專利名稱:用于控制對存儲設備的訪問的機制的制作方法
技術領域:
本發(fā)明涉及計算機系統(tǒng);更具體地�,本發(fā)明涉及計算機系統(tǒng)與硬盤存 儲設備的交互作用�。
背景技術:
目前,只有一種對硬盤驅動器的扇區(qū)的進行塊讀/寫訪問的方法�����。已知 這個方法是主機保護區(qū)域(HPA)����,并且該方法是由T13技術委員會工業(yè)標 準組定義的,該組是負責與AT附件(ATA)存儲接口有關的接口標準的國 際信息技術標準委員會(INCITS)的一部分�。HPA的缺點是該機制只考慮 了待保護的硬盤驅動器的單個扇區(qū)組或者單個區(qū)域。另外��,HPA的麻煩之 處在于難以對保護的區(qū)域的讀/寫訪問進行動態(tài)地鎖定以及解鎖����。
通過實例示出了本發(fā)明��,但是本發(fā)明不限于附圖中的圖形���,在圖中相 同的參考標號代表相似的元件,其中-
圖1是計算機系統(tǒng)的一個實施例的方框圖2示出了計算機系統(tǒng)的另 一個實施例�����;
圖3示出了硬盤驅動器的一個實施例��;以及
圖4是用于提供邏輯塊尋址保護的一個實施例的流程圖����。
具體實施例方式
描述了用于保護對存儲設備的訪問的機制。在對本發(fā)明的以下詳細描 述中���,闡述許多具體細節(jié)以提供對本發(fā)明的透徹理解���。但是對于本領域的 技術人員顯而易見的是,本發(fā)明無需這些具體細節(jié)就可以實施�。在其它示 例中,將公知結構和設備示出為方框圖而不詳細展示��,以避免模糊本發(fā)明。
說明書中提及的任何"一個實施例"或者"實施例"都意味著結合該實施例所描述的特定特征�、結構或者特點包含在至少一個實施例中。在本 說明書中的各個位置處的短語"在一個實施例中"的出現(xiàn)并不是必須指同 一實施例��。
通過計算機存儲器中的數(shù)據(jù)位上的操作的符號表示和算法來呈現(xiàn)以下 詳細描述的一些部分�。這些算法描述和表示是數(shù)據(jù)處理領域技術人員用于 將他們工作的內容最有效地傳達給該領域的其它技術人員的工具。算法在 本文�,并且通常,被認為是用于導出期望結果的步驟的自洽序列�。這些步 驟為需要物理量的物理處理的步驟。通常但并非必要地��,這些量的形式是 可以進行存儲����、傳遞����、合并、比較以及其它處理的電氣或磁信號����。有時主 要是為了公用的目的而將這些信號稱為比特、值����、元素�、符號�����、字符�����、項���、 數(shù)字等等經證明是方便的����。
但要記住���,所有這些以及類似的術語是與適當?shù)奈锢砹肯嚓P聯(lián)的�,并 且僅為應用于這些量的便捷標簽���。除非如同從下文顯而易見的那樣進行特 別說明��,應該理解在整個說明書中����,使用了諸如"處理"或"計算"或"算" 或"確定"或"顯示"等等術語的討論是指計算機系統(tǒng)或類似的電子計算 設備的動作和處理,該計算設備對計算機系寄存器和存儲器中的物理(電 子)量所表示的數(shù)據(jù)進行處理�����,并且將其轉換成其它數(shù)據(jù)���,該其它數(shù)據(jù)與 計算機系統(tǒng)存儲器或寄存器或其它這種信息存儲��、傳輸或顯示設備之中的 物理量的所表示的數(shù)據(jù)相類似�����。
本發(fā)明還涉及執(zhí)行本文的操作的裝置����。這個裝置可以是為需要目的而 專門構造的�,或者其可以包括通用計算機�����,該通用計算機被存儲在該計算 機內的計算機程序選擇性地激活或重配置��。這種計算機程序可以存儲在計 算機可讀存儲介質中,例如但不限于�,任意類型的盤包括軟盤、光盤����、
