JP2007011522A - データの消去方法、ストレージ・デバイス及び計算機システム - Google Patents
データの消去方法、ストレージ・デバイス及び計算機システム Download PDFInfo
- Publication number
- JP2007011522A JP2007011522A JP2005189158A JP2005189158A JP2007011522A JP 2007011522 A JP2007011522 A JP 2007011522A JP 2005189158 A JP2005189158 A JP 2005189158A JP 2005189158 A JP2005189158 A JP 2005189158A JP 2007011522 A JP2007011522 A JP 2007011522A
- Authority
- JP
- Japan
- Prior art keywords
- data
- file
- storage device
- command
- recording medium
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
- G06F16/162—Delete operations
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Human Computer Interaction (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
【課題】
ストレージ・デバイスからの完全なデータ消去は、重要でないデータの転送のためホスト・コンピュータに対して、データ転送、書込み操作の実行及びリトライ処理のためストレージ・デバイスに対して、それぞれ、高い負荷を課す。
【解決手段】
完全消去コマンドを導入し、ホストからストレージ・デバイスへのデータ転送を必要とすることなく、ストレージ・デバイスのストレージ空間の特定のエリアの消去を制御する。ストレージ・デバイス上における完全消去コマンドの実行は、単純に、ストレージ・デバイスのコントローラが、例えば、消去命令で指定する特定エリアのデータ上へ『任意データ』を書込む操作を行うことによって、その指定するデータの完全な消去を行う。アプリケーションが、完全消去コマンド(完全なファイル・データ消去関数)を実行できるよう、改良されたファイル・システムとする。
【選択図】 図4
ストレージ・デバイスからの完全なデータ消去は、重要でないデータの転送のためホスト・コンピュータに対して、データ転送、書込み操作の実行及びリトライ処理のためストレージ・デバイスに対して、それぞれ、高い負荷を課す。
【解決手段】
完全消去コマンドを導入し、ホストからストレージ・デバイスへのデータ転送を必要とすることなく、ストレージ・デバイスのストレージ空間の特定のエリアの消去を制御する。ストレージ・デバイス上における完全消去コマンドの実行は、単純に、ストレージ・デバイスのコントローラが、例えば、消去命令で指定する特定エリアのデータ上へ『任意データ』を書込む操作を行うことによって、その指定するデータの完全な消去を行う。アプリケーションが、完全消去コマンド(完全なファイル・データ消去関数)を実行できるよう、改良されたファイル・システムとする。
【選択図】 図4
Description
本発明は、ストレージ・デバイス及びホストのいずれにも高い負荷を課することなく、ストレージ・デバイスからデータを完全に消去するための技術に係り、特に、ストレージ・デバイス及びホスト全体の性能劣化を抑えた消去技術に関する。
ファイル・システムは、磁気ディスク装置その他のストレージ・デバイス上に格納されるデータを系統化し管理するための、オペレーティング・システムにおいて主要な要素技術である。
ファイル内に包含されているデータの消去は、通常、単に、そのデータに対する参照及びそのファイル自体に対する参照を、ファイル・システムの管理データから削除することによってなされる。格納されているデータの実際の消去を伴わぬため、結果的にファイル消去は非常に高速な処理となっている。かかる従来の方法は、参照のみを削除することで、ストレージ・デバイスに対してデータ消去のために発行される大量のコマンドを不要とし、読出し、書込みその他通常のファイル操作に与えるファイル消去の負担を減らしている。
ファイル内に包含されているデータの消去は、通常、単に、そのデータに対する参照及びそのファイル自体に対する参照を、ファイル・システムの管理データから削除することによってなされる。格納されているデータの実際の消去を伴わぬため、結果的にファイル消去は非常に高速な処理となっている。かかる従来の方法は、参照のみを削除することで、ストレージ・デバイスに対してデータ消去のために発行される大量のコマンドを不要とし、読出し、書込みその他通常のファイル操作に与えるファイル消去の負担を減らしている。
しかし従来のファイル消去法は、セキュリティ・センシティブ・データ、又は、アクセス制限のあるデータ(著作権法その他統制法規で最大アクセス数を保護されたデータ)にとっては十分でない。ケーブル又は無線放送によるビデオ・コンテンツからのデータは、しばしは、この種の統制法規によって保護されている。
諸外国で為されている、著作権保護されたコンテンツを取り扱うためのセキュリティへの考慮又はその基準は、データ消去が完全であること、換言すれば、ストレージ・デバイスに対する直接のシーケンシャル・アクセスであっても、消去済みファイルからデータが再生できないことを条件とする。
この条件を満たす一例は、消去対象のファイルのデータを任意の無関係かつ重要でないデータ(たとえばゼロ)で上書きすることである(特許文献1)。この方法は、非常に単純であり、この種の機密データを操作する任意のアプリケーションによる実施が可能である。しかし、ストレージ・デバイスへ書き込むデータをホストから転送し、書き込みオペレーションが完了するまで、ほかの操作が待たされるという長く重いプロセスを必要とする。そして転送及び書込みが為されるデータの量は、それぞれ、消去するファイルのサイズに等しい。この負荷は多くの場合、特に、高解像度ビデオを含む映像ファイルのように非常に大きなファイルを伴う場合に、許容不可能となる。
