JP4648239B2 - 論理的役割による制御を保証しながらデータ格納のセキュリティを確保するための方法および装置 - Google Patents
論理的役割による制御を保証しながらデータ格納のセキュリティを確保するための方法および装置 Download PDFInfo
- Publication number
- JP4648239B2 JP4648239B2 JP2006131544A JP2006131544A JP4648239B2 JP 4648239 B2 JP4648239 B2 JP 4648239B2 JP 2006131544 A JP2006131544 A JP 2006131544A JP 2006131544 A JP2006131544 A JP 2006131544A JP 4648239 B2 JP4648239 B2 JP 4648239B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- storage device
- security partition
- partition
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
本発明は、強化されたセキュリティ機能を提供する格納サブシステムに関し、特に、格納サブシステムのセキュアデータ領域へのアクセスを制御するためのシステムおよび手法に関するものである。
通常、フラッシュメモリ素子および脱着式格納装置を含むディスクドライブおよび他の格納サブシステムは、それらの組み込み電子回路の中に、(しばしば、マイクロプロセッサと称される)プロセッサを有している。プロセッサは、格納されたデータのほかに、計算処理を隠すために用いられる。多くのセキュリティ関連のアプリケーション、および、アプリケーション提供者が、アプリケーションあるいはコンテンツの不正使用に対して防護を求める多くのアプリケーションでは、秘密の方法で、何がしかの計算処理を行なうことが好ましいものとなる。この秘密の方法には、暗号証明あるいは共有鍵に関する単純な知識により資源を解除するために用いられる秘密鍵がある。また、秘密の方法で計算機処理を行なうものとしては、格納装置の外部のソフトウェアあるいはコンテンツに所定の動作をさせるために用いられる何がしかの計算処理を隠すものもある。
一般的に、強化されたセキュリティ機能を提供する格納サブシステムを提供する装置は、権限のないアクセスからデータを保護するために、様々な手段を用いている。この手法には、様々な認証方法を用いて、表データ領域を保護するものがある。
セキュリティを守るべきデータ領域に関する潜在的な問題の一つとして、セキュリティを守るべきデータ領域へのユーザアクセスにまつわる問題がある。特に、その領域に対しては、アクセスが認可されたユーザと、アクセスが禁止されたユーザが存在する。いくつかの場合において、このアクセスの問題は、望ましくない結果をもたらす恐れがあり、特に、機密となっているデータ領域が、例えば、悪意のある者、あるいは許可されていない者によって、認証がなされる場合である。
汎用セキュリティデータ領域の目的の一つに、第三者のソフトウェアベンダが、ディスクドライブあるいは他の格納サブシステム上の隠されたセキュリティ区画(SP)に対して、制御する権限を許可することがある。一旦、ソフトウェアベンダが制御する権限を取得した後は、任意の方法で、その区画内のデータに対してアクセス制御を行なうことが可能となる。不幸にも、ソフトウェアベンダがセキュリティ区画内のデータにアクセスする格納サブシステムのオーナーを拒絶することもあり得る。第三者のソフトウェアベンダが、データに対するオーナーのアクセス権限を拒絶することが通例となっている一方で、そのオーナーは、常に、関連するソフトウェアを明示的にインストールし、さらに、そのソフトウェアを削除するという選択権が与えらるのが一般的とされる。装置のオーナーあるいは装置のユーザの許可なしに、セキュリティ区画を生成できる権限がアプリケーションに与えられている場合、そのユーザも装置の製造者のいずれもがアクセスできないようなセキュリティ区画を格納サブシステム上に生成することが可能となる。すなわち、データは、ユーザ、装置のオーナーあるいは製造者から隠された存在となり、このことは、悪意あることであるが、データへはアクセスできない状態が続く。
したがって、データ格納において、セキュリティ区画の発行と利用を制御および管理するシステムおよび方法が必要とされる。本発明の実施例は、これらおよびその他の問題に対する解決策を提供し、従来技術にない利点を奏する。
したがって、データ格納において、セキュリティ区画の発行と利用を制御および管理するシステムおよび方法が必要とされる。本発明の実施例は、これらおよびその他の問題に対する解決策を提供し、従来技術にない利点を奏する。
強化されたセキュリティ機能を有する格納装置は、格納媒体と、インターフェースとコントローラを含んでいる。インターフェースは、格納装置とホストシステムとを通信可能となるように接続するよう構成されている。コントローラは、格納装置の内部に設けられ、情報を格納媒体から読取り、格納媒体に書込むように構成されている。コントローラは、セキュリティ区画の生成コマンドをインターフェースを介して受信する前に、格納装置の製造者から、セキュリティ区画認証を求めるように構成されている。
本発明の一実施例は、格納装置の格納媒体上にセキュリティ区画を生成するための管理方法を示すものである。セキュリティ区画要求は、格納装置内に設けられたコントローラによって取得される。セキュリティ区画要求は、インターフェース接続により格納媒体に接続されたホストシステムから受信されるものである。セキュア接続は、認証サーバがコントローラを用いて確立するものとなっている。セキュア接続は、コントローラと認証サーバとの間のセキュアな接続を提供するものであり、この接続を介して、コントローラは、要求されたセキュリティ区画を生成するために、セキュリティ区画の承認を要求する。セキュリティ区画認証を受けて、コントローラは、セキュリティ区画を実際に格納媒体上に生成する。
本発明の他の実施例では、格納装置は、ホストシステムに接続されている。格納装置は、格納媒体、読取り/書込み機構およびコントローラを有している。読取り/書込み機構は、情報を格納媒体から読取り、格納媒体に書込むために、格納媒体に接続されている。コントローラは、格納装置の内部に設けられ、読取り/書込み機構に接続されている。コントローラは、格納媒体への情報の読取りと書込みを制御するように構成されている。コントローラは、セキュリティ区画の生成要求をホストシステムから受取り、受取った要求に応じたセキュリティ区画の生成に先立ち、認証サーバからのセキュリティ区画認証を要求するように構成されている。
本発明の実施例の特徴となる他の特性と効果は、以下の詳細な説明と添付図面によって説明される。
図1は、本発明の一実施例が有用となるようなディスクドライブ100の斜視図である。ディスクドライブ100は、ベース102と(不図示の)トップカバーをもつハウジングを含んでいる。さらに、ディスクドライブ100は、ディスクパック106を含んでおり、ディスクパックは、ディスククランプ108により(不図示の)スピンドルモータ上に取り付けられている。ディスクパック106は、複数のディスクを含んでおり、これらのディスクは、中心軸109の回りに共に回転するように取り付けられている。各ディスクの表面には、対応するディスクヘッドスライダ110が設けられ、個々のスライダは、ディスク表面と通信可能となるようにディスクドライブ100に取り付けられている。
図1に示した実施例では、スライダ110は、アクチュエータ116のトラックアクセスアーム114に順に取り付けられたサスペンション112により支持されている。図1に示したアクチュエータは、回転式ムービングコイル型アクチュエータとして知られている種類のものであり、要素118で示したボイスコイルモータ(VCM)を含んでいる。ボイスコイルモータ118は、ピボット軸120を中心にして、スライダ110に取り付けられたヘッドとともにアクチュエータ116を回転させ、ディスク内径124とディスク外径126の間の弓形の軌跡122に沿って、スライダ110上のヘッドを動かし、所定のデータトラック上に位置決めする。ボイスコイルモータ118は、スライダ110上に取り付けられたヘッドと、インターフェース103を介したホストシステム101により生成された信号にもとづき、サーボ系電子回路130により駆動される。最近では、電子回路130は、通常、少なくとも一つのマイクロプロセッサあるいはコントローラ、およびファームウェアを含んでいる。
当業者であれば、本発明が、例えば、図1に示されるような格納サブシステムに用いることを意図したものであることは容易に理解できるものとなっている。さらに、本発明は、フラッシュメモリドライブ、MRAM、EEPROMなどの格納装置、あるいはセキュア領域を生成し保持できる任意の格納手段をもつ格納装置やシステムで用いることが可能となっている。ここで用いる用語「セキュア」とは、対象となる要素、位置、セクタあるいはこれらに相当するものへのアクセスが限定されることを指している。通常は、セキュアデータ領域は、許可されたユーザあるいは装置のみによりアクセス可能となっている。
