通过计算机网络控制存储器装置制造方法及图纸

本发明专利技术涉及用于通过计算机网络控制存储器装置的系统、方法及设备。举例来说，服务器系统与客户端计算机系统建立安全认证连接。经由所述连接，所述服务器从所述客户端计算机系统接收识别存储器装置的请求且基于存储于所述服务器系统中的数据确定所述客户端计算机系统有资格控制所述存储器装置。响应于来自所述客户端计算机系统的请求，所述服务器系统使用存储于所述服务器系统中的与所述存储器装置相关联的至少一密码密钥生成用于命令的数字签名。所述客户端计算机系统从所述服务器系统接收所述数字签名且将具有所述数字签名的所述命令提交给所述存储器装置。所述存储器装置在执行所述命令之前确认所述数字签名。在执行所述命令之前确认所述数字签名。在执行所述命令之前确认所述数字签名。

【技术实现步骤摘要】
通过计算机网络控制存储器装置


[0001]本文中公开的至少一些实施例大体上涉及计算机安全，且更特定来说(但不限于)，涉及控制存储器装置的安全操作。

技术介绍

[0002]存储器子系统可包含存储数据的一或多个存储器装置。存储器装置可为例如非易失性存储器装置及易失性存储器装置。一般来说，主机系统可利用存储器子系统将数据存储在存储器装置处及从所述存储器装置检索数据。

