JP2007207239A - セキュリティ応用のための柔軟性を有し保護されたアクセスを与える記憶装置 - Google Patents

セキュリティ応用のための柔軟性を有し保護されたアクセスを与える記憶装置 Download PDF

Info

Publication number
JP2007207239A
JP2007207239A JP2007019444A JP2007019444A JP2007207239A JP 2007207239 A JP2007207239 A JP 2007207239A JP 2007019444 A JP2007019444 A JP 2007019444A JP 2007019444 A JP2007019444 A JP 2007019444A JP 2007207239 A JP2007207239 A JP 2007207239A
Authority
JP
Japan
Prior art keywords
read
logical block
write
data
item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007019444A
Other languages
English (en)
Inventor
Robert H Thibadeau
ハーウェル ティバドー ロバート
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seagate Technology LLC
Original Assignee
Seagate Technology LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seagate Technology LLC filed Critical Seagate Technology LLC
Publication of JP2007207239A publication Critical patent/JP2007207239A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B19/00Driving, starting, stopping record carriers not specifically of filamentary or web form, or of supports therefor; Control thereof; Control of operating function ; Driving both disc and head
    • G11B19/02Control of operating function, e.g. switching from recording to reproducing
    • G11B19/12Control of operating function, e.g. switching from recording to reproducing by sensing distinguishing features of or on records, e.g. diameter end mark
    • G11B19/122Control of operating function, e.g. switching from recording to reproducing by sensing distinguishing features of or on records, e.g. diameter end mark involving the detection of an identification or authentication mark
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • G11B20/00094Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving measures which result in a restriction to authorised record carriers
    • G11B20/0013Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving measures which result in a restriction to authorised record carriers wherein the measure concerns not the entire record carrier, but a specific physical or logical area of one or more record carriers
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • G11B20/00137Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving measures which result in a restriction to contents recorded on or reproduced from a record carrier to authorised users
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • G11B20/0021Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving encryption or decryption of contents recorded on or reproduced from a record carrier
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B2220/00Record carriers by type
    • G11B2220/20Disc-shaped record carriers
    • G11B2220/25Disc-shaped record carriers characterised in that the disc is based on a specific recording technology
    • G11B2220/2508Magnetic discs
    • G11B2220/2516Hard disks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Abstract

【課題】保護されたデータを、ブートドライブに格納することができる、セキュリティの強化された記憶装置を提供すること。
【解決手段】データ記憶装置は、論理ブロックアドレスを介して参照される複数の物理メモリ位置を有する記憶媒体と、論理ブロックアドレスの少なくとも一つの範囲を含むテーブルを有し、承認された対象により論理ブロックアドレスに適用される一つあるいはそれ以上の数の機能を特定するセキュア区画とを含むことを特徴としている。装置によって実行されるアクセス制御の方法も含まれている。
【選択図】図3