一般的に、本発明は、4つの論理的要素(あるいは論理的役割)から構成されている。すなわち、格納装置の製造者あるいはその製造者の代理人(製造者)、格納装置の装置オーナーあるいはその代理人、セキュリティ区画への排他的なアクセス権を所有することが可能なソフトウェアのアプリケーション・オーナー、そして、ソフトウェア・アプリケーションのユーザの4者である。これらの論理的役割は、格納装置上のセキュリティ区画(SP)へのアクセスを制御するために、格納システム内のコントローラにより用いられる。用語「セキュリティ区画」とは、アクセスが厳密に管理された、格納媒体上の論理的領域を指すものである。いくつかの例では、セキュリティ区画は、ホストのオペレーティング・システムからは隠れた存在となっていて、これは、ホストのオペレーティング・システムは、格納媒体のその領域が存在することを認識していないことを意味している。用語「コントローラ」は、格納媒体上に格納された情報にアクセスするためのデータアクセス許可に関する制限を行なうように構成された回路および/あるいはソフトウェアを指している。コントローラは、ファームウェアを含むものであってもよい。
このようなセキュリティ区画に関する潜在的な問題の一つとして、装置オーナーがアクセスしないセキュリティ区画の生成についての問題がある。このようなセキュリティ区画が、悪用を目的として生成されたり、そのコンテンツに悪意のあるスクリプトやプログラムが含まれる場合、セキュリティ区画は、ドライブ上の他のデータに損害を与えるように用いられる可能性がある。従って、格納装置上のセキュリティ区画の生成を管理するためのシステムおよび方法を提供することが望まれる。
当業者は、複数アプリケーション・スマートカードとして知られるスマートカードの類は、ここで用いられるような格納装置であると考えるかもしれないが、本発明の実装と、スマートカードの実装には根本的な違いがある。複数アプリケーション・スマートカードの場合、格納媒体自身は、論理的役割に応じて区画が分けられることはない。スマートカードは、スマートカード内で実行される、異なるソフトウェア・アプリケーションを、異なるソフトウェアベンダに割り当てるものとなっている。
本発明では、格納装置は、異なるSPを、異なるソフトウェアベンダに対して排他的に割り当てるものとなっている。これらのSPは、同一のアプリケーションを共有することが可能となったり、共有することが不可能となるものであるが、不揮発性メモリの区画に対し、格納装置が排他的に利用できる権限を有することが、本発明の特徴となっている。
論理的役割は、これらの排他的な区画の割当て、管理、および配置の手順の各段階を通して、これらの区画を制御することに適用される。これにより、単一の複数アプリケーション・スマートカードではなく、多数の複数アプリケーション・スマートカードによって格納装置が構成できるという効果が得られる。論理的役割に対する制御は、個々の単数アプリケーション・スマートカードの各々に対して依存するものとはならず、一貫したものとなる。各SPに対しては、異なるベンダあるいは異なるユーザが存在する可能性があるが、格納装置のオーナーおよび装置の製造者は、論理的な権利と義務も有している。製造者は、セキュリティ区画が単一のベンダのみに排他的に設けられることを保証しなければならない。装置のオーナーは、装置を削除あるいは一時的に使用停止できる権利を有する必要があるが、ユーザが権利を有しているような、そのコンテンツを検査する権利については、必ずしも権利を有する必要はない。
図2は、本発明の実施例における、SP発行管理システム200を示すものである。システム200は、認証サーバ202とホストシステム204を含み、装置オーナーにより所有されている。認証サーバ202は、装置製造者により、製造者の代理人により、あるいは、製造者のライセンス取得者により管理されるかライセンス供与されたサーバである。好ましくは、格納ドライブの製造者は、認証サーバ202の管理において、能動的な役割を担っている。通常は、ホストシステム204は、オペレーティング・システム205と、(アプリケーション・オーナーにより生成され所有される)一つあるいはそれ以上の数のソフトウェア・アプリケーションを有しており、これらは、情報を処理するためにユーザにより利用される。
ホストシステム204は、ネットワーク206を介して、認証サーバ202に接続されている。ネットワーク206は、ローカル・エリア・ネットワーク、広域エリアネットワーク、(例えば、古くからある単純な電話回線やPOTSなどの)公衆交換回線ネットワーク、デジタルネットワーク、携帯電話ネットワーク、あるいは、サーバとクライアントの間で電子信号を伝送することが可能な任意の通信媒体である。特に、ネットワーク206は、認証サーバ202とホストシステム204との間の通信リンクを担うことが可能となっている。
ホストシステム204は、通常、インターフェース209を介して格納装置207に接続されている。格納装置207は、セキュリティ区画210を有する格納媒体208と、格納媒体208へのアクセスを制御し(特に、既存のセキュリティ区画210へのアクセスを制御し、製造者202の承認がなければ新たなセキュリティ区画210の生成を禁止する)コントローラ230と、コントローラ230のファームウェア232とを含んでいる。ホストシステム204は、パソコン、メモリを搭載した無線電話、あるいは、セキュリティ区画を設けることが望まれるメモリを搭載したその他の装置であってよい。格納装置207は、ランダムアクセスメモリ(RAM)、MRAM、EEPROM格納装置、フラッシュメモリドライブ、ハードディスク、フロッピディスクあるいは脱着式ディスク、あるいは、インターフェース209を介してホストシステム204が接続された他の種類の格納装置である。格納装置207が、ホストシステム204に内蔵されている場合には、ATAあるいはSCSIインターフェースなどのインターフェース209により、格納装置207がホストシステム204のプロセッサに接続されている。また、格納媒体208は、ネットワーク206を介してアクセス可能な、独立型の格納装置を含むものであってもよい。
通常、セキュリティ区画210は、格納媒体208上のデータ領域であり、そこへのアクセスは、コントローラ230とそのファームウェア232により制限されている。一実施例においては、セキュリティ区画210は、格納媒体208上の隠されたデータ領域である。特に、隠れたセキュリティ区画210は、ホストシステム204のオペレーティング・システムがその存在を認識していないデータ領域である。
本発明の一実施例によれば、セキュリティ区画210は、ソフトウェア・アプリケーションによって利用するために生成され、ソフトウェア・アプリケーションは、ユーザがアクセスできないデータを、セキュリティ区画210に格納する。上述したように、ホストシステム204のオーナーあるいはユーザの許可なしに、アプリケーションのオーナーが、悪意をもって意図的に、あるいは偶発的に、セキュリティ区画210を生成した場合には、特定の問題が発生する。
従って、本発明は、格納装置のコントローラ230と認証サーバ202との間を結ぶ、セキュリティが確保されたネットワーク接続を介して、格納装置207上へのセキュリティ区画の生成を制御することを目的としている。ホストシステム204は、ネットワーク206を介して、認証サーバ202からのSP生成のための要求をトリガする。認証サーバ202は、ホストシステム204による、格納媒体208上へのセキュリティ区画210の生成を承認し、ホストシステム204のオペレーティング・システム205をバイパスし、直接、格納装置207のコントローラ230を介して、格納媒体208へトンネル接続する。この承認に従い、コントローラ230は、格納装置207の格納媒体208上に、セキュリティ区画210を生成する。このようにして、製造者は、新しいセキュリティ区画が正しく承認されたことを確認できる。これにより、ホストシステム204のオペレーティング・システム205を信頼する必要なしに、コントローラ230を直接承認して、セキュリティ区画210の生成を承認することにより、製造者は、格納装置207の格納媒体208上へのセキュリティ区画210の生成を制御することができる。
一般的に、用語「トンネル接続する」あるいは「トンネル接続された」とは、セキュリティを確保してホストに伝送される通信のことを指している。本実施例では、セキュアソケット層プロトコルを用いて、認証サーバ202とホストシステム204との間の接続を確立し、更に、(IPセキュリティプロトコルやカスタムセキュリティプロトコルなど)第二の「軽量」プロトコルを用いて、セキュアソケット層リンク内を通る情報を暗号化し、認証サーバ202と、格納装置207のコントローラ203との間を、セキュリティを確保して直接接続することが可能となる。
