对安装于安全存储器装置中的文件系统中的文件的会话存取制造方法及图纸

对安装于安全存储器装置中的安全存储器区中的文件系统中的文件的会话存取。响应于来自应用程序的打开用于所述文件系统的会话以存取所述存储器区的请求，安全命令发送到所述存储器装置以安装用于所述存储器区的存取控制密钥。在密钥存储库中存储会话密钥之后，所述应用程序可调用操作系统以存取所述文件系统中的文件。作为响应，所述文件系统可产生待传输到所述存储器装置的存取命令。存储于所述密钥存储库中的所述会话密钥可用以代表所述应用程序签署所述存取命令。所述存储器装置在所述存取命令的执行之前使用所述存取控制密钥核实使用所述会话密钥签署的所述存取命令。钥核实使用所述会话密钥签署的所述存取命令。钥核实使用所述会话密钥签署的所述存取命令。

【技术实现步骤摘要】
对安装于安全存储器装置中的文件系统中的文件的会话存取
[0001]相关申请案
[0002]本申请案要求2021年8月17日提交的第63/233,843号临时美国专利申请案的优先权，所述临时美国专利申请案的整个公开内容特此以引用的方式并入本文中。


[0003]本文公开的至少一些实施例大体上涉及存取控制，且更具体地说(但不限于)涉及将文件写入到安装于安全存储器装置中的文件系统中。

技术介绍

[0004]存储器子系统可包含存储数据的一或多个存储器装置。存储器装置可为例如非易失性存储器装置和易失性存储器装置。一般来说，主机系统可利用存储器子系统以在存储器装置处存储数据且从存储器装置检索数据。