Description

本発明は、データ記憶装置に関し、特に、ブロックデータ記憶を用いるデータ記憶装置に関する。
ブロックデータ記憶装置は、ブロックの形式でデジタルデータを記憶もしくは検索するものであり、これらのブロックは、ホスト装置によって個々にアドレス指定可能となるように構成されている。ブロックデータ記憶装置の例としては、ハードディスクドライブ、光ディスクレコーダ及びプレーヤ並びに磁気デジタルテープレコーダ及びプレーヤがある。
通常、これらの装置は、バッファ(第一メモリ位置)及び通信チャネル並びに記録可能媒体(第二メモリ位置)を有するハードウェア/ファームウェアにより構成されたインターフェース回路を含んでいる。第二メモリ位置のユーザメモリ空間は、多数のアドレス指定可能ブロックに分割され、これらのブロックには、(しばしば、論理ブロックアドレス又はLBAと称される)ホストレベルのアドレスが割り当てられている。通常、各LBAは、それに対応する物理ブロックアドレスを有しており、このアドレスは、所定のLBAにアクセスするために、サーボ制御回路がデータ伝達ヘッドを記憶媒体の所定位置に位置決めする際に、用いられる。
媒体にデータを書き込むために、ホスト装置は、記憶装置によって記憶されるユーザデータと、そのユーザデータが記憶されるLBAアドレスのリストとからなる書込みコマンドを発行する。記憶装置は、一時的に、第一メモリ位置にユーザデータを記憶し、媒体上の所定位置へのデータ伝送ヘッドの移動をスケジューリングし、通信チャネルの書込みチャネル部を用いて、データの適切なエンコードと調整を行い、指定されたLBAにデータを書き込む。
次に、記憶装置からデータを読み取るために、ホスト装置は、検索すべきデータのLBAを特定するための読込みコマンドを発行する。記憶装置は、媒体上の所定の位置へのデータ伝送ヘッドの移動をスケジューリングし、さらに、ホスト装置に返送する第一メモリ位置(バッファ)に置かれたリードバックデータを、通信チャネルの読込みチャネル部を用いて、デコードする。
最近の記憶装置は、通常、ATA又はSCSIコマンドを用いて読込み又は書込みがなされ、これらの記憶装置を用いるシステムは、これらのコマンドを用いるように最適化されている。ディスクドライブ記憶装置は、隠し領域又は保護空間をディスク上に有している。隠し領域中のアクセス制御オブジェクトは、ディスクドライブ組込みプロセッサ機能を提供する。隠し領域中のアクセス制御オブジェクトは、米国特許公開番号2003/0023867A1に記載されている。これを特許文献とする。
米国特許公開番号2003/0023867A1
保護された空間の利用が制限される状況とは、保護すべきデータの読込みと書込みに対して、通常のATA及びSCSIコマンドが使えない状況のことである。この状況は、暗号鍵などの特定のデータ種別に対して極めて好ましいことである。しかし、その一方で、アクセスが許可されて、通常のオペレーティングシステムのファイルとして扱うべきデータをユーザが要求する状況のような、他のデータ種別に対しては、好ましくないといえる。さらに、最近の主要なプラットフォームプロセッサは、保護された実行空間を用いることを前提としている。保護された実行プロセスは、保護された不揮発性記憶を必要とし、この記憶に対しては、時間によって異なる要求がなされる。ハイパーバイザープロセスを用いることによって、これらの保護された実行プロセスを管理できる。ハイパーバイザーは、ファイルシステム内に保護された記憶を割り当てて、異なるプロセスを用いることにより、これらの記憶をハイパーバイザーの指示の元に扱うことを可能とする。さらに、保護された実行プロセスは、通常のATA又はSCSIコマンドのみをサポートすればよいように、特殊なATA又はSCSIコマンドを用いて書込みや再書込みを行うことが必要とならないようにすることが望ましい。
また、記憶媒体の隠し領域に対しては、汎用なアクセス制御が設けられていることが望ましい。従来は、通常のコマンドを介して扱うことが可能な隠し空間を設けることにより、異なる物理空間にLBA空間を再配置する方法が用いられている。これは、フラッシュ記憶装置とディスク記憶装置の両方で行われる方法である。ディスク記憶装置では、ディスクドライブは、通常、0からNの範囲を有する線形なLBA空間が設けられているが、もし、専用のコマンドやパスコードによって配置が変更された場合には、0からMの同一の“ドライブレター”を持つものの、異なる物理アドレスに配置された空間が設けられる。この方法の利点は、読込みや書込みに対して、パスワードによってデータを保護できる点にある。一方、この方法の欠点は、ドライブの異なる物理データに変更された場合には、システム状態が失われてしまうため、再配置されたドライブは、プラットフォームのブートドライブにすることはできない点にある。
保護された実行空間プラットフォームは、多くの主要なプラットフォームプロセッサメーカにより開発されているが、これらは、複数の保護された領域を利用するものとなっている。一つ以上の保護された領域に、保護されたデータを格納するように、システムを構成することが望ましい。また、保護されたデータは、ブートドライブに格納することが望ましい。
本発明は、論理ブロックアドレスによって参照される複数の物理メモリ位置を有する記憶媒体と、すくなくとも一つの論理ブロックアドレス範囲を含み、論理ブロックアドレスに適用可能な一つあるいはそれ以上の数の機能を特定するセキュア区画とからなることを特徴とするデータ記憶装置を提供するものである。
また、本発明は、論理ブロックアドレスによって参照される複数の物理メモリ位置を有する記憶媒体を設けるステップと、少なくとも一つの論理ブロックアドレス範囲を含み、論理ブロックアドレスに適用可能な一つあるいはそれ以上の数の機能を特定するセキュア区画を用いて、記憶媒体に対するアクセスを制御するステップとからなることを特徴とする方法を提供するものである。
図1は、本発明で利用可能なディスクドライブ100の斜視図である。ディスクドライブ100は、従来の磁気ディスクドライブ、光磁気ディスクドライブあるいは光ディスクドライブとして構成することが可能である。ディスクドライブ100は、ホストシステム101に接続されており、基部102とトップカバー(不図示)を有する筐体を含んでいる。さらに、ディスクドライブ100は、ディスクパック106を含んでおり、このディスクパックは、ディスククランプ108により、スピンドルモータ(不図示)に取り付けられている。ディスクパック106は、複数のディスクを含んでおり、これらのディスクは中心軸109を中心にして同時に回転するように取り付けられている。各ディスクの表面には、各々に対応したスライダ110が設けられ、このスライダはディスクドライブ100に取り付けられ、ディスク表面との間で通信を行なうために、読取り/書込みヘッドを動かす。
図1に示した例では、スライダ110は、アクチュエータ116のトラックアクセスアームに取り付けられているサスペンション112によって支持されている。図1に示したアクチュエータは、既知の種類の回転式ムービングコイルアクチュエータであり、符号118で示したボイスコイルモータ(VCM)を含んでいる。ボイスコイルモータ118は、それに取り付けられたスライダ110とともに、ピボット軸120を中心に回転し、ディスクの内径124とディスクの外形126の間の軌道22に沿って、所定のデータトラック上にスライダ110を位置決めする。ボイスコイルモータ118は、内部回路128の制御に従って動作する。リニアアクチュエータなど、他の種類のアクチュエータを利用することも可能である。