本実施例は、ホストシステム204のユーザは、ソフトウェア・アプリケーションを、アプリケーションサーバ214からダウンロードすることを要求するものである。通常、この要求処理には、セキュリティを確保したトランザクションが含まれ、このトランザクションは、アプリケーションサーバ214とホストシステム204とを接続するネットワーク上の、セキュアソケット層(SSL)リンクあるいはセキュリティが確保された支払いプロトコル接続を介して実行される。要求されたアプリケーションは、セキュリティ区画を必要とするため、アプリケーションサーバ241は、アプリケーションサーバと認証サーバ202との間でセキュアリンクあるいはトンネル接続218を確立し、ホストシステム204にSPの生成を要求する。
アプリケーションサーバ214(あるいは要求するアプリケーション)が信頼されたならば、認証サーバ202は、ネットワーク206上で、認証サーバ202と格納媒体208との間のトンネル接続220を確立する。本発明では、用語「信頼された(trusted)」とは、二つの構成要素間の「信頼(Trust)」関係を確立するための「信頼された(Trusted)ドライブ」プロトコルを指す。一方、用語「信頼された(Trusted)」とは、契約あるいは実施許諾契約により確立された関係を指す。次に、認証サーバ202は、格納装置207のコントローラ230による、格納媒体208上へのSPの生成を承認し、インストールが行なうことが可能となる。このようにして、認証サーバ202は、ホストシステム204が、格納媒体208上にセキュリティ区画210を生成することに対する厳格な制御を実現する。この制御の実現により、システム200は、信頼されたアプリケーションのために全てのセキュリティ区画210が生成され、悪意のあるアプリケーションに対しては生成されないことを保証する。さらに、一つあるいはそれ以上の数のセキュリティ区画210の生成には、アクセス制御を初期化する処理も含まれ、この処理により、(製造者、アプリケーション・オーナー、装置オーナー、装置ユーザなどの)様々な役割の各々に対し、各セキュリティ区画210へのアクセス権限が確立される。セキュリティ区画の生成時に、認証サーバ202がアクセス権限を初期化することにより、生成されたセキュリティ区画210に対するアクセス権限について何がしかのレベルを所定の役割が持つことが保証される。特に、製造者および装置オーナーに対して、一旦生成されたセキュリティ区画210を削除できる権限が与えられるという理由があれば、これらの役割は、セキュリティ区画210に対するアクセス権限について、何がしかのレベル有することとなる。従って、セキュリティ区画210の生成処理には、格納媒体208上にコントローラ230がセキュリティ区画210を生成するか初期化する処理と、セキュリティ区画210に関するアクセス制御を初期化する処理とが含まれることとなる。本実施例では、アクセス制御の初期化には、セキュリティ区画内に格納された認証テーブルあるいはアクセス制御リストの作成を含んでおり、この認証テーブルは、論理的役割に応じて、セキュリティ区画へのアクセスが許可されたユーザ(あるいは装置)を定義したものである。認証テーブルには、各々の役割に対応した(読込み/書込み共に可能、読込みのみ可能、削除可能などの)アクセス権限が含まれている。好ましくは、コントローラ230は、セキュリティ区画210に対するアクセス制御の初期化処理を実行するものとなっている。特に、コントローラ230は、セキュリティ区画210にアクセス可能な構成要素の役割を含めて、アクセス制御を初期化することが好ましい。
通常、ホストシステム204の装置オーナーには、セキュリティ区画210の削除あるいは一時的な使用停止を行なうための許可が与えられている。この装置オーナーへ与えられた許可は、アプリケーション・オーナー、ユーザ、更に、製造者に対して与えられたあらゆる並列の許可を上書きする。これにより、装置オーナーが、何らかの理由により、セキュリティ区画210を削除しようと思った場合には、装置オーナーは、その区画を一時的に使用停止とするか削除するかを選択できる。もし、装置オーナーがユーザとしての役割も担っている場合には、ユーザは、その区画を一時的に使用停止とするか削除するかを選択できる。同様に、装置オーナーは、アプリケーションとそれに対応したセキュリティ区画210を有するか有しないかを選択できる。この場合、装置オーナーは、他のソフトウェア・アプリケーションと同様にセキュリティ区画を取扱い、その区画を単純に削除することも可能である。
本実施例では、サーバ202とホストシステム204は、セキュリティ確保の要求が発行された場合に、ネットワーク206を介して接続される。しかし、装置オーナーが、セキュリティ区画を一時的に使用停止したり削除しようと決めた際には、ホストシステム204は、サーバ202に接続される必要はない。
サーバ202を介してネットワーク206を経て、セキュリティ確保の要求の発行の管理を行なうことにより、製造者認証がなければ、発行処理(セキュリティ区画の発行処理)は行なわれないこととなり、これにより、セキュリティ区画210が悪意をもって生成され維持されることがないことを保証するレベルが確立される。さらに、コントローラ230とサーバ202との間で、ホスト204を介してセキュリティを確保した通信を確立することにより、サーバ202は、ホスト204を信頼する必要なしに、セキュリティ区画の生成のための承認を行なうことが可能となる。
好ましくは、製造の段階で、格納装置207の製造者が、コントローラ230を構成あるいは調整し、認証サーバ202からの承認がなければ、セキュリティ区画の生成を禁止するようにすることもできる。格納装置207へのセキュリティ区画210の生成に対する要求は、インターフェース209を介してホスト204からコマンドとして受信する。もう一つの方法としては、その要求を、インターフェース209を介して、直接、ホスト204によってセキュリティ区画210を生成しようとしたり、あるいは、ホスト204のオペレーティング・システム205で実行するアプリケーションによって生成しようとする試みとして受信することも可能である。好ましくは、セキュリティ区画の生成に先立ち、セキュリティ区画210を生成しようという試みに割り込みをかけたり、認証サーバ202との間のセキュリティを確保された通信によって承認を求めるように、コントローラ230が構成されている。認証サーバ202が、認証要求を拒絶した場合は、コントローラ230は、セキュリティ区画の生成コマンドを終了させ、その生成の試みの途上で行なわれた変更を元に戻す処理を行なう。
図3は、本発明の一実施例による、ユーザ要求に基づく、セキュリティ区画の生成あるいは承認の処理フローを示すものである。説明を簡略化するため、多くの分岐処理は省略してある。さらに、本手法のセキュリティ確保の水準や有効性を犠牲にすることなく、処理ステップの順序を変更できるものとなっていることは、当業者であれば容易に類推できるものとなっている。このように、図3は、処理ステップの一つを例示したものにすぎず、これに限られるものではない。
装置は、アプリケーションのためのセキュリティ区画の生成を、認証サーバから要求する(ステップ300)。認証サーバは、要求している装置が、承認されているかどうかを判定する(ステップ302)。もし、装置が承認されない場合には、セキュリティ区画の認証要求は無視される(ステップ304)。もし、装置が承認された場合は、認証サーバは、アプリケーションが信頼されているかどうかを判定する(ステップ306)。もし、アプリケーションが信頼されない場合、認証サーバは、インターフェース・メッセージ・ユーティリティに対してエラーを発行し(ステップ308)、その入力バッファからセキュリティ区画生成要求を削除する(ステップ310)。もし、アプリケーションが信頼された場合、認証サーバは、(一つあるいはそれ以上の数のセキュリティ区画に対する)セキュリティ区画生成の認証を発行し(ステップ312)、要求している装置からその格納媒体に対してトンネル接続し、SPを生成する(ステップ314)。認証サーバは、セキュリティ区画がすでに存在しているかどうかを判定する(ステップ316)。すなわち、認証サーバは、要求が、セキュリティ区画へのアクセスを承認しようとするものであるのか、セキュリティ区画を生成しようとするものであるのかを判定する。もし、セキュリティ区画がまだ存在しない場合には、認証サーバは、要求されたセキュリティ区画を生成する(ステップ318)。もし、SPがすでに存在するか、認証サーバが要求されたセキュリティ区画をすでに生成していたならば、認証サーバは、アプリケーション・オーナーによるセキュリティ区画の利用を承認する(さらに製造者および装置オーナーに対するアクセス権限を確立する)(ステップ320)。
