公开了用于数据存储装置本地地实施安全管理功能的技术。在一实施例中,数据存储装置的安全管理过程用于确定对数据存储装置的非易失性介质的访问是否被授权。在某些实施例中,数据存储装置用于限制对非易失性存储介质的安全区域的访问,安全区域用于存储数据存储装置的安全管理过程所使用和/或生成的信息。
【技术实现步骤摘要】
【国外来华专利技术】
各实施例一般涉及计算机安全。更特别地,实施例提供数据存储装置用以本地实施一个或多个它自己的本地安全管理过程。2.
技术介绍
计算机和计算机网络必须应对恶意软件变体的快速增长以及被相同恶意软件变体所感染的计算机平台(客户机、服务器等)的数量的相应减少。此外,恶意软件创造者构建日益秘密的安全威胁,例如包括关闭反恶意软件的软件(AVS)和/或将错误的盘数据反馈给AVS应用的能力。恶意软件日益增加的种类和能力已降低了主机系统执行环境维护最新AVS解决方案的信任水平。在当前技术下,用于评估数据存储装置(DSD)的安全状态的安全管理过程——诸如恶意软件检测和/或恶意软件恢复一在与DSD连接的主机平台中执行。因此,对这种主机平台的安全状态的损害导致对与其耦合的存储装置的安全管理的损害。此外,各种主机平台的芯片组中的用于更新此类安全管理性能的机制的可扩展性可能受到限制。可实现特定安全改善的平台的容量可依赖于已做出要求的主机芯片组的安装基础和/或用于该安全解决方案的兼容硬件。例如,针对特定类型的中央处理单元(CPU)引入虚拟化指令集可能受到首先建立信任根的需要的限制,其可能(例如)要求包括该CPU的芯片组还包括受信任平台模块(TPM)类组件。要求在主机芯片组中存在此类附加启用因素的安全解决方案在其可扩展性上可能受到限制。对在主机芯片组中实现安全管理的限制以及对更新此类安全管理实现的限制使得现有计算机平台易受来自日益危险的恶意软件的攻击。附图说明以解说方式且非限定地在如下附图中示出本专利技术的多个实施例,在附图中:图1A和图1B各自为示出根据实施例的用于供应安全管理的相应计算机系统的选择要素的框图。图2是示出根据实施例的用于实施安全管理的方法的选择要素的框图。图3A到图3D各自为示出根据实施例的用于供应安全管理的相应数据存储装置的选择要素的框图。图4是示出根据实施例的用于数据存储装置的安全服务供应的交互的选择要素的流程图。图5是示出根据实施例的用于在数据存储装置处实施安全管理的方法的选择要素的流程图。具体实施方式多个实施例涉及用于在诸如固态驱动器(SSD)、网络附连存储(NAS)、服务器附连存储(SAS)、双驱动器、混合驱动器或者硬盘驱动器(HDD)之类的存储装置处实施本地安全管理的稳健的基于硬件的安全解决方案。此类解决方案显著提高安全管理特征的可靠性,包括但不限于恶意软件扫描性能、认证、加密、数据恢复等。存储器控制器或其它数据处理硬件(诸如在当前数据存储装置中找到的那些)可利用附加逻辑、处理循环等扩充以本地地确定例如是否授权对本地非易失性存储介质的访问。在存储装置处针对经授权(或未授权)访问的本地检测可包括例如扫描驻留于存储装置的本地非易失性存储介质中的数据(例如文件和/或应用)。作为替换或附加,这种检测可包括扫描正被传输进入或离开非易失性存储介质的数据。在多个实施例中,针对经授权(或未授权)访问的检测是自主式的——例如完全在数据存储装置(DSD)内实施(并且在某些实施例中完全在数据存储装置中发起),其中检测的执行不包括某主机平台对DSD的处理或数据交换。在多个实施例中,附加硬件和/或软件还可被本地地提供于DSD上,以提供支持和/或延伸对访问是否被授权(或未授权)的本地确定的特征。例如,通过结合一个或多个附加处理核、固定功能加速器、ASIC、FPGA和/或类似硬件,可将这种逻辑包括在DSD中以实施本文所讨论的安全管理特征。作为示例而非限制,可为DSD提供硬件和/或软件逻辑以创建“停放区”,以供独立软件销售商(ISV)在一个或多个安全存储区域中(例如,主机平台对所述区域的访问至少部分被限制之处)安全地存储文件和/或应用和/或认证令牌。