经由计算机网络对存储器装置的控制的批次转移制造方法及图纸

本申请案涉及经由计算机网络对存储器装置的控制的批次转移。描述用以经由计算机网络控制存储器装置的系统、方法和设备。举例来说，服务器系统建立与客户端计算机系统的安全认证连接以接收具有批次识别符的请求，所述批次识别符配置于所述服务器系统中以识别多个存储器装置的批次。在确定所述客户端计算机系统有资格控制所述批次中的所述多个存储器装置之后，所述服务器系统将响应传输到所述客户端计算机系统。所述响应含有用于所述批次中的每一相应存储器装置的控制数据。所述控制数据是至少基于与所述相应存储器装置相关联地存储于所述服务器系统中的加密密钥。所述客户端计算机系统使用所述控制数据将具有数字签名的命令提交到所述相应存储器装置，所述相应存储器装置在执行所述命令之前验证所述数字签名。器装置在执行所述命令之前验证所述数字签名。器装置在执行所述命令之前验证所述数字签名。

【技术实现步骤摘要】
经由计算机网络对存储器装置的控制的批次转移


[0001]本文中公开的至少一些实施例大体上涉及计算机安全性，且更确切地说，但不限于存储器装置的安全操作的控制。

技术介绍

[0002]存储器子系统可包含存储数据的一或多个存储器装置。存储器装置可以是例如非易失性存储器装置和易失性存储器装置。一般来说，主机系统可利用存储器子系统将数据存储在存储器装置处且从存储器装置检索数据。

