具体实施方式

以下描述为本发明实施的较佳实施例，其仅用来例举阐释本发明的技术特征，而并非用来限制本发明的范畴。在通篇说明书及权利要求书当中使用了某些词汇来指称特定的元件，所属领域技术人员应当理解，制造商可能会使用不同的名称来称呼同样的元件。因此，本说明书及权利要求书并不以名称的差异作为区别元件的方式，而是以元件在功能上的差异作为区别的基准。本发明中使用的术语“元件”、“系统”和“装置”可以是与计算机相关的实体，其中，该计算机可以是硬件、软件、或硬件和软件的结合。在以下描述和权利要求书当中所提及的术语“包含”和“包括”为开放式用语，故应解释成“包含，但不限定于…”的意思。此外，术语“耦接”意指间接或直接的电气连接。因此，若文中描述一个装置耦接于另一装置，则代表该装置可直接电气连接于该另一装置，或者透过其它装置或连接手段间接地电气连接至该另一装置。

其中，除非另有指示，各附图的不同附图中对应的数字和符号通常涉及相应的部分。所绘制的附图清楚地说明了实施例的相关部分且并不一定是按比例绘制。

文中所用术语“基本”或“大致”是指在可接受的范围内，本领域技术人员能够解决所要解决的技术问题，基本达到所要达到的技术效果。举例而言，“大致等于”是指在不影响结果正确性时，技术人员能够接受的与“完全等于”有一定误差的方式。

图1示出了示例环境100，在该示例环境100中，可以实现根据本发明的各种提议方案。如图1所示，环境100可以包括多客户端系统(multi-client system)110，单个的主机控制器(single host controller)120和单个的存储装置(single storage device)130。多客户端系统110可以包括多个客户端(a plurality of clients)，其可以是多个用户和/或多个操作系统(OS)。即，多客户端系统110的多个客户端中的每个客户端(在图1中以“客户端0”，“客户端1”和“客户端2”示出)可以是用户(user)(操作员(operator))或操作系统(OS)。此外，多个客户端中的每个客户端可以是普通客户端(regular client)或特殊客户端(special client)。在根据本发明的各种提议方案下，如下所述，多客户端系统110的每个客户端可以透过主机控制器120访问存储装置130，以读取，写入，删除和/或修改存储在存储装置130中的数据。

在各种提议方案下，存储装置130被分成(divided)或划分(partitioned)为多个分区(plurality of partitions)，其中，每个分区与相应的逻辑单元号(logical unitnumber，LUN)相对应，以将与多客户端系统110的多个客户端中的每个客户端相关联的相应数据(respective data)存储在多个客户端系统的一个或多个相应分区(one or morerespective partitions)中。即，多客户端系统110的每个客户端可以将相应的数据存储在该多个分区的一个或多个相应分区中。在各种提议方案下，多个客户端中的至少一个客户端可以是特殊客户端，以及，该多个客户端中的至少一个客户端可以是普通客户端。访问存储装置130的访问特权(access privileges)在特殊客户端和普通客户端之间可以不同。例如，与特殊客户端相关联的相应数据仅由特殊客户端访问，而不能由多客户端系统110的多个客户端中的其它客户端访问。相反，与普通客户端相关联的相应数据可以由普通客户端及多客户端系统110的多个客户端中的一个或多个其它客户端(包括特殊客户端)访问。在各种建议方案下，管理者(supervisor)也可以透过主机控制器120访问存取装置130，其中，该管理者是具有管理特权(administrative privileges)的用户(user)，而多客户端系统110的普通客户端和特殊客户端不具有该管理特权。或者说，在另一实施例中，管理者可以是特殊客户端中具有管理特权的特殊客户端。