諸外国で為されている、著作権保護されたコンテンツを取り扱うためのセキュリティへの考慮又はその基準は、データ消去が完全であること、換言すれば、ストレージ・デバイスに対する直接のシーケンシャル・アクセスであっても、消去済みファイルからデータが再生できないことを条件とする。
この条件を満たす一例は、消去対象のファイルのデータを任意の無関係かつ重要でないデータ(たとえばゼロ)で上書きすることである(特許文献1)。この方法は、非常に単純であり、この種の機密データを操作する任意のアプリケーションによる実施が可能である。しかし、ストレージ・デバイスへ書き込むデータをホストから転送し、書き込みオペレーションが完了するまで、ほかの操作が待たされるという長く重いプロセスを必要とする。そして転送及び書込みが為されるデータの量は、それぞれ、消去するファイルのサイズに等しい。この負荷は多くの場合、特に、高解像度ビデオを含む映像ファイルのように非常に大きなファイルを伴う場合に、許容不可能となる。
さらに、磁気ディスク装置のような特定のストレージ・デバイスはエラーを生じがちであり、その結果、発行済みの書き込みコマンドの適正な完了まで、書込み操作についての長時間のエラー回復処理(リトライ)が介在することも少なくない。従来技術では実際のデータ書込み操作と、セキュリティに敏感なデータを上書き(消去)するための書込み操作の間に全く差異がないことから、磁気ディスク装置によって同じ書込み操作の処理が行われる。このためリトライを伴うことがあり得る。
このリトライ処理は長時間となる可能性があり、ストレージ・デバイスが長時間にわたって利用できない状況をもたらす。このため他のコマンド実行の遅延を引き起こし、ストレージ・デバイスのデータ・アクセス・レートを低下させる。
このリトライ処理は長時間となる可能性があり、ストレージ・デバイスが長時間にわたって利用できない状況をもたらす。このため他のコマンド実行の遅延を引き起こし、ストレージ・デバイスのデータ・アクセス・レートを低下させる。
特許文献1である特開平5-53891は、磁気ディスク上のファイルを削除するときに、そのファイルが機密保護ファイルであるか否かを判断し、機密保護ファイルであればそのファイルが格納されている領域を検出し、その領域内に記録されている情報を消去する。続いてファイル管理情報にしたがってファイルの情報を消去することにより、論理的に削除する。機密保護ファイルでないと判断された場合は論理的な削除のみを行い情報の消去は行わない、とする。「情報を消去」する際のデータ転送による負荷、CPUの負担増加等には、何ら配慮が為されていない。
ストレージ・デバイスからの完全なデータ消去は、このように高い負荷を、重要でないデータ(たとえばゼロ)の転送のためホスト・コンピュータに対して、データ転送、書込み操作の実行、及び、最終的にはリトライ処理のためストレージ・デバイスに対して、それぞれ、課すこととなる。
高解像度ビデオ・コンテンツその他映像データは、ユーザが通常に操作するデータであるが、映像データが顕著な増加傾向にあることを考えると、この種のデータ消去に費やす負荷は従来技術では解消不可能である。特に、システム全体の適正な動作が、その内蔵するストレージ・デバイスの性能に極めて敏感なデータ記憶システム、例えば、磁気ディスク装置内蔵の映像録画機器、セットトップ・ボックス等では、従来のデータ消去方法では過大な負荷が発生し、これを許容できない。
それにもかかわらず、このような記憶システムは、ビデオ・コンテンツその他統制法規(著作権法)で保護されたデータを取り扱うため、完全なデータ消去を実現しなければならない。
高解像度ビデオ・コンテンツその他映像データは、ユーザが通常に操作するデータであるが、映像データが顕著な増加傾向にあることを考えると、この種のデータ消去に費やす負荷は従来技術では解消不可能である。特に、システム全体の適正な動作が、その内蔵するストレージ・デバイスの性能に極めて敏感なデータ記憶システム、例えば、磁気ディスク装置内蔵の映像録画機器、セットトップ・ボックス等では、従来のデータ消去方法では過大な負荷が発生し、これを許容できない。
それにもかかわらず、このような記憶システムは、ビデオ・コンテンツその他統制法規(著作権法)で保護されたデータを取り扱うため、完全なデータ消去を実現しなければならない。
ファイルの完全な消去を目的とした、ストレージ・デバイスを制御するための新しいコマンド(完全消去コマンド)を導入する。
完全消去コマンドは、ホストからストレージ・デバイスへのデータ転送を必要とすることなく、ストレージ・デバイスのストレージ空間の特定のエリアの消去を制御することができる。ストレージ・デバイス上における完全消去コマンドの実行は、単純に、ストレージ・デバイスのコントローラが例えば消去命令で指定する特定エリアのデータ上へ『任意データ』を書込む操作を行うことによって、その指定するデータの完全な消去を行う。
この際、書き込もうとした『任意データ』と比較して、書き込まれたデータが一致しないというエラーが生じたとしても、オリジナル・データが『任意データ』により上書きされ、読み取れない状態であるため、リトライその他エラー回復処理をする必要はない。これは、書込み操作がディスクのエリア(ストレージ・エリアまたはブロック)の上から適宜、磁界を印加し、又は、レーザ光を照射して処理される、ストレージ・エリアを不可逆的に変更することを伴う回転型記録媒体を用いたディスク記憶装置にしばしば当てはまる。
アプリケーションが、完全消去コマンド(「完全なファイル・データ消去関数」)を実行できるよう、改良されたファイル・システムとする。
完全消去コマンドは、ホストからストレージ・デバイスへのデータ転送を必要とすることなく、ストレージ・デバイスのストレージ空間の特定のエリアの消去を制御することができる。ストレージ・デバイス上における完全消去コマンドの実行は、単純に、ストレージ・デバイスのコントローラが例えば消去命令で指定する特定エリアのデータ上へ『任意データ』を書込む操作を行うことによって、その指定するデータの完全な消去を行う。
