CN104205044B - 数据处理方法和设备 - Google Patents
数据处理方法和设备 Download PDFInfo
- Publication number
- CN104205044B CN104205044B CN201280071977.1A CN201280071977A CN104205044B CN 104205044 B CN104205044 B CN 104205044B CN 201280071977 A CN201280071977 A CN 201280071977A CN 104205044 B CN104205044 B CN 104205044B
- Authority
- CN
- China
- Prior art keywords
- controller
- instruction
- data
- data processing
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/3017—Runtime instruction translation, e.g. macros
- G06F9/30178—Runtime instruction translation, e.g. macros of compressed or encrypted instructions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本文公开的是用于将防恶意软件保护扩展到具有诸如RAID等多个存储装置的系统的系统和方法。在实施例中,可在主机与多个存储装置的控制器之间建立可信连接。可信连接可使用各种信息加密技术,通过由主机重定向防恶意软件保护有关操作,破坏恶意软件在存储装置上保持受恶意软件感染位置的尝试。通过在主机与多个存储装置的控制器之间的加密和可信连接,防病毒和/或防恶意软件(下文称为AVS)可将加密的防恶意软件保护有关操作传送到多个存储装置控制器,克服恶意软件的检测和/或转移。其它实施例也可被描述和要求保护。
Description
技术领域
本公开内容一般涉及数据处理技术领域。更具体地说,本公开内容涉及将防恶意软件保护扩展到具有多个存储装置的系统,具体而言扩展到冗余阵列独立盘(RAID)系统。
背景技术
恶意软件(或恶意代码)是用于指能够造成问题或损坏计算机的各种类型的软件的总称词。术语恶意软件可包含病毒、蠕虫、特洛伊木马、宏病毒、根套件(rootkit)恶意软件及后门。随着时间的过去,恶意软件已发展成越来越隐秘和有针对性。
在一些情况下,恶意软件通过感染内核模块(例如,根套件)而隐藏在核心操作系统内,变得更加隐秘。根套件,尤其是以监管员或高级软件特权(例如,就Intel体系结构处理器而言的Ring 0特权)执行的根套件极难或几乎不可能通过传统防病毒解决方案或防恶意软件解决方案(下文称为AVS)检测到。例如,带有监管员特权的根套件和其中隐藏的其它恶意软件可截接来自AVS的查询,并且将不正确的信息馈送到AVS以在存储装置中保持恶意软件。
发明内容
本公开的一方面提供一种数据处理方法,包括:由多个存储装置的控制器接收来自耦合到所述控制器的主机计算装置的第一指令,其中所述第一指令包括第一地址和操作数,其中所述第一指令名义上与防恶意软件保护有关操作关联,并且所述第一地址指所述多个存储装置的第一一个或更多个存储位置;由所述控制器从所述操作数恢复要在所述多个存储装置的第二一个或更多个存储位置上操作的第二指令,其中所述第二指令实质上与所述防恶意软件保护有关操作关联,并且所述第一和第二一个或更多个存储位置有至少一个存储位置不同;以及由所述控制器执行所述第二指令以在所述第二一个或更多个存储位置上操作来实现所述防恶意软件保护有关操作。
本公开的另一方面提供一种数据处理设备,包括:多个数据存储装置;以及至少一个控制器,以通信方式耦合到所述多个数据存储装置并且配置成将数据写入所述多个数据存储装置以及响应第一批多个指令,从所述多个数据存储装置读取数据,其中所述控制器配置成:接收第一存储指令,所述第一存储指令包括第一操作数和对应于第一一个或更多个存储位置的第一地址,基于所述第一操作数恢复第二存储指令,所述第二存储指令包括对应于第二一个或更多个存储位置的第二地址,所述第二一个或更多个存储位置与所述第一一个或更多个存储位置有至少一个存储位置不同,以及执行所述第二存储指令以在所述第二一个或更多个存储位置上操作来实现防恶意软件保护有关操作。
本公开的又一方面提供一种数据处理设备,包括:多个数据存储装置;以及至少一个控制器,以通信方式耦合到所述多个数据存储装置并且配置成:接收编码有伪地址的读取和写入命令;以及将已由恶意软件保护有关程序加密到相应读取和写入命令的操作数中的实际读取和写入地址解密。
本公开的再一方面提供一种数据处理装置,包括:用于由多个存储装置的控制器接收来自耦合到所述控制器的主机计算装置的第一指令的部件,其中所述第一指令包括第一地址和操作数,其中所述第一指令名义上与防恶意软件保护有关操作关联,并且所述第一地址指所述多个存储装置的第一一个或更多个存储位置;用于由所述控制器从所述操作数恢复要在所述多个存储装置的第二一个或更多个存储位置上操作的第二指令的部件,其中所述第二指令实质上与所述防恶意软件保护有关操作关联,并且所述第一和第二一个或更多个存储位置有至少一个存储位置不同;以及用于由所述控制器执行所述第二指令以在所述第二一个或更多个存储位置上操作来实现所述防恶意软件保护有关操作的部件。
附图说明
在附图中,本发明的实施例以示例方式而不是限制方式示出,图中,相似的标号表示类似的元素。
图1是适合用于实践本公开内容的各种实施例的计算装置的框图。
图2是示出本公开内容的方法的各种实施例的操作的流程图。
图3是适合用于实践本公开内容的各种实施例的计算布置的框图。
图4是示出根据本公开内容的各种实施例的可信读取过程的泳道流程图。
图5是示出根据本公开内容的各种实施例的可信写入过程的泳道流程图。
图6是示出根据本公开内容的各种实施例的可信信道过程的维护的泳道流程图。
具体实施方式
本公开内容的实施例可涉及将防恶意软件保护扩展到具有多个存储装置的系统。在实施例中,可在主机与多个存储装置的控制器之间建立可信连接。可信连接可使用各种信息加密技术,通过由主机重定向防恶意软件保护有关操作,破坏恶意软件在存储装置上保持受恶意软件感染位置的尝试。通过在主机与多个存储装置的控制器之间的加密和可信连接,防病毒和/或防恶意软件(下文称为AVS)可将加密的防恶意软件保护有关操作传送到多个存储装置的控制器,克服恶意软件的检测和/或转移。
根据一个实施例,控制器可接收来自主机装置,具有第一地址和操作数的第一指令。第一指令可名义上与防恶意软件保护有关操作相关联,并且第一地址可指多个存储装置的第一一个或更多个存储位置。此外,控制器可从操作数恢复要在多个存储装置的第二一个或更多个存储位置上操作的第二指令。控制器随后可执行第二指令以在第二一个或更多个存储位置上操作,实现防恶意软件保护有关操作。