图2示出了根据本公开实施方式的示例装置200。图3示出了根据本公开实施方式的示例方案300。参照图2和图3提供以下描述。

装置200可以执行各种功能和/或操作以实现本文描述的涉及用于安全性机制的方案，技术，过程和方法，该方案，技术，过程和方法涉及用于通过单个控制器对单个存储装置进行多客户端访问的安全性机制，包括以上参考环境100描述的这些以及以下参考方案300和方法400描述的那些。装置200可以是电子装置的一部分，该电子装置可以是无线通信设备，计算装置，便携式或移动装置或可穿戴装置。例如，装置200可以被实现在环境100中的主机控制器120中或被实现为主机控制器120。可选地，装置200可以以一个或多个集成电路(integrated-circuit，IC)芯片的形式实现，例如但不限于一个或多个单核处理器，一个或多个多核处理器，或，一个或多个复杂指令集计算(complex-instruction-set-computing，CISC)处理器。

在主机控制器的情况下，装置200可以包括图2中所示的一个或多个组件，如图2所示，例如控制器205。控制器205可以包括用户访问控制电路(user access controlcircuit)210，用户分区控制电路(user partition control circuit)220，安全控制映射电路(secure control map circuit)230和指令处理器(command processor)240。

装置200可以以一个或多个单核处理器，一个或多个多核处理器，或，一个或多个CISC处理器的形式实现。即，装置200可以以具有电子组件的硬件(以及可选地，固体)的形式来实现，所述电子组件包括例如但不限于一个或多个晶体管、一个或多个二极管、一个或多个电容器、一个或多个电阻器、一个或多个电感器、一个或多个忆阻器，和/或，一个或多个变容二极管，其被配置和布置成根据本公开实施例实现特定目的。换句话说，在至少一些实施方式中，处理器310是专门设计，构建和配置为执行与安全性机制有关的特定任务的专用机器，该安全性机制用于多个客户端透过单个控制器访问单个存储装置。在一些实施方式中，装置200的控制器205的用户访问控制电路210，用户分区控制电路220，安全控制映射电路230和指令处理器240中的每一个可以被实现在具有电子组件(如电子电路)的硬件中。

在根据本公开的提议方案中，该方案涉及多个客户端透过单个控制器访问单个存储装置的安全性机制，装置200的控制器205可以执行各种操作。例如，控制器205的用户访问控制电路210接收来自多客户端系统110的多个客户端中的第一客户端(例如，客户端0、客户端1、客户端2、特殊客户端等)以访问存储装置130的请求(request)，该存储装置130用于存储与该多个客户端相关联的数据。此外，用户访问控制电路210可以确定关于该第一客户端的一个或多个方面。此外，控制器205可以基于该确定的结果来执行多个操作之一。例如，响应于该确定的肯定结果(positive result)，用户分区控制电路220将准许(grant)第一客户端访问存储装置130。相反，响应于该确定的否定结果(negative result)，用户分区控制电路220将拒绝该第一客户端以访问存储装置130的请求。

在提出的方案中，在确定关于第一客户端的一个或多个方面时，控制器205可以执行一些操作(certain operation)。例如，用户访问控制电路210可以验证(verify)第一客户端的身份(identity)。另外，用户访问控制电路210可以验证该请求中所指示的指令。此外，用户分区控制电路220可以验证该请求中所指示的逻辑单元号(a logical unitnumber，LUN)。可以理解地，该请求中所指示的逻辑单元号用于指示期望访问的相应分区，例如，假设第一分区与逻辑单元号LUN1相对应，第二分区与逻辑单元号LUN2相对应，第三分区与逻辑单元号LUN3相对应，第四分区与逻辑单元号LUN4相对应，等等。若逻辑单元号LUN3被指示在该请求中，则表明期望访问第三分区，例如，期望从第三分区读取数据、期望将数据写入第三分区等等。

在一些实施方式中，在验证第一客户端的身份时，用户访问控制电路210可以执行一些操作。例如，用户访问控制电路210识别(identify)与多个总线(bus)中透过其接收该请求的总线(例如，第一客户端至控制器的相应总线)的总线地址(bus address)相对应的用户标识(user identification，UID)。另外，用户访问控制电路210识别与第一客户端相关联且被指示在该请求中的发起者标识(initiator identification，IID)。此外，用户访问控制电路210比较该用户标识(UID)和该发起者标识(IID)。此外，基于该比较的结果，用户访问控制电路210可以执行以下操作之一：(a)响应于该用户标识(UID)和该发起者标识(IID)之间的匹配(match)，确定第一客户端的身份是正确的，或者，(b)响应于该用户标识(UID)和该发起者标识(IID)之间的不匹配(mismatch)，确定该第一个客户端的身份错误。例如，在上述实施例中，控制器接收来自第一客户端的请求，从而，透过其接收该请求的第一总线的总线地址所对应的用户标识(UID)用于指示第一客户端，因此，若被指示在该请求中的发起者标识(IID)也是用于指示第一客户端，则表明用户标识(UID)和发起者标识(IID)相匹配；相反，若被指示在该请求中的发起者标识(IID)用于指示其它客户端而不是第一客户端，则表明用户标识(UID)和发起者标识(IID)不匹配。

