[发明专利]安全子系统

说明书

在一个实施例中描述用于使用专用安全处理器来执行安全操作的设备及方法。所述设备包含：安全性固件，其界定安全操作；处理器，其经配置以执行所述安全性固件且执行限于所述安全操作的一组操作；及多个安全硬件寄存器，其可由所述处理器存取且经配置以接收指令以执行所述安全操作。在另一实施例中描述一种用于使用多个安全性辅助硬件电路来执行安全操作的设备。所述设备包括：一或多个安全硬件寄存器，其经配置以接收命令以执行安全操作；及一或多个安全性辅助硬件电路，其经配置以使用一或多个秘密数据对象来执行离散安全操作。

背景技术

数据安全性是制造存储系统(例如固态驱动器(SSD)、硬盘驱动器(HDD)、磁带驱动器、光学驱动器等)中的优先考虑事项。防止对秘密数据对象(例如加密密钥)的存取使个体、企业及政府对存储系统适应日益增加的电子存储信息量而不牺牲安全性的能力有信心。传统存储系统在单个芯片上系统(SOC)设计上集成控制器，所述设计包含用于执行安全操作的处理器、用于存取秘密数据对象且对其执行操作的固件及存储于内部SOC存储器内的安全信息(例如加密密钥)。在此类配置中，SOC的边界(例如，存取SOC的组件的各种连接及构件)是秘密数据对象(例如加密密钥或用来导出加密密钥的密钥)可在其中保证安全的最小边界。即，秘密数据对象仅和SOC一样安全，且可存取SOC的组件(例如，处理器)的任何装置也可存取秘密数据对象。

发明内容

本申请案涉及用于使用专用安全处理器执行安全操作的设备及方法。

一方面，一种设备包含：存储器装置，其经配置以存储一或多个秘密数据对象；处理器，其经配置以执行安全性固件且执行限于用于操纵所述一或多个秘密数据对象的多个操作的一组操作；及多个安全硬件寄存器，其可由所述处理器存取且经配置以接收执行所述安全操作的指令。

另一方面，一种设备包含：内部存储器装置，其用于存储一或多个秘密数据对象；一或多个安全硬件寄存器，其经配置以接收使用所述一或多个秘密数据对象来执行操作的命令；及一或多个安全性辅助硬件电路，其经配置以使用所述一或多个秘密数据对象来执行离散操作。

另一方面，一种方法包含：在安全硬件寄存器接收使用一或多个秘密数据对象来执行安全操作的请求；使用专用安全处理器执行所述安全操作；及响应于执行所述安全操作将值传输到不安全硬件寄存器，其中所述安全硬件寄存器、所述一或多个秘密数据对象及所述专用安全处理器经定位于安全边界内。

另一方面，一种设备包含：存储器存取电路，其经配置以接收指令以执行存储器操作，其中所述存储器操作中的至少一者操纵秘密数据对象；及安全子系统电路，其经配置以从所述存储器存取电路接收指令以通过操纵所述秘密数据对象执行所述至少一个存储器操作。

另一方面，一种方法包含：在安全硬件寄存器处接收执行涉及一或多个秘密数据对象的安全操作的请求；识别经配置以执行所述安全操作的多个安全性辅助硬件电路中的一或多者；及使用所述一或多个经识别安全性辅助硬件电路来执行所述安全操作。

附图说明

图1是根据本发明的实施例的包含数据存储系统的设备的功能框图。

图2是根据本发明的实施例的包含具有安全子系统的数据存储系统的设备的功能框图。

图3是描绘根据图2的实施例的用于执行安全操作的操作步骤的流程图。

图4是根据本发明的实施例的包含具有安全子系统的数据存储系统的设备的功能框图。

图5是描绘根据图4的实施例的用于执行安全操作的操作步骤的流程图。

图6是描绘根据本发明的实施例的用于执行安全操作的操作步骤的流程图。

具体实施方式