設備啟動自動凍結(jié)鎖定的制作方法
【專利說明】
【背景技術】
[0001]計算設備可以使用一個或多個存儲系統(tǒng)來存儲信息�����。該信息可以包括例如數(shù)據(jù)和/或可執(zhí)行指令�����。存儲系統(tǒng)可以包括主存儲裝置和輔助存儲裝置�����。主存儲裝置可以是處理器可直接訪問的存儲裝置�����,該處理器可被包含在計算設備內(nèi)。處理器可以經(jīng)由存儲器總線訪問主存儲裝置���,存儲器總線可以包含用于在處理器和主存儲裝置之間傳輸信息的規(guī)定����。輔助存儲裝置可以是處理器不可以直接訪問的存儲裝置����。這里��,可在處理器和輔助存儲裝置之間經(jīng)由可能是I/O總線一部分的一個或多個輸入/輸出(I/O)信道傳輸信息�����。
【附圖說明】
[0002]包括在該說明書中并構(gòu)成該說明書的一部分的附圖圖示了本文所描述的一個或多個實施例����,并與描述一起解釋這些實施例。在附圖中:
圖1圖示計算設備的示例實施例的框圖�����;
圖2圖示可包含在與計算設備相關聯(lián)的輔助存儲裝置中的存儲設備的示例實施例;和圖3圖示可以由存儲設備執(zhí)行以自動凍結(jié)鎖定存儲設備的示例行動的流程圖。
【具體實施方式】
[0003]下面的詳細描述參照附圖�����。不同附圖中的相同附圖標記可以標識相同或類似的元件�。而且,以下詳細描述不限制本發(fā)明�����。
[0004]計算設備可包括處理器和存儲設備���。處理器可以使用該存儲設備來存儲到計算設備的電力丟失后仍然存在的信息����。該信息可以包括例如數(shù)據(jù)和/或計算機可執(zhí)行指令����。
[0005]例如,計算設備(諸如例如智能電話�����、平板電腦、或者超級本)可以包含處理器和存儲設備�,諸如例如,固態(tài)盤(SSD)���、硬盤驅(qū)動器��、或拇指驅(qū)動器���。存儲設備可以為計算設備提供非易失性存儲。處理器可以使用該存儲設備來存儲到計算設備的電力丟失后存留的針對計算設備的信息����。該信息可以包括例如可以由計算設備使用的數(shù)據(jù)和/或應用。在到計算設備的電力恢復之后���,處理器可以從存儲設備取回存留的信息。
[0006]存儲設備可以包括控制邏輯���,該控制邏輯可以����,除其他外���,為與存儲設備相關聯(lián)的各種安全相關的命令提供支持�。與安全相關的命令可以被用于實現(xiàn)與存儲設備相關聯(lián)的各種安全相關的特征。
[0007]例如���,2008年6月24日的工作草案項目美國國家標準T13/1699-D的修訂版6的“Informat1n technology-AT Attachment 8-ATA/ATAPI Command Set (ATA8-ACS)��,����,(在本文中稱為“ΑΤΑ標準”)包括針對各種安全相關的命令的定義����,該各種安全相關的命令可用于調(diào)用與存儲設備相關聯(lián)的各種安全相關的特征。這些命令包括可用于將密碼與存儲設備關聯(lián)的SE⑶RITY SET PASSWORD命令����。密碼可以用于控制對存儲設備的訪問。換句話說�����,該SECURITY SET PASSWORD命令可用于對存儲設備進行密碼保護����。
[0008]例如,假設計算設備包括處理器和存儲設備。現(xiàn)在假設處理器發(fā)出SE⑶RITY SETPASSWORD命令以及密碼以便對存儲設備進行密碼保護��。對存儲設備的訪問可能受到限制��,直到提供密碼�����。
[0009]另外���,由存儲控制邏輯所支持的安全相關的命令可以被打包在用于去往/來自存儲控制邏輯的傳輸?shù)钠渌顑?nèi)�����。例如�,公知的小型組件系統(tǒng)接口(SCSI)標準定義了SECURITY PROTOCOL OUT命令����。SECURITY SET PASSWORD命令可以被打包在SECURITYPROTOCOL OUT命令內(nèi)用于經(jīng)由SCSI接口傳輸?shù)酱鎯υO備����。
[0010]作為另一示例,SECURITY SET PASSWORD命令可以被打包在SECURITY SEND命令內(nèi)用于利用高速非易失性存儲器(NVMe)協(xié)議經(jīng)由高速外圍組件接口(PCIe)傳輸?shù)酱鎯υO備�。SECURITY SEND命令在2013年I月23日的“NVM Express”規(guī)范修訂版1.0e(簡稱“NVMe規(guī)范”)中被定義,該規(guī)范可從NVM工作組獲得。