所示实施例的各种方面将使用本领域技术人员向本领域的其它技术人员传达其工作内容时通常采用的术语描述。然而,本领域的技术人员将明白,通过使用部分所述方面可实践一些备选实施例。为便于解释,陈述了特定的数字、材料和配置以便提供所示实施例的详尽理解。然而,本领域的技术人员将理解,实践备选实施例可无需这些特定的细节。在其它情况下,忽略或简化了熟知的特性以便混淆所示实施例。
此外,各种操作将又以对理解所示实施例最有帮助的方式描述为多个分立操作;然而,描述的顺序不应视为暗示这些操作是必需按顺序进行。具体地说,无需按介绍的顺序执行这些操作无需。
短语“在一个实施例中”可重复使用。该短语通常不指相同实施例;然而,它可指相同实施例。除非上下文另有说明,否则,术语“包括”、“具有”和“包含”是同义词。短语“A/B”表示“A或B”。短语“A和/或B”表示“(A)、(B)或(A和B)”。短语“A、B和C至少之一”表示“(A)、(B)、(C)、(A和B)、(A和C)、(B和C)或(A、B和C)”。短语“(A)B”表示“(B)或(AB)”,即,A是可选的。
图1示出适合用于实践本公开内容的实施例的计算装置100。如下面将更详细描述的一样,计算装置100可配置成对可感染计算装置100的一个或更多个存储装置的恶意软件是弹性的。如图所示,计算装置100可包括相互耦合的主机中央处理单元(CPU)102、系统存储器104、芯片集106及多装置控制器108。多装置控制器108又可耦合到一个或更多个存储装置110a、110b(统称为110)。
主机CPU 102可以是配置成获取和执行多个指令的多种单核或多核微处理器的一种或更多种微处理器。主机CPU 102可执行例如配置成促进计算装置100的各种组件的操作和互连的操作系统的指令。主机CPU 102也可执行由操作系统启动的应用程序的指令。根据一个实施例,主机CPU 102是多核处理器,如由加利福尼亚州圣克拉拉的Corporation提供的和微处理器。
系统存储器104可以通信方式耦合到主机CPU 102。系统存储器104可配置成接收和存储由主机CPU 102执行的指令和与在执行的指令相关联的数据。系统存储器104可包括易失性和/或非易失性存储器。在实施例中,系统存储器104可包括动态随机存取存储器(DRAM)、同步动态随机存取存储器(SDRAM)、只读存储器(ROM)、闪存存储器及诸如此类的一个或更多个存储器。
芯片集106可耦合在系统存储器104、多种输入/输出单元与主机CPU 102之间的信号。在实施例中,芯片集106可包括存储器控制器。在其它实施例中,芯片集106可包括与主机CPU 102集成的直接介质接口(DMI)的互补接口。
芯片集106可经通信链路112向多装置控制器108传送信号和从中接收信号。通信链路112可以是多种通信接口的任何一个通信接口。例如,通信链路112可以是具有控制总线、地址总线和数据总线的计算机总线接口,诸如但不限于串行高级技术附连(SATA)、集成开发环境(IDE)、外设组件互连(PCI)、小型计算机系统接口(SCS)、HyperTransportTM、及诸如此类。备选,通信链路112可以是点到点网络连接,如以太网,或者可以是无线连接,如符合电气电子工程师协会(IEEE)802.11标准之一的一个连接。
还参照图1,多装置控制器108可配置成经通信链路112与主机CPU 102进行通信以接收和响应有关存储装置110的指令。在实施例中,多装置控制器108可以是通过支持通信链路112的连接器集成到计算装置100中的卡。根据一个实施例,多装置控制器108可集成到芯片集106中。根据另一实施例,多装置控制器108可以是由模块化网络机架或机柜携带的独立装置,并且经网络连接与芯片集106进行通信。
在实施例中,多装置控制器108配置成通过可信连接与主机CPU 102(经芯片集106)进行通信以执行防恶意软件有关操作。在实施例中,多装置控制器108可包括如图所示相互耦合的总线114、接口或接口控制器116、缓冲器118、奇偶生成器120、随机存取存储器(RAM)122、微控制器124、控制器固件126及一个或更多个控制器或一个或更多个存储装置控制器128a、128b(统称为128)。
总线114可配置成在多装置控制器108的几个组件之间提供低阻连接。接口控制器116可配置成以通信方式耦合总线114到通信链路112,以将在通信链路112上使用的协议转换成与多装置控制器108的组件兼容的协议。缓冲器118可耦合到总线114,并且配置成提供用于微控制器124的临时存储。奇偶生成器120可耦合到总线114,并且可配置成通过为微控制器124处理的数据生成奇偶数据,支持由微控制器124进行的加密通信。在实施例中,奇偶数据也可存储在一个或更多个存储装置110上。在实施例中,根据本公开内容的各种实施例,奇偶生成器120可配置成生成专用或分布式奇偶。RAM 122可耦合到总线114,并且可配置成用于通过存储和提供指令及其操作数来支持微控制器124,以促进向主机CPU 102发送数据和从中接收数据以及促进存储数据到一个或更多个存储装置110和从中检索数据。根据本公开内容的几个实施例,RAM 122可以是SRAM、DRAM、SDRAM或多种类型的随机存取存储器的任何一个存储器。
微控制器124可以通信方式耦合到总线114以接收来自CPU 102的指令及其操作数,并且将指令及其操作数传送到一个或更多个存储装置控制器128。微控制器124可配置成执行指令,并且可包括专用集成电路(ASIC)、现场可编程门阵列(FPGA)等中的一项或更多项。微控制器124可配置成将指令(及其操作数,如果适用)传送到一个或更多个存储装置控制器128以便将数据写入一个或更多个存储装置110或从中读取数据。微控制器124可配置成响应从主机CPU 102收到的指令,从和向一个或更多个存储装置110读取和写入数据。
感染计算机系统的恶意软件可改变从主机CPU发送到存储控制器的命令。恶意软件感染计算机系统时,恶意软件将经常存储恶意软件代码和/或数据到计算机系统的非易失性存储器或永久性存储装置的位置,以便恶意软件可在计算机系统重置或关闭电源后计算机系统上电时重新启动操作。如前面所述,一些恶意软件可感染操作系统的更高特权部分,例如,内核。随后,恶意软件可利用到操作系统的特权访问,重定向AVS或其它程序从存储恶意软件代码和/或数据的非易失性存储器或永久性存储装置中的位置读取或改写这些位置的尝试。例如,计算机系统在执行的AVS可尝试通过读取存储器或存储装置的每个位置,扫描非易失性存储器或永久性存储装置以搜索指示恶意软件的模式。深度扎根的恶意软件可通过改变发送到非易失性存储器或永久性存储装置的控制器的读取或写入命令的地址,截接AVS读取或写入某些存储器位置的尝试。因此,在没有到非易失性存储器或永久性存储装置的控制器的可信连接的情况下,可能难以消除带有高特权访问的恶意软件。
