TWI723575B - 具有熱插拔安全防護機制sata界面的儲存裝置 - Google Patents
具有熱插拔安全防護機制sata界面的儲存裝置 Download PDFInfo
- Publication number
- TWI723575B TWI723575B TW108136802A TW108136802A TWI723575B TW I723575 B TWI723575 B TW I723575B TW 108136802 A TW108136802 A TW 108136802A TW 108136802 A TW108136802 A TW 108136802A TW I723575 B TWI723575 B TW I723575B
- Authority
- TW
- Taiwan
- Prior art keywords
- storage device
- control unit
- computer host
- physical layer
- storage
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
- Power Sources (AREA)
Abstract
本發明針對具有熱插拔SATA界面的儲存裝置,將儲存裝置中的一中斷控制程序指定至訊號通道中的實體層接腳,在SATA界面電源排線未拔除的狀況下,當訊號排線被拔除時,實體層接腳處於關閉狀態而觸發該中斷控制程序,控制單元依據觸發的中斷控制程序啟動對儲存裝置的保護動作。
Description
本發明有關一種儲存裝置,尤指一種具有熱插拔安全防護機制SATA界面的儲存裝置。
隨著電腦設備強大的功能與廣泛的應用場域變化,週邊裝置也具備更多彈性及先進的功能。舉例而言,過去的週邊裝置或零組件,尤其是儲存裝置如HDD機械式硬碟、SSD固態硬碟等,必須在電腦主機關機斷電時,才能進行裝置的插拔更換。然而現今的週邊裝置或零組件在透過如USB、PCIe、SATA…等具備熱插拔(hot plug)功能的界面連接於電腦主機時,即可在不需要電腦主機關機斷電時進行裝置的插拔更換。
以SATA界面為例,目前透過SATA界面在連接SSD、HDD等儲存裝置時,可在SATA電源排線未拔除且仍通電的狀態下,直接拔除電腦主機與儲存裝置之間的訊號排線,將儲存裝置透過其他訊號排線連接到另一部電腦主機。在缺乏明確的安全保護機制規範下,使用SATA界面的儲存裝置可以輕易地讓另一部電腦主機直接存取儲存裝置內的資料,也就是說目前的SATA界面儲存裝置在硬體層並未具有任何安全保護措施,此漏洞使得有心人士能輕易透過另一部電腦主機盜取儲存裝置內的資料。
因此,針對目前這種訊號排線與電源排線分開連接,且支援熱插拔的儲存裝置的安全性風險, 必須提出一個有效的解決方案。
本發明的實施例提供了一種具有熱插拔安全防護機制SATA界面的儲存裝置以解決上述問題。該儲存裝置可插拔地連接於一電腦主機,該儲存裝置包含有一儲存單元以及一控制單元。該儲存單元用來儲存該儲存裝置的資料。該控制單元連接於該儲存單元,該控制單元包含有一電源通道以及一訊號通道。該電源通道可插拔地連接該電腦主機的一電力供應端。該訊號通道可插拔地連接該電腦主機的一控制界面,該訊號通道具有一實體層接腳,該控制單元將一中斷服務程序指定至該實體層接腳,當該儲存裝置連接於該電腦主機時,該實體層接腳處於啟動狀態。當該控制界面與該訊號通道斷開時,該實體層接腳處於關閉狀態,並觸發該中斷服務程序,該控制單元用來依據觸發的該中斷服務程序對該儲存單元進行一保護動作。
根據本發明的實施例,其中該實體層接腳為該儲存裝置SATA界面的PHYRDY接腳。
根據本發明的實施例,其中當該中斷服務程序被觸發時,該控制單元用來產生一旗標,以標示該儲存裝置處於不安全狀態。該控制單元用來依據該旗標對該儲存單元進行該保護動作。
根據本發明的實施例,其中於該控制界面與該訊號通道斷開,且於該控制單元對儲存單元進行該保護動作的過程中,該電源通道連接該電腦主機的該電力供應端以持續在該電腦主機的電力供應狀態下。
根據本發明的實施例,其中該保護動作包含下列至少其中之一:使用TCG-OPAL標準對該儲存單元的至少一範圍進行讀寫權限的變更、該儲存裝置進行讀取保護、該儲存裝置進行寫入保護。
根據本發明的實施例,其中該控制單元另用來透過該訊號通道持續取得該電腦主機的一唯一識別碼,並於無法取得該唯一識別碼或該唯一識別碼發生變更時,對該儲存單元進行該保護動作。