技术实现思路

[0005]本公开的实施例提供一种方法，其包括：将文件系统安装到存储器装置中的存储器区中；从应用程序接收打开用于所述文件系统的会话以存取所述存储器区的请求；向所述存储器装置传输为所述会话配置的安全命令以指示所述存储器装置安装用以控制对所述存储器区的存取的密钥；将会话密钥存储到密钥存储库中，其中所述存储器装置经配置以使用经由所述安全命令安装的所述密钥核实从所述会话密钥和消息产生的加密验证码以控制经由所述消息对所述存储器区作出的存取；从所述文件系统且在所述会话期间接收待传输到所述存储器装置的存取命令；与所述密钥存储库通信以使用所述会话密钥产生用于所述存取命令的验证码；以及将所述存取命令与所述验证码一起传输到所述存储器装置。
[0006]本公开的另一实施例提供一种计算设备，其包括：存储器装置，其具有存储器单元和存取控制器；以及主机系统，其耦合到所述存储器装置，所述主机系统经配置以执行操作系统、和应用程序、直接存取驱动器和存储堆叠驱动器的指令；其中所述直接存取驱动器经配置以从第一应用程序接收打开用于受所述操作系统控制的文件系统的会话以存取在所述存储器单元的一部分上分配的存储器区的请求，且响应于所述请求，向所述存储器装置传输经配置以指示所述存储器装置安装用于所述存取控制器的密钥以控制对所述存储器区的存取的第一命令；其中所述计算设备包含密钥存储库，所述密钥存储库经配置以接收和存储对应于经由所述命令在所述存储器装置中安装的所述密钥的会话密钥；其中所述存储堆叠驱动器经配置以：从所述文件系统接收待传输到所述存储器装置的存取命令；与所述密钥存储库通信以使用所述会话密钥产生用于所述存取命令的验证码；以及将所述存取命令与所述验证码一起传输到所述存储器装置；且其中所述存储器装置的所述存取控制器经配置以在允许所述存储器装置执行所述存取命令之前使用经由安全命令安装的所述密钥核实所述验证码。
[0007]本公开的又一实施例提供一种存储指令的非暂时性计算机存储媒体，所述指令当在具有带有其中安装文件系统的存储器区的存储器装置的计算系统中执行时致使所述计算系统执行方法，所述方法包括：从应用程序向安全性管理器发送打开用于所述文件系统的会话以存取所述存储器区的请求，其中所述安全性管理器经配置以向所述存储器装置且响应于所述请求而传输经配置以指示所述存储器装置安装存取控制密钥以控制对所述存储器区的存取的命令；将会话密钥存储到密钥存储库中，其中所述存储器装置经配置以使用经由安全命令安装的密钥核实从所述会话密钥和消息产生的加密验证码以控制经由所述消息对所述存储器区作出的存取；以及在所述存取控制密钥安装于所述存储器装置中且所述会话密钥在所述密钥存储库中的同时，调用在所述计算系统中运行的操作系统以存取所述文件系统中的文件，其中所述文件系统响应于所述调用而产生存取命令，且其中所述安全性管理器经配置以与所述密钥存储库通信以使用所述会话密钥产生用于所述存取命令的验证码且将所述存取命令与所述验证码一起传输到所述存储器装置。
附图说明
[0008]实施例是借助于实例而非限制在附图的图中来说明的，在附图中相似参考指示类似元件。
[0009]图1说明根据一个实施例的具有安全性管理器的集成电路存储器装置。
[0010]图2说明根据一个实施例的用于控制存储器装置中的命令的执行的技术。
[0011]图3示出根据一个实施例的经配置以实施用于应用程序存取安装于存储器装置中的文件系统中的文件的会话的安全性管理器。
[0012]图4示出根据一个实施例的安全性管理器的实施方案。
[0013]图5示出根据一个实施例的存取安全存储器装置中的文件的方法。
[0014]图6说明根据本公开的一些实施例的具有存储器子系统的实例计算系统。
[0015]图7是其中本公开的实施例可操作的实例计算机系统的框图。
具体实施方式
[0016]本公开的至少一些方面是针对经配置以建立和终止用于应用程序的会话的安全性管理器。在会话期间，应用程序可与安装于安全存储器子系统的安全区段中的文件系统交互，其方式与存取非安全安全和/或非安全存储器子系统中的文件相同。下文结合图6描述作为存储器子系统的存储装置和存储器模块的实例。大体来说，主机系统可利用包含一或多个组件(例如，存储数据的存储器装置)的存储器子系统。主机系统可提供数据以存储于存储器子系统处，且可请求从存储器子系统检索数据。
[0017]安全存储器装置在执行命令以存取安全存储器区之前可需要使用加密密钥签署所述命令。加密密钥表示存取安全存储器区的特权。
[0018]当文件系统安装于安全存储器装置的安全存储器区中时，允许能够存取文件系统的应用程序存取存储器装置的安全区段可为挑战。举例来说，在应用程序调用操作系统以写入文件时，存储器装置的安全区段内的存储位置可能仍待确定以用于写入文件的数据。因此，即使应用程序具有表示存取安全存储器区的特权的加密密钥，应用程序在发出对操作系统的调用时也无法产生可执行以存取将在调用之后确定的存储位置的经签署命令。
