TW201909018A - 資料儲存設備的安全快照管理 - Google Patents

Abstract

本發明揭示一種資料儲存設備。該資料儲存設備包含具有經組態以儲存使用者資料之一第一子集及經組態以儲存快照資料之一第二子集之一儲存媒體。該資料儲存設備進一步包含一控制器，其經組態以(i)自可操作地耦合至該資料儲存設備之一主機接收組態該第二子集之一命令，(ii)驗證該命令之一真實性，及(iii)回應於該命令之該真實性之該驗證而執行該命令。

Description

資料儲存設備的安全快照管理

本發明大體上係關於資料儲存設備，且更特定言之，本發明係關於資料儲存設備之安全快照管理。

資料儲存設備可實施於非揮發性記憶體(例如快閃碟、固態硬碟等等)、磁性儲存媒體(例如硬碟機、備份磁帶)或數個其他數位儲存媒體之任一者中。為確保儲存於可再寫資料儲存設備上之資料之完整性，若干各種備份技術可用於保持資料以防意外資料遺失(例如，經由意外覆寫或刪除)。資料備份之一方法利用「快照」，其為其中藉由將快照中之資料之任何更新或改變儲存至儲存設備中之一不同實體位置(例如，經由「寫入重定向」)來保持一資料狀態或快照以防進一步改變之一方法。

儘管快照方法有效地保護資料免於意外資料遺失，但惡意資料修改或破壞帶來額外挑戰。例如，越來越多數位犯罪涉及「勒索軟體」攻擊，其中未授權使用者或程序可依使得恢復在無解密金鑰的情況下無法實行或甚至不可行之一方式加密一資料儲存設備中之資料。接著，勒索軟體攻擊者可藉由要求支付解密金鑰來「勒索」經加密資料，若未依攻擊者選擇之一數量、格式及時間訊框支付，則攻擊者會頻繁地威脅經加密資料。

隨著勒索軟體攻擊複雜性不斷增大，習知快照管理方法所提供之保護降級。由於一習知資料儲存設備附接至其之主機設備能夠管理資料儲存設備上之快照(例如，藉由用於經更新資料覆寫快照或刪除快照)，所以針對用於加密之全部備份資料之複雜勒索軟體(包含附接至勒索軟體攻擊所針對之主機之資料儲存設備中之快照)可藉由利用主機修改快照之能力來突破習知快照管理所提供之保護。

除勒索軟體之越來越多的威脅之外，對習知快照管理技術無法應對之資料完整性之額外威脅包含否則可利用一主機設備覆寫或刪除所附接資料儲存設備中之快照之能力之各種其他惡意資料刪除威脅(例如，藉由病毒、蠕蟲或其類似者)及惡意資料修改威脅(例如，藉由未授權使用者破壞金融或法律紀錄)。因此，需要改良技術來保護所儲存資料之完整性。

在以下描述中，討論若干具體細節以提供本發明之實施例之一徹底且可行描述。然而，熟悉相關技術者將意識到可在無一或多個具體細節的情況下實踐本發明。在其他例項中，未詳細展示或描述通常與半導體設備相關聯之熟知結構或操作以避免混淆本發明之態樣。一般而言，應瞭解，除本文中所揭示之此等特定實施例之外之各種其他設備、系統及方法可在本發明之範疇內。

如上文所討論，資料儲存設備管理之一些方法涉及將資料狀態之快照保存於一資料儲存設備中以保持資料以防經由寫入重定向(ROW)之後續變化。若一習知資料儲存設備所附接(例如，通過一通信路徑直接或間接地)之主機被一勒索軟體攻擊或其他惡意活動損壞，則快照可經修改(例如加密)或刪除。因此，根據本發明之資料儲存設備及運算系統之若干實施例可提供安全快照管理以防止快照之未授權變化或刪除。

本發明之若干實施例係關於包括一儲存媒體之資料儲存設備，儲存媒體包含經組態以儲存使用者資料之一第一子集及經組態以儲存快照資料之一第二子集。設備可包含一控制器，其經組態以(i)自可操作地耦合至資料儲存設備之一主機接收組態第二子集之一命令，(ii)驗證命令之一真實性，及(iii)若命令被驗證為真實，則執行命令。

圖1示意性地繪示包含根據本發明之一實施例之一資料儲存設備100之一運算系統101。資料儲存設備100包含一資料儲存媒體110及一控制器120。控制器120可為一微控制器、專用邏輯電路系統(例如一場可程式化閘陣列(FPGA)、一專用積體電路(ASIC)等等)或其他適合處理器。控制器120可包含經組態以執行儲存於記憶體中之指令之一處理器122。在所繪示之實例中，控制器120之記憶體包含經組態以儲存快照資料儲存設備100之操作(包含管理資料儲存媒體110及處置經由系統匯流排130之資料儲存設備100與一主機設備140之間之通信)之各種程序、邏輯流及常式之一嵌入式記憶體124。在一些實施例中，嵌入式記憶體124可包含儲存(例如)記憶體指標、所找取資料等等之記憶體暫存器。嵌入式記憶體124亦可包含用於儲存微碼之唯讀記憶體(ROM)。