技术实现思路

[0003]在一方面中，本申请案提供一种方法，其包括：由服务器系统与客户端计算机系统建立安全认证连接；在所述服务器系统中经由所述连接从所述客户端计算机系统接收识别存储器装置的请求；基于存储于所述服务器系统中的数据确定所述客户端计算机系统有资格控制所述存储器装置；由所述服务器系统使用存储于所述服务器系统中的与所述存储器装置相关联的至少一密码密钥生成用于命令的第一数字签名；及经由所述连接将所述第一数字签名从所述服务器系统传输到所述客户端计算机系统，所述客户端计算机系统将具有所述第一数字签名的所述命令提交给所述存储器装置，所述存储器装置在执行所述命令之前确认所述第一数字签名。
[0004]在另一方面中，本申请案进一步提供一种计算系统，其包括：存储器，其存储存储器装置的密码密钥及指示客户端计算机系统控制所述存储器装置的特权的数据；及至少一个处理器，其经由一组指令配置以：与客户端计算机系统建立安全认证连接；经由所述连接从所述客户端计算机系统接收识别存储器装置的请求；基于存储于所述计算系统中的数据确定所述客户端计算机系统有资格控制所述存储器装置；使用存储于所述计算机系统中的与所述存储器装置相关联的至少一密码密钥生成用于命令的第一数字签名；及经由所述连接将所述第一数字签名传输到所述客户端计算机系统，所述客户端计算机系统将具有所述第一数字签名的所述命令提交给所述存储器装置，所述存储器装置在执行所述命令之前确认所述第一数字签名。
[0005]在又一方面中，本申请案进一步提供一种非暂时性计算机存储媒体，其存储当由计算系统执行时致使所述计算系统执行一种方法的指令，所述方法包括：与客户端计算机系统建立安全认证连接；经由所述连接从所述客户端计算机系统接收识别存储器装置的请求；基于存储于所述计算系统中的数据确定所述客户端计算机系统有资格控制所述存储器装置；使用存储于所述计算机系统中的与所述存储器装置相关联的至少一密码密钥生成用于命令的第一数字签名；及经由所述连接将所述第一数字签名传输到所述客户端计算机系统，所述客户端计算机系统将具有所述第一数字签名的所述命令提交给所述存储器装置，所述存储器装置在执行所述命令之前确认所述第一数字签名。
附图说明
[0006]实施例通过实例来说明且不限于附图的图，其中相似的参考元件指示类似元件。
[0007]图1展示根据一个实施例的经配置以控制存储器装置的服务器系统。
[0008]图2说明根据本公开的一些实施例的具有存储器子系统的实例计算系统。
[0009]图3说明根据一个实施例的具有安全管理器的集成电路存储器装置。
[0010]图4说明根据一个实施例的用于认证存储器装置的技术。
[0011]图5说明根据一个实施例的用于生成控制存储器装置的安全操作的命令的技术。
[0012]图6展示根据一个实施例的用于控制存储器装置的方法。
[0013]图7是本公开的实施例可操作于其中的实例计算机系统的框图。
具体实施方式
[0014]本公开的至少一些方面涉及经配置以控制存储器装置(例如，存储器装置的安全特征的激活、指示存储器装置执行安全操作的特权的转移等)的服务器系统。
[0015]存储器装置可经制造以包含安全管理器。安全管理器可经激活以实行对存取存储器装置中的存储器单元的控制。存取控制可使用密码技术实施。举例来说，拥有密码密钥的实体可经提供有指示存储器装置执行受限制操作的特权。此类操作的实例可包含改变存储器装置的安全设置或配置、读取存储器装置中的存储器单元的部分、将数据写入到存储器单元的部分、从存储器单元的部分删除数据、更新存储器单元的部分中的数据等。一种挑战是保护用于存取控制中的密码密钥及保护特权的转移。
[0016]本公开的至少一些方面通过具有密钥管理服务器及存取控制服务器的服务器系统解决上述及其它缺点及/或挑战。
[0017]密钥管理服务器经配置以保护密码密钥及保护涉及密码密钥的计算。密钥管理服务器实施涉及并非特定于存储器装置及客户端的密码密钥的操作。因此，密钥管理服务器的功能性可经限制、简化及/或标准化以改进安全性。
[0018]存取控制服务器存储客户端信息且经配置以执行特定于不同客户端及/或不同存储器装置的计算/或安全任务。存取控制服务器经配置于密钥管理服务器与和存储器装置连接的客户端计算机系统之间。客户端计算机系统请求存取控制服务器提供涉及存储于密钥管理服务器中的密码密钥的响应。存取控制服务器处理请求以确定是否使用密钥管理服务器的服务生成响应。存取控制系统可用作密钥管理服务器的看门人及/或代理，其拒绝来自未列于白名单的计算机系统的连接、使密钥管理服务器免受拒绝服务(DoS)攻击及使用密钥管理服务器的密码密钥管理功能性实施客户端/装置特定的操作。通过控制对密钥管理服务器的存取，存取控制服务器可降低密钥管理服务器的安全性风险且提供丰富的服务来适应各种类型的存储器装置、控制活动及客户端偏好。
