KR20160017583A - 인증 프로그램을 갖는 메모리 카드, 그것을 포함하는 스토리지 시스템, 및 그것의 동작 방법 - Google Patents

인증 프로그램을 갖는 메모리 카드, 그것을 포함하는 스토리지 시스템, 및 그것의 동작 방법 Download PDF

Info

Publication number
KR20160017583A
KR20160017583A KR1020140158821A KR20140158821A KR20160017583A KR 20160017583 A KR20160017583 A KR 20160017583A KR 1020140158821 A KR1020140158821 A KR 1020140158821A KR 20140158821 A KR20140158821 A KR 20140158821A KR 20160017583 A KR20160017583 A KR 20160017583A
Authority
KR
South Korea
Prior art keywords
host
authentication
authentication program
descriptor
partition
Prior art date
Application number
KR1020140158821A
Other languages
English (en)
Other versions
KR102213665B1 (ko
Inventor
이재규
김지수
신보람
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to US14/726,941 priority Critical patent/US9678760B2/en
Publication of KR20160017583A publication Critical patent/KR20160017583A/ko
Application granted granted Critical
Publication of KR102213665B1 publication Critical patent/KR102213665B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Abstract

본 발명의 실시 예에 따른 메모리 장치는 데이터를 저장하기 위한 플래시 메모리; 및 복수의 논리적 유닛 중 일부 영역에 인증 프로그램을 저장하도록 관리하는 장치 컨트롤러를 포함한다. 상기 장치 컨트롤러는 호스트와 연결될 때, 상기 인증 프로그램이 상기 호스트에서 실행되도록 한다. 본 발명에 의하면, 호스트에서 자동으로 착탈식 UFS 카드를 인식하고 인증할 수 있도록 함으로, 보안 기능이 적용된 UFS 카드를 좀 더 쉽고 편하게 사용할 수 있다.