在实施例中,微控制器124可配置成执行控制器固件126的指令以建立和保持在多装置控制器108与诸如AVS等由主机CPU 102执行的程序之间的可信连接。控制器固件126可配置成促使微控制器124执行加密功能。具体而言,控制器固件126可包括在由微控制器124执行时允许多装置控制器108与主机CPU 102执行的AVS建立带外连接的指令。例如,控制器固件126可配置成促使微控制器124响应由AVS启动的可信连接协议。在实施例中,控制器固件126可配置成响应接收AVS建立可信连接的请求,促使微控制器124从AVS请求签名证书以验证AVS建立可信连接的授权。控制器固件126可包括解密代码,如AVS的证书的公共密钥,以便将从AVS收到的消息解密。另外,控制器固件126可包括带有私有密钥的控制器证书,因此,AVS和多装置控制器108利用双级别的加密。在AVS与多装置控制器108之间的这些通信可与由诸如操作系统等由主机CPU 102执行的其它程序向多装置控制器108发出的读取/写入命令同时并行进行。因此,可在多装置控制器108与由主机CPU 102执行的程序之间带外建立可信和经鉴权连接。
控制器固件126可配置成支持在多装置控制器108与主机CPU 102执行的程序之间的另外加密通信。根据一个实施例,AVS可使用伪地址向多装置控制器108发出读取/写入命令,并且AVS可将命令的有效负载或操作数中的实际读取/写入地址加密。根据一个实施例,AVS可通过除使用多装置控制器108的证书的公共密钥外还使用AVS的证书的私有密钥将操作数加密,将操作数中的实际读取/写入地址加密。恶意软件可经常尝试重定向引导到恶意软件占用的存储器/存储位置的命令。然而,由于与这些命令相关联的位置地址是伪地址,因此,恶意软件将可能忽略这些命令,这是因为命令未显得是引导向恶意软件占用的存储器位置。出于至少两个原因,恶意软件将不大可能重定向带有在命令的操作数中加密的地址的这些命令。首先,因为命令引导到的实际地址在命令的有效负载或操作数中携带,恶意软件将不大可能重定向命令。其次,这是因为在实施例中用于将加密操作数解密的解密代码、公共密钥、私有密钥和/或类似技术存储在控制器固件126内,恶意软件将不大可能重定向命令。因此,在多装置控制器108尝试对从AVS收到的命令进行鉴权时,恶意软件的重定向尝试将可检测并且可报告。虽然与公共密钥基础设施相关联的加密技术在本文中描述,但在备选实施例中,控制器固件126可配置成通过使用本领域技术人员熟知的其它加密技术,允许多装置控制器108与主机CPU 102执行的程序进行通信。
控制器固件126可配置成通过利用固件支持130而执行上述加密功能。在实施例中,固件支持130可包括支持上述加密功能的几个逻辑块。固件支持130可包括命令处理器132、读取/写入地址生成器134、奇偶生成器136及加密和消息鉴权代码(MAC)支持138。根据本公开内容的一个实施例,固件支持130可存储在可更新非易失性存储器中,如闪存。加密和MAC支持138可配置成与命令处理器132、读取/写入地址生成器134及奇偶生成器136一起工作,以促使微控制器124将消息加密和解密,验证诸如AVS等主机CPU 102执行的程序的授权,以及保持与程序的一个或更多个可信连接。
一个或更多个存储装置控制器128可耦合到总线114和一个或更多个存储装置110。
一个或更多个存储装置110可经对应通信链路140a、140b(统称为140)以通信方式耦合到多装置控制器108。一个或更多个存储装置110可以是一个或更多个硬盘驱动器(HDD)、固态驱动器(SSD)或其它非易失性存储器。一个或更多个存储装置110可包括以通信方式耦合以便从多装置控制器108读取或由其写入的独立盘的阵列。根据本公开内容的各种实施例,通信链路140一起可形成小型计算机系统接口(SCSI)、集成驱动器电子(IDE)接口或其它类似存储接口。
在实施例中,一个或更多个存储装置110可根据一个实施例配置成响应多装置控制器108的操作,以条带化方式存储和检索数据。例如,数据可以条带化方式,无奇偶、镜像或冗余存储到一个或更多个存储装置110上。又如,数据可以条带化方式,以字节级别条带化和专用奇偶存储到一个或更多个存储装置110上。作为仍有的另一示例,数据可以使用比特级别、字节级别和块级别条带化之一并且使用专用奇偶和分布式奇偶之一存储到一个或更多个存储装置110上。因此,一个或更多个存储装置110可配置成由在例如RAID级别0-6等任何一个或更多个标准RAID级别中非昂贵盘的冗余阵列(RAID)配置的多装置控制器108操作。
AVS可信赖在AVS与多装置控制器108之间的前面所述可信连接以检测恶意软件的存在。例如,如果AVS不能与多装置控制器108建立可信连接,或者如果读取/写入命令被拒绝或者产生不正确的数据。在实施例中,AVS可向显示器提供指示,以通知用户在一个或更多个存储装置110上可存在恶意软件。另外或备选,AVS可将在一个或更多个存储装置110上可存在恶意软件的电子通知传送到一个或更多个用户,以便可采取正确的动作。
有利的是,在多装置控制器108内加密功能的包括可允许主机CPU 102在多装置控制器108与主机CPU 102执行的一个或更多个程序之间建立和保持可信连接。可信连接为防恶意软件程序提供了扫描和纠正(例如,通过改写)在一个或更多个存储装置110上存储的恶意软件的能力。即使恶意软件在计算装置100内一直获得高特权访问,可信连接也为防恶意软件程序提供了纠正恶意软件的能力。
图2示出根据各种实施例,操作诸如多装置控制器108等多个存储装置的控制器的方法200。
在框202中,方法200可包括由多个存储装置的控制器接收第一指令,第一指令可名义上与防恶意软件有关操作相关联(例如,由主机CPU 102执行AVS启动)。控制器可接收来自主机CPU 102的第一指令,主机CPU 102可耦合到多装置控制器108。第一指令可包括第一地址和操作数。第一地址可涉及存储装置的第一一个或更多个存储位置。
如上结合图1所述,主机CPU 102执行的AVS可使用例如AVS的私有加密密钥和多装置控制器108的公共加密密钥等一个或更多个加密密钥,将第一指令的操作数加密。
在框204中,方法200可包括由多装置控制器108从操作数恢复第二指令。第二指令可在该多个存储装置的第二一个或更多个存储位置上操作。第二指令可实质上与防恶意软件保护有关操作相关联。在实施例中,第一和第二一个或更多个存储位置可有至少一个存储位置不同。
允许控制器从第一指令的操作数恢复第二指令可防止恶意软件检测到防恶意软件保护有关操作的目标存储位置。根据一个实施例,第二指令可被加密以进一步防止恶意软件检测到防恶意软件保护有关操作。
在框206中,方法200可包括由多装置控制器108执行第二指令,以在第二一个或更多个存储位置上操作,实现防恶意软件保护有关操作。
在第二一个或更多个存储位置上操作可包括读取第二一个或更多个存储位置以便搜索指示驻留在存储位置的恶意软件的模式。另外,在第二一个或更多个存储位置上操作可包括将新数据写入第二一个或更多个存储位置以便去除驻留在存储位置的恶意软件。
在框208中,方法200可包括如果第二指令是读取指令,则由多装置控制器108汇集从第二一个或更多个存储位置读取的数据,以形成汇集的数据,以及由多装置控制器108将汇集的数据作为第一指令的读取输出数据返回到主机CPU 102。
