专利名称:用于在存储设备中提供可检验安全的技术的制作方法
技术领域:
本发明涉及存储设备,且更具体地,涉及用于为诸如硬盘驱动器之类的 存储设备的内容提供安全的技术。
背景技术:
在近些年中,州和联邦级的强保密立法的制定已经向商业机构施加了保 护其数据的压力。由于该项立法,对公司来说,证明数据是安全的已经变得更加重要。AT附件(ATA )是用于在个人计算机内部连接诸如硬盘和CD-ROM驱 动器之类的存储设备的标准接口。 ATA规范包含安全锁定机制,其保护存储 于诸如硬盘驱动器之类的存储设备上的数据。安全锁定机制提供两种口令字, 用户口令字和主口令字。口令字用于提供对存储设备上的数据的存取控制。通过使用安全设置口令字指令设置用户口令字可以使能存取控制。 一旦 已经使能存取控制,只要硬盘驱动器(HDD)接通电源则其自动进入锁定状 态。在该锁定状态中,硬盘驱动器不允许存取其数据并且仅接受诸如标识设 备之类的有限数量的指令。带有用户口令字的安全解锁指令暂时性地解锁 HDD直到其下一个电源周期为止。当冷启动计算机时,硬盘驱动器再次锁定 数据。通过输入用户口令字和安全禁止指令可以永久地禁止存取控制特征, 仅当HDD处于解锁状态中才可以发布用户口令字和安全禁止指令。一旦已经 禁止存取控制特征,则用户可以在重启之后存取HDD上的数据,而无需输入 口令字。通过当设置口令字之一 (主或用户)时指定的安全级别("高,,或"最高,,) 的设置来确定主口令字的功能。当安全级别设置为"高,,时,如果丢失用户口 令字则主口令字可以解锁数据。当选择"最高"安全级别时,仅用户口令字提 供对数据的存取。最高安全级别禁止用于存取数据或关闭安全锁定机制的主 口令字的使用。在最高安全级别中,在执行盘的安全擦除之后,管理员可以使用主口令字仅解锁数据。安全擦除指令擦除盘上的所有数据并禁止存取控制机制。可以在HDD处于解锁状态时或当HDD处于"高"安全级别时使用主口令字的认 证之后发布安全擦除指令。ATA安全解锁机制保证只要安全锁定机制没有关闭就不能存取数据。然 而,由于可以使用用户口令字使能安全禁止指令,因此商业机构中面临雇员 可能在数据丟失或被盗之前关闭安全锁定机制的风险。因此,期望提供用于控制对存储设备上数据的存取的更安全的技术。发明内容本发明提供了用于保护诸如硬盘驱动器之类的存储设备上的数据的可检 验安全模式。当使能可检验安全模式时,在输入口令字之后仅允许经认证的 对存储于存储设备上的数据的存取。阻止终端用户禁止可检验安全模式。可 以设置可检验安全模式来允许或不允许管理员禁止可检验安全模式。可以在 例如硬盘驱动器(HDD)上的固件中实现可检验安全模式。在考虑下面详细的描述和附图的情况下,本发明的其他目标、特征和特 点将变得明显。
图1图解根据本发明的实施例的、 上的数据的硬盘驱动器的示例。图2图解根据本发明的实施例的、 硬盘驱动器的布置过程的状态图。图3图解根据本发明的实施例的、 全模式中运行的系统。批量加密(bulk encrypt)存储于硬盘 描绘对于放置于可检验安全模式中的 用于检查硬盘驱动器是否在可检验安具体实施方式
上述ATA安全特征提供了某种程度的数据安全。然而,由于在计算机的 基本的输入/输出系统(BIOS)中维持ATA安全特征,因此通过主动地交换 电子卡或使用强制媒体扫描可以相对容易地避开ATA 口令字。攻击的典型模 式是向另 一台机器传送HDD,以便避开操作系统存取控制。可以批量地加密硬盘上的数据,以防止这些类型的攻击。批量加密可以用于增强由ATABIOS安全锁定机制提供的数据安全保护的级别。可选择地, 批量加密可以与一些其他的存取控制方案(除了 ATABIOS 口令字之外)链 接。批量加密数据可以防止将带有客户数据的HDD向未授权的个人公开。