, dass durch die Host-Vorrichtung 300 oder die Steuerung 200 „NICHT ZUGEGRIFFEN WERDEN KANN”. Hier hat „ES KANN NICHT ZUGEGRIFFEN WERDEN” für den Bereich 410 eines Typs 1 die gleiche Bedeutung wie „ES KANN NICHT ZUGEGRIFFEN WERDEN” für den ersten Speicherbereich 110.
  • Auf die Daten des ersten Speicherbereichs 110 kann lediglich durch die sichere Logik 140 nur lesend (engl.: read-only) zugegriffen werden. Die Speichervorrichtung 100 kann zusätzlich eine Schaltung aufweisen, die entworfen ist, um die Daten, die in dem ersten Speicherbereich 110 aufgezeichnet sind, lediglich durch die sichere Logik 140 auszugeben.
  • Da auf die Daten, die in dem ersten Speicherbereich 110 aufgezeichnet sind, lediglich durch die sichere Logik 140 zugegriffen werden kann, kann die sichere Logik 140 eine Fehlerkorrekturfunktion zum Korrigieren eines Fehlers liefern, der auftreten kann, wenn zu den Daten, die in dem ersten Speicherbereich 110 aufgezeichnet sind, durch die sichere Logik 140 ein anderer Wert gelesen wird. Bei diesem und den anderen Ausführungsbeispielen kann die sichere Logik eine Hardwareschaltung oder eine Spezialzweckvorrichtung, wie zum Beispiel ein programmierter Prozessor, sein. Gemäß einigen Ausführungsbeispielen kann eine Fehlerkorrekturschaltung (nicht gezeigt), die mit dem ersten Speicherbereich 110 verbunden ist, die Fehlerkorrekturfunktion durchführen, und die Daten, die in dem ersten Speicherbereich 110 aufgezeichnet sind, können zu der sicheren Logik 140 gesendet werden, nachdem dieselben durch die Fehlerkorrekturschaltung fehlerkorrigiert wurden. Die Fehlerkorrekturschaltung kann eine Flip-Flop-Schaltung sein. Die Fehlerkorrekturfunktion kann durch Anwenden eines herkömmlichen Fehlerkorrekturverfahrens vollständig erreicht sein, und somit ist eine detaillierte Beschreibung derselben weggelassen.
  • Sichere Daten 111 sind in dem ersten Speicherbereich 110 aufgezeichnet. Die E/A-Logik 150 ist mit dem Daten-Eingang/Ausgang mit der Host-Vorrichtung 300 oder der Steuerung 200 schnittstellenmäßig verbunden.
  • Die E/A-Logik 150 kann Befehle und Adressinformationen, die von der Host-Vorrichtung 300 oder der Steuerung 200 empfangen werden, interpretieren und Daten, die von einem Speicher-Array 160 zu der Host-Vorrichtung 300 oder der Steuerung 200 ausgegeben werden, übertragen. Die Host-Vorrichtung kann eine Vorrichtung, die einen Prozessor hat, wie zum Beispiel ein Computer, ein Tablett, ein Funktelefon, ein Medienspieler etc., sein.
  • In 1 und 2 sind die Speichervorrichtungen 100 mit der Steuerung 200 verbunden. Bei einigen Ausführungsbeispielen können jedoch die Speichervorrichtungen 100 mit der Host-Vorrichtung 300 direkt verbunden sein, ohne über die Steuerung 200, wie in 4 gezeigt ist, zu gehen. In diesem Fall führt die Host-Vorrichtung 300 den Betrieb der Steuerung 200 durch.
  • Die Speichervorrichtung 100 gemäß dem aktuellen Ausführungsbeispiel zeichnet verschlüsselte sichere Daten 121, die durch ein Verschlüsseln von sicheren Daten 111, die in dem ersten Speicherbereich 110 aufgezeichnet sind, erhalten werden, in dem zweiten Speicherbereich 120 auf und ermöglicht lediglich, dass die verschlüsselten sicheren Daten 121, die in dem zweiten Speicherbereich 120 aufgezeichnet sind, zu der Host-Vorrichtung 300 ausgegeben werden. Auf den zweiten Speicherbereich 120 kann durch die Steuerung 200 oder die Host-Vorrichtung 300 zugegriffen werden. Bei einem Ausführungsbeispiel ist der zweite Speicherbereich 120 lediglich durch eine externe Vorrichtung (zum Beispiel eine Host-Vorrichtung 300 und/oder eine Steuerung 200) lesbar. Wie früher erwähnt ist, „KANN” durch die Steuerung 200 auf den ersten Speicherbereich 110 „NICHT ZUGEGRIFFEN WERDEN” und auf denselben kann durch die sichere Logik 140 nur lesend zugegriffen werden.
  • Die Steuerung 200 empfängt von der Speichervorrichtung 100 gemäß dem aktuellen Ausführungsbeispiel wie folgt die verschlüsselten sicheren Daten 121.
  • Die Speichervorrichtung empfängt von der Speichersteuerung 200 zuerst eine Anfrage, die sich auf die sicheren Daten 111 bezieht. Wenn die verschlüsselten sicheren Daten 121 nicht in dem zweiten Speicherbereich 120 aufgezeichnet sind, liest die sichere Logik 140 die sicheren Daten 111, korrigiert Fehler der gelesenen sicheren Daten 111 und verschlüsselt die sicheren Daten 111. Ein Verschlüsselungsalgorithmus und ein Verschlüsselungsschlüssel, die verwendet sind, um die sicheren Daten 111 zu verschlüsseln, sind nicht auf einen besonderen Verschlüsselungsalgorithmus und einen besonderen Verschlüsselungsschlüssel begrenzt. Ein Verschlüsselungsalgorithmus mit einem symmetrischen Schlüssel, der für sowohl die Verschlüsselung als auch die Entschlüsselung den gleichen Schlüssel verwendet, wie zum Beispiel ein Verschlüsselungsalgorithmus eines fortgeschrittenen Verschlüsselungsstandards (AES; AES = advanced encryption standard), kann vorzugsweise verwendet sein. Die sichere Logik 140 zeichnet als Nächstes die verschlüsselten sicheren Daten 121 in dem zweiten Speicherbereich 120 auf.
  • Die sichere Logik 140 kann eine oder mehrere Verschlüsselungsmaschinen aufweisen. Mindestens eine der Verschlüsselungsmaschinen kann einen Verschlüsselungsalgorithmus mit einem symmetrischen Schlüssel durchführen. Die sichere Logik 140 kann die sicheren Daten 111 unter Verwendung einer der Verschlüsselungsmaschinen verschlüsseln.
  • Wenn die Steuerung 200 eine Anfrage, die sich auf die sicheren Daten 111 bezieht, in die E/A-Logik 150 eingibt, liest die E/A-Logik 150 die verschlüsselten sicheren Daten 121, die in dem zweiten Speicherbereich 120 aufgezeichnet sind, und gibt dieselben aus. Die Anfrage kann eine Anfrage nach einer Ausgabe der sicheren Daten 111 oder eine Anfrage nach einer Ingangsetzung einer Prozedur zum Authentifizieren des Speicherelements 100 unter Verwendung der sicheren Daten sein. Die Anfrage kann durch die Steuerung 200 vorgenommen werden oder kann durch die Steuerung 200 bei der Anfrage der Host-Vorrichtung 300 vorgenommen werden.
  • Bezug nehmend auf 2 können die sicheren Daten 111 gemäß dem aktuellen Ausführungsbeispiel ein speichereindeutiger Schlüssel (MUK; MUK = memory unique key) 112, der der Speichervorrichtung 100 zugeteilt ist, sein. Das heißt die Speichervorrichtung 100 kann ihren MUK 112 in dem ersten Speicherbereich 110 aufzeichnen und den MUK 112 schützen, um zu verhindern, dass der MUK 112 in einem unverschlüsselten Zustand durchsickert. Dies ist detaillierter unter Bezugnahme auf 2 beschrieben.
  • Der MUK 112 kann Daten sein, die durch einen Verkäufer der Speichervorrichtung 100 in der Speichervorrichtung 100 aufgezeichnet werden, wenn die Speichervorrichtung 100 hergestellt wird. Das heißt der MUK 112 kann bereits in der Speichervorrichtung 100 zu der Zeit aufgezeichnet worden sein, zu der die Speichervorrichtung 100 auf dem Markt freigegen wurde.
  • Bezug nehmend auf 2 empfangt die Steuerung 200 von der Speichervorrichtung 100 als die verschlüsselten sicheren Daten 121 einen verschlüsselten speichereindeutigen Schlüssel (EMUK; EMUK = encrypted memory unique key) 122 gemäß dem aktuellen Ausführungsbeispiel wie folgt.
  • Wenn der EMUK 122 in dem zweiten Speicherbereich 120 nicht aufgezeichnet ist, zeichnet die sichere Logik 140 den EMUK 122, der durch Lesen, Fehlerkorrigieren und Verschlüsseln des MUK 112 erhalten wird, in dem zweiten Speicherbereich 120 auf.
  • Wenn dann die Steuerung 200 eine Anfrage, die sich auf den MUK 112 bezieht, in die E/A-Logik 150 eingibt, liest die E/A-Logik 150 den EMUK 122, der in dem zweiten Speicherbereich 120 aufgezeichnet ist, und gibt denselben aus. Um zu verhindern, dass der EMUK 122 ohne eine Erlaubnis modifiziert oder gelöscht wird, kann durch die Steuerung 200 auf den zweiten Speicherbereich 120 nur lesend zugegriffen werden.
  • In 2 zeichnet die sichere Logik 140 den EMUK 122 in dem zweiten Speicherbereich 120 auf. Der EMUK 122 kann jedoch ferner zusammen mit dem MUK 112 durch den Verkäufer der Speichervorrichtung 100 bei dem Verfahren eines Herstellens der Speichervorrichtung 100 aufgezeichnet werden. Der MUK in dem Bereich 1 und der EMUK in dem Bereich 2 werden vorzugsweise durch den Hersteller programmiert, bevor dieselben auf den Markt kommen. Wenn die Speichervorrichtung 100 freigegeben wird, nachdem der EMUK 122 in dem zweiten Speicherbereich 120 der Speichervorrichtung 100 aufgezeichnet ist, verschlüsselt die sichere Logik 140 den MUK 112 nicht und zeichnet den EMUK 122 nicht in dem zweiten Speicherbereich 120 auf.
  • Ein Betriebsverfahren der Speichervorrichtung 100 gemäß dem aktuellen Ausführungsbeispiel ist nun unter Bezugnahme auf 3 beschrieben. In 3 ist der Betrieb der Speichervorrichtung 100 von 1 dargestellt. Zur Vereinfachung sind eine jeweilige Beschreibung der gleichen Komponenten und Schritte wie jene, die bereits im Vorhergehenden beschrieben sind, aus der Beschreibung von 3 weggelassen.
  • Bezug nehmend auf 3 empfängt die Speichervorrichtung 100 eine Anfrage, die sich auf die sicheren Daten 111 bezieht (Schritt S100) und bestimmt, ob die verschlüsselten sicheren Daten 121 in dem zweiten Speicherbereich 120 aufgezeichnet sind (Schritt S102). Wenn die verschlüsselten sicheren Daten 121 in dem zweiten Speicherbereich 120 aufgezeichnet sind, gibt die Speichervorrichtung 100 die verschlüsselten sicheren Daten 121, die in dem zweiten Speicherbereich 120 aufgezeichnet sind, aus (Schritt S108). Wenn andererseits die verschlüsselten sicheren Daten 121 nicht in dem zweiten Speicherbereich 120 aufgezeichnet sind, liest die sichere Logik 140 die sicheren Daten 111, die in dem ersten Speicherbereich 110 aufgezeichnet sind, und verschlüsselt die gelesenen sicheren Daten 111 (Schritt S104). Die sichere Logik 140 zeichnet dann die verschlüsselten sicheren Daten 121 in dem zweiten Speicherbereich 120 auf (Schritt S106) und gibt die verschlüsselten sicheren Daten 121, die in dem zweiten Speicherbereich 120 aufgezeichnet sind, aus (Schritt S108).
  • Wenn der Verkäufer einer Speichervorrichtung die sicheren Daten und die verschlüsselten sicheren Daten in einem ersten Speicherbereich 110 bzw. einem zweiten Speicherbereich 120 aufgezeichnet hat, kann bei dem Verfahren eines Herstellens der Speichervorrichtung die Speichervorrichtung die verschlüsselten sicheren Daten 122 des zweiten Speicherbereichs ausgeben, wenn dieselbe die Anfrage, die sich auf die sicheren Daten bezieht, empfängt.
  • Gemäß dem aktuellen Ausführungsbeispiel gibt, selbst wenn die Steuerung 200 eine Anfrage, die sich auf die sicheren Daten 111, die in dem ersten Speicherbereich 110 aufgezeichnet sind, bezieht, eingibt, die Speichervorrichtung 100 die sicheren Daten 11 nicht aus, gibt jedoch die verschlüsselten sicheren Daten 121, die in dem zweiten Speicherbereich 120 aufgezeichnet sind, aus, wodurch das Durchsickern der sicheren Daten 111 verhindert wird. Unter allen Umständen können somit die sicheren Daten 111 nicht, wie sie in dem ersten Speicherbereich 110 aufgezeichnet sind, ausgegeben werden und können lediglich in einem verschlüsselten Zustand aus der Speichervorrichtung 100 ausgegeben werden.
  • Im Folgenden ist unter Bezugnahme auf 4 eine Speichervorrichtung 100a, die sichere Daten schützt, gemäß einem zweiten Ausführungsbeispiel beschrieben. Die Speichervorrichtung 100a kann ein nicht flüchtiger Speicher sein und kann ein Chip oder eine Baugruppe sein.
  • Die Speichervorrichtung 100a gemäß dem aktuellen Ausführungsbeispiel ist mit einer Host-Vorrichtung 300, ohne über eine Steuerung 200 zu gehen, direkt verbunden. Eine sichere Logik 140 des Speicherelements 100 verschlüsselt zusätzlich die sicheren Daten 111, die in einem ersten Speicherbereich 110 aufgezeichnet sind, und gibt die verschlüsselten sicheren Daten 121 aus. Die Speichervorrichtung 100a gemäß dem aktuellen Ausführungsbeispiel ist wie folgt in Betrieb.
  • Wenn die Host-Vorrichtung 300 eine Anfrage, die sich auf die sicheren Daten 111 bezieht, in eine E/A-Logik 150 eingibt, kann die E/A-Logik 150 die Anfrage zu der sicheren Logik 140 senden. Die Anfrage, die sich auf die sicheren Daten 111 bezieht, kann hier eine Anfrage nach einer Ingangsetzung einer Authentifizierungsprozedur unter Verwendung der sicheren Daten 111 oder eine Anfrage nach einer Ausgabe der sicheren Daten 111 sein. Die E/A-Logik 150 kann bestimmen, ob sich die Eingangsanfrage auf die sicheren Daten 111 bezieht, indem eine Lesedatenadresse, die an der Anfrage befestigt ist, interpretiert wird oder bestimmt wird, ob die Anfrage mit einem vorbestimmten Befehl, der sich auf die sicheren Daten 111 bezieht, übereinstimmt. Das heißt die E/A-Logik 150 gemäß dem aktuellen Ausführungsbeispiel kann auf die Anfrage, die sich auf die sicheren Daten 111 des ersten Speicherbereichs 110 bezieht, zu der Host-Vorrichtung 300 über die sichere Logik 140 eine Antwort senden. Dies liegt daran, dass auf den ersten Speicherbereich 110 lediglich durch die sichere Logik 140 zugegriffen werden kann.
  • Nach einem Empfangen der Anfrage von der E/A-Logik 150 empfängt die sichere Logik 140 von dem ersten Speicherbereich 110 die sicheren Daten 111, fehlerkorrigiert die sicheren Daten 111 und verschlüsselt die sicheren Daten 111. Wie im Vorhergehenden beschrieben ist, können gemäß einigen Ausführungsbeispielen die sicheren Daten 111 zu der sicheren Logik 140 ebenfalls geliefert werden, nachdem dieselben durch die Fehlerkorrekturschaltung fehlerkorrigiert wurden. In diesem Fall verschlüsselt die sichere Logik 140 die sicheren Daten 111 unmittelbar.
  • Die sichere Logik 140 liefert die verschlüsselten sicheren Daten 121 zu der E/A-Logik 150, sodass die verschlüsselten sicheren Daten 121 zu der Host-Vorrichtung 300 ausgegeben werden können.