方法200可完全或部分通过计算装置100实行。例如,计算装置100可包括计算机可读存储介质,介质包含有配置成允许多装置控制器108响应指令的执行,执行方法200的任何或所有操作的指令。根据一个实施例,计算机可读介质可以是非暂时性计算机可读存储介质。此外,结合图1所述的一个或更多个技术或组件可与方法200组合或一起使用。
图3示出根据本公开内容的各种实施例,配置成执行防恶意软件有关操作的系统300。系统300可包括以通信方式耦合到一个或更多个存储装置110的主机装置302和后端服务器303。
主机装置302可包括软件和硬件以支持用于执行防恶意软件有关操作的可信连接或带外辅助信道。主机装置302可包括以通信方式通过主要信道308耦合到多装置控制器306的操作系统(OS)304。主要信道308可以是在主机CPU(如图1所示)与存储装置控制器之间使用的多种标准接口的任何一种接口,例如ATA、PCI、以太网及诸如此类。主要信道308表示在多装置控制器306与运行操作系统304的硬件之间的物理连接。主要信道308也表示在操作系统304与控制器固件310之间的逻辑连接。
根据本公开内容的各种实施例,操作系统304可以是由Microsoft Corporation开发的Windows产品、基于UNIX的环境或诸如OS X等Macintosh有关环境。操作系统304可包括文件系统312和私有软件开发套件(SDK)314。文件系统312可以是可由操作系统304操作的程序,允许用户和操作系统304组织并且有效地检索在一个或更多个存储装置110上存储的数据。私有SDK 314可包括多种工具,这些工具允许开发可由操作系统304操作的软件。
多装置控制器306可配置成除保持主要通信信道308外还建立和保持可信通信信道316,其中该通信信道316是辅助可信通信信道。多装置控制器306可包括控制器固件310、存储器318和系统芯片(SoC)320。根据一个实施例,多装置控制器306可以是图1的多装置控制器108。
控制器固件310可包括加密功能性以支持与在主机装置302外部的程序和计算机程序建立和保持可信信道。控制器固件310可包括多个指令,这些指令配置成允许多装置控制器306根据存储控制器的标准操作,响应从操作系统304收到的指令,在一个或更多个存储装置110上操作。另外,控制器固件310可包括多个指令,这些指令在由多装置控制器306执行时,允许多装置控制器306建立可信信道316。
控制器固件310可包括固件支持322和可信应用编程接口(API)324,并且控制器固件310可利用固件支持322和可信API 324建立可信信道316。另外,固件支持322可包括可由控制器固件310用于对进入的消息进行解密和鉴权的加密和消息鉴权代码(MAC)支持。例如,响应由后端服务器303启动可信信道316的查询或尝试,控制器固件310可通过可信API324和固件支持322与后端服务器303进行通信,以从后端服务器303请求数字证书、数字签名或/和加密消息。根据一个实施例,控制器固件310可包括带有私有密钥的基于PKI的证书,以便将预期由多装置控制器306解码的消息解密。控制器固件310也可预加载有对称或公共加密密钥,该密钥在受限的基础上分布以允许控制器固件310对后端服务器303进行鉴权。通过一系列的握手信号,控制器固件310和后端服务器303可建立可信信道316。根据一个实施例,后端服务器303可鉴权和供应或初始化在控制器固件310中的加密密钥和代码。
根据一个实施例,控制器固件310可包括指令,指令在由多装置控制器306执行时,促使多装置控制器306执行图2的方法200的操作。
存储器318和系统芯片320可支持多装置控制器306接收和执行与以条带化方式存储数据到一个或更多个存储装置110的指令。例如,多装置控制器306可配置成以比特级别、字节级别和块级别条带化方式的任何一种方式,使用或不使用奇偶将数据写入一个或更多个存储装置。
主机装置302可包括防病毒/防恶意软件(AV/AM)应用程序或防恶意软件和/或防病毒软件(AVS)应用程序326,应用程序326可由主机装置302的主机CPU执行以执行防恶意软件保护有关操作。AVS应用程序326可通过可信信道316有利地与多装置控制器306进行通信。AVS应用程序326可使用AV/AM套件或AVS套件328以符合控制器固件310的可信API 324可识别的协议。类似于后端服务器303,AVS应用程序326可通过将消息加密,启动和建立与多装置控制器306的辅助和可信通信信道330,消息可由多装置控制器306使用在控制器固件310内存储的加密密钥和/或代码解密。
AVS应用程序326可识别和消除驻留在一个或更多个存储装置110的存储位置的恶意软件。AVS应用程序326可通过将读取命令和存储装置110的目标存储位置插入传送到多装置控制器306的读取或写入指令的操作数中并且进行加密来识别恶意软件。AVS应用程序326比较从存储位置读取的数据,并且通过比较读取的数据和预确定的模式,识别驻留在存储位置的恶意软件。AVS应用程序326随后可使用测试应用程序332通知用户或电子系统已识别在存储装置上的恶意软件。应用程序332可配置成向AVS应用程序326授予修复的许可,即,擦除感染的存储位置,或者可配置成指示AVS应用程序等待来自用户的其它指令。相应地,系统300可用于在具有一个或更多个存储装置110的系统上执行防恶意软件保护有关操作。
图4示出根据本公开内容的一个实施例,用于执行多个存储装置的可信读取的通信序列400。在404,诸如在计算装置100或主机装置302上运行的AVS程序等防病毒和/或防恶意软件(AV/AM)代理器402可通过使用会话密钥将带有地址的命令加密,发出可信读取命令和要读取的逻辑块地址列表。
在408,控制器固件406可通过位于控制器固件406内的会话密钥对来自AV/AM代理器402的请求进行鉴权,并且控制器固件406可处理命令。
在410,控制器固件406可为在AV/AM代理器402请求的逻辑块地址上的操作向多个存储装置412发出读取请求。
在414,存储装置412可将在请求的逻辑块地址存储的数据返回到控制器固件406。
在416,控制器固件406可汇集读取的数据,并且计算消息鉴权代码(MAC)。在实施例中,可通过计算在读取的数据上的散列函数,计算MAC。
在418,控制器固件406可通过使用会话密钥加密的可信读取的数据做出响应。
在420,AV/AM代理器402可证实可信读取的数据的真实性,例如,通过计算解密数据的MAC并且比较AV/AM代理器402的MAC和控制器固件406的MAC。
在422,AV/AM代理器402可通知AV/AM后端424消息鉴权是否失败。AV/AM后端424随后可向一个或更多个用户提供恶意软件可能阻止了可信读取的通知。
图5示出根据本公开内容的一个实施例,用于执行到多个存储装置412的逻辑块地址的可信写入的通信序列500。在502,AV/AM代理器402可通过使用会话密钥将带有地址的命令加密,发出可信写入命令、要写入的数据和在写入时操作的逻辑块地址列表。
在504,控制器固件406可通过位于控制器固件406内的会话密钥对来自AV/AM代理器402的请求进行鉴权,并且控制器固件406可处理命令。
