相關申請的交叉引用

本申請要求于2016年9月6日提交的序列號為62/384,107的美國臨時專利申請的優先權，其公開通過引用全部合并于此。

技術領域

本發明總體涉及固態驅動器(SSD)，更具體地，涉及一種用于認證針對SSD的關鍵操作的系統和方法。

背景技術

固態驅動器(SSD)支持用于管理目的的一組命令。這些管理命令中的一些本質上是破壞性的，并可能導致無法恢復的數據丟失。這些破壞性命令的示例是格式化命令、命名空間刪除命令、固件更新命令等。格式化命令釋放SSD上的邏輯塊地址(LBA)，并清除LBA的內容。命名空間刪除命令釋放與命令中指定的命名空間有關的LBA。固件更新命令更新SSD上的操作固件。

這些破壞性管理命令只能由具有根權限的用戶執行。通常，根權限是可用于驗證管理命令的唯一安全層。圖1示出了用于執行管理命令的現有技術認證方案100。可以使用命令行實體的命令行接口(CLI)或應用將管理命令111從主機操作系統(OS)110發送到SSD 130。命令行實體或應用可以在主機操作系統110的用戶空間中運行。管理命令111被發送到管理SSD 130的控制和操作的裝置驅動器120。裝置驅動器120可以在主機操作系統110的內核空間或用戶空間中運行。裝置驅動器120將管理命令111傳遞給SSD 130的固件。SSD固件按照管理命令111的指示針對SSD 130執行實際操作。一旦完成管理命令111，SSD固件將響應121(例如，成功或失敗)發回到裝置驅動器120。然后，裝置驅動器120將響應121發回到發出管理命令111的主機OS 110。

傳統上，只有根權限用戶可以發起關鍵操作命令。如果根權限被破壞，這樣的關鍵操作命令可導致無法恢復的數據丟失。圖1的現有技術認證方案100假設命令已經被驗證并具有必要的許可。這些管理命令通常配置為“特權”操作。主機OS 110的運行時環境對適當的權限(例如，超級用戶)進行檢查以執行所述命令。如果用戶憑證被破壞，則現有技術認證方案100由于缺少停止以惡意目的發出的破壞性命令的預防機制而易受到攻擊。SSD 130沒有任何機制來確保發出的命令是期望的命令。發送到SSD 130的破壞的管理命令可導致SSD 130上的永久的和不可逆的數據丟失。

即使合法的用戶也可意外錯誤地執行管理命令。在這種情況下，SSD 130沒有確認的級別以確保破壞性操作確實是期望的操作。例如，合法但非期望的管理命令可在更大的設置中被意外發出，其中，在所述更大的設置中，大量的SSD被部署在群集中的多個服務器上。

發明內容

根據一個實施例，一種方法包括：接收針對固態驅動器(SSD)的操作命令和安全憑證；將異步事件從SSD發出到包括安全憑證和安全證書的認證代理，其中，安全證書基于所述安全憑證被編碼并被存儲在SSD中；將安全憑證和安全證書從認證代理轉發到認證服務器；基于認證服務器的安全憑證驗證安全證書；將驗證響應從認證服務器提供到認證代理；將驗證響應從認證代理轉發到SSD；并基于驗證響應執行操作命令。

根據另一實施例，一種方法包括：從用戶接收針對固態驅動器(SSD)的操作命令；向用戶提出挑戰問題；接收對挑戰問題的用戶提供的答案；將用戶提供的答案與相關聯于用戶的挑戰問題的答案進行比較；并且基于用戶提供的答案與答案之間的比較結果來執行操作命令。

根據另一實施例，一種固態驅動器(SSD)包括：一個或更多個非易失性存儲器；接口，到與主機計算機；固件驅動器。固件驅動器被配置為：經由接口接收操作命令和安全憑證；向包括安全憑證和安全證書的認證代理發出異步事件，其中，安全證書基于安全憑證被編碼并被存儲在SSD中；從認證代理接收驗證響應；并基于驗證響應執行操作命令。

根據另一實施例，一種認證系統包括：認證服務器；主機計算機，運行認證代理；多個SSD。認證代理在初始化期間建立與認證服務器的安全通信通道。所述多個SSD中的每一個包括固件驅動器，固件驅動器被配置為：經由在主機計算機中運行的設備驅動器來接收操作命令和安全憑證；向包括安全憑證和安全證書的認證代理發出異步事件，其中，安全證書基于安全憑證被編碼并被存儲在SSD中。認證服務器被配置為驗證安全證書，并通過安全通信信道向認證代理提供驗證響應。多個SSD中的每一個的固件驅動器還被配置為基于驗證響應來執行操作命令。