技术实现思路

[0003]在一个方面中，本申请案提供一种方法，其包括：通过服务器系统建立与客户端计算机系统的安全认证连接；在服务器系统中经由连接从客户端计算机系统接收具有批次识别符的请求，所述批次识别符配置于服务器系统中以识别多个存储器装置的批次；基于存储于服务器系统中的数据而确定客户端计算机系统有资格控制批次中的多个存储器装置；和通过连接从服务器系统将对请求的响应传输到客户端计算机系统，响应含有用于批次中的每一相应存储器装置的控制数据，控制数据是至少基于与相应存储器装置相关联地存储于服务器系统中的加密密钥，其中客户端计算机系统将使用控制数据将具有第一数字签名的命令提交到相应存储器装置，相应存储器装置在执行命令之前验证第一数字签名。
[0004]在另一方面中，本申请案提供一种计算系统，其包括：存储器，其存储存储器装置的加密密钥和指示客户端计算机系统控制存储器装置的权限的数据；和至少一个处理器，其经由指令集来配置成：建立与客户端计算机系统的安全认证连接；经由连接从客户端计算机系统接收具有批次识别符的请求，所述批次识别符配置于服务器系统中以识别多个存储器装置的批次；基于存储于计算系统中的数据而确定客户端计算机系统有资格控制批次中的多个存储器装置；且经由连接将对请求的响应传输到客户端计算机系统，响应含有用于批次中的每一相应存储器装置的控制数据，控制数据是至少基于与相应存储器装置相关联地存储于服务器系统中的加密密钥，其中客户端计算机系统将使用控制数据将具有第一数字签名的命令提交到相应存储器装置，相应存储器装置在执行命令之前验证第一数字签名。
[0005]在另一方面中，本申请案提供一种存储指令的非暂时性计算机存储媒体，所述指令当由计算系统执行时使得计算系统执行方法，方法包括：通过计算系统建立与客户端计算机系统的安全认证连接；在计算系统中经由连接从客户端计算机系统接收具有批次识别符的请求，所述批次识别符配置于计算系统中以识别多个存储器装置的批次；基于存储于计算系统中的数据而确定客户端计算机系统有资格控制批次中的多个存储器装置；和通过连接将对请求的响应从计算系统传输到客户端计算机系统，响应含有用于批次中的每一相应存储器装置的控制数据，控制数据是至少基于与相应存储器装置相关联地存储于计算系统中的加密密钥，其中客户端计算机系统将使用控制数据将具有第一数字签名的命令提交
到相应存储器装置，相应存储器装置在执行命令之前验证第一数字签名。
附图说明
[0006]在附图的图中作为实例而非限制说明实施例，在附图中，相似的参考标号指示类似的元件。
[0007]图1展示根据一个实施例的配置成控制存储器装置的服务器系统。
[0008]图2说明根据本公开的一些实施例的具有存储器子系统的实例计算系统。
[0009]图3说明根据一个实施例的具有安全性管理器的集成电路存储器装置。
[0010]图4说明根据一个实施例的用以认证存储器装置的技术。
[0011]图5说明根据一个实施例的用以产生用以控制存储器装置的安全性操作的命令的技术。
[0012]图6展示根据一个实施例的用以将存储器装置按批次分组以转移控制的技术。
[0013]图7展示根据一个实施例的用以经由计算机网络批次转移存储器装置的控制的技术。
[0014]图8展示根据一个实施例的用以控制存储器装置的方法。
[0015]图9是本公开的实施例可在其中操作的实例计算机系统的框图。
具体实施方式
[0016]本公开的至少一些方面是针对服务器系统，其配置成控制存储器装置，如激活存储器装置的安全性特征、转移指示存储器装置执行安全性操作的权限等。
[0017]存储器装置可制造成包含安全性管理器。安全性管理器可激活以实行对存储器装置中的存储器单元的存取的控制。可使用加密技术实施存取控制。举例来说，具有加密密钥的实体可具备指示存储器装置执行受限制操作的权限。此类操作的实例可包含改变存储器装置的安全性设置或配置，读取存储器装置中的存储器单元的一部分，将数据写入到存储器单元的一部分中，从存储器单元的一部分删除数据，更新存储器单元的一部分中的数据等。使存取控制中使用的加密密钥安全且使权限的转移安全具有挑战。
[0018]本公开的至少一些方面通过具有密钥管理服务器和存取控制服务器的服务器系统来解决以上和其它缺陷和/或挑战。
[0019]密钥管理服务器配置成使加密密钥安全且使涉及加密密钥的计算安全。密钥管理服务器实施涉及加密密钥的操作，所述加密密钥不特定针对存储器装置和客户端。因此，密钥管理服务器的功能性可受到限制、简化和/或规范化以改良安全性。
[0020]存取控制服务器存储客户端信息且配置成执行特定针对不同客户端和/或不同存储器装置的计算和/或安全性任务。存取控制服务器配置于密钥管理服务器与存储器装置连接到的客户端计算机系统之间。客户端计算机系统请求存取控制服务器提供响应，所述响应涉及存储于密钥管理服务器中的加密密钥。存取控制服务器处理确定是否使用密钥管理服务器的服务来产生响应的请求。存取控制系统可充当用于密钥管理服务器的网守和/或代理，从而拒绝来自不在白名单上的计算机系统的连接，保护密钥管理服务器免于拒绝服务(DoS)攻击，且使用密钥管理服务器的加密密钥管理功能性来实施对客户端/装置特定的操作。通过控制对密钥管理服务器的存取，存取控制服务器可降低密钥管理服务器的安