在506,控制器固件406可向多个存储装置412发出在AV/AM代理器402请求的逻辑块地址上发出的数据的写入请求。
在508,控制器固件406可向存储装置412发出读取请求以确认数据已成功写入。
在510,存储装置412可将在逻辑块地址存储的数据返回到控制器固件406。
在512,控制器固件406可汇集读取数据,并且计算数据的MAC。
在514,控制器固件406可通过已使用会话密钥加密的写入数据确认,响应AV/AM代理器402。
在516,AV/AM代理器402可证实可信写入数据的真实性。
在518,AV/AM代理器402可通知AV/AM后端424消息鉴权是否失败。
图6示出用于在AV/AM代理器402与控制器固件406之间保持可信连接的通信序列600。在602,AV/AM代理器可将心跳消息发送到控制器固件406。心跳消息可以是加密消息,包括确认消息的接收的指令。AV/AM代理器402可先使用属于AV/AM代理器402的公共/私有密钥对的私有密钥,然后使用属于控制器固件406的公共/私有密钥对的公共密钥将心跳消息加密。
在604,控制器固件406可对来自AV/AM代理器402的请求进行鉴权,并且处理心跳消息。控制器固件406可通过先使用控制器固件406的私有密钥,然后使用AV/AM代理器402的公共密钥将消息解密,对请求进行鉴权。
在606,控制器固件406可生成带有MAC的心跳响应。可比较在由AV/AM代理器402最初加密和传送的数据上的MAC。
在608,控制器固件406可通过心跳响应和MAC做出响应。
在610,AV/AM代理器402可证实心跳消息的真实性。通过积极和定期保持并证实在AV/AM代理器402与控制器固件406之间的可信连接,如果心跳连接莫名其秒地被干扰,则AV/AM代理器可得到存在新的恶意软件的通知。在612,如果心跳鉴权失败,则通知AV/AM后端。
下文公开了各种实施例的一些示例。
在各种实施例中,至少一个计算机可读存储介质可具有多个指令,这些指令配置成允许多个存储装置的控制器响应控制器对指令的执行,接收来自与控制器耦合的主机计算装置的第一指令。第一指令可包括第一地址和操作数。第一指令可名义上与防恶意软件保护有关操作相关联,并且第一地址可指存储装置的第一一个或更多个存储位置。控制器也可被允许从操作数恢复可在存储装置的第二一个或更多个存储位置上操作的第二指令。第二指令可实质上与防恶意软件保护有关操作相关联,并且第一和第二一个或更多个存储位置有至少一个存储位置不同。控制器随后可被允许执行第二指令以在第二一个或更多个存储位置上操作,实现防恶意软件保护有关操作。控制器可被允许经以通信方式耦合控制器和主机计算装置的可信连接接收第一指令。控制器可被允许通过可耦合控制器到主机计算装置的辅助信道,在控制器与主机计算装置之间形成可信连接。控制器和主机计算装置可还经主要信道相互耦合。
在其它实施例中,防恶意软件保护操作可以是要在第二一个或更多个存储位置上执行的读取操作和写入操作之一。对于读取操作,控制器可被允许汇集从第二一个或更多个存储位置读取的数据,以形成汇集的数据,并且将汇集的数据作为第一指令的读取输出数据返回到主机计算装置。
在其它实施例中,从操作数恢复第二指令的控制器可配置成基于指令将操作数解码或解密。
在其它实施例中,控制器可被允许使用私有密钥将来自操作数的第二指令解码或解密。
在其它实施例中,指令可包括控制器的证书。证书可包括私有密钥。
在其它实施例中,存储装置的控制器可被允许执行第二指令,以在存储装置的第二一个或更多个存储位置上操作,而存储装置包括独立盘的阵列。
在各种实施例中,数据可以条带化方式,使用比特级别、字节级别和块级别条带化之一并且使用专用奇偶和分布式奇偶之一存储在独立盘的阵列中。数据可以条带化方式,以字节级别条带化和专用奇偶存储在独立盘的阵列中。第二指令可被加密以防止恶意软件检测到防恶意软件保护有关操作。
在各种实施例中,存储装置的控制器可被允许使用双层的加密。
在实施例中,方法可包括由多个存储装置的控制器接收来自主机计算装置的第一指令。主机计算装置可耦合到控制器。第一指令可包括第一地址和操作数。第一指令可名义上与防恶意软件保护有关操作相关联,并且第一地址可指存储装置的第一一个或更多个存储位置。方法可包括由控制器从操作数恢复要在存储装置的第二一个或更多个存储位置上操作的第二指令。第二指令可实质上与防恶意软件保护有关操作相关联,并且第一和第二一个或更多个存储位置可有至少一个存储位置不同。方法可包括由控制器执行第二指令以在第二一个或更多个存储位置上操作,实现防恶意软件保护有关操作。
根据各种实施例,接收可包括经以通信方式耦合控制器和主机计算装置的可信连接接收第一指令。方法可还包括由控制器在控制器与主机计算装置之间通过辅助信道,形成可信连接。辅助信道可耦合控制器到主机计算装置。控制器和主机计算装置可还经主要信道相互耦合。操作数可被加密,并且从操作数恢复第二指令可包括通过使用私有密钥将操作数解密。
根据各种实施例,第一和第二指令可以是读取或写入指令。对于读取指令,方法可还包括由控制器汇集从第二一个或更多个存储位置读取的数据,以形成汇集的数据,并且由控制器将汇集的数据作为第一指令的读取输出数据返回到主机计算装置。存储装置可包括独立盘的阵列。数据可以条带化方式,无奇偶、镜像或冗余存储在独立盘的阵列中。数据可以条带化方式,以字节级别条带化和专用奇偶存储在独立盘的阵列中。
在实施例中,设备可包括多个数据存储装置和以通信方式耦合到数据存储装置的至少一个控制器。该至少一个控制器可配置成将数据写入数据存储装置,并且响应第一批多个指令,从数据存储装置读取数据。控制器可配置成接收第一存储指令,指令包括第一操作数和对应于第一一个或更多个存储位置的第一地址。控制器可配置成基于第一操作数恢复第二存储指令。第二存储指令可包括对应于第二一个或更多个存储位置的第二地址,第二一个或更多个存储位置与第一一个或更多个存储位置有至少一个存储位置不同。控制器可配置成执行第二存储指令以在第二一个或更多个存储装置上操作,实现防恶意软件保护有关操作。
在各种实施例中,控制器可配置成通过辅助信道,经在控制器与主机计算装置之间的可信逻辑连接,接收来自主机计算装置的第一存储指令。辅助信道可以通信方式耦合控制器和主机计算装置。控制器和主机计算装置可还经主要信道相互耦合。
在各种实施例中,控制器可还配置成经主要信道响应第一指令集和经辅助信道响应第二指令集。第二指令集可包括比第一指令集更少的指令。辅助信道可以带外信道。数据存储装置可包括独立盘的阵列。数据可以条带化方式,使用比特级别、字节级别和块级别条带化之一并且使用专用奇偶和分布式奇偶存储技术之一存储在独立盘的阵列中。控制器可包括配置成支持由控制器进行的加密通信的奇偶生成器。
在各种实施例中,设备可包括多个数据存储装置和以通信方式耦合到数据存储装置的至少一个控制器。该至少一个控制器可配置成接收编码有伪地址的读取和写入命令。该至少一个控制器可配置成将已由恶意软件保护有关程序加密到相应读取和写入命令的操作数中的实际读取和写入地址解密。