Description

인증 프로그램을 갖는 메모리 카드, 그것을 포함하는 스토리지 시스템, 및 그것의 동작 방법{MEMORY CARD AND STORAGE SYSTEM HAVING AUTHENTICATION PROGRAM AND METHOD FOR OPERATING THEREOF}
본 발명은 스토리지 시스템에 관한 것으로, 더욱 상세하게는 인증 프로그램을 갖는 메모리 카드 및 그것의 동작 방법에 관한 것이다.
스토리지 시스템(storage system)은 호스트(host)와 저장 장치(storage device)로 구성되며, UFS(universal flash storage), SATA(serial ATA), SCSI(small computer small interface), SAS(serial attached SCSI), eMMC(embedded MMC) 등과 같은 다양한 인터페이스 표준을 통해 연결된다.
종래의 메모리 카드를 호스트 PC에서 사용하기 위해서는, 사전에 호스트 PC에 메모리 카드를 사용할 수 있는 환경이 마련되어 있어야 한다. 호스트 PC 환경을 마련하기 위해서는 사전에 인터넷이나 저장 매체를 이용하여 인증 프로그램을 설치해야 한다. 보안 기능을 지원하는 착탈식 메모리 카드는 사용자 인증이 되어야 사용자 영역(user area)을 읽거나 쓸 수 있기 때문이다.
본 발명은 상술한 기술적 문제점을 해결하기 위해 제안된 것으로, 본 발명의 목적은 보안 기능을 지원하는 착탈식 메모리 카드를 호스트에서 간편하게 인증할 수 있는 메모리 카드, 스토리지 시스템, 및 그것의 동작 방법을 제공하는 데 있다.
본 발명의 실시 예에 따른 메모리 카드는 데이터를 저장하기 위한 플래시 메모리; 및 복수의 논리적 유닛 중 일부 영역에 인증 프로그램을 저장하도록 관리하는 장치 컨트롤러를 포함하되, 상기 장치 컨트롤러는 호스트와 연결될 때, 상기 인증 프로그램이 상기 호스트에서 실행되도록 한다.
실시 예로서, 상기 복수의 논리적 유닛은 하나 또는 그 이상의 부트 파티션을 갖고, 상기 인증 프로그램은 상기 하나 또는 그 이상의 부트 파티션 중에 어느 하나의 부트 파티션에 저장된다. 상기 장치 컨트롤러는 상기 인증 프로그램을 관리하기 위한 보안 관리자를 포함한다.
상기 보안 관리자는 장치 디스크립터에 상기 인증 프로그램에 대한 인증 정보를 저장한다. 상기 장치 디스크립터는 상기 인증 프로그램의 존재 여부를 확인하기 위한 인증 존재 필드(bDeviceLocked)를 포함한다. 상기 장치 디스크립터는 상기 인증 프로그램이 어느 부트 파티션에 위치하는지를 확인하기 위한 인증 위치 필드(bAuthPartition)를 포함한다.
본 발명의 다른 실시 예에 따른 스토리지 시스템은 호스트; 상기 호스트와 연결되는 카드 리더; 및 상기 카드 리더에 삽입되어 상기 호스트와 연결되는 메모리 카드를 포함하되, 상기 메모리 카드는 복수의 논리적 유닛 중 일부 영역에 인증 프로그램을 저장하고, 상기 호스트와 연결될 때 상기 인증 프로그램이 상기 호스트에서 실행되도록 한다.
실시 예로서, 상기 메모리 카드는 데이터를 저장하기 위한 플래시 메모리; 및 복수의 논리적 유닛 중 적어도 하나의 부트 파티션에 상기 인증 프로그램을 저장하도록 관리하는 장치 컨트롤러를 포함한다.
실시 예로서, 상기 장치 컨트롤러는 장치 디스크립터에 상기 인증 프로그램에 대한 인증 정보를 저장한다. 상기 장치 디스크립터는 상기 인증 프로그램의 존재 여부를 확인하기 위한 인증 존재 필드(bDeviceLocked)를 포함한다. 상기 장치 디스크립터는 상기 인증 프로그램이 어느 부트 파티션에 위치하는지를 확인하기 위한 인증 위치 필드(bAuthPartition)를 포함한다.
본 발명의 다른 일면은 인증 프로그램을 갖는 메모리 카드의 동작 방법에 관한 것으로, 메모리 카드가 삽입되어 있는지를 식별하는 단계; 상기 메모리 카드의 장치 디스크립터를 읽고, 상기 인증 프로그램이 존재하는 여부를 판단하는 단계; 및 상기 인증 프로그램의 존재 여부에 따라 상기 메모리 카드에 대한 추가적인 인증 절차 여부가 결정되는 단계를 포함한다.
실시 예로서, 메모리 카드의 동작 방법은 상기 인증 프로그램 존재하는 경우에 상기 인증 프로그램이 존재하는 위치를 판단하는 단계를 더 포함한다. 상기 메모리 카드는 복수의 논리적 유닛을 갖고, 상기 복수의 논리적 유닛은 하나 또는 그 이상의 부트 파티션을 갖고, 상기 인증 프로그램은 상기 하나 또는 그 이상의 부트 파티션 중에 어느 하나에 저장된다.
상기 장치 디스크립터는 상기 인증 프로그램의 존재 여부를 확인하기 위한 인증 존재 필드(bDeviceLocked)를 포함한다. 상기 장치 디스크립터는 상기 인증 프로그램이 어느 부트 파티션에 위치하는지를 확인하기 위한 인증 위치 필드(bAuthPartition)를 포함한다.
다른 실시 예로서, 메모리 카드의 동작 방법은 호스트에 상기 확인된 부트 파티션을 마운팅하는 단계를 더 포함한다. 메모리 카드의 동작 방법은 상기 확인된 부트 파티션에 저장된 인증 프로그램을 실행하는 단계를 더 포함한다. 상기 인증 프로그램이 실행된 다음에, 사용자 파티션에 대한 인증 동작을 수행하는 단계를 더 포함한다. 상기 사용자 파티션에 대한 인증이 성공한 경우에, 상기 호스트에 상기 사용자 파티션을 마운팅하는 단계를 더 포함한다.
본 발명에 의하면, 호스트에서 자동으로 착탈식 메모리 카드를 인식하고 인증할 수 있도록 함으로, 보안 기능이 적용된 착탈식 메모리 카드를 좀 더 쉽고 편하게 사용할 수 있다.
도 1은 호스트 PC가 메모리 카드를 인증하는 예를 보여주는 개념도이다.
도 2는 본 발명의 실시 예에 따른 스토리지 시스템을 보여주는 블록도이다.
도 3은 플래시 메모리를 기반으로 하는 UFS 시스템을 보여주는 블록도이다.
도 4는 도 3에 도시된 UFS 장치의 논리적 유닛들을 예시적으로 보여주는 블록도이다.
도 5는 장치 디스크립터(device descriptor)의 포멧을 예시적으로 보여주는 도표이다.
도 6은 본 발명의 다른 실시 예에 따른 스토리지 시스템을 보여주는 블록도이다.
도 7은 도 6에 도시된 스토리지 시스템의 동작 방법을 보여주는 순서도이다.
도 8은 호스트가 인증 기능을 지원하는 착탈식 UFS 카드의 부트 파티션을 마운팅하는 방법을 보여주는 순서도이다.
도 9는 본 발명의 실시 예에 따른 스토리지 시스템을 보여주는 블록도이다.
도 10은 호스트의 논리적 블록 어드레스(LBA) 단위로 쓰기 방지 영역을 지정한 예를 보여주는 개념도이다.
도 11은 파티션 전체에 대해 쓰기 방지가 적용된 예를 보여주는 개념도이다.
도 12는 WP Descriptor가 NV-P 타입으로 설정된 예를 보여주는 개념도이다.
도 13은 본 발명의 실시 예에 따른 스토리지 시스템의 쓰기 방지를 설정하거나 해제하기 위한 요청(request)과 응답(response)을 보여주는 타이밍도이다.
도 14는 HMAC를 계산하는 방법을 설명하기 위한 개념도이다.
도 15는 도 6에 도시된 플래시 메모리를 기반으로 하는 UFS 장치의 하드웨어 구조를 보여주는 블록도이다.
도 16은 도 6에 도시된 플래시 메모리를 기반으로 하는 UFS 장치의 소프트웨어 계층 구조를 보여주는 블록도이다.
도 17은 본 발명의 실시 예에 따른 저장 장치를 솔리드 스테이트 드라이브(SSD)에 적용한 예를 보여주는 블록도이다.
도 18는 도 17에 도시된 SSD 컨트롤러(4210)의 구성을 예시적으로 보여주는 블록도이다.
도 19는 본 발명의 실시 예에 따른 저장 장치를 전자 장치로 구현한 예를 보여주는 블록도이다.
도 20은 도 6에 도시된 스토리지 시스템의 다른 예를 보여주는 블록도이다.
이하에서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 실시 예를 첨부된 도면을 참조하여 설명하기로 한다.
도 1은 호스트 PC가 메모리 카드를 인증하는 방법을 보여주는 컴퓨터 시스템의 개념도이다. 도 1을 참조하면, 컴퓨터 시스템(100)은 호스트 PC(110), 인터넷(121), CD 또는 DVD(122), 그리고 메모리 카드(130)를 포함한다. 여기에서, 메모리 카드(130)는 보안 기능을 지원하는 착탈식 메모리 카드(removable memory card)이다. 착탈식 메모리 카드에는 SD 카드, 마이크로 SD 카드, MMC, UFS 카드 등이 포함될 수 있다.
사용자는 보안 기능을 지원하는 착탈식 메모리 카드(130)를 사용하기 위해서, 사전에 인터넷(121)을 통해 인증 프로그램(authentication program)을 다운로드하여 호스트 PC(110)에 설치하거나, CD 또는 DVD(122)를 이용하여 인증 프로그램을 설치해야 한다. 보안 기능이 적용된 착탈식 메모리 카드(130)는 사용자 인증이 되어야 사용자 영역(user area)을 읽거나 쓸 수 있기 때문이다.
착탈식 메모리 카드(130)는 다양한 종류의 호스트 PC(110)에서 사용할 수 있어야 하고, 데이터를 안전하게 보호하기 위해서는 보안 기능도 가져야 한다. 이를 위해 착탈식 메모리 카드(130)는 다양한 호스트 PC 환경에서 인증을 필요로 한다. 이를 위해 착탈식 메모리 카드(130)와 인증을 할 수 있게 도와주는 호스트 PC 환경이 필요하다.
그러나 호스트 PC 환경은 매우 다양하기 때문에 OS별로 각각 다른 인증 프로그램을 설치해야 하는 번거로움이 있다. 이러한 불편함은 착탈식 메모리 카드(130)의 사용 환경을 고려하면 그 정도가 더 심할 수 있다. 도 1에 도시된 바와 같이, 착탈식 메모리 카드(130)를 사용하려면 제조사가 제공하는 인증 프로그램을 사전에 호스트 PC(110)에 설치해야 하는 불편함이 있다.
본 발명의 실시 예에 따른 착탈식 메모리 카드는 일부 영역에 호스트에서 실행 가능한 인증 프로그램(authentication program)을 내장한다. 착탈식 메모리 카드가 호스트에 삽입되면, 착탈식 메모리 카드는 내장된 인증 프로그램이 호스트에서 실행되도록 한다. 본 발명에 따른 스토리지 시스템은 보안 기능을 지원하는 착탈식 메모리 카드를 호스트에서 간편하게 인증할 수 있도록 한다.
도 2는 본 발명의 실시 예에 따른 스토리지 시스템을 보여주는 블록도이다. 도 2를 참조하면, 스토리지 시스템(1000)은 호스트(1100)와 저장 장치(1200)를 포함한다.
호스트(1100)와 저장 장치(1200)는 UFS(universal flash storage), SATA(serial ATA), SCSI(small computer small interface), SAS(serial attached SCSI), eMMC(embedded MMC) 등과 같은 표준 인터페이스를 통해 연결될 수 있다. 여기에서, 호스트(1100)와 저장 장치(1200)는 도 1에서 설명한 호스트 PC(110)와 착탈식 메모리 카드(130)일 수 있다.
도 2를 참조하면, 호스트 인터페이스(1101)와 장치 인터페이스(1201)는 데이터나 신호를 주고 받기 위한 데이터 라인(DIN, DOUT)과 전원을 제공하기 위한 전원 라인(PWR)으로 연결될 수 있다. 호스트(1100)는 애플리케이션(1110), 장치 드라이버(1120), 호스트 컨트롤러(1130), 그리고 버퍼 메모리(1140)를 포함한다.