CD-ROM和磁光盤、只讀存儲器(ROM)���、隨機存訪問儲器(RAM)����、EPROM����、 EEPROM、磁或光卡�,或者適用于存儲電子指令的任意類型介質,并且它 們每個都耦合到系統(tǒng)總線����。
本文呈現(xiàn)的算法和顯示不與任何特定計算機或其它裝置內在地相關。 多種的通用系統(tǒng)都可以與符合本文教義的程序一起使用�,或者方便的是可 以構造更專用的裝置來執(zhí)行所需要的方法步驟。從以下描述中將看出多種 這些系統(tǒng)所需要的結構�����。另外,本發(fā)明并非是參考任一特定的編程語言來描述的�。要理解的是可以使用多種編程語言來實現(xiàn)本文描述的本發(fā)明的教 義。
可以通過一個或多個處理設備(例如���,處理器�、控制器���、控制處理器
(CPU)來執(zhí)行編程語言的指令����。
圖1是計算機系統(tǒng)100的一個實施例的方框圖�����。計算機系統(tǒng)100包括 耦合到總線105的中央處理器(CPU) 102�。芯片組107也耦合到總線105。 芯片組107包括存儲器控制中心(MCH) 100��。 MCH IIO可以包括耦合到 主系統(tǒng)存儲器115的存儲器控制器112�。主系統(tǒng)存儲器115對由CPU 102 或包括在系統(tǒng)100中的任意其它設備所執(zhí)行的數(shù)據(jù)和指令序列進行存儲���。
在一個實施例中�,主系統(tǒng)存儲器115包括動態(tài)隨機存訪問儲器 (DRAM);但是,還可以使用其它類型的存儲器來實現(xiàn)主系統(tǒng)存儲器115�。 例如,在一些實施例中�,可以用非易失性存儲器來實現(xiàn)主系統(tǒng)存儲器115。
MCH 100耦合到輸入/輸出控制中心(ICH) 140�����。在一個實施例中�, MCH IIO和ICH 140經由中央加速器接口來進行耦合。ICH 140對計算機 系統(tǒng)100內的輸入/輸出(I/O)設備提供接口�。根據(jù)一個實施例,ICH 140 包括可信平臺模塊(TPM) 142����。
TPM 142包括受保護的寄存器,其中通過僅可以由CPU 102中的可信 微碼發(fā)起的命令來對該受保護的寄存器進行寫入��。受保護的微碼是一種可 以通過授權的指令和/或通過不受非授權的設備控制的硬件來發(fā)起執(zhí)行的 微碼�。ICH 140還包括嵌入式控制器(EC) 144,用于經由盤控制器150來 控制對硬盤驅動器(HDD) 160的訪問���。
多個HDD區(qū)域的動態(tài)保護
根據(jù)一個實施例�����,可以保護HDD160的多個區(qū)域�,其中在該區(qū)域提供 了對每個這些區(qū)域的讀/寫訪問的動態(tài)鎖定和解鎖。圖2示出了計算機系統(tǒng) 100的邏輯表示的一個實施例���。如圖2中所示�,主機CPU軟件與EC 144 和盤控制器150通信�,同時盤控制器150訪問HDD 160。
根據(jù)一個實施例����,盤控制器150是執(zhí)行標準SATA功能的串行ATA (SATA)控制器。在進一步的實施例中�,控制器150也包括驗證功能,用 于(基于一個塊接一個塊)驗證給定的主機CPU軟件HDD讀取或寫入命令請求的目標是否為鎖定的扇區(qū)����。
為了能夠實現(xiàn)這個功能,盤控制器150包括用于定義鎖定的扇區(qū)范圍 的寄存器組����。如果該扇區(qū)是解鎖的,則盤控制器150將接受并且處理HDD 讀取或寫入命令請求。如果該扇區(qū)是鎖定的����,則SATA控制器將拒絕HDD 讀取或寫入命令請求并且將錯誤返回到主機CPU軟件����。