在各种实施例中,实际读取和写入地址可通过公共密钥加密,并且该至少一个控制器可配置成通过对应于公共密钥的私有密钥将实际读取和写入地址解密。
在各种实施例中,收到的读取和写入地址可已通过双级别的加密进行加密,并且该至少一个控制器可配置成将双级别的加密解密。
任何上述实施例的特定特征可完全或部分与一个或更多个其它实施例完全或部分组合,以形成本公开内容的新实施例。
Claims (24)
1.一种数据处理方法,包括:
由多个存储装置的控制器接收来自耦合到所述控制器的主机计算装置的第一指令,其中所述第一指令包括第一地址和操作数,其中所述第一指令名义上与防恶意软件保护有关操作关联,并且所述第一地址指所述多个存储装置的第一一个或更多个存储位置;
由所述控制器从所述操作数恢复要在所述多个存储装置的第二一个或更多个存储位置上操作的第二指令,其中所述第二指令实质上与所述防恶意软件保护有关操作关联,并且所述第一和第二一个或更多个存储位置有至少一个存储位置不同;以及
由所述控制器执行所述第二指令以在所述第二一个或更多个存储位置上操作来实现所述防恶意软件保护有关操作。
2.如权利要求1所述的数据处理方法,其中接收包括经以通信方式耦合所述控制器和所述主机计算装置的可信连接接收所述第一指令,其中所述方法还包括由所述控制器在所述控制器与所述主机计算装置之间通过耦合所述控制器到所述主机计算装置的辅助信道,形成所述可信连接,以及其中所述控制器和所述主机计算装置还经主要信道相互耦合。
3.如权利要求1所述的数据处理方法,其中所述操作数被加密,并且从所述操作数恢复所述第二指令包括通过使用私有密钥将所述操作数解密。
4.如权利要求1所述的数据处理方法,其中所述第一和第二指令是读取或写入指令,以及其中对于读取指令,所述方法还包括:
由所述控制器汇集从所述第二一个或更多个存储位置读取的数据以形成汇集的数据;以及
由所述控制器将所述汇集的数据作为所述第一指令的读取输出数据返回到所述主机计算装置。
5.如权利要求1-4任一项所述的数据处理方法,其中所述多个存储装置包括独立盘的阵列。
6.如权利要求5所述的数据处理方法,其中数据以条带化方式,无奇偶、镜像或冗余存储在独立盘的所述阵列中。
7.如权利要求5所述的数据处理方法,其中数据以条带化方式,以字节级别条带化和专用奇偶存储在独立盘的所述阵列中。
8.一种数据处理设备,包括:
多个数据存储装置;以及
至少一个控制器,以通信方式耦合到所述多个数据存储装置并且配置成将数据写入所述多个数据存储装置以及响应第一批多个指令,从所述多个数据存储装置读取数据,其中所述控制器配置成:
接收第一存储指令,所述第一存储指令包括第一操作数和对应于第一一个或更多个存储位置的第一地址,
基于所述第一操作数恢复第二存储指令,所述第二存储指令包括对应于第二一个或更多个存储位置的第二地址,所述第二一个或更多个存储位置与所述第一一个或更多个存储位置有至少一个存储位置不同,以及
执行所述第二存储指令以在所述第二一个或更多个存储位置上操作来实现防恶意软件保护有关操作。
9.如权利要求8所述的数据处理设备,其中所述控制器配置成通过以通信方式耦合所述控制器和主机计算装置的辅助信道,经在所述控制器与所述主机计算装置之间的可信逻辑连接,接收来自所述主机计算装置的所述第一存储指令,其中所述控制器和所述主机计算装置还经主要信道相互耦合。
10.如权利要求9所述的数据处理设备,其中所述控制器还配置成经所述主要信道响应第一指令集和经所述辅助信道响应第二指令集,其中所述第二指令集包括比所述第一指令集更少的指令。
11.如权利要求9-10任一项所述的数据处理设备,其中所述辅助信道是带外信道。
12.如权利要求8-10任一项所述的数据处理设备,其中所述多个数据存储装置包括独立盘的阵列。
13.如权利要求12所述的数据处理设备,其中数据以条带化方式,使用比特级别、字节级别和块级别条带化之一并且使用专用奇偶和分布式奇偶存储技术之一存储在独立盘的所述阵列中。
14.如权利要求8所述的数据处理设备,其中所述控制器包括配置成支持由所述控制器进行的加密通信的奇偶生成器。
15.一种数据处理设备,包括:
多个数据存储装置;以及
至少一个控制器,以通信方式耦合到所述多个数据存储装置并且配置成:
接收编码有伪地址的读取和写入命令;以及
将已由恶意软件保护有关程序加密到相应读取和写入命令的操作数中的实际读取和写入地址解密。
16.如权利要求15所述的数据处理设备,其中所述实际读取和写入地址通过公共密钥加密,并且所述至少一个控制器配置成通过对应于所述公共密钥的私有密钥将所述实际读取和写入地址解密。
17.如权利要求16所述的数据处理设备,其中收到的读取和写入地址已通过双级别的加密进行加密,并且所述至少一个控制器配置成将所述双级别的加密解密。
18.一种数据处理装置,包括:
用于由多个存储装置的控制器接收来自耦合到所述控制器的主机计算装置的第一指令的部件,其中所述第一指令包括第一地址和操作数,其中所述第一指令名义上与防恶意软件保护有关操作关联,并且所述第一地址指所述多个存储装置的第一一个或更多个存储位置;
用于由所述控制器从所述操作数恢复要在所述多个存储装置的第二一个或更多个存储位置上操作的第二指令的部件,其中所述第二指令实质上与所述防恶意软件保护有关操作关联,并且所述第一和第二一个或更多个存储位置有至少一个存储位置不同;以及
用于由所述控制器执行所述第二指令以在所述第二一个或更多个存储位置上操作来实现所述防恶意软件保护有关操作的部件。
19.如权利要求18所述的数据处理装置,其中用于接收的部件包括用于经以通信方式耦合所述控制器和所述主机计算装置的可信连接接收所述第一指令的部件,其中所述数据处理装置还包括用于由所述控制器在所述控制器与所述主机计算装置之间通过耦合所述控制器到所述主机计算装置的辅助信道形成所述可信连接的部件,以及其中所述控制器和所述主机计算装置还经主要信道相互耦合。
20.如权利要求18所述的数据处理装置,其中所述操作数被加密,并且其中所述数据处理装置还包括用于从所述操作数恢复所述第二指令的部件包括用于通过使用私有密钥将所述操作数解密的部件。
21.如权利要求18所述的数据处理装置,其中所述第一和第二指令是读取或写入指令,以及其中对于读取指令,所述数据处理装置还包括:
用于由所述控制器汇集从所述第二一个或更多个存储位置读取的数据以形成汇集的数据的部件;以及
用于由所述控制器将所述汇集的数据作为所述第一指令的读取输出数据返回到所述主机计算装置的部件。
22.如权利要求18-21任一项所述的数据处理装置,其中所述多个存储装置包括独立盘的阵列。
23.如权利要求22所述的数据处理装置,其中数据以条带化方式,无奇偶、镜像或冗余存储在独立盘的所述阵列中。
24.如权利要求22所述的数据处理装置,其中数据以条带化方式,以字节级别条带化和专用奇偶存储在独立盘的所述阵列中。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2012/029656 WO2013141838A1 (en) | 2012-03-19 | 2012-03-19 | Anti-malware protection operation with instruction included in an operand |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104205044A CN104205044A (zh) | 2014-12-10 |