以下では、“記憶装置”及び“ディスクドライブ”の用語は、特に明記しない限り、互いに同じものを指し、ネットワークを介して直接アクセス可能であったり、コンピュータシステムの内部に設けられたり、あるいは、その外部に接続された任意のデータ記憶装置を含んでいる。記憶装置は、必ずしも物理的な“ディスク”を搭載している必要はなく、ファームウェアをもつコントローラによって管理された記憶媒体又は記憶部品を含むものであってよい。
ここで用いられているように、用語“コンピュータシステム”は、メモリ記憶を有する任意の装置を指すものである。例えば、コンピュータには、これに限られるものではないが、デスクトップコンピュータシステム、ノートブックコンピュータシステム、ネットワークコンピュータシステム、携帯電話や個人用携帯情報端末などのワイヤレスシステム、ウェブカメラ内蔵のデジタルカメラ、あるいはこれらのシステム及び装置を適度に組み合わせて構成したものが含まれる。
次に、図2は、(図1のディスクパック106のディスクなどの)通常のディスクのディスク表面200を示したものである。各ディスク表面は、複数の同心円状のトラックを含み、データの書込みと読込みの位置を定義している。(符号202などの)各トラックは、さらに、複数のセクタ(あるいは物理メモリ位置)に分割され、これらのセクタは、さらに、情報の特定のユニットの位置を定義している。図2において、要素204は、単一のセクタを表している。これらのセクタは、論理ブロックアドレス(LBA)リニアアドレス指定手順を用いてアドレスが指定される。例えば、540MBのドライブでは、LBA0は、シリンダ又はトラック0(第一シリンダ又はトラック)の、ヘッド0(第一ヘッド)のセクタ1(第一セクタ)に対応しており、LBA1,065,456となるドライブ上の最後の物理セクタに到るまで、LBAが順次定義される。
ディスクドライブ100は、コンピュータシステムの構成要素であり、オペレーティングシステム、アプリケーション及びユーザデータに関する大容量の情報を記憶するために用いられる。ユーザデータに対し許可されていないアクセスを防止するための手続きは、基本的に、これらの手続きの操作に対してほとんど制御する機能をもたないディスクドライブを有するホストコンピュータに実装されている。
図3を引用して、本発明を説明する。図3は、ホストコンピュータ300に接続され、本発明の位置実施例に従って構成されたディスクドライブ100のブロック図である。本発明をより良く理解するために、まず最初に、本発明のディスクドライブ100が利用される環境を説明する。その後、本発明の詳細について説明する。
図3において、ディスクドライブ100は、ホストコンピュータ300に接続されている。ホストコンピュータは、例えば、汎用の計算機装置である。コンピュータ300の構成要素としては、処理ユニットと、システムメモリと、システムメモリを含む様々なシステム構成要素を処理ユニットに接続するためのシステムバスとが含まれている。システムバスは、メモリバスあるいはメモリコントローラ、周辺バス及び様々なバス構成を利用したローカルバスを含む、いくつかの種類のバス構成のいずれかで構成されている。
ユーザは、キーボードや、マウス、トラックボールあるいはタッチパッドなどのポインティングデバイスなどの入力装置を用いて、コマンドと情報をコンピュータ300に入力する。これらの入力装置や他の種類の入力装置は、システムバスに接続されたユーザ入力インターフェースを介して、処理ユニットに接続されている。また、モニタや他の種類の表示装置が、ビデオインターフェースなどのインターフェースを介してシステムバスに接続されている。リモートアプリケーションプログラムが搭載されている一つあるいはそれ以上の数のリモートコンピュータとの論理的な接続を用いた、ネットワーク環境の中で、コンピュータ300は動作するものであってよい。
図3に示すように、ディスクドライブ100は、ホスト/ディスクインターフェース330を介して、コンピュータ300に接続されている。コンピュータ300は、ホスト/ディスクインターフェース330を介して、ディスクドライブ100に対してデータを転送し、ディスクドライブ100からデータを読み込む。ホスト/ディスクインターフェース330は、記憶装置とホストコンピュータとを接続するための、任意の種類のデータ交換インターフェースである。データ交換インターフェースとしては、SCSI(Small Computer System Interface)、UDMA(Ultra Direct Memory Access)、ATA(Advance Technology Attachment)、あるいは産業界では既知となっている標準規格や、将来整備される標準規格に準拠した他の規格に従って構成されている。
ディスクドライブ100では、組み込みコントローラ130を用いて、ホストコンピュータ300からデータを受信したり、ホストコンピュータ300にデータを伝送する。通常は、コントローラ130は、メモリ134に格納された命令を実行することによって、その機能を果たす。
ディスクドライブ100は、コンピュータで読込み可能な命令と、データ構造と、プログラムモジュールと、コンピュータ300の他のデータとを格納する。図3では、例えば、ディスクドライブ100は、オペレーティングシステムと、アプリケーションプログラムと、他のプログラムモジュールと、プログラムデータとを格納されている。ここで、格納されるこれらの構成要素は、ホストに格納されるオペレーティングシステム、アプリケーションプログラム、他のプログラムモジュール、及びプログラムデータと同一のものでも良く、あるいは、異なるものでも良い。
ディスクドライブには、オペレーティングシステムと、アプリケーションプログラムと、他のプログラムモジュールと、プログラムデータが、ファイルとして格納されており、各ファイルは、LBAによって参照されるセクタのクラスタ(あるいは物理メモリ位置)上に格納されている。通常、ディスクドライブコントローラは、ホストのオペレーティングシステムとは独立して動作するため、LBAとファイルとの関係については考慮されていない。すなわち、ホストコンピュータが、ファイルに対応したデータをディスクドライブに転送する場合、情報は、ある範囲のLBAに記憶されるデータとしてディスクコントローラに送られる。コントローラは、データに記憶する情報を受取ると、単純に、そのデータをヘッド110に送り、指定された連続するLBA範囲に対応した物理メモリ位置に、そのデータを記憶する。
本発明の一実施例によれば、LBA範囲に対するプログラム命令と他の対応する機能は、コントローラ130によって実行可能なものであり、メモリ134に記憶されている。さらに、少なくとも一つの予め定められたLBA範囲を記憶したテーブルは、複数の物理メモリ位置の(全てではない)少なくとも一つのサブセットに対応し、(例えば、ディスク表面上の)不揮発性メモリのセキュア区画に含まれている。表1は、このテーブルの一例を示すものである。この表は、少なくとも一つの論理ブロックアドレスの範囲を含み、承認された項目によって論理ブロックアドレスに適用される一つあるいはそれ以上の数の機能を指定するものである。
Figure 2007207239
