提供了用于存储设备状态恢复的存储设备和方法。在一个实施例中,存储设备开始认证处理以认证主机设备。认证处理包括多个阶段,并且存储设备存储认证处理的状态,其中该状态指示已经成功完成的认证处理的阶段。在断电后,该存储设备取得认证处理的状态并且恢复与主机设备的操作,而不重新进行已经完成的认证处理的阶段。
【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
诸如SD卡的存储设备不仅被用作无状态(stateless)存储设备,而且被用作支持在相互认证处理向主机设备认证存储设备以及相反向存储设备认证主机设备之后的安全会话期间的复杂的业务(transaction )的平台。在复杂的业务期间的突然掉电要求存储设备转变回到其在断电(power loss)之前的状态。这会要求例如使用RSA登录认证处理向主机设备完全重新认证存储设备。这样的重新认证耗时且降低了总的系统性能,特别是当重新认证发生在主机-存储设备业务的进行中时。例如,在存储设备通电之后,该存储设备可以在没有来自其之前通电状态的在先知识(例如,操作的知识)的操作状态下被初始化。以这种方式,每次发生掉电时必须由存储设备和主机设备两者进行认证过程,从而在存储设备和主机设备之间重新开始安全的通道。例如,在RSA登录认证处理的情况下,在每次断电后应用在存储设备和主机设备之间的完全认证处理包括进行以下三个阶段的每个阶段公钥验证阶段、私钥验证阶段以及会话密钥协定阶段。这是会降低总的系统性能的耗时的处·理。
技术实现思路
本专利技术的实施例由权利要求而限定,并且此部分中的任何内容都不应被视作是对那些权利要求的限制。通过介绍,以下描述的实施例总体涉及用于存储设备状态恢复的存储设备和方法。在一个实施例中,存储设备开始认证处理以认证主机设备。认证处理包括多个阶段,并且存储设备存储认证处理的状态,其中该状态指示已经成功完成的认证处理的阶段。在断电后,该存储设备取得(retrieve)认证处理的状态并且恢复与主机设备的操作,而不重新进行已经完成的认证处理的阶段。提供了其它的实施例,且每个实施例可以单独使用或组合在一起使用。现在将参照附图描述各个实施例。附图说明图I是实施例的主机设备和存储设备的框图。图2是绘出实施例的主机设备和存储设备的相互认证的例示。图3是用于进行存储设备状态恢复的实施例的方法的流程图。具体实施例方式通过介绍,以下的实施例提供用于存储设备状态恢复的存储设备和方法。如在以上的
技术介绍
部分提到的,主机设备的突然掉电会要求使用登录认证处理向主机设备重新认证存储设备,这是耗时的且会降低系统性能。例如,在RSA登录认证处理的情况下,在每次断电后应用在存储设备和主机设备之间的完全认证处理包括进行以下三个阶段的每个阶段公钥验证阶段、私钥验证阶段以及会话密钥协定阶段。以下的实施例通过在存储设备中存储认证处理的状态而提供对这个问题的解决方案,其中该状态指示已经成功完成的认证处理的阶段。该状态可以自动被存储或响应于来自主机设备的命令而存储,并且优选以安全的方式存储在存储设备中。如果发生断电,则存储器设备可以取得认证处理的状态(或者自动地,或者响应于来自主机设备的恢复命令),并且恢复与主机设备的操作而不重新进行已经完成的认证处理的阶段。现在转向附图,图I是实施例的主机设备50与存储设备100通信的框图。如这里所用的,短语“与……通信”可以表示直接与……通信,或通过可能在这里示出或描述或可能没有示出或描述的一个或多个组件间接与……通信。主机设备50可以采取任何适合的形式,诸如但不限于个人计算机(PC)、移动电话、数字媒体播放器、游戏设备、个人数字助理(PDA)、信息站(kiosk)、机顶盒、TV系统、书籍阅读器或以上的任意组合。在这个实施例中,存储设备100是大容量存储设备,其可采取任何适合的形式,诸如但不限于手持机、可移除存储卡、通用串行总线(USB)设备、诸如固态驱动器的可移除或不可移除硬盘驱动器以及嵌入的存储器(例如嵌入在主机设备50中的安全模块)。如图I所示,存储设备100包括控制器110和存储器120。控制器110包括用于与存储器120相接口的存储器接口 111以及用于与主机50相接口的主机接口 112。在这个实施例中,控制器110还包括中央处理单元(CPU)113、可操作来提供加密和/或解密操作的硬件密码引擎114、读存取存储器(RAM)115、可以存储用于存储设备100的基本操作的固件的只读存储器(ROM) 116以及可以存储用于加密/解密操作的设备特有密钥的非易失性存储器(NVM)117。可以任何适合的方式实现控制器110。例如,控制器110可以采取以下形式微处理器或处理器和存储可由例如(微)处理器、逻辑门、开关、专用集成电路(ASIC)、可编程逻辑控制器和嵌入的微控制器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质。控制器的例子包括但不限于以下微控制器ARC 625D,Atmel AT91SAM、MicrochipPIC18F26K20 以及 Silicon Labs C8051F320。存储器120可以采取任何适合的形式。在一个实施例中,存储器120采取固态(例如快闪)存储器的形式且可以是可编程一次的、可编程几次的或可编程多次的。然而,可以使用其它形式的存储器,诸如光存储器和磁存储器。在这个实施例中,存储器120包括由主机50上的文件系统管理的公共分区125和由控制器110内部管理的私有分区135。私有分区135可以存储存储设备100的状态142 (如以下将要描述的)以及其它数据,包括但不限于内容加密密钥(CEK)和固件(FW)码。公共分区125和私有分区135可以是相同的存储单元的部分,或可以是不同的存储单元。优选地,存储设备200采取SanDisk公司的TrustedFlash 存储设备的形式。现在转向主机50,主机50包括控制器160,控制器160具有用于与存储设备100相接口的存储设备接口 161。在这个实施例中,控制器160还包括中央处理单元(CPU)163、可操作来提供加密和/或解密操作的密码引擎164、读存取存储器(RAM) 165、只读存储器(ROM) 166、安全模块171和存储器172。存储设备100和主机150经由存储设备接口 161和主机接口 112彼此通信。对于涉及数据的安全传输的操作,优选使用存储设备100和主机150中的密码引擎114、164来相互认证彼此并提供密钥交换。在完成相互认证之后,优选使用会话密钥来建立用于在存储设备150和主机100之间通信的安全信道。主机50可以包含其它的组件(例如显示设备、扬声器、耳机插孔、视频输出连接等),它们没有在图I中示出以简化附图。回到附图,图2是绘出主机设备50和存储设备100的相互认证的例示。如图2所示,具体的相互认证处理包括三个阶段公钥验证阶段(252)、私钥验证阶段(254)以及会话密钥协定阶段(256)。在公钥验证阶段期间,主机设备50和存储设备100的每个向另一方发送其证书链,从而使得另一方可以使用位于根证书(在存储设备中100,存在于存取控制记录中)中的根证书权限(authority)公钥来验证该证书和该公钥的真实性。在涉及根证书权限和主机设备50或存储设备100之间的中间证书权限的情况下,还使用该中间证书用于验证。如果公钥验证阶段成功,则进行私钥验证阶段。在私钥验证阶段期间,主机设备50和存储设备100的每个产生随机数且将其作为询问(challenge)发送给另一设备。关于存储设备100,存储设备100使用存储设备100的私钥来签名主机设备的随机数,并发送签名 的随机数作为对该询问的响应。使用存储设备本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:R塞拉,A什缪尔,
申请(专利权)人:桑迪士克以色列有限公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。