애플리케이션(1110)은 호스트(1100)에서 실행되는 다양한 응용 프로그램들이다. 장치 드라이버(1120)는 호스트(1100)에 연결되어 사용되는 주변 장치들을 구동하기 위한 것으로, 도 2에서는 저장 장치(1200)를 구동한다. 애플리케이션(1110)이나 장치 드라이버(1120)는 호스트(1100)에서 동작하는 분리된 모듈(module)일 수 있고, 소프트웨어(software) 또는 펌웨어(firmware) 등을 통해 구현될 수 있다.
또한, 애플리케이션(1110)이나 장치 드라이버(1120)는 중앙처리장치(CPU, 도시되지 않음)의 제어에 따라, 내부 메모리(internal memory, 도시되지 않음)에서 구동될 수 있다. 여기에서, 애플리케이션(1110)이나 장치 드라이버(1120)를 제어하는 중앙처리장치(CPU)는 호스트 컨트롤러(1130)의 내부 또는 외부에 위치할 수 있다.
호스트 컨트롤러(1130)는 호스트 인터페이스(1101)를 통해, 데이터를 저장 장치(1200)로 제공하거나 저장 장치(1200)로부터 데이터를 입력받는다. 버퍼 메모리(1140)는 호스트(1100)의 메인 메모리(main memory) 또는 캐시 메모리로 사용될 수 있다. 또한, 버퍼 메모리(1140)는 애플리케이션(1110)이나 장치 드라이버(1120) 등과 같은 소프트웨어를 구동하기 위한 구동 메모리(driving memory)로 사용될 수도 있다.
저장 장치(1200)는 장치 인터페이스(1201)를 통해서 호스트(1100)와 연결될 수 있다. 저장 장치(1200)는 불휘발성 메모리(NVM, 1210), 장치 컨트롤러(1230), 그리고 부트 메모리(1240)를 포함할 수 있다. 불휘발성 메모리(1210)에는 플래시 메모리, MRAM, PRAM, FeRAM 등이 포함될 수 있다. 장치 컨트롤러(1230)는 어드레스 또는 데이터 버스를 통해 불휘발성 메모리(1210)와 데이터를 주고 받을 수 있다.
부트 메모리(1240)는 부트 코드(boot code)를 저장하기 위한 영역이다. 부트 메모리(1240)는 불휘발성 메모리로 구현될 수 있다. 부트 메모리(1240)는 장치 컨트롤러(1230) 내에 포함되거나, 장치 컨트롤러(1230)와 하나의 칩으로 구현될 수도 있다. 부트 메모리(1240)에는 인증 프로그램(authentication program)이 저장될 수 있다.
도 2에 도시된 저장 장치(1240)는 부트 메모리(1240)의 일부 영역에 호스트(1100)에서 실행 가능한 인증 프로그램을 내장할 수 있다. 또한, 저장 장치(1200)는 장치 컨트롤러(1230)에 인증 프로그램의 존재 여부 또는 인증 프로그램의 저장 위치 등에 관한 인증 정보(authentication information)를 저장할 수 있다. 저장 장치(1200)가 호스트(1100)와 연결되면, 저장 장치(1200)는 장치 컨트롤러(1230)의 인증 정보를 기초로 하여, 내장된 인증 프로그램이 호스트(1100)에서 실행되도록 할 수 있다. 본 발명에 의하면, 보안 기능을 지원하는 착탈식 저장 장치(1200)를 호스트(1100)에서 간편하게 인증할 수 있다.
도 2에 도시된 스토리지 시스템(1000)은 플래시 메모리(flash memory)를 기반으로 하는 모바일 장치 또는 다른 전자 장치에 적용될 수 있다. 이하에서는 UFS(Universal Flash Storage)를 예로 하여, 도 2에 도시된 스토리지 시스템(1000)의 구성이나 동작 방법이 좀 더 자세하게 설명될 것이다.
도 3은 플래시 메모리를 기반으로 하는 UFS 시스템을 보여주는 블록도이다. 도 3을 참조하면, UFS 시스템(2000a)은 UFS 호스트(2100)와 UFS 장치(2200)를 포함한다.
UFS 호스트(2100)는 애플리케이션(2110), 장치 드라이버(2120), 호스트 컨트롤러(2130), 그리고 버퍼 램(2140)을 포함한다. 그리고 호스트 컨트롤러(2130)는 커맨드 큐(CMD queue, 2131), 호스트 DMA(2132), 그리고 전원 관리자(2133)를 포함한다. 장치 관리자(2131), 호스트 DMA(2132), 그리고 전원 관리자(2133)는 호스트 컨트롤러(2130) 내에서 알고리즘, 소프트웨어, 또는 펌웨어로 동작할 수 있다.
UFS 호스트(2100)의 애플리케이션(2110)과 장치 드라이버(2120)에서 생성된 커맨드(예를 들면, 쓰기 커맨드)는 호스트 컨트롤러(2130)의 커맨드 큐(2131)에 입력된다. 커맨드 큐(2131)는 UFS 장치(2200)로 제공될 커맨드를 순서대로 저장한다. 커맨드 큐(2131)에 저장된 커맨드는 호스트 DMA(2132)로 제공된다. 호스트 DMA(2132)는 커맨드를 호스트 인터페이스(2101)를 통해 UFS 장치(2200)로 보낸다.
계속해서 도 3을 참조하면, UFS 장치(2200)는 플래시 메모리(2210), 장치 컨트롤러(2230), 그리고 논리적 유닛들(2240)을 포함한다. UFS 장치(2200)는 메모리 카드(full size 또는 micro size) 형태로 사용될 수 있다. UFS 장치(2200)는 앞에서 설명한, 보안 기능을 지원하는 착탈식 메모리 카드로 사용될 수 있다. 이러한 UFS 장치(2200)를 UFS 호스트(2100)에서 사용하기 위해서는 인증 절차가 필요하다.
장치 컨트롤러(2230)는 중앙처리장치(CPU, 2231), 장치 관리자(device manager, 2232), 플래시 DMA(2233), 보안 관리자(security manager, 2234), 버퍼 관리자(2235), 플래시 변환 계층(FTL; Flash Translation Layer, 2236), 그리고 플래시 관리자(2237)를 포함한다. 여기에서, 장치 관리자(2232), 보안 관리자(2234), 버퍼 관리자(2235), 플래시 변환 계층(2236), 그리고 플래시 관리자(2237)는 장치 컨트롤러(2230) 내에서 알고리즘, 소프트웨어, 또는 펌웨어로 동작할 수 있다.
UFS 호스트(2100)로부터 UFS 장치(2200)로 입력된 커맨드는 장치 인터페이스(2201)를 통해 장치 관리자(2232)로 제공된다. 장치 관리자(2232)는 UFS 호스트(2100)로부터 제공된 커맨드를 해석하고, 보안 관리자(2234)를 이용하여 입력된 커맨드를 인증할 수 있다. 장치 관리자(2232)는 버퍼 관리자(2235)를 통해 데이터를 입력 받을 수 있도록 버퍼 램(도시되지 않음)을 할당할 수 있다. 장치 관리자(2232)는 데이터 전송 준비가 완료되면, UFS 호스트(2100)로 RTT(READY_TO_TRANSFER) UPIU를 보낸다.
UFS 호스트(2100)는 RTT UPIU에 응답하여 데이터를 UFS 장치(2200)로 전송한다. 데이터는 호스트 DMA(2132)와 호스트 인터페이스(2101)를 통해 UFS 장치(2200)로 전송된다. UFS 장치(2200)는 제공받은 데이터를 버퍼 관리자(2235)를 통해 버퍼 램(도시되지 않음)에 저장한다. 버퍼 램에 저장된 데이터는 플래시 DMA(2233)를 통해 플래시 관리자(2237)로 제공된다. 플래시 관리자(2237)는 플래시 변환 계층(2236)의 어드레스 맵핑 정보를 참조하여, 플래시 메모리(2210)의 선택된 어드레스에 데이터를 저장한다.
UFS 장치(2200)는 커맨드에 필요한 데이터 전송과 프로그램이 완료되면, 인터페이스를 통해 UFS 호스트(2100)로 응답 신호(response)를 보내고, 커맨드 완료를 알린다. UFS 호스트(2100)는 응답 신호를 전달받은 커맨드에 대한 완료 여부를 장치 드라이버(2120)와 애플리케이션(2110)에 알려주고, 해당 커맨드에 대한 동작을 종료한다.
UFS 장치(2200)가 UFS 호스트(2100)와 연결되고, 위에서 설명한 동작을 수행하기 위해서는 UFS 호스트(2100)에서 UFS 장치(2200)를 사용할 수 있는 환경이 마련되어야 한다. UFS 호스트(2100)가 UFS 장치(2200)를 인증할 수 있는 인증 프로그램을 미리 저장하고 있을 수 있지만, UFS 호스트(2100)에 인증 프로그램이 없는 경우에도 UFS 장치(2200)를 사용할 수 있어야 한다.
이를 위해 본 발명의 실시 예에 따른 UFS 장치(2200)는 논리적 유닛(2240)의 일부 영역에 UFS 호스트(2100)에서 실행 가능한 인증 프로그램을 내장할 수 있다. UFS 장치(2200)는 보안 관리자(2234)에 인증 프로그램의 존재 여부 또는 인증 프로그램의 저장 위치 등에 관한 인증 정보(authentication information)를 저장할 수 있다. UFS 장치(2200)가 UFS 호스트(2100)와 연결되면, UFS 장치(2200)는 보안 관리자(2234)의 인증 정보를 기초로 하여, 내장된 인증 프로그램이 UFS 호스트(2100)에서 실행되도록 할 수 있다.
본 발명에 의하면, UFS 호스트(2100)가 사전에 인증 프로그램을 저장하고 있지 않더라도, 보안 기능을 지원하는 착탈식 UFS 장치(2200)를 간편하게 인증하고 사용할 수 있다.
도 4는 도 3에 도시된 UFS 장치의 논리적 유닛들을 예시적으로 보여주는 블록도이다. 도 4를 참조하면, UFS 장치(2200)는 하나 또는 그 이상의 논리적 유닛(LU1~LUn; n은 자연수)을 포함할 수 있다. 각각의 논리적 유닛(logical unit)은 커맨드를 처리하는 독립적인 처리 엔터티(independent processing entity)일 수 있다. UFS 장치(2240)는 부트 코드, 애플리케이션 코드, 그리고 사용자 데이터 저장을 위해 복수의 논리적 유닛(예를 들면, 8개의 논리적 유닛)으로 구성될 수 있다.
계속해서 도 4를 참조하면, 제 1 논리적 유닛(LU1)은 A 부트 코드(Boot_A)를 저장하기 위한 부트 파티션(boot partition)이고, 제 2 논리적 유닛(LU2)은 B 부트 코드(Boot_B)를 저장하기 위한 부트 파티션이다. 그리고 제 n 논리적 유닛(LUn)은 사용자 데이터를 저장하기 위한 사용자 파티션(user partition)이다. 도 4에 도시된 바와 같이, UFS 장치(2200)는 사용자 파티션 이외에 2개의 분리된 부트 파티션을 가질 수 있다.
보안 관리자(2234)는 다양한 종류의 디스크립터(descriptors)를 관리할 수 있다. 디스크립터에는 장치 디스크립터(device descriptor), 구성 디스크립터(configuration descriptor), 지오미터리 디스크립터(geometry descriptor), 유닛 디스크립터(unit descriptor), RPMB 유닛 디스크립터, 파워 파라미터 디스크립터(power parameters descriptor), 인터커넥트 디스크립터(interconnect descriptor) 등이 포함될 수 있다.
보안 관리자(2234)는 장치 디스크립터(device descriptor)에 인증 정보(authentication information)를 저장할 수 있다. 즉, 보안 관리자(2234)의 장치 디스크립터는 인증 프로그램이 존재하는지 여부를 나타내는 인증 존재 필드(authentication existence field)와 인증 프로그램이 어느 부트 파티션에 저장되어 있는지를 나타내는 인증 위치 필드(authentication location field)를 가질 수 있다.