ここで、セキュリティ区画を利用するとは、一般的には、セキュリティ区画に格納されたデータにアクセスすることを指すものであることは、当業者にとっては自明なことである。また、利用とは、セキュリティ区画に格納されたクラスや他のオブジェクトへアクセスすることを指している。オペレーティング・システムによって扱われるアプリケーションと、オペレーティング・システムのレベルより下位のセキュリティサービスとは、ともに、格納媒体上のセキュリティ区画にアクセスし、一つ以上のセキュリティ区画が、任意の格納媒体上に存在している。どのソフトウェア・アプリケーションも全てセキュリティ区画を利用しているというわけではない。しかし、セキュリティ区画を利用している個々のアプリケーションであれば、各々は、固有のセキュリティ区画を有している。さらに、ここまでの説明では、もっぱら、単一のセキュリティ区画についてのみ扱ってきたが、特定の実装条件に応じて、認証要求およびセキュリティ区画の生成は、複数のセキュリティ区画について行なうものであってもよい。
本実施例では、多くの異なる手段によって、様々な論理的な代理人を生成することが可能となっている。図4は、一実施例における、論理的役割と、それらに対応した生成の方法をまとめた簡単な表を示したものである。オリジナルの装置製造者は、「装置製造者」に対して、製造者役割あるいは、代理人役割を生成する。アプリケーション・オーナーは、セキュリティ区画を利用するソフトウェア・アプリケーションを生成し、「アプリケーション・オーナー」という論理的役割を有する代理人を表すものであってもよい。ユーザは、ソフトウェア・アプリケーションを利用する、アプリケーションあるいは装置のユーザであり、利用者役割は、彼あるいは彼女自身、あるいは、ソフトウェア・アプリケーションの利用によって生成される。「装置オーナー」は、装置によって許可されたアクセス制御の秘密に関する知識によって生成される。この秘密は、製造者によって与えられたデフォルトの秘密であるが、装置オーナーによって変更可能となっている(格納装置のステッカに記載された初期化キーなどで、格納装置自身には見つけることができない秘密である)。この秘密と、セキュリティ区画を削除したり一時的に使用停止する承認は、アプリケーション・オーナーあるいは製造者によっては上書きすることは不可能である。
上記で用いたものとして、用語「秘密」は、秘密に保たれ、外部に漏れていないオブジェクトあるいはビットストリングを指す。一実施例では、この秘密は、ホストマシンの信憑性を検証するために用いられるパスワードである。他の実施例では、この秘密は、クライアントとサーバに知られていて、クライアントとサーバの間で伝送されるデータの正当性の検証を行なったり、暗号化を行なうときに用いられるストリングである。秘密は、暗号鍵であり、それは、暗号化/復号化の鍵を解除するための親鍵として用いられる。他の実施例では、(鍵、USBソケット、スマートIDカードや、装置への物理的なアクセスのための他の物理的な装置などの)物理的なスイッチは、セキュリティ区画を削除したり一時的に使用停止するための明確な能力を置き換えたり拡張することもできる。
図5は、本発明の一実施例による、セキュリティ区画を発行する処理の簡単なフローチャートである。簡単化のため、いくつかの要素は省略してある。例えば、製造者と、アプリケーション・オーナーもしくはホストシステムとの間で、セキュリティが確保されたトンネル接続あるいは接続を確立することに失敗した場合は、失敗とすることなどは省略してある(この条件については、フローチャートから除外してある)。さらに、本手法のセキュリティ確保の水準や有効性を犠牲にすることなく、処理ステップに様々な修正を加えることが可能となっていることは、当業者であれば容易に類推できるものとなっている。
ユーザは、アプリケーション・オーナーのネット上での位置を訪問し、アプリケーションのダウンロードを要求する(ステップ500)。ソフトウェア・アプリケーション・オーナーとクライアント・システムは、ソフトウェア・アプリケーションを購入するために、そのダウンロード対象に対して、セキュリティが確保された接続を確立する(ステップ502)。ユーザは、ソフトウェア・アプリケーションをダウンロードする(ステップ504)。ユーザは、ソフトウェア・アプリケーションをインストールし、そのインストール処理の間に、インストーラーは、クライアント・システムの格納媒体上へのセキュリティ区画の生成を試みる(ステップ506)。格納媒体のコントローラは、クライアント・システムに対し、セキュリティ区画を生成するための承認を、認証サーバから要求するように指示する(ステップ508)。
もし、アプリケーション、あるいはアプリケーション・オーナーが、信頼されていない場合は(ステップ510)、セキュリティ区画の生成要求は拒絶され(ステップ512)、失敗したセキュリティ区画の生成要求は、セキュリティ区画ログに記録される(ステップ514)。さらに、要求の拒絶通知が、要求元のクライアント・システムに対して送られ(ステップ516)、アプリケーションのインストールは失敗する(ステップ518)。通常は、証明書と装置のセキュリティが備われば、製造者からの正しい承認が受信されない限りは、セキュリティ区分が発行されないことを保証するには充分であると判断される。本実施例では、セキュリティ区画の生成に対する要求に割り込みをかけ、セキュリティ区画の生成あるいは個別設定に先立って認証サーバによる承認を要求するように、格納媒体のコントローラが構成されている。
アプリケーションあるいはアプリケーション・オーナーが信頼された場合には、認証サーバは、クライアント・システムを通して、格納装置に到る、セキュリティが確保されたトンネル接続を確立する(ステップ520)。認証サーバは、要求されたセキュリティ区画の発行のための特定の承認に署名し、署名された承認を、クライアント・システムのコントローラに送る(ステップ522)。これにより、要求されたとおりのセキュリティ区画が、クライアント・システムの格納媒体上に生成される(ステップ524)。
セキュリティを確保して、承認されたセキュリティ区画の発行を行なうために、様々な代替方法が存在することは、自明なことである。一実施例としては、製造者と装置が公開鍵暗号を用いて、製造者が装置に対して自分自身を承認し、装置が製造者に対して装置自身を承認するものがある。認証処理が対話的である限り、相互の存在を保証し、再生や、承認なしにセキュリティ区画の発行を試みようとする他の中間者に対抗することを保証して、相互に承認しあうことは、(再生攻撃を検知するためによく用いられる、通信プロトコル交換で送信される乱数である)ノンス(nonced challenge)を用いて可能となる。さらに、承認とセキュリティを確保した承認を可能とする方法には、他にも多くの既存の方法がある。
一実施例において、マスタセキュリティ区画は、格納装置の販売に先立ち、装置製造者によって格納装置上に設定される。マスターセキュリティ区画は、アクセス権限を有するように設定され、セキュリティ区画には装置製造者の公開鍵がインストールされ、格納媒体上のセキュリティ区画を生成するために、製造者のサーバ(あるいは認証サーバ)に対して、格納媒体での権限を得る手段を提供するものとなっている。コントローラは、承認された鍵なしに格納媒体上にセキュリティ区画を生成することを禁止するように構成されており、これは、秘密の区画にあらかじめロードされた鍵との照合が可能となっている。最大64,384件までの(あらかじめ生成された)公開鍵のテーブルを用いて、鍵のテーブルを作成する。セキュリティ区画の生成のためには、特定の鍵が必要となり、これらの鍵を利用することによって、セキュリティ区画の中で鍵が「使用済み」あるいは「不良」としてマーク付けされる。これにより、鍵が盗まれて再利用されることが防止できる。装置のセキュリティが損われた場合であっても、公開鍵のみを用いることにより、公開鍵だけは発見することが可能となる。
図6は、セキュリティ区画の発行のための承認の発行処理のフローチャートである。クライアント・システムは、格納媒体上にセキュリティ区画を生成するための承認を要求する(ステップ600)。認証サーバは、クライアント・システムへのセキュリティが確保された接続を確立した後、クライアント装置の認定を試みる(ステップ602)。
クライアント・システムは、この試みに応じて、証明を与える(ステップ604)。もし、セキュリティ区画の認定が受諾されなかった場合(ステップ606)、認証サーバは、セキュリティ区画の生成要求を拒絶する(ステップ608)。
認証サーバは、セキュリティ区画を要求するアプリケーションが信頼できるものかどうかを判定する(ステップ610)。もし、アプリケーションが信頼できないならば、認証サーバは、セキュリティ区画要求を拒絶し(ステップ612)、失敗したセキュリティ区画要求としてセキュリティ区画ログに記録し(ステップ614)、セキュリティ区画要求バッファをクリアする(ステップ616)。もし、アプリケーションが信頼できるものであれば、認証サーバは、クライアント装置の格納媒体上に、直接(ネットワークを介して遠隔から)セキュリティ区画を生成し設定する(ステップ618)。
図7は、企業規模でインストールする場合の、セキュリティ区画を生成するための認証発行の処理のフローチャートである。この場合の承認は、「順次発行」と呼ばれる。例えば、企業が、ソフトウェア・アプリケーションをアプリケーション・オーナーから購入し、企業規模でインストールしようとする場合には、アプリケーション・オーナーが、アプリケーション・オーナーの証書とともに、企業から製造者へ送るシリアル番号(装置ID番号)のリストを検索できることが望ましい。これにより、製造者は、リストに含まれる装置上のセキュリティ区画のインストールを承認するチケットを発行することが可能となる。