例如,批量加密阻止未授权的用户通过使用强制媒体扫描或主动地交换 电子卡以避开由BIOS控制的ATA安全特征来存取加密硬盘上的数据。批量 加密也可以用于使能HDD上的数据的快速安全擦除,或简化所使用的系统的 布置和解除(decommission)。另外,当客户的数据丟失或被盗时,批量加密 可以提供针对报告义务的保护。图1图解根据本发明的实施例的、批量加密存储于硬盘上的数据的硬盘 驱动器102的示例。主机操作系统(OS) 101通过ATA接口 103与硬盘驱动 器102通信。ATA接口 103 —般由存储于BIOS中的软件管理。ATA接口 103 使用上述安全锁定机制控制对存储于硬盘驱动器102中的数据的存取。主机 OS 101通过ATA接口 103向硬盘驱动器102发送口令字,以解锁存储于驱动 器102中的数据。 一旦解锁数据,则主机OS 101通过ATA接口 103向硬盘 驱动器102发送读/写指令和数据,并且硬盘驱动器102响应于读指令通过 ATA接口 103向主机OS 101返回数据。硬盘驱动器(HDD) 102包含片上系统(SOC) 104,其包括加密引擎 105。加密引擎105可以以硬件、软件或在硬件和软件实现。SOC104从ATA 口令字中产生批量加密密钥106。加密引擎105使用批量加密密钥106加密 存储于硬盘的盘表面107上的数据。结果,加密所有存储于盘表面107的数 据108。所加密的数据108仅可以使用加密密钥才能存取。客户机中的基本输入/输出系统(BIOS)监控和管理所有向硬盘驱动器 (HDD)发布的ATA安全指令。根据本发明的实施例,BIOS中的安全特征 可以阻止终端用户禁止存取控制或不输入主口令字就执行磁盘上的数据的安 全擦除。为加强这些限制,不论系统从哪里启动,BIOS最好总在系统中感 兴趣的主HDD上执行冻结锁定(freeze lock )。然而,原则上,确定的终端用 户可以通过从系统拆走HDD并将其安装在另 一台机器上来避开任何BIOS限 制。除了基于BIOS的ATA安全锁定机制之外,根据本发明的另一实施例, 还可以通过硬盘驱动器(HDD)中的固件实现附加的安全特征。当使能附加 的安全特征时,将HDD放置于不可以被禁止的可检验安全模式中。附加的安全特征将HDD放置于可证实的安全状态中。例如,硬盘驱动器可以禁止安全禁止口令字指令以提供附加的安全特征。 当禁止安全禁止口令字指令时,硬盘驱动器阻止用户禁止用户口令字。该另 外的安全特征阻止用户禁止每一次计算机重启或复位时都要求输入用户口令 字的ATA安全特征。因此,用户不可以使HDD脱离安全状态。当禁止安全禁止口令字指令时,在没有用户口令字的重启或复位之后硬 盘驱动器控制器中的固件不接受来自主机OS的数据存取。如果没有输入用 户口令字,则HDD进入其中阻塞对HDD的数据存取的锁定状态。可选择地, 硬盘驱动器可以阻止管理员禁止主口令字。即使当禁止安全禁止口令字指令时,仍然可以允许用户在输入当前用户 口令字之后改变用户口令字。硬盘驱动器可以通过要求用户和/或主口令字具 有最小数目的字符和/或最小数目的特定类型的字符来施加进一步的限制。作为另一示例,可以将硬盘驱动器放置于要求输入主口令字以执行安全 擦除单元指令的安全模式中。在该安全模式中,硬盘驱动器阻止用户通过输 入用户口令字使用安全擦除单元指令来擦除硬盘上的所有数据。当与主口令 字一起输入安全擦除单元指令时,硬盘驱动器仅擦除硬盘上的所有数据。因 此,仅允许具有主口令字的管理员擦除所有存储的数据。作为另 一示例,可以将硬盘驱动器放置于阻止用户使用安全设置口令字 指令改变主口令字的可检验安全模式中。在该增加的安全模式中,硬盘驱动 器拒绝接受用户口令字以产生新的主口令字或禁止主口令字。图2图解根据本发明的实施例的、描绘可以放置于可检验安全模式中的 硬盘驱动器(HDD)的布置过程的状态图。