資料儲存設備通過一系統匯流排130與主機設備140通信。在一些實施例中，主機設備140與資料儲存設備100之控制器120之間可通過一串列介面(諸如一串列附接SCSI (SAS)、一串列AT附接(SATA)介面、一周邊組件互連快速(PCIe)或其他適合介面(例如一平行介面))通信。主機設備140可向控制器120發送各種請求(依(例如)一封包或封包串流之形式)。一請求可包含寫入、抹除、返回資訊及/或執行一特定操作之一命令。

資料儲存媒體110可利用適合於可再寫地儲存數位資料(包含固態格式(例如諸如SRAM、DRAM等等之揮發性記憶體、諸如「反及」快閃記憶體之非揮發性記憶體、「反或」快閃記憶體、相變記憶體、鐵阻記憶體、磁阻記憶體等等)及機械格式(例如磁性硬碟機、磁帶等等))之數個資料儲存媒體之任一者。資料儲存媒體110包含經組態以儲存使用者資料之一使用者資料子集112及經組態以儲存快照資料之一快照資料子集114。使用者資料子集112及快照資料子集114可為用於細分資料儲存媒體110之數個子集之任一者，包含分割區、子分割區、安裝點、LBA範圍、區段、單獨記憶體晶粒等等。

根據本發明之一實施例，控制器120經組態以實施一寫入重定向方案以將一快照116 (例如資料儲存設備100之一資料狀態)及更新118儲存至快照資料子集114內之快照116之資料。快照資料子集114可經過度佈建以提供足夠空間來追蹤對快照116之資料之更新118。過度佈建之位準可為自0% (例如，快照116之變化無法儲存於快照資料子集114中之位準)至100% (例如，提供足夠空間使得快照116之資料之每一位元可被改變之位準)或甚至更高(例如，提供足夠空間使得額外資料可附加至快照116同時追蹤對快照116之更新118之位準)之任何位置。

例如，在本發明之一實施例中，快照116會需要(例如) 500 MB儲存空間。資料儲存設備100可經組態以維持快照116之一不變複本，使得對快照116之資料之更新118 (例如新增、修改、刪除等等)係儲存於快照資料子集114內非用於儲存快照116之一位置處。控制器120可維持追蹤快照116及更新118之位置之一表，使得快照資料上之一主機讀取可返回經更新資料，同時若需要可保留「回捲(roll back)」至資料之早前版本之能力。

儘管過度佈建之較大位準可提供空間以追蹤對快照116之資料之更多更新118，但其等亦減少使用者資料子集112之相對大小。因此，快照資料子集114之一過度佈建因數可經選擇以實現資料追蹤及成本/容量之一平衡。當耗盡用於追蹤更新118之快照資料子集114之容量時，控制器120可用資料之一較新版本來覆寫快照116 (例如，將更新118及快照116合併至一新的快照中，釋放更新118所消耗之快照資料子集114之空間)。由於此功能係可被惡意碼或一惡意參與者利用以修改或覆寫(例如，使用一加密版本)快照116之資料之一功能，所以本發明之實施例提供用於防止此操作及尋求在無授權的情況下組態快照資料子集之其他操作之一方式。

與一習知資料儲存設備(其中自一主機設備接收之全部命令被視為值得信賴的)相比，本實施例之資料儲存設備100可經組態以要求鑑認尋求組態快照資料子集114之主機命令(例如，尋求覆寫或刪除快照116、將更新118與快照116合併、重設快照資料子集114之大小等等之命令)。藉由在採取會無法挽回地改變快照116之任何動作之前要求來自經連接主機設備140之鑑認(例如，與僅記錄呈快照資料子集114之更新118之形式之快照116之變化之命令相比)，可防止快照116免於意外及惡意變化及/或刪除。

控制器120可經組態以依數個方式之任一者驗證組態快照資料子集114之一命令之真實性。例如，在本發明之一實施例中，控制器120可在資料儲存設備100之一初始設定期間與所連接主機設備140交換密碼編譯金鑰(例如，在資料儲存設備100最先連接至主機設備140時，或在重新格式化資料儲存設備100之後等等)。在交換密碼編譯金鑰之後，控制器120可藉由判定是否已用預定密碼編譯金鑰加簽章來驗證組態快照資料子集114之一命令之真實性且在真實性之一判定之後僅執行命令。依此方式，所連接主機設備140可藉由將密碼編譯金鑰固定於一安全金鑰儲存器中及藉由僅產生且密碼編譯信號命令組態來自一安全碼執行飛地(例如Intel^® 軟體保護擴展)內之快照資料子集114來減小惡意資料遺失之可能性。因而安全碼執行飛地更能抵抗未授權存取(例如，自勒索軟體攻擊或其他惡意程序)，可比容許主機上之任何可執行程序組態快照資料子集114時更佳地確保儲存於快照資料子集114中之快照116之完整性。

在另一實施例中，控制器120可經組態以使用基於密碼之鑑認來驗證組態快照資料子集114之一命令之真實性。例如，在本發明之一實施例中，控制器120可在資料儲存設備100之一初始設定期間將一鑑認密碼提供至所連接主機設備140或由所連接主機設備140指派(例如，在資料儲存設備100最先連接至主機設備140時，或在重新格式化資料儲存設備100之後等等)。控制器120隨後可藉由徵求密碼或藉由判定密碼是否與命令一起提供來驗證組態快照資料子集114之一命令之真實性，且在真實性之一判定之後僅執行命令。再者，熟悉技術者將容易瞭解，可採用若干不同鑑認方法之任一者以允許資料儲存設備100驗證組態快照資料子集114之一命令之真實性超過基於金鑰或基於密碼之鑑認。

根據本發明之一態樣，控制器120可經組態以在快照資料子集114中之可用空間下降至低於一預定臨限值時向主機設備140提供一通知。就此而言，通知可為無需來自主機設備140之一回應之一非同步通知。通知可警告主機設備140或其之一使用者應產生組態快照資料子集114之一經鑑認命令(例如，以增大快照資料子集之大小，以將更新118與快照116合併等等)。在另一實施例中，控制器120可經組態以在快照資料子集114中之可用空間下降至低於一預定臨限值時「停頓」(例如，無法寫入資料)。在又另一實施例中，當快照資料子集114中之可用空間下降至低於一預定臨限值時，控制器120可經組態以調節與主機設備140之通信(例如，減慢I/O)。調節可結合至主機設備140之一通知來完成，藉此調節可保留在適當位置中直至主機設備140採取一動作來增大快照資料子集114中之可用空間(例如，藉由增大快照資料子集114之大小，藉由使更新118傳送至快照資料116，或藉由清理部分或全部更新118)。

儘管在上述實施例中將資料儲存設備100繪示為包含一單一快照資料子集114，但在本發明之其他實施例中，多個快照資料子集可提供於一單一資料儲存設備中(例如，以確保具有相同或不同位準之過度提供之不同快照)。再者，儘管將上述實施例之快照資料子集114繪示為包含一單一快照116，但在本發明之實施例中，多個快照可儲存於一單一快照資料子集中(例如，以在不同時間追蹤多個資料狀態，其等之任何者可由一所連接主機設備恢復)。此外，儘管已參考藉由寫入重導向實施方案保護以防變化之快照資料來描述上述實施例，但本發明可應用於確保資料免於意外變化之其他資料備份方法(例如，唯讀分割區、唯讀檔案等等)，使得用於修改經確保資料之來自一所連接主機設備之命令在執行之前由一資料儲存設備用於驗證真實性。

圖2係繪示管理根據本發明之一實施例之一資料儲存設備之一方法的一流程圖。方法包含：提供用於一主機設備與一資料儲存設備之間之鑑認通信之一鑑認機構(框202)；及初始化資料儲存設備中之一安全快照資料子集(框204)。方法進一步包含：接收組態快照資料子集之一命令(框206)及驗證命令之真實性(框208)。若命令僅判定為真實的(判定210)，則執行命令(框214)；若不真實，則忽略命令(框212)。

根據上文，應瞭解，已為了說明而在本文中描述本發明之特定實施例，但可在不背離本發明之範疇的情況下作出各種修改。因此，除了受隨附專利申請範圍限制外，本發明不受限制。

100‧‧‧資料儲存設備

101‧‧‧運算系統

110‧‧‧資料儲存媒體

112‧‧‧使用者資料子集

114‧‧‧快照資料子集

116‧‧‧快照

118‧‧‧更新

120‧‧‧控制器

122‧‧‧處理器

124‧‧‧嵌入式記憶體

130‧‧‧系統匯流排

140‧‧‧主機設備

202‧‧‧框

204‧‧‧框

206‧‧‧框

208‧‧‧框

210‧‧‧框

212‧‧‧框

214‧‧‧框

圖1係繪示包含根據本發明之一實施例之一資料儲存設備之一電腦系統的一示意方塊圖。

圖2係繪示管理根據本發明之一實施例之一資料儲存設備之一方法的一流程圖。

Claims (26)