アプリケーション・オーナーは、製造者から与えられる署名された承認チケットを要求する(ステップ700)。製造者は、アプリケーション・オーナーとの信頼関係を検証する(ステップ702)。通常、この検証処理には、この承認についてアプリケーション・オーナーを信頼するべきかどうかを、製造者の経営者によって意思決定することが含まれている。もし、アプリケーション・オーナーが信頼されれば、製造者は、署名されたチケットをアプリケーション・オーナーに送る(ステップ704)。ソフトウェア・アプリケーションのインストールの間に、アプリケーション・オーナーは、署名されたチケットを、セキュリティ区画の生成を承認するクライアント・システムに送る(ステップ706)。
セキュリティ区画の発行をオンラインで行なう要求も、順次発行、あるいはセキュリティ区画発行によるセキュリティ区画のための要求である。セキュリティ区画発行によって設定されたセキュリティ区画は、すでにセキュリティ区画について承認を受けたアプリケーションが、追加のセキュリティ区画の生成することを要求している状況に相当する。いずれの場合も、製造者は、セキュリティ区画の発行を承認する。これにより、アプリケーション・オーナーではなく、製造者がセキュリティ区画発行についての制御を維持することが保証される。
一実施例では、大量の発行のための方法は、セキュリティ区画の発行を承認するのに十分なチケットあるいは証書を提示することが含まれている。製造中や、オンラインでセキュリティを確保する処理では、装置には、公開鍵・秘密鍵の組や対称鍵などの暗号化された秘密が与えられる。製造者あるいはその代理人は、この暗号化された秘密の記録を保持し、装置の識別情報と対応づけておかなければならない。こうして、製造者は、特定の装置(あるいは複数の装置)に対応し、それによって判別可能となっているセキュリティ区画の発行のための特定の承認に対して署名する。これに代えて、あるいは更に、製造者は、チケットを用いて装置への発行回数を制限するような特定の装置には対応していないセキュリティ区画の発行のための特定の承認に対して署名することもある。このような例では、セキュリティ区画の発行は、同一の装置では同一のチケットを二度は使えないことを保証するための、チケットの内部に組み込まれたデータを利用して、セキュリティ区画の発行を承認するチケットにより一度だけ行われる。このように、企業内では、企業内の各装置に対して同一のチケットを一度だけ利用して、複数のチケットを発行せずに大量の承認を行うことができる。
さらに、セキュリティを向上させるために、チケットには、特定の承認を含むだけでなく、オプションとして、アプリケーションのためのSPの全てのプログラムの設定情報を含ませることも可能である。もしアプリケーション・オーナーが、SP発行がアプリケーションに対してのみであることを保証するために必要な情報に基づいて、チケットを構成しており、さらに、製造者が暗号によって署名するか、チケットの承認を行う場合に限り、このようなことが可能となる。
ある状況では、(チケットを表す)特定の承認は、例えば、シリアル番号証明によって、装置の範囲あるいはリストを表している。シリアル番号証明には、製造者が署名する。一実施例では、認証処理の多くは、公開鍵暗号化に関するISOx.509規格の証明を用いて行われる。さらに、他の様々な公開鍵と秘密鍵を利用することにより、信頼を維持して装置の承認を行う様々な論理的な代理人によって求められるような、関係者の間でセキュリティを確保しながら移動できる証明書や他のデータを実現することが可能となる。
通常、セキュリティ区画の内部には、製造者、アプリケーション・オーナー、装置オーナーおよびユーザーの論理的役割に対するアクセス権限が、権限テーブルに保存されていることが普通である。さらに、権限テーブルへのアクセスは、例えば、製造者とアプリケーション・オーナーに限定されている。また、装置オーナーには、セキュリティ区画に対する読取り/書込みアクセス権限が与えられていないのが一般的となっているが、装置オーナーの権限は、装置オーナーがセキュリティ区画を削除したりアンインストールできるような他の権限レベルを取得することも可能である。
一実施例では、格納装置上のセキュリティ区画の各設定は、(製造者などの)認証サーバによって承認される。しかし、認証サーバは、アプリケーション・オーナーとクライアント・システムの両方を承認できるように構成された任意の第三者のサーバであってもよい。通常、認証サーバは、(クライアント・システムが信頼関係を結んでいる)信頼された構成要素に設けられている。ここで、用語「信頼された」とは、二つの機械が確実に所望の動作をしているような所定のレベルにあることを保証する条件を、二つの機械が検証できるような尺度あるいは他の証明の集合体を指している。セキュリティが確保された通信リンクあるいはトンネル接続、および相互の証明によって、信頼関係が確立されると、認証サーバは、クライアント・システムを同定し、クライアント・システム(あるいは格納サブシステム)上のセキュリティ区画の生成を承認することが可能となる。
図8は、本発明の一実施例における、格納装置の格納媒体上へのセキュリティ区画を生成することを制御するためのシステム800のブロック図である。システム800は、承認装置802および格納装置804を含み、これらは、(ネットワーク接続、USB接続、あるいはモデム接続を含む他の通信リンクなどの)通信リンクによって接続されている。一実施例では、このリンクは、セキュリティが確保されたリンクであり、リンクを介して送られる情報は、許可されていないアクセスを防ぐために暗号化されている。
通常、格納装置804は、格納装置インターフェース806、コントローラ808、承認検証ブロック(あるいは暗号チップ)810、格納媒体812、ならびにオプションとしてセキュリティ区画ベースクラス814およびセキュリティ区画816を含んでいる。一般的に、格納装置インターフェース806は、認証装置から送られるセキュリティ区画の承認を受信できるように構成された回路あるいはトランシーバブロックである。セキュリティ区画の承認とは、特定の装置や装置の範囲のためのチケットあるいは証明を指しており、格納装置804上のセキュリティ区画の生成を承認するものである。
通常、コントローラ808は、認証装置802からのセキュリティ区画承認証明がなければ、格納媒体812上へのセキュリティ区画の生成ができないように構成されている。コントローラ808は、この証明を受け取ると、ソフトウェアあるいはハードウェアとして構成されている承認検証ブロック(あるいは暗号チップ)810によって、セキュリティ区画の承認を認証する。セキュリティ区画の承認が有効であるものと見なすと、コントローラ808は、格納媒体812上にセキュリティ区画816を生成する。
一実施例では、製造の過程で、製造者あるいは認証装置は、格納装置804の格納媒体812上にマスターセキュリティ区画を生成する。マスターセキュリティ区画は、格納媒体812上の隠れた領域であり、ホストのオペレーティング・システムからはアクセスできない。本実施例では、セキュリティ区画ベースクラス814は、マスターセキュリティ区画に格納され、そこから、他のセキュリティ区画を設定することが可能となっている。マスターセキュリティ区画は、セキュリティ区画に納められた権限テーブルを用いて、厳格に制御され、承認されたユーザのみがマスタセキュリティ区画にアクセスし、ベースクラス814を介して格納媒体上に新しいセキュリティ区画を生成できるようになっている。一方、セキュリティ区画承認は、格納媒体上へのセキュリティ区画の生成に必要な、セキュリティ区画を用いるソフトアプリケーションの全てのプログラム設定情報を含む、全ての情報を含んでいる。
本発明の様々な構成と機能を詳細に述べながら、本発明の様々な実施例の特徴と効果について説明してきたが、ここで開示した内容は例示的なものであり、特に、特許請求の範囲を表現するための用語の一般的な意味に基づき示された本発明の原理の範囲内で、部分の構造と配置について詳細に修正することが可能である。例えば、本発明の範囲と主旨を逸脱しない限り、実質的に同一の機能性を維持しながら、セキュリティ区画管理システムのための特定のアプリケーションに依存して、特定の構成要素を変更することが可能である。さらに、以上で説明した好適な実施例は、格納装置上のセキュリティ区画の生成を管理するためのシステムと方法に対するものであるが、本発明の範囲と主旨を逸脱しない限り、本発明の教示するものは、ユーザがソフトウェア・アプリケーションをインストールする権限を有する対象となるメモリを搭載した任意の装置に適用できることは、当業者であれば容易に理解できるものである。
100 ディスクドライブ
102 ベース
106 ディスクパック
108 ディスククランプ
109 中心軸
110 ディスクヘッドスライダ
112 サスペンション
114 アクセスアーム
116 アクチュエータ
