将密码密钥委托给存储器子系统的制作方法

技术特征：
1.一种系统，其包括：存储器组件；以及存储器子系统控制器，其以操作方式与所述存储器组件耦合以执行包括以下各项的操作：从主机系统接收包括新公钥的密钥委托请求；基于接收到所述请求，基于所述新公钥和根公钥生成质询；响应于所述密钥委托请求向所述主机系统提供所述质询；从所述主机系统接收通过用对应于所述新公钥的新私钥对所述质询进行密码签名而生成的第一数字签名；从所述主机系统接收通过用对应于所述根公钥的根私钥对所述质询进行密码签名而生成的第二数字签名；使用所述新公钥验证所述第一数字签名；使用所述根公钥验证所述第二数字签名；以及基于验证所述第一数字签名和所述第二数字签名，在一或多个密码操作中利用所述新公钥。2.根据权利要求1所述的系统，其还包括易失性存储器组件；其中所述操作还包括：基于验证所述第一数字签名和所述第二数字签名而将所述新公钥复制到所述易失性存储器组件。3.根据权利要求2所述的系统，其还包括非易失性存储器组件以存储所述根公钥；其中所述操作还包括：从所述主机系统接收使所述新公钥永久化的命令，以及基于所述命令，将所述新公钥存储在所述非易失性存储器组件中。4.根据权利要求1所述的系统，其中所述质询包括临时数、所述新公钥和所述根公钥。5.根据权利要求4所述的系统，其中所述质询的所述生成包括：生成所述临时数，所述临时数包括随机数；以及组合所述临时数、所述新公钥和所述根公钥。6.根据权利要求1所述的系统，其中：安全服务器存储所述根私钥；且安全执行环境存储所述新私钥。7.根据权利要求6所述的系统，其中：所述安全服务器包括硬件安全模块(hsm)；且所述安全执行环境包括便携式hsm、智能卡或第二安全服务器中的一者。8.根据权利要求1所述的系统，其中：使用所述新公钥对所述第一数字签名的所述验证包括：使用所述新公钥基于所述质询生成第一散列数据；使用所述新公钥解密所述第一数字签名，对所述第一数字签名的所述解密产生第一经解密数据；以及将所述第一散列数据与所述第一经解密数据进行比较；
使用所述根公钥对所述第二数字签名的所述验证包括：使用所述根公钥基于所述质询生成第二散列数据；使用所述根公钥解密所述第二数字签名，对所述第二数字签名的所述解密产生第二经解密数据；以及将所述第二散列数据与所述第二经解密数据进行比较。9.根据权利要求1所述的系统，其还包括密钥存储区，所述密钥存储区包括存储器以存储所述根公钥。10.根据权利要求1所述的系统，其还包括主机接口，其中经由所述主机接口接收所述密钥委托请求、所述第一数字签名和所述第二数字签名。11.一种方法，其包括：从主机系统接收包括新公钥的密钥委托请求；基于接收所述请求，由一或多个硬件处理器基于所述新公钥和根公钥生成质询；响应于所述密钥委托请求向所述主机系统提供所述质询；从所述主机系统接收通过用对应于所述新公钥的新私钥对所述质询进行密码签名而生成的第一数字签名；从所述主机系统接收通过用对应于所述根公钥的根私钥对所述质询进行密码签名而生成的第二数字签名；由所述一或多个硬件处理器使用所述新公钥验证所述第一数字签名；由所述一或多个硬件处理器使用所述根公钥验证所述第二数字签名；以及基于验证所述第一数字签名和所述第二数字签名，在一或多个密码操作中利用所述新公钥。12.根据权利要求11所述的方法，其还包括基于验证所述第一数字签名和所述第二数字签名而将所述新公钥复制到易失性存储器组件。13.根据权利要求12所述的方法，其还包括：从所述主机系统接收使所述新公钥永久化的命令，以及基于所述命令，将所述新公钥存储在非易失性存储器组件中。14.根据权利要求11所述的方法，其中所述质询包括临时数、所述新公钥和所述根公钥。15.根据权利要求14所述的方法，其中所述质询的所述生成包括：生成所述临时数，所述临时数包括随机数；以及组合所述临时数、所述新公钥和所述根公钥。16.根据权利要求13所述的方法，其中：安全服务器存储所述根私钥；且安全执行环境存储所述新私钥。17.根据权利要求16所述的方法，其中：所述安全服务器包括硬件安全模块(hsm)；且所述安全执行环境包括便携式hsm、智能卡或第二安全服务器中的一者。18.根据权利要求17所述的方法，其中：使用所述新公钥对所述第一数字签名的所述验证包括：
使用所述新公钥基于所述质询生成第一散列数据；使用所述新公钥解密所述第一数字签名，对所述第一数字签名的所述解密产生第一经解密数据；以及将所述第一散列数据与所述第一经解密数据进行比较；使用所述根公钥对所述第二数字签名的所述验证包括：使用所述根公钥基于所述质询生成第二散列数据；使用所述根公钥解密所述第二数字签名，对所述第二数字签名的所述解密产生第二经解密数据；以及将所述第二散列数据与所述第二经解密数据进行比较。19.根据权利要求11所述的方法，其中所述一或多个硬件处理器对应于存储器子系统控制器。20.一种包括指令的非暂时性计算机可读存储媒体，所述指令在由处理装置执行时配置所述处理装置以执行包括以下各项的操作：从主机系统接收包括新公钥的密钥委托请求；基于接收到所述请求，基于所述新公钥和根公钥生成质询；响应于所述密钥委托请求向所述主机系统提供所述质询；从所述主机系统接收通过用对应于所述新公钥的新私钥对所述质询进行密码签名而生成的第一数字签名；从所述主机系统接收通过用对应于所述根公钥的根私钥对所述质询进行密码签名而生成的第二数字签名；使用所述新公钥验证所述第一数字签名；使用所述根公钥验证所述第二数字签名；以及基于验证所述第一数字签名和所述第二数字签名，在一或多个密码操作中利用所述新公钥。

技术总结
从主机系统接收密钥委托请求。所述密钥委托请求包含新公钥。基于所述新公钥和根公钥生成质询，且响应于所述请求而将所述质询提供到所述主机系统。从所述主机系统接收第一数字签名和第二数字签名。所述第一数字签名通过使用对应于所述新公钥的新私钥对所述质询进行密码签名而生成，且所述第二数字签名通过使用对应于所述根公钥的根私钥对所述质询进行密码签名而生成。使用所述新公钥验证所述第一数字签名，且使用所述根公钥验证所述第二数字签名。基于两个签名的成功验证，在一或多个密码操作中利用所述新公钥。操作中利用所述新公钥。操作中利用所述新公钥。


技术研发人员：J
受保护的技术使用者：美光科技公司
技术研发日：2020.11.06
技术公布日：2022/7/28