  • Ein Betriebsverfahren der Speichervorrichtung 100a gemäß dem aktuellen Ausführungsbeispiel ist nun unter Bezugnahme auf 5 beschrieben. In 5 ist der Betrieb des Speicherelements 100a von 4 dargestellt. Zur Vereinfachung ist eine wiederholte Beschreibung der gleichen Komponenten und Schritte wie dieselben, die bereits vorher beschrieben sind, aus der Beschreibung von 5 weggelassen.
  • Bezug nehmend auf 5 liest, wenn die Speichervorrichtung 100a eine Anfrage, die sich auf die sicheren Daten 111 bezieht, empfangt (Schritt S200), die sichere Logik 140 die sicheren Daten 111, die in dem ersten Speicherbereich 110 aufgezeichnet sind, verschlüsselt die empfangenen sicheren Daten 111 (Schritt S202) und gibt die verschlüsselten sicheren Daten 121 (Schritt S204) aus. Es ist offensichtlich, dass bei diesem Ausführungsbeispiel die verschlüsselten sicheren Daten 121 nicht in der Speichervorrichtung 100a aufgezeichnet sind, jedoch in der Speichervorrichtung 100a aufgezeichnet sein könnten.
  • Wie im Vorhergehenden beschrieben ist, kann auf die sicheren Daten 111, die in dem ersten Speicherbereich 110 der Speichervorrichtung 100a gemäß dem aktuellen Ausführungsbeispiel aufgezeichnet sind, lediglich durch die sichere Logik 140 innerhalb der Speichervorrichtung 100a zugegriffen werden. Die sichere Logik 140 liest die sicheren Daten 111, verschlüsselt die gelesenen sicheren Daten 111 und gibt dann die verschlüsselten sicheren Daten 121 aus. Unter jedem Umstand werden daher die sicheren Daten 111 von dem Speicherelement 100 in einem verschlüsselten Zustand ausgegeben. Das heißt die Speichervorrichtung 100a gemäß dem aktuellen Ausführungsbeispiel kann die Wahrscheinlichkeit wesentlich reduzieren, dass die sicheren Daten 111 durchsickern. Die sicheren Daten, die in dem ersten Speicherbereich 110 aufgezeichnet sind, können ein MUK 122, der jeder Speichervorrichtung 100a zugeteilt ist, sein.
  • Jede der Speichervorrichtungen 100, 100a kann ein Speicher-Array 160 aufweisen. Das Speicher-Array 160 weist einen zweiten Speicherbereich, auf den durch die Host-Vorrichtung 300 oder die Steuerung 200 nur lesend zugegriffen werden kann, und einen dritten Speicherbereich, auf den durch die Host-Vorrichtung 300 oder die Steuerung 200 lesend schreibend zugegriffen werden kann, auf. Das Speicher-Array kann sowohl den ersten, den zweiten als auch den dritten Speichereich aufweisen. Der erste Speicherbereich 110 kann alternativ nicht in dem Speicher-Array 160 umfasst sein, kann jedoch von dem Speicher-Array 160 getrennt sein. Wie in 1 und 2 kann der zweite Speicherbereich durch eine sichere Logik 140 programmiert sein.
  • Im Folgenden ist eine Speichervorrichtung 100, die einen MUK schützt, gemäß einem dritten Ausführungsbeispiel unter Bezugnahme auf 6 und 7 beschrieben. Die Speichervorrichtung 100 gemäß dem aktuellen Ausführungsbeispiel kann ferner einen dritten Speicherbereich 130 (siehe 2 und 4) aufweisen, auf den durch einen Host 300 oder eine Steuerung 200 lesend schreibend zugegriffen werden kann. Die Speichervorrichtung 100 gemäß dem aktuellen Ausführungsbeispiel kann insbesondere einen ersten Speicherbereich 110, auf den durch eine sichere Logik 140 zugegriffen werden kann, einen zweiten Speicherbereich 120, auf den durch eine externe Vorrichtung nur lesend zugegriffen werden kann, und den dritten Speicherbereich 130, auf den durch die externe Vorrichtung lesend schreibend zugegriffen werden kann, aufweisen. Ein MUK 112 kann in dem ersten Speicherbereich 110 aufgezeichnet sein, und ein EMUK 122 kann in dem zweiten Speicherbereich 120 aufgezeichnet sein.
  • Um einen bestimmten Schritt unter Verwendung des MUK 112 durchzuführen, erhält die Host-Vorrichtung 300 den MUK 112 durch Entschlüsseln des EMUK 122. Auf einen Entschlüsselungsschlüssel, der verwendet ist, um den EMUK 122 zu entschlüsseln, ist im Folgenden als ein erster Entschlüsselungsschlüssel Bezug genommen.
  • Die Speichervorrichtung 100 gemäß dem aktuellen Ausführungsbeispiel kann einen verschlüsselten ersten Entschlüsselungsschlüssel 131, der durch Verschlüsseln des ersten Entschlüsselungsschlüssels erhalten wird, in dem dritten Speicherbereich 130 aufzeichnen. Das heißt die Speichervorrichtung 100 zeichnet den ersten Entschlüsselungsschlüssel nicht auf und zeichnet lediglich den verschlüsselten ersten Entschlüsselungsschlüssel auf. Dies liegt daran, dass der EMUK 122 unter Verwendung des ersten Entschlüsselungsschlüssels ohne weiteres in den MK 112 entschlüsselt werden kann, wenn der erste Entschlüsselungsschlüssel in dem Speicherelement 100 aufgezeichnet ist. Ein Speicherverkäufer oder ein Verkäufer, der unter Verwendung einer Speichervorrichtung 100 eine Karte zusammenbaut, kann den verschlüsselten ersten Entschlüsselungsschlüssel 131 in den dritten Speicherbereich programmieren oder darin aufzeichnen.
  • Ein Entschlüsselungsschlüssel, der verwendet ist, um den verschlüsselten ersten Entschlüsselungsschlüssel 131 zu entschlüsseln, ist ein zweiter Entschlüsselungsschlüssel 301, der in der Host-Vorrichtung 300 aufgezeichnet ist. Der zweite Entschlüsselungsschlüssel kann für jeden Host-Vorrichtungsverkäufer oder für jede Host-Vorrichtung einen eindeutigen Wert haben.
  • Bezug nehmend auf 6 fragt die Host-Vorrichtung 300 durch die Steuerung 200 nach dem EMUK 122 und empfängt den angefragten EMUK 122. Ähnlicherweise fragt die Host-Vorrichtung 300 nach dem verschlüsselten ersten Entschlüsselungsschlüssel 131, der in dem dritten Speicherbereich 130 aufgezeichnet ist, durch die Steuerung 200 und empfängt den angefragten verschlüsselten ersten Entschlüsselungsschlüssel 131. Bezug nehmend auf 7 entschlüsselt dann die Host-Vorrichtung 300 unter Verwendung des zweiten Entschlüsselungsschlüssels 301 den verschlüsselten ersten Entschlüsselungsschlüssel 131 in den ersten Entschlüsselungsschlüssel 302 (Schritt S300) und entschlüsselt den EMUK 122 unter Verwendung des ersten Entschlüsselungsschlüssels 302 in den MUK 112 (Schritt S302). Im Folgenden ist eine Verschlüsselung oder eine Entschlüsselung unter Verwendung von 'A' als eine Verschlüsselung oder Entschlüsselung unter Verwendung von 'A' als ein Verschlüsselungsschlüssel oder ein Entschlüsselungsschlüssel zu verstehen.
  • Der erste Entschlüsselungsschlüssel 302 kann den gleichen Wert wie ein Verschlüsselungsschlüssel, der durch einen Speicherverkäufer verwendet ist, haben, um durch ein Verschlüsseln des MUK 112 den EMUK 122 zu erzeugen.
  • In einem Benutzerbereich eines Speicher-Arrays 160, der in 6 nicht gezeigt ist, können Daten, die unter Verwendung eines Verschlüsselungsschlüssels, der basierend auf dem MUK 112 erzeugt wird, verschlüsselt werden, aufgezeichnet sein. Ein Verschlüsseln von Daten unter Verwendung eines Verschlüsselungsschlüssels, der basierend auf dem MUK 112 erzeugt wird, ist detaillierter später bei einem anderen Ausführungsbeispiel beschrieben.
  • Im Folgenden ist eine Speichervorrichtung 100, die unter Verwendung eines MUK Authentifizierungsinformationen erzeugt, gemäß einem vierten Ausführungsbeispiel unter Bezugnahme auf 8 beschrieben. Die Speichervorrichtung 100 gemäß dem aktuellen Ausführungsbeispiel erzeugt unter Verwendung eines MUK 112, der in einem ersten Speicherbereich 110 aufgezeichnet ist, Authentifizierungsinformationen, um durch eine externe Vorrichtung, wie zum Beispiel eine Host-Vorrichtung 300 oder eine Steuerung 200, authentifiziert zu werden, und liefert die erzeugten Authentifizierungsinformationen zu der externen Vorrichtung. Die Speichervorrichtung 100 kann die Authentifizierungsinformationen wie folgt erzeugen.
  • Die Speichervorrichtung 100 gemäß dem aktuellen Ausführungsbeispiel zeichnet den MUK 112 und eine Mehrzahl von Ersatzschlüsseln 113 in dem ersten Speicherbereich 110 auf. Da auf den ersten Speicherbereich 110 lediglich durch eine sichere Logik 140a zugegriffen werden kann, kann auf die Ersatzschlüssel 113 ebenfalls lediglich durch die sichere Logik 140a zugegriffen werden. Die sichere Logik 140a erzeugt basierend auf Daten, die durch Verschlüsseln des MUK 112 erhalten werden, Authentifizierungsinformationen 141 einer Speichervorrichtung. Die sichere Logik 140a verschlüsselt genauer gesagt unter Verwendung eines zweiten Verschlüsselungsschlüssels, der sich von einem ersten Verschlüsselungsschlüssel, der verwendet ist, um den MUK 112 zu verschlüsseln, unterscheidet, den MUK 112 in einen EMUK 122 und erzeugt basierend auf den verschlüsselten Daten die Authentifizierungsinformationen 141 der Speichervorrichtung.
  • Der zweite Verschlüsselungsschlüssel kann basierend auf Daten, die durch Verschlüsseln von einem der Ersatzschlüssel 13 erhalten werden, erzeugt werden. Zu diesem Zweck wählt die sichere Logik 140a einen der Ersatzschlüssel 113 aus (Schritt S400) und verschlüsselt den ausgewählten Ersatzschlüssel (Schritt S402). Bei dem Auswählen von einem der Ersatzschlüssel 113 (Schritt S400) kann die sichere Logik 140 basierend auf einem vorbestimmten Standard oder basierend auf Ersatzschlüssel-Auswahlinformationen, die durch die Host-Vorrichtung 300 oder die Steuerung 200 geliefert werden, einen der Ersatzschlüssel 113 auswählen. Die sichere Logik 140a kann konfiguriert sein, um ansprechend auf die Ersatzschlüssel-Auswahlinformationen einen ersten Ersatzschlüssel ERSATZSCHLÜSSEL 0 auszuwählen, um die Authentifizierungsinformationen 141 der Speichervorrichtung zu erzeugen. Bei dem Verschlüsseln des ausgewählten Ersatzschlüssels (Schritt S402) kann die sichere Logik 140a unter Verwendung eines Schlüssels, der basierend auf Daten für eine Authentifizierungsinformationserzeugung, die von der Host-Vorrichtung 300 oder der Steuerung 200 empfangen werden, erzeugt wird, als ein Verschlüsselungsschlüssel den ausgewählten Ersatzschlüssel verschlüsseln. Ein spezifisches Beispiel davon ist im Detail im Folgenden unter Bezugnahme auf 13 beschrieben. Der zweite Verschlüsselungsschlüssel kann basierend auf Daten, die als ein Resultat eines Verschlüsselns des ausgewählten Ersatzschlüssels (Schritt S402) erzeugt werden, erhalten werden. Die sichere Logik 140a erzeugt basierend auf den Daten, die durch Verschlüsseln des MUK 112 unter Verwendung des zweiten Verschlüsselungsschlüssels erhalten werden, die Authentifizierungsinformationen 141 der Speichervorrichtung (Schritt S404).
  • Zusammenfassend erzeugt gemäß dem aktuellen Ausführungsbeispiel die sichere Logik 140a basierend auf einem einer Mehrzahl von Ersatzschlüsseln und einem Schlüssel für eine Authentifizierungsinformationserzeugung, der von einer externen Vorrichtung empfangen wird, einen zweiten Verschlüsselungsschlüssel, der sich von einem ersten Verschlüsselungsschlüssel, der verwendet ist, um einen MUK in einen EMUK zu verschlüsseln, unterscheidet, und erzeugt durch Verschlüsseln des MUK unter Verwendung des zweiten Verschlüsselungsschlüssels Authentifizierungsinformationen. Die sichere Logik 140a kann eine oder mehrere Verschlüsselungsmaschinen (nicht gezeigt) aufweisen, und eine der Verschlüsselungsmaschinen kann verwendet sein, um unter Verwendung des zweiten Verschlüsselungsschlüssels den MUK zu verschlüsseln.
  • Gemäß dem aktuellen Ausführungsbeispiel werden die Authentifizierungsinformationen 141 der Speichervorrichtung unter Verwendung des MUK 112 und der Ersatzschlüssel 113, die in der Speichervorrichtung 100 aufgezeichnet sind und nicht nach außen durchsickern, erzeugt. Da Quelldaten, die benötigt werden, um die Authentifizierungsinformationen 141 der Speichervorrichtung zu erzeugen, nicht nach außen durchsickern, wird die Wahrscheinlichkeit, dass die Authentifizierungsinformationen 141 der Speichervorrichtung manipuliert werden, stark reduziert. Da zusätzlich Daten, die durch die Host-Vorrichtung 300 geliefert werden, bei dem Verfahren eines Erzeugens der Authentifizierungsinformationen 141 der Speichervorrichtung widergespiegelt werden, können verschiedene Verfahren verwendet sein, um die Speichervorrichtung zu authentifizieren, und unterschiedliche Authentifizierungsinformationen 141 können immer dann erzeugt werden, wenn die Speichervorrichtung authentifiziert wird, wodurch weiter die Wahrscheinlichkeit reduziert wird, dass die Authentifizierungsinformationen 141 manipuliert werden.
  • Im Folgenden ist unter Bezugnahme auf 9 eine Host-Vorrichtung 300 gemäß einem fünften Ausführungsbeispiel beschrieben. Die Host-Vorrichtung 300 gemäß dem aktuellen Ausführungsbeispiel authentifiziert eine Speichervorrichtung, verschlüsselt Daten, wenn die Speichervorrichtung erfolgreich authentifiziert ist, und zeichnet die verschlüsselten Daten in der Speichervorrichtung auf. Bezug nehmend auf 9 weist die Host-Vorrichtung 300 gemäß dem aktuellen Ausführungsbeispiel eine Schnittstelleneinheit 310, eine Schlüssel aufzeichnende Einheit 312 und eine MUK erhaltende Einheit 314 auf. Eine Aufzeichnungsspeichervorrichtung 1000 weist eine Speichervorrichtung 100 und eine Steuerung 200 zum Steuern der Speichervorrichtung 100 auf. Die Aufzeichnungsspeichervorrichtung 1000 weist eine Speichervorrichtung 100a, die in 4 gezeigt ist, oder eine Speichervorrichtung 400, die in 10 gezeigt ist, statt der Speichervorrichtung 100 auf.
  • Die Host-Vorrichtung 300, die die Schnittstelleneinheit 310 aufweist, die Schlüssel aufzeichnende Einheit 312 und die MUK erhaltende Einheit 314 können durch Entschlüsseln eines EMUK 122, der von einer Aufzeichnungsspeichervorrichtung 1000 empfangen wird, einen MUK 112 erhalten.
  • Die Schnittstelleneinheit 310 empfängt von der Aufzeichnungsspeichervorrichtung 1000, den EMUK 122, der durch Verschlüsseln des MUK der Aufzeichnungsspeichervorrichtung 1000 erhalten wird, und den verschlüsselten ersten Entschlüsselungsschlüssel 131, der durch Verschlüsseln eines ersten Entschlüsselungsschlüssels 302, der verwendet ist, um den EMUK 122 zu entschlüsseln, erhalten wird.
  • Die Schlüssel aufzeichnende Einheit 312 zeichnet einen zweiten Entschlüsselungsschlüssel 301, der verwendet ist, um den verschlüsselten ersten Entschlüsselungsschlüssel 131 zu entschlüsseln, auf. Der zweite Entschlüsselungsschlüssel 301 kann für jeden Host-Vorrichtungs-Verkäufer oder für jede Host-Vorrichtung 300 einen eindeutigen Wert haben.