118 ボイスコイルモータ
120 ピボット軸
130 電子回路
202 サーバ
204 ホストシステム
207 格納装置
208 格納媒体
209 インターフェース
210 セキュリティ区画
230 コントローラ
102 ベース
106 ディスクパック
108 ディスククランプ
109 中心軸
110 ディスクヘッドスライダ
112 サスペンション
114 アクセスアーム
116 アクチュエータ
118 ボイスコイルモータ
120 ピボット軸
130 電子回路
202 サーバ
204 ホストシステム
207 格納装置
208 格納媒体
209 インターフェース
210 セキュリティ区画
230 コントローラ
Claims (18)
- 強化されたセキュリティ機能を有する格納装置であって、
格納媒体と、
格納装置とホストシステムとを通信可能となるように接続するよう構成されているインターフェースとを備え、前記ホストシステムは、ソフトウェアアプリケーションを扱うためのオペレーティングシステムを有し、前記格納装置の製造者が管理する認証サーバとネットワークを介して接続されており、
前記格納装置の内部に設けられ、前記格納媒体に情報を書込み、前記格納媒体から情報を読取るコントローラであって、前記ホストシステムから前記インターフェースを介して受信した前記ソフトウェアアプリケーションのためのセキュリティ区画の生成コマンドを実行する前に、前記格納装置の製造者が管理する前記認証サーバからのセキュリティ区画認証を要求するように構成されている前記コントローラと、
を含み、
前記コントローラは、前記ホストシステムを通して前記ネットワーク上で前記認証サーバとセキュリティが確保されたトンネル接続することにより、前記認証サーバから前記セキュリティ区画認証を受信する、
前記格納装置。 - 請求項1記載の格納装置は、さらに、一つあるいはそれ以上の数のセキュリティ区画ベースクラスを有する、前記格納媒体上のセキュリティ区画を含み、前記コントローラは、
前記一つあるいはそれ以上の数のベースクラスの実行によってのみ、前記格納媒体上のセキュリティ区画の生成を許可するように構成され、前記格納装置の製造者からの前記セキュリティ区画認証は、前記格納媒体上にセキュリティ区画を生成するために、一つあるいはそれ以上の数のセキュリティ区画ベースクラスへのアクセスを許可する、前記格納装置。 - 請求項1記載の格納装置において、前記コントローラは、新たに生成された各セキュリティ区画内に該セキュリティ区画へのアクセス権限を示す論理的役割を設定するように構成され、前記論理的役割は、前記格納装置に関連付けられた構成要素に対応している、前記格納装置。
- 請求項3記載の格納装置において、前記論理的役割は、前記格納装置の製造者に関連付けられた製造者役割を含む、前記格納装置。
- 請求項3記載の格納装置において、前記論理的役割は、前記セキュリティ区画に関連付けられたソフトアプリケーションのオーナーに関連付けられたオーナー役割を含む、前記格納装置。
- 請求項3記載の格納装置において、前記論理的役割は、前記格納装置のオーナーに関連付けられた装置オーナー役割を含み、該装置オーナー役割は、前記セキュリティ区画を削除できる権限が与えられている、前記格納装置。
- ホストシステムに接続された格納装置の格納媒体上へのソフトウェアアプリケーションのためのセキュリティ区画の生成を管理する方法であって、
前記ホストシステムは、前記ソフトウェアアプリケーションを扱うためのオペレーティングシステムを有し、前記格納装置の製造者が管理する認証サーバとネットワークを介して接続されており、
前記格納装置内のコントローラによって、セキュリティ区画要求を取得するステップであって前記セキュリティ区画要求は、インターフェース接続により前記格納媒体に接続された前記ホストシステムから受信する前記ステップと、
前記ホストシステムと前記コントローラを用いて、セキュリティが確保された前記ネットワーク上のリンクを前記認証サーバとの間に確立するステップであって、前記セキュリティが確保されたリンクは、前記コントローラが、セキュリティ区画認証に対して、要求された前記セキュリティ区画を生成するように要求することができるよう、セキュリティが確保された通信トンネル接続を前記ホストシステムを通して前記コントローラと前記認証サーバとの間に提供する前記ステップと、
前記セキュリティ区画認証の受信に応じて、前記コントローラを用いて、前記格納媒体上に各々のセキュリティ区画を設定する前記ステップと、
を含み、
前記コントローラは、前記通信トンネル接続により、前記認証サーバから前記セキュリティ区画認証を受信する、前記方法。 - 請求項7記載の方法は、さらに、
前記認証サーバが前記コントローラに対する承認を拒絶した場合には、セキュリティ区画生成要求を終了させるステップと、
前記格納媒体上の情報に対する任意の変更を解除し、要求前の状態に復旧するステップと、
を含む、前記方法。 - 請求項7記載の方法において、セキュリティ区画認証は、デジタル署名された証明を含む、前記方法。
- 請求項7記載の方法において、前記認証サーバは、前記格納装置との間で信頼関係を有する第三者のサーバを含む、前記方法。
- 請求項7記載の方法において、前記設定するステップは、
前記格納媒体上にセキュリティ区画を生成するステップと、
前記セキュリティ区画認証に基づき、前記セキュリティ区画へのアクセス制御を初期化するステップと、
を含む、前記方法。 - 請求項7記載の方法は、さらに、
前記セキュリティ区画内のアプリケーションに関する完全なプログラム設定情報をインストールするステップを含む、前記方法。 - 請求項7記載の方法において、前記セキュリティ区画認証は、前記セキュリティ区画を生成するための認証に関する前記要求に対応したソフトウェアプログラムに関する全プログラム設定情報を含む、前記方法。
- ホストシステムに接続された格納装置であって、前記ホストシステムは、アプリケーションソフトウェアを扱うためのオペレーティングシステムを有し、前記格納装置の製造者が管理する認証サーバとネットワークを介して接続されており、
前記格納装置は、
格納媒体と、
該格納媒体に接続され、該格納媒体から情報を読取り、該格納媒体に情報を書込む、読取り/書込み機構と、
前記格納装置に内蔵され、前記読取り/書込み機構に接続され、前記格納媒体の情報の読取りと書込みを制御するコントローラであって、該コントローラは、前記ホストシステムから受信した前記アプリケーションソフトウェアのためのセキュリティ区画生成に対する要求を取得し、取得した該要求に応じて各々のセキュリティ区画の生成の前に、前記認証サーバからセキュリティ区画認証を要求するように構成されたコントローラと、
を含み、
前記コントローラは、前記ホストシステムを通して前記ネットワーク上で前記認証サーバとセキュリティが確保されたトンネル接続することにより、前記認証サーバから前記セキュリティ区画認証を受信する、前記格納装置。 - 請求項14記載の格納装置において、前記コントローラは、前記セキュリティ区画を生成し、前記セキュリティ区画へのアクセス制御を初期化し、該アクセス制御は、役割に基づく前記セキュリティ区画へのアクセス権限を含む、前記格納装置。
- 請求項14記載の格納装置において、前記セキュリティ区画認証は、前記セキュリティ区画を設定するために、前記格納装置のコントローラを承認するコマンドを含む、前記格納装置。
- 請求項16記載の格納装置において、前記セキュリティ区画認証は、さらに、ソフトウェア・アプリケーションの前記セキュリティ区画に関する全プログラム設定情報を含む、
前記格納装置。 - 請求項17記載の格納装置において、前記セキュリティ区画は、前記格納媒体に格納されたベースセキュリティ区画クラスに基づき設定される、前記格納装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/125,491 US8127147B2 (en) | 2005-05-10 | 2005-05-10 | Method and apparatus for securing data storage while insuring control by logical roles |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006318472A JP2006318472A (ja) | 2006-11-24 |
| JP4648239B2 true JP4648239B2 (ja) | 2011-03-09 |
Family
ID=37420588
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006131544A Expired - Fee Related JP4648239B2 (ja) | 2005-05-10 | 2006-05-10 | 論理的役割による制御を保証しながらデータ格納のセキュリティを確保するための方法および装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8127147B2 (ja) |
