[发明专利]存储器子系统、安全客户端装置及其认证方法

说明书

本发明提供一种存储器子系统、安全客户端装置及其认证方法，存储器子系统包括：存储器接口，用于存取非易失性存储器(NVM)；主机接口，与主机进行通信；以及处理器。处理器被配置成：通过主机使用并存储在非易失性存储器中的程序代码来计算签名；在检测到由主机执行的启动进程时，验证启动进程是否合法；以及只有当启动进程被验证为合法时，才将签名提供到主机以供远程服务器认证。

技术领域

本发明大体来说涉及安全通信及数据存储，尤其涉及存储器子系统、安全客户端装置及其认证方法。

背景技术

与服务器进行通信的安全客户端有时需要向服务器进行认证且安全客户端需要证明其尚未被恶意的第三方入侵。针对此种认证过程已提出了各种解决方案。一些解决方案涉及创建并向服务器报告客户端的安全身份。举例来说，可信计算组织(TrustedComputing Group，TCG)在“装置识别码合成引擎的可信平台架构硬件要求(TrustedPlatform Architecture Hardware Requirements for a Device IdentifierComposition Engine)”(2.0家族，00级别，69版本，2016年12月16日)中规定了一种称为“装置识别码合成引擎(Device Identifier Composition Engine，DICE)”的解决方案，并入本文以供参考。

发明内容

本发明的实施例提供一种存储器子系统，存储器子系统包括：存储器接口，用于存取非易失性存储器；主机接口，与主机进行通信；以及处理器。处理器被配置成：计算由主机使用并存储在非易失性存储器中的程序代码上的签名；在检测到由主机执行的启动进程时，验证启动进程是否合法；以及只有当启动进程被验证为合法时，才将签名提供到主机以供远程服务器认证。

在一些实施例中，处理器被配置成将签名存储在易失性寄存器中，并且当检测到启动进程不合法时清除所述易失性寄存器。在一些实施例中，处理器被配置成通过验证主机对非易失性存储器的一个或多个第一存取是否被定址到被预先定义为合法的存储器地址范围来验证启动进程是否合法。在实施例中，当启动进程被验证为合法时，处理器被配置成对被预先定义为合法的存储器地址范围进行修改。

根据本发明的实施例，另外提供一种安全客户端装置，安全客户端装置包括：非易失性存储器；主机；以及存储器子系统。存储器子系统被配置成：代表主机存取非易失性存储器；计算由主机使用并存储在非易失性存储器中的程序代码上的签名；在检测到由主机执行的启动进程时，验证启动进程是否合法；以及只有当启动进程被验证为合法时，才将签名提供到主机以供远程服务器认证。

根据本发明的实施例，还提供一种认证方法，认证方法包括：计算由主机使用并存储在非易失性存储器中的程序代码上的签名。在检测到由主机执行的启动进程时，验证启动进程是否合法。只有当启动进程被验证为合法时，才将签名提供到主机以供远程服务器认证。

为使本发明能更明显易懂，特举实施例并配合附图详细说明如下。

附图说明

包含附图以便进一步理解本发明，且附图并入本说明书中并构成本说明书的一部分。附图说明本发明的实施例，并与描述一起用于解释本发明的原理。

图1是根据本发明一实施例的与远程服务器进行通信的安全客户端装置的方块图。

图2是根据本发明一实施例的条件式供应代码签名的方法的流程图。

附图标号说明

20：系统；

24：客户端；

28：服务器；

32：网络；

36：主机；

40：非易失性存储器；

44：存储器子系统；