CN104205044B true CN104205044B (zh) | 2017-02-22 |
Family
ID=49223113
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280071977.1A Active CN104205044B (zh) | 2012-03-19 | 2012-03-19 | 数据处理方法和设备 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9027148B2 (zh) |
EP (1) | EP2828783B1 (zh) |
KR (1) | KR101636638B1 (zh) |
CN (1) | CN104205044B (zh) |
WO (1) | WO2013141838A1 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9503476B2 (en) * | 2014-01-28 | 2016-11-22 | Vivint, Inc. | Anti-takeover systems and methods for network attached peripherals |
US11921658B2 (en) | 2014-03-08 | 2024-03-05 | Diamanti, Inc. | Enabling use of non-volatile media-express (NVMe) over a network |
US10635316B2 (en) | 2014-03-08 | 2020-04-28 | Diamanti, Inc. | Methods and systems for data storage using solid state drives |
AU2015229802A1 (en) | 2014-03-08 | 2016-10-06 | Diamanti, Inc. | Methods and systems for converged networking and storage |
US10628353B2 (en) | 2014-03-08 | 2020-04-21 | Diamanti, Inc. | Enabling use of non-volatile media-express (NVMe) over a network |
US10657262B1 (en) * | 2014-09-28 | 2020-05-19 | Red Balloon Security, Inc. | Method and apparatus for securing embedded device firmware |
WO2017135942A1 (en) * | 2016-02-03 | 2017-08-10 | Hewlett-Packard Development Company, L.P. | Heartbeat signal verification |
KR102573921B1 (ko) | 2016-09-13 | 2023-09-04 | 삼성전자주식회사 | 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법 |
US20190042781A1 (en) * | 2017-08-04 | 2019-02-07 | Bitdefender IPR Management Ltd. | Secure Storage Device |
US10868669B2 (en) * | 2017-10-16 | 2020-12-15 | Taiwan Semiconductor Manufacturing Company Ltd. | Method for role-based data transmission using physically unclonable function (PUF)-based keys |
CN111008378B (zh) * | 2019-11-29 | 2023-08-01 | 四川效率源信息安全技术股份有限公司 | 一种清洗硬盘固件区恶意代码的方法 |
KR20220007988A (ko) * | 2020-07-13 | 2022-01-20 | 에스케이하이닉스 주식회사 | 신뢰성 확보를 위한 메모리 시스템 |
CN113836073A (zh) * | 2021-07-30 | 2021-12-24 | 湖北三江航天万峰科技发展有限公司 | 武器系统测试数据处理方法、装置和设备 |
CN116795741B (zh) * | 2023-08-28 | 2023-11-10 | 凡澈科技(武汉)有限公司 | 存储器数据防删除篡改方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1577574A (zh) * | 2003-06-26 | 2005-02-09 | 三星电子株式会社 | 存储/重现期间保护数据的方法和装置 |
CN101815289A (zh) * | 2009-02-12 | 2010-08-25 | 通用汽车有限责任公司 | 利用微证书保护和鉴定数据的方法 |
CN102255888A (zh) * | 2010-05-21 | 2011-11-23 | 英特尔公司 | 从远程服务器对数据存储设备进行安全扫描的方法和装置 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6594780B1 (en) * | 1999-10-19 | 2003-07-15 | Inasoft, Inc. | Operating system and data protection |
US8060756B2 (en) * | 2003-08-07 | 2011-11-15 | Rao G R Mohan | Data security and digital rights management system |
US8161294B2 (en) * | 2005-02-11 | 2012-04-17 | John Aram Safa | Software protection method |
US7647636B2 (en) * | 2005-08-24 | 2010-01-12 | Microsoft Corporation | Generic RootKit detector |