この際、書き込もうとした『任意データ』と比較して、書き込まれたデータが一致しないというエラーが生じたとしても、オリジナル・データが『任意データ』により上書きされ、読み取れない状態であるため、リトライその他エラー回復処理をする必要はない。これは、書込み操作がディスクのエリア(ストレージ・エリアまたはブロック)の上から適宜、磁界を印加し、又は、レーザ光を照射して処理される、ストレージ・エリアを不可逆的に変更することを伴う回転型記録媒体を用いたディスク記憶装置にしばしば当てはまる。
アプリケーションが、完全消去コマンド(「完全なファイル・データ消去関数」)を実行できるよう、改良されたファイル・システムとする。
この完全消去コマンドによれば次に示すような効果がある。
(a)従来の上書き操作とは異なり、ストレージ・デバイスとホスト・コンピュータの間におけるデータ消去のためのデータ転送が不要であり、ホスト・コンピュータのI/Oバスに課せられる負荷、及びデータを取り扱うためにストレージ・デバイス・コントローラに課せられる負荷を共に軽減できる。このことは、ホスト・コンピュータのメモリ及びストレージ・デバイス・コントローラのメモリのように、上書き操作の場合には、ホスト・コンピュータとストレージ・デバイスの間において転送されるべきデータを格納するために必要となるメモリ資源の消費量も低減する。
(b)アプリケーション内における「完全なファイル・データ消去関数」の実装は困難でなく、アプリケーションはファイル・システムによって提供される単一の関数を実行しさえすればよい。この完全消去関数の実行は、ストレージ・デバイスに対する1又は複数の消去コマンドの発行を生じさせ、効果的にそのストレージ・デバイスから完全にデータを消去する。
本発明は、ストレージ・デバイスからデータを消去するときにそのデバイスのコントローラに課せられる負荷を低減することによって、またそのデバイスを使用するホスト・コンピュータに課せられる負荷を低減することによって、ストレージ・デバイス全体のアクセス速度を向上させる。
(a)従来の上書き操作とは異なり、ストレージ・デバイスとホスト・コンピュータの間におけるデータ消去のためのデータ転送が不要であり、ホスト・コンピュータのI/Oバスに課せられる負荷、及びデータを取り扱うためにストレージ・デバイス・コントローラに課せられる負荷を共に軽減できる。このことは、ホスト・コンピュータのメモリ及びストレージ・デバイス・コントローラのメモリのように、上書き操作の場合には、ホスト・コンピュータとストレージ・デバイスの間において転送されるべきデータを格納するために必要となるメモリ資源の消費量も低減する。
(b)アプリケーション内における「完全なファイル・データ消去関数」の実装は困難でなく、アプリケーションはファイル・システムによって提供される単一の関数を実行しさえすればよい。この完全消去関数の実行は、ストレージ・デバイスに対する1又は複数の消去コマンドの発行を生じさせ、効果的にそのストレージ・デバイスから完全にデータを消去する。
本発明は、ストレージ・デバイスからデータを消去するときにそのデバイスのコントローラに課せられる負荷を低減することによって、またそのデバイスを使用するホスト・コンピュータに課せられる負荷を低減することによって、ストレージ・デバイス全体のアクセス速度を向上させる。
以下に、本発明の実施の形態を説明する。
図1に、本発明の機密データの完全な消去法を適用できる、磁気ディスク装置を有する計算機システムを開示する。
計算機システムにおいて中央処理ユニット100の支配下、メイン・メモリ110上のアプリケーション111は、メイン・メモリ110に常駐するファイル・システム112を使用して、磁気ディスク装置120に対するコマンドの発行を行う。磁気ディスク装置120は、ローカル・メモリ121と、磁気ディスク媒体123上に格納されたデータへのアクセスを制御するためのコントローラ122を有している。
中央処理ユニット100は、システム・バス140を介して、磁気ディスク装置120へコマンドを渡す。ディスプレイ131は、ディスプレイ・アダプタ130を介して、データ処理結果を表示できる。
計算機システムにおいて中央処理ユニット100の支配下、メイン・メモリ110上のアプリケーション111は、メイン・メモリ110に常駐するファイル・システム112を使用して、磁気ディスク装置120に対するコマンドの発行を行う。磁気ディスク装置120は、ローカル・メモリ121と、磁気ディスク媒体123上に格納されたデータへのアクセスを制御するためのコントローラ122を有している。
中央処理ユニット100は、システム・バス140を介して、磁気ディスク装置120へコマンドを渡す。ディスプレイ131は、ディスプレイ・アダプタ130を介して、データ処理結果を表示できる。
図2は、ファイル・システム112が、磁気ディスク装置のストレージ空間200(ファイル)を、一定サイズの隣接する論理ブロック201、202、203、204にそれぞれ分割して管理することを示す概念図である。
各ブロックは、0(201)からd(204)にわたる番号(論理ブロック番号)を使用して識別される。このため、論理ブロック番号と磁気ディスク媒体上の物理ブロックのアドレスとの、直接マッピングを単純に具体化できる。ファイル・システムは、各論理ブロック211の割り付け状態212を管理するための論理ブロック割付テーブル210を使用し、例えば、論理ブロック213等が有効なデータを含んでいるか否かを示す。
本例では、論理ブロック0(213)、1(214)、2(215)、および4(217)が使用されている。換言すれば、これらはファイル・システムのシステムデータ又はデータを格納するために割り付け済みとなっている。論理データ・ブロック3(216)及びd(218)は不使用で、ファイル・システムのデータ格納のために利用することができる。テーブル200自体は、磁気ディスク媒体上に、1又は複数の論理ブロックを使用して格納されており、システムの電源遮断後であっても論理・物理各ブロック間の対応関係を保持することができる。
各ブロックは、0(201)からd(204)にわたる番号(論理ブロック番号)を使用して識別される。このため、論理ブロック番号と磁気ディスク媒体上の物理ブロックのアドレスとの、直接マッピングを単純に具体化できる。ファイル・システムは、各論理ブロック211の割り付け状態212を管理するための論理ブロック割付テーブル210を使用し、例えば、論理ブロック213等が有効なデータを含んでいるか否かを示す。
