[发明专利]安全管理单元、包括它的主机控制器接口及其操作方法

说明书

相关专利申请的交叉引用

要求2012年10月19日在韩国知识产权局递交的第10-2012-0116890号韩国专利申请的优先权，其主题通过引用被全部包含于此。

技术领域

本发明构思涉及主机控制器接口。更具体地，本发明构思涉及主机控制器接口中的安全管理单元，所述安全管理单元能够根据对应存储设备的区域来管理安全策略。本发明构思还涉及操作包括所述安全管理单元的主机控制器接口的方法，以及包括这种主机控制器接口的设备。

背景技术

数据安全是当代计算机系统内的存储设备的设计和操作中的重要考虑。有效的数据安全方法必须防止对被存储数据的未授权访问，无论这种访问企图读取、操纵、变更、篡改、伪造还是提取被存储的数据。有效的数据安全方法也必须防止外部代理程序（external agent）阻止合法用户访问存储的数据。

在被存储的数据期间，主机控制器接口与对应的存储设备之间的数据总线（和由数据总线传递的相称的数据信号）经常被作为目标。结果，很多常规系统将对在主机控制器接口和存储设备之间传递的数据进行加密。为此目的，各种加密方法和/或加密模块可被结合主机控制器接口使用。只要数据安全策略被跨越存储设备的所有区域施加于所有被存储的数据，这种常规方法就相当有效。

即，当使用所谓的“安全处理器”来管理用于存储设备的特定数据安全策略时，在数据处理必须由“非安全处理器”执行时，遇到巨大的开销。实际上，在具有不同数据安全策略的数据之间切换的处理器降低了所构成计算机系统的总体性能。

发明内容

本发明构思的某些实施例提供了包括安全策略表的安全管理单元，所述安全策略表可被用来根据存储设备的特定区域而有区别地管理安全策略。使用这些安全管理单元易于使计算机系统内通常因安全策略上的改变而出现的计算开销最小化。本发明构思的某些实施例提供了一种包括这种类型的安全管理单元的主机控制器接口。本发明构思的某些实施例提供了操作包括这种类型的安全管理单元的主机控制器接口的方法，以及包括这种主机控制器接口的设备。

在一个实施例中，本发明构思提供了一种方法，包括：从主存储器接收包括扇区信息的缓冲区描述符；通过使用缓冲区描述符中所包括的源地址取数据；使用扇区信息从安全策略表选择记录；和，使用由所选记录定义的安全策略确定是否加密所取的数据。

在另一实施例中，本发明构思提供了一种安全管理单元，包括：存储在存储器中并包括第一记录和第二记录的安全策略表，第一记录和第二记录分别定义用于存储设备的第一区域和第二区域的第一安全策略和第二安全策略；和，扇区访问控制逻辑，被配置成响应于缓冲区描述符中所包括的扇区信息，在第一记录和第二记录之间选择，并提供指示根据第一安全策略还是第二安全策略来加密数据的第一控制信号。

在另一实施例中，本发明构思提供了一种主机控制器接口，包括：存储控制器，其使用缓冲区描述符中所包括的源地址从主存储器读取数据，并响应于缓冲区描述符中所包括的扇区信息提供扇区密钥；安全管理单元，其响应于扇区密钥，从存储在存储器中的安全策略表选择记录，并提供定义了与所选记录对应的安全策略的第一控制信号；和，数据保护器，其响应于第一控制信号确定是否对数据执行加密操作，其中，安全策略表包括多个记录，每一记录分别定义用于存储设备中的多个区域中的至少一个的对应安全策略。

在另一实施例中，本发明构思提供了一种计算机系统，包括：存储设备，其包括多个区域；中央处理单元（CPU），其在运行访问所述多个区域中的区域的应用程序时生成缓冲区描述符；主存储器，其存储缓冲区描述符和数据；和，主机控制器接口，其使用缓冲区描述符中所包括的源地址从主存储器读取数据，响应于扇区信息选择多个记录其中之一，并基于由所选记录定义的安全策略确定是否对数据执行加密操作，其中，多个记录中的每一个管理用于存储设备中的多个区域的每一个的不同安全策略。

附图说明

图1是根据本发明构思实施例的计算机系统的框图；

图2是根据本发明构思另一实施例的计算机系统的框图；

图3是示出可在图1和图2的计算机系统中使用的缓冲区描述符的一个例子的概念图；

图4是用于图1的存储设备的部分存储器映射的框图；

图5是示出可在图1和图2的计算机系统中使用的主机控制器接口的框图；

图6是示出可在图5的安全管理单元中使用的安全策略表的概念图；

图7是进一步示出图5的安全管理单元的框图；