| JP (1) | JP4648239B2 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003901454A0 (en) * | 2003-03-28 | 2003-04-10 | Secure Systems Limited | Security system and method for computer operating systems |
| US8341733B2 (en) * | 2007-06-20 | 2012-12-25 | International Business Machines Corporation | Creating secured file views in a software partition |
| US20090240907A1 (en) * | 2008-03-19 | 2009-09-24 | Crandell Jeffrey L | Remote storage access control system |
| US20100185843A1 (en) * | 2009-01-20 | 2010-07-22 | Microsoft Corporation | Hardware encrypting storage device with physically separable key storage device |
| US9330282B2 (en) * | 2009-06-10 | 2016-05-03 | Microsoft Technology Licensing, Llc | Instruction cards for storage devices |
| US8321956B2 (en) * | 2009-06-17 | 2012-11-27 | Microsoft Corporation | Remote access control of storage devices |
| US8566603B2 (en) | 2010-06-14 | 2013-10-22 | Seagate Technology Llc | Managing security operating modes |
| CN103797492B (zh) | 2011-07-27 | 2016-09-21 | 希捷科技有限公司 | 用于安全存储劫持保护的方法和装置 |
| EP2795505A4 (en) * | 2011-12-22 | 2015-09-02 | Intel Corp | ACTIVATION AND MONETIZATION OF INTEGRATED FUNCTIONS IN STORAGE SUBSYSTEMS USING A RELIABLE CONNECTION SERVICE BACKPACK INFRASTRUCTURE |
| US9239937B2 (en) * | 2013-01-07 | 2016-01-19 | Lenovo (Singapore) Pte. Ltd. | Targeted security policy override |
| DE102014200533A1 (de) * | 2014-01-14 | 2015-07-16 | Olympus Winter & Ibe Gmbh | Wechseldatenträger, medizinisches Gerät und Verfahren zum Betrieb eines Wechseldatenträgers |
| CN104598402B (zh) * | 2014-12-30 | 2017-11-10 | 北京兆易创新科技股份有限公司 | 一种闪存控制器和闪存控制器的控制方法 |
| US9680646B2 (en) * | 2015-02-05 | 2017-06-13 | Apple Inc. | Relay service for communication between controllers and accessories |
| US10097534B2 (en) * | 2015-08-28 | 2018-10-09 | Dell Products L.P. | System and method to redirect hardware secure USB storage devices in high latency VDI environments |
| US9760730B2 (en) * | 2015-08-28 | 2017-09-12 | Dell Products L.P. | System and method to redirect and unlock software secure disk devices in a high latency environment |
| KR102353058B1 (ko) | 2016-02-02 | 2022-01-20 | 삼성전자주식회사 | 시스템 온 칩 및 그것의 동작 방법 |
| US10437609B1 (en) * | 2017-03-09 | 2019-10-08 | Devicebook Inc. | Intelligent platform |
| FR3081575A1 (fr) * | 2018-06-21 | 2019-11-29 | Orange | Pilotage d'un dispositif de stockage de donnees |
| US11609845B2 (en) * | 2019-05-28 | 2023-03-21 | Oracle International Corporation | Configurable memory device connected to a microprocessor |
| US11190523B1 (en) * | 2019-12-18 | 2021-11-30 | Sprint Communications Company L.P. | Post-activation installation of custom applications with system privileges |
| US20210377018A1 (en) * | 2020-05-29 | 2021-12-02 | Electric Power Research Institute, Inc. | Secure remote access to industrial control systems using hardware based authentication |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000155716A (ja) * | 1998-06-16 | 2000-06-06 | Ncr Internatl Inc | デ―タ・セキュリティ・システム |
| JP2002278838A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | メモリアクセス制御システム、デバイス管理装置、パーティション管理装置、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体 |
| US20020157010A1 (en) * | 2001-04-24 | 2002-10-24 | International Business Machines Corporation | Secure system and method for updating a protected partition of a hard drive |
| JP2004055031A (ja) * | 2002-07-19 | 2004-02-19 | Matsushita Electric Ind Co Ltd | 磁気ディスク装置とその制御方法、情報システム |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5150465A (en) * | 1988-11-30 | 1992-09-22 | Compaq Computer Corporation | Mode-selectable integrated disk drive for computer |
| US5375243A (en) * | 1991-10-07 | 1994-12-20 | Compaq Computer Corporation | Hard disk password security system |
| US5629981A (en) * | 1994-07-29 | 1997-05-13 | Texas Instruments Incorporated | Information management and security system |