도 5는 도 4에서 설명한 장치 디스크립터(device descriptor)의 포멧을 예시적으로 보여주는 도표이다. 도 5를 참조하면, 장치 디스크립터는 디스크립터의 길이(length)를 표시하는 필드(bLength)와 타입(type)을 식별하는 필드(bDescriptorType)를 포함하는 헤더(header)로 시작한다. 여기에서, 길이 값(length value)은 헤더와 추가적인 데이터(additional data)의 전체 길이를 포함한다.
인증 정보(authentication information)는 디스크립터 정보(descriptor information)를 나타내는 데이터 필드에 저장될 수 있다. 예를 들어, 사용자 파티션의 특정 영역이 인증이 필요한 상태이면, 인증 존재 필드(bDeviceLocked)가 TRUE로 설정된다. 이 정보를 바탕으로 UFS 호스트(2100)는 보안 기능을 지원하는 착탈식 UFS 장치(2200)가 연결되었는지를 판단할 수 있다. 또한, UFS 호스트(2100)는 인증 위치 필드(bAuthPartition)을 확인해서, 부트 파티션 A 또는 부트 파티션 B 중에 어떤 파티션을 마운팅 해야 할지 판단할 수 있다.
본 발명의 실시 예에 따른 UFS 장치(2200)는 부트 파티션에 UFS 호스트(2100)에서 실행 가능한 인증 프로그램을 내장한다. UFS 장치(2200)가 UFS 호스트(2100)와 연결되면, USF 호스트(2100)는 자동으로 부트 파티션을 인식하고 인증 동작을 수행할 수 있다. UFS 장치(2200)는 인증을 통해 UFS 호스트(2100)에 연결되어 사용될 수 있다.
도 6은 본 발명의 다른 실시 예에 따른 UFS 시스템을 보여주는 블록도이다. 도 6을 참조하면, 스토리지 시스템(2000b)은 호스트(2100), 카드 리더(2150), 그리고 UFS 카드(2200)를 포함한다. 여기에서, UFS 카드(2200)는 보안 기능을 지원하고, 이를 사용하기 위해서는 사용자 인증이 필요하다.
호스트(3100)는 윈도우즈(windows), 리눅스(linux), MAC, 안드로이드, iOS 등을 통해 구동하는 컴퓨터 또는 모바일 전자 장치일 수 있다. 카드 리더(2150)는 호스트(2100)와 UFS 카드(2200)가 통신할 수 있도록 하는 장치이다. 카드 리더(2150)는 USB 인터페이스를 통해 호스트(2100)와 연결되고, UFS 인터페이스를 통해 UFS 카드(2200)와 연결될 수 있다.
UFS 카드(2200)는 장치 관리자(2232), 보안 관리자(2234), 그리고 논리적 유닛들(2240)을 포함할 수 있다. 보안 관리자(2234)는 장치 디스크립터(device descriptor)를 포함할 수 있다. 제 1 및 제 2 논리적 유닛(LU1, LU2)은 부트 코드(Boot_A, Boot_B)를 저장하기 위한 부트 파티션이고, 나머지 논리적 유닛(LUn)은 사용자 데이터를 저장하기 위한 사용자 파티션일 수 있다. 보안 관리자(2234)는 인증 여부를 나타내는 인증 존재 필드(bDeviceLocked)와 인증 프로그램이 저장된 부트 파티션을 표기하는 인증 위치 필드(bAuthPartition)를 장치 디스크립터(device descriptor)에 저장할 수 있다.
예를 들어, 인증 존재 필드(bDeviceLocked)를 통해, 호스트(2100)는 보안 기능을 지원하는 착탈식 UFS 카드(2200)가 연결되었는지를 판단할 수 있다. 또한, 호스트(2100)는 인증 위치 필드(bAuthPartition)을 확인해서, 부트 파티션 A 또는 부트 파티션 B 중에 어떤 파티션을 마운팅 해야 할지 판단할 수 있다.
도 7은 도 6에 도시된 UFS 시스템의 동작 방법을 보여주는 순서도이다. 도 6 및 도 7을 참조하면, 카드 리더(2150)에 삽입된 착탈식 UFS 카드(2200)가 호스트(2100)에 연결되면, 카드 리더(2150)는 착탈식 UFS 카드(2200)를 인식한다(S110). 이때 카드 리더(2150)는 삽입된 착탈식 UFS 카드(2200)가 인증 기능을 지원하는지를 판단할 수 있다.
인증 기능을 지원하는 착탈식 UFS 카드(2200)는 장치 디스크립터(device descriptor)에 인증 여부를 나타내는 인증 존재 필드(bDeviceLocked)와 인증 프로그램이 저장된 부트 파티션을 표기하는 인증 위치 필드(bAuthPartition)를 갖는다.
예를 들어, 사용자 파티션의 특정 영역이 인증이 필요한 상태이면 인증 존재 필드(bDeviceLocked)가 TRUE로 설정된다. 인증 정보를 바탕으로 카드 리더(2150)는 인증이 필요한 착탈식 UFS 카드(2200)가 삽입되었음을 인지할 수 있다.
계속해서 도 7을 참조하면, 호스트(2100)는 인증 위치 필드(bAuthPartition)을 확인해서 부트 파티션 A 또는 부트 파티션 B 중에 어떤 파티션을 마운팅 해야 할지 판단할 수 있다. 호스트(2100)는 UFS 카드(2200)로부터 인증 프로그램을 포함하고 있는 부트 파티션을 마운트할 수 있다(S120).
도 8은 호스트가 보안 기능을 지원하는 착탈식 UFS 카드의 부트 파티션을 마운팅하는 방법을 보여주는 순서도이다. 보안 기능을 지원하는 착탈식 UFS 카드(2200)가 카드 리더(2150)에 삽입된다. 카드 리더(2150)는 인증 존재 필드(bDeviceLocked)가 TRUE이면 인증 위치 필드(bAuthPartition)을 확인해서 부트 파티션 A 또는 B를 USB Mass Storage로 인식시킬지 결정한다.
S210 단계에서, 카드 리더(도 5 참조, 2150)는 UFS 카드(2200)가 삽입되어 있는지를 식별한다. 카드 리더(2150)가 호스트(2100)에 연결되면, 카드 리더(2150)는 자동으로 착탈식 UFS 카드(2200)가 카드 리더(2150)에 삽입되어 있는지를 식별한다.
S220 단계에서, 카드 리더(2150)는 UFS 카드(2200)의 장치 디스크립터(device descriptor)를 읽는다. 장치 디스크립터는 UFS 카드(2200)의 보안 관리자(2234)에 의해 관리된다. 장치 디스크립터(device descriptor)는 인증 여부를 나타내는 인증 존재 필드(bDeviceLocked)와 인증 프로그램이 저장된 부트 파티션을 표기하는 인증 위치 필드(bAuthPartition)를 갖는다.
S230 단계에서, 카드 리더(2150)는 장치 디스크립터의 인증 존재 필드(bDeviceLocked)가 TRUE로 설정되어 있는지를 판단한다. 카드 리더(2150)는 인증 정보를 바탕으로 삽입된 착탈식 UFS 카드(2200)가 인증 기능을 지원하는지를 판단할 수 있다. 인증 기능을 지원하는 경우에는 TRUE로 설정되고, 지원하지 않는 경우에는 FALSE로 설정될 수 있다. 인증 기능이 적용되지 않는 경우에는 S290 단계가 수행되고, 인증 기능이 적용되는 경우에는 S240 단계가 수행된다.
S240 단계에서, 카드 리더(2150)는 장치 디스크립터의 인증 위치 필드(bAuthPartition)을 확인하고, 부트 파티션 A로 설정되어 있는지를 판단한다. 부트 파티션 A로 설정되어 있는 경우에는 장치 디스크립터의 부트 인에이블 필드(bBootLunEn)는 0x01로 설정될 수 있다(S241). 부트 파티션 B로 설정되어 있는 경우에는 장치 디스크립터의 부트 인에이블 필드(bBootLunEn)은 0x02로 설정될 수 있다(S242).
S250 단계에서, 호스트(2100)는, 부트 파티션 A로 설정되어 있는 경우에, 부트 파티션 A를 마운트한다. S255 단계에서, 부트 파티션 B로 설정되어 있는 경우에는, 호스트(2100)는 부트 파티션 B를 마운트한다.
S260 단계에서, 호스트(2200)는 마운트한 부트 파티션의 인증 프로그램(authentication program)을 실행한다. S270 단계에서, 호스트(2200)는 사용자 파티션을 인증한다. S280 단계에서, 인증 성공 여부를 판단한다. 인증에 성공하지 못한 경우에는 S270 단계를 반복한다. 인증에 성공한 경우에, 호스트(2100)는 사용자 파티션을 마운트한다(S290).
다시 도 6을 참조하면, 본 발명의 실시 예에 따른 UFS 카드(2200)는 부트 파티션에 호스트(2100)에서 실행 가능한 인증 프로그램을 내장한다. UFS 카드(2200)가 카드 리더(2150)를 통해 호스트(2100)와 연결되면, 호스트(3100)는 자동으로 부트 파티션을 인식하고 인증 동작을 수행할 수 있다. UFS 카드(2200)는 인증을 통해 호스트(2100)에 연결되어 사용될 수 있다.
한편, 도 3 또는 도 6에 도시된 UFS 시스템(2000a, 2000b)이 모바일 장치 등에 사용되는 경우에, 데이터 신뢰성 및 보안을 위해 쓰기 방지(write protect)를 설정하거나 해제하는 것은 매우 중요하다. 본 발명의 실시 예에 따른 UFS 시스템(2000a, 2000b)은 Key-ed Crypto Hash, 비밀 키(private key), 그리고 요청 카운트(request count)를 사용하여 커맨드의 인증 절차를 수행할 수 있다.
본 발명은 인증 절차를 통해서 쓰기 방지(write protect)를 설정 또는 해제하거나, 쓰기 방지 속성을 변경할 수 있다. 또한, 본 발명은 파티션 전체 또는 파티션을 정해진 크기로 나눈 그룹(group) 단위로 쓰기 방지 영역을 지정하지 않고, 호스트(2100)의 논리적 블록 어드레스(LBA) 단위로 쓰기 방지 영역을 지정할 수 있다.
이하에서는 도 3 또는 도 6에 도시된 UFS 시스템(2000)을 예로 하여, 본 발명의 실시 예에 따른 스토리지 시스템의 쓰기 방지(write protect)의 설정, 해제, 및 속성 변경이 상세하게 설명될 것이다.
도 9는 본 발명의 다른 실시 예에 따른 UFS 시스템을 보여주는 블록도이다. 도 9를 참조하면, UFS 시스템(3000)은 호스트(3100)와 저장 장치(3200)를 포함한다. 저장 장치(3200)는 장치 관리자(3232)와 보안 관리자(3234)를 포함한다. 보안 관리자(3234)는 WP Descriptor를 관리한다.
WP Descriptor는 플래시 메모리(도 3 참조, 2210) 또는 ROM 등과 같은 불휘발성 메모리에 저장되어 있고, 파워 온(power on) 시에 디램(DRAM) 또는 에스램(SRAM) 등과 같은 휘발성 메모리에 업로드 될 수 있다. WP Descriptor는 쓰기 방지를 설정 또는 해제하거나, 쓰기 방지 속성을 변경하는 데 사용된다.
표 1은 WP Descriptor의 구조 및 설명을 예시적으로 보여준다.
Name Description
PID(Partition ID) 쓰기 방지를 적용할 파티션 ID
Start LBA 쓰기 방지를 시작할 어드레스
Length 쓰기 방지를 할 크기
Length가 0 이면 파티션 전체에 쓰기 방지 적용
Writable True / False 로 쓰기 방지 적용 여부
Type