表1において、行1は特別なもので、記憶装置の全LBA範囲を指すものである。行2以降の行は、LBAの一部の範囲を指すものであり、行1とは扱いが異なる。本実施例では、行2は、書込みロック許可を指示するものであり、書込みロックの列の条件は、LBA100以降の500ブロックに書込み可能であるか否かを決定するものである。本例では、書込みロック許可がONであり、書込みロックがONであるため、このLBA範囲への書込みは禁止される。読込みロックは不許可であるため、読込みロックの値は意味を持たないものとなり、読込みは解除される。この2つのブール値(一方は許可であり、他方はロック状態か非ロック状態のいずれかを有効にする)の目的は、3つの状態を区別するためである。許可フラグは、ロックフラグが意味を持つかどうかを示すものであり、もし、意味を持つならば、ロック及び解除の2状態をロックフラグによって制御する。実際には、ロックを許可する権限は、読込み又は書込みの範囲を解除又はロックできる権限とは異なる。また、表中には、暗号鍵が含まれており、これが存在する場合には、媒体に書き込まれるデータを暗号化し、媒体から読み込むデータを暗号解読する。
表は、不揮発性メモリの安全区画に記憶されている。安全区画は、米国特許出願番号09/912,931(同公開番号2003/0023867A1)に記載されており、ここでは特許文献とする。実際には、LBA表は、表中で指定されたLBA範囲の記憶領域に記憶するか、表の行1で定義された全LBA範囲を含む表中で指定されたLBA範囲のどこにも含まれない他の記憶領域に記憶するものであってよい。
このLBAテーブルは、ディスク製造時に生成される。ディスクドライブをホストコンピュータにインストールした後に、記録がテーブルに追加されたり、記録が修正される。テーブル中の記録の追加、削除及び更新は、ホスト側のインターフェースプロトコルとセキュリティ認証に適合した適切なコマンドを用いることによって行われる。通常、LBA範囲は、ディスク区画と同一となるように、割り当てられる。
データ記憶情報を受信すると、コントローラは、特定のLBA範囲に対応した物理メモリ位置にそのデータを記憶する。しかし、本発明では、対応した物理メモリ位置にデータを記憶したり、そこからデータを取り出す前に、コントローラ130が、ユーザが特定のLBA範囲にアクセスする権限をもっているかどうかを判定する。従って、本発明は、実質的に、ホストから独立し、ファイルから独立したアクセス手段を提供するものとなっている。
ユーザの認証処理により、予め定められたLBA範囲にある機能を、ホストコンピュータの現在のユーザに対して有効にするかどうかを決定する。ユーザの認証処理は、ユーザがホストコンピュータにログインした時点で行うことが好ましい。
図4は、本発明の位置実施例における、認証処理の一例のフローチャートである。認証により、テーブル中の値の書込みと読込みが可能となる。認証方法と、テーブル中のどのデータをどの権限が読込み/書込みできるかについては、特定の目的のために記憶装置を構成する際に、設定しておく。例えば、管理者権限での認証により、特定のLBA範囲が、読込みロック許可又は書込みロック許可であるかについて、その値を設定でき、一方、ユーザ権限又はコンピュータ権限での認証により、読込みロック又は書込みロックであるかについて、その値を設定できる。
ユーザ権限での認証の処理に関しては、ユーザログインプロセスが、ステップ402で開始される。ステップ404において、ユーザに対して、識別情報(例えば、ユーザ名とパスワード)を入力するように促す。ステップ406において、ユーザ識別情報を検証する。ステップ408において、ユーザ識別情報が有効であると判定された場合に、アクセスが許可される。
本発明のいくつかの実施例では、識別情報には、暗号鍵と、その鍵の値の知識証明を含んでいる。認証情報は、LBA範囲テーブル内に、あるいは範囲テーブルに関連付けて(結合して)記憶される。認証処理は、記憶装置内に実装することが可能である。いくつかの実施例では、認証処理のいくつかの部分は、オペレーティングシステムに実装されている。他の実施例では、認証処理のいくつかの部分は、BIOSあるいは、BIOS拡張部に実装されている。なお、ユーザ権限での認証が、BIOSあるいは、BIOS拡張部に実装されている場合には、オペレーティングシステムを変更する必要はない。また、ユーザ権限での認証の手順は、セキュリティトークンや指紋などの生体情報スキャナを利用することも可能であり、これにより、基本的なパスフレーズよりも強力な認証セキュリティが得られる。LBA範囲テーブル中の値を変更するために必要となる特別の認証は、アクセス制御を設定するエージェントの制御によって行なわれる。
LBA範囲テーブルの中身は、ホストディスク・インターフェースプロトコルに準拠したコマンドを用いることにより、変更することが可能である(記録を、追加、削除、もしくは更新することが可能である)。認証処理は、ホストコンピュータの現在のユーザが、LBA範囲テーブルに対して保有するアクセスレベル(アクセス禁止、問い合わせのみ、あるいは、問い合わせ及び更新)を決定するために実行される。ユーザ権限での認証処理は、上述したものと同様の手法を用いて、実行することが可能である。ユーザ権限での認証処理は、ディスクドライブの隠し領域に記憶しておき、認証処理中にホストコンピュータにロードするものであってよい。
本発明は、LBAM SPと呼ばれる、論理ブロックアドレス配置(LBAM)のセキュリティ区画(SP)を用いて実装することが可能である。LBAM SPは、厳密な汎用アクセス制御において、ホストの単一の権限に対して発行される。セキュリティが確保された処理実行プロセッサにおいては、この発行プロセスは、ローカルなハイパーバイザープロセスである。ドライブの製造メーカーは、LBAM SP及び他のSPに対するLBAアドレスを保護するための、LBAM SP中のテーブルを提供する。これにより、これらの記憶空間上での通常の読込み/書込み操作は禁止されるが、SP保護空間のサイズ変更のために製造メーカー権限での認証を用いるアプリケーションによる書込みは可能である。
LBAMによるマッピングは、第二区画を、LBA0から始るLBA範囲に配置する処理を一般化したものである。本例では、表2に示すように、LBA範囲テーブルを修正して、この配置処理を制御する。表2は、表1に対して、“配置済LBA開始”の列を追加したものである。表1と同様に、列1は、記憶装置の全てのLBAに対して適用されるものである。列2は、読込みロック可能及び、あるいは書込みロック可能で、読込みロックがOFF(開放)及び、あるいは書込みロックがOFFの場合に、読込み及び、あるいは書込みに対して、値1000から値6000(1000+5000)のLBAが、LBA0からLBA5000に再配置されていることを示している。ある行が再配置された場合には、その行は、それが再配置された先のアドレス範囲で置き換えられる。表2に示した例では、LBA1000から6000が、LBA0から5000に再配置されるため、LBA範囲の全体は、1000ブロック分だけ減少する。一実施例において、記憶システムのファームウェアは、構成をチェックして、再配置を行なう際の解釈が不定となるような構成や、あいまいな構成や、ファームウェアと回路の容量を上回るような構成を禁止する必要がある。
Figure 2007207239
LBA開始を再配置することにより、LBA範囲は、ユーザから完全に隠れたものとなる。これにより、一つのセキュア区画がテーブル自身を保持でき、認証制御を介さずに、通常の読込みあるいは書込みに対して、ロック状態が永久に継続できるように、セキュア区画を構成することが可能となる。これにより、テーブルと認証データを記憶するためのセキュア区画を、元のLBA空間内で区画容量について構成が可能になるという利点がもたらされる。
他の実施例として、読込みロックと書込みロックを組み合わせて、単一の読込み/書込みロックとして編成することも可能である。
本発明によれば、ソフトウェアは、それ自身のみと、それが見ることが許可されている他のものとを見ることになる。ハイパーバイザーを用いることにより、セキュリティが確保された実行環境を割り当てることが可能となる。本発明は、ハイパーバイザのために保護された空間を提供できる。保護された領域に対する鍵は、ハイパーバイザーによって提供される。