在一些实施方式中，在验证该请求中所指示的指令时，用户访问控制电路210可以执行一些操作。例如，用户访问控制电路210验证该指令是否属于与第一客户端相关联的一个或多个允许指令(permitted commands)之中。此外，基于该验证的结果，用户访问控制电路210可以执行以下操作之一：(a)响应于该指令是与第一客户端相关联的一个或多个允许指令中的一者而确定该指令是被允许的，或者，(b)响应于该指令不是与第一客户端相关联的一个或多个允许指令中的一者而确定该指令是不被允许的。

在一些实施方式中，在验证被指示在请求中的逻辑单元号(LUN)的过程中，用户分区控制电路220可以执行一些操作。例如，在方案300中，用户分区控制电路220从多个检查器(checker，例如，图3中的检查器0，检查器1和检查器2)中选择出与第一客户端相关联的第一检查器。另外，用户分区控制电路220利用第一检查器将多个安全映射(例如，图3中的安全映射0，安全映射2和安全映射3)中与第一客户端相关联的第一安全映射(secure map)与被指示在指令中的该逻辑单元号(LUN)进行比较。在一些实现中，多个安全映射中的每个安全映射对于多个客户端中的相应客户端是唯一的。在本发明实施例中，基于每个客户端所关联的安全映射能够获知该客户端所允许访问的分区(例如，安全映射标识有对应各客户端的逻辑单元号)，其中，相应的安全映射被用来验证相应客户端的请求中所指示的逻辑单元号(LUN)。举例来说，针对N个客户端对应有N个安全映射，其中，以N＝3进行示例，3个安全映射的示例可如map1:LUN1,LUN3；map2:LUN2,LUN3；map3:LUN4。也就是说，第一客户端允许访问逻辑单元号LUN1和LUN3对应的分区，第二客户端允许访问逻辑单元号LUN2和LUN3对应的分区，第三客户端允许访问逻辑单元号LUN4对应的分区。在一些实施例中，客户端允许访问的分区可以部分重叠或不重叠。应当说明的是，该示例仅为便于理解而引入，并不应当作为对本发明的限制。

在一些实施方式中，在验证被指示在该请求中的逻辑单元号(LUN)的过程中，用户分区控制电路220确定该逻辑单元号(LUN)所指示的分区是否对应于第一客户端可访问的一个或多个相应分区。此外，基于该比较的结果，用户分区控制电路220可以执行以下操作之一：(a)响应于该逻辑单元号(LUN)与第一安全映射之间的匹配，确定第一客户端对存储装置130的访问将被准许，或者，(b)响应于该逻辑单元号(LUN)与第一安全映射之间的不匹配，确定第一客户端对存储装置130的访问将被拒绝。例如，仍以上述示例进行举例说明，若被指示在请求中的逻辑单元号(LUN)为LUN1和/或LUN3，则可以确定出被指示在请求中的逻辑单元号(LUN)与第一安全映射匹配；若被指示在请求中的逻辑单元号(LUN)为LUN2，则可以确定出被指示在请求中的逻辑单元号(LUN)与第一安全映射不匹配。

在一些实施方式中，控制器205可以执行附加操作。例如，控制器205可以为多个客户端创建多个安全映射，其中，该多个安全映射的每个安全映射对于多个客户端中的相应客户端是唯一的。此外，控制器205可以将该多个安全映射存储在安全控制映射电路230中。在一些实施方式中，安全控制映射电路230可以包括一组寄存器(例如，多个32位寄存器)，其中，每个寄存器存储该多个安全映射的相应安全映射。