  • Die MKU erhaltende Einheit 314 erhält durch Entschlüsseln des verschlüsselten ersten Entschlüsselungsschlüssels 131 unter Verwendung des zweiten Entschlüsselungsschlüssels 301 den ersten Entschlüsselungsschlüssel 302 und erhält durch Entschlüsseln des EMUK 122 unter Verwendung des ersten Entschlüsselungsschlüssels 302 den MUK 112. Die MUK erhaltende Einheit 314 kann eine oder mehrere Entschlüsselungsmaschinen aufweisen. Eine der Entschlüsselungsmaschinen kann durch Durchführen eines symmetrischen Entschlüsselungsalgorithmus aus dem verschlüsselten ersten Entschlüsselungsschlüssel 131 den ersten Entschlüsselungsschlüssel 302 erhalten, und eine andere der Entschlüsselungsmaschinen kann durch Verwenden des ersten Entschlüsselungsschlüssels 302 aus dem EMUK 122 den MUK 112 erhalten. Entschlüsselungsalgorithmen, die verwendet sind, um den ersten Entschlüsselungsschlüssel 302 und den MUK 112 zu erhalten, können gleich oder unterschiedlich sein.
  • Die Host-Vorrichtung 300 gemäß dem aktuellen Ausführungsbeispiel authentifiziert unter Verwendung des MUK 112 wie folgt die Aufzeichnungsspeichervorrichtung 1000. Wenn die Host-Vorrichtung 300 die Aufzeichnungsspeichervorrichtung 1000 authentifiziert, bestimmt die Host-Vorrichtung 300, ob die Aufzeichnungsspeichervorrichtung 1000 Authentifizierungsinformationen erzeugt, die einen spezifischen Standard der Host-Vorrichtung 300 erfüllen. Wenn die Host-Vorrichtung 300 gemäß einem Standard A Authentifizierungsinformationen erzeugt, kann die Host-Vorichtung 300 bestimmen, ob die Aufzeichnungsspeichervorrichtung 1000 ebenfalls Authentifizierungsinformationen gemäß dem Standard A erzeugt. Indem dies durchgeführt wird, bestimmt die Host-Vorrichtung 300, ob die Aufzeichnungsspeichervorrichtung 1000 gemäß einem Standard A in Betrieb ist, und führt basierend auf dem Bestimmungsresultat einen anderen Schritt durch. Eine Beschreibung des Verfahrens, bei dem die Aufzeichnungsspeichervorrichtung 1000 Authentifizierungsinformationen erzeugt, kann in der Beschreibung des vierten Ausführungsbeispiels unter Bezugnahme auf 8 gefunden werden.
  • Die Host-Vorrichtung 300, die die Aufzeichnungsspeichervorrichtung 1000 authentifiziert, kann ferner eine Authentifizierung verarbeitende Einheit 320 aufweisen. Die Authentifizierung verarbeitende Einheit 320 erzeugt basierend auf dem MUK 112, der durch die MUK erhaltende Einheit 314 erhalten wird, Authentifizierungsinformationen der Host-Vorrichtung 300, empfängt Authentifizierungsinformationen 141 der Aufzeichnungsspeichervorrichtung 1000 von der Speichervorrichtung 100, die die Aufzeichnungsspeichervorrichtung 1000 in sich aufweist, über die Schnittstelleneinheit 110 und authentifiziert die Aufzeichnungsspeichervorrichtung 1000 durch Vergleichen der Authentifizierungsinformationen der Host-Vorrichtung 300 und der Authentifizierungsinformationen 141 der Aufzeichnungsspeichervorrichtung 1000.
  • Die Authentifizierung verarbeitende Einheit 320 kann unter Verwendung der Zufallszahl eine Zufallszahl erzeugen und die Authentifizierungsinformationen der Host-Vorrichtung 300 erzeugen. Die Zufallszahl wird ferner zu der Aufzeichnungsspeichervorrichtung 1000 geliefert. Die Authentifizierungsinformationen 141 der Aufzeichnungsspeichervorrichtung 1000 können somit unter Verwendung der Zufallszahl erzeugt worden sein. Die Authentifizierung verarbeitende Einheit 320 erzeugt basierend auf dem MUK 112 unter Verwendung der Zufallszahl die Authentifizierungsinformationen der Host-Vorrichtung 300 und zwingt die Aufzeichnungsspeichervorrichtung 1000 dazu, unter Verwendung der Zufallszahl die Authentifizierungsinformationen 141 zu erzeugen. Unterschiedliche Authentifizierungsinformationen können dementsprechend jedes Mal aufgrund eines Verwendens einer Zufallszahl erzeugt werden, wenn die Aufzeichnungsspeichervorrichtung 1000 authentifiziert wird. Ein Erzeugen von unterschiedlichen Authentifizierungsinformationen jedes Mal, wenn die Aufzeichnungsspeichervorrichtung 1000 authentifiziert wird, erhöht eine Authentifizierungssicherheit.
  • Die Host-Vorrichtung 300 gemäß dem aktuellen Ausführungsbeispiel erzeugt unter Verwendung des MUK 112 einen Verschlüsselungsschlüssel und verschlüsselt unter Verwendung des Verschlüsselungsschlüssels Benutzerdaten, wie zum Beispiel einen Film oder Musik. Da die Host-Vorrichtung 300 gemäß dem aktuellen Ausführungsbeispiel Daten, die in der Aufzeichnungsspeichervorrichtung 1000 aufzuzeichnen sind, unter Verwendung eines Verschlüsselungsschlüssels, der basierend auf dem MUK der Aufzeichnungsspeichervorrichtung 1000 erzeugt wird, verschlüsselt, selbst wenn die verschlüsselten Daten zu einer anderen Aufzeichnungsvorrichtung als der Aufzeichnungsspeichervorrichtung 1000 kopiert werden, ist es schwierig, wenn nicht unmöglich, die kopierten Daten zu entschlüsseln.
  • Die Host-Vorrichtung 300 kann beispielsweise unter Verwendung eines Schlüssels A, der basierend auf einem MUK einer ersten Speichervorrichtung erzeugt wird, Filminhalte symmetrisch verschlüsseln und die verschlüsselten Filminhalte in einer ersten Speichervorrichtung 100 aufzeichnen. In diesem Fall können, selbst wenn die verschlüsselten Filminhalte zu einem zweiten Speicherbereich, der sich von dem ersten Speicherbereich unterscheidet, kopiert werden, die kopierten Filminhalte nicht entschlüsselt werden und können somit nicht wieder hergestellt werden. Dies liegt daran, dass die Host-Vorrichtung 300 basierend auf einem MUK der zweiten Speichervorrichtung, der sich von dem MUK der ersten Speichervorrichtung unterscheidet, einen Schlüssel B erzeugen wird, um die verschlüsselten Filminhalte, die zu der zweiten Speichervorrichtung kopiert sind, zu entschlüsseln. Die Schlüssel A und B unterscheiden sich somit offensichtlich voneinander.
  • Da ein MUK einer Abspeichervorrichtung, in der verschlüsselte Daten aufzuzeichnen sind, nie in einem nicht verschlüsselten Zustand bei dem aktuellen Ausführungsbeispiel durchsickert, versteht es sich von selbst, dass das aktuelle Ausführungsbeispiel ein Verfahren eines Erzeugens eines Datenverschlüsselungsschlüssels, der vor einer Piraterie abschreckt oder diese verhindern kann, liefert.
  • Die Host-Vorrichtung 300 gemäß dem aktuellen Ausführungsbeispiel weist ferner eine Datenverschlüsselungsschlüssel-Erzeugungseinheit 316, die basierend auf dem erhaltenen MUK 112 einen Datenverschlüsselungsschlüssel erzeugt, auf. Auf den Datenverschlüsselungsschlüssel ist im Folgenden als eine Authentifizierungsresultat-ID 303 Bezug genommen.
  • Die Host-Vorrichtung 300 gemäß dem aktuellen Ausführungsbeispiel kann ferner eine Datenverschlüsselungseinheit 318, die unter Verwendung der Authentifizierungsresultat-ID 303 Zieldaten verschlüsselt, aufweisen. Die Datenverschlüsselungseinheit 318 kann zusätzlich ferner eine Entschlüsselungseinheit (nicht gezeigt), die Daten, die unter Verwendung eines symmetrischen Verschlüsselungsalgorithmus verschlüsselt sind, unter Verwendung der Authentifizierungsresultat-ID 303 entschlüsselt, aufweisen. Die verschlüsselten Zieldaten werden über die Schnittstelleneinheit 310 zu der Speichervorrichtung 1000 geliefert und in dem Benutzerbereich des Speicherelements 100 aufgezeichnet.
  • Zusammenfassend erhält die Host-Vorrichtung 300 gemäß dem aktuellen Ausführungsbeispiel von der Aufzeichnungsspeichervorrichtung 1000 den EMUK 122, erzeugt den MUK 112, authentifiziert unter Verwendung des MUK 112 die Aufzeichnungsspeichervorrichtung 1000 und erzeugt die Authentifizierungsresultat-ID 303 für eine Datenverschlüsselung. Daten, die unter Verwendung der Authentifizierungsresultat-ID 303 verschlüsselt werden, werden in der Speichervorrichtung 100, die den MUK 112 aufzeichnet, aufgezeichnet.
  • Eine Speichervorrichtung 400, die einen MUK schützt, gemäß einem sechsten Ausführungsbeispiel ist im Folgenden unter Bezugnahme auf 10 beschrieben. Bezug nehmend auf 10 kann die Aufzeichnungsspeichervorrichtung 400 gemäß dem aktuellen Ausführungsbeispiel drei Aufzeichnungsbereiche, das heißt einen Bereich 410 eines Typs 1, einen Bereich 420 eines Typs 2 und einen Bereich 430 eines Typs 3, aufweisen.
  • Der Bereich 410 eines Typs 1 zeichnet einen MUK 112 auf und auf denselben wird durch eine Host-Vorrichtung 300 oder eine Steuerung 200 durch eine sichere Logik (nicht gezeigt) zugegriffen. Das heißt, obwohl es nicht in 10 gezeigt ist, dass durch die sichere Logik (nicht gezeigt) auf den Bereich 410 eines Typs 1 nur lesbar zugegriffen werden kann. Die sichere Logik liest Daten, die in dem Bereich 410 eines Typs 1 aufgezeichnet sind und verschlüsselt die gelesenen Daten. Der Bereich 410 eines Typs 1 kann ferner eine Mehrzahl von Ersatzschlüsseln 113 aufzeichnen. Die Ersatzschlüssel 113 können erste bis Nte Ersatzschlüssel, Ersatzschlüssel #0 bis Ersatzschlüssel #N – 1, aufweisen, wobei N eine gewünschte (oder alternativ eine vorbestimmte) Zahl von Ersatzschlüsseln ist.
  • Auf den Bereich 420 eines Typs 2 kann durch die Host-Vorrichtung 300 oder die Steuerung 200 nur lesend zugegriffen werden, und derselbe zeichnet einen EMUK 122, der durch Verschlüsseln des MUK 112 erhalten wird, auf. Der Bereich 420 eines Typs 2 kann ferner einen Ersatzschlüsselbehälter 126 aufzeichnen, der eine Verkäufer-ID 124 einer Speichervorrichtung 400 und eine Mehrzahl von Ersatzschlüsselindizes 125, die jeweils den Ersatzschlüsseln 113 entsprechen, aufweist. Der Ersatzschlüsselindex #0 entspricht hier einem Ersatzschlüssel #0. Der Ersatzschlüsselindex #1 entspricht einem Ersatzschlüssel #1, der Ersatzschlüsselindex #2 entspricht einem Ersatzschlüssel #2, ..., der Ersatzschlüsselindex #N – 1 entspricht einem Ersatzschlüssel #N – 1. Die Ersatzschlüsselindizes des Ersatzschlüsselbehälters 126 können zu der Host-Vorrichtung 300 ausgegeben werden, sodass die Host-Vorrichtung 300 ihre Authentifizierungsinformationen erzeugen kann. Gemäß einem Ausführungsbeispiel kann der Ersatzschlüsselbehälter 126 in dem Bereich 430 eines Typs 3 anstatt dem Bereich 420 eines Typs 2 aufgezeichnet sein.
  • Jeder Ersatzschlüsselindex ist Daten, die einen Faktor für jeden Ersatzschlüssel enthalten. Wenn jeder Ersatzschlüsselindex in einer Kombination mit zusätzlichen Informationen interpretiert wird, kann ein entsprechender Ersatzschlüssel erhalten werden. Wie im Vorhergehenden beschrieben ist, kann der MUK 112 aus dem EMUK 122 erhalten werden. Obwohl die Speichervorrichtung 400 gemäß dem aktuellen Ausführungsbeispiel daher keine Daten ausgibt, die in dem Bereich 410 eines Typs 1 aufgezeichnet sind, liefert dieselbe Daten, die entschlüsselt werden können, um die Daten, die in dem Bereich 410 eines Typs 1 aufgezeichnet sind, durch den Bereich 420 eines Typs 2 zu erhalten.
  • Der EMUK 122 kann bei einem Authentifizierungsverfahren der Speichervorrichtung 400 durch die Host-Vorrichtung 300 verwendet sein. Ein Ersatzschlüssel 113, der durch die Host-Vorrichtung 300 ausgewählt wird, kann ferner bei dem Authentifizierungsverfahren der Speichervorrichtung 400 durch die Host-Vorrichtung 300 verwendet sein.
  • Der MUK und die Ersatzschlüssel 113 können durch einen Speicherverkäufer bei dem Verfahren eines Herstellens eines Speicherelements, insbesondere in einem Wafer-Zustand, programmiert werden. Der EMUK und die Ersatzschlüsselindizes 125 können ferner durch den Speicherverkäufer in dem Wafer-Zustand programmiert werden.
  • Durch die Host-Vorichtung 300 oder die Steuerung 200 kann letztlich auf den Bereich 430 eines Typs 3 lesend schreibend zugegriffen werden. Der Bereich 430 eines Typs 3 kann ferner einen ersten Entschlüsselungsschlüsselblock 132, der eine Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln 131 aufweist, aufzeichnen. Hier kann jeder der verschlüsselten ersten Entschlüsselungsschlüssel 131 einem entsprechenden Host-Vorrichtungs-Verkäufer zugeteilt sein. Ein verschlüsselter erster Entschlüsselungsschlüssel #0 kann beispielsweise einem Host-Vorrichtungs-Verkäufer X zugeteilt sein, und ein verschlüsselter erster Entschlüsselungsschlüssel #1 kann einem Host-Vorrichtungs-Verkäufer Y zugeteilt sein.
  • Wie im Vorhergehenden beschrieben ist, ist ein erster Entschlüsselungsschlüssel verwendet, um den EMUK 122 in den MUK 112 zu entschlüsseln. Der erste Entschlüsselungsschlüsselblock 132 und der EMUK 122 können somit zu der Host-Vorrichtung 300 ausgegeben werden, sodass die Host-Vorrichtung 300 den MUK 112 erhalten kann.
  • Der erste Entschlüsselungsschlüsselblock 132, der in dem Bereich 430 eines Typs 3 aufgezeichnet ist, kann durch einen Verkäufer, der eine Speicherkarte oder einen Speicher für einen universellen seriellen Bus (USB) unter Verwendung des Speicherelements herstellt, programmiert werden.
  • Im Folgenden ist eine Aufzeichnungsspeichervorrichtung 400a, die einen MUK gemäß einem siebten Ausführungsbeispiel der vorliegenden Erfindung schützt, unter Bezugnahme auf 11 beschrieben. Die Aufzeichnungsspeichervorrichtung 400a gemäß diesem Ausführungsbeispiel weist zwei oder mehr Speichervorrichtungen auf. Die Aufzeichnungsspeichervorrichtung 400a, die in 11 dargestellt ist, weist beispielsweise vier Speichervorrichtungen 401 bis 404 auf. Die Aufzeichnungskapazität der Aufzeichnungsspeichervorrichtung 400a ist die Summe von Aufzeichnungskapazitäten der Speichervorrichtungen 401 bis 404, die die Speichervorrichtung 400a in sich aufweist.
  • Jede der Speichervorrichtungen 401 bis 404, die die Speichervorrichtung 400a in sich aufweist, kann ein nicht flüchtiger Speicher sein und kann ein Chip oder eine Baugruppe sein, die einen NICHT-UND-Flash-Speicher, einen NICHT-ODER-FLASH-Speicher, einen PRAM, einen MRAM oder einen RRAM als ein Aufzeichnungsmedium verwendet. Die Speichervorrichtungen 401 bis 404 können an einem Substrat (nicht gezeigt), das die Speichervorrichtung 400a in sich aufweist, angebracht sein.