為了拒絕以鎖定的扇區(qū)范圍為目標的讀取或寫入命令請求,盤控制器 150包括比較器邏輯組(未顯示)��。在一個實施例中�����,該比較器邏輯將包括 在每個主機CPU軟件讀取或寫入命令請求中的扇區(qū)范圍與扇區(qū)鎖定寄存器 組進行比較�����,其中寄存器組包括與鎖定扇區(qū)的范圍相對應的值����。如果該扇 區(qū)是鎖定的,則如圖2中所示���,SATA控制器將拒絕該讀取或寫入命令請求�����。
EC 144包括可信平臺模塊(TPM)固件和SATA扇區(qū)安全(SSS)固 件����。該TPM固件經由前端總線(FSB),如總線105����,從將要執(zhí)行的主機 CPU軟件接收測量結果(密碼哈希)。該測量結果指示以前已經測量了主機 CPU軟件�。在這樣的實施例中,將這些測量存儲在一個或多個圖1所描述 的TPM142寄存器中��。
該SSS固件管理盤控制器150寄存器的配置�,該寄存器經由C鏈路總 線對扇區(qū)的范圍進行鎖定以及解鎖。另外��,SSS固件經由主機嵌入式控制 器接口 (HECI)����,從當前執(zhí)行的主機CPU軟件接收鎖定和解鎖扇區(qū)命令。 此外����,SSS固件經由內部嵌入式控制器接口 (IECI)�,從TPM固件請求當 前執(zhí)行的主機CPU軟件的標識���。
該SSS固件驗證主機CPU軟件的標識�����,以及鎖定或解鎖的扇區(qū)命令中 傳遞的扇區(qū)范圍,與該SSS固件所管理的扇區(qū)訪問控制表(SACL)中的至 少一個條目相匹配�。如果存在SACL匹配,則SSS固件將接收并且處理鎖 定或解鎖扇區(qū)命令請求����。如果不存在SACL匹配,則SSS固件將拒絕鎖定 或解鎖扇區(qū)命令請求并且將錯誤返回到主機CPU軟件����。
根據(jù)一個實施例,主機CPU軟件包括操作系統(tǒng)(OS)文件系統(tǒng)����、OS SATA驅動器、OS HECI驅動器����、BIOS SATA隨選ROM (OROM)和BIOS HECI驅動器。主機CPU軟件在執(zhí)行之前,與基于FSB的TPM固件一起 工作�,以測量其它主機CPU軟件。
主機CPU軟件也與基于HECI的SSS固件一起工作��,以供應以及管理扇區(qū)訪問控制表(SACL)���。另外��,主機CPU軟件也與基于HECI的SSS固 件一起工作�����,以發(fā)出鎖定或解鎖扇區(qū)命令請求��。而且��,主機CPU軟件與盤 控制器150 —起工作�,以發(fā)出HDD讀取或寫入命令請求��。在一個實施例中��, 主機CPU軟件將HDD 150分成邏輯巻并且確定每個(受保護的/未受保護 的)巻的狀態(tài)���。此外����,基于元數(shù)據(jù)來識別巻分割。
根據(jù)一個實施例�����,經由廉價冗余盤陣列(RAID)軟件來提取HDD 160�����。 這樣在本實施例中���,該RAID將單個硬盤驅動器分成多個邏輯巻。圖3示 出了被分割成獨立的局部巻的HDD 160的一個實施例��。
在進一步的實施例中���,每個巻將對增加保護具有輸出的/隱藏的和鎖定 的/解鎖的額外屬性��。 一個這樣的屬性包括輸出巻�����,其作為邏輯硬盤驅動器 對主機操作系統(tǒng)可見�。其它屬性包括對主機操作系統(tǒng)不可見的隱藏的巻, 允許讀/寫訪問的解鎖的巻��,以及不允許讀/寫訪問的鎖定的巻��。典型性地��, 如圖3中所顯示����,受保護的巻既是隱藏的又是鎖定的。
參考回圖2��, HDD 160可以包括未受保護的巻�、用于存儲備份數(shù)據(jù)的 受保護的巻,以及用于存儲固件的受保護的巻�。受保護的固件可以是例如 可以存儲在系統(tǒng)閃存中的額外的系統(tǒng)應用。因為閃速存儲器設備比HDD空 間更貴�,并且因為巻可以是受保護的,所以HDD160是存儲系統(tǒng)應用的理 想位置�。