本例では、論理ブロック0(213)、1(214)、2(215)、および4(217)が使用されている。換言すれば、これらはファイル・システムのシステムデータ又はデータを格納するために割り付け済みとなっている。論理データ・ブロック3(216)及びd(218)は不使用で、ファイル・システムのデータ格納のために利用することができる。テーブル200自体は、磁気ディスク媒体上に、1又は複数の論理ブロックを使用して格納されており、システムの電源遮断後であっても論理・物理各ブロック間の対応関係を保持することができる。
図3に、ファイル・システムが取り扱うファイルの情報を、その構造と共に示す。
ファイル・テーブル300は、ファイル名301と、各ファイルに関する管理情報310、311、…313を含んでいる。各管理情報に対応して論理ブロック302にデータが記録される。ファイル情報テーブル320及びファイル・テーブル300自体は、磁気ディスク媒体上に格納され、論理ブロックと物理ブロック間の対応関係を保持することができる。
ファイル情報テーブル320は、ファイル記述子である、ファイル名321、ファイル・サイズ322、ファイル・タイプ323、ファイル・アクセス権324その他の情報を含んでいる。ファイル・アクセス権324は、そのファイルに含まれているデータの保護に関する情報、ファイルが破棄されるときに完全なデータ消去を要するか否かについての情報を格納するために使用される。
ファイル・テーブル300は、ファイル名301と、各ファイルに関する管理情報310、311、…313を含んでいる。各管理情報に対応して論理ブロック302にデータが記録される。ファイル情報テーブル320及びファイル・テーブル300自体は、磁気ディスク媒体上に格納され、論理ブロックと物理ブロック間の対応関係を保持することができる。
ファイル情報テーブル320は、ファイル記述子である、ファイル名321、ファイル・サイズ322、ファイル・タイプ323、ファイル・アクセス権324その他の情報を含んでいる。ファイル・アクセス権324は、そのファイルに含まれているデータの保護に関する情報、ファイルが破棄されるときに完全なデータ消去を要するか否かについての情報を格納するために使用される。
ファイル情報テーブル320は、データの格納に使用される論理ブロックの番号であるファイル・マップ325も格納している。ファイル・マップ325は、ファイル・オフセット(ファイル内のデータのアドレス)を、磁気ディスク媒体の物理ブロック・アドレスへ直接マッピングすることに用いられる。
例えば、ファイル内のオフセット0のデータは、論理ブロック22(326)を介して対応する磁気ディスク媒体上に格納され、その論理ブロックのサイズに等しいオフセットのデータは、論理ブロック23(327)を介して対応する磁気ディスク媒体上に格納され、そのファイルの最後のデータは、論理ブロック100(328)を介して対応する磁気ディスク媒体上に格納される。
このデータ構造は、ファイル・データの論理ブロック・アドレス(ファイル内のデータ・オフセット)と、磁気ディスク媒体上の物理ブロック・アドレスとの間の単純なマッピングを可能にする。このマッピングは、特に、アプリケーションがファイルの消去を要求したとき、図4に示されるように使用される。
例えば、ファイル内のオフセット0のデータは、論理ブロック22(326)を介して対応する磁気ディスク媒体上に格納され、その論理ブロックのサイズに等しいオフセットのデータは、論理ブロック23(327)を介して対応する磁気ディスク媒体上に格納され、そのファイルの最後のデータは、論理ブロック100(328)を介して対応する磁気ディスク媒体上に格納される。
このデータ構造は、ファイル・データの論理ブロック・アドレス(ファイル内のデータ・オフセット)と、磁気ディスク媒体上の物理ブロック・アドレスとの間の単純なマッピングを可能にする。このマッピングは、特に、アプリケーションがファイルの消去を要求したとき、図4に示されるように使用される。
図4は、ファイル・データに対する完全消去コマンドの実行の様子を説明するための図である。ホスト400上で実行中のアプリケーション401から、ファイル・システム403に、ファイルの完全な消去の要求402が発行されると、ファイル・システムが、ファイル記述子を使用して、そのファイルを構成する論理ブロック・アドレスを獲得し、各ブロックについての消去コマンド410を磁気ディスク装置420に対して発行する。
磁気ディスク装置のコントローラ421は、受け取った消去コマンドを処理し、受け取ったコマンドによって指定される通り、磁気ディスク媒体422上の指定されたすべての論理ブロック423の内容である物理ブロックのデータを消去する。
磁気ディスク装置のコントローラ421は、受け取った消去コマンドを処理し、受け取ったコマンドによって指定される通り、磁気ディスク媒体422上の指定されたすべての論理ブロック423の内容である物理ブロックのデータを消去する。
図5に、ファイルを完全に消去するため、ファイル・システムによって行われる詳細な処理の流れを示す。これらの処理は、データの完全な消去を必要とするファイルにも、セキュリティを考慮しないファイルにも適用できる。
第1に、ファイル・サイズ322が検査され、そのファイルが空か否か、論理ブロックを有しているか否かが調べられる(500)。そのファイルが空であれば(NO)、ファイル・テーブル200内のそのファイルのエントリが消去され(560)、ファイル記述子(ファイル名321、ファイル・サイズ322、ファイル・タイプ323、アクセス権324、ファイル・マップ325)を含む論理ブロックが解放状態にセットされ、そのファイルを解放する(570)。
