[发明专利]用于数据存储装置处的安全管理供应的技术

说明书

背景技术

1.技术领域

各实施例一般涉及计算机安全。更特别地，实施例提供数据存储装置用以本地实施一个或多个它自己的本地安全管理过程。

2.背景技术

计算机和计算机网络必须应对恶意软件变体的快速增长以及被相同恶意软件变体所感染的计算机平台（客户机、服务器等）的数量的相应减少。此外，恶意软件创造者构建日益秘密的安全威胁，例如包括关闭反恶意软件的软件（AVS）和/或将错误的盘数据反馈给AVS应用的能力。恶意软件日益增加的种类和能力已降低了主机系统执行环境维护最新AVS解决方案的信任水平。

在当前技术下，用于评估数据存储装置（DSD）的安全状态的安全管理过程——诸如恶意软件检测和/或恶意软件恢复——在与DSD连接的主机平台中执行。因此，对这种主机平台的安全状态的损害导致对与其耦合的存储装置的安全管理的损害。

此外，各种主机平台的芯片组中的用于更新此类安全管理性能的机制的可扩展性可能受到限制。可实现特定安全改善的平台的容量可依赖于已做出要求的主机芯片组的安装基础和/或用于该安全解决方案的兼容硬件。例如，针对特定类型的中央处理单元（CPU）引入虚拟化指令集可能受到首先建立信任根的需要的限制，其可能（例如）要求包括该CPU的芯片组还包括受信任平台模块（TPM）类组件。要求在主机芯片组中存在此类附加启用因素的安全解决方案在其可扩展性上可能受到限制。

对在主机芯片组中实现安全管理的限制以及对更新此类安全管理实现的限制使得现有计算机平台易受来自日益危险的恶意软件的攻击。

附图说明

以解说方式且非限定地在如下附图中示出本发明的多个实施例，在附图中：

图1A和图1B各自为示出根据实施例的用于供应安全管理的相应计算机系统的选择要素的框图。

图2是示出根据实施例的用于实施安全管理的方法的选择要素的框图。

图3A到图3D各自为示出根据实施例的用于供应安全管理的相应数据存储装置的选择要素的框图。

图4是示出根据实施例的用于数据存储装置的安全服务供应的交互的选择要素的流程图。

图5是示出根据实施例的用于在数据存储装置处实施安全管理的方法的选择要素的流程图。

具体实施方式

多个实施例涉及用于在诸如固态驱动器（SSD）、网络附连存储（NAS）、服务器附连存储（SAS）、双驱动器、混合驱动器或者硬盘驱动器（HDD）之类的存储装置处实施本地安全管理的稳健的基于硬件的安全解决方案。此类解决方案显著提高安全管理特征的可靠性，包括但不限于恶意软件扫描性能、认证、加密、数据恢复等。存储器控制器或其它数据处理硬件（诸如在当前数据存储装置中找到的那些）可利用附加逻辑、处理循环等扩充以本地地确定例如是否授权对本地非易失性存储介质的访问。

在存储装置处针对经授权（或未授权）访问的本地检测可包括例如扫描驻留于存储装置的本地非易失性存储介质中的数据（例如文件和/或应用）。作为替换或附加，这种检测可包括扫描正被传输进入或离开非易失性存储介质的数据。在多个实施例中，针对经授权（或未授权）访问的检测是自主式的——例如完全在数据存储装置（DSD）内实施（并且在某些实施例中完全在数据存储装置中发起），其中检测的执行不包括某主机平台对DSD的处理或数据交换。

在多个实施例中，附加硬件和/或软件还可被本地地提供于DSD上，以提供支持和/或延伸对访问是否被授权（或未授权）的本地确定的特征。例如，通过结合一个或多个附加处理核、固定功能加速器、ASIC、FPGA和/或类似硬件，可将这种逻辑包括在DSD中以实施本文所讨论的安全管理特征。

作为示例而非限制，可为DSD提供硬件和/或软件逻辑以创建“停放区”，以供独立软件销售商（ISV）在一个或多个安全存储区域中（例如，主机平台对所述区域的访问至少部分被限制之处）安全地存储文件和/或应用和/或认证令牌。作为替换或附加，可为DSD提供硬件和/或软件逻辑以本地地生成受信任差别信息——例如，描述哪些文件和/或应用已被某代理修改。

在多个实施例中，驻留于DSD上的存储器控制器功能可包括或可访问一个或多个本地加速器——通过高效执行特定类型的功能来帮助数据处理的专用硬件。此类加速器可包括例如散列引擎、用于加密/解密通信的密码引擎和/或用于帮助数据扫描和/或数据过滤的模式匹配引擎。