ハイパーバイザがない場合には、一旦、認証が通ってしまうと、ATAあるいはSCSI準拠の悪意のある読込み/書込みコマンドが実行できてしまうという、セキュリティ上の技術的な課題が残る。この悪意あるプロセスは、LBA範囲に対する権限を認証し、読込みあるいは書込みを行なうこととなり、結果的に、認証が破られてしまう。他のプロセスが、特定のLBA範囲に対して認証が得られたものと認識した場合には、この他のプロセスが、当該LBA範囲にデータを書き込むことが可能となる。
テーブル中で定義されている保護されたLBA範囲に対して、正しい標準的な読込み/書込みコマンドのみが、読込みあるいは書込みできるように保証する方法には、様々な方法がある。一つの方法としては、LBAM認証によって起動されたドライブにより確立されたセキュリティが確保されたセッションで、書込み/読込みコマンドを発行する方法がある。これにより、書込み/読込みコマンドを発行しているプロセスは、どのLBAアドレスが読込みあるいは書込み中であるかについては、他のプロセスからは見えなくなる。読込み/書込みは、セキュアメッセージ層の中を通るため、いずれの読込みあるいは書込みも、適切に認証が行われる。セキュリティが確保されたセッションにより、読込み及び書込みは、他のプロセスからは見えなくなり、他のプロセスの成り済ましによって行われることがないことが保証される。
他の方法としては、セキュリティが確保されたセッションにより、例えば、鍵がかけられたハッシュを用いることにより確立される認証コードを、読込みあるいは書込みがなされるデータに含ませておく必要があるという方法がある。
三番目の方法としては、LBAMテーブルを拡張して、通常の読込み/書込みコマンドに対して汎用のセキュリティ制御を設けるという方法がある。例えば、LBAMの内容は、データペイロードの数とハッシュ値とを特定するものであり、これにより、送受信される全てのデータを暗号化したり、読込み/書込みするペイロード中のデータを再フォーマットする必要がなくなる。このように、異なるLBA範囲に対する読込み/書込みコマンドは、データに関するセッション毎の同一性を失うことなく均一にばら撒かれることになる。しかし、この方法では、コミットが行われるまで(ハッシュチェックのセッション終了まで)書き込む際に、データのコピーを必要とするようなトランザクションのコミット機構を呼出す必要がある。
一方、いくつかの処理環境では、読込み/書込みチャネルが、特定のセキュアプロセスに対してセキュリティを確保することがあるが、この場合は、(ハードウェアにより無制限に保護されている)読込み/書込みチャネルと同じくらいの期間、セション自身が継続する。このような場合は、LBAMの設定は、排他的な登録プロセスと同じであり、登録を行う時を除いて、ハッシュ方法とセキュアメッセージ方法を用いる必要はない。ハイパーバイザーは、この種の排他的なハードウェアによって保護された領域を利用することになると見込まれる。
最後に、LBAMテーブルを拡張し、暗号鍵あるいは暗号鍵に間接的に参照する情報を盛り込む。これにより、LBA範囲の全てのデータについて、媒体に書き込む際に暗号化し、媒体から読み込む際に暗号解読するようにする。この方法は、ドライブ全体にわたる暗号化に対して、ごく自然な拡張方法であり、ドライブ全体の暗号化の使い勝手と可搬性を保ちながら大きな柔軟性をもたらすものである。さらに、LBAM暗号化の範囲は、回路が許せば、デフォルトでドライブ全体の暗号化の先頭から暗号化を始めることが可能である。この場合、LBAM SPは、暗号鍵を管理するのに必要な他のテーブルを含む一つあるいはそれ以上の数の暗号化ドライブのSPに関連付けられる。
オペレーティングシステム、あるいは特に、適切な暗号化により管理された権限を有するファイルシステムのベンダは、通常の読込み/書込み操作を変更することなく、通常のオペレーティングシステム/ファイルシステムの利用に適した保護された空間を生成することができる(なお、この場合、初期化処理と後に記憶回復する処理を、ホストのオペレーティングシステム/ファイルシステムあるいは、ハイパーバイザなどの、セキュリティが確保された実行空間プロセッサやホストオペレーティングシステムで実行されるアプリケーションに追加する必要がある)。ユーザは、同一のマシン上で実行中の他のプロセスからはアクセス不可能な保護された記憶領域に対し、読込み/書込みできることをプロセス自身が認識しているプロセスを単に実行するだけである。ハイパーバイザーは、ユーザに対して、ユーザ自身が利用する記憶領域が、他のプロセスによってアクセスされることはないという保証を与えるものである。
本発明は、LBAから物理空間へのマッピングが変化することがないという特性をもっており、ドライブからの起動を可能とするものである。LBA範囲をなんらかの方法で凍結する考え方は、既知である。しかし、本発明は、LBAの配置及び読込み/書込みロック、ならびに記憶装置の組込みコントローラ内で、記憶装置インターフェースの後方で、セキュリティの確保された汎用のセキュリティ管理を可能とする暗号化に対する統一的な表形式のインターフェースを提供するものである。
本発明は、LBA範囲に対するプログラム可能で汎用のアクセス制御に関し、LBA範囲の保護、LBA再配置、LBA範囲での分離可能な書込み/読込み制御、ならびに単一のモジュール機構におけるLBA範囲の暗号化を提供することにより、従来の方法を実質的に改善するものである。本発明の範囲で、これらの特徴の任意の組合せが可能となるように、この機構はモジュール方式で構成されている。
本発明は、LBA範囲へのアクセスを制限するための、汎用のアクセス制御システムを提供するものである。このシステムは、パスワード認証や暗号を用いた様々な認証方法をの中から一つを選ぶことができる。また、このシステムは、認証のテストのために、ブール値の組合せとして認証を組み合わせることが可能となっている。この一例が、クロス認証であり、LBAアクセスを確立したり、LBA再配置を有効にしたり、認証規約を変更するために、二つの認証を必要とする方法である。
本発明は、複数の仮想ドライブに対して、LBA範囲の再配置を可能としている。アクセス制御は、LBA範囲に設けられている。パスワード、鍵などを用いて、仮想アクセス制御が行われる。オペレーティングシステムは、アクセス制御を適用することにより、LBA範囲を保護する。複数のマスターブートレコードを構成することが可能である。
さらに、本発明は、最新のセキュリティの高いホストシステムとセキュリティの面で密に結合したLBA範囲へのアクセスを制限するためのアクセス制御システムを提供するものである。読込み/書込みをロックするため、LBAアクセスの制御のため、LBA配置のため、およびLBA範囲の読込み/書込みに関する暗号化のために、単一の装置が用いられる。
様々な実施例では、読込み/書込みのロックと、LBA範囲の読込み/書込みに関する暗号化とのため、あるいは、読込み/書込みのロックと、LBA再配置のため、または、LBA再配置と、LBA範囲の読込み/書込みに関する暗号化のために、単一の装置を用いることが可能である。
本発明を数々の例にもとづいて説明したが、当業者であれば、以下のクレームで規定される本発明の範囲を逸脱しない限り、様々な変更が可能であることは自明である。
本発明で利用可能なディスクドライブの斜視図。 データ記憶ディスクの概略図。 本発明を含むことが可能なシステムの簡略ブロック図。 ユーザ認証手続きの一例のフローチャート。
符号の説明
130 コントローラ
132 モータ
300 ホスト
330 インターフェース