在一些实施方式中，在确定关于第一客户端的一个或多个方面时，用户访问控制电路210可以确定第一客户端是否是具有管理特权的管理者(supervisor)。相应地，在执行多个操作之一时，控制器205可以执行一些(certain)操作。例如，用户访问控制电路210可以接收来自管理者的一个或多个指令。另外，用户访问控制电路210可以基于该一个或多个指令允许该管理者修改存储在安全控制映射电路230中的多个安全映射中的一个或多个安全映射。

请参考图3，在方案300中，管理者可以访问和修改该多个安全映射(例如，安全映射0，安全映射1和安全映射2)中的一个或多个安全映射。因此，通过修改一个或多个安全映射，管理者可以更改(alter)与多客户端系统110的多个客户端中的一个或多个客户端相关联的可访问性(accessibility)或访问特权(access privileges)。由于多个安全映射的每个安全映射对于多个客户端中的相应客户端是唯一的，因此，多个安全映射中的第一安全映射(例如，安全映射0，安全映射1和安全映射2中的任何一个)可用于验证逻辑单元号(LUN)。如图3所示，可以使用多个检查器中的相应检查器来验证每个客户端(例如，使用检查器0将客户端0与安全映射0进行验证，使用检查器1将客户端1与安全映射1进行验证，以及，使用检查器2将客户端2与安全映射2进行验证)。在该验证产生肯定结果时，可以将来自相应客户端(例如，第一客户端)的请求中的逻辑单元号(LUN)和指令提供给指令处理器240，以进行关于访问存储装置130的处理。否则，在该验证产生否定结果时，该请求被拒绝。

在一些实施方式中，指令处理器240可以响应于第一客户端被准许访问存储装置130而处理该指令，例如，根据该指令去相应的分区读、写数据等。

在一些实施方式中，存储装置130可以包括或者为单个的通用闪存(UniversalFlash Storage，UFS)或作为其一部分。在这种情况下，控制器205可以包括UFS HCI中的控制电路或可以是其一部分。

图4根据本公开实施方式示出了示例方法400。方法400可以代表实现以上所描述的各种提议设计、概念、方案、系统和方法的方面。更特别大地，方法400可以表示用于访问存储装置的安全检查系统有关的提议概念和方案的方面。方法400可以包括一个或多个操作，动作或功能，如方框410、420、430以及子方框422、424、426、432、434中的一个或多个所示。虽然被示为离散方框，但是根据期望的实现，方法400的各个方框可以被划分为附加方框、组合成更少的方框，或被取消。此外，方法400的方框可以按照图4中所示的顺序，或者，可选地以不同的顺序执行。方法400可以由装置200、方案300及其变型实现，或者被实现在装置200、方案300及其变型实现中。仅出于说明性目的而非限制，下面在装置200被实现为环境100中的主机控制器120的情况下描述方法400。方法400在方框410处开始。

在410处，方法400包括：控制器205的用户访问控制电路210接收来自多客户端系统110的多个客户端中的第一客户端(例如，客户端0，客户端1或客户端2中的任何一个)的请求，以访问存储装置130，该存储装置130存储与多个客户端相关联的数据。方法400可以从410进行到420。

在420处，方法400包括：用户访问控制电路210确定关于第一客户端的一个或多个方面。在确定关于第一客户端的一个或多个方面时，方法400可以包括：控制器205执行由422、424和426表示的一些操作。在422处，方法400可以包括：用户访问控制电路210验证第一客户端的身份。在424处，方法400可以包括：用户访问控制电路210验证该请求中指示的指令。在426处，方法400可以包括：控制器205的用户分区控制电路220验证该请求中指示的逻辑单元号(LUN)。方法400可以从420进行到430。

在430处，方法400可以包括：控制器205执行由432和434表示的多个操作之一。在432处，响应于该确定的肯定结果，方法400可以包括：用户分区控制电路220准许第一客户端访问存储装置130。在434处，响应于该确定的否定结果，方法400可以包括：用户分区控制电路220拒绝该请求。