元數(shù)據(jù)也存儲在HDD 160中,以描述HDD 160的分割����。例如,元數(shù) 據(jù)可以指示第一巻存儲在HDD 160的扇區(qū)0-100�、第二巻在扇區(qū)101-200 以及第三巻在扇區(qū)201-300���。根據(jù)一個實施例,元數(shù)據(jù)存儲在受保護的范圍���。 如上所述���,在主機CPU軟件上維護元數(shù)據(jù)。
并且如上所述��,對于可信的鎖定/解鎖處理�����,主機CPU軟件沒有辦法直 接訪問盤控制器150的扇區(qū)鎖定寄存器�。而是���,如圖2中所顯示���,在SACL 確認主機CPU軟件鎖定/解鎖請求之后,SSS固件經由C鏈路總線訪問扇 區(qū)鎖定寄存器�����。
應該注意的是,所有主機CPU軟件(包括可能出現(xiàn)的病毒) 一旦解鎖��, 就可以獲得對扇區(qū)的特定范圍的訪問�。因此,為了阻止感染了病毒的主機 CPU軟件獲得訪問���,當TPM固件捕獲到平臺的配置(標識)時�,發(fā)出鎖定 /解鎖扇區(qū)命令���。如果TPM測量鏈僅僅延伸到OS前的引導主機CPU軟件(BIOS),則 BIOS軟件會發(fā)出鎖定/解鎖扇區(qū)命令�,直到OS引導開始����。如果測量鏈在延 伸到OS核心和它的設備驅動器,則OS核心軟件會發(fā)出鎖定/解鎖扇區(qū)請 求��,直到開始OS應用軟件執(zhí)行����。在所有情況中,在開始執(zhí)行不延續(xù)TPM 測量鏈的軟件之前�����,將會鎖住所有對未知軟件進行防護的扇區(qū)范圍。
動態(tài)保護機制保護HDD的多個區(qū)域��,限制基于鎖定/解鎖寄存器組的 數(shù)量而創(chuàng)建的巻的數(shù)量�,其中該寄存器組可以從盤控制器獲得。另外��,該 機制動態(tài)地對每個區(qū)域的讀/寫訪問進行鎖定以及解鎖��。
局部塊尋址保護
在許多示例中�����,個人計算機(如計算機系統(tǒng)100)在公共區(qū)域中使用��, 該公共區(qū)域允許對無數(shù)個用戶的訪問�。結果經常難以阻止非授權的用戶對 硬盤上敏感數(shù)據(jù)的訪問。如上文關于圖1所討論的����,盤控制器150控制對 HDD 160的訪問�。
根據(jù)一個實施例,盤控制器150允許對HDD 160上的內容的管理性訪 問���。在進一步的實施例中�����,盤控制器150允許將給予HDD160上的局部塊 尋址(LBA)范圍更細粒度的訪問級別����。在LBA中,唯一的扇區(qū)號碼����,而 不是所謂柱、頭和扇區(qū)號碼����,分配給每個扇區(qū)。這樣���,該扇區(qū)被編號為0�、 1�����、 2等�����,直到(N-l),其中N是盤上的扇區(qū)的數(shù)量���。
在一個實施例中��,盤控制器150內的邏輯促進了對物理塊位置的訪問 控制��,從而可以在該控制器級別實現(xiàn)只讀�、只寫和無訪問塊地址����。這些訪 問控制允許分割保護方案的強制執(zhí)行,否則該方案僅僅可以在用于分割方 案的OS實體之間的默認配備中強制執(zhí)行����。例如,可以允許分割成為僅僅 允許授權的用戶訪問該內容的"受保護的"分割���。另外��,可以將保護提供 給與待保護的某些文件或者結構數(shù)據(jù)相對應的LBA號碼的分散-收集表�。
基于該分割保護���,登錄到計算機系統(tǒng)的非授權的用戶可以訪問用過的 未受保護的塊���。但是,該非授權的用戶將不能訪問受保護的塊���,因為那些 塊是鎖定的�����。在一個實施例中����,使用在盤控制器150中經由TPM142來實 現(xiàn)的加密算法來鎖定受保護的塊���。