Claims (18)

  1. 論理ブロックアドレスを介して参照される複数の物理メモリ位置を有する記憶媒体と、
    論理ブロックアドレスの少なくとも一つの範囲を含むテーブルを有し、承認された対象により論理ブロックアドレスに適用される一つあるいはそれ以上の数の機能を特定するセキュア区画と
    を含むことを特徴とするデータ記憶装置。
  2. 請求項1記載の装置において、テーブルは、複数の論理ブロックアドレスに適用される第一の項目の組と、複数の論理ブロックアドレスの一部に適用される第二の項目の組とを含むことを特徴とする装置。
  3. 請求項1記載の装置において、
    テーブルは、書込みロック可能項目と、書込みロック項目とを含み、書込みロック可能項目は、書込みロック項目の有効性を決定し、
    テーブルは、読込みロック可能項目と、読込みロック項目とを含み、読込みロック可能項目は、読込みロック項目の有効性を決定することを特徴とする装置。
  4. 請求項1記載の装置において、テーブルは、論理ブロックアドレスの範囲に書き込まれる、および/あるいは、論理ブロックアドレスの範囲から読み込まれるデータを暗号化するための暗号鍵を含むことを特徴とする装置。
  5. 請求項1記載の装置は、さらに、記憶媒体に対して、データを読み込む、および/あるいはデータを書き込むための、セキュリティが確保された読込み/書込みチャネルを含むことを特徴とする装置。
  6. 請求項1記載の装置において、テーブルは、
    一つあるいはそれ以上の数の、
    論理ブロックアドレス範囲の読込み/書込みロックと、
    論理ブロックアドレス範囲の読込み/書込み暗号とを
    制御する情報を含むことを特徴とする装置。
  7. 請求項1記載の装置において、テーブルは、論理ブロックアドレス範囲の再配置を制御する情報を含むことを特徴とする装置。
  8. 請求項1記載の装置において、セキュア区画は、認証データを含むことを特徴とする装置。
  9. 論理ブロックアドレスを介して参照される複数の物理メモリ位置を有する記憶媒体を設けるステップと、
    論理ブロックアドレスの少なくとも一つの範囲を含むテーブルを有し、承認された対象により論理ブロックアドレスに適用される一つあるいはそれ以上の数の機能を特定するセキュア区画を用いた記憶媒体へのアクセスを制御するステップと
    を含むことを特徴とする方法。
  10. 請求項9記載の方法において、テーブルは、複数の論理ブロックアドレスに適用される第一の項目の組と、複数の論理ブロックアドレスの一部に適用される第二の項目の組とを含むことを特徴とする方法。
  11. 請求項9記載の方法において、
    テーブルは、書込みロック可能項目と、書込みロック項目とを含み、書込みロック可能項目は、書込みロック項目の有効性を決定し、
    テーブルは、読込みロック可能項目と、読込みロック項目とを含み、読込みロック可能項目は、読込みロック項目の有効性を決定することを特徴とする方法。
  12. 請求項9記載の方法において、テーブルは、
    一つあるいはそれ以上の数の、
    論理ブロックアドレス範囲の読込み/書込みロックと、
    論理ブロックアドレス範囲の読込み/書込み暗号とを
    制御する情報を含むことを特徴とする方法。
  13. 請求項9記載の方法において、テーブルは、論理ブロックアドレス範囲の再配置を制御する情報を含むことを特徴とする方法。
  14. 請求項9記載の方法において、テーブルは、論理ブロックアドレスの範囲に書き込まれる、および/あるいは、論理ブロックアドレスの範囲から読み込まれるデータを暗号化するための暗号鍵を含むことを特徴とする方法。
  15. 請求項14記載の方法において、読込みあるいは書込みされるデータは、認証コードを含むことを特徴とする方法。
  16. 請求項9記載の方法は、さらに、
    テーブルに従って認証されたセキュアセッションにおいて、読込み、および/あるいは書込みコマンドを発行するステップを含むことを特徴とする方法。
  17. 請求項9記載の方法において、テーブルの値の読込みあるいは書込みは、認証情報を必要とすることを特徴とする方法。
  18. 請求項9記載の方法において、セキュア区画は、認証データを含むことを特徴とする装置。
JP2007019444A 2006-01-31 2007-01-30 セキュリティ応用のための柔軟性を有し保護されたアクセスを与える記憶装置 Pending JP2007207239A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/343,337 US20070180210A1 (en) 2006-01-31 2006-01-31 Storage device for providing flexible protected access for security applications