そのファイルが空でなければ(500、YES)、そのファイルが有するファイル・マップ内に登録された論理ブロックがなくなるまで、これから述べる手順が実行される。まず、ファイル・マップの最後の論理ブロックの番号が、同マップから獲得される(510)。ファイルの消去の仕方が完全消去である場合(520、YES)には、その論理ブロック内に格納されているデータ全てを完全に消去するために、コントローラ421(図4)から磁気ディスク装置に対して消去コマンドが発行され(530)、データの消去が実行される。このコマンドの実行完了後、処理された論理ブロックは解放状態にセットされ(540)、その番号がファイル・マップから削除される(550)。ファイルの完全消去が要求されていない場合には(520、NO)、同じ処理が、磁気ディスク装置への消去コマンドの発行を伴わずに行われる。ファイル・マップが空になると(500、NO)、ファイル・テーブル200内のそのファイルのエントリが消去され(560)、ファイル記述子を含む論理ブロックが解放される(570)。
第1に、ファイル・サイズ322が検査され、そのファイルが空か否か、論理ブロックを有しているか否かが調べられる(500)。そのファイルが空であれば(NO)、ファイル・テーブル200内のそのファイルのエントリが消去され(560)、ファイル記述子(ファイル名321、ファイル・サイズ322、ファイル・タイプ323、アクセス権324、ファイル・マップ325)を含む論理ブロックが解放状態にセットされ、そのファイルを解放する(570)。
そのファイルが空でなければ(500、YES)、そのファイルが有するファイル・マップ内に登録された論理ブロックがなくなるまで、これから述べる手順が実行される。まず、ファイル・マップの最後の論理ブロックの番号が、同マップから獲得される(510)。ファイルの消去の仕方が完全消去である場合(520、YES)には、その論理ブロック内に格納されているデータ全てを完全に消去するために、コントローラ421(図4)から磁気ディスク装置に対して消去コマンドが発行され(530)、データの消去が実行される。このコマンドの実行完了後、処理された論理ブロックは解放状態にセットされ(540)、その番号がファイル・マップから削除される(550)。ファイルの完全消去が要求されていない場合には(520、NO)、同じ処理が、磁気ディスク装置への消去コマンドの発行を伴わずに行われる。ファイル・マップが空になると(500、NO)、ファイル・テーブル200内のそのファイルのエントリが消去され(560)、ファイル記述子を含む論理ブロックが解放される(570)。
図6に、磁気ディスク装置に対して発行される完全消去コマンドの構造(600)と、その生成の流れを示す。完全消去コマンドは、コマンド・コード601で識別され、物理ブロック・アドレスを格納するフィールド602、及び、指定されたアドレスから開始する、消去対象エリアのサイズを指定するフィールド603を伴う。
完全消去コマンドは、完全な消去を必要とするファイルの各論理ブロックについて、ファイル・システムによって生成される。ファイル・システムは、消去するファイルの論理ブロックの番号(602)を使用して、そのブロックの物理ブロック・アドレスを計算する(610)。消去するエリアのサイズは論理ブロックのサイズに等しい。ファイル・システムは、物理ブロックのための完全消去コマンドを生成し(620)、磁気ディスク装置に対して発行する(630)。磁気ディスク装置は、受領したコマンドの実行が完了するまで待機し(640)、完了した後に完全消去コマンドの完了を報告して終了する。
この待機(640)は、いわゆるコマンドキューイング技術により、完全消去コマンド以外のコマンドを優先して実行していることを意味する。コマンドキューイング技術を用なければ、待機は不要となる。コマンドの優先順位は、例えば、コマンド・コード601により決めることができる。図示しない手順により、完全消去コマンドの実行中に、これより優先順位の高い他のコマンドが発行された場合には、完全消去コマンドの実行を中断し他のコマンドを実行し、他のコマンドの実行完了を受けて、再び完全消去コマンドの実行を開始しても良い。
完全消去コマンドは、完全な消去を必要とするファイルの各論理ブロックについて、ファイル・システムによって生成される。ファイル・システムは、消去するファイルの論理ブロックの番号(602)を使用して、そのブロックの物理ブロック・アドレスを計算する(610)。消去するエリアのサイズは論理ブロックのサイズに等しい。ファイル・システムは、物理ブロックのための完全消去コマンドを生成し(620)、磁気ディスク装置に対して発行する(630)。磁気ディスク装置は、受領したコマンドの実行が完了するまで待機し(640)、完了した後に完全消去コマンドの完了を報告して終了する。
この待機(640)は、いわゆるコマンドキューイング技術により、完全消去コマンド以外のコマンドを優先して実行していることを意味する。コマンドキューイング技術を用なければ、待機は不要となる。コマンドの優先順位は、例えば、コマンド・コード601により決めることができる。図示しない手順により、完全消去コマンドの実行中に、これより優先順位の高い他のコマンドが発行された場合には、完全消去コマンドの実行を中断し他のコマンドを実行し、他のコマンドの実行完了を受けて、再び完全消去コマンドの実行を開始しても良い。
図7に、磁気ディスク装置における、完全消去コマンドと、それ以外のコマンドの処理の流れを示す。
磁気ディスク装置のコントローラ122(図1)は、ホストからのコマンドを待つ(700)。コントローラが受け取るコマンドは、従来の読出し又は書込みコマンド、本発明の完全消去コマンド、その他必要な磁気ディスク装置のコマンドである。
受け取ったコマンドが完全消去コマンドの場合には(710、YES)、コントローラ122が、そのコマンドによって指定されるアドレスの物理ブロックに、同コマンドで指定した書込むべきデータ量の『0』又はランダムに選択されたデータを書き込む(720)。この書込み操作の結果は、書込みデータの正確性(書き込まれたデータと、書き込もうとしたデータとが正確に同じであること)が求められないことから、チェック不要である。
こうして、磁気ディスク媒体上に存在したオリジナル・データを、『0』又はランダムに選択された任意のデータで置換するので、結果的にオリジナル・データの完全な消去をもたらす。仮に消去の一部が不完全であっても、オリジナル・データを再び取り出す可能性は極端に小さくなる。
完全消去の操作完了時に、完全消去コマンドの実行終了がホストへ伝えられる(770)。
