本申请案涉及用于自加密驱动器的虚拟带集中。一种设备包含存储装置及主机装置。所述存储装置可经配置以分别在写入及读取操作期间加密及解密用户数据。所述主机装置通信地耦合到所述存储装置。所述主机装置可经配置以通过将第一数目个虚拟带集中到第二数目个真实带中而执行所述写入及读取操作,其中所述第二数目小于所述第一数目。
【技术实现步骤摘要】
用于自加密驱动器的虚拟带集中相关申请案交叉参考本申请案涉及2013年8月28日提出申请的第61/870,936号美国临时申请案,所述临时申请案特此以全文引用的方式并入本文中。
本专利技术一般来说涉及存储系统,且更特定来说,涉及一种用于实施自加密驱动器的虚拟带集中的方法及/或设备。
技术介绍
自加密驱动器(SED)通常采用硬件分别在写入及读取操作期间加密及解密用户数据。加密及解密是使用媒体加密密钥(MEK)来完成的。MEK通常为逻辑块地址(LBA)的函数,其中整个LBA空间被细分成数个LBA范围(称为“数据带”或简称为“带”),其中每一带具有唯一 MEK。由于硬件限制,SED在无严重性能降级的情况下可支持的带的数目受到限制(16将为相当高的数目)。具有比硬件支持的LBA范围的数目多的有效带将由于不断密钥交换而对性能具有负面影响。在传统实施方案中,从主机的观点来看,需要在单一 LBA范围中连续地存储主机依据单一验证密钥(AK)而具有对其的存取控制的用户数据。单一LBA范围或带限制使得某些类型的应用(如,虚拟机器-VM)难以完全从SED部署获益,这是因为VM可能需要许多(或许,数千)带才能实现存储装置的较灵活且高效的使用。 将期望具有用于自加密驱动器的虚拟带集中。
技术实现思路
本专利技术关于一种包含存储装置及主机装置的设备。所述存储装置可经配置以分别在写入及读取操作期间加密及解密用户数据。所述主机装置通信地耦合到所述存储装置。所述主机装置可经配置以通过将第一数目个虚拟带集中到第二数目个真实带中而执行所述写入及读取操作,其中所述第二数目可小于所述第一数目。 【附图说明】 依据以下详细描述及所附权利要求和图式,本专利技术的实施例将显而易见,图式中 图1是图解说明根据本专利技术的实施例的系统的图式; 图2是图解说明根据本专利技术的实施例的虚拟带集中器的主机部分的图式; 图3是图解说明根据本专利技术的实施例的虚拟带集中器的存储装置部分的图式; 图4是图解说明根据本专利技术的实施例的过程的图式; 图5是图解说明根据本专利技术的实施例的具有多个带的虚拟带管理器的图式;且 图6是图解说明根据本专利技术的实施例的具有带有一或多个带的多个虚拟带管理器的主机的图式。 【具体实施方式】 本专利技术的实施例包含提供用于自加密驱动器的虚拟带集中(VBC),其可(i)将虚拟带管理器(VBM)实施为虚拟机器管理器(VMM)的部分;(ii)在每输入/输出(I/O)基础上产生媒体加密密钥;(iii)用硬件加密/解密来支持数千个虚拟数据带;(iv)促进虚拟机器迁移;(V)在每数据带基础上启用密码擦除;(vi)减少SED需要支持的带的数目,同时在主机侧上仍支持多个虚拟带;(vii)将第一数目个虚拟带集中到显著较小的第二数目个真实带中;及/或(viii)允许由主机针对每一读取/写入操作供应验证数据。 在各种实施例中,提供一种用以动态地产生多个数据带的唯一媒体加密密钥(MEK)的方法及/或设备。术语“数据带”(或简单地“带”)通常是指逻辑块地址(LBA)范围。整个LBA空间被细分成数个LBA范围(带)。每一带与唯一 MEK相关联。MEK是基于由主机动态地提供的验证信息(例如,作为与用户验证操作相关联的“元数据”的部分)。动态地产生MEK通常是指按照每一 I/O操作创建新密钥的过程。MEK的动态产生通常描述为“即时的(on the fly)”。在各种实施例中,允许跨越多个带使用共同验证密钥(AK)以模拟需要用单一验证密钥管理的主机数据的逻辑块地址(LBA)空间的非连续带。密钥材料(例如,验证数据)由主机(例如,VM播放器或VM管理器-VMM等)针对每一读取/写入操作供应,这提供启用数千个(或更多)带的安全方法。 参考图1,展示实施根据本专利技术的实施例的虚拟带集中方案的系统100的图式。在各种实施例中,系统100可实施为自加密存储系统。在一些实施例中,系统100包括块101、块103及块105。块101包括实施根据本专利技术的实施例的带管理器及加密/解密电路的存储控制器。块103实施存储媒体。在一些实施例中,块103包括非易失性存储器(NVM)媒体(例如,磁性存储器、快闪存储器等)。然而,可相应地实施其它类型的媒体(例如,具有或不具有电池支持的易失性存储器)以满足特定应用的设计准则。不过,在易失性存储器的情况下,在电力丢失后,将损失安全性(及数据)。块105包括实施根据本专利技术的实施例的虚拟存储器管理器(VMM)的主机。