关于图2所示的和所描述的具体 细节是说明性的示例,其并非旨在限制本发明的范围。被配置为实现本发明的可检验安全模式的硬盘驱动器(HDD)提供用于 保护存储于HDD上的数据的可证实技术。在状态201中,HDD制造商关闭 HDD的安全特征并使能批量加密。然后将HDD载运至PC原始设备制造商 (OEM )。当将HDD安装至计算机中时,在状态202中,PC OEM保持安全特征 关闭和被使能的批量加密。然后将计算机载运至终端客户并提供给信息技术 (IT)管理员。当最初由终端客户接收计算机时,HDD处于状态203中。在 状态203中,HDD批量加密存储于硬盘中的所有数据。在状态203中,IT管理员可以设置、改变或禁止主口令字(PW)。此外, 在状态203中,IT管理员可以通过输入主口令字执行硬盘上所有数据的安全 擦除。在硬盘的安全擦除过程中,所有数据丢失,且HDD产生用于加密安全 擦除之后存储于盘上的数据的新的加密密钥。IT管理员可以通过设置用户口令字(PW)将HDD放置于可检验安全模 式(状态204)中。在状态204中,IT管理员可以改变用户口令字。在状态 204中,IT管理员也可以设置、改变或禁止主口令字。在状态204中,HDD 继续批量加密存储于硬盘上的数据。在IT管理员输入主口令字之后,他可以 返回至状态203以禁止用户口令字。IT管理员也可以通过与主口令字一起输 入安全擦除单元指令来返回至状态203以安全地擦除硬盘上的所有数据。在状态204中,HDD禁止安全禁止口令字指令。当禁止安全禁止口令字 指令时,HDD阻止用户禁止用户口令字。此外在状态204中,HDD阻止用 户使用安全擦除单元指令来使用用户口令字擦除盘。盘上的数据的安全擦除 仅可以通过输入主口令字才能够执行。因此,如果终端用户没有主口令字, 则HDD阻止用户禁止用户口令字或安全地擦除盘。此外,在状态204中, HDD阻止用户通过输入带有安全设置口令字指令的用户口令字来设置、改变 或禁止主口令字。在HDD已经被放置于状态204中之后,包含HDD的计算机可以供给终 端用户(如终端客户的雇员)。现在HDD处于状态205中。在状态205中, 终端用户可以在输入当前用户口令字之后改变用户口令字。改变用户口令字 是对HDD允许终端用户在状态205中执行的安全功能的唯一改变。除了终端用户不具有对主口令字的存取权之外,状态205本质上是与状 态204相同的状态。当HDD处于状态205中时,终端用户不能禁止用户口令 字或通过输入用户口令字执行盘上数据的安全擦除。在状态205中,终端用 户也不能设置、改变或禁止主口令字。由于仅允许终端用户改变用户口令字, 因此即使计算机被盗,终端客户也可以保证存储于硬盘驱动器上的数据被加 密且由用户口令字保护。在图2中,状态A对应于状态201-203,而状态B对应于状态204-205。 在状态B中HDD处于可检验安全模式中。在可检验安全模式中,终端客户 可以证实HDD上的数据被加密且由不能被终端用户禁止的口令字保护。在将 HDD放置于状态B 204之后,计算机可以产生证书作为已经将HDD放置于可检验安全模式中的文件。根据本发明的再一实施例,将设备配置覆盖(device configuration overlay, DCO)特征中的厂商唯一位(vendor unique bit)设置为禁止安全禁止口令字 指令、安全擦除单元指令、和安全设置口令字指令,以实现上述安全特征。 这三种指令也可以由具有所期望特性的厂商特定版本取代。当使能HDD安全 特征设置时,不能发布DCO指令,因此HDD保持在安全限制状态中直到安 全擦除单元指令与主口令字发布为止。在使能HDD安全特征的情况下,终端 客户IT管理员需要创建并增强策略以保证在公司内布置的所有系统被放置于 限制状态中。根据再另一实施例,如果用户口令字和主口令字都丟失了,则本发明的 硬盘驱动器可以被不可逆地锁定在可检验安全模式中。 