磁気ディスク装置のコントローラ122(図1)は、ホストからのコマンドを待つ(700)。コントローラが受け取るコマンドは、従来の読出し又は書込みコマンド、本発明の完全消去コマンド、その他必要な磁気ディスク装置のコマンドである。
受け取ったコマンドが完全消去コマンドの場合には(710、YES)、コントローラ122が、そのコマンドによって指定されるアドレスの物理ブロックに、同コマンドで指定した書込むべきデータ量の『0』又はランダムに選択されたデータを書き込む(720)。この書込み操作の結果は、書込みデータの正確性(書き込まれたデータと、書き込もうとしたデータとが正確に同じであること)が求められないことから、チェック不要である。
こうして、磁気ディスク媒体上に存在したオリジナル・データを、『0』又はランダムに選択された任意のデータで置換するので、結果的にオリジナル・データの完全な消去をもたらす。仮に消去の一部が不完全であっても、オリジナル・データを再び取り出す可能性は極端に小さくなる。
完全消去の操作完了時に、完全消去コマンドの実行終了がホストへ伝えられる(770)。
上記の単純な完全消去コマンドの操作と比較すると、その他のコマンド、特に、書込みコマンドは、最初に磁気ディスク装置へ書込みが必要な全てのデータをホストから獲得することによって処理される(730)。続いて、磁気ディスク媒体へデータを書き込むことによって、又は、読み出しコマンドであれば磁気ディスク媒体からデータを読み出すことによって、それぞれ、処理される(740)。その後、これらのコマンドの実行結果が検査され、リトライその他エラー回復処理が必要であるか否か決定される(750)。リトライ操作は数回にわたって繰り返され、完了に至る(760)。
コマンドの完了時には、その旨がホストへ伝えられる(770)。
コマンドの完了時には、その旨がホストへ伝えられる(770)。
この処理フローは、磁気ディスク装置上に格納されているデータを完全に消去する、本発明に係る完全消去コマンドの利点を明確に示している。完全消去コマンドの場合においては、ホストとコントローラ間のデータ転送が無く、またエラー回復処理も必要ない。
ディスク媒体の所定エリアに対し、適宜、磁界を印加し、又は、レーザ光を照射して、当該エリアを不可逆的に変更することにより情報を記録する、回転型記録媒体を用いたディスク記憶装置に適用できる。
410……完全消去コマンド、
620……物理ブロックのための消去コマンドを生成する、
630……磁気ディスク装置に対して完全消去コマンドを発行する。
620……物理ブロックのための消去コマンドを生成する、
630……磁気ディスク装置に対して完全消去コマンドを発行する。
Claims (7)
- 中央処理ユニットと、これにアクセス可能に接続されたメモリ及び回転型記録媒体を用いた記憶装置とを有する計算機システムであって、
当該計算機システムは、前記メモリ上に展開されたファイルシステムにより、前記中央処理ユニットを介して、前記回転型記録媒体上に書き込まれたファイルのデータを消去する機能を有し、
前記記憶装置は、前記回転型記録媒体上に書き込まれたファイルのデータに対し任意のデータを上書きする機能を有するコントローラを有し、
前記ファイルシステムは、前記メモリ上に展開されたアプリケーションからのアクセスを受けて、前記記憶装置へ、ファイルのデータに対し任意のデータを上書きするコマンドを送出する機能を有する、
計算機システムにおけるデータの消去方法であって、
前記アプリケーションが、前記ファイルシステムにファイルの消去の要求を発行する第1のステップと、
前記ファイルシステムが、前記コントローラに前記ファイルにつき1又は複数の前記任意のデータを上書きするコマンドを発行する第2のステップと、
前記コントローラが、前記ファイルシステムからのコマンドに応じて、前記回転型記録媒体上に書き込まれたファイルのデータを上書きする第3のステップと、
を有することを特徴とするデータの消去方法。 - 請求項1記載のデータの消去方法において、
前記ファイルにつき1又は複数の前記任意のデータを上書きするコマンドは、複数の論理ブロックに分割された前記ファイルの各論理ブロックに対して発行されるデータの消去方法。 - 請求項1記載のデータの消去方法において、
更に、ファイルシステムが、前記アプリケーションが消去を要求したファイルの参照を消去するデータの消去方法。 - 請求項1記載のデータの消去方法において、
前記第3のステップで上書きしたデータについて、エラー回復処理を行わないデータの消去方法。 - 請求項1記載のデータの消去方法において、
前記第3のステップの上書き中に、前記ファイルシステムが前記コントローラに他のコマンドを発行する第4のステップと、
前記コントローラが、第3のステップの上書きに優先させて、当該他のコマンドを実行する第5のステップと、
を有するデータの消去方法。 - メモリと、回転型記録媒体と、前記回転型記録媒体上に格納されたファイルのデータに対し、任意のデータを上書きする機能を有するコントローラと、を有することを特徴とするストレージ・デバイス。
- 中央処理ユニットと、これにアクセス可能に接続されたメモリ及び回転型記録媒体を用いた記憶装置とを有する計算機システムであって、
前記記憶装置は、前記回転型記録媒体上に書き込まれたファイルのデータに対し任意のデータを上書きする機能を有するコントローラを有し、
前記メモリ上に展開されたファイルシステムは、前記メモリ上に展開されたアプリケーションからのアクセスを受けて、前記中央処理ユニットを介して、前記記憶装置に対し、前記回転型記録媒体上に書き込まれたファイルのデータの上書きを命ずるコマンドを有する、ことを特徴とする計算機システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005189158A JP2007011522A (ja) | 2005-06-29 | 2005-06-29 | データの消去方法、ストレージ・デバイス及び計算機システム |