根據本發明的實施例,其中於該控制單元對該儲存單元進行該保護動作後,且當該訊號通道再與一電腦主機的一控制界面連接時,該控制單元用來進行一回復機制。
根據本發明的實施例,其中該回復機制包含下列至少其中之一:該控制單元通知該電腦主機的一應用程式進行安全認證、該控制單元檢查該電腦主機的一唯一識別碼的一致性。
根據本發明的實施例,其中該儲存裝置為SSD固態硬碟或HDD機械硬碟。
本發明的SATA界面的儲存裝置,具有熱插拔安全防護機制,在SATA界面電源排線未拔除的狀況下,當訊號排線被拔除時即啟動對儲存裝置的保護動作,可以有效防止有心人透過僅拔除訊號排線而連接到另一部電腦主機進行資料盜竊的行為。
在說明書及後續的申請專利範圍當中使用了某些詞彙來指稱特定的元件。所屬領域中具有通常知識者應可理解,製造商可能會用不同的名詞來稱呼同一個元件。本說明書及後續的申請專利範圍並不以名稱的差異來作為區分元件的方式,而是以元件在功能上的差異來作為區分的準則。在通篇說明書及後續的請求項當中所提及的「包含」係為一開放式的用語,故應解釋成「包含但不限定於」。此外,「耦接」或「連接」一詞在此係包含任何直接及間接的電氣或結構連接手段。因此,若文中描述一第一裝置耦接/連接於一第二裝置,則代表該第一裝置可直接電氣/結構連接於該第二裝置,或透過其他裝置或連接手段間接地電氣/結構連接至該第二裝置。
請參考第1圖,第1圖為本發明具有熱插拔安全防護機制SATA界面的儲存裝置連接於一電腦主機的一實施態樣的方塊示意圖。在本發明的實施例中,儲存裝置1以具有熱插拔(hot plug)的SATA界面,且訊號(資料)排線與電源排線是分開插拔的裝置來作說明,但不以此為限,舉凡能夠進行熱插拔,且在訊號排線拔除時仍能維持電腦主機對裝置的電源供應的界面與裝置均適用於本發明的安全防護機制。於第1圖的實施例中,儲存裝置1包含了至少一儲存單元20以及一控制單元10。控制單元10包含儲存裝置1內的微控制器(MCU)以及韌體(firmware)結構,連接於儲存單元20以作為對儲存單元20的控制以及與外部的電腦主機5溝通。儲存單元20為儲存裝置1的主要儲存資料的容器,在本發明中,不限於可使用的物理形式,因此可以是以磁性碟盤以及機械讀取手臂組成的硬式磁碟(hard disk drive, HDD),也可以是可進行隨機存取的固態硬碟(solid state drive, SSD)。
控制單元10具有可彼此獨立連接的電源通道12以及訊號(資料)通道14,電源通道12可插拔地連接於一電腦主機5的一電力供應端52,以獲得電腦主機5的電力供應,訊號通道14則可插拔地連接電腦主機5的一控制界面54,例如標準的儲存裝置控制界面,透過訊號通道14使電腦主機5可存取儲存裝置1內的資料。在SATA界面規範中,訊號通道14以SATA控制區塊進行資料的時脈、實體連接、裝置確認、錯誤修正、傳輸…等工作,其中訊號通道14具有一實體層接腳141,在本發明的較佳實施例中,實體層接腳141為SATA界面中的PHYRDY接腳,但不以此為限,也可以是在其他規格中作為實體層連接確認信號的任何既存接腳,也就是說,當儲存裝置1透過訊號/資料排線連接於電腦主機5的控制界面54時,實體層接腳141會處於啟動(enabled)狀態,而當儲存裝置1的訊號通道14與電腦主機5的控制界面54斷開,即實體上不連接時,實體層接腳141會處於關閉(disabled)狀態。透過實體層接腳141可反應實體連接狀態的特性,儲存裝置1的控制單元10將一中斷服務程序16(Interrupt Service Routine, ISR)指定至實體層接腳141,並且設定於實體層接腳141處於關閉狀態,即儲存裝置1與任何電腦主機5的控制界面54實體上不連接時,觸發中斷服務程序16。
請參考第2圖,第2圖為本發明的儲存裝置自一電腦主機拔除並插上另一電腦主機的一實施態樣的方塊示意圖。針對熱插拔SATA界面的儲存裝置1在未斷電時,即電源通道12持續連接於電腦主機5的電力供應端52以持續在電腦主機5的電力供應狀態下,為了防止儲存裝置1的訊號通道14由原電腦主機5的控制界面54斷開後被接上另一電腦主機6,發生資料竊取的可能,在儲存裝置1在連接上電腦主機5時,當SATA界面的訊號/資料排線被拔除,也就是控制界面54與訊號通道14斷開時,實體層接腳141即處於關閉狀態並觸發中斷服務程序16,而控制單元10即可依據觸發的中斷控制程序16對儲存單元20進行一保護動作。具體來說,於一實施例中,當中斷控制程序16被觸發時,控制單元10可產生一旗標(flag),以標示儲存裝置1處於不安全狀態,並且進一步地,依據該旗標所標示的不安全狀態,針對儲存單元20的部份或全部進行資料讀取/寫入權限的修改或其他可能的保護措施,例如:使用TCG-OPAL標準對儲存單元20的至少一範圍進行讀寫權限的變更、儲存裝置1本身進行整個裝置的讀取保護、儲存裝置1本身進行整個裝置的寫入保護…等,但不以此為限,只要能夠發揮對儲存單元20中局部或全部的內容存取進行有目的的限制的演算法機制均可用作為本發明所啟動的保護動作。