 P Power Off 또는 HW Reset 전까지만 쓰기 방지 유지
Power On이후 Writable은 항상 True로 변경되고 Writable을 False로 설정하면 Power Off 또는 HW Reset 전까지 변경할 수 없음
NV-P Request에 의해서 Writable이 변경되고 적용되지만 Power Off 또는 HW Reset 이후 Writable은 항상 False로 변경
NV Request에 의해서만 Writable이 변경
표 1을 참조하면, WP Descriptor는 파티션 ID(PID), 시작 LBA, 크기(Length), 쓰기 가능(writable), 그리고 타입(type)으로 구성될 수 있다. 파티션 ID(PID)는 쓰기 방지를 적용할 파티션을 식별(identification)하기 위한 것이다. 시작 LBA는 쓰기 방지를 적용할 논리적 블록의 시작 어드레스를 의미한다. 크기(length)는 쓰기 방지를 적용할 크기를 의미한다.
도 10은 호스트의 논리적 블록 어드레스(LBA) 단위로 쓰기 방지 영역을 지정한 예를 보여주는 개념도이다. 도 10을 참조하면, 파티션 ID는 1이다. 즉 쓰기 방지는 제 1 파티션(partition 1)에 적용된다. WP Descriptor의 시작 LBA는 100이고 크기(length)는 900이다. 따라서 쓰기 방지 영역은 LBA 100에서 시작하고 LBA 1000에서 끝난다. 도 10에서, 제 1 파티션은 인증 프로그램을 저장하고 있는 부트 파티션이고, 쓰기 방지 영역은 인증 프로그램을 저장하고 있는 부트 파티션의 영역을 의미할 수 있다.
도 11은 파티션 전체에 대해 쓰기 방지가 적용된 예를 보여주는 개념도이다. 표 1을 참조하면, WP Descriptor의 LBA의 크기가 0으로 설정되어 있으면, 파티션 전체에 대해 쓰기 방지(write protect)가 적용된다. 도 11의 예에서, WP Descriptor의 파티션 ID는 1이고, 크기(length)는 0으로 설정되어 있다. 따라서 쓰기 방지는 제 1 파티션(partition 1) 전체에 적용된다. 즉, 본 발명은 인증 프로그램을 저장하고 있는 부트 파티션 전체에 대해 쓰기 방지를 설정할 수 있다.
계속해서 표 1을 참조하면, 쓰기 가능(writable)은 쓰기 방지의 적용 여부를 나타낸다. 쓰기 가능(writable)은 True 또는 False로 설정될 수 있다. 쓰기 가능이 True로 설정되어 있으면 해당 영역에 쓸 수 있다. 즉, 쓰기 방지가 적용되지 않는다. False로 설정되어 있으면, 해당 영역에 쓸 수 있다. 즉 해당 영역에 쓰기 방지가 적용된다.
계속해서 표 1을 참조하면, 쓰기 방지는 3가지 타입으로 구분될 수 있다. P 타입은 파워 오프(power off) 또는 하드웨어 리셋(HW reset) 전까지만 쓰기 방지가 유지된다. 파워 온(power on) 후에는, 쓰기 가능이 항상 True로 변경된다. 쓰기 가능이 False로 설정되면, 파워 오프 또는 하드웨어 리셋 전까지 변경할 수 없다. NV 타입은 호스트(3100)의 요청에 의해서만 쓰기 가능이 변경될 수 있다. NV-P 타입은 호스트(3100)의 요청에 의해 쓰기 가능이 변경될 수 있다. 그러나 WP Descripotr가 NV-P 타입으로 설정된 경우에는, 파워 오프 또는 하드웨어 리셋 이후에 쓰기 가능은 항상 False로 변경된다.
도 12는 WP Descriptor가 NV-P 타입으로 설정된 예를 보여주는 개념도이다. 도 12를 참조하면, WP Descriptor의 파티션 ID는 1이고, 시작 LBA는 100이고, 크기(length)는 900이고, 쓰기 가능은 True이고, 타입은 NV-P로 설정되어 있다. UFS 시스템(3000)이 파워 오프되거나 하드웨어 리셋이 되면, WP Descriptor가 NV-P 타입으로 설정되어 있기 때문에, 쓰기 가능은 False로 변경된다. 즉, 쓰기 방지가 적용되기 때문에, 해당 영역(LBA 100~LBA 1000)에 쓸 수 없게 된다.
표 2는 도 9에 도시된 WP Descriptor의 초기값을 예시적으로 보여준다. WP Descriptor에는 표 2와 같은 값이 디폴트(default)로 설정될 수 있다.
PID(Partition ID) Start LBA Length Writable Type
1 0 0 True P
2 0 0 True P
3 0 0 True P
... ... ... ... ...
n 0 0 True P
표 2를 참조하면, 저장 장치(3200)의 저장 영역은 n개의 파티션(partition)으로 구분될 수 있다. 제 1 내지 제 n 파티션(PID1~PIDn)의 시작 LBA와 크기는 0으로 설정되어 있다. 쓰기 방지의 크기(length)가 0으로 설정되어 있기 때문에, 전체 파티션에 대해 쓰기 방지가 적용될 수 있다. 쓰기 가능은 모두 True로 설정되어 있고, 쓰기 방지 타입은 모두 P로 설정되어 있다.
표 3은 도 9에 도시된 스토리지 시스템(3000)이 동작하고 있는 어느 시점의 WP Descriptor의 구성을 예시적으로 보여준다.
PID(Partition ID) Start LBA Length Writable Type
1 0 5000 False P
2 0 4000 True NV-P
3 9000 10000 True P
... ... ... ... ...
n 0 2000 False NV
표 3을 참조하면, 제 1 파티션(PID1)의 시작 LBA는 0이고 크기는 5000이다. 쓰기 가능은 False로 설정되어 있고, 쓰기 방지 타입은 P이다. 제 2 파티션(PID2)의 시작 LBA는 0이고 크기는 4000이다. 쓰기 가능은 True로 설정되어 있고, 쓰기 방지 타입은 NV-P이다. 즉, 제 2 파티션(PID2)의 쓰기 방지 영역(LBA0~LBA4000)은 호스트(3100)의 요청에 의해 쓰기 가능이 변경될 수 있고, 파워 오프 또는 하드웨어 리셋 이후에는 쓰기 가능은 항상 False로 변경된다.
제 3 파티션(PID3)의 시작 LBA는 9000이고 크기는 10000이다. 쓰기 가능은 True로 설정되어 있고, 쓰기 방지 타입은 P이다. 제 n 파티션(PIDn)의 시작 LBA는 0이고 크기는 2000이다. 쓰기 가능은 False로 설정되어 있고, 쓰기 방지 타입은 NV이다. 제 n 파티션(PIDn)의 쓰기 가능(writable)은 호스트(3100)의 요청에 의해서만 변경할 수 있다.
표 4는 파워 오프(power off) 또는 하드웨어 리셋(HW reset) 이후에 표 3의 WP Descriptor가 변경된 예를 보여준다.
PID(Partition ID) Start LBA Length Writable Type
1 0 5000 True P
2 0 4000 False NV-P
3 9000 10000 True P
... ... ... ... ...
n 0 2000 False NV
표 4를 참조하면, 제 1 파티션(PID1)의 쓰기 가능은 False에서 True로 변경된다. 표 3에서, 제 2 파티션(PID2)은 쓰기 가능이 True로 설정되어 있다. 쓰기 방지 타입이 NV-P이기 때문에, 파워 오프 또는 하드웨어 리셋이 발생하면, WP Descriptor의 쓰기 가능(writable)은 True에서 False로 변경된다. 제 3 파티션(PID3)의 쓰기 가능은 True를 유지한다. 제 n 파티션(PIDn)의 쓰기 방지 타입은 NV이므로, 쓰기 가능(writable)은 호스트(3100)의 요청에 의해서 변경할 수 있다.
본 발명에서 호스트(3100)와 저장 장치(3200)는 비밀 키(private key)를 안전한 방법으로 서로 공유하고 있다고 가정한다.
도 13은 본 발명의 실시 예에 따른 스토리지 시스템의 쓰기 방지를 설정하거나 해제하기 위한 요청(request)과 응답(response)을 보여주는 타이밍도이다. 도 13을 참조하면, 호스트(3100)는 저장 장치(3200)로 쓰기 방지 설정과 해제를 위한 요청(request)을 제공한다. 저장 장치(3200)는 호스트(3100)의 요청(request)을 받고, 요청(request)에 따른 응답(response)을 제공한다.
도 13을 참조하면, 호스트(3100)는 쓰기 방지(write protect)의 설정과 해제를 위해, 4가지 타입의 요청(request)을 저장 장치(3200)로 제공할 수 있다. 즉, 호스트(3100)는 저장 장치(3200)로 WP Descriptor Update Counter Read Request, WP Descriptor Read Request, WP Descriptor Update Request, 그리고 Result Read Request를 제공할 수 있다.
저장 장치(3200)는 호스트(3100)의 요청에 응답하여, 3가지 타입의 응답(response)을 호스트(3100)로 제공할 수 있다. 즉, 저장 장치(3200)는 WP Descriptor Update Counter Read Response, WP Descriptor Read Response, 그리고 Result Read Response를 호스트(3100)로 제공할 수 있다. 호스트(3100)는 WP Descriptor Update Request 제외한 모든 요청에 대해 저장 장치(3200)로부터 응답(response)을 받을 수 있다.
표 5는 각각의 Request 및 Response 처리를 위한 Data Frame 구조를 보여준다.
Name Description
Request/Response Type 쓰기 방지 설정, 해제 그리고 구성 변경을 위한 4가지 Request Type
(0x1) WP Descriptor Update Counter Read Request
(0x2) WP Descriptor Read Request
(0x3) WP Descriptor Update Request
(0x4) Result Read Request
쓰기 방지 설정, 해제 그리고 구성변경을 위한 3가지 Response Type
(0x5) WP Descriptor Update Counter Read Response
(0x6) WP Descriptor Read Response
(0x7) Result Read Response
WP Descriptor Update Counter 현재까지 Request된 WP Descriptor Update Counter
Nonce Replay Attack을 막기 위한 난수
WP Descriptor 적용하고자 하는 WP Descriptor (Request Type=0x3)
적용되어 있는 WP Descriptor (Response Type=0x6)
Result Request에 대한 Result
성공 또는 실패 시 원인
HMAC 인증된 Request인지 확인을 위한 HMAC
호스트(3100)는 표 5와 같은 데이터 프레임(data frame)을 저장 장치(3200)로 제공함으로, 각각의 요청(request)에 따른 동작을 수행할 수 있다. 여기에서, WP Descriptor Update Counter Read Request와 WP Descriptor Read Request는 각각 해당 응답(response)을 통해서 결과를 확인할 수 있다. 반면에, WP Descriptor Update Request는 Result Read Request를 통해서 결과를 확인할 수 있다.
표 5를 참조하면, WP Descriptor Update Counter는 현재까지 요청된 카운터 값을 의미한다. Nonce는 리플레이 공격(replay attack)을 막기 위한 난수이다. WP Descriptor는 적용하고자하는 또는 적용되어 있는 WP Descriptor를 의미한다. Result는 요청에 대한 결과로서, 요청의 성공 또는 실패 여부와 실패의 원인을 제공한다. 해시 기반 메시지 인증 코드(HMAC: Hash-based Message Authentication Code)는 요청(request)을 인증하기 위한 것이다. 호스트(3100)는 WP Descriptor Update Request를 위한 HMAC을 키(key)와 메시지(message)를 이용하여 계산할 수 있다.
도 14는 HMAC를 계산하는 방법을 설명하기 위한 개념도이다. HMAC은 도 9에 도시된 보안 관리자(3234)에 의해 계산될 수 있다. 도 14를 참조하면, 보안 관리자(3234)는 비밀 키(private key)와 메시지(message)를 이용하여 HMAC를 계산한다. 메시지(message)에는 Request Type, WP Descriptor Update Counter, Nonce, WP Descriptor, Result를 포함한다. 보안 관리자(3234)는 MD5, SHA1, SHA256 등을 이용하여 HMAC를 계산할 수 있다.
이하에서는 도 13에 도시된 각각의 요청(request)와 응답(response)이 상세하게 설명될 것이다.
1. WP Descriptor Update Counter Read Request / Response
호스트(3100)는 쓰기 방지를 설정하기 위해서, 현재까지 요청된 WP Descriptor Update Counter를 요청할 수 있다. 호스트(3100)는 WP Descriptor의 업데이트 횟수를 요청하기 위해서, WP Descriptor Update Counter Read Request를 저장 장치(3200)로 제공한다.
표 6은 WP Descriptor Update Counter Read Request의 데이터 프레임(data frame)을 예시적으로 보여준다.
Name Description
Request Type 0x1
WP Descriptor Update Counter 0x0
Nonce 호스트가 생성한 난수
WP Descriptor 0x0
Result 0x0
HMAC 0x0
표 6을 참조하면, 요청 타입(request type)은 0x1이고, WP Descriptor Update Counter는 0x0이고, Nonce는 호스트가 생성한 난수이고, WP Descriptor는 0x0이고, Result는 0x0이며, HMAC은 0x0이다.
표 6의 요청에 응답하여, 저장 장치(3200)는 표 7의 응답(response)을 호스트(3100)로 제공할 수 있다. 즉, 호스트(3100)는 표 7에 도시된 데이터 프레임을 읽고, 현재의 WP Descriptor Update Counter를 확인할 수 있다.
Name Description
Response Type 0x5
WP Descriptor Update Counter 현재 모바일 스토리지의 값
Nonce 호스트가 생성한 난수
WP Descriptor 0x0
Result Request 수행 결과
HMAC 모바일 스토리지가 계산한 HMAC
표 7을 참조하면, 응답 타입(response type)은 0x5이고, WP Descriptor Update Counter는 저장 장치(3200)가 WP Descriptor를 현재까지 업데이트한 횟수이고, Nonce는 호스트가 생성한 난수이고, WP Descriptor는 0x0이고, Result는 요청을 수행한 결과이며, HMAC은 보안 관리자(3234)에 의해 계산된 값이다.
저장 장치(3200)는 표 7에 도시된 데이터 프레임(date frame)을 생성할 때, HMAC 계산을 위해 표 8의 값을 사용할 수 있다.
Name Description
Private Key 공유된 Private Key
Response Type 0x5
WP Descriptor Update Counter 현재 모바일 스토리지의 값
Nonce 호스트가 생성한 난수
WP Descriptor 0x0
Result Request 수행 결과
표 8을 참조하면, 비밀 키(private key)는 호스트(3100)와 저장 장치(3200)가 공유한 키이고, 응답 타입은 0x5이고, WP Descriptor Update Counter는 저장 장치(3200)가 WP Descriptor를 현재까지 업데이트한 횟수이고, Nonce는 호스트가 생성한 난수이고, WP Descriptor는 0x0이고, Result는 요청을 수행한 결과이다. 호스트(3100)는 데이터 프레임(data frame)을 읽은 후 HMAC을 계산한다. 호스트(3100)는 HMAC을 이용하여 응답(response)을 인증하고 리플레이 공격(replay attack)을 방지하기 위해서 Nonce 값을 확인한다.
2. WP Descriptor Read Request
호스트(3100)는 쓰기 방지를 설정하기 위해서, 현재 적용되어 있는 WP Descriptor를 읽고 현재의 설정과 구성을 확인할 수 있다. 호스트(3100)는 WP Descriptor Read Request를 저장 장치(3200)로 제공할 수 있다. 표 9는 WP Descriptor Read Request의 데이터 프레임을 보여준다.
Name Description
Request Type 0x2
WP Descriptor Update Counter 0x0
Nonce 호스트가 생성한 난수
WP Descriptor 0x0
Result 0x0
HMAC 0x0
표 9를 참조하면, 요청 타입은 0x2이고, WP Descriptor Update Counter는 0x0이고, Nonce는 호스트가 생성한 난수이고, WP Descriptor는 0x0이고, Result는 0x0이며, HMAC은 0x0이다.
표 9에 도시된 요청에 응답하여, 저장 장치(3200)는 표 10에 도시된 응답(response)을 호스트(3100)로 제공할 수 있다. 호스트(3100)는 표 10에 도시된 데이터 프레임을 읽고, WP Descriptor를 확인할 수 있다.
Name Description
Response Type 0x6
WP Descriptor Update Counter 0x0
Nonce 호스트가 생성한 난수
WP Descriptor 현재 모바일 스토리지의 값
Result Request 수행 결과
HMAC [표11]에서 모바일 스토리지가 계산한 HMAC
표 10을 참조하면, 응답 타입은 0x6이고, WP Descriptor Update Counter는 0x0이고, Nonce는 호스트가 생성한 난수이고, WP Descriptor는 저장 장치(3200)의 현재 WP Descriptor 값이고, Result는 요청을 수행한 결과이며, HMAC은 보안 관리자(3234)가 계산한 값이다.
저장 장치(3200)는 표 10에 도시된 데이터 프레임(date frame)을 생성할 때, HMAC 계산을 위해 표 11의 값을 사용할 수 있다.
Name Description