US8151352B1 (en) * | 2006-07-14 | 2012-04-03 | Bitdefender IPR Managament Ltd. | Anti-malware emulation systems and methods |
US8176279B2 (en) * | 2008-02-25 | 2012-05-08 | International Business Machines Corporation | Managing use of storage by multiple pageable guests of a computing environment |
US8245296B2 (en) * | 2008-05-23 | 2012-08-14 | Verizon Patent And Licensing Inc. | Malware detection device |
US8667597B2 (en) * | 2008-06-25 | 2014-03-04 | Lockheed Martin Corporation | Systems, methods, and products for secure code execution |
KR20100023494A (ko) * | 2008-08-22 | 2010-03-04 | 엘지전자 주식회사 | 단말기 및 그 바이러스 보호 방법 |
-
2012
- 2012-03-19 CN CN201280071977.1A patent/CN104205044B/zh active Active
- 2012-03-19 WO PCT/US2012/029656 patent/WO2013141838A1/en active Application Filing
- 2012-03-19 US US13/995,132 patent/US9027148B2/en active Active
- 2012-03-19 EP EP12871872.3A patent/EP2828783B1/en not_active Not-in-force
- 2012-03-19 KR KR1020147026115A patent/KR101636638B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1577574A (zh) * | 2003-06-26 | 2005-02-09 | 三星电子株式会社 | 存储/重现期间保护数据的方法和装置 |
CN101815289A (zh) * | 2009-02-12 | 2010-08-25 | 通用汽车有限责任公司 | 利用微证书保护和鉴定数据的方法 |
CN102255888A (zh) * | 2010-05-21 | 2011-11-23 | 英特尔公司 | 从远程服务器对数据存储设备进行安全扫描的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
KR101636638B1 (ko) | 2016-07-05 |
WO2013141838A1 (en) | 2013-09-26 |
EP2828783A1 (en) | 2015-01-28 |
CN104205044A (zh) | 2014-12-10 |
EP2828783A4 (en) | 2015-11-25 |
KR20140125445A (ko) | 2014-10-28 |
US9027148B2 (en) | 2015-05-05 |
EP2828783B1 (en) | 2019-01-09 |
US20130340088A1 (en) | 2013-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104205044B (zh) | 数据处理方法和设备 | |
EP2715598B1 (en) | Method and apparatus for authenticating a non-volatile memory device | |
TWI581630B (zh) | 保全金鑰產生裝置和方法、主機元件以及儲存元件 | |
TWI514187B (zh) | 提供儲存裝置上防有毒軟體保護之系統與方法 | |
CN103946806A (zh) | 用于提供存储器访问控制的装置、系统和方法 | |
CN106687985A (zh) | 用于基于特权模式的安全输入机构的方法 | |
CN114830595A (zh) | 将密码密钥委托给存储器子系统 | |
CN102571348A (zh) | 以太网加密认证系统及加密认证方法 | |
EP3198518B1 (en) | Prevention of cable-swap security attack on storage devices | |
CN113632066A (zh) | 所执行代码中的错误识别 | |
US20230336337A1 (en) | Single-use password generation | |
US20140173280A1 (en) | Device authentication | |
US11349643B2 (en) | Techniques for using local key management in a data storage system | |
US20210318814A1 (en) | Storage device and data disposal method thereof | |
AU2023201855A1 (en) | Module and method for authenticating data transfer between a storage device and a host device | |
US20210067323A1 (en) | Method and Apparatus for Ensuring Integrity of Keys in a Secure Enterprise Key Manager Solution | |
CN104503705A (zh) | 利用闪存设备构建可信存储系统的方法及构建的可信存储系统 | |
Cui et al. | Towards trustable storage using SSDs with proprietary FTL | |
WO2018183110A1 (en) | Data access interface for clustered devices | |
US11954333B2 (en) | Secured firmware with anti-malware | |
CN116569169A (zh) | 铁电存储器装置的安全管理 | |
CN113168475A (zh) | 保护集成于片上系统上的安全元件的外部数据存储的安全 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |