TWI711940B - 用於資料儲存設備的安全快照管理的裝置、系統、及方法 - Google Patents

用於資料儲存設備的安全快照管理的裝置、系統、及方法 Download PDF

Info

Publication number
TWI711940B
TWI711940B TW107122927A TW107122927A TWI711940B TW I711940 B TWI711940 B TW I711940B TW 107122927 A TW107122927 A TW 107122927A TW 107122927 A TW107122927 A TW 107122927A TW I711940 B TWI711940 B TW I711940B
Authority
TW
Taiwan
Prior art keywords
data
command
subset
snapshot
storage device
Prior art date
Application number
TW107122927A
Other languages
English (en)
Other versions
TW201909018A (zh
Inventor
羅伯特 W 史特
麥可 B 丹尼爾森
Original Assignee
美商美光科技公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商美光科技公司 filed Critical 美商美光科技公司
Publication of TW201909018A publication Critical patent/TW201909018A/zh
Application granted granted Critical
Publication of TWI711940B publication Critical patent/TWI711940B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1471Saving, restoring, recovering or retrying involving logging of persistent data for recovery
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/805Real-time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/82Solving problems relating to consistency
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/84Using snapshots, i.e. a logical point-in-time copy of the data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Quality & Reliability (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本發明揭示一種資料儲存設備。該資料儲存設備包含具有經組態以儲存使用者資料之一第一子集及經組態以儲存快照資料之一第二子集之一儲存媒體。該資料儲存設備進一步包含一控制器,其經組態以(i)自可操作地耦合至該資料儲存設備之一主機接收組態該第二子集之一命令,(ii)驗證該命令之一真實性,及(iii)回應於該命令之該真實性之該驗證而執行該命令。

Description

用於資料儲存設備的安全快照管理的裝置、系統、及方法
本發明大體上係關於資料儲存設備,且更特定言之,本發明係關於資料儲存設備之安全快照管理。
資料儲存設備可實施於非揮發性記憶體(例如快閃碟、固態硬碟等等)、磁性儲存媒體(例如硬碟機、備份磁帶)或數個其他數位儲存媒體之任一者中。為確保儲存於可再寫資料儲存設備上之資料之完整性,若干各種備份技術可用於保持資料以防意外資料遺失(例如,經由意外覆寫或刪除)。資料備份之一方法利用「快照」,其為其中藉由將快照中之資料之任何更新或改變儲存至儲存設備中之一不同實體位置(例如,經由「寫入重定向」)來保持一資料狀態或快照以防進一步改變之一方法。
儘管快照方法有效地保護資料免於意外資料遺失,但惡意資料修改或破壞帶來額外挑戰。例如,越來越多數位犯罪涉及「勒索軟體」攻擊,其中未授權使用者或程序可依使得恢復在無解密金鑰的情況下無法實行或甚至不可行之一方式加密一資料儲存設備中之資料。接著,勒索軟體攻擊者可藉由要求支付解密金鑰來「勒索」經加密資料,若未依攻擊者選擇之一數量、格式及時間訊框支付,則攻擊者會頻繁地威脅經加密 資料。
隨著勒索軟體攻擊複雜性不斷增大,習知快照管理方法所提供之保護降級。由於一習知資料儲存設備附接至其之主機設備能夠管理資料儲存設備上之快照(例如,藉由用於經更新資料覆寫快照或刪除快照),所以針對用於加密之全部備份資料之複雜勒索軟體(包含附接至勒索軟體攻擊所針對之主機之資料儲存設備中之快照)可藉由利用主機修改快照之能力來突破習知快照管理所提供之保護。
除勒索軟體之越來越多的威脅之外,對習知快照管理技術無法應對之資料完整性之額外威脅包含否則可利用一主機設備覆寫或刪除所附接資料儲存設備中之快照之能力之各種其他惡意資料刪除威脅(例如,藉由病毒、蠕蟲或其類似者)及惡意資料修改威脅(例如,藉由未授權使用者破壞金融或法律紀錄)。因此,需要改良技術來保護所儲存資料之完整性。
100:資料儲存設備
101:運算系統
110:資料儲存媒體
112:使用者資料子集
114:快照資料子集
116:快照
118:更新
120:控制器
122:處理器
124:嵌入式記憶體
130:系統匯流排
140:主機設備
202:框
204:框
206:框
208:框
210:框
212:框
214:框
圖1係繪示包含根據本發明之一實施例之一資料儲存設備之一電腦系統的一示意方塊圖。
圖2係繪示管理根據本發明之一實施例之一資料儲存設備之一方法的一流程圖。
在以下描述中,討論若干具體細節以提供本發明之實施例之一徹底且可行描述。然而,熟悉相關技術者將意識到可在無一或多個具體細節的情況下實踐本發明。在其他例項中,未詳細展示或描述通常與半 導體設備相關聯之熟知結構或操作以避免混淆本發明之態樣。一般而言,應瞭解,除本文中所揭示之此等特定實施例之外之各種其他設備、系統及方法可在本發明之範疇內。
如上文所討論,資料儲存設備管理之一些方法涉及將資料狀態之快照保存於一資料儲存設備中以保持資料以防經由寫入重定向(ROW)之後續變化。若一習知資料儲存設備所附接(例如,通過一通信路徑直接或間接地)之主機被一勒索軟體攻擊或其他惡意活動損壞,則快照可經修改(例如加密)或刪除。因此,根據本發明之資料儲存設備及運算系統之若干實施例可提供安全快照管理以防止快照之未授權變化或刪除。
本發明之若干實施例係關於包括一儲存媒體之資料儲存設備,儲存媒體包含經組態以儲存使用者資料之一第一子集及經組態以儲存快照資料之一第二子集。設備可包含一控制器,其經組態以(i)自可操作地耦合至資料儲存設備之一主機接收組態第二子集之一命令,(ii)驗證命令之一真實性,及(iii)若命令被驗證為真實,則執行命令。
圖1示意性地繪示包含根據本發明之一實施例之一資料儲存設備100之一運算系統101。資料儲存設備100包含一資料儲存媒體110及一控制器120。控制器120可為一微控制器、專用邏輯電路系統(例如一場可程式化閘陣列(FPGA)、一專用積體電路(ASIC)等等)或其他適合處理器。控制器120可包含經組態以執行儲存於記憶體中之指令之一處理器122。在所繪示之實例中,控制器120之記憶體包含經組態以儲存快照資料儲存設備100之操作(包含管理資料儲存媒體110及處置經由系統匯流排130之資料儲存設備100與一主機設備140之間之通信)之各種程序、邏輯流及常式之一嵌入式記憶體124。在一些實施例中,嵌入式記憶體124可 包含儲存(例如)記憶體指標、所找取資料等等之記憶體暫存器。嵌入式記憶體124亦可包含用於儲存微碼之唯讀記憶體(ROM)。
資料儲存設備通過一系統匯流排130與主機設備140通信。在一些實施例中,主機設備140與資料儲存設備100之控制器120之間可通過一串列介面(諸如一串列附接SCSI(SAS)、一串列AT附接(SATA)介面、一周邊組件互連快速(PCIe)或其他適合介面(例如一平行介面))通信。主機設備140可向控制器120發送各種請求(依(例如)一封包或封包串流之形式)。一請求可包含寫入、抹除、返回資訊及/或執行一特定操作之一命令。
資料儲存媒體110可利用適合於可再寫地儲存數位資料(包含固態格式(例如諸如SRAM、DRAM等等之揮發性記憶體、諸如「反及」快閃記憶體之非揮發性記憶體、「反或」快閃記憶體、相變記憶體、鐵阻記憶體、磁阻記憶體等等)及機械格式(例如磁性硬碟機、磁帶等等))之數個資料儲存媒體之任一者。資料儲存媒體110包含經組態以儲存使用者資料之一使用者資料子集112及經組態以儲存快照資料之一快照資料子集114。使用者資料子集112及快照資料子集114可為用於細分資料儲存媒體110之數個子集之任一者,包含分割區、子分割區、安裝點、LBA範圍、區段、單獨記憶體晶粒等等。
根據本發明之一實施例,控制器120經組態以實施一寫入重定向方案以將一快照116(例如資料儲存設備100之一資料狀態)及更新118儲存至快照資料子集114內之快照116之資料。快照資料子集114可經過度佈建以提供足夠空間來追蹤對快照116之資料之更新118。過度佈建之位準可為自0%(例如,快照116之變化無法儲存於快照資料子集114中 之位準)至100%(例如,提供足夠空間使得快照116之資料之每一位元可被改變之位準)或甚至更高(例如,提供足夠空間使得額外資料可附加至快照116同時追蹤對快照116之更新118之位準)之任何位置。
例如,在本發明之一實施例中,快照116會需要(例如)500MB儲存空間。資料儲存設備100可經組態以維持快照116之一不變複本,使得對快照116之資料之更新118(例如新增、修改、刪除等等)係儲存於快照資料子集114內非用於儲存快照116之一位置處。控制器120可維持追蹤快照116及更新118之位置之一表,使得快照資料上之一主機讀取可返回經更新資料,同時若需要可保留「回捲(roll back)」至資料之早前版本之能力。
儘管過度佈建之較大位準可提供空間以追蹤對快照116之資料之更多更新118,但其等亦減少使用者資料子集112之相對大小。因此,快照資料子集114之一過度佈建因數可經選擇以實現資料追蹤及成本/容量之一平衡。當耗盡用於追蹤更新118之快照資料子集114之容量時,控制器120可用資料之一較新版本來覆寫快照116(例如,將更新118及快照116合併至一新的快照中,釋放更新118所消耗之快照資料子集114之空間)。由於此功能係可被惡意碼或一惡意參與者利用以修改或覆寫(例如,使用一加密版本)快照116之資料之一功能,所以本發明之實施例提供用於防止此操作及尋求在無授權的情況下組態快照資料子集之其他操作之一方式。
與一習知資料儲存設備(其中自一主機設備接收之全部命令被視為值得信賴的)相比,本實施例之資料儲存設備100可經組態以要求鑑認尋求組態快照資料子集114之主機命令(例如,尋求覆寫或刪除快照 116、將更新118與快照116合併、重設快照資料子集114之大小等等之命令)。藉由在採取會無法挽回地改變快照116之任何動作之前要求來自經連接主機設備140之鑑認(例如,與僅記錄呈快照資料子集114之更新118之形式之快照116之變化之命令相比),可防止快照116免於意外及惡意變化及/或刪除。
控制器120可經組態以依數個方式之任一者驗證組態快照資料子集114之一命令之真實性。例如,在本發明之一實施例中,控制器120可在資料儲存設備100之一初始設定期間與所連接主機設備140交換密碼編譯金鑰(例如,在資料儲存設備100最先連接至主機設備140時,或在重新格式化資料儲存設備100之後等等)。在交換密碼編譯金鑰之後,控制器120可藉由判定是否已用預定密碼編譯金鑰加簽章來驗證組態快照資料子集114之一命令之真實性且在真實性之一判定之後僅執行命令。依此方式,所連接主機設備140可藉由將密碼編譯金鑰固定於一安全金鑰儲存器中及藉由僅產生且密碼編譯信號命令組態來自一安全碼執行飛地(例如Intel®軟體保護擴展)內之快照資料子集114來減小惡意資料遺失之可能性。因而安全碼執行飛地更能抵抗未授權存取(例如,自勒索軟體攻擊或其他惡意程序),可比容許主機上之任何可執行程序組態快照資料子集114時更佳地確保儲存於快照資料子集114中之快照116之完整性。
在另一實施例中,控制器120可經組態以使用基於密碼之鑑認來驗證組態快照資料子集114之一命令之真實性。例如,在本發明之一實施例中,控制器120可在資料儲存設備100之一初始設定期間將一鑑認密碼提供至所連接主機設備140或由所連接主機設備140指派(例如,在資料儲存設備100最先連接至主機設備140時,或在重新格式化資料儲存 設備100之後等等)。控制器120隨後可藉由徵求密碼或藉由判定密碼是否與命令一起提供來驗證組態快照資料子集114之一命令之真實性,且在真實性之一判定之後僅執行命令。再者,熟悉技術者將容易瞭解,可採用若干不同鑑認方法之任一者以允許資料儲存設備100驗證組態快照資料子集114之一命令之真實性超過基於金鑰或基於密碼之鑑認。
根據本發明之一態樣,控制器120可經組態以在快照資料子集114中之可用空間下降至低於一預定臨限值時向主機設備140提供一通知。就此而言,通知可為無需來自主機設備140之一回應之一非同步通知。通知可警告主機設備140或其之一使用者應產生組態快照資料子集114之一經鑑認命令(例如,以增大快照資料子集之大小,以將更新118與快照116合併等等)。在另一實施例中,控制器120可經組態以在快照資料子集114中之可用空間下降至低於一預定臨限值時「停頓」(例如,無法寫入資料)。在又另一實施例中,當快照資料子集114中之可用空間下降至低於一預定臨限值時,控制器120可經組態以調節與主機設備140之通信(例如,減慢I/O)。調節可結合至主機設備140之一通知來完成,藉此調節可保留在適當位置中直至主機設備140採取一動作來增大快照資料子集114中之可用空間(例如,藉由增大快照資料子集114之大小,藉由使更新118傳送至快照資料116,或藉由清理部分或全部更新118)。
儘管在上述實施例中將資料儲存設備100繪示為包含一單一快照資料子集114,但在本發明之其他實施例中,多個快照資料子集可提供於一單一資料儲存設備中(例如,以確保具有相同或不同位準之過度提供之不同快照)。再者,儘管將上述實施例之快照資料子集114繪示為包含一單一快照116,但在本發明之實施例中,多個快照可儲存於一單一快 照資料子集中(例如,以在不同時間追蹤多個資料狀態,其等之任何者可由一所連接主機設備恢復)。此外,儘管已參考藉由寫入重導向實施方案保護以防變化之快照資料來描述上述實施例,但本發明可應用於確保資料免於意外變化之其他資料備份方法(例如,唯讀分割區、唯讀檔案等等),使得用於修改經確保資料之來自一所連接主機設備之命令在執行之前由一資料儲存設備用於驗證真實性。
圖2係繪示管理根據本發明之一實施例之一資料儲存設備之一方法的一流程圖。方法包含:提供用於一主機設備與一資料儲存設備之間之鑑認通信之一鑑認機構(框202);及初始化資料儲存設備中之一安全快照資料子集(框204)。方法進一步包含:接收組態快照資料子集之一命令(框206)及驗證命令之真實性(框208)。若命令僅判定為真實的(判定210),則執行命令(框214);若不真實,則忽略命令(框212)。
根據上文,應瞭解,已為了說明而在本文中描述本發明之特定實施例,但可在不背離本發明之範疇的情況下作出各種修改。因此,除了受隨附專利申請範圍限制外,本發明不受限制。
202:框
204:框
206:框
208:框
210:框
212:框
214:框

Claims (18)

  1. 一種資料儲存設備,其包括:一儲存媒體,其包含經組態以儲存使用者資料之一第一子集及經組態以儲存快照資料(snapshot data)之一第二子集;一控制器,其經組態以:自可操作地耦合至該資料儲存設備之一主機接收組態該第二子集之一命令;驗證該命令之一真實性(authenticity);及回應於該命令之該真實性之該驗證來執行該命令;其中該控制器經組態以藉由驗證該命令已使用由該資料儲存設備所產生的一預定密碼編譯金鑰(predetermined cryptographic key)加簽章來驗證該命令之該真實性;其中組態該第二子集之該命令係覆寫儲存於該第二子集中之快照資料之一命令。
  2. 如請求項1之資料儲存設備,其中該預定密碼編譯金鑰係由該資料儲存設備在該資料儲存設備之一初始組態期間產生且提供至該主機設備。
  3. 如請求項2之資料儲存設備,其中該預定密碼編譯金鑰係通過一加密通信通道提供至該主機設備。
  4. 如請求項1之資料儲存設備,其中該控制器經組態以在該命令未被驗 證為真實時忽略該命令。
  5. 如請求項1之資料儲存設備,其中該控制器經進一步組態以:自該主機接收用經修改資料更新該第二子集中之快照資料之一指令,及在不覆寫該快照資料的情況下將該經修改資料儲存於該第二子集中。
  6. 如請求項1之資料儲存設備,其中該控制器經進一步組態以在該快照資料已消耗該第二子集之一容量之一預定部分時對該主機產生一通知。
  7. 如請求項1之資料儲存設備,其中該第二子集係該儲存媒體之一分割區、一安裝點或一位址範圍之一者。
  8. 如請求項1之資料儲存設備,其中該儲存媒體係一快閃記憶體。
  9. 一種運算系統,其包括:一主機設備,一儲存媒體,其可操作地耦合至該主機設備,其中該儲存媒體包含經組態以儲存使用者資料之一第一子集及經組態以儲存快照資料之一第二子集;及一儲存控制器,其經組態以:接收組態該第二子集之一命令; 驗證該命令之一真實性;及回應於該命令之該真實性之該驗證而執行該命令;其中該控制器經組態以藉由驗證該命令已使用由該資料儲存設備所產生的一預定密碼編譯金鑰加簽章來驗證該命令之該真實性;其中組態該第二子集之該命令係覆寫儲存於該第二子集中之快照資料之一命令。
  10. 如請求項9之運算系統,其中該預定密碼編譯金鑰係由該資料儲存控制器產生且通過一加密通信通道提供至該主機設備。
  11. 如請求項10之運算系統,其中該主機經組態以使用該預定密碼編譯金鑰來加簽章該命令。
  12. 如請求項9之運算系統,其中該儲存控制器經組態以在該命令未被驗證為真實時忽略該命令。
  13. 如請求項9之運算系統,其中該儲存控制器經進一步組態以:接收用經修改資料更新該第二子集中之快照資料之一指令,及在不覆寫該快照資料的情況下將該經修改資料儲存於該第二子集中。
  14. 如請求項9之運算系統,其中該儲存控制器經進一步組態以在該快照資料已消耗該第二子集之一容量之一預定部分時對該主機產生一通知。
  15. 如請求項9之運算系統,其中該第二子集係該儲存媒體之一分割區、一安裝點或一位址範圍之一者。
  16. 如請求項9之運算系統,其中該儲存媒體係一快閃記憶體。
  17. 一種管理包含一儲存媒體之一資料儲存設備之方法,該儲存媒體具有經組態以儲存使用者資料之一第一子集及經組態以儲存快照資料之一第二子集,該方法包括:自可操作地耦合至該資料儲存設備之一主機接收組態該第二子集之一命令;驗證該命令之一真實性;及回應於該命令之該真實性而執行該命令;其中驗證該命令之該真實性包括驗證該命令已使用由該資料儲存設備所產生的一預定密碼編譯金鑰加簽章;其中組態該第二子集之該命令係覆寫儲存於該第二子集中之快照資料之一命令。
  18. 如請求項17之方法,其進一步包括:自該主機接收用經修改資料更新該第二子集中之快照資料之一指令,及在不覆寫該快照資料的情況下將該經修改資料儲存於該第二子集中。
TW107122927A 2017-07-10 2018-07-03 用於資料儲存設備的安全快照管理的裝置、系統、及方法 TWI711940B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/645,694 US10652025B2 (en) 2017-07-10 2017-07-10 Secure snapshot management for data storage devices
US15/645,694 2017-07-10

Publications (2)

Publication Number Publication Date
TW201909018A TW201909018A (zh) 2019-03-01
TWI711940B true TWI711940B (zh) 2020-12-01

Family

ID=64904292

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107122927A TWI711940B (zh) 2017-07-10 2018-07-03 用於資料儲存設備的安全快照管理的裝置、系統、及方法

Country Status (6)

Country Link
US (2) US10652025B2 (zh)
EP (1) EP3652670B1 (zh)
KR (1) KR102330622B1 (zh)
CN (1) CN110832490A (zh)
TW (1) TWI711940B (zh)
WO (1) WO2019013944A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10652025B2 (en) 2017-07-10 2020-05-12 Micron Technology, Inc. Secure snapshot management for data storage devices
US11264063B2 (en) * 2019-08-21 2022-03-01 Macronix International Co., Ltd. Memory device having security command decoder and security logic circuitry performing encryption/decryption commands from a requesting host
US11204719B2 (en) * 2019-12-19 2021-12-21 Micron Technology, Inc. Snap read optimization for media management for a memory sub-system
US11385819B2 (en) * 2020-08-17 2022-07-12 Micron Technology, Inc. Separate partition for buffer and snapshot memory
US12050551B2 (en) * 2022-10-24 2024-07-30 Rubrik, Inc. Intelligent protection of computing snapshots
US20240160728A1 (en) * 2022-11-12 2024-05-16 Dell Products, L.P. Snapset Restricted Utilization and Preservation
CN117407927B (zh) * 2023-12-15 2024-03-22 山东万里红信息技术有限公司 一种硬盘数据销毁方法、计算机设备和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101763224A (zh) * 2006-01-26 2010-06-30 普安科技股份有限公司 储存虚拟化电脑系统及储存系统中管理资料快照影像方法
US20140258238A1 (en) * 2013-03-05 2014-09-11 VCE Company LLC Method to embed snapshot management into virtual machine instances
TWI493340B (zh) * 2009-12-28 2015-07-21 Via Tech Inc 資料儲存系統與方法
US20160124669A1 (en) * 2011-09-01 2016-05-05 Google Inc. Providing snapshots of virtual storage devices

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7165152B2 (en) * 1998-06-30 2007-01-16 Emc Corporation Method and apparatus for managing access to storage devices in a storage system with access control
US6263445B1 (en) * 1998-06-30 2001-07-17 Emc Corporation Method and apparatus for authenticating connections to a storage system coupled to a network
US7756986B2 (en) * 1998-06-30 2010-07-13 Emc Corporation Method and apparatus for providing data management for a storage system coupled to a network
US7191357B2 (en) 2002-03-29 2007-03-13 Panasas, Inc. Hybrid quorum/primary-backup fault-tolerance model
US20050015416A1 (en) * 2003-07-16 2005-01-20 Hitachi, Ltd. Method and apparatus for data recovery using storage based journaling
US7225210B2 (en) * 2003-11-20 2007-05-29 Overland Storage, Inc. Block level data snapshot system and method
JP4799936B2 (ja) * 2005-07-11 2011-10-26 株式会社日立製作所 条件別スナップショット取得方法及びシステム
JP4749112B2 (ja) * 2005-10-07 2011-08-17 株式会社日立製作所 記憶制御システム及び方法
JP4938328B2 (ja) * 2006-03-28 2012-05-23 株式会社日立製作所 記憶システム及びその電源制御方法並びにストレージ装置
US8615663B2 (en) * 2006-04-17 2013-12-24 Broadcom Corporation System and method for secure remote biometric authentication
US20080034004A1 (en) * 2006-08-04 2008-02-07 Pavel Cisler System for electronic backup
US8713060B2 (en) 2009-03-31 2014-04-29 Amazon Technologies, Inc. Control service for relational data management
US8613074B2 (en) * 2010-09-30 2013-12-17 Micron Technology, Inc. Security protection for memory content of processor main memory
US8538924B2 (en) * 2011-08-31 2013-09-17 Hitachi, Ltd. Computer system and data access control method for recalling the stubbed file on snapshot
JP5853649B2 (ja) * 2011-11-30 2016-02-09 富士通株式会社 ストレージ装置,制御装置及びプログラム
US9065842B2 (en) * 2011-12-22 2015-06-23 Xerox Corporation Methods and systems for authenticating electronic messages using client-generated encryption keys
JP2013198123A (ja) * 2012-03-22 2013-09-30 Toshiba Corp アクセス制御システム
US10509776B2 (en) * 2012-09-24 2019-12-17 Sandisk Technologies Llc Time sequence data management
US9081597B2 (en) * 2012-11-27 2015-07-14 Red Hat Israel, Ltd. Database change compensation after a transaction commit
US9231923B1 (en) 2013-11-12 2016-01-05 Amazon Technologies, Inc. Secure data destruction in a distributed environment using key protection mechanisms
KR20150074414A (ko) * 2013-12-24 2015-07-02 현대자동차주식회사 펌웨어 업그레이드 방법 및 그 시스템
US11030122B2 (en) * 2014-04-08 2021-06-08 Micron Technology, Inc. Apparatuses and methods for securing an access protection scheme
US10067695B2 (en) * 2014-06-26 2018-09-04 Hitachi, Ltd. Management server, computer system, and method
US9871772B1 (en) * 2015-03-17 2018-01-16 The Charles Stark Draper Laboratory, Inc. Cryptographic system for secure command and control of remotely controlled devices
US10311234B2 (en) 2015-06-26 2019-06-04 Quick Heal Technologies Private Limited Anti-ransomware
US10291603B2 (en) * 2016-04-07 2019-05-14 Verizon Patent And Licensing Inc. Registering a smart device with a registration device using a multicast protocol
US10242234B2 (en) * 2016-07-15 2019-03-26 Seagate Technology Llc Wireless enabled secure storage drive
US10185509B1 (en) * 2017-06-01 2019-01-22 Amazon Technologies, Inc. Secure storage device sanitization
US10652025B2 (en) 2017-07-10 2020-05-12 Micron Technology, Inc. Secure snapshot management for data storage devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101763224A (zh) * 2006-01-26 2010-06-30 普安科技股份有限公司 储存虚拟化电脑系统及储存系统中管理资料快照影像方法
TWI493340B (zh) * 2009-12-28 2015-07-21 Via Tech Inc 資料儲存系統與方法
US20160124669A1 (en) * 2011-09-01 2016-05-05 Google Inc. Providing snapshots of virtual storage devices
US20140258238A1 (en) * 2013-03-05 2014-09-11 VCE Company LLC Method to embed snapshot management into virtual machine instances

Also Published As

Publication number Publication date
US11588644B2 (en) 2023-02-21
EP3652670A4 (en) 2021-01-20
EP3652670B1 (en) 2022-12-07
US10652025B2 (en) 2020-05-12
US20200235942A1 (en) 2020-07-23
CN110832490A (zh) 2020-02-21
KR102330622B1 (ko) 2021-11-24
US20190013949A1 (en) 2019-01-10
EP3652670A1 (en) 2020-05-20
WO2019013944A1 (en) 2019-01-17
TW201909018A (zh) 2019-03-01
KR20200016995A (ko) 2020-02-17

Similar Documents

Publication Publication Date Title
TWI711940B (zh) 用於資料儲存設備的安全快照管理的裝置、系統、及方法
US12086242B2 (en) Storage device and method for protecting against virus/malware thereof and computing system having the same
US8464073B2 (en) Method and system for secure data storage
US10394492B2 (en) Securing a media storage device using write restriction mechanisms
KR101699998B1 (ko) 일시적 중요정보의 보안 저장
EP2631835B1 (en) Secure read-write storage device
US9558128B2 (en) Selective management of security data
JP2008072717A (ja) 埋込認証を有するハードディスク・ストリーミング暗号操作
JP2005011151A (ja) メモリカード
WO2022127464A1 (en) Crypto-erasure of data stored in key per io-enabled device via internal action
CN109214204B (zh) 数据处理方法和存储设备
US20230176746A1 (en) Validity of information stored in memory devices
US12058259B2 (en) Data storage device encryption
US11995223B2 (en) Data storage device encryption
US12047492B2 (en) Crypto-erasure via internal and/or external action
US20240078348A1 (en) System for forensic tracing of memory device content erasure and tampering
US20230176767A1 (en) Interfacing with memory devices
KR101620685B1 (ko) 타임-아웃 데이터를 관리하는 방법 및 장치