[发明专利]用于数据存储装置处的安全管理供应的技术

权利要求书

1.一种数据存储装置，包括：

用于存储数据的非易失性存储介质；

与处理器和存储器一起运行的执行引擎，所述执行引擎耦合至所述非易失性存储介质，所述执行引擎用于执行安全管理过程以检测对所述非易失性存储介质的访问是否被授权；以及

耦合至所述执行引擎的总线接口，所述总线接口用于将所述数据存储装置连接至主机平台的总线，其中所述执行引擎进一步用于执行输入/输出（I/O）过程以用于所述执行引擎与所述主机平台的存储驱动器之间的消息交换，所述执行引擎的消息交换进一步用于访问所述主机平台的操作系统的非易失性存储介质。

2.如权利要求1所述的数据存储装置，其特征在于，检测对所述非易失性存储介质的访问是否被授权包括以下至少之一：

扫描所述非易失性存储介质以检测对所述非易失性存储介质的未授权访问；以及

基于请求访问所述非易失性存储介质的代理的安全证书来标识访问授权。

3.如权利要求2所述的数据存储装置，其特征在于，基于所述安全证书标识所述访问授权包括在将变更提交到所述数据之前验证认证代码。

4.如权利要求2所述的数据存储装置，其特征在于，所述安全管理过程用于扫描所述非易失性存储介质以检测对所述非易失性存储介质的未授权访问，其中所述安全管理过程进一步用于生成差别信息以标识自对所述非易失性存储介质的先前扫描以来在所述非易失性存储介质中的变更。

5.如权利要求1所述的数据存储装置，其特征在于，所述执行引擎进一步用于限制所述主机平台的操作系统对所述非易失性存储介质的安全区域的访问。

6.如权利要求1所述的数据存储装置，其特征在于，所述执行引擎进一步用于经由所述总线接口提供关于所述非易失性存储介质的受信任信息，其中所述受信任信息是数据块、数据扇区以及文件中之一所专用的，其中所述受信任信息被提供给在所述主机平台上运行的应用或者被提供给位于所述主机平台外部的代理。

7.如权利要求1所述的数据存储装置，其特征在于，所述主机平台的总线包括通用串行总线（USB）总线、串行高级技术附接（SATA）总线、快速外围部件互连（PCI-E）总线以及小型计算机系统接口（SCSI）总线中之一。

8.如权利要求1所述的数据存储装置，其特征在于，所述执行引擎用于建立数据隧道以经由所述操作系统与位于所述主机平台外部的代理或者与所述主机平台的受信任代理交换消息，所述数据隧道用于限制所述主机平台的所述操作系统对所述消息的访问。

9.如权利要求1所述的数据存储装置，其特征在于，所述安全管理过程用于在所述主机平台的睡眠模式期间执行对所述非易失性存储器的扫描。

10.如权利要求1所述的数据存储装置，其特征在于，还包括模式匹配加速器，所述模式匹配加速器用于帮助检测在所述非易失性存储介质上存储的数据的特定模式。

11.一种方法，包括：

利用数据存储装置的执行引擎，执行安全管理过程以检测对所述数据存储装置的非易失性存储介质的访问是否被授权，其中所述数据存储装置的总线接口将所述数据存储装置连接至主机平台的总线；

利用所述执行引擎，执行输入/输出（I/O）过程以用于所述执行引擎与所述主机平台的存储驱动器之间经由所述总线接口的消息交换，所述执行引擎的消息交换用于访问所述主机平台的操作系统的非易失性存储介质。

12.如权利要求11所述的方法，其特征在于，检测对所述非易失性存储介质的访问是否被授权包括以下至少之一：

扫描所述非易失性存储介质以检测对所述非易失性存储介质的未授权访问；以及

基于请求访问所述非易失性存储介质的代理的安全证书来标识访问授权。

13.如权利要求12所述的方法，其特征在于，所述安全管理过程扫描所述非易失性存储介质以检测对所述非易失性存储介质的未授权访问，其中所述安全管理过程生成差别信息以标识自对所述非易失性存储介质的先前扫描以来在所述非易失性存储介质中的变更。

14.如权利要求11所述的方法，其特征在于，进一步包括所述执行引擎限制所述主机平台的操作系统对所述非易失性存储介质的安全区域的访问。