  • Die Speichervorrichtungen 401 bis 404, die eine Speichervorrichtung 400a in sich aufweist, können nicht flüchtige Speicher des gleichen Typs oder unterschiedlicher Typen sein und können die gleichen oder unterschiedliche Aufzeichnungskapazitäten haben.
  • Die Speichervorrichtungen 401 bis 404, die eine Speichervorrichtung 400a in sich aufweist, werden durch eine externe Vorrichtung, die die Speichervorrichtung 400a verwendet, als eine Aufzeichnungsvorrichtung betrachtet.
  • Bezug nehmend auf 11 kann jede der Speichervorrichtungen 401 bis 404, die die Speichervorrichtung 400a in sich aufweist, einen Bereich 410 eines Typs 1 und einen Bereich 420 eines Typs 2 aufweisen. Ein Bereich 430 eines Typs 3 kann andererseits durch alle Speichervorrichtungen 401 bis 404, die die Speichervorrichtung 400a in sich aufweist, gebildet sein. Das heißt der Bereich 430 eines Typs 3 kann ein logischer Aufzeichnungsraum sein, der aus Aufzeichnungsräumen zusammengesetzt ist, die die physisch getrennten Speichervorrichtungen 401 bis 404 in sich aufweisen.
  • Im Gegensatz zu den Speichervorrichtungen 401 bis 404, die die Speichervorrichtung 400a von 11 in sich aufweist, kann jedes Speicherelement, das eine Speichervorrichtung gemäß einem Ausführungsbeispiel in sich aufweist, einen Bereich eines Typs 1, einen Bereich eines Typs 2 und einen Bereich eines Typs 3 aufweisen. Die Speichervorrichtung 400a gemäß dem aktuellen Ausführungsbeispiel kann zusätzlich ferner einen Benutzerbereich aufweisen, der durch alle Speicherelemente, die darin umfasst sind, gebildet ist. Das heißt der Benutzerbereich kann ein logischer Aufzeichnungsraum sein, der aus Aufzeichnungsräumen zusammengesetzt ist, die die physisch getrennten Speicherelemente in sich aufweisen. Der Benutzerbereich kann Benutzerdaten, die durch eine externe Vorrichtung geliefert werden, aufzeichnen und kann ein Bereich sein, auf den lesend schreibend zugegriffen werden kann.
  • Ob eine externe Vorrichtung auf den Bereich 410 eines Typs 1, den Bereich 420 eines Typs 2 und den Bereich 430 eines Typs 3 und Daten, die in sowohl dem Bereich 410 eines Typs 1, dem Bereich 420 eines Typs 2 als auch dem Bereich 430 eines Typs 3 aufgezeichnet sind, zugreifen kann, wurde im Vorhergehenden bei dem sechsten Ausführungsbeispiel bereits beschrieben, und eine wiederholte Beschreibung davon ist somit weggelassen.
  • Im Folgenden ist unter Bezugnahme auf 12 ein Verfahren, durch das eine Host-Vorrichtung einen MUK erhält, gemäß einem achten Ausführungsbeispiel beschrieben.
  • Bezug nehmend auf 12 wählt eine Host-Vorrichtung 300 einen einer Mehrzahl von verschlüsselten ersten Verschlüsselungsschlüsseln, die ein erster Entschlüsselungsschlüsselblock 132, der in einem Bereich 430 eines Typs 3 einer Speichervorrichtung 400 aufgezeichnet ist, in sich aufweist, durch Bezug Nehmen auf einen zweiten Entschlüsselungsschlüsselindex 305, der im Voraus in der Host-Vorrichtung 300 aufgezeichnet wird (Schritt S1010), aus. Der erste Entschlüsselungsschlüsselblock 132 kann einen verschlüsselten ersten Entschlüsselungsschlüssel für jeden Verkäufer von externen Vorrichtungen, wie zum Beispiel einer Host-Vorrichtung 300, aufweisen, und der zweite Entschlüsselungsschlüsselindex 305 kann für den Verkäufer der Vorrichtung 300 einen eindeutigen Wert haben. Die Schlüssel und Indizes können alternativ auf einer Vorrichtungsbasis sein. Der zweite Entschlüsselungsschlüsselindex 305 kann vorzugsweise für jeden Host-Vorrichtungs-Verkäufer einen eindeutigen Wert haben.
  • Die Host-Vorrichtung 300 entschlüsselt unter Verwendung eines zweiten Entschlüsselungsschlüssels 301, der in der Host-Vorrichtung 300 aufgezeichnet ist, als ein Entschlüsselungsschlüssel den ausgewählten verschlüsselten ersten Entschlüsslungsschlüssel (Schritt S1020).
  • Das Bezugszeichen AES_D, das in 12 gezeigt ist, gibt an, dass ein symmetrischer AES-Entschlüsselungsalgorithmus als ein Entschlüsselungsalgorithmus verwendet ist. Im Folgenden ist das AES_D, das in den Zeichnungen gezeigt ist, so zu verstehen, und somit ist eine wiederholte Beschreibung davon weggelassen. Das AES_D kann ferner einen Entschlüsselungsschritt angeben, der unter Verwendung eines anderen Entschlüsselungsalgorithmus als dem symmetrischen AES-Entschlüsselungsalgorithmus durchgeführt wird. Ein Bezugszeichen AES_E, das in den Zeichnungen gezeigt ist, gibt an, dass ein symmetrischer AES-Verschlüsselungsalgorithmus verwendet ist. Wie AES_D kann AES_E ferner einen Verschlüsselungsschritt angeben, der unter Verwendung eines anderen symmetrischen Verschlüsselungsalgorithmus als dem symmetrischen AES-Verschlüsselungsalgorithmus durchgeführt wird. Das AES_E, das in den Zeichnungen gezeigt ist, ist im Folgenden so zu verstehen, und somit ist eine wiederholte Beschreibung weggelassen.
  • Die Host-Vorrichtung 300 entschlüsselt unter Verwendung des entschlüsselten ersten Entschlüsselungsschlüssels einen EMUK 122, der in einem Bereich 420 eines Typs 2 einer Speichervorrichtung 400 aufgezeichnet ist, wodurch ein MUK 112 erhalten wird (Schritt S1022).
  • Im Folgenden sind unter Bezugnahme auf 13 ein Verfahren, durch das eine Host-Vorrichtung eine Speichervorrichtung authentifiziert, und ein Verfahren, durch das die Host-Vorrichtung einen Schlüssel zum Verschlüsseln von Daten, wenn die Speichervorrichtung erfolgreich authentifiziert ist, erzeugt, gemäß einem neunten Ausführungsbeispiel beschrieben.
  • Zuerst ist ein Verfahren, durch das eine Speichervorrichtung 400 oder eine Aufzeichnungsspeichervorrichtung 100 gemäß dem aktuellen Ausführungsbeispiel Authentifizierungsinformationen erzeugt, beschrieben. Obwohl 13 andeutet, dass die Host-Vorrichtung 300 die Speichervorrichtung 400 authentifiziert, kann die Host-Vorrichtung 300 ferner die Aufzeichnungsspeichervorrichtung 1000 authentifizieren, die die Speichervorrichtung 400 hat. Bei diesem Ausführungsbeispiel übermittelt eine Speichersteuerung lediglich Befehle und Daten von dem Host zu der Speichervorrichtung oder umgekehrt.
  • Die Speichervorrichtung 400 empfängt Informationen über die Zahl eines Zielersatzschlüssels von einer Host-Vorrichtung 300. Diese Zahl kann beispielsweise einem Typ einer Anwendung oder eines Inhalts (zum Beispiel einem Film etc.) zugeordnet sein, der aus der Speichervorrichtung 400 wieder herzustellen oder darin aufzuzeichnen ist. Die Speichervorrichtung 400 wählt dann einen Ersatzschlüssel, der der Zahl des Zielersatzschlüssels entspricht, aus einer Mehrzahl von Ersatzschlüsseln 113 aus (Schritt S1120). In 13 wird ein iter Ersatzschlüssel ausgewählt. Da auf einen Bereich 410 eines Typs 1 lediglich durch eine sichere Logik (nicht gezeigt) zugegriffen werden kann, können die Ersatzschlüssel 113 lediglich durch die sichere Logik gelesen werden.
  • Die Speichervorrichtung 400 verschlüsselt unter Verwendung einer Ersatzindexvariantenzahl 307, die von der Host-Vorrichtung 300 empfangen wird, den ausgewählten Ersatzschlüssel und erzeugt eine Ersatzschlüsselvariante (Schritt S1122). Ersatzschlüsselvariante = AES_E (Ersatzschlüssel, Ersatzschlüsselvariantenzahl).
  • Die Speichervorrichtung 400 empfängt dann eine Zufallszahl, die durch die Host-Vorrichtung 300 erzeugt wird (Schritt S1113). Die Speichervorrichtung 400 verschlüsselt unter Verwendung der Zufallszahl die Ersatzschlüsselvariante und erzeugt einen Sitzungsschlüssel (Schritt S1124). Sitzungsschlüssel = AES_E (Ersatzschlüsselvariante, Zufallszahl).
  • Die Speichervorrichtung 400 erzeugt basierend auf einem MUK 112 und dem Sitzungsschlüssel Authentifizierungsinformationen (Schritt S1126). Die Authentifizierungsinformationen – AES_G (Sitzungsschlüssel, MUK). Die Speichervorrichtung 400 gibt die Authentifizierungsinformationen zu der Host-Vorrichtung 300 aus.
  • Das Erzeugen der Authentifizierungsinformationen der Speichervorrichtung 400 (Schritt S1126) kann durch eine gewünschte (oder alternativ eine vorbestimmte) Einwegfunktion AES_G erreicht werden, die den MUK und den Sitzungsschlüssel als Eingaben verwendet. Die Einwegfunktion verschlüsselt unter Verwendung des Sitzungsschlüssels der Speichervorrichtung 400 als ein Schlüssel (AES_E) den MUK 112 und erzeugt dann durch Durchführen eines EXCLUSIV-ODER(XOR-)Schritts an dem Resultat einer Verschlüsselung und dem MUK 112 die Authentifizierungsinformationen der Speichervorrichtung 100b. Es ist rechentechnisch unmöglich, einen entsprechenden Eingangswert der Einwegfunktion zu jedem Ausgangswert der Einwegfunktion zu finden. Der AES_G kann als „AES_G(X1, X2) = AES_E(X1, X2) XOR X2 ausgedrückt sein, wobei X2 der MUK 112 ist, und X1 der Sitzungsschlüssel bei dem Schritt S1126 ist”.
  • Ein Bezugszeichen AES_G, das in 13 gezeigt ist, gibt einen Einwegfunktionsschritt an, der zwei Schritte betrifft, das heißt einen Verschlüsselungsschritt und einen XOR-Schritt. Im Folgenden ist das AES_G, das in den Zeichnungen gezeigt ist, so zu verstehen, und somit ist eine wiederholte Beschreibung weggelassen.
  • Ein Verfahren, durch das die Host-Vorrichtung 300 die Speichervorrichtung 400 authentifiziert, ist im Folgenden beschrieben.
  • Die Host-Vorrichtung 300 liest einen Ersatzschlüsselbehälter 126, der in einem Bereich 420 eines Typs 2 der Speichervorrichtung 400 aufgezeichnet ist, analysiert Daten, die in dem Ersatzschlüsselbehälter 126 enthalten sind, durch Bezug Nehmen auf eine Zielersatzschlüsselzahl #i, die für diese Authentifizierung festgelegt ist, und wählt einen einer Mehrzahl von Ersatzschlüsselvariantenindizes 125, die der Ersatzschlüsselbehälter 126 in sich aufweist, aus (Schritt S1110). Wie vorausgehend erwähnt ist, können beispielsweise die Indizes dem Verkäufer der Speichervorrichtung 400 zugeordnet sein, und jeder Index kann einer anderen Ersatzschlüsselzahl zugeordnet sein. Wenn ein iter Zielersatzschlüssel für diese Authentifizierung, wie in 13 gezeigt ist, festgelegt ist, kann beispielsweise die Host-Vorrichtung 300 einen jten Ersatzschlüsselvariantenindex als ein Resultat eines Analysierens von Daten, die in dem Ersatzschlüsselbehälter 126 enthalten sind, auswählen.
  • Die Host-Vorrichtung 300 wählt eine Ersatzschlüsselvariante, die durch den ausgewählten jten Ersatzschlüsselvariantenindex angegeben ist, aus einem Ersatzschlüsselvariantensatz 306, der darin im Voraus aufgezeichnet wird, aus (Schritt S1112). Der Ersatzschlüsselvariantensatz 306 kann viele Ersatzschlüsselvarianten haben, von denen jede einem entsprechenden Ersatzschlüsselvariantenindex zugewiesen ist und ein eindeutiger Wert für jeden Host-Vorrichtungs-Verkäufer oder für jede Host-Vorrichtung 300 ist. Der Satz von Ersatzschlüsselvarianten unterscheidet sich von möglichen Werten des AES (Ersatzschlüssel, Ersatzschlüsselvariantenzahl). Der Ersatzschlüsselindex, der aus der Zielersatzschlüsselzahl ausgewählt ist, liefert einen Index zu einer Ersatzschlüsselvariante, die gleich derselben ist, die bei der Speichervorrichtung bei dem Schritt S1122 unter der Annahme eines autorisierten Schritts der Speichervorrichtung 300 und der Host-Vorrichtung 400 erzeugt wird.
  • Die Host-Vorrichtung 300 erzeugt eine Zufallszahl (Schritt S1114) und verschlüsselt unter Verwendung der erzeugten Zufallszahl als ein Schlüssel den Wert der ausgewählten Ersatzschlüsselvariante und erzeugt dadurch einen Sitzungsschlüssel.
  • Die Host-Vorrichtung 300 erzeugt basierend auf dem MUK 112, der im Voraus erhalten wird, und dem Sitzungsschlüssel davon Authentifizierungsinformationen (Schritt S1118). Wie das Erzeugen der Authentifizierungsinformationen der Speichervorrichtung 400 kann das Erzeugen der Authentifizierungsinformationen der Host-Vorrichtung 300 durch eine gewünschte (oder alternativ eine vorbestimmte) Einwegfunktion erreicht werden, die den MUK 112 und den Sitzungsschlüssel der Host-Vorrichtung 300 als Eingaben nimmt. Die Einwegfunktion, die verwendet ist, um die Authentifizierungsinformationen der Speichervorrichtung 400 zu erzeugen, kann hier gleich der Einwegfunktion sein, die verwendet ist, um die Authentifizierungsinformationen der Host-Vorrichtung 300 zu erzeugen.
  • Die Host-Vorichtung 300 authentifiziert durch Vergleichen der Authentifizierungsinformationen der Speichervorrichtung 400 mit den Authentifizierungsinformationen der Host-Vorrichtung 300 die Speichervorrichtung 400 (Schritt S1128). Wenn beispielsweise die Authentifizierungsinformationen der Speichervorrichtung 400 gleich den Authentifizierungsinformationen der Host-Vorrichtung 300 sind, bestimmt die Host-Vorrichtung die Speichervorrichtung 400 als erfolgreich authentifiziert. Wenn nicht, dann bestimmt die Host-Vorrichtung, dass die Speichervorrichtung 400 nicht authentifiziert ist.
  • Wenn die Speichervorrichtung 400 durch die Host-Vorrichtung 300 erfolgreich authentifiziert wird, kann die Host-Vorrichtung 300 als einen Verschlüsselungsschlüssel zum Verschlüsseln von Daten eine Authentifizierungsresultat-ID erzeugen. Die Host-Vorrichtung 300 kann genauer als einen Datenverschlüsselungsschlüssel eine Authentifizierungsresultat-ID basierend auf dem MUK 112 und einem anwendungsspezifischen geheimen Wert (ASSV; ASSV = application specific secret value) erzeugen (Schritt S1130).
  • Der ASSV kann jeder Anwendung, die auf der Host-Vorrichtung 300 läuft, gegeben sein. Unterschiedliche ASSV können beispielsweise einer Musikwiedergabeanwendung, einer Videowiedergabeanwendung und einer Softwareeinrichtungsanwendung gegeben sein. Der ASSV kann für jeden Typ von Daten, die verschlüsselt sind, oder für jede Lieferanten-ID der Daten, die verschlüsselt sind, einen eindeutigen Wert haben. Der Typ der Daten kann beispielsweise ein Inhaltstyp sein, das heißt, ob die Daten ein Film, Musik oder Software sind, und der Anbieter der Daten kann ein Inhaltsanbieter sein. Der ASSV kann vorzugsweise für jeden Typ der Daten, die verschlüsselt sind, einen ASSV haben.
