一种操作主机控制器接口的方法,包括:从主存储器接收包括扇区信息的缓冲区描述符;通过使用缓冲区描述符中所包括的源地址来取数据;使用扇区信息,选择安全策略表中所包括的多个记录其中之一;和,通过使用所选记录中所包括的安全策略,确定是否加密所取的数据。
【技术实现步骤摘要】
安全管理单元、包括它的主机控制器接口及其操作方法相关专利申请的交叉引用要求2012年10月19日在韩国知识产权局递交的第10-2012-0116890号韩国专利申请的优先权,其主题通过引用被全部包含于此。
本专利技术构思涉及主机控制器接口。更具体地,本专利技术构思涉及主机控制器接口中的安全管理单元,所述安全管理单元能够根据对应存储设备的区域来管理安全策略。本专利技术构思还涉及操作包括所述安全管理单元的主机控制器接口的方法,以及包括这种主机控制器接口的设备。
技术介绍
数据安全是当代计算机系统内的存储设备的设计和操作中的重要考虑。有效的数据安全方法必须防止对被存储数据的未授权访问,无论这种访问企图读取、操纵、变更、篡改、伪造还是提取被存储的数据。有效的数据安全方法也必须防止外部代理程序(externalagent)阻止合法用户访问存储的数据。在被存储的数据期间,主机控制器接口与对应的存储设备之间的数据总线(和由数据总线传递的相称的数据信号)经常被作为目标。结果,很多常规系统将对在主机控制器接口和存储设备之间传递的数据进行加密。为此目的,各种加密方法和/或加密模块可被结合主机控制器接口使用。只要数据安全策略被跨越存储设备的所有区域施加于所有被存储的数据,这种常规方法就相当有效。即,当使用所谓的“安全处理器”来管理用于存储设备的特定数据安全策略时,在数据处理必须由“非安全处理器”执行时,遇到巨大的开销。实际上,在具有不同数据安全策略的数据之间切换的处理器降低了所构成计算机系统的总体性能。
技术实现思路
本专利技术构思的某些实施例提供了包括安全策略表的安全管理单元,所述安全策略表可被用来根据存储设备的特定区域而有区别地管理安全策略。使用这些安全管理单元易于使计算机系统内通常因安全策略上的改变而出现的计算开销最小化。本专利技术构思的某些实施例提供了一种包括这种类型的安全管理单元的主机控制器接口。本专利技术构思的某些实施例提供了操作包括这种类型的安全管理单元的主机控制器接口的方法,以及包括这种主机控制器接口的设备。在一个实施例中,本专利技术构思提供了一种方法,包括:从主存储器接收包括扇区信息的缓冲区描述符;通过使用缓冲区描述符中所包括的源地址取数据;使用扇区信息从安全策略表选择记录;和,使用由所选记录定义的安全策略确定是否加密所取的数据。在另一实施例中,本专利技术构思提供了一种安全管理单元,包括:存储在存储器中并包括第一记录和第二记录的安全策略表,第一记录和第二记录分别定义用于存储设备的第一区域和第二区域的第一安全策略和第二安全策略;和,扇区访问控制逻辑,被配置成响应于缓冲区描述符中所包括的扇区信息,在第一记录和第二记录之间选择,并提供指示根据第一安全策略还是第二安全策略来加密数据的第一控制信号。在另一实施例中,本专利技术构思提供了一种主机控制器接口,包括:存储控制器,其使用缓冲区描述符中所包括的源地址从主存储器读取数据,并响应于缓冲区描述符中所包括的扇区信息提供扇区密钥;安全管理单元,其响应于扇区密钥,从存储在存储器中的安全策略表选择记录,并提供定义了与所选记录对应的安全策略的第一控制信号;和,数据保护器,其响应于第一控制信号确定是否对数据执行加密操作,其中,安全策略表包括多个记录,每一记录分别定义用于存储设备中的多个区域中的至少一个的对应安全策略。在另一实施例中,本专利技术构思提供了一种计算机系统,包括:存储设备,其包括多个区域;中央处理单元(CPU),其在运行访问所述多个区域中的区域的应用程序时生成缓冲区描述符;主存储器,其存储缓冲区描述符和数据;和,主机控制器接口,其使用缓冲区描述符中所包括的源地址从主存储器读取数据,响应于扇区信息选择多个记录其中之一,并基于由所选记录定义的安全策略确定是否对数据执行加密操作,其中,多个记录中的每一个管理用于存储设备中的多个区域的每一个的不同安全策略。附图说明图1是根据本专利技术构思实施例的计算机系统的框图;图2是根据本专利技术构思另一实施例的计算机系统的框图;图3是示出可在图1和图2的计算机系统中使用的缓冲区描述符的一个例子的概念图;图4是用于图1的存储设备的部分存储器映射的框图;图5是示出可在图1和图2的计算机系统中使用的主机控制器接口的框图;图6是示出可在图5的安全管理单元中使用的安全策略表的概念图;图7是进一步示出图5的安全管理单元的框图;图8是示出根据本专利技术构思实施例的用于直接存储器访问操作的初始化操作的操作图;图9,包括图9A和图9B,是流程图,示出根据本专利技术构思的实施例的用于直接存储器访问操作的操作方法;图10是示出可在图5的安全管理单元中使用的另一安全策略表的概念图;图11是进一步示出如被图10的安全策略表修改的、图9的直接存储器访问操作的部分的部分流程图;图12是当在本专利技术构思的实施例中使用嵌入式多媒体卡(eMMC)时可被存储在安全策略表中的信号的列表;图13是可被包括在图5的安全管理单元中的又一安全策略表的概念图;图14是示出可在图1和图2的计算机系统中使用的缓冲区描述符的另一例子的概念图;图15、图16和图17是示出可在图1和图2的计算机系统中使用的主机控制器接口的其他例子的相应框图;和图18是根据本专利技术构思另一实施例的计算机系统的框图。