Private Key 공유된 Private Key
Request Type 0x6
WP Descriptor Update Counter 0x0
Nonce 호스트가 생성한 난수
WP Descriptor 현재 모바일 스토리지의 값
Result Request 수행 결과
표 11을 참조하면, 비밀 키(private key)는 호스트(3100)와 저장 장치(3200)가 공유한 키이고, 응답 타입은 0x6이고, WP Descriptor Update Counter는 0x0이고, Nonce는 호스트가 생성한 난수이고, WP Descriptor는 저장 장치(3200)의 현재 WP Descriptor 값이고, Result는 요청을 수행한 결과이다. 보안 관리자(3234)는 표 11의 데이터 프레임(data frame)을 읽고, HMAC을 계산할 수 있다.
3. WP Descriptor Update Request
호스트(3100)는 새로운 쓰기 방지 설정을 하기 위해서, 적용하고자 하는 WP Descriptor를 새롭게 구성하고, 이것을 이용하여 저장 장치(3200)에 업데이트를 요청할 수 있다. 호스트(3100)는 WP Descriptor의 업데이트를 요청하기 위해, 표 12와 같은 입력 값(input value)을 사용하여 HMAC을 생성할 수 있다.
Name Description
Private Key 공유된 Private Key
Request Type 0x3
WP Descriptor Update Counter 현재 모바일 스토리지의 값
Nonce 0x0
WP Descriptor 변경하고자 하는 Descriptor
Result 0x0
표 12를 참조하면, 비밀 키(private key)는 호스트(3100)와 저장 장치(3200)가 공유한 키이고, 요청 타입은 0x3이고, WP Descriptor Update Counter는 저장 장치(3200)가 WP Descriptor를 현재까지 업데이트한 횟수이고, Nonce는 0x0이고, WP Descriptor는 변경하고자 하는 WP Descriptor 값이고, Result는 0x0이다.
표 13은 WP Descriptor Update Request의 데이터 프레임을 보여준다. 호스트(3100)는 표 13과 같은 데이터 프레임을 저장 장치(3200)로 제공할 수 있다.
Name Description
Request Type 0x3
WP Descriptor Update Counter 현재 모바일 스토리지의 값
Nonce 0x0
WP Descriptor 변경하고자 하는 Descriptor
Result 0x0
HMAC [표12]에서 호스트가 계산한 HMAC
표 13을 참조하면, 요청 타입은 0x3이고, WP Descriptor Update Counter는 저장 장치(3200)가 WP Descriptor를 현재까지 업데이트한 횟수이고, Nonce는 0x0이고, WP Descriptor는 변경하고자 하는 WP Descriptor 값이고, Result는 0x0이며, HMAC은 표 12의 데이터 프레임을 이용하여, 호스트(3100)가 계산한 값이다.
호스트(3100)는 표 13의 데이터 프레임(data frame)을 저장 장치(3200)로 제공함으로, WP Descriptor를 업데이트할 수 있다. 저장 장치(3200)는 WP Descriptor Update Request을 받고, 정상적으로 Request를 완료한 다음에, WP Descriptor Update Counter를 증가한다.
4. Result Read Request / Response
호스트(3100)는 WP Descriptor 업데이트를 요청한 다음에, 그 결과를 확인을 위해, Result Read Request를 사용한다. 호스트(3100)는 Result Read Request를 위해, 표 14와 같은 데이터 프레임을 구성하고, 저장 장치(3200)로 제공한다.
Name Description
Request Type 0x4
WP Descriptor Update Counter 0x0
Nonce 0x0
WP Descriptor 0x0
Result 0x0
HMAC 0x0
표 14를 참조하면, 요청 타입은 0x4이고, WP Descriptor Update Counter는 0x0이고, Nonce는 0x0이고, WP Descriptor는 0x0이고, Result는 0x0이며, HMAC은 0x0이다. 표 14에 도시된 요청에 응답하여, 저장 장치(3200)는 표 15에 도시된 응답(response)을 호스트(3210)로 제공할 수 있다. 호스트(3100)는 표 15에 도시된 데이터 프레임을 읽고, WP Descriptor 업데이트를 수행한 결과를 확인할 수 있다.
Name Description
Response Type 0x7
WP Descriptor Update Counter 현재 모바일 스토리지의 값
Nonce 0x0
WP Descriptor 0x0
Result Request 수행 결과
HMAC 모바일 스토리지가 계산한 HMAC
표 15를 참조하면, 응답 타입은 0x7이고, WP Descriptor Update Counter는 저장 장치(3200)가 WP Descriptor를 현재까지 업데이트한 횟수이고, Nonce는 0x0이고, WP Descriptor는 0x0이고, Result는 요청을 수행한 결과이며, HMAC은 보안 관리자(3234)가 계산한 값이다. 보안 관리자(3234)는 표 15에 도시된 데이터 프레임(date frame)을 생성할 때, HMAC 계산을 위해 표 16의 값을 사용할 수 있다.
Name Description
Private Key 공유된 Private Key
Response Type 0x7
WP Descriptor Update Counter 현재 모바일 스토리지의 값
Nonce 0x0
WP Descriptor 0x0
Result Request 수행 결과
표 16을 참조하면, 비밀 키(private key)는 호스트(3100)와 저장 장치(3200)가 공유한 키이고, 응답 타입은 0x7이고, WP Descriptor Update Counter는 저장 장치(3200)가 WP Descriptor를 현재까지 업데이트한 횟수이고, Nonce는 0x0이고, WP Descriptor는 0x0이고, Result는 요청을 수행한 결과이다. 호스트(3100)는 표 16의 데이터 프레임(data frame)을 읽고, HMAC을 계산할 수 있다.
도 15는 플래시 메모리를 기반으로 하는 UFS 장치의 하드웨어 구조를 보여주는 블록도이고, 도 16은 소프트웨어 계층 구조를 보여주는 블록도이다.
도 15를 참조하면, UFS 장치(3200)는 플래시 메모리(3200a)와 메모리 컨트롤러(3200b)를 포함한다. 메모리 컨트롤러(3200b)는 호스트 인터페이스 컨트롤러(3201)를 통해 호스트와 연결되고, 플래시 인터페이스 컨트롤러(3202)를 통해 플래시 메모리(3200a)와 연결된다. 메모리 컨트롤러(3200b)는 중앙처리장치(CPU, 3210), 코드 램(3221), 데이터 램(3222), 버퍼 램(3223), 롬(3230), DMA(3241), HMAC(3250), AES(3260), 그리고 ECC(3270)를 포함할 수 있다.
중앙처리장치(3210)는 메모리 컨트롤러(3200b)의 제반 동작을 제어할 수 있다. 예를 들면, 중앙처리장치(3210)는 부팅 동작 시에 플래시 메모리(3200a) 또는 롬(3230) 또는 부트 메모리(도 2 참조, 1240)에 저장된 부트 코드를 코드 램(3221)에 로딩함으로, UFS 카드(3200)의 부팅 동작을 제어할 수 있다.
계속해서 도 15를 참조하면, 메모리 컨트롤러(3200b)는 메모리를 직접 액세스하기 위한 DMA(Direct Memory Access, 3241), 데이터 보안을 위한 HMAC(3250)과 AES(Advanced Encryption Standard, 3260), 그리고 데이터 에러 정정을 위한 ECC(3270)를 포함할 수 있다.
도 16을 참조하면, UFS 장치(3200)의 소프트웨어 계층 구조는 호스트 인터페이스 레이어(HIL; host interface layer, 210), 보안 레이어(SEL; security layer, 215), 플래시 변환 레이어(FTL; flash translation layer, 220), 플래시 인터페이스 레이어(FIL; flash interface layer, 230), 그리고 플래시 리커버리 레이어(FRL; flash recovery layer, 240)를 갖는다.
중앙처리장치(3210)는 호스트 인터페이스 레이어(HIL, 210)를 이용하여, 호스트 인터페이스 컨트롤러(3201)를 호스트로부터 데이터를 입력받고 데이터 램(3221)에 저장하는 동작을 제어할 수 있다. 중앙처리장치(3210)는 호스트와 데이터를 주고 받을 때 보안 레이어(SEL, 215)를 이용하여, 호스트의 커맨드를 인증하고, 인증 동작을 수행할 수 있다. 도 6에 도시된 보안 관리자(3234)는 보안 레이어(SEL, 215)에서 구동하는 소프트웨어일 수 있다.
한편, 중앙처리장치(3210)는 플래시 인터페이스 레이어(FIL, 230)를 이용하여 데이터 램(3222) 또는 버퍼 램(3223)에 저장된 데이터를 플래시 인터페이스 컨트롤러(3202)를 통해 플래시 메모리(3200a)로 제공할 수 있다. 또한, 중앙처리장치(3210)는 플래시 변환 레이어(FTL, 220)를 이용하여, 어드레스 맵핑 동작 등 플래시 메모리(3200a)의 주요 동작을 관리할 수 있다. 그리고 중앙처리장치(3210)는 플래시 리커버리 레이어(FRL, 240)를 이용하여, 플래시 메모리(3200a)의 리커버리 동작을 관리할 수 있다.
한편, 본 발명의 실시 예에 따른 스트로지 시스템은 여러 가지 제품에 적용 또는 응용될 수 있다. 본 발명의 실시 예에 따른 스토리지 시스템은 퍼스널 컴퓨터, 디지털 카메라, 캠코더, 휴대 전화, MP3, PMP, PSP, PDA 등과 같은 전자 장치에 구현될 수 있다. 그리고 스트로지 시스템의 저장 매체는 메모리 카드, USB 메모리, 솔리드 스테이트 드라이브(Solid State Drive, 이하 SSD라 함) 등과 같은 저장 장치로 구현될 수 있다.
도 17은 본 발명의 실시 예에 따른 저장 장치를 솔리드 스테이트 드라이브(SSD)에 적용한 예를 보여주는 블록도이다. 도 17을 참조하면, SSD 시스템(4000)은 호스트(4100)와 SSD(4200)를 포함한다.
SSD(4200)는 신호 커넥터(signal connector, 4211)를 통해 호스트(4100)와 신호를 주고 받으며, 전원 커넥터(power connector, 4221)를 통해 전원을 입력받는다. SSD(4200)는 복수의 플래시 메모리(4201~420n), SSD 컨트롤러(4210), 그리고 보조 전원 장치(4220)를 포함할 수 있다.
복수의 플래시 메모리(4201~420n)는 SSD(4200)의 저장 매체로서 사용된다. SSD(4200)는 플래시 메모리 이외에도 PRAM, MRAM, ReRAM, FRAM 등의 불휘발성 메모리 장치가 사용될 수도 있다. 복수의 플래시 메모리(4201~420n)는 복수의 채널(CH1~CHn)을 통해 SSD 컨트롤러(4210)와 연결될 수 있다. 하나의 채널에는 하나 또는 그 이상의 플래시 메모리가 연결될 수 있다. 하나의 채널에 연결되는 플래시 메모리는 동일한 데이터 버스에 연결될 수 있다.
SSD 컨트롤러(4210)는 신호 커넥터(4211)를 통해 호스트(4100)와 신호(SGL)를 주고 받는다. 여기에서, 신호(SGL)에는 커맨드, 어드레스, 데이터 등이 포함될 수 있다. SSD 컨트롤러(4210)는 호스트(4100)의 커맨드에 따라 해당 플래시 메모리에 데이터를 쓰거나 해당 플래시 메모리로부터 데이터를 읽어낸다. SSD 컨트롤러(4210)의 내부 구성은 도 18을 참조하여 상세하게 설명된다.
보조 전원 장치(4220)는 전원 커넥터(4221)를 통해 호스트(4100)와 연결된다. 보조 전원 장치(4220)는 호스트(4100)로부터 전원(PWR)을 입력받고, 충전할 수 있다. 한편, 보조 전원 장치(4220)는 SSD(4200) 내에 위치할 수도 있고, SSD(4200) 밖에 위치할 수도 있다. 예를 들면, 보조 전원 장치(4220)는 메인 보드에 위치하며, SSD(4200)에 보조 전원을 제공할 수도 있다.
도 18은 도 17에 도시된 SSD 컨트롤러(4210)의 구성을 예시적으로 보여주는 블록도이다. 도 18을 참조하면, SSD 컨트롤러(4210)는 NVM 인터페이스(4211), 호스트 인터페이스(4212), ECC 회로(4213), 중앙 처리 장치(CPU, 4214), 그리고 버퍼 메모리(4215)를 포함한다.
NVM 인터페이스(4211)는 버퍼 메모리(4215)로부터 전달된 데이터를 각각의 채널들(CH1~CHn)로 스캐터링(Scattering)한다. 그리고 NVM 인터페이스(4211)는 플래시 메모리(4201~420n)로부터 읽은 데이터를 버퍼 메모리(4215)로 전달한다. 여기에서, NVM 인터페이스(4211)는 플래시 메모리의 인터페이스 방식을 사용할 수 있다. 즉, SSD 컨트롤러(4210)는 플래시 메모리 인터페이스 방식에 따라 프로그램, 읽기, 또는 소거 동작 등을 수행할 수 있다.
호스트 인터페이스(4212)는 호스트(4100)의 프로토콜에 대응하여 SSD(4200)와의 인터페이싱을 제공한다. 호스트 인터페이스(4212)는 USB(Universal Serial Bus), SCSI(Small Computer System Interface), PCI express, ATA, PATA(Parallel ATA), SATA(Serial ATA), SAS(Serial Attached SCSI) 등을 이용하여 호스트(4100)와 통신할 수 있다. 또한, 호스트 인터페이스(4212)는 호스트(4100)가 SSD(4200)를 하드 디스크 드라이브(HDD)로 인식하도록 지원하는 디스크 에뮬레이션(Disk Emulation) 기능을 수행할 수 있다.
ECC 회로(4213)는 플래시 메모리(4201~420n)로 전송되는 데이터를 이용하여, 에러 정정 코드(ECC)를 생성한다. 그렇게 생성된 에러 정정 코드(ECC)는 플래시 메모리(4201~420n)의 스페어 영역(spare area)에 저장된다. ECC 회로(4213)는 플래시 메모리(4201~420n)로부터 읽은 데이터의 에러를 검출한다. 만약 검출된 에러가 정정 용량 내이면, ECC 회로(4213)는 검출된 에러를 정정한다.
중앙 처리 장치(4214)는 호스트(4100, 도 17 참조)로부터 입력된 신호(SGL)를 분석하고 처리한다. 중앙 처리 장치(4214)는 호스트 인터페이스(4212)나 NVM 인터페이스(4211)를 통해 호스트(4100)나 플래시 메모리(4201~420n)를 제어한다. 중앙 처리 장치(4214)는 SSD(4200)을 구동하기 위한 펌웨어에 따라서 플래시 메모리(4201~420n)의 동작을 제어한다.
버퍼 메모리(4215)는 호스트(4100)로부터 제공되는 쓰기 데이터 또는 플래시 메모리로부터 읽은 데이터를 임시로 저장한다. 또한, 버퍼 메모리(4215)는 플래시 메모리(4201~420n)에 저장될 메타 데이터나 캐시 데이터를 저장할 수 있다. 서든 파워 오프 동작 시에, 버퍼 메모리(4215)에 저장된 메타 데이터나 캐시 데이터는 플래시 메모리(4201~420n)에 저장된다. 버퍼 메모리(4215)에는 DRAM, SRAM 등이 포함될 수 있다.
도 19는 본 발명의 실시 예에 따른 저장 장치를 전자 장치로 구현한 예를 보여주는 블록도이다. 여기에서, 전자 장치(5000)는 퍼스널 컴퓨터(PC)로 구현되거나, 노트북 컴퓨터, 휴대폰, PDA(Personal Digital Assistant), 그리고 카메라 등과 같은 휴대용 전자 장치로 구현될 수 있다.
도 19를 참조하면, 전자 장치(5000)는 메모리 시스템(5100), 전원 장치(5200), 보조 전원 장치(5250), 중앙처리장치(5300), 램(5400), 그리고 사용자 인터페이스(5500)를 포함한다. 메모리 시스템(5100)은 플래시 메모리(5110) 및 메모리 컨트롤러(5120)를 포함한다.
도 20은 도 6에 도시된 스토리지 시스템의 다른 예를 보여주는 블록도이다. 도 20을 참조하면, 스토리지 시스템(6000)은 호스트(6100)와 UFS 카드(6200)를 포함한다. 카드 리더(6150)는 호스트(6100)에 내장되어 있다. 호스트(6100)와 카드 리더(6150)는 내부적으로 USB 등과 같은 인터페이스를 통해 연결된다. 카드 리더(6150)와 UFS 카드(6200)는 도 6에서 설명한 바와 같이 UFS 인터페이스를 통해 연결될 수 있다.
UFS 카드(6200)는 장치 관리자(6232), 보안 관리자(6234), 그리고 논리적 유닛들(6240)을 포함할 수 있다. 제 1 및 제 2 논리적 유닛(LU1, LU2)은 부트 코드(Boot_A, Boot_B)를 저장하기 위한 부트 파티션이고, 나머지 논리적 유닛(LUn)은 사용자 데이터를 저장하기 위한 사용자 파티션일 수 있다. 보안 관리자(6234)는 인증 여부를 나타내는 인증 존재 필드(bDeviceLocked)와 인증 프로그램이 저장된 부트 파티션을 표기하는 인증 위치 필드(bAuthPartition)를 장치 디스크립터(device descriptor)에 저장할 수 있다.
호스트(6100)는 인증 존재 필드(bDeviceLocked)를 통해, 보안 기능을 지원하는 착탈식 UFS 카드(6200)가 연결되었는지를 판단할 수 있다. 또한, 호스트(6100)는 인증 위치 필드(bAuthPartition)을 확인해서, 부트 파티션 A 또는 부트 파티션 B 중에 어떤 파티션을 마운팅 해야 할지 판단할 수 있다.
본 발명에 의하면, 호스트에서 자동으로 착탈식 UFS 카드를 인식하고 인증할 수 있도록 함으로, 보안 기능이 적용된 UFS 카드를 좀 더 쉽고 편하게 사용할 수 있다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 예를 들어, 본 발명의 범위는 플래시 메모리 장치에 한정되지 않는다. 본 발명은 변환 계층에 의한 어드레스 변환이 사용되는 모든 저장 장치에 적용될 수 있다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.
1000, 2000a, 2000b, 3000: 스토리지 시스템
1100, 2100, 3100: 호스트
1200, 2200, 3200: 저장 장치