块101及103操作地耦合以形成存储装置(SD) 102。SD 102及主机105经配置以彼此通信地耦合。 控制器101可经配置以控制一或多个个别存储器通道。在一些实施例中,控制器101可实施多个存储器通道控制器实例以控制多个存储器通道。控制器101具有经配置以将控制器101耦合到存储媒体103的媒体接口。在非易失性存储器(NVM)实施例中,存储媒体103可包括一或多个非易失性存储器装置107。在一些实施例中,非易失性存储器装置107具有一或多个非易失性存储器目标(例如,裸片、磁盘板等)109。根据非易失性存储器装置107中的特定一者的类型,特定非易失性存储器装置107中的多个非易失性存储器目标109可任选地及/或选择性地并行存取。非易失性存储器装置107通常表示经启用以通信地耦合到控制器101的一种类型的存储装置。然而,在各种实施例中,可使用任何类型的存储装置,例如,磁性存储装置、光学存储装置、SLC (单电平单元)NAND快闪存储器、MLC (多电平单元)NAND快闪存储器、TLC (三电平单元)NAND快闪存储器、NOR快闪存储器、电可编程只读存储器(EPROM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、磁阻随机存取存储器(MRAM)、铁磁性存储器(例如,FeRAM, F-RAM、FRAM等)、相变存储器(例如,PRAM、PCRAM等)、赛道式存储器(或畴壁存储器(DWM))、电阻式随机存取存储器(RRAM或ReRAM),或者任何其它类型的存储器装置或存储媒体。 在一些实施例中,控制器101及非易失性存储器媒体103实施于单独集成电路(或装置)上。当控制器101及非易失性存储器媒体103实施为单独集成电路(或装置)时,控制器101的媒体接口通常经启用以管理多个数据输入/输出(I/O)引脚及多个控制I/o引脚。数据I/O引脚及控制I/O引脚可经配置以将含有控制器101的装置连接到形成非易失性存储器媒体103的外部装置。在各种实施例中,控制器101实施为嵌入式控制器。在各种实施例中,控制器101及NVM媒体103实施固态混合硬盘驱动器(SSHD)、硬盘驱动器(HDD)或固态驱动器/磁盘(SSD)。 控制器101还具有经配置以接收命令且将响应发送到主机105的命令接口。在实施多个非易失性存储器装置的实施例中,控制器101包含:至少一个NVM控制处理器,其经由专属过程来管理非易失性存储器装置;及主机处理器,其根据其它过程来管理主机接口。NVM控制处理器及主机处理器经由预定义接口进行通信。主机处理器将主机命令传达到NVM控制处理器,所述NVM控制处理器根据预定义通信接口(或协议)来处理本文档来自技高网...
【技术保护点】
一种设备,其包括:存储装置,其经配置以分别在写入及读取操作期间加密及解密用户数据;及主机装置,其经配置以通信地耦合到所述存储装置,所述主机装置进一步经配置以通过将第一数目个虚拟带集中到第二数目个真实带中而执行所述写入及读取操作,其中所述第二数目小于所述第一数目。
【技术特征摘要】
2013.08.28 US 61/870,936;2013.09.23 US 14/033,7531.一种设备,其包括: 存储装置,其经配置以分别在写入及读取操作期间加密及解密用户数据;及 主机装置,其经配置以通信地耦合到所述存储装置,所述主机装置进一步经配置以通过将第一数目个虚拟带集中到第二数目个真实带中而执行所述写入及读取操作,其中所述第二数目小于所述第一数目。2.根据权利要求1所述的设备,其中所述主机装置包括经配置以将所述第一数目个虚拟带映射到所述第二数目个真实带的虚拟机器管理器。3.根据权利要求1所述的设备,其中所述虚拟机器管理器包括经配置以将所述第一数目个虚拟带映射到所述第二数目个真实带的一或多个虚拟带管理器。4.根据权利要求1所述的设备,其中所述一或多个虚拟带管理器中的每一者经配置以将一定数目个所述虚拟带映射到所述第二数目个真实带中的一或多者。5.根据权利要求1所述的设备,其中所述存储装置包括经配置以存储密钥材料的带管理器。6.根据权利要求3所述的设备,其中所述带管理器包括不透明密钥存储装置。7.根据权利要求1所述的设备,其中所述存储装置包括加密与解密模块。8.根据权利要求1所述的设备,其中所述加密与解密模块是以硬件实施的。9.根据权利要求1所述的设备,其中从安全观点来看,每一虚拟带仍借助唯一验证及加密密钥而受到完全保护。10.根据权利要求1所述的设备,其中所述第二数目显著小于所述第...
【专利技术属性】
技术研发人员:杰里米·沃纳,利奥尼德·巴于丁,
申请(专利权)人:LSI公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。