一旦硬盘已经输入不 可逆的锁定状态,则不可以存取硬盘上的任何数据,且不可以安全地擦除硬 盘驱动器。在不可逆的锁定状态中硬盘驱动器变得完全不可用。根据再另一实施例,本发明的硬盘驱动器可以放置于其中在已经设置主 口令字之后管理员不可以禁止主口令字的可检验安全模式中。在该种模式中, 一旦已经设置主口令字,则硬盘驱动器永久地保持其自身处于在重启或复位 之后要求输入主口令字(或用户口令字)的模式中。图3图解根据本发明的另一个实施例的、用于检查HDD是否在可检验 安全模式中运行的系统。根据该实施例,硬盘驱动器(HDD) 303周期性地 产生签名的日志或签名的证书,其指示目前在HDD 303上使能什么安全和存 取控制特征。使用公知的公共和私用加密密钥可以产生和解锁签名的证书。主机操作系统(OS )302从硬盘驱动器(HDD )303接收签名的日志(signed log )或签名的证书(signed authentication ),并周期性地向通过网络与主机 OS 302连接的服务器301传送签名的日志/证书。服务器301确定HDD 303 是否在正确的安全符合模式中运行,基于该模式使能安全和存取控制特征。 服务器301也认证签名的日志/证书来保证将从正确的HDD 303传送它们。例如,服务器301可以检查以保证在HDD 303上设置合适的安全特征, 使得用户不可以执行盘的安全擦除或禁止用户或主口令字。如果HDD不处于 正确的安全符合模式中,则服务器指示主机操作系统禁止与HDD的通信直到 可以将HDD放置于正确的模式中为止。当使能或禁止特定安全和存取控制特征时,HDD 303发布签名的日志或证书。主机OS 302向服务器301传送签名的纪录/证书。服务器301在辩论 日志(forensic log)中存储签名的日志/证书。根据另一实施例,仅从服务器301到HDD 303的签名的请求可以引起 HDD 303改变其存取控制状态。HDD 303认证从服务器301请求HDD改变 其存取控制状态的有符号证书,以保证从授权的源发送请求。 一般地,服务 器301向HDD 303发送签名的证书,以便向HDD认证服务器,反之HDD 303 向服务器301发送签名的日志,以认证纪录的起源。为了说明和描述的目的,已经呈现了本发明的示例性实施例的上面描述。 并非旨在详尽地或限制本发明到所公开的精确的形式。在本发明中想要进行 一定程度的修改、各种变更和替代。在一些情况中,可以釆用本发明的特征, 而没有对应使用如阐述的其他特征。在不脱离本发明的范围的情况下,根据 以上教导,许多修改和变化都是可能的。本发明的范围不受该详细的描述的 限制,而是由在此所附的权利要求所限制。
权利要求
1.一种包括用于提供数据安全的代码的硬盘驱动器,其中该代码存储于计算机可读媒体上,该硬盘驱动器包括代码,用于将硬盘驱动器放置于安全模式中,该安全模式仅允许对存储于硬盘上数据的认证存取;以及代码,用于阻止该硬盘驱动器的终端用户禁止该安全模式。
2. 如权利要求1所述的硬盘驱动器,进一步包括 代码,用于允许管理员禁止该安全模式。
3. 如权利要求1所述的硬盘驱动器,其中,用于阻止该终端用户禁止该 安全模式的该代码进一步包括用于阻止该终端用户禁止要求输入用户口令字 来存取该数据的代码的代码。
4. 如权利要求2所述的硬盘驱动器,其中,用于允许该管理员禁止该安 全模式的该代码进一步包括用于要求该管理员输入主口令字以禁止该安全模 式的代码,并且其中,用于阻止该终端用户禁止该安全模式的该代码进一步 包括用于阻止该终端用户设置、改变或禁止该主口令字的代码。
5. 如权利要求1所述的硬盘驱动器,其中,用于阻止该终端用户禁止该 安全模式的该代码进一步包括用于阻止该终端用户使用安全擦除单元指令通 过输入用户口令字来擦除该硬盘上的所有数据的代码。