全性风险且提供丰富服务以适应各种类型的存储器装置、控制活动和客户端偏好。
[0021]存储器装置可配置成具有唯一标识。标识可使用加密技术来认证以防止仿冒装置和/或窜改装置进行存取服务且防止不安全操作。标识可基于存储器装置的硬件和存储于存储器装置中的所选数据而产生以表示作为整体的存储器装置的硬件和软件的组合。此外，存储器装置可配置成向具有一或多个加密密钥的实体提供请求存储器装置执行与存储器装置的安全方面相关的命令的权限。密钥管理服务器可用于存储器装置的唯一标识的验证和权限的转移。
[0022]举例来说，存储器装置可存储用于其认证的秘密。在安全设施中的存储器装置的制造期间，唯一装置秘密(UDS)可注入在存储器装置中且存储于存储器装置的受保护和受存取控制的区域中。根据装置标识组合引擎(DICE)和鲁棒物联网(RIoT)的标准和/或实施方案，加密密钥可在启动时间处基于唯一装置秘密(UDS)和存储在安全存储器装置中的其它非秘密数据的组合而产生。加密密钥可随后用作存储器装置的秘密和标识。
[0023]在安全设施中的存储器装置的制造期间，存本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，其包括：通过服务器系统建立与客户端计算机系统的安全认证连接；在所述服务器系统中经由所述连接从所述客户端计算机系统接收具有批次识别符的请求，所述批次识别符配置于所述服务器系统中以识别多个存储器装置的批次；基于存储于所述服务器系统中的数据而确定所述客户端计算机系统有资格控制所述批次中的所述多个存储器装置；和通过所述连接从所述服务器系统将对所述请求的响应传输到所述客户端计算机系统，所述响应含有用于所述批次中的每一相应存储器装置的控制数据，所述控制数据是至少基于与所述相应存储器装置相关联地存储于所述服务器系统中的加密密钥，其中所述客户端计算机系统将使用所述控制数据将具有第一数字签名的命令提交到所述相应存储器装置，所述相应存储器装置在执行所述命令之前验证所述第一数字签名。2.根据权利要求1所述的方法，其中所述服务器系统包含密钥管理服务器和存取控制服务器；所述密钥管理服务器存储使所述批次识别符与所述多个存储器装置的识别符相关联的数据但不存储使所述批次识别符与所述客户端计算机系统的识别符相关联的数据；所述存取控制服务器存储使所述批次识别符与所述客户端计算机系统的所述识别符相关联的数据但不存储使所述批次识别符与所述多个存储器装置的识别符相关联的数据；且在所述相应存储器装置中执行时，所述命令使得所述相应存储器装置激活所述相应存储器装置的安全特征，用第二加密密钥替换第一加密密钥，或其任何组合。3.根据权利要求2所述的方法，其中所述第一数字签名应用于从所述客户端计算机系统到所述相应存储器装置的请求中的第一消息；且所述第一消息包含所述命令和第一加密随机数。4.根据权利要求3所述的方法，其中所述第一数字签名包含由所述第一消息产生的基于散列的消息认证码HMAC和存储于所述相应存储器装置和所述服务器系统两者中的加密密钥。5.根据权利要求4所述的方法，其中所述控制数据包含所述加密密钥。6.根据权利要求4所述的方法，其中所述控制数据包含所述第一加密随机数和所述第一数字签名。7.根据权利要求3所述的方法，其中所述控制数据包含加密密钥，所述加密密钥可用于验证应用于由所述相应存储器装置产生的标识数据上的第二数字签名。8.根据权利要求3所述的方法，其进一步包括：通过所述服务器系统确定所述相应存储器装置的标识数据；基于所述标识数据的所述确定而计算会话密钥；其中在所述客户端计算机系统接收所述控制数据之后，所述相应存储器装置将响应于来自所述客户端计算机系统的请求而独立于所述服务器系统产生所述标识数据；且其中所述控制数据可由所述客户端计算机系统使用以验证由所述相应存储器装置产生的所述标识数据中的第二数字签名。9.根据权利要求8所述的方法，其中由所述相应存储器装置产生的所述标识数据包含第二消息和使用所述相应存储器装置的秘密加密密钥应用于所述第二消息上的所述第二数字签名；所述第二消息包含所述相应存储器装置的唯一识别符、来自配置于所述相应存
储器装置中的计数器的值和第二加密随机数；且从所述客户端计算机系统到所述相应存储器装置的对所述标识数据的所述请求包含在对具有所述批次识别符的所述请求的所述响应中接收到的所述第二加密随机数。10.根据权利要求9所述的方法，其中所述控制数据包含由所述服务器系统产生的所述第二数字签名的版本。11.根据权利要求9所述的方法，其中所述第一数字签名使用所述会话密钥或与所述相应存储器装置的所述唯一识别符相关联地存储于所述服务器系统中的加密密钥或其任何组合来产生。12.根据权利要求11所述的方法，其中所述控制数据包含所述第一数字签名。13.根据权利要求11所述的方法，其中所述控制数据包含用以产生所述第一数字签名的加密密钥。14.一种计算系统，其包括：存储器，其存储存储器装置的加密密钥和指示客户端计算机系统控制所述存储器装置的权限的数据；和至少一个处理器，其经由指令集来配置成：建立与客户端计算机系统的安全认证连接；经由所述连接从所述客户端计算机系统接收具有批次识...

【专利技术属性】
技术研发人员：T，
申请(专利权)人：美光科技公司，
类型：发明
国别省市：