  • Das Erzeugen der Authentifizierungsresultat-ID (Schritt S1130) kann durch Eingeben des MUK 112 und des ASSV in eine gewünschte (oder alternativ eine vorbestimmte) Einwegfunktion und Ausgeben eines Resultatswerts als eine Authentifizierungsresultat-ID erreicht werden. Die Einwegfunktion kann unter Verwendung des ASSV als ein Schlüssel (AES_E) den MUK 112 verschlüsseln und dann an dem Resultat einer Verschlüsselung und dem MUK einen XOR-Schritt durchführen.
  • Ein Verfahren, durch das eine Host-Vorrichtung eine Speichervorrichtung authentifiziert und verschlüsselte Inhalte aufzeichnet, ist gemäß einem zehnten Ausführungsbeispiel im Folgenden unter Bezugnahme auf 14 beschrieben.
  • Bezug nehmend auf 14 authentifiziert eine Host-Vorrichtung 300 unter Verwendung des Verfahrens von 13 eine Speichervorrichtung 400 (Schritt S1202). Wenn die Speichervorrichtung 400 nicht authentifiziert wird (Schritt S1204) kann eine Mitteilung eines Authentifizierungsmangels geliefert werden (Schritt S1206). Die Speichervorrichtung 400 kann, wenn dieselbe nicht erfolgreich authentifiziert wird, keine sicheren Inhalte verwenden, kann jedoch noch verwendet werden, um allgemeine Daten ein-/auszugeben.
  • Wenn die Speichervorrichtung 400 erfolgreich authentifiziert ist, wird durch Verschlüsseln des MUK gemäß dem AES_G unter Verwendung als ASSV, wie es im Vorhergehenden hinsichtlich 13 erläutert ist, eine Authentifizierungsresultat-ID erzeugt. Zielinhalte 308 werden unter Verwendung der Authentifizierungsresultat-ID als ein Verschlüsselungsschlüssel verschlüsselt (Schritt S1208), und die verschlüsselten Inhalte 309 werden in der Speichervorrichtung 400 aufgezeichnet.
  • Im Folgenden ist eine Aufzeichnungsspeichervorrichtung 1000 gemäß verschiedener Ausführungsbeispiele unter Bezugnahme auf 15 beschrieben.
  • Bezug nehmend auf 15 weist eine Aufzeichnungsspeichervorrichtung 1000 eine nicht flüchtige Speichervorrichtung 1100 und eine Steuerung 1200 auf. Die Speichervorrichtung 100, 100a, 400 oder 400a, die im Vorhergehenden beschrieben ist, kann bei dem Aufzeichnungsspeichersystem 1000 von 15 implementiert sein. Die nicht flüchtige Speichervorrichtung 1100 kann nämlich eine oder mehrere Speichervorrichtungen (zum Beispiel Speichervorrichtungen 100, 100a, 400, 400a) aus den im Vorhergehenden beschriebenen Ausführungsbeispielen aufweisen. Die im Vorhergehenden beschriebene Speichersteuerung 200 kann ähnlicherweise als die Steuerung 1200 konfiguriert sein.
  • Die Steuerung 1200 ist mit einem Host und der nicht flüchtigen Speichervorrichtung 1100 verbunden. Die Steuerung 1200 ist konfiguriert, um als Antwort auf eine Anfrage von dem Host auf die nicht flüchtige Speichervorrichtung 1100 zuzugreifen. Die Steuerung 1200 kann beispielsweise konfiguriert sein, um Lese-/Schreib-/Lösch-/Hintergrund-Schritte der nicht flüchtigen Speichervorrichtung 1100 zu steuern. Die Steuerung 1200 kann konfiguriert sein, um zwischen der nicht flüchtigen Speichervorrichtung 1100 und dem Host eine Schnittstelle vorzusehen. Die Steuerung 1200 kann konfiguriert sein, um Firmware zum Steuern der nicht flüchtigen Speichervorrichtung 1100 zu treiben.
  • Die Steuerung 1200 weist ferner gut bekannte Komponenten, wie zum Beispiel einen Zufallszugriffsspeicher (RAM), eine Verarbeitungseinheit, eine Host-Schnittstelle und eine Speicherschnittstelle auf. Der RAM ist als mindestens ein Arbeitsspeicher der Verarbeitungseinheit, ein Puffer-(englisch: cache)Speicher zwischen der nicht flüchtigen Speichervorrichtung 1100 und dem Host oder ein Zwischenspeicher zwischen der nicht flüchtigen Speichervorrichtung 1100 und dem Host verwendet. Die Verarbeitungseinheit steuert den Gesamtbetrieb der Steuerung 1200.
  • Die Host-Schnittstelle weist ein Protokoll für einen Datenaustausch zwischen dem Host und der Steuerung 1200 auf. Die Steuerung 1200 kann beispielsweise konfiguriert sein, um unter Verwendung von mindestens einem von verschiedenen Schnittstellenprotokollen, wie zum Beispiel einem USB-Protokoll, einem Multimediakarten-(MMC-; MMC = multimedia card)Protokoll, einem Peripheriekomponentenzwischenverbindungs-(PCI-; PCI = peripheral component interconnection)Protokoll, einem PCI-Express-(PCI-E-)Protokoll, einem Protokoll einer Befestigung einer fortgeschrittenen Technologie (ATA; ATA = advanced technology attachmant), einem Seriell-ATA-Protokoll, einem Parallel-ATA-Protokoll, einem Kleiner-Computer-kleine-Schnittstelle-(SCSI-; SCSI = small computer small interface)Protokoll, einem Protokoll einer verbesserten Schnittstelle einer kleinen Platte (ESDI; ESDI = enhanced small disk Interface) und einem Protokoll einer Elektronik eines integrierten Laufwerks (IDE; IDE integrated device electronics), mit einer externen Vorrichtung (zum Beispiel dem Host) zu kommunizieren. Die Speicherschnittstelle kann mit der nicht flüchtigen Speichervorrichtung 1100 schnittstellenmäßig verbunden sein. Die Speicherschnittstelle weist beispielsweise eine NICHT-UND-Schnittstelle oder eine NICHT-ODER-Schnittstelle auf.
  • Die Aufzeichnungsspeichervorrichtung 1000 kann ferner einen Fehlerkorrekturblock (zum Beispiel in der Speichersteuerung 1200) aufweisen. Der Fehlerkorrekturblock kann konfiguriert sein, um einen Fehler in Daten, die aus der nicht flüchtigen Speichervorrichtung 1100 gelesen werden, durch Verwenden eines Fehlerkorrekturcodes (ECC; ECC = error correction code) zu erfassen und zu korrigieren. Der Fehlerkorrekturblock kann beispielsweise als eine Komponente der Steuerung 1200 vorgesehen sein. Der Fehlerkorrekturblock kann ferner als eine Komponente der nicht flüchtigen Speichervorrichtung 1100 vorgesehen sein.
  • Die Steuerung 1200 und die nicht flüchtige Speichervorrichtung 1100 können in einer Halbleitervorrichtung integriert sein. Als ein Beispiel können die Steuerung 1200 und die nicht flüchtige Speichervorrichtung 1100 in einer Halbleitervorrichtung integriert sein, um eine Speicherkarte aufzuweisen. Die Steuerung 1200 und die nicht flüchtige Speichervorrichtung 1100 können beispielsweise in einer Halbleitervorrichtung integriert sein, um eine Personalcomputer-(PC-)Karte (zum Beispiel der internationalen Vereinigung für eine Personalcomputerspeicherkarte (PCMCIA; PCMCIA = Personal Computer Memory Card International Association)), eine kompakte Flash-Karte (CF), eine intelligente Medienkarte SM/SMC (SM/SMC = smart media card), einen Speicherstab (englisch: memory stick), eine Multimediakarte (zum Beispiel MMC, RS-MMC und MMCmicro), eine SD-Karte (zum Beispiel SD, miniSD, microSD und SDHC) oder einen universellen Flash-Speicher (UFS; UFS = universal flash storage) aufzuweisen.
  • 16 ist ein Blockdiagramm, das eine Speicherkarte gemäß einem Ausführungsbeispiel der erfinderischen Konzepte schematisch darstellt. Bezug nehmend auf 16 kann eine Speicherkarte 2000 mindestens einen Flash-Speicher 2100, eine Zwischenspeichervorrichtung 2200 oder eine Speichersteuerung 2300 zum Steuern des Flash-Speichers 2100 und der Zwischenspeichervorrichtung 2200 aufweisen. Der Flash-Speicher 2100 kann die nicht flüchtige Speichervorrichtung (zum Beispiel die Speichervorrichtung 100, 100a, 400, 400a), die hinsichtlich eines der vorhergehenden Ausführungsbeispiele beschrieben ist, sein. Die Speichersteuerung 2300 kann die Speichersteuerung 200, die hinsichtlich eines der vorhergehenden Ausführungsbeispiele beschrieben ist, sein.
  • Die Zwischenspeichervorrichtung 2200 kann verwendet sein, um Daten, die während des Betriebs der Speicherkarte 2000 erzeugt werden, vorübergehend aufzuzeichnen. Die Zwischenspeichervorrichtung 2200 kann unter Verwendung eines DRAM oder eines SRAM implementiert sein. Die Speichersteuerung 2300 kann über eine Mehrzahl von Kanälen mit dem Flash-Speicher 2100 verbunden sein. Die Speichersteuerung 2300 kann zwischen einen Host und den Flash-Speicher 2100 geschaltet sein. Die Speichersteuerung 2300 kann konfiguriert sein, um als Antwort auf eine Anfrage von dem Host auf den Flash-Speicher 2100 zuzugreifen.
  • Die Speichersteuerung 2300 kann mindestens einen Mikroprozessor 2310, eine Host-Schnittstelle 2320 und eine Flash-Schnittstelle 2330 aufweisen. Der Mikrocomputer 2310 kann konfiguriert sein, um Firmware zu betreiben. Die Host-Schnittstelle 2320 kann über ein Kartenprotokoll (zum Beispiel SD/MMC) für einen Datenaustausch zwischen dem Host und der Speicherkarte 2000 mit dem Host schnittstellenmäßig verbunden sein. Die Speicherkarte 2000 ist auf Multimediakarten (MMC), sichere Digitale (SD), miniSD, Speichersticks, Smartmedia und Transflash-Karten anwendbar.
  • Eine detaillierte Beschreibung der Speicherkarte 2000 ist in der US-Patentveröffentlichung Nr. 2010/0306583 offenbart, deren gesamter Inhalt hierin durch Bezugnahme aufgenommen ist.
  • 17 ist ein Blockdiagramm, das eine MoviNICHT-UND (engl.: MoviNAND) gemäß einem Ausführungsbeispiel der erfinderischen Konzepte schematisch darstellt. Bezug nehmend auf 17 kann eine moviNICHT-UND-Vorrichtung 3000 mindestens eine NICHT-UND-Flash-Speichervorrichtung 3100 und eine Steuerung 3200 aufweisen. Die MoviNICHT-UND-Vorrrichtung 3000 kann den MMC-4.4-(auf den als „eMMC” Bezug genommen ist)Standard unterstützen. Die Flash-Speichervorrichtung 3100 kann die nicht flüchtige Speichervorrichtung (zum Beispiel die Speichervorrichtung 100, 100a, 400, 400a), die hinsichtlich eines der vorhergehenden Ausführungsbeispiele beschrieben ist, sein. Die Steuerung 3200 kann die Speichersteuerung 200 sein, die hinsichtlich eines der vorhergehenden Ausführungsbeispiele beschrieben ist.
  • Die NICHT-UND-Flash-Speichervorrichtung 3100 kann eine NICHT-UND-Flash-Speichervorrichtung mit einer einfachen Datenrate (SDR; SDR = single data rate) oder eine NICHT-UND-Flash-Speichervorrichtung mit einer doppelten Datenrate (DDR; DDR = double data rate) sein. Bei exemplarischen Ausführungsbeispielen kann die NICHT-UND-Flash-Speichervorrichtung 3100 NICHT-UND-Flash-Speicherchips aufweisen. Hierin kann die NICHT-UND-Flash-Speichervorrichtung 3100 durch Stapeln der NICHT-UND-Flash-Speicherchips in einer Baugruppe (zum Beispiel FBGA, Kugelgitter-Array mit feiner Teilung (englisch: Fine-pitch Ball Grid Array) etc.) implementiert sein.
  • Die Steuerung 3200 kann über eine Mehrzahl von Kanälen mit der Flash-Speichervorrichtung 3100 verbunden sein. Die Steuerung 3200 kann mindestens einen Steuerungskern 3210, eine Host-Schnittstelle 3220 und eine NICHT-UND-Schnittstelle 3230 aufweisen. Der Steuerungskern 3210 kann einen Gesamtbetrieb der MoviNICHT-UND-Vorrichtung 3000 steuern.
  • Die Host-Schnittstelle 3220 kann konfiguriert sein, um zwischen der Steuerung 3210 und einem Host, der der Host 300, der hinsichtlich eines der vorhergehenden Ausführungsbeispiele beschrieben ist, sein kann, eine MMC-Schnittstelle zu realisieren. Die NICHT-UND-Schnittstelle 3230 kann konfiguriert sein, um zwischen der NICHT-UND-Flash-Speichervorrichtung 3100 und der Steuerung 3200 eine Schnittstelle zu bilden. Bei den exemplarischen Ausführungsbeispielen kann die Host-Schnittstelle 3220 eine parallele Schnittstelle (zum Beispiel eine MMC-Schnittstelle) sein. Bei anderen exemplarischen Ausführungsbeispielen kann die Host-Schnittstelle 3250 der Movi-NICHT-UND-Vorrichtung 3000 eine serielle Schnittstelle (zum Beispiel UHS-II, UFS etc.) sein.
  • Die MoviNICHT-UND-Vorrichtung 3000 kann von dem Host Leistungsversorgungsspannungen Vcc und Vccq empfangen. Hierin kann die NICHT-UND-Flash-Speichervorrichtung 3100 und die NICHT-UND-Schnittstelle 3230 mit der Leistungsversorgungsspannung Vcc (etwa 3 V) versorgt sein, während die Steuerung 3200 mit der Leistungsversorgungsspannung Vccq (etwa 1,8 V/3 V) versorgt sein kann. Bei exemplarischen Ausführungsbeispielen kann die MoviNICHT-UND-Vorrichtung 3000 optional mit einer externen hohen Spannung Vpp versorgt sein.
  • Die MoviNICHT-UND-Vorrrichtung 3000 gemäß einem Ausführungsbeispiel der erfinderischen Konzepte kann vorteilhaft sein, um Massendaten aufzuzeichnen, und kann ebenso eine verbesserte Lesecharakteristik haben. Die MoviNICHT-UND-Vorrichtung 3000 gemäß einem Ausführungsbeispiel der erfinderischen Konzepte ist auf kleine und Niederleistungsmobilerzeugnisse (zum Beispiel ein Galaxy S, ein i-Phone etc.) anwendbar.
  • Die MoviNICHT-UND-Vorrichtung 3000, die in 17 dargestellt ist, kann mit einer Mehrzahl von Leistungsversorgungsspannungen Vcc und Vccq versorgt sein. Die erfinderischen Konzepte sind jedoch nicht darauf begrenzt. Die MoviNICHT-UND-Vorrichtung 3000 kann konfiguriert sein, um eine Leistungsversorgungsspannung von 3,3 V zu erzeugen, die für eine NICHT-UND-Schnittstelle und einen NICHT-UND-Flash-Speicher geeignet ist, indem die Leistungsversorgungsspannung Vcc intern verstärkt oder geregelt wird. Ein internes Verstärken oder Regeln ist in dem US-Patent Nr. 7,092,308 offenbart, dessen gesamter Inhalt hierin durch Bezugnahme aufgenommen ist.
  • Die erfinderischen Konzepte sind auf ein Festkörperlaufwerk (SSD) anwendbar.
  • Bezug nehmend auf 18 kann eine Aufzeichnungsspeichervorrichtung 1000 als ein SSD (Festkörperlaufwerk) 1300 und eine Steuerung 1400 ausgeführt sein. Das SSD weist eine Speichervorrichtung gemäß einem der im Vorhergehenden beschriebenen Ausführungsbeispiele auf und zeichnet Daten in einem Halbleiterspeicher auf. Die Steuerung 1400 kann die Steuerung 200 gemäß einem der im Vorhergehenden beschriebenen Ausführungsbeispiele sein. Die Betriebsgeschwindigkeit des Hosts (zum Beispiel des Hosts 300 gemäß einem der vorhergehenden Ausführungsbeispiele), der mit der Aufzeichnungsspeichervorrichtung 1000 verbunden ist, kann sich wesentlich erhöhen.
