设备启动自动冻结锁定的制作方法
【专利说明】
【背景技术】
[0001]计算设备可以使用一个或多个存储系统来存储信息。该信息可以包括例如数据和/或可执行指令。存储系统可以包括主存储装置和辅助存储装置。主存储装置可以是处理器可直接访问的存储装置,该处理器可被包含在计算设备内。处理器可以经由存储器总线访问主存储装置,存储器总线可以包含用于在处理器和主存储装置之间传输信息的规定。辅助存储装置可以是处理器不可以直接访问的存储装置。这里,可在处理器和辅助存储装置之间经由可能是I/O总线一部分的一个或多个输入/输出(I/O)信道传输信息。
【附图说明】
[0002]包括在该说明书中并构成该说明书的一部分的附图图示了本文所描述的一个或多个实施例,并与描述一起解释这些实施例。在附图中:
图1图示计算设备的示例实施例的框图;
图2图示可包含在与计算设备相关联的辅助存储装置中的存储设备的示例实施例;和图3图示可以由存储设备执行以自动冻结锁定存储设备的示例行动的流程图。
【具体实施方式】
[0003]下面的详细描述参照附图。不同附图中的相同附图标记可以标识相同或类似的元件。而且,以下详细描述不限制本发明。
[0004]计算设备可包括处理器和存储设备。处理器可以使用该存储设备来存储到计算设备的电力丢失后仍然存在的信息。该信息可以包括例如数据和/或计算机可执行指令。
[0005]例如,计算设备(诸如例如智能电话、平板电脑、或者超级本)可以包含处理器和存储设备,诸如例如,固态盘(SSD)、硬盘驱动器、或拇指驱动器。存储设备可以为计算设备提供非易失性存储。处理器可以使用该存储设备来存储到计算设备的电力丢失后存留的针对计算设备的信息。该信息可以包括例如可以由计算设备使用的数据和/或应用。在到计算设备的电力恢复之后,处理器可以从存储设备取回存留的信息。
[0006]存储设备可以包括控制逻辑,该控制逻辑可以,除其他外,为与存储设备相关联的各种安全相关的命令提供支持。与安全相关的命令可以被用于实现与存储设备相关联的各种安全相关的特征。
[0007]例如,2008年6月24日的工作草案项目美国国家标准T13/1699-D的修订版6的“Informat1n technology-AT Attachment 8-ATA/ATAPI Command Set (ATA8-ACS),,(在本文中称为“ΑΤΑ标准”)包括针对各种安全相关的命令的定义,该各种安全相关的命令可用于调用与存储设备相关联的各种安全相关的特征。这些命令包括可用于将密码与存储设备关联的SE⑶RITY SET PASSWORD命令。密码可以用于控制对存储设备的访问。换句话说,该SECURITY SET PASSWORD命令可用于对存储设备进行密码保护。
[0008]例如,假设计算设备包括处理器和存储设备。现在假设处理器发出SE⑶RITY SETPASSWORD命令以及密码以便对存储设备进行密码保护。对存储设备的访问可能受到限制,直到提供密码。
[0009]另外,由存储控制逻辑所支持的安全相关的命令可以被打包在用于去往/来自存储控制逻辑的传输的其他命令内。例如,公知的小型组件系统接口(SCSI)标准定义了SECURITY PROTOCOL OUT命令。SECURITY SET PASSWORD命令可以被打包在SECURITYPROTOCOL OUT命令内用于经由SCSI接口传输到存储设备。
[0010]作为另一示例,SECURITY SET PASSWORD命令可以被打包在SECURITY SEND命令内用于利用高速非易失性存储器(NVMe)协议经由高速外围组件接口(PCIe)传输到存储设备。SECURITY SEND命令在2013年I月23日的“NVM Express”规范修订版1.0e(简称“NVMe规范”)中被定义,该规范可从NVM工作组获得。
[0011]由存储设备支持的安全相关的特征可以包括用于根据进一步处理安全相关的命令锁定存储设备的规定(provis1n)。这些规定可被称为“冻结锁定”。已被冻结锁定的存储设备可以被称为处于冻结安全状态。在冻结安全状态中时,存储设备可以拒绝处理一些或所有安全相关的命令。存储设备可保持在冻结安全状态中,直到特定事件发生。
[0012]例如,ATA标准还包括针对SECURITY FREEZE LOCK命令的定义,该命令可用于引导存储设备进入冻结安全状态。当在冻结安全状态中时,存储设备可能不再处理安全相关的命令,诸如例如上述的SE⑶RITY SET PASSWORD命令。存储设备可以保持在冻结安全状态中,直到事件(诸如例如存储设备被复位或重新通电)发生。
[0013]当在存储设备被置于冻结安全状态中之前未经授权的密码与存储设备相关联时可能会出现问题。例如,假设计算设备包括处理器和存储设备。进一步假设存储设备支持上述SECURITY SET PASSWORD命令和SECURITY FREEZE LOCK命令。
[0014]现在,假设处理器不发出SE⑶RITY FREEZE LOCK命令到非易失性存储设备。因为非易失性存储设备不处于冻结安全状态,所以存储设备仍可以处理安全相关的命令。这可以使存储设备易受在处理器上执行的未经授权的程序(例如,恶意软件)的攻击。
[0015]例如,未经授权的程序可以通过发出SE⑶RITY SET PASSWORD命令到存储设备以把存储设备与未经授权的密码关联来“劫持”存储设备。然后存储设备可被保持为“人质”并且不可访问,直到提供密码。
[0016]本文描述的技术可以消除如下情况:例如,可以使得存储设备不可被未授权的装置访问(例如,劫持)。该技术可以包括例如确定存储设备是否已进入冻结安全状态;如果存储设备尚未进入冻结安全状态,则确定是否满足特定准则;并且如果满足准则,则自动将存储设备置于冻结安全状态。该行动可以由控制逻辑执行,该控制逻辑可被包含在例如存储设备内,从而使得存储设备能够自主地且没有外部干预地进入冻结安全状态。
[0017]图1图示计算设备100的示例实施例的框图。参照图1,计算设备100可包括各种组件,诸如例如,处理逻辑120、主存储装置130、辅助存储装置150、一个或多个输入设备160、一个或多个输出设备170、以及一个或多个通信接口 180。
[0018]应当注意的是,图1图示了计算设备100的示例实施例。计算设备100的其他实施例可以包括比图1中所示的组件更多组件或更少组件。进一步,该组件可不同于如图1中所示的那样布置。例如,在计算设备100的实施例中,辅助存储装置150的一部分可以被包含在远程站点处,该远程站点提供“云”存储。该站点可以由计算设备100经由通信网络(诸如例如,因特网)访问。通信接口 180可被用于把计算设备100与通信网络对接。
[0019]此外,应该注意的是,由包含在计算设备100的其他实施例中的各种组件执行的功能可以不同于如本文描述的那样分布在组件之间。
[0020]计算设备100可包括输入/输出(I/O)总线110,输入/输出总线110可以使能计算设备100中组件(诸如例如,处理逻辑120、辅助存储装置150、一个或多个输入设备160、一个或多个输出设备170、以及一个或多个通信接口 180)之间的通信。除其他事项外,通信可以包括在组件之间传输例如控制信号和/或数据。可用于实现I/O总线110的I/O总线可以包括例如串行AT附件(SATA )、外围组件互连(PCI)、高速PCI (PCI _e )、通用串行总线(USB )、小型计算机系统接口(SCSI)、串