[发明专利]管理用于数据的安全存储的密钥的方法及其设备

权利要求书

1.一种密钥管理器，包括：

主控制器，被配置为处理命令；

密码单元，被配置为

基于主控制器处理命令的结果，对第一密钥进行加密以形成加密密钥或者对数据进行加密以形成加密数据，并且

基于主控制器处理命令的结果，对加密密钥或加密数据进行解密；

散列单元，被配置为根据主控制器的控制来散列第一密钥；

解密密钥存储器，被配置为存储第一密钥；以及

加密密钥存储器，被配置为存储加密密钥。

2.如权利要求1所述的密钥管理器，其中，主控制器包括：

寄存器，被配置为存储命令；以及

处理器，被配置为基于命令在有限状态机内的多个状态之间切换。

3.如权利要求2所述的密钥管理器，其中，寄存器包括：

命令寄存器，被配置为存储命令；以及

状态寄存器，被配置为存储与命令相关联的状态信息。

4.如权利要求3所述的密钥管理器，其中，命令包括命令类型和地址，其中，所述地址是解密密钥存储器中的第一密钥和加密密钥存储器中的加密密钥中的一个的地址。

5.如权利要求4所述的密钥管理器，其中，命令包括密钥产生命令、密钥加密命令、密钥解密命令、密钥加载命令和密钥销毁命令中的一个。

6.如权利要求1所述的密钥管理器，其中，第一密钥是被配置为对密钥进行加密的密钥加密密钥（KEK）或被配置为对数据进行加密的数据加密密钥（DEK）。

7.如权利要求6所述的密钥管理器，还包括：

一次性可编程（OTP）存储器，被配置为产生KEK；以及

随机数产生器，被配置为产生DEK。

8.如权利要求7所述的密钥管理器，其中，加密密钥包括：

第一加密密钥部分、第二加密密钥部分和散列值，第一加密密钥部分包括第一密钥的第一部分和由随机数产生器产生的随机数的第一部分，并且第二加密密钥部分包括第一密钥的第二部分和所述随机数的第二部分。

9.如权利要求1所述的密钥管理器，其中，密码单元包括：

密钥寄存器，被配置为存储加密密钥；

输入数据寄存器，被配置为存储数据；以及

输出数据寄存器，被配置为存储加密数据和解密密钥中的一个或多个。

10.如权利要求9所述的密钥管理器，还包括：

调试模式模块，被配置为允许主机在测试模式期间访问密钥寄存器、输入数据寄存器和输出数据寄存器。

11.如权利要求10所述的密钥管理器，其中，调试模式模块包括：

调试模式寄存器，包括测试模式使能位、随机数使能位和保留位；以及

调试模式使能逻辑单元，被配置为响应于测试模式使能位和随机数使能位来使得能够进行测试模式。

12.如权利要求1所述的密钥管理器，其中，密码单元、散列单元、解密密钥存储器和加密密钥存储器在硬件中实现。

13.如权利要求1所述的密钥管理器，其中，主控制器被配置为允许主机读取存储在加密密钥存储器中的加密密钥，并防止主机访问解密密钥存储器、密码单元和散列单元。

14.一种管理第一密钥的方法，所述方法包括：

处理命令寄存器中存储的命令；

如果命令是密钥产生命令，则使用随机数产生器产生第一随机数，并将所产生的随机数作为解密密钥存储在解密密钥存储器中；以及

如果命令是密钥加密命令，则产生加密密钥，产生加密密钥的步骤包括：

对解密密钥进行加密以形成加密密钥，

将加密密钥存储在加密密钥存储器中，并且

从加密密钥存储器读取并输出加密密钥。

15.如权利要求14所述的方法，其中，命令包括加密密钥和解密密钥中的一个的命令类型和地址。