  • 19 ist ein Blockdiagramm, das ein Festkörperlaufwerk gemäß einem Ausführungsbeispiel der erfinderischen Konzepte schematisch darstellt. Bezug nehmend auf 19 kann ein Festkörperlaufwerk (SSD) 4000 eine Mehrzahl von Flash-Speichervorrichtungen 4100 und eine SSD-Steuerung 4200 aufweisen. Die Flash-Speichervorrichtungen 4100 können die nicht flüchtige Speichervorrichtung (zum Beispiel die Speichervorrichtung 100, 100a, 400, 400a), die hinsichtlich eines der vorhergehenden Ausführungsbeispiele beschrieben ist, sein. Die Steuerung 4200 kann die Speichersteuerung 200, die hinsichtlich eines der vorhergehenden Ausführungsbeispiele beschrieben ist, sein.
  • Die Flash-Speichervorrichtungen 4200 können optional von außen mit einer hohen Spannung Vpp versorgt sein. Die SSD-Steuerung 4200 kann über eine Mehrzahl von Kanälen CH1 bis CHi mit den Flash-Speichervorrichtungen 4100 verbunden sein. Die SSD-Steuerung 4200 kann mindestens eine CPU 4210, eine Host-Schnittstelle 4220, einen Zwischenspeicher 4230 oder eine Flash-Schnittstelle 4240 aufweisen.
  • Unter der Steuerung der CPU 4210 kann die Host-Schnittstelle 4220 mit einem Host durch das Kommunikationsprotokoll Daten austauschen. Bei exemplarischen Ausführungsbeispielen kann das Kommunikationsprotokoll das Protokoll einer Befestigung mit einer fortgeschrittenen Technologie (ATA; ATA = Advanced Technology Attachment) aufweisen. Das ATA-Protokoll kann eine serielle Schnittstelle einer Befestigung mit einer fortschrittlichen Technologie (SATA), eine parallele Schnittstelle einer Befestigung mit einer fortschrittlichen Technologie (PAPA; PAPA = Parallel Advanced Technology Attachment), eine externe SATA-(ESATA-)Schnittstelle und dergleichen aufweisen. Bei anderen exemplarischen Ausführungsbeispielen kann das Kommunikationsprotokoll das Protokoll des universellen seriellen Busses (USB) aufweisen. Daten, die durch die Host-Schnittstelle 4220 von dem Host zu empfangen oder zu demselben zu übertragen sind, können unter der Steuerung der CPU 4210 durch den Zwischenspeicher 4230 befördert werden, ohne durch einen CPU-Bus zu gehen.
  • Der Zwischenspeicher 4230 kann verwendet sein, um Daten, die zwischen einer externen Vorrichtung und den Flash-Speichervorrichtungen 4100 übermittelt werden, vorübergehend aufzuzeichnen. Der Zwischenspeicher 4230 kann verwendet sein, um Programme, die durch die CPU 4210 auszuführen sind, aufzuzeichnen. Der Zwischenspeicher 4230 kann unter Verwendung eines SRAM oder eines DRAM implementiert sein. Die SSD-Steuerung 4200 kann den Zwischenspeicher 4230 in 19 in sich aufweisen. Die erfinderischen Konzepte sind jedoch nicht darauf begrenzt. Der Zwischenspeicher 4230 gemäß einem Ausführungsbeispiel der erfinderischen Konzepte kann außerhalb der SSD-Steuerung 4200 vorgesehen sein.
  • Die Flash-Schnittstelle 4240 kann konfiguriert sein, um zwischen der SSD-Steuerung 4200 und den Flash-Speichervorrichtungen 4100, die als Aufzeichnungsvorrichtungen verwendet sind, eine Schnittstelle zu bilden. Die Flash-Schnittstelle 4240 kann konfiguriert sein, um NICHT-UND-Flash-Speicher, Ein-NICHT-UND-Flash-Speicher, Mehrebenen-Flash-Speicher oder Einzelebenen-Flash-Speicher zu unterstützen.
  • Das SSD gemäß einem Ausführungsbeispiel der erfinderischen Konzepte kann durch Aufzeichnen von Zufallsdaten bei einem Programmbetrieb die Zuverlässigkeit von Daten verbessern. Eine detailliertere Beschreibung des SSD 4000 ist in dem US-Patent Nr. 8,027,194 und den US-Patentveröffentlichungen Nrn. 2007/0106836 und 2010/0082890 offenbart, deren gesamter Inhalt hierin durch Bezugnahme aufgenommen ist.
  • Als andere Beispiele (von denen einige im Vorhergehenden erwähnt sind) kann die Aufzeichnungsspeichervorrichtung 1000 auf Computer, ultramobile PC (UMPC) (UMPC = ultra-mobile PC), Arbeitsstationen (englisch: workstation), Netbooks, persönliche digitale Assistenten (PDA; PDA = personal digital assistant), tragbare Computer, Webtabletts, drahtlose Telefone, Mobiltelefone, intelligente Telefone (englisch: smart phones), E-Bücher (englisch: e-book), tragbare Multimediaspieler (PMP; PMP = portable multimedia player), tragbare Spielvorrichtungen, Navigationsvorrichtungen, Flugdatenschreiber (englisch: black box), Digitalkameras, dreidimensionale Fernsehgeräte, digitale Audioaufzeichnungsgeräte, digitale Audiospieler, digitale Bildaufzeichnungsgeräte, digitale Bildspieler, digitale Videoaufzeichnungsgeräte, digitale Videospieler, Vorrichtungen, die in der Lage sind, in drahtlosen Umgebungen Informationen zu übertragen/zu empfangen, eine von verschiedenen elektronischen Vorrichtungen, die ein Heimnetzwerk bilden, eine von verschiedenen elektrischen Vorrichtungen, die ein Computernetz bilden, eine von verschiedenen elektronischen Vorrichtungen, die ein Telematiknetz bilden, eine Hochfrequenzidentifizierungs-(RFID-; RFID = radio frequency identification)Vorrichtung oder eine von verschiedenen Komponenten, die ein Rechnersystem bilden, anwendbar sein.
  • 20 ist ein Blockdiagramm, das ein Rechnersystem, das ein SSD in 19 gemäß einem Ausführungsbeispiel der erfinderischen Konzepte aufweist, schematisch darstellt. Bezug nehmend auf 20 kann ein Rechnersystem 5000 mindestens eine CPU 5100, eine nicht flüchtige Speichervorrichtung 5200, einen RAM 5300, eine Eingangs-/Ausgangs-(E/A-)Vorrichtung 5400 oder ein SSD 4000 aufweisen.
  • Die CPU 5100 kann mit einem Systembus verbunden sein. Die CPU 5100 kann ein Teil der Host-Vorichtung 300 bei den im Vorhergehenden beschriebenen Ausführungsbeispielen sein. Die nicht flüchtige Speichervorrichtung 5200 kann Daten aufzeichnen, die verwendet sind, um das Rechnersystem 5000 zu betreiben. Hierin können die Daten eine Startbefehlssequenz oder ein Grund-E/A-System-(BIOS-; BIOS = basic I/O system) Sequenz aufweisen. Der RAM 5300 kann vorübergehend Daten aufzeichnen, die während der Ausführung der CPU 5100 erzeugt werden. Die E/A-Vorrichtung 5400 kann durch eine E/A-Vorrichtungsschnittstelle mit dem Systembus verbunden sein, wie zum Beispiel Tastaturen, Zeigevorrichtungen (zum Beispiel eine Maus), Monitore, Modems und dergleichen. Das SSD 5500 kann eine lesbare Aufzeichnungsvorrichtung sein und genau so implementiert sein, wie das SSD 4000 von 19.
  • 21 ist ein Blockdiagramm, das eine elektronische Vorrichtung, die ein SSD in 19 gemäß einem Ausführungsbeispiel der erfinderischen Konzepte aufweist, schematisch darstellt. Bezug nehmend auf 21 kann eine elektronische Vorrichtung 6000 einen Prozessor 6100, einen ROM 6200, einen RAM 6300, eine Flash-Schnittstelle 6400 und mindestens ein SSD 6500 aufweisen.
  • Der Prozessor 6100 bzw. die Verarbeitungsvorrichtung kann auf den RAM 6300 zugreifen, um Firmwarecodes oder andere Codes auszuführen. Der Prozessor 6100 kann bei den im Vorhergehenden beschriebenen Ausführungsbespielen ein Teil der Host-Vorrichtung sein. Der Prozessor 6100 kann ferner auf den ROM 6200 zugreifen, um feste Befehlssequenzen, wie zum Beispiel eine Startbefehlssequenz und eine Grund-E/A-System-(BIOS-)Sequenz auszuführen. Die Flash-Schnittstelle 6400 kann konfiguriert sein, um zwischen der elektronischen Vorrichtung 6000 und dem SSD 6500 eine Schnittstelle zu bilden. Das SSD 6500 kann von der elektronischen Vorrichtung 6000 lösbar sein. Das SSD 6500 kann genau so implementiert sein wie das SSD 4000 von 19.
  • Die elektronische Vorrichtung 6000 kann Funktelefone, persönliche digitale Assistenten (PDA) Digitalkameras, Kameraaufzeichnungsgeräte (englisch: Camcorder), tragbare Audiospieler (zum Beispiel MP3) und tragbare Medienspieler (PMP) aufweisen.
  • 22 ist ein Blockdiagramm, das ein Serversystem, das ein SSD in 19 gemäß einem Ausführungsbeispiel der erfinderischen Konzepte aufweist, schematisch darstellt. Bezug nehmend auf 22 kann ein Serversystem 7000 einen Server 7100 und mindestens ein SSD 7200, das Daten, die verwendet sind, um den Server 7100 zu betreiben, aufzeichnet, aufweisen. Das SSD 7200 kann gleich einem SSD 4000 von 19 konfiguriert sein. Der Server 7100 kann die Host-Vorrichtung 300 sein, die hinsichtlich der vorhergehenden Ausführungsbeispiele beschrieben ist.
  • Der Server 7100 kann ein Anwendungskommunikationsmodul 7110, ein Datenverarbeitungsmodul 7120, ein Aktualisierungsmodul 7130, ein Zeitplanungszentrum 7140, ein lokales Ressourcenmodul 7150 und ein Reparaturinformationsmodul 7160 aufweisen. Das Anwendungskommunikationsmodul 7110 kann konfiguriert sein, um mit einem Rechnersystem, das mit einem Netz und dem Server 7100 verbunden ist, zu kommunizieren, oder um dem Server 7100 zu ermöglichen, mit dem SSD 7200 zu kommunizieren. Das Anwendungskommunikationsmodul 7110 kann Daten oder Informationen, die durch eine Benutzerschnittstelle geliefert werden, zu dem Datenverarbeitungsmodul 7120 übertragen.
  • Das Datenverarbeitungsmodul 7120 kann mit dem lokalen Ressourcenmodul 7150 verknüpft sein. Hier kann das lokale Ressourcenmodul 7150 eine Liste von Reparaturwerkstätten/Händlern/technischen Informationen für einen Benutzer auf der Basis von Informationen oder Daten, die in den Server 7100 eingegeben werden, liefern. Das Aktualisierungsmodul 7130 kann mit dem Datenverarbeitungsmodul 7120 eine Schnittstelle bilden. Basierend auf Informationen oder Daten, die von dem SSD 7200 empfangen werden, kann das Aktualisierungsmodul 7130 Aktualisierungen einer Firmware, eines Neueinstellungscodes, eines Diagnosesystems oder anderer Informationen in elektronischen Geräten durchführen.
  • Das Zeitplanungszentrum 7140 kann dem Benutzer basierend auf den Informationen oder Daten, die in den Server 7100 eingegeben werden, Echtzeitoptionen liefern. Das Reparaturinformationsmodul 7160 kann mit dem Datenverarbeitungsmodul 7120 eine Schnittstelle bilden. Das Reparaturinformationsmodul 7160 kann verwendet sein, um dem Benutzer reparaturbezogene Informationen (zum Beispiel Audio-, Video- oder Dokumentdateien) zu liefern. Das Datenverarbeitungsmodul 7120 kann Informationen verpacken, die sich auf die Informationen, die von dem SSD 7200 empfangen werden, beziehen. Die verpackten Informationen können zu dem SSD 7200 übertragen oder dem Benutzer angezeigt werden.
  • Wie erwähnt ist, sind die erfinderischen Konzepte auf Mobilerzeugnisse (zum Beispiel intelligente Telefone, Mobiltelefone etc.) anwendbar.
  • 23 ist ein Blockdiagramm, das gemäß einem Ausführungsbeispiel der erfinderischen Konzepte eine Mobilvorrichtung schematisch darstellt. Bezug nehmend auf 23 kann eine Mobilvorrichtung 8000 eine Kommunikationseinheit 8100, eine Steuerung 8200, eine Speichereinheit 8300, eine Anzeigeeinheit 8400, eine Berührungsbildschirmeinheit 8500 und eine Audioeinheit 8600 aufweisen.
  • Die Speichereinheit 8300 kann mindestens einen DRAM 8310 und mindestens eine nicht flüchtige Speichervorrichtung 8330, wie zum Beispiel einen MoviNICHT-UND oder eMMC, aufweisen. Die nicht flüchtige Speichervorrichtung 8330 kann die Speichervorrichtung sein, die hinsichtlich einem der vorhergehenden Ausführungsbeispiele beschrieben ist. Die Steuerung 8200 kann die Steuerung und/oder Host-Vorrichtung sein, die hinsichtlich einem der vorhergehenden Ausführungsbeispiele beschrieben ist.
  • Eine detaillierte Beschreibung der Mobilvorrichtung ist in den US-Patentveröffentlichungen Nrn. 2010/0010040 , 2010/0062715 , 2010/00199081 und 2010/0309237 offenbart, deren gesamter Inhalt hierin durch Bezugnahme aufgenommen ist.
  • Wie erwähnt ist, sind die erfinderischen Konzepte auf Tabletterzeugnisse anwendbar.
  • 24 ist ein Blockdiagramm, das eine in einer Hand haltbare elektronische Vorrichtung gemäß einem Ausführungsbeispiel der erfinderischen Konzepte schematisch darstellt. Bezug nehmend auf 24 kann eine in einer Hand haltbare elektronische Vorrichtung 9000 mindestens ein computerlesbares Medium 9020, ein Verarbeitungssystem 9040, ein Eingangs-/Ausgangs-Teilsystem 9060, eine Hochfrequenzschaltung 9080 oder eine Audioschaltung 9100 aufweisen. Jeweilige bildende Elemente können durch mindestens einen Kommunikationsbus oder eine Signalleitung 9031, 9032, 9033, 9034, 9035, 9036, 9037, 9038 miteinander verbunden sein.
  • Die in einer Hand haltbare elektronische Vorrichtung 9000 kann eine tragbare elektronische Vorrichtung sein, die einen in einer Hand haltbaren Computer, einen Tablettcomputer, ein Funktelefon, einen Medienspieler, einen PDA oder eine Kombination von zwei oder mehr derselben aufweist. Hierin kann das mindestens eine computerlesbare Medium 9020 das Speichersystem 1000 gemäß einem der im Vorhergehenden beschriebenen Ausführungsbeispiele sein, und das Verarbeitungssystem 9040 kann die Host-Vorrichtungen gemäß einem der im Vorhergehenden beschriebenen Ausführungsbeispiele sein. Eine detaillierte Beschreibung der in einer Hand haltbaren elektronischen Vorrichtung 9000 ist in dem US-Patent Nr. 7,509,588 , dessen Gesamtheit hierin durch Bezugnahme aufgenommen ist, offenbart.
  • Als ein anderes Beispiel kann die nicht flüchtige Speichervorrichtung 1100 oder das Speichersystem 1000 in verschiedenen Typen von Baugruppen angebracht sein. Beispiele von Baugruppen, die die nicht flüchtige Speichervorrichtung 1100 oder das Speichersystem 1000 aufweisen, weisen PoP, BGA, CSP, PLCC, PDIP, Die in Waffle Pack, Die in Wafer Form, COB, CERDIP, MQFP, TQFP, SOIC, SSOP, TSOP, TQFP, SIP, MCP, WFP und WSP auf.
  • Obwohl die vorliegende Erfindung unter Bezugnahme auf exemplarische Ausführungsbeispiele derselben besonders gezeigt und beschrieben ist, versteht es sich für Fachleute von selbst, dass verschiedene Änderungen an der Form und an Details daran vorgenommen sein können, ohne von dem Geist und dem Schutzbereich der vorliegenden Erfindung, wie er durch die folgenden Ansprüche definiert ist, abzuweichen. Die exemplarischen Ausführungsbeispiele sollten lediglich in einem beschreibenden Sinn und nicht für Zwecke einer Begrenzung betrachtet werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • KR 10-2011-0136797 [0001]
    • US 2010/0306583 [0226]
    • US 7092308 [0233]
    • US 8027194 [0241]
    • US 2007/0106836 [0241]
    • US 2010/0082890 [0241]
    • US 2010/0010040 [0255]
    • US 2010/0062715 [0255]
    • US 2010/00199081 [0255]
    • US 2010/0309237 [0255]
    • US 7509588 [0258]