Claims (20)

  1. 데이터를 저장하기 위한 비휘발성 메모리; 및
    상기 비휘발성 메모리를 복수의 논리적 유닛으로 구분하고 일부 영역에 인증 프로그램을 저장하도록 관리하는 장치 컨트롤러를 포함하되,
    상기 장치 컨트롤러는 호스트와 연결될 때, 상기 인증 프로그램이 상기 호스트에서 실행되도록 하는 메모리 카드.
  2. 제 1 항에 있어서,
    상기 복수의 논리적 유닛은 하나 또는 그 이상의 부트 파티션을 갖고, 상기 일부 영역은 상기 하나 또는 그 이상의 부트 파티션 중에 어느 하나의 부트 파티션에 해당하며, 상기 일부 영역에는 상기 인증 프로그램이 저장되는 메모리 카드.
  3. 제 2 항에 있어서,
    상기 장치 컨트롤러는 상기 인증 프로그램을 관리하기 위해 장치 디스크립터에 포함된 상기 인증 프로그램에 대한 인증정보를 이용하여 상기 호스트로 상기 인증 프로그램을 전송하는 보안 관리자 역할을 하고, 상기 보안 관리자는 상기 장치 디스크립터에 상기 인증 프로그램에 대한 인증 정보를 저장하는 메모리 카드.
  4. 제 3 항에 있어서,
    상기 비휘발성 메모리 및 상기 장치 컨트롤러는 UFS 카드로 구현되는 메모리 카드.
  5. 제 3 항에 있어서,
    상기 장치 디스크립터는 상기 인증 프로그램의 존재 여부를 확인하기 위한 인증 존재 필드(bDeviceLocked)를 포함하는 메모리 카드.
  6. 제 3 항에 있어서,
    상기 장치 디스크립터는 상기 인증 프로그램이 어느 부트 파티션에 위치하는지를 확인하기 위한 인증 위치 필드(bAuthPartition)를 포함하는 메모리 카드.
  7. 호스트;
    상기 호스트와 연결되는 카드 리더; 및
    상기 카드 리더에 삽입되어 상기 호스트와 연결되는 메모리 카드를 포함하되,
    상기 메모리 카드는 복수의 논리적 유닛 중 일부 영역에 인증 프로그램을 저장하고, 상기 호스트와 연결될 때 상기 인증 프로그램이 상기 호스트에서 실행되도록 하는 스토리지 시스템.
  8. 제 7 항에 있어서,
    상기 메모리 카드는
    데이터를 저장하기 위한 플래시 메모리; 및
    복수의 논리적 유닛 중 적어도 하나의 부트 파티션에 상기 인증 프로그램을 저장하도록 관리하는 장치 컨트롤러를 포함하는 스토리지 시스템.
  9. 제 8 항에 있어서,
    상기 장치 컨트롤러는 장치 디스크립터에 상기 인증 프로그램에 대한 인증 정보를 저장하는 스토리지 시스템.
  10. 제 9 항에 있어서,
    상기 장치 디스크립터는 상기 인증 프로그램의 존재 여부를 확인하기 위한 인증 존재 필드(bDeviceLocked)를 포함하는 스토리지 시스템.
  11. 제 9 항에 있어서,
    상기 장치 디스크립터는 상기 인증 프로그램이 어느 부트 파티션에 위치하는지를 확인하기 위한 인증 위치 필드(bAuthPartition)를 포함하는 스토리지 시스템.
  12. 인증 프로그램을 갖는 메모리 카드의 동작 방법에 있어서:
    상기 메모리 카드가 삽입되어 있는지를 식별하는 단계;
    상기 메모리 카드의 장치 디스크립터를 읽고, 인증 프로그램이 존재하는 여부를 판단하는 단계; 및
    상기 인증 프로그램의 존재 여부에 따라 상기 메모리 카드에 대한 인증 절차 여부가 결정되는 단계를 포함하는 메모리 카드의 동작 방법.
  13. 제 12 항에 있어서,
    상기 인증 프로그램 존재하는 경우에 상기 인증 프로그램이 존재하는 위치를 판단하는 단계를 더 포함하는 메모리 카드의 동작 방법.
  14. 제 13 항에 있어서,
    상기 메모리 카드는 복수의 논리적 유닛을 갖고, 상기 복수의 논리적 유닛은 하나 또는 그 이상의 부트 파티션을 갖고, 상기 인증 프로그램은 상기 하나 또는 그 이상의 부트 파티션 중에 어느 하나에 저장되는 메모리 카드의 동작 방법.
  15. 제 14 항에 있어서,
    상기 장치 디스크립터는 상기 인증 프로그램의 존재 여부를 확인하기 위한 인증 존재 필드(bDeviceLocked)를 포함하는 메모리 카드의 동작 방법.
  16. 제 15 항에 있어서,
    상기 장치 디스크립터는 상기 인증 프로그램이 어느 부트 파티션에 위치하는지를 확인하기 위한 인증 위치 필드(bAuthPartition)를 포함하는 메모리 카드의 동작 방법.
  17. 제 16 항에 있어서,
    호스트에 상기 확인된 부트 파티션을 마운팅하는 단계를 더 포함하는 메모리 카드의 동작 방법.
  18. 제 17 항에 있어서,
    상기 확인된 부트 파티션에 저장된 인증 프로그램을 실행하는 단계를 더 포함하는 메모리 카드의 동작 방법.
  19. 제 18 항에 있어서,
    상기 인증 프로그램이 실행된 다음에, 사용자 파티션에 대한 인증 동작을 수행하는 단계를 더 포함하는 메모리 카드의 동작 방법.
  20. 제 19 항에 있어서,
    상기 사용자 파티션에 대한 인증이 성공한 경우에, 상기 호스트에 상기 사용자 파티션을 마운팅하는 단계를 더 포함하는 메모리 카드의 동작 방법.
KR1020140158821A 2014-08-01 2014-11-14 인증 프로그램을 갖는 메모리 카드, 그것을 포함하는 스토리지 시스템, 및 그것의 동작 방법 KR102213665B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US14/726,941 US9678760B2 (en) 2014-08-01 2015-06-01 Memory card and storage system having authentication program and method for operating thereof