[0019]存储器装置可经配置以具有唯一标识。标识可使用密码技术认证以防止伪造装置及/或被篡改装置存取服务且防止不安全操作。标识可基于存储器装置的硬件及存储于存储器装置中的所选择的数据生成以表示作为一个整体的存储器装置的硬件与软件的组合。此外，存储器装置可经配置以向拥有一或多个密码密钥的实体提供请求存储器装置执行与存储器装置的受保护方面相关的命令的特权。密钥管理服务器可用于存储器装置的唯一标识的确认及特权的转移。
[0020]举例来说，存储器装置可存储用于其认证的秘密。在安全设施中制造存储器装置期间，唯一装置秘密(UDS)可在存储器装置中被拒绝且存储于存储器装置的受保护的且存取可控的区中。根据装置标识组合引擎(DICE)及稳健物联网(RIoT)的标准及/或实施方案，密码密钥可在启动时基于唯一装置秘密(UDS)及存储于安全存储器装置中的其它非秘密数据的组合生成。接着，可将密码密钥用作秘密及存储器装置的标识。
[0021]在安全设施中制造存储器装置期间，存储器装置的唯一装置秘密(UDS)注册于密钥管理服务器中。随后，在存储器装置从存储器装置的制造商运出之后，唯一装置秘密(UDS)不会在存储器装置的安全区段外由存储器装置传出、提供、传递及/或不在存储器装置外。因为唯一装置秘密(UDS)在存储器装置与密钥管理服务器之间是已知的，因此存储器装置130及密钥管理服务器两者可执行使用唯一装置秘密(UDS)生成密码密钥的相同计算。至少部分基于唯一装置秘密(UDS)导出密码密钥以用于存储器装置的认证。
[0022]举例来说，存储器本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，其包括：由服务器系统与客户端计算机系统建立安全认证连接；在所述服务器系统中经由所述连接从所述客户端计算机系统接收识别存储器装置的请求；基于存储于所述服务器系统中的数据确定所述客户端计算机系统有资格控制所述存储器装置；由所述服务器系统使用存储于所述服务器系统中的与所述存储器装置相关联的至少一密码密钥生成用于命令的第一数字签名；及经由所述连接将所述第一数字签名从所述服务器系统传输到所述客户端计算机系统，所述客户端计算机系统将具有所述第一数字签名的所述命令提交给所述存储器装置，所述存储器装置在执行所述命令之前确认所述第一数字签名。2.根据权利要求1所述的方法，其进一步包括：由所述服务器系统经由所述客户端计算机系统从所述存储器装置接收所述存储器装置的标识数据；由所述服务器系统基于存储于所述服务器系统中的所述存储器装置的秘密确认所述标识数据；及基于所述标识数据的确认建立所述服务器系统及所述存储器装置已知的会话密钥。3.根据权利要求2所述的方法，其中当执行于所述存储器装置中时，所述命令致使所述存储器装置激活所述存储器装置的安全特征。4.根据权利要求2所述的方法，其中当执行于所述存储器装置中时，所述命令致使所述存储器装置用第二密码密钥替换第一密码密钥。5.根据权利要求4所述的方法，其中所述第二密码密钥基于存储于所述存储器装置及所述服务器系统中的唯一装置秘密在所述存储器装置中生成；且所述方法进一步包括：在所述服务器系统中且独立于所述存储器装置从存储于所述服务器系统中的所述唯一装置秘密生成所述第二密码密钥。6.根据权利要求2所述的方法，其进一步包括：使用所述会话密钥加密经由所述客户端计算机系统从所述服务器系统传输到所述存储器装置以用于所述命令的所述执行的数据的至少一部分。7.根据权利要求2所述的方法，其进一步包括：使用所述会话密钥解密经由所述客户端计算机系统从所述存储器装置传输到所述服务器系统的响应的至少一部分，所述响应响应于所述命令的所述执行。8.根据权利要求2所述的方法，其中所述标识数据包含第二消息及使用所述存储器装置的秘密密码密钥应用于所述第二消息上的第二数字签名；且所述第二消息包含所述存储器装置的唯一标识、来自配置于所述存储器装置中的计数器的值及第二密码随机数。9.根据权利要求8所述的方法，其中所述第一数字签名经应用到从所述客户端计算机系统到所述存储器装置的请求中的第一消息；且所述第一消息包含所述命令及第一密码随机数。10.根据权利要求9所述的方法，其中所述第一数字签名包含从所述第一消息及存储于所述存储器装置及所述服务器系统两者中的密码密钥生成的基于散列的消息认证码HMAC。
11.根据权利要求9所述的方法，其中所述第一数字签名使用所述会话密钥、或存储于所述服务器系统中的与所述存储器装置的所述唯一标识相关联的密码密钥或其任何组合生成。12.根据权利要求11所述的方法，其中所述会话密钥经配置以在从所述标识数据的确认开始的预定长度的时段中到期。13.根据权利要求12所述的方法，其进一步包括：生成所述命令的所述第一密码随机数及所述标识数据的所述第二密码随机数，其中所述第一密码随机数及所述第二密码随机数经由所述客户端计算机系统提供到所述存储器装置。14.一种计算系统，其包括：存储器，其存储存储器装置的密码密钥及指示客户端计算机系统控制所述存储器装置的特权的数据；及至少一个处理器，其经由一组指令配置以：与客户端计算机系统建立安全认证连接；经由所述连接从所述客户端计算机系统接收识别存储器装置的请求；基于存储于所...

【专利技术属性】
技术研发人员：L，
申请(专利权)人：美光科技公司，
类型：发明
国别省市：