具体实施方式现在将参考附图更详细地描述本专利技术构思的实施例。但是,本专利技术构思可被以很多不同的形式具体实施,并且不应被理解为仅限于所示出的实施例。相反,提供这些实施例以使本公开将会透彻和完整,并且将向本领域技术人员全面地传达本专利技术构思的范围。贯穿上面描述和附图,相同的参考数字和标记代表相同或者类似的元素。将会理解,当一元件被称为被“连接”或者“耦合”到另一元件时,其可以直接连接或者耦合到另一元件,或者,可能存在居间的元件。相反,当一元件被称为被“直接连接”或者“直接耦合”到另一元件时,不存在居间的元件。如这里所使用的,术语“和/或”包括相关联的被列出项目中的一个或更多个的任意和所有组合,并可以被缩写为“/”。将会理解,尽管这里可能使用术语第一、第二等来描述各种元件,但是这些元件不应被这些术语限制。这些术语只被用来将一个元件与另一个加以区分。例如,第一信号可以被称为第二信号,并且类似地,第二信号可以被称为第一信号而不偏离本公开的教导。这里使用的术语仅仅是为了描述特定实施例,并非旨在限制本专利技术构思。如这里所使用的,单数形式“一”、“一个”和“该”预期也包括复数形式,除非上下文清楚地另有指示。还将会理解,术语“包含”或“包括”在本说明书中被使用时,规定了存在所陈述的特征、区域、部分、步骤、操作、元件,和/或部件,但是不排除存在或者添加一个或更多个其他的特征、区域、部分、步骤、操作、元件、部件,和/或其组。除非另外定义,否则这里使用的所有术语(包括技术和科学术语)具有和本专利技术所属
的技术人员通常理解的相同的含义。还将会理解,例如在常用词典中定义的那些的术语应该被解释为具有与其在相关技术和/或本专利技术的上下文中的含义相符的含义,并且将不会以理想化或者过于形式化的意义解释,除非这里明确地如此定义。这里使用术语“计算机系统”来宽泛地代表能够对要被存储在数据存储设备中的数据和/或从数据存储设备取回的数据执行某种形式的数据处理的数字平台。计算机系统将包括一般可以被称作“处本文档来自技高网...
【技术保护点】
【技术特征摘要】
2012.10.19 KR 10-2012-01168901.一种操作主机控制器接口的方法,所述方法包含:从主存储器接收包括扇区信息的缓冲区描述符;通过使用缓冲区描述符中所包括的源地址取数据;使用扇区信息从安全策略表选择记录;和使用由所选记录定义的安全策略确定是否加密所取的数据。2.如权利要求1所述的方法,其中,缓冲区描述符被访问由扇区信息指示的、存储设备的区域的应用程序生成。3.如权利要求2所述的方法,还包含:把用于所选记录的安全等级信息和用于应用程序的安全等级信息进行比较以生成比较结果;和响应于比较结果,确定是否在由扇区信息指示的、存储设备的区域中写数据。4.如权利要求2所述的方法,还包含:把用于所选记录的访问操作信息和用于所取数据的输入/输出操作信息进行比较,以生成比较结果;和响应于比较结果,确定是否在由扇区信息指示的、存储设备的区域中写数据。5.如权利要求1所述的方法,其中,安全策略表被存储在主存储器中。6.如权利要求1所述的方法,其中,缓冲区描述符包含源地址、目的地地址和数据长度。7.如权利要求6所述的方法,其中,缓冲区描述符还包含私有密钥,并且所述方法还包含使用私有密钥加密所取数据。8.一种安全管理单元,包含:存储在存储器中并包括第一记录和第二记录的安全策略表,第一记录和第二记录分别定义用于存储设备的第一区域和第二区域的第一安全策略和第二安全策略;扇区访问控制单元,被配置成响应于缓冲区描述符中所包括的扇区信息,在第一记录和第二记录之间选择,并提供指示根据第一安全策略还是第二安全策略来加密数据的第一控制信号。9.如权利要求8所述的安全管理单元,还包含:表访问控制单元,被配置成响应于由安全中央处理单元(CPU)提供的表更新命令,在第一安全策略和第二安全策略之间改变。10.如权利要求8所述的安全管理单元,其中,第一安全策略和第二安全策略中的每一个均包括安全等级信息和访问操作信息其中至少一个。11.如权利要求10所述的安全管理单元,其中,扇区访问控制单元还被配置成接收扇区信息和安全等级信号、把用于所选记录的安全等级信息和用于当前应用程序的安全等级信息进行比较,并提供允许访问存储设备的区域的第二控制信号。12.如权利要求10所述的安全管理单元,其中,扇区访问控制单元还被配置成接收扇区信息和访问操作信号,把用于所选记录的访问操作信息和数据访问操作信息进行比较,并提供允许访问存储设备的区域的第二控制信号。13.如权利要求8所述的安全管理单元,其中,安全管理单元被配置在主机控制器接口内。14.一种主机控制器接口,包含:存储控制器,其使用缓冲区...
【专利技术属性】
技术研发人员:金宽浩,金奭旼,李宪洙,
申请(专利权)人:三星电子株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。