當授權的用戶登錄的時候�,受保護的塊是解鎖的���,從而允許該授權的用戶訪問受保護的塊以及用過的未受保護的塊�。在進一步的實施例中��,即
便在已經移除HDD 160之后����,該受保護的塊也保持鎖定�。因此�����,如果將 HDD 160移動到不同的計算機系統(tǒng)���,該受保護的塊也保持受保護����。
圖4是用于提供LBA保護的一個實施例的流程圖���。在處理塊405����,啟 動計算機系統(tǒng)IOO�。在處理塊410,發(fā)生計算機系統(tǒng)100初始化處理����。在決 定塊415,確定盤控制器150是否支持LBA范圍保護�����。如果不支持,則計 算機系統(tǒng)100繼續(xù)在正常條件下操作��。
但是如果盤控制器150支持LBA范圍保護��,則在處理塊420��,提示系 統(tǒng)用戶登錄���。在決定塊425,確定用戶是否對應于解鎖列表�����。如果用戶不對 應于解鎖列表����,則在決定塊430,對將來I/0請求確定該請求是否是到受保 護的LBA�����。如果該請求是到受保護的LBA的�,則在處理塊435��, I/O請求 會失敗并且不被允許訪問該LBA�。但是�����,如果該請求是到未受保護的LBA
的�,則處理該i/o請求。
參考回決定塊425��,如果用戶對應于解鎖列表�����,則在決定塊445���,確定 了用戶是否對應于非加密列表����。如果用戶對應于該非加密列表����,則在處理 塊450,可以將解鎖命令發(fā)送到盤控制器150��。該解鎖命令可以任選地支持 多種控制級別(例如�����,讀使能、寫使能和讀-寫使能)��。
在決定塊455�����,確定用戶是否請求將LBA范圍從受保護改變?yōu)槲幢J?保護���。如果存在用于將LBA范圍從受保護改變?yōu)槲词鼙Wo的請求,貝U該命 令在處理塊460失敗���。在決定塊465��,確定是否接收了I/0請求���。如果已經 接收了,則在處理塊440處理該請求�。如果在決定塊455,用戶未請求將 LBA范圍從受保護改變?yōu)槲词鼙Wo�����,則將控制轉發(fā)到決定塊465,在處理 塊465確定是否接收了I/0請求�����,并且繼續(xù)到用于處理該請求的處理塊440�。
參考回決定塊445,如果用戶對應于非加密列表�����,則在處理塊470可以 將解鎖命令發(fā)送到盤控制器150���。在決定塊475��,確定用戶是否請求將LBA 范圍從受保護改變?yōu)槲词鼙Wo�����。如果不存在用于將LBA范圍從受保護改變 為未受保護的請求���,則將控制轉發(fā)到決定塊465,在決定塊465確定是否已 經接收I/0請求,并且繼續(xù)到用于處理該請求的處理塊440�����。如果存在用于 將LBA范圍從受保護改變?yōu)椴皇鼙Wo的請求����,則在處理塊480將該命令發(fā) 送到盤控制器以改變特定的LBA的狀態(tài)。通過允許實現(xiàn)控制器級別的無訪問����、只讀和只寫LBA范圍,提供了一 種用于保護在以前的標準方式中不能被保護的內容的機制��。除了訪問控制 機制之外��,還允許實現(xiàn)受保護的數(shù)據(jù)的無縫加密�。因此�����,如果從物理系統(tǒng) 移除具有受保護的內容的介質��,則仍然可以通過局部控制(經由TPM)的 加密策略來保護該介質���。
在閱讀完上述描述后����,本領域的一般技術人員顯然可以對本發(fā)明進行 各種替換和修改,要理解通過示例的方式所示出和描述的特定實施例不是 旨在限定本發(fā)明���。因此��,對各種實施例的細節(jié)描述并非旨在限定權利要求 的范圍�����,而權利要求本身只是對本發(fā)明主旨特性的描述��。
