从主机系统接收发起认证会话的请求。质询数据基于所述请求生成,并且响应于所述请求而提供到所述主机系统。从所述主机系统接收认证数据。所述认证数据包括数字签名及启用数据。通过使用私钥对所述启用数据以密码方式进行签名来生成所述数字签名,并且所述启用数据包括至少所述质询数据。所述数字签名基于所述质询数据且使用对应于所述私钥的公钥来验证。至少部分地基于验证所述数字签名而提供对存储在存储器组件中的所述数据的至少一部分的存取。取。取。
【技术实现步骤摘要】
【国外来华专利技术】支持多因素认证的存储器子系统
[0001]优先权申请
[0002]本申请要求于2020年2月3日提交的美国申请序列号16/780,532的优先权益,所述美国申请通过引用全文并入本文中。
[0003]本公开的实施例大体上涉及存储器子系统,且更确切地说,涉及支持多因素认证的存储器子系统。
技术介绍
[0004]存储器子系统可包含存储数据的一或多个存储器组件。存储器组件可为例如非易失性存储器组件及易失性存储器组件。一般来说,主机系统可利用存储器子系统以在存储器组件处存储数据且从存储器组件检索数据。
附图说明
[0005]根据下文提供的具体实施方式及本公开的各种实施例的附图将更加充分地理解本公开。
[0006]图1说明根据本公开的一些实施例的包含配置用于多因素认证的存储器子系统的实例计算环境。
[0007]图2是说明根据本公开的一些实施例的在执行用于多因素认证的实例方法时在计算环境中的组件之间的交互的泳道图。
[0008]图3是说明根据本公开的一些实施例的在执行用于多因素认证的实例方法时在计算环境的组件之间的交互的数据流图。
[0009]图4及5是说明根据本公开的一些实施例的用于存储器子系统中的多因素认证的实例方法的流程图。
[0010]图6是本公开的实施例可在其中操作的实例计算机系统的框图。
具体实施方式
[0011]本公开的各方面涉及存储器子系统中的多因素认证。存储器子系统可为存储装置、存储器模块,或存储装置及存储器模块的混合。下文结合图1描述存储装置及存储器模块的实例。一般来说,主机系统可利用包含存储数据的一或多个存储器装置的存储器子系统。主机系统可提供数据以存储于存储器子系统处,且可请求从存储器子系统检索数据。
[0012]存储器子系统可存储仅应由专门授权的用户存取的机密的、专用的或其它敏感信息。本公开的方面通过实施用于存取存储器子系统的多因素认证过程来解决前述及其它问题,所述多因素认证过程防止对由存储器子系统存储的信息的未授权存取。存储器子系统可经配置以防止存取存储于其中的数据,除非且直到成功地执行多因素认证过程。
[0013]作为多因素认证过程的一部分,将非对称密钥对的公钥(在本文中也称为“密码密
钥”)提供到存储器子系统(例如,在存储器子系统的用户配置期间),而将私钥维持在安全环境内,所述安全环境例如企业服务器的硬件安全模块(HSM)、受信任平台模块(TPM),或在存储器子系统外部且独立于存储器子系统的智能卡。
[0014]主机系统向存储器子系统提交请求以发起与存储器子系统的认证会话。在一些实施例中,所述请求可包含存取由存储器子系统存储的特定数据(例如,由存储器子系统存储的文件系统的特定文件夹或目录)的请求。响应于所述请求,存储器子系统控制器生成质询数据且将质询数据返回到主机系统。主机系统又可基于质询数据且在一些实施例中基于用户供应的密码而生成启用数据。主机系统进一步基于启用数据生成数字签名。举例来说,主机系统可使用例如Rivest Shamir Adleman(RSA)算法的密码算法来生成非对称加密签名。启用数据的签名可在安全环境内发生。主机系统向存储器子系统控制器提供认证数据,所述认证数据包括启用数据及数字签名。存储器子系统控制器使用公钥验证数字签名且校验启用数据。
[0015]基于数字签名的成功验证及启用数据的校验,存储器子系统控制器实现对由存储器子系统存储的数据的至少一部分的存取。举例来说,存储器子系统控制器可实现对初始请求中指定的数的存取。应了解,上文所描述的多因素认证过程在存储器子系统中的使用通过确保由存储器子系统存储的数据仅由授权方存取而减少漏洞。
[0016]图1说明根据本公开的一些实施例的包含存储器子系统110的实例计算环境100。存储器子系统110可包含媒体,例如存储器组件112
‑
1到112
‑
N(下文还称为“存储器装置”)。存储器组件112
‑
1到112
‑
N可为易失性存储器组件、非易失性存储器组件或此类组件的组合。存储器子系统110可为存储装置、存储器模块,或存储装置及存储器模块的混合。存储装置的实例包含固态驱动器(SSD)、快闪驱动器、通用串行总线(USB)快闪驱动器、嵌入式多媒体控制器(eMMC)驱动器、通用快闪存储(UFS)驱动器及硬盘驱动器(HDD)。存储器模块的实例包含双列直插式存储器模块(DIMM)、小型DIMM(SO
‑
DIMM)及非易失性双列直插式存储器模块(NVDIMM)。
[0017]计算环境100可包含耦合到存储器系统的主机系统120。存储器系统可包含一或多个存储器子系统110。在一些实施例中,主机系统120耦合到不同类型的存储器子系统110。图1说明耦合到一个存储器子系统110的主机系统120的一个实例。举例来说,主机系统120使用存储器子系统110,以将数据写入到存储器子系统110及从存储器子系统110读取数据。如本文中所使用,“耦合到”通常指代组件之间的连接,其可为间接通信连接或直接通信连接(例如,不具有介入组件),无论有线还是无线,包含例如电连接、光学连接、磁性连接等连接。
[0018]主机系统120可为计算装置,例如台式计算机、膝上型计算机、网络服务器、移动装置、嵌入式计算机(例如,包含于车辆、工业设备或联网商业装置中的嵌入式计算机),或包含存储器及处理装置的此类计算装置。主机系统120可包含或耦合到存储器子系统110,使得主机系统120可从存储器子系统110读取数据或将数据写入到存储器子系统110。主机系统120可经由物理主机接口耦合到存储器子系统110。物理主机接口的实例包含但不限于串行高级技术附件(SATA)接口、外围组件互连高速(PCIe)接口、通用串行总线(USB)接口、光纤通道接口、串行连接的SCSI(SAS)接口、系统管理总线(SMBus)、内部集成电路(I2C)总线)等。物理主机接口可用于在主机系统120与存储器子系统110之间传输数据。当存储器子系
统110通过PCIe接口与主机系统120耦合时,主机系统120可进一步利用NVM高速(NVMe)接口来存取存储器组件112
‑
1到112
‑
N。物理主机接口可提供用于在存储器子系统110与主机系统120之间传递控制、地址、数据及其它信号的接口。
[0019]存储器组件112
‑
1到112
‑
N可包含不同类型的非易失性存储器组件及/或易失性存储器组件的任何组合。非易失性存储器组件的实例包含“与非”(NAND)型快闪存储器。存储器组件112
‑
1到112
‑
N中的每一个可包含存储器单元的一或多个阵列,所述存储器单元例如单层级单元(SLC)或多层级单元(MLC)、三层级单元(TLC)或四层级单元(QLC)。在一些实施例中,特定存储器组件可包含存储器单元的SLC部分以本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种系统,其包括:存储器组件,其存储数据;及存储器子系统控制器,其以操作方式与所述存储器组件耦合以执行包括以下项的操作:从主机系统接收发起与存储器子系统的认证会话的请求;响应于所述请求生成质询数据,所述质询数据包括密码临时数;向所述主机系统提供所述质询数据;从所述主机系统接收认证数据,所述认证数据包括数字签名及包含至少所述质询数据的启用数据,所述数字签名通过使用私钥对所述启用数据以密码方式进行签名来生成;基于所述质询数据且使用对应于所述私钥的公钥验证所述数字签名;及至少部分地基于验证所述数字签名而提供对由所述存储器组件存储的所述数据的至少一部分的存取。2.根据权利要求1所述的系统,其中:所述请求包括存取存储在所述存储器组件中的所述数据的所述部分的请求。3.根据权利要求1所述的系统,其中所述质询数据的所述生成包括:生成对应于所述密码临时数的随机数;及将所述随机数与描述所述系统的装置特定信息组合。4.根据权利要求1所述的系统,其中从所述主机系统接收的所述启用数据是所述质询数据及密码的组合。5.根据权利要求1所述的系统,其中:所述操作进一步包含校验所述启用数据;及所述提供对所述数据的至少所述部分的存取进一步基于校验所述启用数据。6.根据权利要求5所述的系统,其中所述启用数据的所述校验包括:校验包含在所述启用数据中的所述密码临时数的长度;及校验包含在所述启用数据中的所述质询数据。7.根据权利要求15所述的系统,其中:所述启用数据进一步包括密码;及所述启用数据的所述校验包括校验所述密码。8.根据权利要求1所述的系统,其中所述私钥由通信地耦合到所述存储器子系统控制器的智能卡存储。9.根据权利要求1所述的系统,其中所述私钥由所述主机系统的受信任平台模块(TPM)存储。10.根据权利要求1所述的系统,其中所述私钥由企业服务器的硬件安全模块(HSM)存储。11.根据权利要求1所述的系统,其进一步包括:物理主机接口,其用于从所述主机系统接收所述请求。12.一种方法,其包括:从主机系统接收发起与存储器子系统的认证会话的请求;由至少一个硬件处理器响应于所述请求而生成质询数据,所述质询数据包括密码临时
数;向所述主机系统提供所...
【专利技术属性】
技术研发人员:J,
申请(专利权)人:美光科技公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。