[0011]由存儲設備支持的安全相關的特征可以包括用于根據(jù)進一步處理安全相關的命令鎖定存儲設備的規(guī)定(provis1n)��。這些規(guī)定可被稱為“凍結(jié)鎖定”��。已被凍結(jié)鎖定的存儲設備可以被稱為處于凍結(jié)安全狀態(tài)���。在凍結(jié)安全狀態(tài)中時�,存儲設備可以拒絕處理一些或所有安全相關的命令�。存儲設備可保持在凍結(jié)安全狀態(tài)中,直到特定事件發(fā)生���。
[0012]例如���,ATA標準還包括針對SECURITY FREEZE LOCK命令的定義,該命令可用于引導存儲設備進入凍結(jié)安全狀態(tài)�。當在凍結(jié)安全狀態(tài)中時,存儲設備可能不再處理安全相關的命令�����,諸如例如上述的SE⑶RITY SET PASSWORD命令��。存儲設備可以保持在凍結(jié)安全狀態(tài)中�,直到事件(諸如例如存儲設備被復位或重新通電)發(fā)生�。
[0013]當在存儲設備被置于凍結(jié)安全狀態(tài)中之前未經(jīng)授權的密碼與存儲設備相關聯(lián)時可能會出現(xiàn)問題�����。例如��,假設計算設備包括處理器和存儲設備�。進一步假設存儲設備支持上述SECURITY SET PASSWORD命令和SECURITY FREEZE LOCK命令。
[0014]現(xiàn)在�,假設處理器不發(fā)出SE⑶RITY FREEZE LOCK命令到非易失性存儲設備。因為非易失性存儲設備不處于凍結(jié)安全狀態(tài)�����,所以存儲設備仍可以處理安全相關的命令��。這可以使存儲設備易受在處理器上執(zhí)行的未經(jīng)授權的程序(例如���,惡意軟件)的攻擊���。
[0015]例如,未經(jīng)授權的程序可以通過發(fā)出SE⑶RITY SET PASSWORD命令到存儲設備以把存儲設備與未經(jīng)授權的密碼關聯(lián)來“劫持”存儲設備�。然后存儲設備可被保持為“人質(zhì)”并且不可訪問,直到提供密碼�。
[0016]本文描述的技術可以消除如下情況:例如,可以使得存儲設備不可被未授權的裝置訪問(例如�����,劫持)���。該技術可以包括例如確定存儲設備是否已進入凍結(jié)安全狀態(tài);如果存儲設備尚未進入凍結(jié)安全狀態(tài)�����,則確定是否滿足特定準則;并且如果滿足準則�����,則自動將存儲設備置于凍結(jié)安全狀態(tài)����。該行動可以由控制邏輯執(zhí)行���,該控制邏輯可被包含在例如存儲設備內(nèi)����,從而使得存儲設備能夠自主地且沒有外部干預地進入凍結(jié)安全狀態(tài)��。
[0017]圖1圖示計算設備100的示例實施例的框圖。參照圖1�����,計算設備100可包括各種組件�����,諸如例如�,處理邏輯120、主存儲裝置130���、輔助存儲裝置150���、一個或多個輸入設備160、一個或多個輸出設備170��、以及一個或多個通信接口 180��。
[0018]應當注意的是�����,圖1圖示了計算設備100的示例實施例���。計算設備100的其他實施例可以包括比圖1中所示的組件更多組件或更少組件�。進一步�,該組件可不同于如圖1中所示的那樣布置。例如����,在計算設備100的實施例中,輔助存儲裝置150的一部分可以被包含在遠程站點處�����,該遠程站點提供“云”存儲�����。該站點可以由計算設備100經(jīng)由通信網(wǎng)絡(諸如例如���,因特網(wǎng))訪問���。通信接口 180可被用于把計算設備100與通信網(wǎng)絡對接。
[0019]此外�����,應該注意的是,由包含在計算設備100的其他實施例中的各種組件執(zhí)行的功能可以不同于如本文描述的那樣分布在組件之間���。
[0020]計算設備100可包括輸入/輸出(I/O)總線110�����,輸入/輸出總線110可以使能計算設備100中組件(諸如例如�,處理邏輯120��、輔助存儲裝置150�、一個或多個輸入設備160、一個或多個輸出設備170�、以及一個或多個通信接口 180)之間的通信。除其他事項外��,通信可以包括在組件之間傳輸例如控制信號和/或數(shù)據(jù)�。可用于實現(xiàn)I/O總線110的I/O總線可以包括例如串行AT附件(SATA )�����、外圍組件互連(PCI)�����、高速PCI (PCI _e )、通用串行總線(USB )�����、小型計算機系統(tǒng)接口(SCSI)����、串