Claims (29)

  1. Speichervorrichtung (100; 100a; 400; 400a) mit einem ersten Speicherbereich (110; 410), der sichere Daten (111) aufzeichnet, wobei auf den ersten Speicherbereich (110; 410) durch eine externe Vorrichtung (200; 300) nicht zugegriffen werden kann; und einem zweiten Speicherbereich (120; 420), der konfiguriert ist, um verschlüsselte sichere Daten (121) aufzuzeichnen, wobei auf den zweiten Speicherbereich (120; 420) durch die externe Vorrichtung (200; 300) zugegriffen werden kann, und die verschlüsselten sicheren Daten (121) eine verschlüsselte Version der sicheren Daten (111) in dem ersten Speicherbereich (110; 410) sind.
  2. Speichervorrichtung (100; 100a; 400; 400a) nach Anspruch 1, mit ferner: einer sicheren Logik (140), die konfiguriert ist, um auf die sicheren Daten (111) in dem ersten Speicherbereich (110) zuzugreifen, die verschlüsselten sicheren Daten (121) aus den sicheren Daten (111), auf die zugegriffen wurde, zu erzeugen, und die verschlüsselten sicheren Daten (121) in dem zweiten Speicherbereich (120) aufzuzeichnen.
  3. Speichervorrichtung (100; 100a; 400; 400a) nach Anspruch 1, bei der der zweite Bereich (120; 420) konfiguriert ist, um die verschlüsselten sicheren Daten (121), die von einem Hersteller der Speichervorrichtung (100; 100a; 400; 400a) empfangen werden, aufzuzeichnen.
  4. Speichervorrichtung (100; 100a; 400; 400a) nach Anspruch 1, bei der der zweite Bereich (120; 420) konfiguriert ist, um während der Herstellung der Speichervorrichtung (100; 100a; 400; 400a) die verschlüsselten sicheren Daten (121) aufzuzeichnen.
  5. Speichervorrichtung (100; 100a; 400; 400a) nach Anspruch 1, bei der die sicheren Daten (111) einen Hauptschlüssel (112) zum Authentifizieren der Speichervorrichtung (100; 100a; 400; 400a) aufweisen, und die verschlüsselten sicheren Daten (121) einen verschlüsselten Hauptschlüssel (122) aufweisen.
  6. Speichervorrichtung (100; 400) nach Anspruch 5, bei der der erste Speicherbereich (110; 410) ferner konfiguriert ist, um mindestens einen Ersatzschlüssel (113) aufzuzeichnen, wobei der Ersatzschlüssel (113) zum Erzeugen (S404) von Authentifizierungsinformationen der Speichervorrichtung (100; 100a; 400; 400a) dient.
  7. Speichervorrichtung (400) nach Anspruch 6, bei der der zweite Speicherbereich (420) ferner konfiguriert ist, um mindestens einen Ersatzschlüsselindex (125) aufzuzeichnen, wobei der Ersatzschlüsselindex (125) mit dem Ersatzschlüssel (113) verknüpft ist.
  8. Speichervorrichtung (400) nach Anspruch 7, bei der der Ersatzschlüssel (113) einem Verkäufer der Speichervorrichtung (400) entspricht.
  9. Speichervorrichtung (400) nach Anspruch 5, bei der der erste Speicherbereich (410) ferner konfiguriert ist, um eine Mehrzahl von Ersatzschlüsseln (113) aufzuzeichnen, wobei die Mehrzahl von Ersatzschlüsseln (113) zum Erzeugen von Authentifizierungsinformationen der Speichervorrichtung (400) dient; und der zweite Speicherbereich (420) ferner konfiguriert ist, um eine Mehrzahl von Ersatzschlüsselindizes (125) aufzuzeichnen, wobei die Mehrzahl von Ersatzschlüsselindizes (125) mit der Mehrzahl von Ersatzschlüsseln (113) verknüpft ist.
  10. Speichervorrichtung (100; 100a; 400; 400a) nach Anspruch 1, mit ferner: einem dritten Speicherbereich (130; 430), der konfiguriert ist, um mindestens einen verschlüsselten Entschlüsselungsschlüssel (131) aufzuzeichnen, wobei auf den dritten Speicherbereich (130; 430) durch die externe Vorrichtung (200; 300) zugegriffen werden kann, der verschlüsselte Entschlüsselungsschlüssel (131) eine verschlüsselte Version eines Entschlüsselungsschlüssels (302) ist, und der Entschlüsselungsschlüssel (302) zum Entschlüsseln des verschlüsselten Hauptschlüssels (122) dient.
  11. Speichervorrichtung (400) nach Anspruch 10, bei der der dritte Speicherbereich (130; 430) ferner konfiguriert ist, um eine Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln (131) aufzuzeichnen, wobei mindestens einer der Mehrzahl von verschlüsselten Entschlüsselungsschlüsseln (131) einem Verkäufer der externen Vorrichtung (200; 300) entspricht.
  12. Speichervorrichtung (100; 100a; 400; 400a) nach Anspruch 1, bei der der zweite Speicherbereich (120; 420) durch die externe Vorrichtung (200; 300) nur lesbar ist.
  13. Speichervorrichtung (100; 400) mit: einem ersten Speicherbereich (110; 410), der einen Hauptschlüssel (112) und mindestens einen Ersatzschlüssel (113) aufzeichnet, wobei auf den ersten Speicherbereich (110; 410) durch externe Vorrichtungen (200; 300) nicht zugegriffen werden kann; und einem zweiten Speicherbereich (120; 420), der konfiguriert ist, um einen verschlüsselten Hauptschlüssel (122) und mindestens einen Ersatzschlüsselindex (125) aufzuzeichnen, wobei auf den zweiten Speicherbereich (120; 420) durch die externen Vorrichtungen (200; 300) zugegriffen werden kann, die verschlüsselten sicheren Daten (121) eine verschlüsselte Version der sicheren Daten (111) in dem ersten Speicherbereich (110; 410) sind, der Ersatzschlüsselindex (125) mit dem Ersatzschlüssel (113) verknüpft ist, und der Ersatzschlüssel (113) einem Verkäufer der Speichervorrichtung (100; 400) zugeordnet ist.
  14. Speichervorrichtung (400) nach Anspruch 13, bei der der Ersatzschlüsselindex (125) durch eine Ersatzschlüsselzahl mit dem Ersatzschlüssel (113) verknüpft ist.
  15. Speichervorrichtung (400) nach Anspruch 13, bei der der erste Speicherbereich (410) eine Mehrzahl von Ersatzschlüsseln (113) aufzeichnet; und der zweite Speicherbereich (420) konfiguriert ist, um eine Mehrzahl von Ersatzschlüsselindizes (125) aufzuzeichnen, wobei die Mehrzahl von Ersatzschlüsselindizes (125) mit der Mehrzahl von Ersatzschlüsseln (113) verknüpft ist.
  16. Speichervorrichtung (100; 100a; 400; 400a) mit: einem ersten Speicherbereich (110; 410), der sichere Daten (111) aufzeichnet; einem zweiten Speicherbereich (120; 420), der konfiguriert ist, um verschlüsselte sichere Daten (121) aufzuzeichnen, wobei die verschlüsselten sicheren Daten (121) eine verschlüsselte Version der sicheren Daten (111) in dem ersten Speicherbereich sind (110; 410); und wobei die Speichervorrichtung (100; 100a; 400; 400a) derart konfiguriert ist, dass die Ausgabe der sicheren Daten (111) nicht auftreten kann, und die Ausgabe der verschlüsselten sicheren Daten (121) auftreten kann.
  17. Verfahren zum Betreiben einer Speichervorrichtung (100), mit folgenden Schritten: Aufzeichnen von sicheren Daten (111) in einem ersten Speicherbereich (110) der Speichervorrichtung (100), wobei durch eine externe Vorrichtung (200; 300) auf den ersten Speicherbereich (110) nicht zugegriffen werden kann; und Aufzeichnen von verschlüsselten sicheren Daten (121) in einem zweiten Speicherbereich (120) der Speichervorrichtung (100), wobei durch die externe Vorrichtung (200: 300) auf den zweiten Speicherbereich (120) zugegriffen werden kann, wobei die verschlüsselten sicheren Daten (121) eine verschlüsselte Version der sicheren Daten (111) in dem ersten Speicherbereich (110) sind.
  18. Verfahren nach Anspruch 17, mit ferner folgenden Schritten: Zugreifen (S104; S202) auf die sicheren Daten (110) aus dem ersten Speicherbereich (110) unter Verwendung einer Logik (140, 150), die sich in der Speichervorrichtung (100) befindet; und Erzeugen (S104; S202) der verschlüsselten sicheren Daten (121) aus den sicheren Daten (111), auf die zugegriffen wurde, unter Verwendung der Logik (140, 150).
  19. Verfahren nach Anspruch 17, bei dem die sicheren Daten (111) einen Hauptschlüssel (112) zum Authentifizieren der Speichervorrichtung (100) aufweisen, und die verschlüsselten sicheren Daten (121) einen verschlüsselten Hauptschlüssel (122) aufweisen.
  20. Verfahren für eine Speichervorrichtung (400), um Authentifizierungsinformationen zu erzeugen, mit folgenden Schritten: Erzeugen (S1124) eines Sitzungsschlüssels basierend auf einem Ersatzschlüssel (113) und einer Eingabe, die von einer externen Vorrichtung (300) empfangen wird, durch die Speichervorrichtung (400); Erzeugen (S1126) der Authentifizierungsinformationen basierend auf dem Sitzungsschlüssel und einem Hauptschlüssel (112) durch die Speichervorrichtung (400), wobei der Hauptschlüssel (112) und der Ersatzschlüssel (113) in einem Bereich (410) der Speichervorrichtung (400), auf den durch die externe Vorrichtung (300) nicht zugegriffen werden kann, aufgezeichnet sind; und Ausgeben der Authentifizierungsinformationen zu der externen Vorrichtung (300).
  21. Verfahren nach Anspruch 20, bei dem das Erzeugen eines Sitzungsschlüssels folgende Schritte aufweist: Empfangen einer Zielersatzschlüsselzahl, einer Ersatzschlüsselvariantenzahl und einer Zufallszahl (S1113) von der externen Vorrichtung (300) als die Eingabe von der externen Vorrichtung (300); Erhalten des Ersatzschlüssels basierend auf der empfangenen Zielersatzschlüsselzahl; Verschlüsseln (S1122) des Ersatzschlüssels (113) basierend auf der empfangenen Ersatzschlüsselvariantenzahl, um eine Ersatzschlüsselvariante zu erzeugen; und Verschlüsseln (S1124) der Ersatzschlüsselvariante basierend auf der empfangenen Zufallszahl (S1113), um den Sitzungsschlüssel zu erzeugen.
  22. Verfahren nach Anspruch 20, bei dem das Erzeugen des Sitzungsschlüssels folgende Schritte aufweist: Empfangen einer Zielersatzschlüsselzahl, einer Ersatzschlüsselvariantenzahl und einer Zufallszahl (S1113) von der externen Vorrichtung (300) als die Eingabe von der externen Vorrichtung (300); Auswählen von einem einer Mehrzahl von Ersatzschlüsseln (113), die in dem Bereich der Speichervorrichtung (410) aufgezeichnet sind, basierend auf der empfangenen Zielersatzschlüsselzahl; Verschlüsseln (S1122) des ausgewählten Ersatzschlüssels (113) basierend auf der empfangenen Ersatzschlüsselvariantenzahl, um eine Ersatzschlüsselvariante zu erzeugen; und Verschlüsseln (S1124) der Ersatzschlüsselvariante basierend auf der empfangenen Zufallszahl (S1113), um den Sitzungsschlüssel zu erzeugen.
  23. Verfahren für eine Speichervorrichtung (400), um Authentifizierungsinformationen zu erzeugen, mit folgenden Schritten: Empfangen einer Zielersatzschlüsselzahl, einer Ersatzschlüsselvariantenzahl und einer Zufallszahl (S1113) von einer externen Vorrichtung (300); Verschlüsseln eines Ersatzschlüssels (113) basierend auf der empfangenen Ersatzschlüsselvariantenzahl, um eine Ersatzschlüsselvariante zu erzeugen; Verschlüsseln der Ersatzschlüsselvariante basierend auf der empfangenen Zufallszahl (S1113), um den Sitzungsschlüssel zu erzeugen; Verschlüsseln (S1126) eines Hauptschlüssels (112), der in der Speichervorrichtung (400) aufgezeichnet ist, unter Verwendung des Sitzungsschlüssels, um die Authentifizierungsinformationen zu erzeugen; und Ausgeben der Authentifizierungsinformationen.
  24. Verfahren für eine externe Vorrichtung (200; 300), um einen Hauptschlüssel (112) einer Speichervorrichtung (100; 100a; 400; 400a) zu erhalten, mit folgenden Schritten: Erhalten eines verschlüsselten Hauptschlüssels (122) und eines verschlüsselten ersten Entschlüsselungsschlüssels (131) von der Speichervorrichtung (100; 100a; 400; 400a) bei der externen Vorrichtung (200; 300), wobei der verschlüsselte erste Entschlüsselungsschlüssel (131) eine verschlüsselte Version eines ersten Entschlüsselungsschlüssels (302) ist, der verschlüsselte Hauptschlüssel (122) eine verschlüsselte Version des Hauptschlüssels (112) ist, und die externe Vorrichtung (200; 300) unfähig ist, den Hauptschlüssel (112) aus der Speichervorrichtung (100; 100a; 400; 400a) zu lesen; Entschlüsseln des verschlüsselten ersten Entschlüsselungsschlüssels (131) unter Verwendung eines zweiten Entschlüsselungsschlüssels (301) bei der externen Vorrichtung (200; 300), um den ersten Entschlüsselungsschlüssel (302) zu erhalten; und Entschlüsseln des verschlüsselten Hauptschlüssels (122) der Speichervorrichtung (100; 100a; 400; 400a) unter Verwendung des ersten Entschlüsselungsschlüssels (302) bei der externen Vorrichtung (200; 300), um den Hauptschlüssel (112) zu erhalten.
  25. Verfahren nach Anspruch 24, bei dem das Erhalten eine Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln (131) von der Speichervorrichtung (100; 100a; 400; 400a) erhält; und ferner mit folgendem Schritt: Auswählen von einem der Mehrzahl von verschlüsselten ersten Entschlüsselungsschlüsseln (131) basierend auf einem Entschlüsselungsschlüsselindex der externen Vorrichtung (200; 300); und wobei das Entschlüsseln des verschlüsselten ersten Entschlüsselungsschlüssels (131) den ausgewählten verschlüsselten ersten Entschlüsselungsschlüssel (131) unter Verwendung des zweiten Entschlüsselungsschlüssels (301) entschlüsselt.
  26. Verfahren nach Anspruch 25, mit ferner folgendem Schritt: Aufzeichnen des Verschlüsselungsschlüsselindex und des zweiten Entschlüsselungsschlüssels (301) bei der externen Vorrichtung (200; 300).
  27. Verfahren nach Anspruch 26, bei dem das Aufzeichnen den Entschlüsselungsschlüsselindex und den zweiten Entschlüsselungsschlüssel (301), der durch eine Zertifizierungsbehörde bereitgestellt wird, aufzeichnet.
  28. Verfahren für eine externe Vorrichtung (200: 300), um Authentifizierungsinformationen zum Authentifizieren einer Speichervorrichtung (100; 100a; 400; 400a) zu erzeugen, mit folgenden Schritten: Erzeugen eines Sitzungsschlüssels basierend auf Ersatzschlüsselinformationen bei der externen Vorrichtung (200; 300), wobei die Ersatzschlüsselinformationen Informationen hinsichtlich eines Ersatzschlüssels (113), der durch die Speichervorrichtung (100; 100a; 400; 400a) verwendet ist, um erste Authentifizierungsinformationen zu erzeugen, aufweisen; Erzeugen von zweiten Authentifizierungsinformationen basierend auf dem Sitzungsschlüssel und einem abgeleiteten Hauptschlüssel (112) bei der externen Vorrichtung (200: 300), wobei der abgeleitete Hauptschlüssel (112) ein Hauptschlüssel (112) der Speichervorrichtung (100; 100a; 400; 400a) ist, wobei die externe Vorrichtung (200; 300) unfähig ist, den Hauptschlüssel (112) aus der Speichervorrichtung (100; 100a; 400; 400a) zu lesen.
  29. System mit: einer Speichervorrichtung (400), die konfiguriert ist, um einen Hauptschlüssel (112) und mindestens einen Ersatzschlüssel (113) in einem ersten Speicherbereich (410) aufzuzeichnen, wobei die Speichervorrichtung (400) konfiguriert ist, um einen verschlüsselten Hauptschlüssel (122) und mindestens einen Ersatzschlüsselindex (125) in einem zweiten Speicherbereich (420) aufzuzeichnen, die Speichervorrichtung (400) konfiguriert ist, um mindestens einen verschlüsselten Entschlüsselungsschlüssel (131) aufzuzeichnen, die Speichervorrichtung (400) konfiguriert ist, um basierend auf dem Hauptschlüssel (112) und dem Ersatzschlüssel (122) erste Authentifizierungsinformationen zu erzeugen, und wobei die Speichervorrichtung (400) konfiguriert ist, um zu erlauben, dass eine externe Vorrichtung (200; 300) auf den zweiten Speicherbereich (420), jedoch nicht den ersten Speicherbereich (410), zugreift; der externen Vorrichtung (200; 300), wobei die externe Vorrichtung (200; 300) konfiguriert ist, um auf den verschlüsselten Hauptschlüssel (122), den Ersatzschlüsselindex (125) und den verschlüsselten Entschlüsselungsschlüssel (131) zuzugreifen, die externe Vorrichtung (200; 300) konfiguriert ist, um basierend auf dem verschlüsselten Hauptschlüssel (122) und dem verschlüsselten Entschlüsselungsschlüssel (131) einen abgeleiteten Hauptschlüssel (112) zu erzeugen, die externe Vorrichtung (200; 300) konfiguriert ist, um basierend auf dem Ersatzschlüsselindex (125) und dem abgeleiteten Hauptschlüssel (112) zweite Authentifizierungsinformationen zu erzeugen, und die externe Vorrichtung (200; 300) konfiguriert ist, um basierend auf den ersten Authentifizierungsinformationen und den zweiten Authentifizierungsinformationen zu bestimmen, ob die Speichervorrichtung (400) verifiziert ist.
DE102012111793.4A 2011-12-16 2012-12-05 Speichervorrichtung zum Schützen von sicheren Daten und Verfahren zum Authentifizieren einer Speichervorrichtung unter Verwendung von sicheren Daten Active DE102012111793B4 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR10-2011-0136797 2011-12-16
KR1020110136797A KR101859646B1 (ko) 2011-12-16 2011-12-16 보안 데이터를 보호하는 메모리 장치 및 보안 데이터를 이용한 데이터 보호 방법
US201261585333P 2012-01-11 2012-01-11
US61/585,333 2012-01-11