在一些实施方式中，在验证第一客户端的身份时，方法400可以包括：用户访问控制电路210执行一些操作。例如，方法400可以包括：用户访问控制电路210识别与透过多个总线之一接收该请求的总线的总线地址相对应的用户标识(UID)。另外，方法400可以包括：用户访问控制电路210识别与第一客户端相关联并且被指示在该请求中的发起者标识(IID)。此外，方法400可以包括：用户访问控制电路210比较该用户标识(UID)和该发起者标识(IID)。此外，基于该比较的结果，方法400可以包括：用户访问控制电路210执行以下操作之一：(a)响应于该用户标识(UID)和该发起者标识(IID)之间的匹配，确定第一客户端的身份是正确的，或者，(b)响应于该用户标识(UID)和该发起者标识(IID)之间的不匹配，确定第一客户端的身份是不正确的。

在一些实施方式中，在验证该请求中指示的指令时，方法400可以包括：用户访问控制电路210执行一些操作。例如，方法400可以包括：用户访问控制电路210验证该指令是否在与第一客户端相关联的一个或多个允许指令之中。此外，基于该验证的结果，方法400可以包括：用户访问控制电路210执行以下操作之一：(a)响应于该指令是与第一客户端相关联的一个或多个允许指令中的一个，确定该指令是被允许的，或者，(b)响应于该指令不是与第一客户端相关联的一个或多个允许指令中的一个，确定该指令是不被允许的。

在一些实现中，在验证该逻辑单元号(LUN)的过程中，方法400可以包括：用户分区控制电路220执行一些操作。例如，方法400可以包括：用户分区控制电路220从多个检查器(例如，图3中的检查器0，检查器1和检查器2)中选择与第一客户端相关联的第一检查器。另外，方法400可以包括：用户分区控制电路220使用第一检查器将多个安全映射(例如，图3中的安全映射0，安全映射1和安全映射2)中与第一客户端相关联的第一安全映射和被指示在请求中的逻辑单元号(LUN)进行比较。在一些实现中，该多个安全映射中的每个安全映射对于该多个客户端中的相应客户端是唯一的。

在一些实施方式中，在验证该逻辑单元号(LUN)的过程中，方法400可以包括：用户分区控制电路220执行附加操作。例如，方法400可以包括：用户分区控制电路220确定由该逻辑单元号(LUN)指示的分区是否对应于第一客户端可访问的多个分区中的一个或多个相应分区。此外，基于该比较的结果，方法400可以包括：用户分区控制电路220执行以下操作之一：(a)响应于该逻辑单元号(LUN)与第一安全映射之间的匹配，确定出将准许第一客户端访问存储装置130；或者，(b)响应于该逻辑单元号(LUN)与第一安全映射之间的不匹配，确定出将拒绝第一客户端对存储装置130的访问。

在一些实施方式中，方法400还可以包括：控制器205执行附加操作。例如，方法400还可以包括：控制器205为多个客户端创建多个安全映射，其中，每个安全映射对于多个客户端中的相应客户端是唯一的。此外，方法400还可以包括：控制器205将多个安全映射存储在安全控制映射电路230中。

在一些实施方式中，在确定关于第一客户端的一个或多个方面时，方法400可以包括：用户访问控制电路210确定第一客户端是否是具有管理特权的管理者。相应地，在执行多个操作之一时，方法400可以包括：控制器205执行一些操作。例如，方法400可以包括：用户访问控制电路210接收来自管理者的一个或多个指令。另外，方法400可以包括：用户访问控制电路210允许管理者基于一个或多个指令修改存储在安全控制映射电路230中的多个安全映射中的一个或多个安全映射。值得注意的是，该多个安全映射的每个安全映射对于该多个客户端中的相应客户端而言是唯一的，因此，多个安全映射中的相应安全映射(例如，安全映射0，安全映射1和安全映射2中的任何一个)被用于验证与相应客户端相关的请求中所指示的逻辑单元号(LUN)。