[0019]本公开的至少一些方面通过安全性管理器解决以上和其它缺陷和/或挑战，所述安全性管理器与安全存储器装置通信以创建会话，在此期间安全性管理器可代表经授权实体使用表示存取存储器区的安全区段的特权的会话密钥来签署由文件系统产生的命令。会话密钥在会话期间存储于密钥存储库中以允许安全性管理器签署存取安全区段的命令。因此，经授权应用程序可在会话期间与文件系统交互以存取文件，其方式与存取非安全区段和/或非安全存储器装置中的文件相同。当安全性管理器从文件系统接收到存储存取命令时，安全性管理器确定所述命令是否经配置以存取安全存储器装置的安全区段；如果是，那么安全性管理器使用密钥存储库中的会话密钥签署命令且将经签署命令传输到安全存储器装置用于执行。为了终止会话，应用程序和/或安全性管理器可撤销密钥存储库中和安全存储器装置中的会话密钥。
[0020]举例来说，可经由直接存取驱动器、存储堆叠驱动器和密钥存储库实施安全性管理器。具有存取安全存储器装置中的安全区段的特权的应用程序可请求直接存取驱动器建立用于所述应用程序的会话。直接存取驱动器经配置以将先前以加密密钥签署的安全命令递送到安全存储装置，所述命令例如建立会话密钥以准予存取安全区段本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，其包括：将文件系统安装到存储器装置中的存储器区中；从应用程序接收打开用于所述文件系统的会话以存取所述存储器区的请求；向所述存储器装置传送为所述会话配置的安全命令以指示所述存储器装置安装用以控制对所述存储器区的存取的密钥；将会话密钥存储到密钥存储库中，其中所述存储器装置经配置以使用经由所述安全命令安装的所述密钥核实从所述会话密钥和消息产生的加密验证码以控制经由所述消息对所述存储器区作出的存取；从所述文件系统且在所述会话期间接收待传输到所述存储器装置的存取命令；与所述密钥存储库通信以使用所述会话密钥产生用于所述存取命令的验证码；以及将所述存取命令与所述验证码一起传输到所述存储器装置。2.根据权利要求1所述的方法，其中所述会话密钥和经由所述安全命令安装的所述密钥是用于非对称密码术的一对加密密钥。3.根据权利要求1所述的方法，其中所述会话密钥与经由所述安全命令安装的所述密钥相同。4.根据权利要求1所述的方法，其进一步包括：使用表示使所述安全命令在所述存储器装置中执行的特权的加密密钥产生用于所述安全命令的验证码，其中所述安全命令与用于所述安全命令的所述验证码一起传输到所述存储器装置，且所述存储器装置经配置有存取控制密钥以在所述安全命令的执行之前核实所述验证码。5.根据权利要求4所述的方法，其进一步包括：从所述应用程序接收待经由所述安全命令安装的所述密钥；以及从所述应用程序接收待存储到所述密钥存储库中的所述会话密钥。6.根据权利要求4所述的方法，其进一步包括：响应于所述请求而验证所述应用程序存取所述存储器区的特权，其中所述安全命令是响应于所述应用程序有资格存取所述存储器区的确定而传输到所述存储器装置。7.根据权利要求6所述的方法，其进一步包括：响应于所述请求而产生待经由所述安全命令安装的所述密钥和待存储到所述密钥存储库中的所述会话密钥。8.根据权利要求4所述的方法，其进一步包括：接收所述存储器区中存储所述文件系统中的文件的数据的一或多个位置的识别；与所述存储器装置通信以产生所述文件的所述数据的加密措施。9.根据权利要求8所述的方法，其进一步包括：基于监视所述文件的所述数据的所述加密措施而检测安全性攻击。10.根据权利要求9所述的方法，其进一步包括：在基于监视所述文件的所述数据的所述加密措施检测到所述安全性攻击后即刻进行包含撤销所述存储器装置中的有效会话密钥的对策。11.根据权利要求4所述的方法，其中所述会话密钥与表示所述存储器区的位置指示符相关联地存储；且所述方法进一步包括：
响应于所述存取命令寻址所述存储器区的确定而从所述密钥存储库检索所述会话密钥。12.一种计算设备，其包括：存储器装置，其具有存储器单元和存取控制器；以及主机系统，其耦合到所述存储器装置，所述主机系统经配置以执行操作系统、和应用程序、直接存取驱动器和存储堆叠驱动器的指令；其中所述直接存取驱动器经配置以从第一应用程序接收打开用于受所述操作系统控制的文件系统的会话以存取在所述存储器单元的一部分上分配的存储器区的请求，且响应于所述请求，向所述存储器装置传输经配置以指示所述存储器装置安装用于所述存取控制器的密钥以控制对所述存储器区的存取的第一命令；其中所述计算设备包含密...

【专利技术属性】
技术研发人员：O，
申请(专利权)人：美光科技公司，
类型：发明
国别省市：