Publications (2)

Publication Number Publication Date
DE102012111793A1 true DE102012111793A1 (de) 2013-06-20
DE102012111793B4 DE102012111793B4 (de) 2022-03-03

Family

ID=48522210

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012111793.4A Active DE102012111793B4 (de) 2011-12-16 2012-12-05 Speichervorrichtung zum Schützen von sicheren Daten und Verfahren zum Authentifizieren einer Speichervorrichtung unter Verwendung von sicheren Daten

Country Status (5)

Country Link
US (2) US9258111B2 (de)
JP (1) JP6140998B2 (de)
KR (1) KR101859646B1 (de)
CN (1) CN103164666B (de)
DE (1) DE102012111793B4 (de)

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8661527B2 (en) 2011-08-31 2014-02-25 Kabushiki Kaisha Toshiba Authenticator, authenticatee and authentication method
JP5275432B2 (ja) 2011-11-11 2013-08-28 株式会社東芝 ストレージメディア、ホスト装置、メモリ装置、及びシステム
JP5275482B2 (ja) 2012-01-16 2013-08-28 株式会社東芝 ストレージメディア、ホスト装置、メモリ装置、及びシステム
US8996888B2 (en) * 2012-09-14 2015-03-31 Avalanche Technology, Inc. Mobile device using secure spin torque transfer magnetic random access memory (STTMRAM)
US9201811B2 (en) * 2013-02-14 2015-12-01 Kabushiki Kaisha Toshiba Device and authentication method therefor
US20140237244A1 (en) * 2013-02-19 2014-08-21 Kabushiki Kaisha Toshiba Device and authentication method therefor
US20140237258A1 (en) * 2013-02-20 2014-08-21 Kabushiki Kaisha Toshiba Device and authentication method therefor
KR101492087B1 (ko) * 2013-07-19 2015-03-02 임강수 휴대폰에 의해 제어되는 전자 보안 가방
US9912474B2 (en) * 2013-09-27 2018-03-06 Intel Corporation Performing telemetry, data gathering, and failure isolation using non-volatile memory
JP5900456B2 (ja) * 2013-10-09 2016-04-06 コニカミノルタ株式会社 画像処理システム、画像形成装置、中継装置、管理方法、および制御プログラム
US20150363333A1 (en) * 2014-06-16 2015-12-17 Texas Instruments Incorporated High performance autonomous hardware engine for inline cryptographic processing
US9298647B2 (en) * 2014-08-25 2016-03-29 HGST Netherlands B.V. Method and apparatus to generate zero content over garbage data when encryption parameters are changed
KR102291505B1 (ko) 2014-11-24 2021-08-23 삼성전자주식회사 스토리지 장치 및 스토리지 장치의 동작 방법
JP6293648B2 (ja) * 2014-12-02 2018-03-14 東芝メモリ株式会社 メモリデバイス
EP3040896A1 (de) * 2014-12-30 2016-07-06 Gemalto Sa Sicheres Element
CN104951689B (zh) * 2015-07-17 2018-05-18 王景春 桥式加解密芯片卡
CN105160271B (zh) * 2015-08-28 2017-11-10 英威康科技股份有限公司 可还原式文件保护装置控制方法及可还原式文件保护方法
CN106022033B (zh) * 2016-01-21 2019-06-28 李明 一种安全控制方法、安全装置及身份证读卡终端
CN106022095B (zh) * 2016-01-21 2019-06-28 李明 一种安全装置、安全控制方法及身份证读卡终端
EP3252651A1 (de) * 2016-05-30 2017-12-06 Samsung Electronics Co., Ltd Rechnersystem mit einem on-the-fly-verschlüsseler und betriebsverfahren dafür
US10263988B2 (en) * 2016-07-02 2019-04-16 Intel Corporation Protected container key management processors, methods, systems, and instructions
US10242197B2 (en) * 2016-09-23 2019-03-26 Intel Corporation Methods and apparatus to use a security coprocessor for firmware protection
US10637648B2 (en) * 2017-03-24 2020-04-28 Micron Technology, Inc. Storage device hash production
CN107256363B (zh) * 2017-06-13 2020-03-06 杭州华澜微电子股份有限公司 一种由加解密模块阵列组成的高速加解密装置
US10534553B2 (en) 2017-08-30 2020-01-14 Micron Technology, Inc. Memory array accessibility
US10713392B2 (en) * 2017-09-29 2020-07-14 Xilinx, Inc. Network interface device and method
US10721072B2 (en) * 2017-09-29 2020-07-21 Xilinx, Inc. Network interface device and method
KR20190075363A (ko) * 2017-12-21 2019-07-01 삼성전자주식회사 반도체 메모리 장치, 이를 포함하는 메모리 시스템 및 메모리 모듈
US10715327B1 (en) * 2018-05-30 2020-07-14 Architecture Technology Corporation Software credential token issuance based on hardware credential token
KR102590439B1 (ko) * 2018-10-01 2023-10-18 에스케이하이닉스 주식회사 메모리 시스템
KR20210104278A (ko) * 2020-02-17 2021-08-25 에스케이하이닉스 주식회사 저장 장치 및 그 동작 방법
US11455102B2 (en) * 2020-03-09 2022-09-27 SK Hynix Inc. Computing system and operating method thereof
US11461021B2 (en) * 2020-03-09 2022-10-04 SK Hynix Inc. Computing system and operating method thereof
KR20210113906A (ko) * 2020-03-09 2021-09-17 에스케이하이닉스 주식회사 컴퓨팅 시스템 및 그 동작 방법
KR20210132253A (ko) 2020-04-24 2021-11-04 삼성전자주식회사 메모리 장치
CN112860790B (zh) * 2021-01-14 2023-05-30 华控清交信息科技(北京)有限公司 数据管理方法、系统、装置

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7092308B2 (en) 2004-01-13 2006-08-15 Samsung Electronics Co., Ltd. Portable data storage apparatus
US20070106836A1 (en) 2005-11-10 2007-05-10 Jeong-Woo Lee Semiconductor solid state disk controller
US7509588B2 (en) 2005-12-30 2009-03-24 Apple Inc. Portable electronic device with interface reconfiguration mode
US20100010040A1 (en) 2008-07-11 2010-01-14 Lyn Howard Jones Triazol Derivatives Useful For The Treatment of Diseases
US20100062715A1 (en) 2008-09-09 2010-03-11 Samsung Electronic Co., Ltd. Portable electronic apparatus functioning as pen-table and computer system using the same
US20100082890A1 (en) 2008-09-30 2010-04-01 Jin Gyu Heo Method of managing a solid state drive, associated systems and implementations
US20100199081A1 (en) 2009-01-30 2010-08-05 Samsung Electronics Co., Ltd. Apparatus and method for downloading contents using an interior mass storage in a portable terminal
US20100306583A1 (en) 2009-05-26 2010-12-02 Yong-June Kim Memory Systems and Defective Block Management Methods Related Thereto
US20100309237A1 (en) 2009-06-09 2010-12-09 Samsung Electronics Co., Ltd. Method and device for driving a plurality of display devices
US8027194B2 (en) 1988-06-13 2011-09-27 Samsung Electronics Co., Ltd. Memory system and method of accessing a semiconductor memory device
KR20110136797A (ko) 2009-02-13 2011-12-21 라보라뚜와르 이노떼라 편성된 탄력적 정맥 압박 보조기구의 하지 위에서의 지지를 평가하는 방법

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3750417B2 (ja) 1999-05-25 2006-03-01 日本電信電話株式会社 Icカードセキュリティ管理方法及びicカード及びicカードセキュリティ管理プログラムを格納した記憶媒体
KR100847760B1 (ko) 2001-12-07 2008-07-23 주식회사 하이닉스반도체 메모리 장치 및 구동방법
NZ534192A (en) * 2001-12-25 2005-05-27 Ntt Docomo Inc Device and method for restricting content access and storage
JP2003271457A (ja) * 2002-03-14 2003-09-26 Sanyo Electric Co Ltd データ記憶装置
US7356147B2 (en) * 2002-04-18 2008-04-08 International Business Machines Corporation Method, system and program product for attaching a title key to encrypted content for synchronized transmission to a recipient
US20050195975A1 (en) * 2003-01-21 2005-09-08 Kevin Kawakita Digital media distribution cryptography using media ticket smart cards
JP2006014035A (ja) * 2004-06-28 2006-01-12 Toshiba Corp 記憶媒体処理方法、記憶媒体処理装置及びプログラム
JP2006039966A (ja) * 2004-07-27 2006-02-09 Toshiba Corp メモリカードおよびメモリカードに搭載されるカード用コントローラ並びにメモリカードの処理装置
KR101213118B1 (ko) 2004-12-21 2012-12-24 디스크레틱스 테크놀로지스 엘티디. 다기능 컨텐츠 제어가 가능한 메모리 시스템
EP1845654A1 (de) * 2005-01-31 2007-10-17 Matsushita Electric Industrial Co., Ltd. Vorrichtung zur datensicherungsverwaltung, verfahren zur datensicherungsverwaltung, computerprogramm, aufzeichnungsmedium, integrierte schaltung und datensicherungssystem
US8321686B2 (en) * 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8423788B2 (en) * 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US20070035381A1 (en) * 2005-08-15 2007-02-15 Davis Michael L Photon authenticated rfid transponder
US7668313B2 (en) * 2005-10-31 2010-02-23 Texas Instruments Incorporated Recipient-encrypted session key cryptography
US8839005B2 (en) * 2006-09-13 2014-09-16 Sandisk Technologies Inc. Apparatus for transferring licensed digital content between users
KR100857760B1 (ko) 2007-05-15 2008-09-10 삼성전자주식회사 플래시 메모리를 이용한 암호키 저장 장치 및 그것의 보안방법
US20080301003A1 (en) * 2007-05-31 2008-12-04 Daniel Harkabi System for Online Buying
JP5209945B2 (ja) * 2007-12-12 2013-06-12 株式会社日立製作所 記憶装置、暗号化コンテンツの有効化方法及び端末装置
JP5248153B2 (ja) * 2008-03-14 2013-07-31 株式会社東芝 情報処理装置、方法及びプログラム
US8947207B2 (en) * 2008-04-29 2015-02-03 Quake Global, Inc. Method and apparatus for a deployable radio-frequency identification portal system
US20100031349A1 (en) * 2008-07-29 2010-02-04 White Electronic Designs Corporation Method and Apparatus for Secure Data Storage System
JP4592804B2 (ja) * 2008-12-26 2010-12-08 株式会社東芝 鍵管理装置および鍵管理システム
KR101565968B1 (ko) 2009-03-04 2015-11-05 삼성전자주식회사 데이터 보호를 위한 메모리, 이를 포함하는 메모리 시스템 및 이의 동작 방법
WO2011064883A1 (ja) * 2009-11-27 2011-06-03 株式会社東芝 メモリチップ
JPWO2011152065A1 (ja) * 2010-06-04 2013-07-25 パナソニック株式会社 コントローラ、制御方法、コンピュータプログラム、プログラム記録媒体、記録装置及び記録装置の製造方法
JP6010023B2 (ja) * 2011-04-25 2016-10-19 パナソニック株式会社 記録媒体装置及びコントローラ
JP2012256994A (ja) * 2011-06-08 2012-12-27 Hitachi-Lg Data Storage Inc コンテンツリスト及びコンテンツの配信装置及び配信方法
JP5100884B1 (ja) * 2011-12-02 2012-12-19 株式会社東芝 メモリ装置
US9075710B2 (en) * 2012-04-17 2015-07-07 SanDisk Technologies, Inc. Non-volatile key-value store
US8693694B2 (en) * 2012-06-15 2014-04-08 Kabushiki Kaisha Toshiba Information recording device
US20130336477A1 (en) * 2012-06-15 2013-12-19 Kabushiki Kaisha Toshiba Medium
US8948400B2 (en) * 2012-06-15 2015-02-03 Kabushiki Kaisha Toshiba Host device

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8027194B2 (en) 1988-06-13 2011-09-27 Samsung Electronics Co., Ltd. Memory system and method of accessing a semiconductor memory device
US7092308B2 (en) 2004-01-13 2006-08-15 Samsung Electronics Co., Ltd. Portable data storage apparatus
US20070106836A1 (en) 2005-11-10 2007-05-10 Jeong-Woo Lee Semiconductor solid state disk controller
US7509588B2 (en) 2005-12-30 2009-03-24 Apple Inc. Portable electronic device with interface reconfiguration mode
US20100010040A1 (en) 2008-07-11 2010-01-14 Lyn Howard Jones Triazol Derivatives Useful For The Treatment of Diseases
US20100062715A1 (en) 2008-09-09 2010-03-11 Samsung Electronic Co., Ltd. Portable electronic apparatus functioning as pen-table and computer system using the same
US20100082890A1 (en) 2008-09-30 2010-04-01 Jin Gyu Heo Method of managing a solid state drive, associated systems and implementations
US20100199081A1 (en) 2009-01-30 2010-08-05 Samsung Electronics Co., Ltd. Apparatus and method for downloading contents using an interior mass storage in a portable terminal
KR20110136797A (ko) 2009-02-13 2011-12-21 라보라뚜와르 이노떼라 편성된 탄력적 정맥 압박 보조기구의 하지 위에서의 지지를 평가하는 방법
US20100306583A1 (en) 2009-05-26 2010-12-02 Yong-June Kim Memory Systems and Defective Block Management Methods Related Thereto
US20100309237A1 (en) 2009-06-09 2010-12-09 Samsung Electronics Co., Ltd. Method and device for driving a plurality of display devices

Also Published As

Publication number Publication date
DE102012111793B4 (de) 2022-03-03
JP6140998B2 (ja) 2017-06-07
CN103164666B (zh) 2018-03-09
KR20130085536A (ko) 2013-07-30
US20130156195A1 (en) 2013-06-20
US9258111B2 (en) 2016-02-09
JP2013127791A (ja) 2013-06-27
KR101859646B1 (ko) 2018-05-18
CN103164666A (zh) 2013-06-19
US20130159733A1 (en) 2013-06-20

Similar Documents

Publication Publication Date Title
DE102012111793B4 (de) Speichervorrichtung zum Schützen von sicheren Daten und Verfahren zum Authentifizieren einer Speichervorrichtung unter Verwendung von sicheren Daten
CN100465938C (zh) 搜索存储在便携式存储装置中的权限对象的方法和设备
JP5813380B2 (ja) 半導体記憶装置
DE102013108394A1 (de) Verfahren zum Verwalten eines Schlüssels für sicheres Speichern von Daten und Vorrichtung dafür
CN103718185B (zh) 认证装置、被认证装置和认证方法
DE102013104167A1 (de) Ein-Chip-System, Verfahren zum Betreiben desselben und Vorrichtung mit dem Ein-Chip-System
DE102013105248A1 (de) Vorrichtung zum Erzeugen eines Sicherheitsschlüssels unter Verwendung einer Vorrichtungs-ID und von Benutzer-Authentifizierungsinformation
US9544138B2 (en) Authenticator, authenticatee and authentication method
DE102013207024A1 (de) Inhaltsaufzeichnungs- und -abspielgeräte, inhaltsspeichernder Server und Speicherbauelement
US8831229B2 (en) Key transport method, memory controller and memory storage apparatus
US20150078550A1 (en) Security processing unit with configurable access control
KR20220140046A (ko) 액세스 보호 기법을 안전화하기 위한 장치 및 방법
US20140115234A1 (en) Memory system comprising nonvolatile memory device and related method of operation
DE112020005459T5 (de) Delegation eines kryptografischen schlüssels an ein speichersubsystem
DE102018114266A1 (de) Nichtflüchtige speichervorrichtung mit sicherem lesen
DE102015010906A1 (de) Verfahren und Einrichtung zum Erzeugen von Inhaltsleere über Mülldaten, wenn Verschlüsselungsparameter geändert werden
DE102012103577A1 (de) Datenspeichervorrichtung, Kodierungseinheit, Systeme selbige umfassend und Verfahren zum Auslesen von Daten
DE102019110440A1 (de) Replay-Schutz für Speicher auf der Basis eines Schlüsselauffrischens
US20220247731A1 (en) Secure communication between an intermediary device and a network
DE112019007230T5 (de) Multimodus-Geschützter-Speicher
US20150121088A1 (en) Method of managing aligned and unaligned data bands in a self encrypting solid state drive
DE102020103846A1 (de) Verfahren zum Betreiben eines Speichersystems mit Gegenmaßnahme gegen Replay-Angriff und Speichersystem, das dasselbe durchführt
DE112021000149T5 (de) Verschlüsselung einer datenspeicherungsvorrichtung
EP3528165B1 (de) Verfahren zum verarbeiten eines kryptographischen schlüssels und prozessorchipkarte
US11216209B2 (en) Secure storage using a removable bridge

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final