作为替换或附加,可为DSD提供硬件和/或软件逻辑以本地地生成受信任差别信息——例如,描述哪些文件和/或应用已被某代理修改。在多个实施例中,驻留于DSD上的存储器控制器功能可包括或可访问一个或多个本地加速器——通过高效执行特定类型的功能来帮助数据处理的专用硬件。此类加速器可包括例如散列引擎、用于加密/解密通信的密码引擎和/或用于帮助数据扫描和/或数据过滤的模式匹配引擎。在多个实施例中,在DSD处实施的安全管理功能可包括对备份操作的本地管理,例如对存储装置上存储的一个或多个文件的备份版本进行存储。这种安全管理可进一步包括基于此类备份操作对自动恢复操作的管理,例如如果确定数据状态的变化是由于病毒或其它恶意软件则恢复先前数据状态。在多个实施例中,在DSD处实施的安全管理功能可包括本地地执行对位于DSD外部的代理的认证。例如,DSD可在其安全存储子系统中存储信任根,该信任根用于本地地评估外部代理的安全证书。这种认证可作为在DSD的主机平台处执行的任何认证的附加和/或与其无关。例如,在DSD处执行的一些或者甚至全部安全管理操作可对DSD的主机平台的主机OS透明。实际上,此类安全管理操作甚至可对主机平台的可管理性引擎透明一例如某平台控制器中枢的管理引擎操作、专用管理处理器或者与DSD耦合的主机平台的管理处理模式。图1A示出根据实施例的用于提供安全管理的计算机系统IOOa的选择要素。计算机系统IOOa可包括能够实施与本文所述DSD的消息交换的多种个人计算机(PC)、台式计算机、膝上型计算机、笔记本计算机、服务器、手持式设备等中的任何一种。在一实施例中,计算机系统IOOa包括DSD 110,DSD 110包括总线接口 120用于将DSD 110耦合至主机平台150a的总线156a。DSD 110可用作数据的存储,这些数据将对主机平台150a变得可用和/或通过主机平台150a变得可用。例如,DSD 110可包括非易失性存储介质140,例如可由硬盘驱动器(HDD)的多种机制中的任何一种访问的硬盘盘片。作为替换或附加,非易失性存储介质140可包括诸如基于NAND的闪存之类的固态介质。注意,根据一种观点,当与总线156a耦合时DSD 110可被视为主机平台150a的扩展。例如,在多个实施例中,DSD 110可从至总线156a的连接或主机平台150a的某些其它连接接收电力供应。作为替换或附加,主机平台150可包括平台控制器中枢(未示出)以控制DSD 110的某些操作。但是,至少在DSD 110可本地地实施它自己的独立于主机平台150a计算过程的安全管理过程的范围内,DSD 110不同于主机平台150a。在一实施例中,总线接口 120可将DSD 110物理耦合至总线156a用于在主机平台150a的主机操作系统(OS) 152与DSD 110的执行引擎130之间进行消息交换。主机OS152可以是主机平台150的通用OS或者是某些其它OS (未示出)的管理OS,所述某些其它OS是主机平台150a的通用OS。在一实施例中,主机OS 152将DSD 110识别为主机平台150a下的存储装置,而非识别为例如与主机平台150a联网的某些独立和/或对等平台一例如具有不同网络地址或其它此类标识符的单独网络节点。主机OS 152的操作——例如用于请求在主机OS 152上执行的应用一可经由主机平台150a的存储驱动器154不同地交换消息以访问非易失性存储介质140。总线156a可包括例如通用串行总线(USB)总线、串行高级技本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:N·D·特瑞安塔菲罗,P·萨克希纳,R·W·斯特朗,R·J·希勒,E·塔米尔,S·本迈克尔,B·W·斯图尔特,A·卡达姆,M·朗,J·T·多伊尔,H·M·科斯拉维,L·B·穆苏尔,E·J·普林,P·S·施米茨,C·L·巴瑞特,P·J·萨蒂卡兰,
申请(专利权)人:英特尔公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。