權利要求
1����、一種計算機系統(tǒng)��,包括存儲設備�����;設備控制器�,其包括具有與所述存儲設備的鎖定的扇區(qū)的范圍相對應的值的鎖定寄存器,所述鎖定寄存器驗證存儲設備訪問請求的目標是否為所述存儲設備的鎖定的扇區(qū)范圍;以及芯片組�,其具有嵌入式控制器,用于鑒別所述存儲設備訪問請求并且管理所述存儲設備的配置�。
2、 如權利要求1所述的計算機系統(tǒng)��,進一步包括用于提供所述存儲 設備訪問請求的主機系統(tǒng)����。
3、 如權利要求2所述的計算機系統(tǒng)����,其中,如果所述存儲設備的所述 目標扇區(qū)范圍是解鎖的�����,則所述設備控制器處理所述存儲設備訪問請求�。
4�、 如權利要求3所述的計算機系統(tǒng),其中���,如果所述存儲設備的所述 目標扇區(qū)范圍是鎖定的�,則所述設備控制器拒絕所述存儲設備訪問請求。
5�、 如權利要求4所述的計算機系統(tǒng),其中�����,如果所述存儲設備的所述 目標扇區(qū)范圍是鎖定的����,則所述設備控制器進一步將錯誤發(fā)送給所述主機 系統(tǒng)。
6���、 如權利要求4所述的計算機系統(tǒng)�����,其中所述設備控制器包括比較 器邏輯���,用于將包括在所述訪問請求中的所述存儲設備的所述目標扇區(qū)范 圍與所述扇區(qū)鎖定寄存器進行比較。
7��、 如權利要求2所述的計算機系統(tǒng)�,其中所述嵌入式控制器包括 可信平臺模塊(TPM)固件,用于鑒別從所述主機系統(tǒng)接收的所述訪問請求����;以及扇區(qū)安全(ss)固件���,用于管理所述設備控制器內的所述鎖定寄存器。
8���、 如權利要求7所述的計算機系統(tǒng)����,其中所述TPM固件經由前端總 線(FSB)從所述主機系統(tǒng)接收測量�,所述測量用于指示以前已經測量了 所述主機系統(tǒng)。
9���、 如權利要求7所述的計算機系統(tǒng)����,其中所述SS固件經由C鏈路總 線管理所述設備控制器��。
10�、 如權利要求9所述的計算機系統(tǒng)��,其中所述SS固件經由主機嵌入 式控制器接口 (HECI)從所述主機系統(tǒng)接收鎖定和解鎖扇區(qū)命令�,以管理 所述扇區(qū)寄存器�。
11����、 如權利要求10所述的計算機系統(tǒng),其中所述SS固件經由內部接 口從所述TPM固件請求所述主機系統(tǒng)的標識���,以驗證所述主機系統(tǒng)的所述 標識以及所述鎖定或解鎖扇區(qū)命令中傳遞的扇區(qū)范圍與所述SSS固件所管 理的扇區(qū)訪問控制表(SACL)中的至少一個條目相匹配����。
12����、 如權利要求2所述的計算機系統(tǒng),其中所述主機系統(tǒng)將所述存儲 設備分割成邏輯巻���,并且確定每個巻是受保護的還是未受保護的����。
13�����、 如權利要求12所述的計算機系統(tǒng)��,其中基于元數(shù)據(jù)來識別所述巻 分割。
14����、 如權利要求12所述的計算機系統(tǒng),其中所述存儲設備包括未受 保護的巻�����、用于存儲備份數(shù)據(jù)的受保護的巻�,以及用于存儲固件的受保護 的巻。
15�、 一種方法,包括在設備控制器接收請求���,所述請求用于指示用戶請求訪問來自存儲設備上的局部塊尋址(LBA)范圍的數(shù)據(jù)���;確定所述用戶是否被授權訪問來自所述LBA范圍的數(shù)據(jù);以及如果所述用戶被授權訪問來自所述LB A范圍的數(shù)據(jù)����,則處理所述請求。