Publications (1)

Publication Number Publication Date
JP2007207239A true JP2007207239A (ja) 2007-08-16

Family

ID=38323502

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007019444A Pending JP2007207239A (ja) 2006-01-31 2007-01-30 セキュリティ応用のための柔軟性を有し保護されたアクセスを与える記憶装置

Country Status (3)

Country Link
US (1) US20070180210A1 (ja)
JP (1) JP2007207239A (ja)
SG (1) SG134258A1 (ja)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060242066A1 (en) * 2004-12-21 2006-10-26 Fabrice Jogand-Coulomb Versatile content control with partitioning
US8051052B2 (en) * 2004-12-21 2011-11-01 Sandisk Technologies Inc. Method for creating control structure for versatile content control
US8601283B2 (en) * 2004-12-21 2013-12-03 Sandisk Technologies Inc. Method for versatile content control with partitioning
US20070168292A1 (en) * 2004-12-21 2007-07-19 Fabrice Jogand-Coulomb Memory system with versatile content control
US20060242067A1 (en) * 2004-12-21 2006-10-26 Fabrice Jogand-Coulomb System for creating control structure for versatile content control
US8504849B2 (en) * 2004-12-21 2013-08-06 Sandisk Technologies Inc. Method for versatile content control
US20060242150A1 (en) * 2004-12-21 2006-10-26 Fabrice Jogand-Coulomb Method using control structure for versatile content control
US20060242151A1 (en) * 2004-12-21 2006-10-26 Fabrice Jogand-Coulomb Control structure for versatile content control
US7748031B2 (en) 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
US8108692B1 (en) 2006-06-27 2012-01-31 Siliconsystems, Inc. Solid-state storage subsystem security solution
US8613103B2 (en) * 2006-07-07 2013-12-17 Sandisk Technologies Inc. Content control method using versatile control structure
US8140843B2 (en) * 2006-07-07 2012-03-20 Sandisk Technologies Inc. Content control method using certificate chains
US8266711B2 (en) * 2006-07-07 2012-09-11 Sandisk Technologies Inc. Method for controlling information supplied from memory device
US8245031B2 (en) * 2006-07-07 2012-08-14 Sandisk Technologies Inc. Content control method using certificate revocation lists
US20080034440A1 (en) * 2006-07-07 2008-02-07 Michael Holtzman Content Control System Using Versatile Control Structure
US20100138652A1 (en) * 2006-07-07 2010-06-03 Rotem Sela Content control method using certificate revocation lists
US20080010458A1 (en) * 2006-07-07 2008-01-10 Michael Holtzman Control System Using Identity Objects
US20080010449A1 (en) * 2006-07-07 2008-01-10 Michael Holtzman Content Control System Using Certificate Chains
US20080010452A1 (en) * 2006-07-07 2008-01-10 Michael Holtzman Content Control System Using Certificate Revocation Lists
US8639939B2 (en) * 2006-07-07 2014-01-28 Sandisk Technologies Inc. Control method using identity objects
US20080022395A1 (en) * 2006-07-07 2008-01-24 Michael Holtzman System for Controlling Information Supplied From Memory Device
KR20080097766A (ko) * 2007-05-03 2008-11-06 삼성전자주식회사 기록매체의 저장영역을 분리하는 방법과 이를 이용한기록매체 및 기록매체에 접근하는 방법 및 이를 이용한기록장치
US8645974B2 (en) * 2007-08-02 2014-02-04 International Business Machines Corporation Multiple partition adjunct instances interfacing multiple logical partitions to a self-virtualizing input/output device
US8219989B2 (en) 2007-08-02 2012-07-10 International Business Machines Corporation Partition adjunct with non-native device driver for facilitating access to a physical input/output device
US8010763B2 (en) * 2007-08-02 2011-08-30 International Business Machines Corporation Hypervisor-enforced isolation of entities within a single logical partition's virtual address space
US8001357B2 (en) * 2008-04-30 2011-08-16 Microsoft Corporation Providing a single drive letter user experience and regional based access control with respect to a storage device
US20090307451A1 (en) * 2008-06-10 2009-12-10 Microsoft Corporation Dynamic logical unit number creation and protection for a transient storage device
US20100011350A1 (en) * 2008-07-14 2010-01-14 Zayas Fernando A Method And System For Managing An Initial Boot Image In An Information Storage Device
US20100070728A1 (en) * 2008-09-12 2010-03-18 Fujitsu Limited Method and apparatus for authenticating user access to disk drive
US8341430B2 (en) * 2008-10-03 2012-12-25 Microsoft Corporation External encryption and recovery management with hardware encrypted storage devices
JP4762292B2 (ja) * 2008-10-29 2011-08-31 東芝ストレージデバイス株式会社 ストレージ装置、ストレージシステム及びアンロック処理方法
TW201019113A (en) * 2008-11-06 2010-05-16 Genesys Logic Inc Authenticable USB storage device and method thereof
US8452934B2 (en) * 2008-12-16 2013-05-28 Sandisk Technologies Inc. Controlled data access to non-volatile memory
US9104618B2 (en) * 2008-12-18 2015-08-11 Sandisk Technologies Inc. Managing access to an address range in a storage device
US8356184B1 (en) * 2009-06-25 2013-01-15 Western Digital Technologies, Inc. Data storage device comprising a secure processor for maintaining plaintext access to an LBA table
US8442235B2 (en) 2010-04-14 2013-05-14 Microsoft Corporation Extensible management of self-encrypting storage devices
US8566603B2 (en) 2010-06-14 2013-10-22 Seagate Technology Llc Managing security operating modes
US8769228B2 (en) * 2010-12-17 2014-07-01 Intel Corporation Storage drive based antimalware methods and apparatuses
US8856553B2 (en) * 2011-09-12 2014-10-07 Microsoft Corporation Managing self-encrypting drives in decentralized environments
US9305142B1 (en) 2011-12-19 2016-04-05 Western Digital Technologies, Inc. Buffer memory protection unit
US9270657B2 (en) 2011-12-22 2016-02-23 Intel Corporation Activation and monetization of features built into storage subsystems using a trusted connect service back end infrastructure
WO2013101208A1 (en) * 2011-12-30 2013-07-04 Intel Corporation Hardware enforced memory access permissions
US8891773B2 (en) * 2013-02-11 2014-11-18 Lsi Corporation System and method for key wrapping to allow secure access to media by multiple authorities with modifiable permissions
US9245140B2 (en) 2013-11-15 2016-01-26 Kabushiki Kaisha Toshiba Secure data encryption in shared storage using namespaces
US9626531B2 (en) * 2014-11-18 2017-04-18 Intel Corporation Secure control of self-encrypting storage devices
WO2017131671A1 (en) 2016-01-27 2017-08-03 Hewlett Packard Enterprise Development Lp Securing a memory device
US10095635B2 (en) 2016-03-29 2018-10-09 Seagate Technology Llc Securing information relating to data compression and encryption in a storage device
US10719462B2 (en) * 2018-09-25 2020-07-21 Intel Corporation Technologies for computational storage via offload kernel extensions

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08263383A (ja) * 1995-03-20 1996-10-11 Hitachi Ltd 情報処理装置
JP2004030581A (ja) * 2003-03-20 2004-01-29 Fujitsu Ltd パスワード制御方法