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201462032085P 2014-08-01 2014-08-01
US62/032,085 2014-08-01

Publications (2)

Publication Number Publication Date
KR20160017583A true KR20160017583A (ko) 2016-02-16
KR102213665B1 KR102213665B1 (ko) 2021-02-09

Family

ID=55448042

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140158821A KR102213665B1 (ko) 2014-08-01 2014-11-14 인증 프로그램을 갖는 메모리 카드, 그것을 포함하는 스토리지 시스템, 및 그것의 동작 방법

Country Status (1)

Country Link
KR (1) KR102213665B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190069880A (ko) * 2017-12-12 2019-06-20 삼성전자주식회사 Usb 인터페이스를 이용하여 도킹 장치와 데이터 전송을 수행하기 위한 장치 및 방법
US11714561B2 (en) 2020-07-17 2023-08-01 Samsung Electronics Co., Ltd. System, device and method for writing data to protected region

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040067180A (ko) * 2003-01-22 2004-07-30 주식회사 플랜티넷 개인용 전화통화 녹취 및 음성 기록 녹취 서비스 시스템및 방법
US20090049242A1 (en) * 2002-08-26 2009-02-19 Kabushiki Kaisha Toshiba Memory card authentication system, capacity switching-type memory card host device, capacity switching-type memory card, storage capacity setting method, and storage capacity setting program
US20090319741A1 (en) * 2008-06-24 2009-12-24 Nagravision Sa Secure memory management system and method
US20110258425A1 (en) * 2010-04-16 2011-10-20 Micron Technology, Inc. Boot partitions in memory devices and systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090049242A1 (en) * 2002-08-26 2009-02-19 Kabushiki Kaisha Toshiba Memory card authentication system, capacity switching-type memory card host device, capacity switching-type memory card, storage capacity setting method, and storage capacity setting program
KR20040067180A (ko) * 2003-01-22 2004-07-30 주식회사 플랜티넷 개인용 전화통화 녹취 및 음성 기록 녹취 서비스 시스템및 방법
US20090319741A1 (en) * 2008-06-24 2009-12-24 Nagravision Sa Secure memory management system and method
US20110258425A1 (en) * 2010-04-16 2011-10-20 Micron Technology, Inc. Boot partitions in memory devices and systems

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190069880A (ko) * 2017-12-12 2019-06-20 삼성전자주식회사 Usb 인터페이스를 이용하여 도킹 장치와 데이터 전송을 수행하기 위한 장치 및 방법
US11714561B2 (en) 2020-07-17 2023-08-01 Samsung Electronics Co., Ltd. System, device and method for writing data to protected region

Also Published As

Publication number Publication date
KR102213665B1 (ko) 2021-02-09

Similar Documents

Publication Publication Date Title
US9678760B2 (en) Memory card and storage system having authentication program and method for operating thereof
US10324864B2 (en) Storage system and method for performing and authenticating write-protection thereof
US11880313B2 (en) Storage system and method for performing and authenticating write-protection thereof
CN110457236B (zh) 存储系统以及对存储系统执行和验证写保护的方法
US10257192B2 (en) Storage system and method for performing secure write protect thereof
US20200218466A1 (en) Method of operating data storage device
US20160232103A1 (en) Block storage apertures to persistent memory
US8589669B2 (en) Data protecting method, memory controller and memory storage device
TWI447580B (zh) 管理記憶體空間的方法、記憶體控制器與記憶體儲存裝置
TW201543265A (zh) 用以確保存取保護計畫之裝置及方法
KR102424293B1 (ko) 스토리지 시스템 및 그것의 보안 쓰기 방지 수행 방법
KR102213665B1 (ko) 인증 프로그램을 갖는 메모리 카드, 그것을 포함하는 스토리지 시스템, 및 그것의 동작 방법
US20230134534A1 (en) Memory controller and storage device
EP4258097A1 (en) Operation method of host device and operation method of storage device
KR20230064538A (ko) 메모리 컨트롤러 및 스토리지 장치
KR20230071695A (ko) 스토리지 장치 및 그것의 동작 방법
US20160283510A1 (en) Storage device management method and system, and memory storage device thereof

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant