TW202234273A - 用於經由電腦網路以控制記憶體裝置之伺服器系統 - Google Patents

用於經由電腦網路以控制記憶體裝置之伺服器系統 Download PDF

Info

Publication number
TW202234273A
TW202234273A TW110148831A TW110148831A TW202234273A TW 202234273 A TW202234273 A TW 202234273A TW 110148831 A TW110148831 A TW 110148831A TW 110148831 A TW110148831 A TW 110148831A TW 202234273 A TW202234273 A TW 202234273A
Authority
TW
Taiwan
Prior art keywords
computer system
memory device
memory
client computer
cryptographic key
Prior art date
Application number
TW110148831A
Other languages
English (en)
Inventor
崔維斯 端 尼爾森
Original Assignee
美商美光科技公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商美光科技公司 filed Critical 美商美光科技公司
Publication of TW202234273A publication Critical patent/TW202234273A/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本發明揭示一種用於經由電腦網路以控制記憶體裝置之系統、方法及設備。舉例而言,該系統包含一第一電腦系統及一第二電腦系統。該第二電腦系統管理密碼編譯金鑰;且該第一電腦系統控制對該第二電腦系統之存取。在該第一電腦系統與一用戶端電腦系統之間建立一安全鑑認連接之後,該用戶端電腦系統可提交關於一記憶體裝置之一請求。若該第一電腦系統判定該用戶端電腦系統有資格操作或控制該記憶體裝置,則該第一電腦系統與該第二電腦系統通信以使用儲存於該第二電腦系統中的與該記憶體裝置之一唯一識別相關聯的至少一密碼編譯金鑰來產生對該請求之一回應,而無需將該密碼編譯金鑰傳輸至該第二電腦系統外部。

Description

用於經由電腦網路以控制記憶體裝置之伺服器系統
本文中揭示之至少一些實施例大體上係關於電腦安全,且更特定言之(但不限於)控制記憶體裝置之安全操作。
一記憶體子系統可包含儲存資料之一或多個記憶體裝置。記憶體裝置可為舉例而言非揮發性記憶體裝置及揮發性記憶體裝置。一般而言,一主機系統可利用一記憶體子系統以將資料儲存於記憶體裝置處且從記憶體裝置擷取資料。
根據一項實施例,一種方法包括:藉由一第一電腦系統與一用戶端電腦系統建立一安全鑑認連接;在該第一電腦系統中經由該連接從該用戶端電腦系統接收關於一記憶體裝置之一請求;基於儲存於該第一電腦系統中之資料而判定該用戶端電腦系統有資格操作該記憶體裝置;及藉由該第一電腦系統與一第二電腦系統通信以使用儲存於該第二電腦系統中的與該記憶體裝置之一唯一識別相關聯的至少一密碼編譯金鑰來產生對該請求之一回應。
根據一項實施例,一種電腦系統包括:記憶體,其儲存指示用戶端電腦系統控制記憶體裝置之特權之資料;及至少一個處理器,其經由一指令集組態以:與一用戶端電腦系統建立一安全鑑認連接;經由該連接從該用戶端電腦系統接收關於一記憶體裝置之一請求;基於指示該等特權之資料而判定該用戶端電腦系統有資格控制該記憶體裝置;及與一伺服器電腦通信以使用儲存於該伺服器電腦中的與該記憶體裝置之一唯一識別相關聯的至少一密碼編譯金鑰來產生對該請求之一回應,其中在未從該伺服器電腦傳輸該密碼編譯金鑰之情況下產生該回應。
根據一項實施例,一種非暫時性電腦儲存媒體,其儲存在藉由一電腦系統執行時導致該電腦系統執行一方法之指令,該方法包括:與一用戶端電腦系統建立一安全鑑認連接;經由該連接從該用戶端電腦系統接收關於一記憶體裝置之一請求;基於儲存於該電腦系統中且表示用戶端電腦系統控制記憶體裝置之特權之資料而判定該用戶端電腦系統有資格控制該記憶體裝置;及與一伺服器電腦通信以使用儲存於該伺服器電腦中的與該記憶體裝置之一唯一識別相關聯的至少一密碼編譯金鑰來產生對該請求之一回應,其中在未從該伺服器電腦傳輸該密碼編譯金鑰之情況下產生該回應。
本發明之至少一些態樣係關於經組態以控制記憶體裝置(諸如記憶體裝置之安全特徵之啟動、指示記憶體裝置執行安全操作之特權之轉移等)之一伺服器系統。
一記憶體裝置可製造為包含一安全管理器。可啟動安全管理器以控制對記憶體裝置中之記憶體胞元之存取。可使用密碼技術來實施存取控制。舉例而言,擁有一密碼編譯金鑰之一實體可具備指示記憶體裝置執行限制操作之特權。此等操作之實例可包含改變記憶體裝置之一安全設定或組態,讀取記憶體裝置中之記憶體胞元之一部分,將資料寫入至記憶體胞元之一部分中,從記憶體胞元之一部分刪除資料,更新記憶體胞元之一部分中之資料等。保全存取控制中使用之密碼編譯金鑰及保全特權之轉移係一項挑戰。
本發明之至少一些態樣藉由具有一金鑰管理伺服器及一存取控制伺服器之一伺服器系統解決上述及其他缺陷及/或挑戰。
金鑰管理伺服器經組態以保全密碼編譯金鑰且保全涉及密碼編譯金鑰之運算。金鑰管理伺服器實施涉及並非特定於記憶體裝置及用戶端之密碼編譯金鑰之操作。因此,可限制、簡化及/或標準化金鑰管理伺服器之功能性以改良安全性。
存取控制伺服器儲存用戶端資訊且經組態以執行特定於不同用戶端及/或不同記憶體裝置之運算及/或安全任務。存取控制伺服器經組態於金鑰管理伺服器與記憶體裝置所連接至之用戶端電腦系統之間。用戶端電腦系統請求存取控制伺服器提供涉及儲存於金鑰管理伺服器中之密碼編譯金鑰之回應。存取控制伺服器處理請求以判定是否使用金鑰管理伺服器之服務來產生回應。存取控制系統可充當金鑰管理伺服器之一守門及/或代理,拒絕來自未列入白名單之電腦系統之連接,保護金鑰管理伺服器使之免受拒絕服務(DoS)攻擊,且使用金鑰管理伺服器之密碼編譯金鑰管理功能性來實施用戶端/裝置特定之操作。藉由控制對金鑰管理伺服器之存取,存取控制伺服器可降低金鑰管理伺服器之安全風險且提供豐富服務以適應各種類型之記憶體裝置、控制活動及用戶端偏好。
一記憶體裝置可經組態以具有一唯一識別碼。可使用密碼技術鑑認識別碼以防止偽造裝置及/或篡改裝置存取服務且防止不安全操作。可基於記憶體裝置之硬體及儲存於記憶體裝置中之選定資料產生識別碼以整體上表示記憶體裝置之硬體及軟體之組合。此外,記憶體裝置可經組態以向擁有一或多個密碼編譯金鑰之實體提供請求記憶體裝置執行與記憶體裝置之安全態樣相關之命令之特權。金鑰管理伺服器可用於記憶體裝置之唯一識別碼之驗證及特權之轉移。
舉例而言,一記憶體裝置可儲存一祕密以用於其鑑認。在一安全設施中製造記憶體裝置期間,一唯一裝置祕密(UDS)可注入記憶體裝置中且儲存於記憶體裝置之一受保護及存取控制區域中。根據裝置識別碼合成引擎(DICE)及穩健物聯網路(RIoT)之標準及/或實施方案,可在啟動時間基於唯一裝置祕密(UDS)及儲存於安全記憶體裝置中之其他非祕密資料之一組合而產生一密碼編譯金鑰。接著,可使用密碼編譯金鑰作為記憶體裝置之一祕密及一識別碼。
在安全設施中製造記憶體裝置期間,在金鑰管理伺服器中註冊記憶體裝置之唯一裝置祕密(UDS)。隨後,在從記憶體裝置之製造商運送記憶體裝置之後,不會藉由記憶體裝置在記憶體裝置之一安全區段外部及/或不在記憶體裝置外部匯出、提供、傳達唯一裝置祕密(UDS)。由於唯一裝置祕密(UDS)在記憶體裝置與金鑰管理伺服器之間係已知的,故記憶體裝置130及金鑰管理伺服器兩者可執行使用唯一裝置祕密(UDS)來產生一密碼編譯金鑰之相同運算。至少部分基於唯一裝置祕密(UDS)導出密碼編譯金鑰以用於鑑認記憶體裝置。
舉例而言,可透過認證記憶體裝置具有密碼編譯金鑰及因此唯一裝置祕密且儲存非祕密資料之一未篡改版本來執行記憶體裝置之鑑認。記憶體裝置可使用密碼編譯金鑰數位簽署一憑證或訊息。若可認證數位簽章已使用密碼編譯金鑰創建,則記憶體裝置被視為擁有密碼編譯金鑰且因此具有表示唯一裝置祕密且與其相關聯之識別碼。
可藉由將密碼函數應用於一訊息且使用一密碼編譯金鑰來達成該訊息之數位鑑認。舉例而言,對稱密碼及/或非對稱密碼可依賴於雜湊作為使用密碼編譯金鑰數位簽署之內容。舉例而言,可藉由創建一訊息鑑認碼(MAC) (例如,一基於雜湊之訊息鑑認碼(HMAC)或一基於密碼之訊息鑑認碼(CMAC))執行使用對稱密碼之簽署。舉例而言,可藉由創建一數位簽章(例如,使用數位簽章演算法(DSA)或橢圓曲線數位簽章演算法(ECDSA))執行使用非對稱密碼之簽署。密碼函數可包含雜湊及加密,其等通常用於產生添加至訊息之一標頭以用於鑑認。在使用對稱密碼時,標頭可為一雜湊摘要,或在應用非對稱密碼時,標頭可為一數位簽章。接著,訊息之接收者可將類似密碼函數應用於所接收訊息且使用一密碼編譯金鑰來鑑認藉由擁有適當密碼編譯金鑰之一受信任方發送訊息之內容。舉例而言,可解密標頭中之加密雜湊值以與獨立於訊息計算之一雜湊值進行比較。若從訊息計算之雜湊值與從解密標頭(例如,數位簽章及/或雜湊摘要)復原之雜湊值之間存在匹配,則可鑑於雜湊值確認訊息之完整性;且可見標頭已使用密碼編譯金鑰創建。
在啟動時間產生之密碼編譯金鑰可用於在啟動時間簽署憑證且立即摒棄以保護其等保密性。替代地,在啟動時間產生之金鑰可保存在記憶體中以稍後在運行時間使用。在一些情況中,在啟動時間使用之密碼編譯金鑰被稱為DICE裝置ID金鑰且在運行時間使用之金鑰被稱為DICE別名金鑰。在一些情況中,裝置ID祕密金鑰可用於簽署包含別名公用金鑰之一憑證以證明別名金鑰係從記憶體裝置產生。
在一些配置中,當將一記憶體裝置從製造記憶體裝置之一設施運送至記憶體裝置安裝於其中之一運算裝置之一原始設備製造商(OEM)時,最初撤銷啟動該記憶體裝置之至少一些安全特徵。可向記憶體裝置提供一命令以啟動非作用安全特徵。
使命令被一記憶體裝置接受以執行之特權可與一密碼編譯金鑰相關聯。當記憶體裝置認證經由正確密碼編譯金鑰數位簽署命令時,記憶體裝置執行命令;否則,記憶體裝置可拒絕或忽略命令。啟動或撤銷啟動安全特徵或讀取、寫入、更新、刪除及/或修改記憶體胞元之一安全區段之各種命令可經組態以需要基於相關密碼編譯金鑰之特權。
舉例而言,一記憶體裝置經組態以儲存用於認證一實體在請求記憶體裝置執行一命令時之特權之一密碼編譯金鑰。可藉由使用密碼編譯金鑰檢查是否藉由使用一對應密碼編譯金鑰簽署命令而認證特權。當使用對稱密碼時,將使用儲存於記憶體裝置中之相同密碼編譯金鑰來簽署命令以認證特權。當使用非對稱密碼時,將使用與儲存於記憶體裝置中之公用金鑰相關聯的一祕密金鑰來簽署命令以認證特權。
最初可向一記憶體裝置之製造商提供操作該記憶體裝置之至少一些特權。舉例而言,記憶體裝置可經製造以儲存製造商之一公用金鑰以允許藉由記憶體裝置透過使用製造商之一對應祕密金鑰驗證套用至一命令上之一數位簽章檢查特權。替代地,當使用對稱密碼時,記憶體裝置經製造以儲存在記憶體裝置與製造商之間已知之一祕密密碼編譯金鑰以用於數位簽章驗證。
一特權可從記憶體裝置之製造商轉移至另一實體,諸如記憶體裝置安裝於其中之一運算裝置之一製造商。該轉移可藉由替換儲存於記憶體裝置中之對應密碼編譯金鑰,或藉由提供可用於簽署命令之密碼編譯金鑰來完成。
存取控制伺服器可使用金鑰管理伺服器之服務安全地認證記憶體裝置之識別碼,簽署需要特權之命令,及/或轉移特權。
舉例而言,可將一組特權指派給被視為一記憶體裝置之擁有者之一實體。可經由儲存於記憶體裝置內之一密碼編譯金鑰認證擁有者特權。可需要此等特權之實例以:啟動記憶體裝置之安全特徵;更新記憶體裝置之一識別碼(例如,基於儲存於記憶體裝置中之經更新非安全資料);及將擁有者特權轉移至另一實體(諸如記憶體裝置安裝於其中之一運算裝置之製造商)。記憶體裝置之一目前擁有者可數位簽署特權命令以請求其等在記憶體裝置中執行。
可進一步需要所有權特權以撤銷啟動選定安全特徵,管理記憶體裝置中之密碼編譯金鑰以鑑認授權使用記憶體裝置中之一或多個安全區段之使用者,及/或管理至少部分基於記憶體裝置之唯一裝置祕密而產生之記憶體裝置及/或運算裝置之識別碼。
圖1展示根據一項實施例之經組態以控制記憶體裝置之一伺服器系統102。伺服器系統102包含一金鑰管理伺服器103及一存取控制伺服器101。
在圖1中,金鑰管理伺服器103經組態以儲存使密碼編譯金鑰124與唯一識別122相關聯之資料。
舉例而言,密碼編譯金鑰124可經組態用於一記憶體裝置130之一安全管理器113之操作。安全管理器113可具有在一安全設施中製造記憶體裝置130期間註冊至金鑰管理伺服器103中之一唯一裝置祕密(UDS)。證實記憶體裝置130擁有唯一裝置祕密(UDS)之一密碼操作可被視為驗證記憶體裝置130係真實的。
儲存於記憶體裝置130之金鑰管理伺服器103中之密碼編譯金鑰124可包含唯一裝置祕密(UDS)。此外,密碼編譯金鑰124可包含可與唯一裝置祕密(UDS)組合以產生導出之密碼編譯金鑰124的資料。用於產生導出之密碼編譯金鑰124之此資料可包含非祕密資料,諸如從將一密碼雜湊函數應用於儲存或將儲存於記憶體裝置130中之一資料及/或指令集而獲取之雜湊值。密碼編譯金鑰124可包含使用唯一裝置祕密(UDS)及非祕密資料產生之經導出密碼編譯金鑰124。記憶體裝置130及金鑰管理伺服器103經組態以基於唯一裝置祕密(UDS)及其他資料(例如,非祕密資料)而產生相同經導出密碼編譯金鑰124。由於記憶體裝置130及金鑰管理伺服器103可獨立地產生相同導出金鑰,故在記憶體裝置130及金鑰管理伺服器103外部不會執行唯一裝置祕密(UDS)之通信以鑑認記憶體裝置130之識別碼。此一配置改良安全性。
記憶體裝置130可藉由展示其具有至少部分基於記憶體裝置130之唯一裝置祕密(UDS)導出之一祕密密碼編譯金鑰124而證實其擁有金鑰管理伺服器103已知之唯一裝置祕密(UDS)。舉例而言,祕密密碼編譯金鑰可用於產生套用至一訊息上之一數位簽章;且金鑰管理伺服器103可使用一對應金鑰來認證使用從記憶體裝置130之唯一裝置祕密(UDS)導出之祕密密碼編譯金鑰施加數位簽章。對應金鑰可為使用對稱密碼之相同祕密密碼編譯金鑰124,或對應於使用非對稱密碼之祕密祕密金鑰之一公用金鑰。數位簽章可呈一基於雜湊之訊息鑑認碼(HMAC)之形式或呈簽署訊息之一加密雜湊之形式。
一般而言,一密碼編譯金鑰可為其中加密及解密兩者經組態以使用相同金鑰之對稱密碼中使用之一對稱密碼編譯金鑰。替代地,密碼編譯金鑰可為非對稱密碼中使用之一對金鑰之一者,其中使用一個金鑰執行之加密將使用另一金鑰解密但不可使用加密中使用之相同金鑰解密;且從該對中之一個金鑰判定另一金鑰通常係不切實際的。因此,可使用金鑰對之一者作為一祕密及因此一祕密金鑰;且另一金鑰可揭露為一公用金鑰。使用公用金鑰,不具有祕密金鑰之一實體可認證是否使用對應祕密金鑰產生密文。
記憶體裝置130可包含從一群體中之其他記憶體裝置唯一地識別記憶體裝置130之一唯一識別(UID) 122。舉例而言,記憶體裝置130之唯一識別(UID) 122可包含記憶體裝置130之一製造商零件編號(MPN)及/或記憶體裝置130之一序列號。舉例而言,記憶體裝置130之唯一識別(UID) 122可包含至少部分基於唯一裝置祕密產生之一對非對稱密碼編譯金鑰中之一公用金鑰。
在記憶體裝置130連接至一用戶端電腦系統105之後,用戶端電腦系統105可起始依賴於儲存於金鑰管理伺服器103中的與記憶體裝置130之唯一識別(UID) 122相關聯的密碼編譯金鑰124之一或多個操作。
舉例而言,用戶端電腦系統105可請求認證如藉由記憶體裝置130之一唯一裝置祕密(UDS)或一祕密金鑰表示之記憶體裝置130之識別碼。用戶端電腦系統105可請求記憶體裝置130提供識別碼資料,其包含記憶體裝置130之唯一識別(UID) 122,及使用記憶體裝置130之一祕密金鑰套用至包含於識別碼資料中之一訊息上之一數位簽章。舉例而言,訊息可包含唯一識別(UID) 122、一密碼編譯隨機數及一計數器值。識別碼資料可傳輸至金鑰管理伺服器103以使用與記憶體裝置130之唯一識別(UID) 122相關聯的一對應密碼編譯金鑰124進行鑑認。
在圖1之系統中,存取控制伺服器101經組態於用戶端電腦系統105與金鑰管理伺服器103之間。存取控制伺服器101儲存用戶端特權資料127及記憶體裝置權限資料129。
舉例而言,用戶端特權資料127可包含被允許存取金鑰管理伺服器103之功能性之用戶端電腦系統(例如,105、…、106)之網際網路協定(IP)位址之一白名單。當不在白名單上之一電腦系統向存取控制伺服器101發送一請求時,存取控制伺服器101可丟棄或忽略請求。存取控制伺服器101可經組態以防止對金鑰管理伺服器103之拒絕服務(DoS)攻擊。
圖1繪示經組態以允許一組用戶端電腦系統(例如,105、…、106)使用金鑰管理伺服器103之功能性之一個存取控制伺服器101之使用。一般而言,複數個存取控制伺服器101可經組態以允許不同組用戶端電腦系統存取金鑰管理伺服器103。在一些實施方案中,一用戶端電腦系統105可使用多個存取控制伺服器(例如,101)之一或多者來存取金鑰管理伺服器103之功能性。
存取控制伺服器101及用戶端電腦系統105可經由一非安全通信媒體(諸如網際網路)建立一安全鑑認連接201。舉例而言,存取控制伺服器101經組態以基於用戶端電腦系統105之一憑證121鑑認用戶端電腦系統105之識別碼;且用戶端電腦系統105經組態以基於存取控制伺服器101之一憑證123鑑認存取控制伺服器101之識別碼。舉例而言,可由用戶端電腦系統105使用存取控制伺服器101之一公用金鑰來認證存取控制伺服器101擁有與公用金鑰相關聯之祕密金鑰;且可由存取控制伺服器101使用用戶端電腦系統105之一公用金鑰來認證用戶端電腦系統105擁有與公用金鑰相關聯之祕密金鑰。用戶端電腦系統105及存取控制伺服器101可協商一工作階段金鑰以用於在一通信工作階段期間加密在用戶端電腦系統105與存取控制伺服器101之間傳輸之訊息。
儲存於存取控制系統101中之記憶體裝置權限資料129指示用戶端電腦系統105是否具有正當理由存取藉由其唯一識別(UID) 122識別之記憶體裝置130之金鑰管理伺服器103。視情況,權限資料129指示用戶端電腦系統105是否具有正當理由存取一或多個記憶體裝置(例如,130)之金鑰管理伺服器103,而無需藉由其等唯一識別具體及/或個別地識別各自記憶體裝置(例如,130)。在一些實施方案中,權限資料129指示用戶端電腦系統105是否具有正當理由存取使用一批次或群組識別識別之一特定批次或群組記憶體裝置(例如,130)之金鑰管理伺服器103。
舉例而言,若藉由操作用戶端電腦系統105之一實體購買記憶體裝置130,則記憶體裝置權限資料129指示操作記憶體裝置130之所有權特權可經由用戶端電腦系統105轉移至實體。因此,可使用金鑰管理伺服器103之功能性來接受且服務對記憶體裝置130操作之一請求。舉例而言,可作出此一請求以認證記憶體裝置130之真實性,啟動記憶體裝置130之安全特徵,替換及/或安裝記憶體裝置130中之一些密碼編譯金鑰124,存取記憶體裝置130之記憶體胞元107之一***分等。然而,若記憶體裝置130之唯一識別(UID) 122不與記憶體裝置權限資料129中之用戶端電腦系統105相關聯,則可丟棄或拒絕請求。
在一些實施方案中,金鑰管理伺服器103及存取控制伺服器101亦可經由一非安全通信媒體(諸如網際網路)通信。金鑰管理伺服器103及存取控制伺服器101可使用其等各自憑證(例如,123及125)建立安全鑑認連接203。
視情況,金鑰管理伺服器103及存取控制伺服器101可使用專用通信連接進行連接及/或經組態用於改良一內部網路內之安全性。
存取控制伺服器101可請求金鑰管理伺服器103判定是否使用從記憶體裝置130之UID 122之一唯一裝置祕密導出之一密碼編譯金鑰124簽署來自記憶體裝置130之一數位簽章。
視情況,存取控制伺服器101可請求金鑰管理伺服器103在一訊息或命令上產生一數位簽章。
舉例而言,金鑰管理伺服器103可儲存表示操作記憶體裝置130之一特權之一目前持有者之一祕密金鑰;且在認證記憶體裝置130係真實的且用戶端電腦系統105有資格請求轉移特權之後,存取控制伺服器101可請求金鑰管理伺服器103使用表示特權(諸如組態記憶體裝置130之安全操作之一特權)之目前持有者之祕密金鑰簽署一命令。命令可經組態以改變或替換記憶體裝置130中使用之資料之一部分以產生記憶體裝置130之識別碼資料,改變或更新一特權之一持有者之一公用金鑰,添加或改變一授權使用者之一公用金鑰以在記憶體胞元107之一區段中執行一受限操作。受限操作之實例包含在記憶體裝置130中之記憶體胞元107之一區段中讀取、寫入、擦除及/或更新資料。
可使用記憶體裝置130作為一主機系統之一儲存裝置及/或一記憶體模組。下文結合圖2描述儲存裝置及記憶體模組之實例。一般而言,一主機系統可利用包含一或多個組件(諸如儲存資料之記憶體裝置130)之一記憶體子系統。主機系統可提供待儲存於記憶體子系統處之資料且可請求待從記憶體子系統擷取之資料。
圖2繪示根據本發明之一些實施例之包含一記憶體子系統110之一實例運算系統100。記憶體子系統110可包含媒體,諸如一或多個揮發性記憶體裝置(例如,記憶體裝置140)、一或多個非揮發性記憶體裝置(例如,記憶體裝置130)或此等之一組合。
一記憶體子系統110可為一儲存裝置、一記憶體模組或一儲存裝置及記憶體模組之一混合物。一儲存裝置之實例包含一固態磁碟(SSD)、一快閃驅動器、一通用串列匯流排(USB)快閃驅動器、一嵌入式多媒體控制器(eMMC)驅動器、一通用快閃儲存器(UFS)驅動器、一安全數位(SD)卡及一硬碟機(HDD)。記憶體模組之實例包含一雙列直插記憶體模組(DIMM)、一小輪廓DIMM (SO-DIMM)及各種類型之非揮發性雙列直插記憶體模組(NVDIMM)。
運算系統100可為一運算裝置,諸如一桌上型電腦、一膝上型電腦、一網路伺服器、一行動裝置、一運載工具(例如,飛機、無人機、火車、汽車或其他交通工具)、啓用物聯網(IoT)之裝置、一嵌入式電腦(例如,包含於一運載工具、工業裝備或一網路商業裝置中之嵌入式電腦)或包含記憶體及一處理裝置之此一運算裝置。
運算系統100可包含耦合至一或多個記憶體子系統110的一主機系統120。圖3繪示耦合至一個記憶體子系統110之一主機系統120之一個實例。如本文中使用,「耦合至」或「與…耦合」通常係指組件之間之一連接,其可為一間接通信連接或直接通信連接(例如,無中介組件) (有線或無線),包含諸如電氣、光學、磁性等之連接。
主機系統120可包含一處理器晶片組(例如,處理裝置118)及藉由該處理器晶片組執行之一軟體堆疊。處理器晶片組可包含一或多個核心、一或多個快取區、一記憶體控制器(例如,控制器116) (例如,NVDIMM控制器)及一儲存協定控制器(例如,PCIe控制器、SATA控制器)。主機系統120使用記憶體子系統110 (舉例而言)以將資料寫入至記憶體子系統110且從記憶體子系統110讀取資料。
主機系統120可經由一實體主機介面耦合至記憶體子系統110。一實體主機介面之實例包含(但不限於)一串列進階附接技術(SATA)介面、一周邊組件互連快速(PCIe)介面、一通用串列匯流排(USB)介面、一光纖通道、一串列附接SCSI (SAS)介面、一雙倍資料速率(DDR)記憶體匯流排介面、一小型電腦系統介面(SCSI)、一雙列直插記憶體模組(DIMM)介面(例如,支援雙倍資料速率(DDR)之DIMM套接字介面)、一開放式NAND快閃介面(ONFI)、一雙倍資料速率(DDR)介面、一低功率雙倍資料速率(LPDDR)介面或任何其他介面。可使用實體主機介面以在主機系統120與記憶體子系統110之間傳輸資料。當記憶體子系統110藉由PCIe介面與主機系統120耦合時,主機系統120可進一步利用一NVM快速(NVMe)介面來存取組件(例如,記憶體裝置130)。實體主機介面可提供用於在記憶體子系統110與主機系統120之間傳遞控制、位址、資料及其他信號之一介面。圖2繪示一記憶體子系統110作為一實例。一般而言,主機系統120可經由一相同通信連接、多個分開之通信連接及/或通信連接之一組合存取多個記憶體子系統。
主機系統120之處理裝置118可為舉例而言一微處理器、一中央處理單元(CPU)、一處理器之一處理核心、一執行單元等。在一些例項中,控制器116可被稱為一記憶體控制器、一記憶體管理單元及/或一起始器。在一個實例中,控制器116經由耦合在主機系統120與記憶體子系統110之間之一匯流排控制通信。一般而言,控制器116可將命令或請求發送至記憶體子系統110以期望存取記憶體裝置130、140。控制器116可進一步包含與記憶體子系統110通信的介面電路系統。介面電路系統可將從記憶體子系統110接收之回應轉換成用於主機系統120之資訊。
主機系統120之控制器116可與記憶體子系統110之控制器115通信以執行諸如在記憶體裝置130、140處讀取資料、寫入資料或擦除資料及其他此等操作的操作。在一些例項中,控制器116整合於處理裝置118之相同封裝內。在其他例項中,控制器116與處理裝置118之封裝分離。控制器116及/或處理裝置118可包含硬體,諸如一或多個積體電路(IC)及/或離散組件、一緩衝記憶體、一快取記憶體、或其等之一組合。控制器116及/或處理裝置118可為一微控制器、專用邏輯電路系統(例如,一場可程式化閘陣列(FPGA)、一特定應用積體電路(ASIC)等)、或另一適合處理器。
記憶體裝置130、140可包含不同類型之非揮發性記憶體組件及/或揮發性記憶體組件之任何組合。揮發性記憶體裝置(例如,記憶體裝置140)可為(但不限於)隨機存取記憶體(RAM),諸如動態隨機存取記憶體(DRAM)及同步動態隨機存取記憶體(SDRAM)。
非揮發性記憶體組件之一些實例包含一反及(或,非與) (NAND)型快閃記憶體及就地寫入記憶體,諸如三維交叉點(「3D交叉點」)記憶體。非揮發性記憶體之一交叉點陣列可結合一可堆疊交叉柵格資料存取陣列基於體電阻之變化來執行位元儲存。此外,與許多基於快閃之記憶體相比,交叉點非揮發性記憶體可執行一就地寫入操作,其中一非揮發性記憶體胞元可在先前未擦除該非揮發性記憶體胞元之情況下程式化。NAND型快閃記憶體包含(舉例而言)二維NAND (2D NAND)及三維NAND (3D NAND)。
記憶體裝置130之各者可包含一或多個記憶體胞元陣列。一種類型之記憶體胞元(舉例而言,單位階胞元(SLC))可每胞元儲存一個位元。其他類型之記憶體胞元(諸如多位階胞元(MLC)、三位階胞元(TLC)、四位階胞元(QLC)及五位階胞元(PLC))可每胞元儲存多個位元。在一些實施例中,記憶體裝置130之各者可包含一或多個記憶體胞元(諸如SLC、MLC、TLC、QLC、PLC或此等之任何組合)陣列。在一些實施例中,一特定記憶體裝置可包含記憶體胞元之一SLC部分、一MLC部分、一TLC部分、一QLC部分及/或一PLC部分。可將記憶體裝置130之記憶體胞元分組為可指代用於儲存資料之記憶體裝置之一邏輯單元之頁面。對於一些類型之記憶體(例如,NAND),可對頁面分組以形成區塊。
儘管描述諸如3D交叉點類型及NAND類型記憶體(例如,2D NAND、3D NAND)之非揮發性記憶體裝置,然記憶體裝置130可基於任何其他類型之非揮發性記憶體,諸如唯讀記憶體(ROM)、相變記憶體(PCM)、自選擇記憶體、其他基於硫屬化物之記憶體、鐵電電晶體隨機存取記憶體(FeTRAM)、鐵電隨機存取記憶體(FeRAM)、磁隨機存取記憶體(MRAM)、自旋轉移扭矩(STT)-MRAM、導電橋接RAM (CBRAM)、電阻式隨機存取記憶體(RRAM)、基於氧化物之RRAM (OxRAM)、或非(NOR)快閃記憶體及電可擦除可程式化唯讀記憶體(EEPROM)。
一記憶體子系統控制器115 (或為簡單起見,控制器115)可與記憶體裝置130通信以執行諸如在記憶體裝置130處讀取資料、寫入資料或擦除資料及其他此等操作(例如,回應於藉由控制器116在一命令匯流排上排程之命令)的操作。控制器115可包含硬體,諸如一或多個積體電路(IC)及/或離散組件、一緩衝記憶體、或其等之一組合。硬體可包含具有專用(例如,硬寫碼)邏輯之數位電路系統以執行本文中描述之操作。控制器115可為一微控制器、專用邏輯電路系統(例如,一場可程式化閘陣列(FPGA)、一特定應用積體電路(ASIC)等)、或另一適合處理器。
控制器115可包含經組態以執行儲存於一本端記憶體119中之指令的一處理裝置117 (例如,處理器)。在所繪示實例中,控制器115之本端記憶體119包含一嵌入式記憶體,其經組態以儲存用於執行各種程序、操作、邏輯流程、及控制記憶體子系統110之操作(包含處置記憶體子系統110與主機系統120之間之通信)之常式的指令。
在一些實施例中,本端記憶體119可包含儲存記憶體指標、提取資料等的記憶體暫存器。本端記憶體119亦可包含用於儲存微程式碼的唯讀記憶體(ROM)。雖然圖2中之實例記憶體子系統110已被繪示為包含控制器115,但在本發明之另一實施例中,一記憶體子系統110不包含一控制器115,且可代替地依靠外部控制(例如,藉由一外部主機或與記憶體子系統分離之一處理器或控制器提供)。
一般而言,控制器115可從主機系統120接收命令或操作且可將該等命令或操作轉換成指令或適當命令以達成對記憶體裝置130之期望存取。控制器115可負責其他操作,諸如磨損均衡操作、廢棄項目收集操作、錯誤偵測及錯誤校正碼(ECC)操作、加密操作、快取操作、及與記憶體裝置130相關聯之一邏輯位址(例如,邏輯區塊位址(LBA)、命名空間)與一實體位址(例如,實體區塊位址)之間之位址轉譯。控制器115可進一步包含經由實體主機介面與主機系統120通信的主機介面電路系統。主機介面電路系統可將從主機系統接收之命令轉換成存取記憶體裝置130之命令指令以及將與記憶體裝置130相關聯之回應轉換成主機系統120之資訊。
記憶體子系統110亦可包含未繪示的額外電路系統或組件。在一些實施例中,記憶體子系統110可包含一快取區或緩衝區(例如,DRAM)及可從控制器115接收一位址且解碼位址以存取記憶體裝置130的位址電路系統(例如,一列解碼器及一行解碼器)。
在一些實施例中,記憶體裝置130包含本端媒體控制器150,其結合記憶體子系統控制器115操作以對記憶體裝置130之一或多個記憶體胞元執行操作。一外部控制器(例如,記憶體子系統控制器115)可在外部管理記憶體裝置130 (例如,對記憶體裝置130執行媒體管理操作)。在一些實施例中,一記憶體裝置130係一受管理記憶體裝置,其係與用於相同記憶體裝置封裝內之媒體管理之一本端控制器(例如,本端媒體控制器150)組合之一原始記憶體裝置。一受管理記憶體裝置之一實例係一受管理NAND (MNAND)裝置。
控制器115及/或一記憶體裝置130可包含經組態以控制對記憶體裝置130中之記憶體胞元107之存取的一安全管理器113。在一些實施例中,記憶體子系統110中之控制器115及/或本端媒體控制器150可包含安全管理器113之至少一部分。在其他實施例中,或組合地,主機系統120中之控制器116及/或處理裝置118可包含安全管理器113之至少一部分。舉例而言,控制器115、控制器116及/或處理裝置118可包含實施安全管理器113之邏輯電路系統。舉例而言,控制器115或主機系統120之處理裝置118 (例如,處理器)可經組態以執行儲存於記憶體中之指令以用於執行本文中描述之安全管理器113之操作。在一些實施例中,在安置於記憶體子系統110中之一積體電路晶片中實施安全管理器113。在其他實施例中,安全管理器113可為記憶體子系統110之韌體之部分、主機系統120之一作業系統、一裝置驅動程式或一應用程式或其中任何組合。
舉例而言,當最初從記憶體裝置之一製造商運送記憶體裝置130時,記憶體裝置130經組態具有製造商之一密碼編譯金鑰以向製造商提供組態記憶體裝置130之安全操作之特權。為促進記憶體裝置130安裝於其中之圖2之運算系統100之組裝,特權可被提供或轉移至運算系統100之製造商。轉移可包含在鑑認記憶體裝置130之識別碼之後經由存取控制伺服器101啟動記憶體裝置130之安全特徵。視情況,可藉由替換控制特權之密碼編譯金鑰來將特權轉移至運算系統100之製造商以組態記憶體裝置130之安全操作。在啟動之後,安全管理器113可控制安裝於記憶體裝置130中之軟體/韌體以操作運算系統100,且產生不僅表示記憶體裝置130而且表示具有記憶體裝置130及其他軟體/硬體組件之運算系統100之識別碼資料。
安全管理器113可不僅基於其唯一裝置祕密(UDS),而且基於儲存於記憶體裝置130中以藉由主機系統120之處理裝置118執行之指令來構建記憶體裝置130之一識別碼。舉例而言,安全管理器113可判定待在運算系統100之啟動時間期間執行之一指令集之一密碼雜湊值。安全管理器113可藉由比較在啟動時間運算之雜湊值與一預計算雜湊值來檢查指令集之完整性。若兩個雜湊值彼此一致,則可認為指令集尚未被篡改及/或損壞。因此,可在運算系統100中執行指令集以進一步實施安全管理器113之安全操作及/或運算系統100之啟動操作。視情況,雜湊值之認證可為使用透過在運算系統100之啟動時間期間執行指令集之至少一部分而產生之一憑證來鑑認作為一端點之運算系統100之部分。
舉例而言,可至少部分基於指令集之雜湊值來產生記憶體裝置130之一識別符。因此,當透過使用憑證鑑認來認證記憶體裝置130之識別符時,可認為指令集之雜湊值已被認證為正確;且用於產生憑證且啟動運算系統100之指令集尚未被篡改及/或損壞。
運算系統100中之指令集之執行導致運算系統100判定運算系統100之其他組件之識別符,諸如處理裝置118之一識別符、控制器116之一識別符、記憶體子系統控制器115之一識別符、記憶體裝置140之一識別符、及/或一軟體程式(例如,一作業系統、一裝置驅動程式、一應用程式等)之一識別符。具有記憶體裝置130之運算系統100中之組件之該組識別符(包含記憶體裝置130之識別符)可經組合以產生用於簽署一憑證之一密碼編譯金鑰。憑證基於每當啟動運算系統100時及/或每當記憶體裝置130執行一安全操作時增加之一單調遞增計數器值。視情況,憑證可展示用於產生用於簽署憑證之密碼編譯金鑰之一些識別符。憑證亦可包含在啟動時間產生之一DICE別名公用金鑰。
憑證可經由一電腦網路傳達至一遠端電腦(例如,存取控制伺服器101)以進行鑑認。當鑑認憑證時,可推斷用於產生憑證之指令集之完整性係完整的,且運算系統100具有與藉由用於產生用於簽署憑證之密碼編譯金鑰之識別符表示之該組組件組合之記憶體裝置130。此外,包含於憑證中之單調計數器值允許其接收者認證其是最近產生的,且因此其可被信任。憑證持有一DICE別名公用金鑰,其可與(例如,儲存於遠端電腦上,或即時運算以回應於憑證而使用之) DICE別名公用金鑰進行比較。若兩個金鑰匹配,則遠端電腦可信任藉由端點發送且用DICE別名祕密金鑰簽署之進一步訊息。
圖3繪示根據一項實施例之具有一安全管理器之一積體電路記憶體裝置。舉例而言,可使用圖3之積體電路記憶體裝置130來實施圖2之記憶體子系統110中之記憶體裝置130及/或連接至圖1中之用戶端電腦系統105之記憶體裝置130。
積體電路記憶體裝置130可圍封於一單一積體電路封裝中。積體電路記憶體裝置130包含可形成於一或多個積體電路晶粒中之多個記憶體區131、…、133。一記憶體區131、…、133中之一典型記憶體胞元可經程式化以儲存一或多個資料位元。
本端媒體控制器150可包含經組態以控制對記憶體區131、…、133之至少一者之存取之一安全管理器113之至少一部分。
舉例而言,安全管理器113可使用一存取控制金鑰153來實施一類操作之特權。當在積體電路記憶體裝置130中接收到此一類型之一操作之一請求時,安全管理器113可使用存取控制金鑰153來認證是否使用一對應密碼編譯金鑰數位簽署該請求。舉例而言,請求者可使用一密碼編譯金鑰數位簽署該請求或一質詢訊息,使得可使用存取控制金鑰153來認證數位簽章。當使用存取控制金鑰153執行之數位簽章認證成功時,藉由記憶體裝置130執行所請求操作。否則,可拒絕或忽略請求。
舉例而言,特權可為允許將資料寫入一記憶體區(例如,131)中以防止篡改儲存於記憶體區中之資料,諸如運算系統100之一啟動載入程式171、運算系統100之韌體/軟體/作業系統、記憶體裝置130之安全設定等。
記憶體裝置130可具有識別記憶體裝置130之一唯一識別151及證實具有唯一識別151之記憶體裝置130之真實性之一祕密密碼編譯金鑰155。舉例而言,可從記憶體裝置130之一唯一裝置祕密(UDS)及其他資料(諸如儲存於一記憶體區(例如,131)中之非祕密資料之資訊及/或運算系統100之其他組件之資訊)產生密碼編譯金鑰155。
積體電路記憶體裝置130具有一通信介面147以從一記憶體子系統110之控制器115接收具有一位址135之一命令。回應於識別需要存取控制之一記憶體區131之位址135,安全管理器113使用存取控制金鑰153執行密碼操作以認證請求來自具有表示授權存取之一對應密碼編譯金鑰之一請求者。在認證存取之授權、權限或特權之後,記憶體裝置130可使用一位址解碼器141提供從記憶體區131擷取之記憶體資料。積體電路記憶體裝置130之位址解碼器141將位址135轉換成控制信號以選擇積體電路記憶體裝置130中之一記憶體胞元群組;且積體電路記憶體裝置130之一本端媒體控制器150執行操作以判定儲存於位址135處之記憶體胞元中之記憶體資料。
記憶體區131可儲存一啟動載入程式171。在啟動時間,安全管理器113可藉由運算啟動載入程式171之一密碼雜湊值而量測啟動載入程式171。可使用啟動載入程式171之密碼雜湊值來產生積體電路記憶體裝置130及/或運算系統100之識別碼資料。啟動載入程式171 (及/或一作業系統或一裝置驅動程式、或一安全應用程式)可包含實施安全管理器113之一部分之指令。在啟動時間期間,指令可判定其中積體電路記憶體裝置130係一組件之運算系統100之組態。
舉例而言,圖2之運算系統100之組態可包含記憶體子系統110之軟體/韌體組件。可將軟體/韌體儲存於其他記憶體裝置(例如,140)或記憶體裝置130中之一記憶體區133中。舉例而言,積體電路記憶體裝置130中之記憶體區133中之指令173可包含運算系統100之作業系統、裝置驅動程式、韌體及/或軟體應用程式。記憶體子系統110之一些主要軟體/韌體組件可在安全管理器113之存取控制下儲存於(若干)記憶體區外部及/或積體電路記憶體裝置130外部。軟體/韌體組件之識別符可包含軟體/韌體組件之組件識別、版本號、序列號及/或密碼雜湊值。
圖2之運算系統100之組態可包含記憶體子系統110之硬體組件,諸如處理裝置118及/或控制器116。主機系統120可進一步包含周邊裝置,諸如一網路介面卡、一通信裝置、另一記憶體子系統等。硬體組件之識別符可包含序列號、位址、識別號等。
可使用包含唯一識別151之運算系統100之組態資訊來產生一祕密密碼編譯金鑰155以簽署使用至少來自一單調計數器之值產生之一憑證。憑證識別計數器值、記憶體裝置130之唯一識別151及/或記憶體裝置130安裝於其中之運算系統100之一唯一識別。
可使用金鑰管理伺服器103來驗證憑證之真實性,此係因為金鑰管理伺服器103具有唯一裝置祕密(UDS)且可在製造記憶體裝置130之後產生藉由記憶體裝置130產生之相同密碼編譯金鑰(例如,155)而無需經由一通信通道傳達一祕密。
圖4展示根據一項實施例之控制一記憶體裝置之一方法。可藉由可包含硬體(例如,處理裝置、電路系統、專用邏輯、可程式化邏輯、微程式碼、一裝置之硬體、積體電路等)、軟體/韌體(例如,在一處理裝置上運行或執行之指令)或其等之一組合之處理邏輯執行圖4之方法。在一些實施例中,至少部分藉由圖1之存取控制伺服器101執行圖4之方法。儘管以一特定序列或順序展示,然除非另外指定,否則可修改程序之順序。因此,所繪示之實施例應僅理解為實例,且可以一不同順序執行所繪示程序,且可並行地執行一些程序。此外,在各項實施例中可省略一或多個程序。因此,並非每一實施例中需要全部程序。其他程序流程係可能的。
在方塊301,一第一電腦系統(例如,存取控制伺服器101)與一用戶端電腦系統105建立一安全鑑認連接201。
舉例而言,為建立安全鑑認連接201,存取控制伺服器101從用戶端電腦系統105接收一第一憑證121。第一憑證121指示用戶端電腦系統105之一識別碼;且存取控制伺服器101驗證第一憑證121。舉例而言,存取控制伺服器101可儲存用戶端電腦系統105之一公用金鑰且使用該公用金鑰來驗證使用對應於該公用金鑰之一祕密金鑰簽署第一憑證121。
類似地,為建立安全鑑認連接201,存取控制伺服器101提供一第二憑證123以指示存取控制伺服器101之一識別碼。用戶端電腦系統105經組態以在建立安全鑑認連接201之前驗證第二憑證123。
建立安全鑑認連接201可包含建立一工作階段金鑰以加密經由安全鑑認連接201傳輸之資料。
為減少拒絕服務(DoS)攻擊對存取控制伺服器101之效能之影響,存取控制伺服器101可儲存用戶端電腦系統(例如,105、…、106)之一網際網路協定(IP)位址清單。存取控制伺服器101可至少部分基於用戶端電腦系統105之一位址是否在清單中而判定是否建立安全鑑認連接201。
在方塊303,第一電腦系統(例如,存取控制伺服器101)經由連接201從用戶端電腦系統105接收關於一記憶體裝置130之一請求。
請求可包含記憶體裝置130之識別碼資料。
在方塊305,第一電腦系統(例如,存取控制伺服器101)基於儲存於第一電腦系統中之資料判定用戶端電腦系統105有資格操作記憶體裝置130。
舉例而言,資料可包含指示用戶端電腦系統105之操作者係記憶體裝置130之一新擁有者之用戶端特權資料127。在一個實施方案中,儲存資料以使記憶體裝置(例如,130)之唯一識別(例如,111)與有資格作為記憶體裝置(例如,130)安裝於其中之端點之擁有者或製造商控制記憶體裝置(例如,130)之用戶端電腦系統105之用戶端特權資料127相關聯。額外用戶端特定資料經儲存以在從金鑰管理伺服器103擷取金鑰時用於記錄、報告及***生成以促進擁有者特權及/或其他特權之轉移。存取控制資料及***生成資料之分離允許使用存取控制伺服器101以從金鑰管理伺服器103擷取表示操作記憶體裝置(例如,130)之特權之密碼編譯金鑰,而不要求存取控制伺服器101具有關於請求密碼編譯金鑰之客戶或作出請求之用戶端電腦系統之任何個人可識別資訊。因此,一配置可在經由存取控制伺服器101作出之請求中提供用戶端合作夥伴匿名性,同時仍確保僅具有正確憑證之用戶端電腦系統105將被允許存取。
舉例而言,資料可包含指示用戶端電腦系統105之一操作者是否已購買使用記憶體裝置130之一安全特徵之特權的記憶體裝置權限資料129。
在方塊307,回應於判定用戶端電腦系統105有資格操作或控制記憶體裝置130,第一電腦系統(例如,存取控制伺服器101)與一第二電腦系統(例如,金鑰管理伺服器103)通信以產生對請求之一回應。使用儲存於第二電腦系統(例如,金鑰管理伺服器103)中的與記憶體裝置130之一唯一識別122相關聯的至少一密碼編譯金鑰124產生回應。在未將密碼編譯金鑰124傳輸至第二電腦系統(例如,金鑰管理伺服器103)外部之情況下經由第二電腦系統(例如,金鑰管理伺服器103)使用密碼編譯金鑰124執行操作而產生回應。舉例而言,金鑰管理伺服器103可具有一硬體安全模組(HSM)以確保密碼編譯金鑰124在其儲存及使用於金鑰管理伺服器103中之安全性。由於密碼編譯金鑰124未被提供至存取控制伺服器101,故在存取控制伺服器101中無需針對密碼編譯金鑰124之安全性之一硬體安全模組(HSM)。替代地,可在一相同電腦系統中實施存取控制伺服器101及金鑰管理伺服器103。
舉例而言,從用戶端電腦系統105接收之請求可包含記憶體裝置130之識別碼資料;且回應可包含根據密碼編譯金鑰124記憶體裝置130是否真實的指示。
舉例而言,密碼編譯金鑰124可為藉由第二電腦系統(例如,金鑰管理伺服器103)且藉由記憶體裝置130基於記憶體裝置130之一唯一裝置祕密獨立且分開地產生之一密碼編譯金鑰。在製造記憶體裝置130期間將記憶體裝置130之唯一裝置祕密註冊且儲存於第二電腦系統(例如,金鑰管理伺服器103)中。隨後,記憶體裝置130之唯一裝置祕密分別作為祕密保存在記憶體裝置130內及金鑰管理伺服器103內且不會傳達/顯露至記憶體裝置130及金鑰管理伺服器103外部以改良安全性。
視情況,第一電腦系統(例如,存取控制伺服器101)與第二電腦系統(例如,金鑰管理伺服器103)通信以在其等之間建立一分開之安全鑑認連接203以產生回應。舉例而言,存取控制伺服器101可請求金鑰管理伺服器103判定是否透過密碼運算從記憶體裝置130之唯一裝置祕密導出記憶體裝置130之識別碼資料。
舉例而言,回應可包含可在記憶體裝置130中執行以將一特權轉移至用戶端電腦系統106之一操作者,及/或啟動記憶體裝置130之至少一個安全特徵的一命令。舉例而言,命令包含使用特權之一目前持有者之一密碼編譯金鑰套用至命令上之一數位簽章;且在藉由記憶體裝置130驗證數位簽章之後可在記憶體裝置130中執行該命令。
舉例而言,回應可包含可用於將一數位簽章套用至一命令上使得可在記憶體裝置130中驗證數位簽章之後藉由記憶體裝置130執行該命令的一密碼編譯金鑰。當命令不具有一有效數位簽章時,記憶體裝置130可拒絕或忽略命令。
圖5繪示一電腦系統400之一實例機器,在該實例機器內可執行用於導致該機器執行本文中論述之方法論之任一或多者之一指令集。在一些實施例中,電腦系統400可對應於一存取控制伺服器(例如,圖1之存取控制伺服器101),該存取控制伺服器包含、耦合至或利用一記憶體子系統(例如,圖2之記憶體子系統110)或可用於執行一存取控制器205之操作(例如,執行指令以執行對應於參考圖1至圖4描述之存取控制伺服器101之操作)。在替代實施例中,機器可連接(例如,網路連結)至一LAN、一內部網路、一商際網路及/或網際網路中之其他機器。機器可在用戶端-伺服器網路環境中作為一伺服器或一用戶端機器操作,在一同級間(或分散式)網路環境中作為一同級機器操作,或在一雲端運算基礎設施或環境中作為一伺服器或一用戶端機器操作。
機器可為一個人電腦(PC)、一平板PC、一機上盒(STB)、一個人數位助理(PDA)、一蜂巢式電話、一網路設備、一伺服器、一網路路由器、一開關或橋接器、或能夠執行指定由該機器採取之動作之一指令集(循序或以其他方式)的任何機器。此外,雖然繪示一單一機器,但術語「機器」亦應被視為包含個別或聯合執行一(或多個)指令集以執行本文中論述之方法論之任一或多者的任何機器集合。
實例電腦系統400包含經由一匯流排430 (其可包含多個匯流排)彼此通信的一處理裝置402、一主記憶體404 (例如,唯讀記憶體(ROM)、快閃記憶體、動態隨機存取記憶體(DRAM) (諸如同步DRAM (SDRAM)或Rambus DRAM (RDRAM))、靜態隨機存取記憶體(SRAM)等)及一資料儲存系統418。
處理裝置402表示一或多個通用處理裝置,諸如一微處理器、一中央處理單元或類似者。更特定言之,處理裝置可為一複雜指令集運算(CISC)微處理器、精簡指令集運算(RISC)微處理器、超長指令字(VLIW)微處理器、或實施其他指令集之一處理器、或實施指令集之一組合之處理器。處理裝置402亦可為一或多個專用處理裝置,諸如一特定應用積體電路(ASIC)、一場可程式化閘陣列(FPGA)、一數位信號處理器(DSP)、網路處理器或類似者。處理裝置402經組態以執行指令426以用於執行本文中論述之操作及步驟。電腦系統400可進一步包含用以經由網路420通信的一網路介面裝置408。
資料儲存系統418可包含一機器可讀媒體424 (亦稱為一電腦可讀媒體),其上儲存體現本文中描述之方法論或功能之任一或多者之一或多個指令集426或軟體。指令426在其藉由亦構成機器可讀儲存媒體之電腦系統400、主記憶體404及處理裝置402執行期間亦可完全或至少部分駐留在主記憶體404及/或處理裝置402內。機器可讀媒體424、資料儲存系統418、及/或主記憶體404可對應於圖2之記憶體子系統110。
在一項實施例中,指令426包含用以實施對應於一存取控制伺服器101 (例如,參考圖1至圖4描述之存取控制伺服器101)之功能性之指令。雖然機器可讀媒體424在一實例實施例中展示為一單一媒體,但術語「機器可讀儲存媒體」應被視為包含儲存一或多個指令集的一單一媒體或多個媒體。術語「機器可讀儲存媒體」亦應被視為包含能夠儲存或編碼一指令集以藉由機器執行且可導致機器執行本發明之方法論之任一或多者之任何媒體。因此,術語「機器可讀儲存媒體」應被視為包含(但不限於)固態記憶體、光學媒體及磁性媒體。
已依據對一電腦記憶體內之資料位元之操作之演算法及符號表示呈現前述[實施方式]之一些部分。此等演算法描述及表示係熟習資料處理技術者用於將其等工作主旨最有效地傳達給其他熟習此項技術者的方式。一演算法在此處且通常被認為係導致一所要結果之一自行一致操作序列。操作係需要實體量之實體操縱的操作。通常但並非一定地,此等量採取能夠被儲存、組合、比較且以其他方式操縱之電氣或磁性信號之形式。有時,主要出於通用之原因,已證明將此等信號稱為位元、值、元件、符號、字元、術語、數字、或類似者係方便的。
然而,應記住,全部此等及類似術語與適當實體量相關聯且僅為應用於此等量之方便標籤。本發明可係指操縱表示為電腦系統之暫存器及記憶體內之實體(電子)量之資料且將該資料變換成類似地表示為電腦系統記憶體或暫存器或其他此等資訊儲存系統內之實體量之其他資料之一電腦系統或類似電子運算裝置之動作及程序。
本發明亦係關於一種用於執行本文中之操作之設備。此設備可經特別構造用於預期目的,或其可包含由儲存於電腦中之一電腦程式選擇性地啟動或重新組態的一通用電腦。此一電腦程式可儲存於一電腦可讀儲存媒體中,諸如(但不限於)任何類型之磁碟(包含軟碟、光碟、CD-ROM、及磁光碟)、唯讀記憶體(ROM)、隨機存取記憶體(RAM)、EPROM、EEPROM、磁性或光學卡、或適於儲存電子指令之任何類型之媒體,其等各自耦合至一電腦系統匯流排。
本文中所呈現之演算法及顯示並非固有地與任何特定電腦或其他設備相關。根據本文中之教示,各種通用系統可搭配程式使用,或可證明建構一更專用設備來執行方法係方便的。用於各種此等系統之結構將如下文描述中闡述般呈現。另外,未參考任何特定程式設計語言來描述本發明。將瞭解,可使用各種程式設計語言來實施如本文中描述之本發明之教示。
本發明可提供為可包含其上儲存有指令之一機器可讀媒體之一電腦程式產品或軟體,該等指令可用於程式化一電腦系統(或其他電子裝置)以執行根據本發明之一程序。一機器可讀媒體包含用於儲存呈可藉由一機器(例如,一電腦)讀取之一形式之資訊的任何機構。在一些實施例中,一機器可讀(例如,電腦可讀)媒體包含一機器(例如,一電腦)可讀儲存媒體,諸如一唯讀記憶體(「ROM」)、隨機存取記憶體(「RAM」)、磁碟儲存媒體、光學儲存媒體、快閃記憶體組件等。
在此描述中,各種功能及操作被描述為藉由電腦指令執行或藉由電腦指令引起,以簡化描述。然而,熟習此項技術者將辨識,此等表達的意思係功能由藉由一或多個控制器或處理器(諸如一微處理器)執行電腦指令所致。替代地或組合地,可使用具有或不具有軟體指令之專用電路系統(諸如使用特定應用積體電路(ASIC)或場可程式化閘陣列(FPGA))來實施功能及操作。可使用無軟體指令之硬接線電路系統或結合軟體指令來實施實施例。因此,技術既不限於硬體電路系統及軟體之任何特定組合,亦不限於由資料處理系統執行之指令之任何特定來源。
在前述說明書中,已參考本發明之特定實例實施例描述本發明之實施例。顯而易見的是,可在不脫離如以下發明申請專利範圍中所闡述之本發明之實施例之更廣泛精神及範疇之情況下對本發明進行各種修改。因此,說明書及圖式應被視為闡釋性意義而非限制性意義。
100:運算系統 101:存取控制伺服器 102:伺服器系統 103:金鑰管理伺服器 105:用戶端電腦系統 106:用戶端電腦系統 107:記憶體胞元 110:記憶體子系統 113:安全管理器 115:控制器 116:控制器 117:處理裝置 118:處理裝置 119:本端記憶體 120:主機系統 121:第一憑證 122:唯一識別(UID) 123:第二憑證 124:密碼編譯金鑰 125:憑證 127:用戶端特權資料 129:記憶體裝置權限資料 130:記憶體裝置 131:記憶體區 133:記憶體區 135:位址 140:記憶體裝置 141:位址解碼器 147:通信介面 150:本端媒體控制器 151:唯一識別 153:存取控制金鑰 155:密碼編譯金鑰 171:啟動載入程式 173:指令 201:安全鑑認連接 203:安全鑑認連接 205:存取控制器 301:方塊 303:方塊 305:方塊 307:方塊 400:電腦系統 402:處理裝置 404:主記憶體 408:網路介面裝置 418:資料儲存系統 420:網路 424:機器可讀媒體 426:指令 430:匯流排
在隨附圖式之圖中,以實例方式且非限制地繪示實施例,其中相似元件符號指示類似元件。
圖1展示根據一項實施例之經組態以控制記憶體裝置之一伺服器系統。
圖2繪示根據本發明之一些實施例之具有一記憶體子系統之一實例運算系統。
圖3繪示根據一項實施例之具有一安全管理器之一積體電路記憶體裝置。
圖4展示根據一項實施例之控制一記憶體裝置之一方法。
圖5係其中可操作本發明之實施例之一實例電腦系統之一方塊圖。
101:存取控制伺服器
102:伺服器系統
103:金鑰管理伺服器
105:用戶端電腦系統
106:用戶端電腦系統
107:記憶體胞元
113:安全管理器
121:第一憑證
122:唯一識別(UID)
123:第二憑證
124:密碼編譯金鑰
125:憑證
127:用戶端特權資料
129:記憶體裝置權限資料
130:記憶體裝置
201:安全鑑認連接
203:安全鑑認連接

Claims (20)

  1. 一種方法,其包括: 藉由一第一電腦系統與一用戶端電腦系統建立一安全鑑認連接; 在該第一電腦系統中經由該連接從該用戶端電腦系統接收關於一記憶體裝置之一請求; 基於儲存於該第一電腦系統中之資料而判定該用戶端電腦系統有資格操作該記憶體裝置;及 藉由該第一電腦系統與一第二電腦系統通信以使用儲存於該第二電腦系統中的與該記憶體裝置之一唯一識別相關聯的至少一密碼編譯金鑰來產生對該請求之一回應。
  2. 如請求項1之方法,其中在未將該密碼編譯金鑰傳輸至該第二電腦系統外部之情況下經由該第二電腦系統使用該密碼編譯金鑰執行操作而產生該回應。
  3. 如請求項2之方法,其進一步包括: 將一網際網路協定(IP)位址清單儲存於該第一電腦系統中; 藉由該第一電腦系統至少部分基於該用戶端電腦系統之一位址是否在該清單中而判定是否建立該安全鑑認連接。
  4. 如請求項3之方法,其中該建立該安全鑑認連接包括: 在該第一電腦系統中從該用戶端電腦系統接收一第一憑證,該第一憑證指示該用戶端電腦系統之一識別碼;及 驗證該第一憑證。
  5. 如請求項4之方法,其中該建立該安全鑑認連接進一步包括: 藉由該第一電腦系統向該用戶端電腦系統提供一第二憑證以指示該第一電腦系統之一識別碼,其中該用戶端電腦系統經組態以在該建立該安全鑑認連接之前驗證該第二憑證。
  6. 如請求項5之方法,其中該建立該安全鑑認連接進一步包括: 建立一工作階段金鑰以加密經由該安全鑑認連接傳輸之資料。
  7. 如請求項3之方法,其中該請求包含該記憶體裝置之識別碼資料;且該回應包含根據該密碼編譯金鑰該記憶體裝置是否真實的指示。
  8. 如請求項7之方法,其中藉由該第二電腦系統基於儲存於該第二電腦系統中之該記憶體裝置之一唯一裝置祕密產生該密碼編譯金鑰。
  9. 如請求項7之方法,其進一步包括: 藉由該第一電腦系統與該第二電腦系統建立一分開之安全鑑認連接,其中該第一電腦系統與一第二電腦系統之該通信係透過該分開之安全鑑認連接。
  10. 如請求項7之方法,其中該回應包含可在該記憶體裝置中執行以將一特權轉移至該用戶端電腦系統之一操作者的一命令。
  11. 如請求項10之方法,其中該命令包含使用該特權之一目前持有者之一密碼編譯金鑰套用至該命令上之一數位簽章;且在藉由該記憶體裝置驗證該數位簽章之後可在該記憶體裝置中執行該命令。
  12. 如請求項7之方法,其中該回應包含可在該記憶體裝置中執行以啟動該記憶體裝置之至少一個安全特徵的一命令。
  13. 如請求項7之方法,其中該回應包含可用於將一數位簽章套用至在該記憶體裝置中驗證該數位簽章之後藉由該記憶體裝置執行之一命令上的一密碼編譯金鑰。
  14. 一種電腦系統,其包括: 記憶體,其儲存指示用戶端電腦系統控制記憶體裝置之特權之資料;及 至少一個處理器,其經由一指令集組態以: 與一用戶端電腦系統建立一安全鑑認連接; 經由該連接從該用戶端電腦系統接收關於一記憶體裝置之一請求; 基於指示該等特權之該資料而判定該用戶端電腦系統有資格控制該記憶體裝置;及 與一伺服器電腦通信以使用儲存於該伺服器電腦中的與該記憶體裝置之一唯一識別相關聯的至少一密碼編譯金鑰來產生對該請求之一回應,其中在未從該伺服器電腦傳輸該密碼編譯金鑰之情況下產生該回應。
  15. 如請求項14之電腦系統,其中該至少一個處理器進一步經組態以至少部分基於該用戶端電腦系統之一位址是否在一預定網際網路協定(IP)位址清單中而判定是否建立該安全鑑認連接。
  16. 如請求項14之電腦系統,其中該請求包含該記憶體裝置之識別碼資料;該回應包含根據該密碼編譯金鑰該記憶體裝置是否真實的指示;且其中該密碼編譯金鑰藉由該伺服器電腦基於儲存於該伺服器電腦中之該記憶體裝置之一唯一裝置祕密而產生。
  17. 如請求項16之電腦系統,其中該回應包含可在該記憶體裝置中執行以將一特權轉移至該用戶端電腦系統之一操作者,或啟動該記憶體裝置之至少一個安全特徵或其等之任何組合的一命令;且其中該命令包含使用一密碼編譯金鑰套用至該命令上之一數位簽章;且在藉由該記憶體裝置驗證該數位簽章之後可在該記憶體裝置中執行該命令。
  18. 如請求項17之電腦系統,其中該回應包含可用於將一數位簽章套用至在該記憶體裝置中驗證該數位簽章之後藉由該記憶體裝置執行之一命令上的一密碼編譯金鑰。
  19. 一種儲存指令之非暫時性電腦儲存媒體,該等指令在藉由一電腦系統執行時導致該電腦系統執行一方法,該方法包括: 與一用戶端電腦系統建立一安全鑑認連接; 經由該連接從該用戶端電腦系統接收關於一記憶體裝置之一請求; 基於儲存於該電腦系統中且表示用戶端電腦系統控制記憶體裝置之特權之資料而判定該用戶端電腦系統有資格控制該記憶體裝置;及 與一伺服器電腦通信以使用儲存於該伺服器電腦中的與該記憶體裝置之一唯一識別相關聯的至少一密碼編譯金鑰來產生對該請求之一回應,其中在未從該伺服器電腦傳輸該密碼編譯金鑰之情況下產生該回應。
  20. 如請求項19之非暫時性電腦儲存媒體,其中該方法進一步包括: 至少部分基於該用戶端電腦系統之一位址是否在一預定網際網路協定(IP)位址清單中而判定是否建立該安全鑑認連接; 其中該回應包含以下至少一者: 根據該密碼編譯金鑰該記憶體裝置是否真實的指示,其中該密碼編譯金鑰藉由該伺服器電腦基於儲存於該伺服器電腦中之該記憶體裝置之一唯一裝置祕密而產生; 一密碼編譯金鑰,其可用於將一數位簽章套用至在該記憶體裝置中驗證該數位簽章之後藉由該記憶體裝置執行之一命令上; 一命令,其具有一數位簽章且可在該記憶體裝置中執行以將一特權轉移至該用戶端電腦系統之一操作者;及 一命令,其具有一數位簽章且可在該記憶體裝置中執行以啟動該記憶體裝置之至少一個安全特徵。
TW110148831A 2021-01-15 2021-12-27 用於經由電腦網路以控制記憶體裝置之伺服器系統 TW202234273A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/150,834 US20220231838A1 (en) 2021-01-15 2021-01-15 Server System to Control Memory Devices over Computer Networks
US17/150,834 2021-01-15

Publications (1)

Publication Number Publication Date
TW202234273A true TW202234273A (zh) 2022-09-01

Family

ID=82405611

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110148831A TW202234273A (zh) 2021-01-15 2021-12-27 用於經由電腦網路以控制記憶體裝置之伺服器系統

Country Status (4)

Country Link
US (1) US20220231838A1 (zh)
CN (1) CN116783593A (zh)
TW (1) TW202234273A (zh)
WO (1) WO2022155048A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11483148B2 (en) 2021-01-15 2022-10-25 Micron Technology, Inc. Batch transfer of control of memory devices over computer networks

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070162674A1 (en) * 2004-03-10 2007-07-12 Germano Leichsenring Access control system, and access control device and resource providing device used for the same
US8042163B1 (en) * 2004-05-20 2011-10-18 Symatec Operating Corporation Secure storage access using third party capability tokens
WO2006070353A2 (en) * 2004-12-30 2006-07-06 Safend Ltd Method and system for securely identifying computer storage devices
JP2006295872A (ja) * 2005-03-18 2006-10-26 Matsushita Electric Ind Co Ltd 機器固有鍵の生成方法、これを用いた機密情報処理機能を備えた機密情報lsi、これを搭載したホスト機器、これに用いられる認証機能付き記録媒体、および認証機能を備えた記録媒体付き携帯端末
US8046587B2 (en) * 2005-12-12 2011-10-25 Qualcomm Incorporated Method off-line authentication on a limited-resource device
KR100947119B1 (ko) * 2007-12-26 2010-03-10 한국전자통신연구원 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는단말
US8789151B2 (en) * 2008-01-09 2014-07-22 Microsoft Corporation Remote device communication platform
WO2011041419A1 (en) * 2009-09-30 2011-04-07 Amazon Technologies, Inc. Modular device authentication framework
CN103946806B (zh) * 2011-09-29 2017-06-16 英特尔公司 用于提供存储器访问控制的装置、***和方法
JP5973224B2 (ja) * 2012-05-10 2016-08-23 株式会社東海理化電機製作所 電子キー登録方法
US8875166B2 (en) * 2012-11-08 2014-10-28 Sharp Laboratories Of America, Inc. Method and cloud security framework for implementing tenant license verification
US20140281563A1 (en) * 2013-03-12 2014-09-18 Kabushiki Kaisha Toshiba Memory device authentication process
US10063537B2 (en) * 2014-12-19 2018-08-28 Microsoft Technology Licensing, Llc Permission architecture for remote management and capacity instances
US10523441B2 (en) * 2015-12-15 2019-12-31 Visa International Service Association Authentication of access request of a device and protecting confidential information
JP2019508763A (ja) * 2016-01-29 2019-03-28 グーグル エルエルシー ローカルデバイス認証
US10951421B2 (en) * 2016-11-28 2021-03-16 Ssh Communications Security Oyj Accessing hosts in a computer network
US10812475B2 (en) * 2017-04-18 2020-10-20 Servicenow, Inc. Authenticating access to an instance
GB201719080D0 (en) * 2017-11-17 2018-01-03 Light Blue Optics Ltd Device authorization systems
US11880436B2 (en) * 2018-03-23 2024-01-23 Nanolock Security Inc. Remote access control for digital hardware
US11321468B2 (en) * 2018-12-31 2022-05-03 Micron Technology, Inc. Systems for providing access to protected memory

Also Published As

Publication number Publication date
CN116783593A (zh) 2023-09-19
US20220231838A1 (en) 2022-07-21
WO2022155048A1 (en) 2022-07-21

Similar Documents

Publication Publication Date Title
US11784827B2 (en) In-memory signing of messages with a personal identifier
US11423154B2 (en) Endpoint authentication based on boot-time binding of multiple components
US12015706B2 (en) Combined cryptographic key management services for access control and proof of space
US20230188366A1 (en) Identity Validation for Proof of Space
KR20220091578A (ko) 메모리 서브시스템에 대한 암호화 키의 위임
US12039049B2 (en) Secure identity chaining between components of trusted computing base
US20240146525A1 (en) Batch Transfer of Control of Memory Devices over Computer Networks
CN114764312A (zh) 通过计算机网络控制存储器装置
US20230057638A1 (en) Session Access to Files in a File System Mounted in a Secure Memory Device
CN115391844A (zh) 安全密钥存储装置
TW202234273A (zh) 用於經由電腦網路以控制記憶體裝置之伺服器系統
CN116010306A (zh) 存储器***数据的经鉴认修改
US11968296B2 (en) Utilization of a memory device for per-user encryption
US11677560B2 (en) Utilization of a memory device as security token
US20230370446A1 (en) Track Activities of components in Endpoints having Secure Memory Devices via Identity Validation
US20230127278A1 (en) Multi-factor authentication for a memory system based on internal asymmetric keys
CN116015615A (zh) 使用非对称密钥的存储器***安全性和认证
CN118378235A (zh) 存储***、包括该存储***的***以及操作该***的方法
CN115408729A (zh) 供应用程序存取安全存储器装置的独立于供应商的设施
CN115037493A (zh) 监测具有安全存储器装置的端点的完整性以用于身份认证