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4453188A (en) * 1981-04-10 1984-06-05 Amlyn Corporation Disk drive
US5610981A (en) * 1992-06-04 1997-03-11 Integrated Technologies Of America, Inc. Preboot protection for a data security system with anti-intrusion capability
JP3084969B2 (ja) * 1992-10-16 2000-09-04 松下電器産業株式会社 再生装置と記録装置とケース入り記録媒体と記録媒体の初期化装置
US5651139A (en) * 1993-12-23 1997-07-22 International Business Machines Corporation Protected system partition read/write access on a SCSI controlled DASD
US5757915A (en) * 1995-08-25 1998-05-26 Intel Corporation Parameterized hash functions for access control
KR100205539B1 (ko) * 1996-07-19 1999-07-01 윤종용 하드디스크의 중첩 분할 방법
JP2982702B2 (ja) * 1996-08-30 1999-11-29 日本電気株式会社 ディスク装置
US5969632A (en) * 1996-11-22 1999-10-19 Diamant; Erez Information security method and apparatus
JP3228182B2 (ja) * 1997-05-29 2001-11-12 株式会社日立製作所 記憶システム及び記憶システムへのアクセス方法
GB9812836D0 (en) * 1998-06-16 1998-08-12 Ncr Int Inc Data security arrangement
JP2002519760A (ja) * 1998-06-22 2002-07-02 コンスタブル,コリン 仮想データ記憶(vds)システム
US6691226B1 (en) * 1999-03-16 2004-02-10 Western Digital Ventures, Inc. Computer system with disk drive having private key validation means for enabling features
US6542979B1 (en) * 1999-03-31 2003-04-01 Intel Corporation Hidden disk partition
US6691146B1 (en) * 1999-05-19 2004-02-10 International Business Machines Corporation Logical partition manager and method
US6757831B1 (en) * 1999-08-18 2004-06-29 Sun Microsystems, Inc. Logic block used to check instruction buffer configuration
US6681325B1 (en) * 1999-09-15 2004-01-20 Powerquest Corporation Providing disk layout information to an operating system for booting after disk repartitioning
US6877158B1 (en) * 2000-06-08 2005-04-05 International Business Machines Corporation Logical partitioning via hypervisor mediated address translation
JP2002132583A (ja) * 2000-10-20 2002-05-10 Sony Corp データ処理装置、データ記憶装置、およびデータ処理方法、並びにプログラム提供媒体
JP4087072B2 (ja) * 2001-01-25 2008-05-14 株式会社日立製作所 ストレージシステム及び仮想プライベートボリューム制御方法
US6772330B2 (en) * 2001-01-26 2004-08-03 Dell Products L.P. System and method for storing component information and a program in a hidden partition, and loading the component information to a reserved portion of the memory using the program
US6691213B1 (en) * 2001-02-28 2004-02-10 Western Digital Ventures, Inc. Computer system and method for accessing a protected partition of a disk drive that lies beyond a limited address range of a host computer's BIOS
US7036020B2 (en) * 2001-07-25 2006-04-25 Antique Books, Inc Methods and systems for promoting security in a computer system employing attached storage devices
US7013384B2 (en) * 2002-01-15 2006-03-14 Lenovo (Singapore) Pte. Ltd. Computer system with selectively available immutable boot block code
US6647481B1 (en) * 2002-01-31 2003-11-11 Western Digital Ventures, Inc. Method for accessing data storage locations having addresses within a hidden logical address range
US6941436B2 (en) * 2002-05-09 2005-09-06 International Business Machines Corporation Method and apparatus for managing memory blocks in a logical partitioned data processing system
JP2003345514A (ja) * 2002-05-29 2003-12-05 Hitachi Ltd 計算機システム
US7114051B2 (en) * 2002-06-01 2006-09-26 Solid State System Co., Ltd. Method for partitioning memory mass storage device
US20040088513A1 (en) * 2002-10-30 2004-05-06 Biessener David W. Controller for partition-level security and backup
JP2004234053A (ja) * 2003-01-28 2004-08-19 Internatl Business Mach Corp <Ibm> コンピュータシステム、コンピュータ装置、記憶装置のデータ保護方法、およびプログラム
JP4266725B2 (ja) * 2003-06-27 2009-05-20 株式会社日立製作所 記憶システム
US7185020B2 (en) * 2003-10-01 2007-02-27 Hewlett-Packard Development Company, L.P. Generating one or more block addresses based on an identifier of a hierarchical data structure
US7548624B2 (en) * 2004-01-16 2009-06-16 The Directv Group, Inc. Distribution of broadcast content for remote decryption and viewing
US20060242151A1 (en) * 2004-12-21 2006-10-26 Fabrice Jogand-Coulomb Control structure for versatile content control
US7360057B2 (en) * 2005-03-22 2008-04-15 Seagate Technology, Llc Encryption of data in a range of logical block addresses
JP4990505B2 (ja) * 2005-04-04 2012-08-01 株式会社日立製作所 記憶制御装置及びストレージシステム
US7272727B2 (en) * 2005-04-18 2007-09-18 Hitachi, Ltd. Method for managing external storage devices
JP4728060B2 (ja) * 2005-07-21 2011-07-20 株式会社日立製作所 ストレージ装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08263383A (ja) * 1995-03-20 1996-10-11 Hitachi Ltd 情報処理装置
JP2004030581A (ja) * 2003-03-20 2004-01-29 Fujitsu Ltd パスワード制御方法

Also Published As

Publication number Publication date
US20070180210A1 (en) 2007-08-02
SG134258A1 (en) 2007-08-29

Similar Documents

Publication Publication Date Title
JP2007207239A (ja) セキュリティ応用のための柔軟性を有し保護されたアクセスを与える記憶装置
US8356184B1 (en) Data storage device comprising a secure processor for maintaining plaintext access to an LBA table
US7360057B2 (en) Encryption of data in a range of logical block addresses
TWI312952B (en) Method of protecting information in a data storage device and data storage device for use with a host computer
US8819811B1 (en) USB secure storage apparatus and method
US8464073B2 (en) Method and system for secure data storage
US6968459B1 (en) Computing environment having secure storage device
JP4392241B2 (ja) 付属記憶装置を採用したコンピュータ・システム内の安全保護を促進するための方法ならびにシステム
US8108692B1 (en) Solid-state storage subsystem security solution
US20170277898A1 (en) Key management for secure memory address spaces
US20100058066A1 (en) Method and system for protecting data
US20060272027A1 (en) Secure access to segment of data storage device and analyzer
US20100011350A1 (en) Method And System For Managing An Initial Boot Image In An Information Storage Device
JP2008527532A (ja) 非セキュリティ領域にセキュリティ領域を割り当てる方法及び携帯用保存装置
US8966280B2 (en) Storage device, memory device, control device, and method for controlling memory device
JP5489201B2 (ja) 安全な直接プラッタ・アクセス
WO2023179378A1 (zh) 加密方法、装置及电子设备
US20020026580A1 (en) System for access control to hidden storage area in a disk drive
US9195398B2 (en) Information storage device and method
KR100990973B1 (ko) 이동형 데이터 저장 장치의 로우 영역을 이용하여 보안 기능을 구현한 데이터 처리 장치
US9251382B2 (en) Mapping encrypted and decrypted data via key management system
US20100191981A1 (en) Storage apparatus and data falsification preventing method thereof
WO2022086602A1 (en) Data storage device encryption
EP3979111A1 (en) File system protection apparatus and method in auxiliary storage device
KR20110013626A (ko) 프리패스워드를 이용한 보안 저장 방법 및 보안 저장 장치

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100202

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100629