在一些实施方式中，方法400可以进一步包括：控制器205的指令处理器240响应于第一客户端已被准许访问存储装置130而处理该指令。

本文描述的主题有时会描述包含在其它不同组件内之不同组件，或同其它不同组件相连接之不同组件。应当理解的是，所描述的这种结构仅作为示例，事实上，也可透过实施其它结构来实现相同功能。从概念上讲，任何可实现相同功能之组件配置均是有效地“相关联的”以此实现所需功能。因此，本文为实现某特定功能所组合之任何两个组件均可看作是彼此“相关联的”，以此实现所需功能，而不管其结构或者中间组件如何。类似地，以这种方式相关联之任何两个组件也可看作是彼此间“操作上相连接的”或“操作上相耦接的”以此实现所需功能，并且，能够以这种方式相关联之任何两个组件还可看作是彼此间“操作上可耦接的”用以实现所需功能。操作上可耦接的具体实例包括但不限于实体上可配对的和/或实体上交互之组件和/或无线地可交互的和/或无线地相互交互的组件和/或逻辑上交互的和/或逻辑上可交互的组件。

此外，对于本文所使用之任何复数和/或单数形式之词语，本领域熟练技术人员可根据语境和/或应用场景是否合适而将复数转换至单数和/或将单数转换至复数。为清晰起见，此处即对文中单数/复数之间的各种置换作出明确规定。

此外，本领域熟练技术人员可以理解的是，一般地，本文所使用的词语，特别是所附权利要求书，例如权利要求书主体中所使用之词语通常具有“开放性”意义，例如，词语“包含”应该理解为“包含但不限于”，词语“具有”应当理解为“至少具有”，词语“包括”应该理解为“包括但不限于”等等。本领域熟练技术人员可进一步理解的是，若某引入式权利要求书列举意图将某一具体数值包含进去，则这种意图将明确地列举于该权利要求书中，如果没有列举，则这种意图即不存在。为帮助理解，可举例如，所附权利要求书可能包含引入式短语如“至少一个”和“一个或一个以上的”来引入权利要求书列举。然而，这种短语不应使该权利要求书列举被解释为：对不定冠词“一个”的引入意味着将包含有这种引入式权利要求书列举的任何特定权利要求书限制为仅包含一个这种列举的实施方式，甚至当同一权利要求书时包括引入式短语“一个或一个以上的”或“至少一个”和不定冠词如“一个”时同样符合这样情况，亦即，“一个”应该解释为“至少一个”或“一个或一个以上的”。同样地，使用定冠词来引入权利要求书列举同理。另外，即使某一引入式权利要求书列举中明确列举了一个具体数值，本领域熟练技术人员应当认识到，这种列举应该理解为至少包括所列举的数值，例如，仅“两个列举”而没有任何其它限定时，其意味着至少两个列举，或两个或多个列举。此外，如使用了类似“A、B和C等中之至少一个”，则本领域熟练技术人员通常可以理解的是，如“具有A、B和C中至少一个之系统”将包括但不限于只具有A之系统、只具有B之系统、只具有C之系统、具有A和B之系统、具有A和C之系统、具有B和C之系统，和/或具有A、B和C之系统等等。若使用了类似“A、B或C等中至少一个”，则本领域熟练技术人员可以理解的是，例如“具有A、B或C中至少一个之系统”将包括但不限于只具有A之系统、只具有B之系统、只具有C之系统、具有A和B之系统、具有A和C之系统、具有B和C之系统，和/或具有A、B和C之系统等等。本领域技术人员可进一步理解，无论是说明书、权利要求书或附图中所出现的几乎所有连接两个或多个替代性词语的分隔词语和/或短语，均应理解为考虑到了所有可能性，即包括所有词语中某一个、两个词语中任一个或包括两个词语。例如，短语“A或B”应该理解为包括如下可能性：“A”、“B”或“A和B”。

虽然本发明已经通过示例的方式以及依据优选实施例进行了描述，但是，应当理解的是，本发明并不限于公开的实施例。相反，它旨在覆盖各种变型和类似的结构(如对于本领域技术人员将是显而易见的)，例如，不同实施例中的不同特征的组合或替换。因此，所附权利要求的范围应被赋予最宽的解释，以涵盖所有的这些变型和类似的结构。