在進行了上述的保護動作後,此時的儲存裝置1不論再接上原來的電腦主機5或是被接上另一個電腦主機6的控制界面64(而電源通道12仍連接於原電腦主機5的電力供應端52),均可因上述的保護動作而有效地保護儲存裝置1內的資料內容。於本發明另一實施例中,也可進一步利用電腦主機5、6的唯一識別碼來進行進一層的確認與保護。電腦主機5、6內可安裝常駐一應用程式51,應用程式51可蒐集電腦主機5相關資料,利用這些資料經由公式做成電腦主機5的唯一識別碼(也可不須使用應用程式51,僅直接使用任何電腦主機5、6可唯一標示該電腦主機的原生內容),也就是說,每一個電腦主機5、6的唯一識別碼都是獨一無二與該電腦主機綁定的(例如電腦主機5、6中通常會配置的網路配接卡位址即可作為唯一識別碼或其中一部份)。此唯一識別碼即可在建立的訊號通道14與控制界面54的連線後,以資料封包傳送至儲存裝置1。
根據電腦主機5的唯一識別碼,控制單元10即可透過訊號通道14持續取得該唯一識別碼,以得知儲存裝置1仍持續連接於原有的安全電腦主機5上。當控制單元10無法取得電腦主機5的該唯一識別碼或因任何可能原因收到的唯一識別碼發生變更時,控制單元10即判斷儲存裝置1不再與電腦主機5資料連接,因此亦可對儲存單元20進行前述的保護動作,讓儲存裝置1能夠更精確地判斷目前SATA資料界面的連接狀態。
特別說明的是,在控制單元10對儲存單元20進行了上述的保護動作之後,儲存裝置1再度與一電腦主機連接(可以是原先的電腦主機5或是陌生的電腦主機6),亦即訊號通道14再與電腦主機5、6的控制界面54、64連接時,控制單元10即可進行一回復機制,例如控制單元10可通知電腦主機5、6的一應用程式重新進行安全認證,也就是不論是否是原先的電腦主機,當儲存裝置1的訊號通道14與控制界面54、64中斷再連接後,均需重新進行對儲存裝置1存取的安全認證。控制單元10也可檢查電腦主機5、6的唯一識別碼的一致性,當再連接後所取得的唯一識別碼與訊號通道14與控制界面54中斷前所取得的唯一識別碼相同時,也可逕行解除上述的保護動作,不須另外的安全認證,本發明不此為限,更可透過其他可行的確認機制以進行前述的回復機制。
本發明針對具有熱插拔SATA界面的儲存裝置,將儲存裝置中的一中斷控制程序指定至訊號通道中的實體層接腳,在SATA界面電源排線未拔除的狀況下,當訊號排線被拔除時,實體層接腳處於關閉狀態而觸發該中斷控制程序,控制單元依據觸發的中斷控制程序啟動對儲存裝置的保護動作,以防止有心人透過僅拔除訊號排線而連接到另一部電腦主機進行資料盜竊的行為。
以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。
1:儲存裝置
10:控制單元
12:電源通道
14:訊號通道
141:實體層接腳
16:中斷控制程序
20:儲存單元
5、6:電腦主機
51:應用程式
52:電力供應端
54、64:控制界面
第1圖為本發明具有熱插拔安全防護機制SATA界面的儲存裝置連接於一電腦主機的一實施態樣的方塊示意圖。
第2圖為本發明的儲存裝置自一電腦主機拔除並插上另一電腦主機的一實施態樣的方塊示意圖。
1:儲存裝置
10:控制單元
12:電源通道
14:訊號通道
141:實體層接腳
16:中斷控制程序
20:儲存單元
5、6:電腦主機
51:應用程式
52:電力供應端
54、64:控制界面
Claims (10)
- 一種具有熱插拔安全防護機制SATA界面的儲存裝置,可插拔地連接於一電腦主機,該儲存裝置包含有: 一儲存單元,用來儲存該儲存裝置的資料;以及 一控制單元,連接於該儲存單元,該控制單元包含有: 一電源通道,可插拔地連接該電腦主機的一電力供應端;以及 一訊號通道,可插拔地連接該電腦主機的一控制界面,該訊號通道具有一實體層接腳,該控制單元將一中斷服務程序指定至該實體層接腳,當該儲存裝置連接於該電腦主機時,該實體層接腳處於啟動狀態; 其中當該控制界面與該訊號通道斷開時,該實體層接腳處於關閉狀態,並觸發該中斷服務程序,該控制單元用來依據觸發的該中斷服務程序對該儲存單元進行一保護動作。
- 如請求項1所述的儲存裝置,其中該實體層接腳為該儲存裝置SATA界面的PHYRDY接腳。
- 如請求項1所述的儲存裝置,其中當該中斷服務程序被觸發時,該控制單元用來產生一旗標,以標示該儲存裝置處於不安全狀態。
- 如請求項3所述的儲存裝置,其中該控制單元用來依據該旗標對該儲存單元進行該保護動作。
- 如請求項1所述的儲存裝置,其中於該控制界面與該訊號通道斷開,且於該控制單元對儲存單元進行該保護動作的過程中,該電源通道連接該電腦主機的該電力供應端以持續在該電腦主機的電力供應狀態下。
- 如請求項1所述的儲存裝置,其中該保護動作包含下列至少其中之一:使用TCG-OPAL標準對該儲存單元的至少一範圍進行讀寫權限的變更、該儲存裝置進行讀取保護、該儲存裝置進行寫入保護。
- 如請求項1所述的儲存裝置,其中該控制單元另用來透過該訊號通道持續取得該電腦主機的一唯一識別碼,並於無法取得該唯一識別碼或該唯一識別碼發生變更時,對該儲存單元進行該保護動作。
- 如請求項1所述的儲存裝置,其中於該控制單元對該儲存單元進行該保護動作後,且當該訊號通道再與一電腦主機的一控制界面連接時,該控制單元用來進行一回復機制。
- 如請求項8所述的儲存裝置,其中該回復機制包含下列至少其中之一:該控制單元通知該電腦主機的一應用程式進行安全認證、該控制單元檢查該電腦主機的一唯一識別碼的一致性。
- 如請求項1所述的儲存裝置,其中該儲存裝置為SSD固態硬碟或HDD機械硬碟。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108136802A TWI723575B (zh) | 2019-10-14 | 2019-10-14 | 具有熱插拔安全防護機制sata界面的儲存裝置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108136802A TWI723575B (zh) | 2019-10-14 | 2019-10-14 | 具有熱插拔安全防護機制sata界面的儲存裝置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI723575B true TWI723575B (zh) | 2021-04-01 |
| TW202115582A TW202115582A (zh) | 2021-04-16 |
Family
ID=76604398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108136802A TWI723575B (zh) | 2019-10-14 | 2019-10-14 | 具有熱插拔安全防護機制sata界面的儲存裝置 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI723575B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWM516184U (zh) * | 2015-07-22 | 2016-01-21 | Embestor Technology Inc | 具有插卡式擴充功能之固態硬碟控制器 |
| TWI612440B (zh) * | 2014-07-03 | 2018-01-21 | 宇瞻科技股份有限公司 | 具資訊安全防護的資料儲存系統 |
| TWI621023B (zh) * | 2014-05-02 | 2018-04-11 | 美商凱為公司 | 用於支持對經由nvme控制器、通過網路存取的遠端存儲設備的熱插拔的系統和方法 |
| TW201911107A (zh) * | 2017-07-26 | 2019-03-16 | 韓商蓄積者公司 | 基於ssd之具資料保護功能之儲存媒體 |
-
2019
- 2019-10-14 TW TW108136802A patent/TWI723575B/zh active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI621023B (zh) * | 2014-05-02 | 2018-04-11 | 美商凱為公司 | 用於支持對經由nvme控制器、通過網路存取的遠端存儲設備的熱插拔的系統和方法 |
| TWI612440B (zh) * | 2014-07-03 | 2018-01-21 | 宇瞻科技股份有限公司 | 具資訊安全防護的資料儲存系統 |
| TWM516184U (zh) * | 2015-07-22 | 2016-01-21 | Embestor Technology Inc | 具有插卡式擴充功能之固態硬碟控制器 |
| TW201911107A (zh) * | 2017-07-26 | 2019-03-16 | 韓商蓄積者公司 | 基於ssd之具資料保護功能之儲存媒體 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202115582A (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI721319B (zh) | 資料儲存系統中的多埠中介件架構 | |
| US10515040B2 (en) | Data bus host and controller switch | |
| US10706153B2 (en) | Preventing malicious cryptographic erasure of storage devices | |
| WO2011146857A2 (en) | Method and apparatus for secure scan of data storage device from remote server | |
| US10031571B2 (en) | Systems and methods for power loss protection of storage resources | |
| WO2005038641A2 (en) | Data security | |
| US20060112267A1 (en) | Trusted platform storage controller | |
| US20070005821A1 (en) | Enabling and disabling device images on a platform without disrupting BIOS or OS | |
| EP2798428B1 (en) | Apparatus and method for managing operation of a mobile device | |
| TWM365529U (en) | Data access apparatus and processing system using the same | |
| KR20180086129A (ko) | 정보 처리장치, 그 제어방법, 및 기억매체 | |
| TWI566103B (zh) | PCIe橋接器之轉換裝置及其方法 | |
| US10013172B2 (en) | Electronic data storage device with multiple configurable data storage mediums | |
| US20190294777A1 (en) | Systems and methods for managing access to host computing devices by external devices | |
| TWI723575B (zh) | 具有熱插拔安全防護機制sata界面的儲存裝置 | |
| US20150026367A1 (en) | Computer device and identification device therein | |
| US10146963B2 (en) | Systems and methods for dynamic external input/output port screening | |
| JP2008305073A (ja) | ファイル共有システム及びファイル共有装置の起動方法 | |
| TWI687790B (zh) | 可偵測熱插拔次數之電子系統 | |
| CN112733122B (zh) | 具有热插拔安全防护机制sata界面的储存装置 | |
| TWI380177B (en) | Method,apparatus and system for providing secure communications | |
| CN106709379B (zh) | PCIe网桥的转换装置及其方法 | |
| TWI612440B (zh) | 具資訊安全防護的資料儲存系統 | |
| TWM528476U (zh) | 控制裝置及其相關電腦系統 | |
| TWI607317B (zh) | 電腦系統 |