16���、 如權利要求15所述的方法����,進一步包括如果所述用戶沒有被授 權訪問來自所述LBA范圍的數(shù)據(jù)����,則拒絕所述請求。
17�����、 如權利要求15所述方法�,進一步包括 確定所述LBA范圍是否是受保護的;以及如果所述LBA范圍是受保護的并且所述用戶被授權訪問來自所述 LBA范圍的數(shù)據(jù)��,則處理所述請求�。
18、 如權利要求17所述的方法�,進一步包括如果所述LBA范圍是 受保護的并且所述用戶沒有被授權訪問所述LBA范圍的數(shù)據(jù),則拒絕所述 請求�����。
19���、 如權利要求18所述的方法���,進一步包括如果所述LBA范圍是 未受保護的�,則處理所述請求�。
20、 一種盤控制器�����,包括用于基于將要訪問的局部塊尋址(LBA)范 圍的狀態(tài)��,以及請求訪問所述LBA范圍的用戶的授權�����,來控制對硬盤驅動 器的訪問的邏輯�����。
21�����、 如權利要求20所述的盤控制器�,其中所述LBA范圍的狀態(tài)包括 未受保護的LBA范圍和受保護的LBA范圍。
22、 如權利要求21所述的盤控制器���,其中所述邏輯允許對未受保護的 LBA范圍的數(shù)據(jù)訪問�����,并且驗證用戶授權,以允許對受保護的LBA范圍的 數(shù)據(jù)訪問�。
23、 一種制品����,包括一個或多個體現(xiàn)了指令程序的計算機可讀介質, 其中當由處理單元執(zhí)行所述指令程序的時候��,所述指令程序導致所述處理 單元執(zhí)行以下過程-在設備控制器接收請求����,所述請求用于指示用戶請求訪問來自存儲設 備上的局部塊尋址(LBA)范圍的數(shù)據(jù);確定所述用戶是否被授權訪問所述LBA范圍的數(shù)據(jù)�����;以及 如果所述用戶被授權訪問所述LBA范圍的數(shù)據(jù)���,則處理所述請求�����。
24�����、 如權利要求23所述的制品�����,其中當由處理單元執(zhí)行所述指令程序 的時候����,如果所述用戶沒有被授權訪問所述LBA范圍的數(shù)據(jù),則所述指令 程序進一步導致所述處理單元執(zhí)行拒絕所述請求的步驟��。
25�����、 如權利要求24所述的制品����,其中當由處理單元執(zhí)行所述指令程序 的時候,所述指令程序進一步導致所述處理單元執(zhí)行以下步驟確定所述LBA范圍是否是受保護的;以及如果所述LBA范圍是受保護的并且所述用戶被授權訪問所述LBA范 圍的數(shù)據(jù)�����,則處理所述請求����。
26、 如權利要求25所述的制品�,其中當由處理單元執(zhí)行所述指令程序 的時候��,如果所述LBA范圍是受保護的并且所述用戶沒有被授權訪問所述 LBA范圍的數(shù)據(jù)��,則所述指令程序進一步導致所述處理單元執(zhí)行拒絕所述 請求的步驟����。
全文摘要
公開了一種計算機系統(tǒng)。該計算機系統(tǒng)包括存儲設備/設備控制器和芯片組����。該設備控制器包括鎖定寄存器,該鎖定寄存器的值與存儲設備的鎖定的扇區(qū)范圍相對應����。該鎖定寄存器驗證存儲設備訪問請求的目標是否為存儲設備的鎖定的扇區(qū)范圍。該芯片包括嵌入式控制器,用于鑒別存儲設備訪問請求并且管理存儲設備的配置��。
文檔編號G06F21/02GK101416195SQ200680042498
公開日2009年4月22日 申請日期2006年12月6日 優(yōu)先權日2005年12月19日
發(fā)明者A·赫夫曼, C·W·史密斯, D·內米羅夫, F·科拉多, H·C·赫伯特, M·A·羅思曼, M·馬奧爾, N·迪亞曼特, V·J·齊默 申請人:英特爾公司