6. 如权利要求1所述的硬盘驱动器,其中,用于阻止该终端用户禁止该 安全模式的该代码进一步包括用于允许该终端用户改变用户口令字的代码。
7. 如权利要求1所述的硬盘驱动器,进一步包括 代码,用于批量加密存储于该硬盘上的数据。
8. 如权利要求1所述的硬盘驱动器进一步包括代码,用于周期性地产生签名的证书和签名的日志中的至少之一,其指 示该硬盘当前是否处于该安全模式中;以及代码,用于向主机操作系统传送该签名的证书和该签名的日志中的至少 之一。
9. 如权利要求8所述的硬盘驱动器,进一步包括代码,用于响应于从服务器接收经认证的签名的证书来改变该硬盘驱动 器的存取控制状态。
10. 如权利要求1所述的硬盘驱动器,其中,用于将该硬盘驱动器放置于 该安全模式中的该代码还包括用于在重启之后要求输入口令字以存取该数据 的代码,该安全模式仅允许对存储于该硬盘上的数据的认证存取。
11. 一种用于提供硬盘驱动器上的可检验的数据安全的方法,该方法包括将该硬盘驱动器放置于可检验安全模式中,在该模式中仅允许通过输入 口令字对存储于硬盘上的数据的认证存取;以及阻止该硬盘驱动器的终端用户禁止该可检验安全模式。
12. 如权利要求11所述的方法,进一步包括 允许管理员禁止该可检验安全模式。
13. 如权利要求11所述的方法,进一步包括在该硬盘驱动器已经被设置到该可检验安全模式中之后,阻止管理员禁 止该可检验安全模式。
14. 如权利要求11所述的方法,其中,阻止该硬盘驱动器的该终端用户 禁止该可检验安全模式进一步包括阻止该终端用户禁止该硬盘驱动器要求输 入用户口令字来存取该硬盘上的该数据。
15. 如权利要求12所述的方法,其中,允许该管理员禁止该可检验安全模式进一步包括要求该管理员输入主口令字以禁止该可检验安全模式,并且 其中,阻止该硬盘驱动器的该终端用户禁止该可检验安全模式进一步包括阻止该终端用户设置、改变或禁止该主口令字。
16. 如权利要求11所述的方法,其中,阻止该硬盘驱动器的该终端用户 禁止该可检验安全模式进一步包括阻止该终端用户通过输入用户口令字和安 全擦除单元指令来安全地擦除该硬盘上的所有数据。
17. 如权利要求11所述的方法,进一步包括使用该硬盘驱动器批量加密存储于该硬盘上的该数据。
18. 如权利要求11所述的方法,进一步包括周期性地产生指示该硬盘驱动器当前是否处于该可检验安全模式中的签 名的i正书;以及向服务器传送该签名的证书。
19. 一种包括用于提供数据安全的代码的硬盘驱动器,其中该代码存储于 计算机可读媒体上,该硬盘驱动器包括用于将该硬盘驱动器放置于安全模式中的代码,该安全模式仅允许通过输入口令字对存储于硬盘驱动器上的数据的认证存取;允许管理员通过输入主口令字禁止该安全模式的代码;以及用于阻止该硬盘驱动器的终端用户通过输入用户口令字禁止该安全模式的代码。
20.如权利要求19所述的硬盘驱动器,其中,用于阻止该终端用户禁止 该安全模式的该代码进一步包括用于阻止该终端用户设置、改变或禁止该主 口令字的代码。
全文摘要
公开了用于在存储设备中提供可检验安全的技术。针对保护诸如硬盘驱动器之类的存储设备上的数据,提供了可检验安全模式。当使能可检验安全模式时,在输入口令字之后,仅允许对存储于存储设备上的数据的认证存取。阻止终端用户禁止可检验安全模式。可检验安全模式可以设置为允许或不允许管理员禁止可检验安全模式。可以在例如硬盘驱动器(HDD)上的固件中实现可检验安全模式。
文档编号G06F12/14GK101236536SQ200710193618
公开日2008年8月6日 申请日期2007年11月23日 优先权日2006年12月22日
发明者乔尔格·C·德索扎, 理查德·M·H·纽, 西里尔·盖约特, 阿南德·K·库尔卡尼 申请人:日立环球储存科技荷兰有限公司