| US11/325,016 US20070005659A1 (en) | 2005-06-29 | 2006-01-03 | Data deletion method, storage device, and computer system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005189158A JP2007011522A (ja) | 2005-06-29 | 2005-06-29 | データの消去方法、ストレージ・デバイス及び計算機システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007011522A true JP2007011522A (ja) | 2007-01-18 |
Family
ID=37591003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005189158A Withdrawn JP2007011522A (ja) | 2005-06-29 | 2005-06-29 | データの消去方法、ストレージ・デバイス及び計算機システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20070005659A1 (ja) |
| JP (1) | JP2007011522A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7831551B2 (en) | 2007-09-05 | 2010-11-09 | Hitachi, Ltd. | Backup data erasure method |
| JP2010257135A (ja) * | 2009-04-23 | 2010-11-11 | Canon Inc | 制御装置、その制御方法、及びプログラム |
| KR101496664B1 (ko) * | 2013-08-23 | 2015-02-27 | 플러스기술주식회사 | 모바일단말을 위한 데이터삭제방법 및 데이터삭제장치 |
| US9753930B2 (en) | 2014-11-04 | 2017-09-05 | International Business Machines Corporation | Deleting files written on tape |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009098887A (ja) * | 2007-10-16 | 2009-05-07 | Hitachi Ltd | 記憶システム及びデータ消去方法 |
| US7836107B2 (en) * | 2007-12-20 | 2010-11-16 | Microsoft Corporation | Disk seek optimized file system |
| JP2009205333A (ja) * | 2008-02-27 | 2009-09-10 | Hitachi Ltd | 計算機システム、ストレージ装置及びデータ管理方法 |
| JP2010123084A (ja) * | 2008-11-21 | 2010-06-03 | Hitachi Ltd | ストレージ管理装置及びファイル削除制御方法 |
| JP2010204703A (ja) * | 2009-02-27 | 2010-09-16 | Hitachi Ltd | 計算機システム及びデータ消去方法 |
| WO2010128963A1 (en) * | 2009-05-04 | 2010-11-11 | Hewlett-Packard Development Company, L.P. | Storage device erase command having a control field controllable by a requestor device |
| WO2012149728A1 (zh) * | 2011-09-06 | 2012-11-08 | 华为技术有限公司 | 一种数据删除方法及装置 |
| JP2014206967A (ja) * | 2013-03-18 | 2014-10-30 | 株式会社Genusion | 記憶装置 |
| CN103839015A (zh) * | 2013-03-18 | 2014-06-04 | 株式会社Genusion | 存储装置 |
| KR102609177B1 (ko) | 2016-07-04 | 2023-12-06 | 삼성전자주식회사 | 불휘발성 메모리 시스템의 동작 방법 및 불휘발성 메모리 장치의 동작 방법 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6667812B1 (en) * | 1992-06-19 | 2003-12-23 | Canon Kabushiki Kaisha | Information processing apparatus with device control language based program selection |
| JP3215237B2 (ja) * | 1993-10-01 | 2001-10-02 | 富士通株式会社 | 記憶装置および記憶装置の書き込み/消去方法 |
| US6044438A (en) * | 1997-07-10 | 2000-03-28 | International Business Machiness Corporation | Memory controller for controlling memory accesses across networks in distributed shared memory processing systems |
| JP4085478B2 (ja) * | 1998-07-28 | 2008-05-14 | ソニー株式会社 | 記憶媒体及び電子機器システム |
| JP2002278838A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | メモリアクセス制御システム、デバイス管理装置、パーティション管理装置、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体 |
-
2005