1. 一種資料儲存設備，其包括： 一儲存媒體，其包含經組態以儲存使用者資料之一第一子集及經組態以儲存快照資料之一第二子集； 一控制器，其經組態以： 自可操作地耦合至該資料儲存設備之一主機接收組態該第二子集之一命令； 驗證該命令之一真實性；及 回應於該命令之該真實性之該驗證來執行該命令。
2. 如請求項1之資料儲存設備，其中該控制器經組態以藉由驗證該命令已使用一預定密碼編譯金鑰加簽章來驗證該命令之該真實性。
3. 如請求項2之資料儲存設備，其中該預定密碼編譯金鑰係由該資料儲存設備在該資料儲存設備之一初始組態期間產生且提供至該主機設備。
4. 如請求項3之資料儲存設備，其中該預定密碼編譯金鑰係通過一加密通信通道提供至該主機設備。
5. 如請求項1之資料儲存設備，其中該控制器經組態以在該命令未被驗證為真實時忽略該命令。
6. 如請求項1之資料儲存設備，其中該控制器經進一步組態以： 自該主機接收用經修改資料更新該第二子集中之快照資料之一指令，及 在不覆寫該快照資料的情況下將該經修改資料儲存於該第二子集中。
7. 如請求項1之資料儲存設備，其中組態該第二子集之該命令係覆寫儲存於該第二子集中之快照資料之一命令。
8. 如請求項1之資料儲存設備，其中組態該第二子集之該命令係修改該第二子集之一容量之一命令。
9. 如請求項1之資料儲存設備，其中組態該第二子集之該命令係刪除儲存於該第二子集中之快照資料之一命令。
10. 如請求項1之資料儲存設備，其中該控制器經進一步組態以在該快照資料已消耗該第二子集之一容量之一預定部分時對該主機產生一通知。
11. 如請求項1之資料儲存設備，其中該第二子集係該儲存媒體之一分割區、一安裝點或一位址範圍之一者。
12. 如請求項1之資料儲存設備，其中該儲存媒體係一快閃記憶體。
13. 一種運算系統，其包括： 一主機設備， 一儲存媒體，其可操作地耦合至該主機設備，其中該儲存媒體包含經組態以儲存使用者資料之一第一子集及經組態以儲存快照資料之一第二子集；及 一儲存控制器，其經組態以： 接收組態該第二子集之一命令； 驗證該命令之一真實性；及 回應於該命令之該真實性之該驗證而執行該命令。
14. 如請求項13之運算系統，其中該控制器經組態以藉由驗證該命令已使用一預定密碼編譯金鑰加簽章來驗證該命令之該真實性。
15. 如請求項14之運算系統，其中該預定密碼編譯金鑰係由該資料儲存控制器產生且通過一加密通信通道提供至該主機設備。
16. 如請求項15之運算系統，其中該主機經組態以使用該預定密碼編譯金鑰來加簽章該命令。
17. 如請求項13之運算系統，其中該儲存控制器經組態以在該命令未被驗證為真實時忽略該命令。
18. 如請求項13之運算系統，其中該儲存控制器經進一步組態以： 接收用經修改資料更新該第二子集中之快照資料之一指令，及 在不覆寫該快照資料的情況下將該經修改資料儲存於該第二子集中。
19. 如請求項13之運算系統，其中組態該第二子集之該命令係覆寫儲存於該第二子集中之快照資料之一命令。
20. 如請求項13之運算系統，其中組態該第二子集之該命令係修改該第二子集之一容量之一命令。
21. 如請求項13之運算系統，其中組態該第二子集之該命令係刪除儲存於該第二子集中之快照資料之一命令。
22. 如請求項13之運算系統，其中該儲存控制器經進一步組態以在該快照資料已消耗該第二子集之一容量之一預定部分時對該主機產生一通知。
23. 如請求項13之運算系統，其中該第二子集係該儲存媒體之一分割區、一安裝點或一位址範圍之一者。
24. 如請求項13之運算系統，其中該儲存媒體係一快閃記憶體。
25. 一種管理包含一儲存媒體之一資料儲存設備之方法，該儲存媒體具有經組態以儲存使用者資料之一第一子集及經組態以儲存快照資料之一第二子集，該方法包括： 自可操作地耦合至該資料儲存設備之一主機接收組態該第二子集之一命令； 驗證該命令之一真實性；及 回應於該命令之該真實性而執行該命令。
26. 如請求項25之方法，其進一步包括： 自該主機接收用經修改資料更新該第二子集中之快照資料之一指令，及 在不覆寫該快照資料的情況下將該經修改資料儲存於該第二子集中。