公开了用于在存储设备中提供可检验安全的技术。针对保护诸如硬盘驱动器之类的存储设备上的数据,提供了可检验安全模式。当使能可检验安全模式时,在输入口令字之后,仅允许对存储于存储设备上的数据的认证存取。阻止终端用户禁止可检验安全模式。可检验安全模式可以设置为允许或不允许管理员禁止可检验安全模式。可以在例如硬盘驱动器(HDD)上的固件中实现可检验安全模式。
【技术实现步骤摘要】
本专利技术涉及存储设备,且更具体地,涉及用于为诸如硬盘驱动器之类的 存储设备的内容提供安全的技术。
技术介绍
在近些年中,州和联邦级的强保密立法的制定已经向商业机构施加了保 护其数据的压力。由于该项立法,对公司来说,证明数据是安全的已经变得更加重要。AT附件(ATA )是用于在个人计算机内部连接诸如硬盘和CD-ROM驱 动器之类的存储设备的标准接口。 ATA规范包含安全锁定机制,其保护存储 于诸如硬盘驱动器之类的存储设备上的数据。安全锁定机制提供两种口令字, 用户口令字和主口令字。口令字用于提供对存储设备上的数据的存取控制。通过使用安全设置口令字指令设置用户口令字可以使能存取控制。 一旦 已经使能存取控制,只要硬盘驱动器(HDD)接通电源则其自动进入锁定状 态。在该锁定状态中,硬盘驱动器不允许存取其数据并且仅接受诸如标识设 备之类的有限数量的指令。带有用户口令字的安全解锁指令暂时性地解锁 HDD直到其下一个电源周期为止。当冷启动计算机时,硬盘驱动器再次锁定 数据。通过输入用户口令字和安全禁止指令可以永久地禁止存取控制特征, 仅当HDD处于解锁状态中才可以发布用户口令字和安全禁止指令。一旦已经 禁止存取控制特征,则用户可以在重启之后存取HDD上的数据,而无需输入 口令字。通过当设置口令字之一 (主或用户)时指定的安全级别(高,,或最高,,) 的设置来确定主口令字的功能。当安全级别设置为高,,时,如果丢失用户口 令字则主口令字可以解锁数据。当选择最高安全级别时,仅用户口令字提 供对数据的存取。最高安全级别禁止用于存取数据或关闭安全锁定机制的主 口令字的使用。在最高安全级别中,在执行盘的安全擦除之后,管理员可以使用主口令字仅解锁数据。安全擦除指令擦除盘上的所有数据并禁止存取控制机制。可以在HDD处于解锁状态时或当HDD处于高安全级别时使用主口令字的认 证之后发布安全擦除指令。ATA安全解锁机制保证只要安全锁定机制没有关闭就不能存取数据。然 而,由于可以使用用户口令字使能安全禁止指令,因此商业机构中面临雇员 可能在数据丟失或被盗之前关闭安全锁定机制的风险。因此,期望提供用于控制对存储设备上数据的存取的更安全的技术。
技术实现思路
本专利技术提供了用于保护诸如硬盘驱动器之类的存储设备上的数据的可检 验安全模式。当使能可检验安全模式时,在输入口令字之后仅允许经认证的 对存储于存储设备上的数据的存取。阻止终端用户禁止可检验安全模式。可 以设置可检验安全模式来允许或不允许管理员禁止可检验安全模式。可以在 例如硬盘驱动器(HDD)上的固件中实现可检验安全模式。在考虑下面详细的描述和附图的情况下,本专利技术的其他目标、特征和特 点将变得明显。附图说明图1图解根据本专利技术的实施例的、 上的数据的硬盘驱动器的示例。图2图解根据本专利技术的实施例的、 硬盘驱动器的布置过程的状态图。图3图解根据本专利技术的实施例的、 全模式中运行的系统。批量加密(bulk encrypt)存储于硬盘 描绘对于放置于可检验安全模式中的 用于检查硬盘驱动器是否在可检验安具体实施方式上述ATA安全特征提供了某种程度的数据安全。然而,由于在计算机的 基本的输入/输出系统(BIOS)中维持ATA安全特征,因此通过主动地交换 电子卡或使用强制媒体扫描可以相对容易地避开ATA 口令字。攻击的典型模 式是向另 一台机器传送HDD,以便避开操作系统存取控制。可以批量地加密硬盘上的数据,以防止这些类型的攻击。批量加密可以用于增强由ATABIOS安全锁定机制提供的数据安全保护的级别。可选择地, 批量加密可以与一些其他的存取控制方案(除了 ATABIOS 口令字之外)链 接。批量加密数据可以防止将带有客户数据的HDD向未授权的个人公开。例如,批量加密阻止未授权的用户通过使用强制媒体扫描或主动地交换 电子卡以避开由BIOS控制的ATA安全特征来存取加密硬盘上的数据。批量 加密也可以用于使能HDD上的数据的快速安全擦除,或简化所使用的系统的 布置和解除(decommission)。另外,当客户的数据丟失或被盗时,批量加密 可以提供针对报告义务的保护。图1图解根据本专利技术的实施例的、批量加密存储于硬盘上的数据的硬盘 驱动器102的示例。主机操作系统(OS) 101通过ATA接口 103与硬盘驱动 器102通信。ATA接口 103 —般由存储于BIOS中的软件管理。ATA接口 103 使用上述安全锁定机制控制对存储于硬盘驱动器102中的数据的存取。主机 OS 101通过ATA接口 103向硬盘驱动器102发送口令字,以解锁存储于驱动 器102中的数据。 一旦解锁数据,则主机OS 101通过ATA接口 103向硬盘 驱动器102发送读/写指令和数据,并且硬盘驱动器102响应于读指令通过 ATA接口 103向主机OS 101返回数据。硬盘驱动器(HDD) 102包含片上系统(SOC) 104,其包括加密引擎 105。加密引擎105可以以硬件、软件或在硬件和软件实现。SOC104从ATA 口令字中产生批量加密密钥106。加密引擎105使用批量加密密钥106加密 存储于硬盘的盘表面107上的数据。结果,加密所有存储于盘表面107的数 据108。所加密的数据108仅可以使用加密密钥才能存取。客户机中的基本输入/输出系统(BIOS)监控和管理所有向硬盘驱动器 (HDD)发布的ATA安全指令。根据本专利技术的实施例,BIOS中的安全特征 可以阻止终端用户禁止存取控制或不输入主口令字就执行磁盘上的数据的安 全擦除。为加强这些限制,不论系统从哪里启动,BIOS最好总在系统中感 兴趣的主HDD上执行冻结锁定(freeze lock )。然而,原则上,确定的终端用 户可以通过从系统拆走HDD并将其安装在另 一台机器上来避开任何BIOS限 制。除了基于BIOS的ATA安全锁定机制之外,根据本专利技术的另一实施例, 还可以通过硬盘驱动器(HDD)中的固件实现附加的安全特征。当使能附加 的安全特征时,将HDD放置于不可以被禁止的可检验安全模式中。附加的安全特征将HDD放置于可证实的安全状态中。例如,硬盘驱动器可以禁止安全禁止口令字指令以提供附加的安全特征。 当禁止安全禁止口令字指令时,硬盘驱动器阻止用户禁止用户口令字。该另 外的安全特征阻止用户禁止每一次计算机重启或复位时都要求输入用户口令 字的ATA安全特征。因此,用户不可以使HDD脱离安全状态。当禁止安全禁止口令字指令时,在没有用户口令字的重启或复位之后硬 盘驱动器控制器中的固件不接受来自主机OS的数据存取。如果没有输入用 户口令字,则HDD进入其中阻塞对HDD的数据存取的锁定状态。可选择地, 硬盘驱动器可以阻止管理员禁止主口令字。即使当禁止安全禁止口令字指令时,仍然可以允许用户在输入当前用户 口令字之后改变用户口令字。硬盘驱动器可以通过要求用户和/或主口令字具 有最小数目的字符和/或最小数目的特定类型的字符来施加进一步的限制。作为另一示例,可以将硬盘驱动器放置于要求输入主口令字以执行安全 擦除单元指令的安全模式中。在该安全模式中,硬盘驱动器阻止用户通过输 入用户口令字使用安全擦除单元指令来擦除硬盘上的所有数据。当与主口令 字一起输入安全擦除单元指令时,硬盘驱动器仅擦除本文档来自技高网...
【技术保护点】
一种包括用于提供数据安全的代码的硬盘驱动器,其中该代码存储于计算机可读媒体上,该硬盘驱动器包括:代码,用于将硬盘驱动器放置于安全模式中,该安全模式仅允许对存储于硬盘上数据的认证存取;以及代码,用于阻止该硬盘驱动器的终端用户禁止该安全模式。
【技术特征摘要】
US 2006-12-22 11/615,8431.一种包括用于提供数据安全的代码的硬盘驱动器,其中该代码存储于计算机可读媒体上,该硬盘驱动器包括代码,用于将硬盘驱动器放置于安全模式中,该安全模式仅允许对存储于硬盘上数据的认证存取;以及代码,用于阻止该硬盘驱动器的终端用户禁止该安全模式。2. 如权利要求1所述的硬盘驱动器,进一步包括 代码,用于允许管理员禁止该安全模式。3. 如权利要求1所述的硬盘驱动器,其中,用于阻止该终端用户禁止该 安全模式的该代码进一步包括用于阻止该终端用户禁止要求输入用户口令字 来存取该数据的代码的代码。4. 如权利要求2所述的硬盘驱动器,其中,用于允许该管理员禁止该安 全模式的该代码进一步包括用于要求该管理员输入主口令字以禁止该安全模 式的代码,并且其中,用于阻止该终端用户禁止该安全模式的该代码进一步 包括用于阻止该终端用户设置、改变或禁止该主口令字的代码。5. 如权利要求1所述的硬盘驱动器,其中,用于阻止该终端用户禁止该 安全模式的该代码进一步包括用于阻止该终端用户使用安全擦除单元指令通 过输入用户口令字来擦除该硬盘上的所有数据的代码。6. 如权利要求1所述的硬盘驱动器,其中,用于阻止该终端用户禁止该 安全模式的该代码进一步包括用于允许该终端用户改变用户口令字的代码。7. 如权利要求1所述的硬盘驱动器,进一步包括 代码,用于批量加密存储于该硬盘上的数据。8. 如权利要求1所述的硬盘驱动器进一步包括代码,用于周期性地产生签名的证书和签名的日志中的至少之一,其指 示该硬盘当前是否处于该安全模式中;以及代码,用于向主机操作系统传送该签名的证书和该签名的日志中的至少 之一。9. 如权利要求8所述的硬盘驱动器,进一步包括代码,用于响应于从服务器接收经认证的签名的证书来改变该硬盘驱动 器的存取控制状态。10. 如权利要求1所述的硬盘驱动器,其中,用于将该硬盘驱动器放置于 该安全模式中的该代码还包括用于在重启之后要求输入口令字以存取该数据 的代码,该安全模式仅允许对存储于该硬盘上的...
【专利技术属性】
技术研发人员:西里尔盖约特,乔尔格C德索扎,阿南德K库尔卡尼,理查德MH纽,
申请(专利权)人:日立环球储存科技荷兰有限公司,
类型:发明
国别省市:NL[荷兰]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。