- 2005-06-29 JP JP2005189158A patent/JP2007011522A/ja not_active Withdrawn
-
2006
- 2006-01-03 US US11/325,016 patent/US20070005659A1/en not_active Abandoned
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7831551B2 (en) | 2007-09-05 | 2010-11-09 | Hitachi, Ltd. | Backup data erasure method |
| JP2010257135A (ja) * | 2009-04-23 | 2010-11-11 | Canon Inc | 制御装置、その制御方法、及びプログラム |
| KR101496664B1 (ko) * | 2013-08-23 | 2015-02-27 | 플러스기술주식회사 | 모바일단말을 위한 데이터삭제방법 및 데이터삭제장치 |
| US9753930B2 (en) | 2014-11-04 | 2017-09-05 | International Business Machines Corporation | Deleting files written on tape |
| US9984078B2 (en) | 2014-11-04 | 2018-05-29 | International Business Machines Corporation | Deleting files written on tape |
| US10169344B2 (en) | 2014-11-04 | 2019-01-01 | International Business Machines Corporation | Deleting files written on tape |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070005659A1 (en) | 2007-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2007011522A (ja) | データの消去方法、ストレージ・デバイス及び計算機システム | |
| EP2631916B1 (en) | Data deletion method and apparatus | |
| US7895394B2 (en) | Storage system | |
| US7330947B2 (en) | Method and apparatus for backing up data in virtual storage medium | |
| JP4837378B2 (ja) | データの改竄を防止する記憶装置 | |
| US20100217977A1 (en) | Systems and methods of security for an object based storage device | |
| US8024532B2 (en) | Data management method for erasing data in computer system | |
| JP5574858B2 (ja) | 情報処理装置、情報処理装置の制御方法、プログラム | |
| JP2007537522A (ja) | 仮想テープ内の仮想ボリューム・データの動的ローディング | |
| US20080059751A1 (en) | Computer system, storage system and method for saving storage area by integrating same data | |
| JP2005276158A (ja) | ストレージシステム、計算機システムまたは記憶領域の属性設定方法 | |
| JP4566808B2 (ja) | 情報処理システム、ストレージシステム及び情報処理方法 | |
| JP2014178784A (ja) | 情報処理装置、情報処理システム及び情報処理プログラム | |
| US8631166B2 (en) | Storage devices with bi-directional communication techniques and method of forming bi-directional communication layer between them | |
| US20170139842A1 (en) | Storage system and cache control apparatus for storage system | |
| JP2006023854A (ja) | 情報処理装置、記憶装置、記憶制御装置及びプログラム | |
| JP2007249728A (ja) | ディスクアレイ装置 | |
| JP2006113882A (ja) | データ管理装置 | |
| JP2008262452A (ja) | 記録デバイスのキャッシュ方法および記録装置 | |
| US20220100403A1 (en) | Systems for modular hybrid storage devices | |
| US20130031320A1 (en) | Control device, control method and storage apparatus | |
| JP4076316B2 (ja) | 不揮発性キャッシュメモリを用いたデータ書き込みシステム | |
| JP2011090531A (ja) | 情報記憶装置 | |
| US11550506B2 (en) | Systems and methods for accessing hybrid storage devices | |
| JP5263574B2 (ja) | データ処理装置及びデータ消去方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080401 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20100323 |