| US5659756A (en) * | 1995-03-31 | 1997-08-19 | International Business Machines Corporation | Method and system for providing access to logical partition information on a per resource basis |
| US5874089A (en) * | 1995-10-02 | 1999-02-23 | Georgetown University School Of Medicine | Protecting against canine oral papillomavirus (copy) |
| US5787491A (en) * | 1996-01-26 | 1998-07-28 | Dell Usa Lp | Fast method and apparatus for creating a partition on a hard disk drive of a computer system and installing software into the new partition |
| US5892899A (en) * | 1996-06-13 | 1999-04-06 | Intel Corporation | Tamper resistant methods and apparatus |
| JP2982702B2 (ja) * | 1996-08-30 | 1999-11-29 | 日本電気株式会社 | ディスク装置 |
| US5949882A (en) * | 1996-12-13 | 1999-09-07 | Compaq Computer Corporation | Method and apparatus for allowing access to secured computer resources by utilzing a password and an external encryption algorithm |
| US6272631B1 (en) * | 1997-06-30 | 2001-08-07 | Microsoft Corporation | Protected storage of core data secrets |
| US6092189A (en) * | 1998-04-30 | 2000-07-18 | Compaq Computer Corporation | Channel configuration program server architecture |
| US6468160B2 (en) * | 1999-04-08 | 2002-10-22 | Nintendo Of America, Inc. | Security system for video game system with hard disk drive and internet access capability |
| US6735693B1 (en) * | 2000-01-28 | 2004-05-11 | Western Digital Ventures, Inc. | Disk drive comprising encryption circuitry selectively enabled by verifying a circuit that provides plaintext data |
| US6691198B1 (en) * | 2000-03-30 | 2004-02-10 | Western Digital Ventures, Inc. | Automatically transmitting scheduling data from a plurality of storage systems to a network switch for scheduling access to the plurality of storage systems |
| US6823398B1 (en) * | 2000-03-31 | 2004-11-23 | Dphi Acquisitions, Inc. | File system management embedded in a storage device |
| US7003674B1 (en) * | 2000-07-31 | 2006-02-21 | Western Digital Ventures, Inc. | Disk drive employing a disk with a pristine area for storing encrypted data accessible only by trusted devices or clients to facilitate secure network communications |
| JP2002229859A (ja) * | 2001-01-31 | 2002-08-16 | Toshiba Corp | ディスク記憶装置及び同装置に適用する認証方法 |
| JP2002278839A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | データアクセス管理システム、メモリ搭載デバイス、およびデータアクセス管理方法、並びにプログラム記憶媒体 |
| US7065654B1 (en) * | 2001-05-10 | 2006-06-20 | Advanced Micro Devices, Inc. | Secure execution box |
| US7036020B2 (en) * | 2001-07-25 | 2006-04-25 | Antique Books, Inc | Methods and systems for promoting security in a computer system employing attached storage devices |
| US7925894B2 (en) * | 2001-07-25 | 2011-04-12 | Seagate Technology Llc | System and method for delivering versatile security, digital rights management, and privacy services |
| US20040088513A1 (en) * | 2002-10-30 | 2004-05-06 | Biessener David W. | Controller for partition-level security and backup |
| ATE504446T1 (de) * | 2002-12-02 | 2011-04-15 | Silverbrook Res Pty Ltd | Totdüsenausgleich |
| US7360073B1 (en) * | 2003-05-15 | 2008-04-15 | Pointsec Mobile Technologies, Llc | Method and apparatus for providing a secure boot for a computer system |
| US7178015B2 (en) * | 2004-01-12 | 2007-02-13 | Hewlett-Packard Development Company, L.P. | Security measures in a partitionable computing system |
| US20050198461A1 (en) * | 2004-01-12 | 2005-09-08 | Shaw Mark E. | Security measures in a partitionable computing system |
| US7444681B2 (en) * | 2004-01-12 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Security measures in a partitionable computing system |
| US7296146B2 (en) * | 2004-01-12 | 2007-11-13 | Hewlett-Packard Development Company, L.P. | Security measures in a partitionable computing system |
| US7356678B2 (en) * | 2004-01-12 | 2008-04-08 | Hewlett-Packard Development Company, L.P. | Security measures in a partitionable computing system |
| US20050152331A1 (en) * | 2004-01-12 | 2005-07-14 | Shaw Mark E. | Security measures in a partitionable computing system |
| US20050154910A1 (en) * | 2004-01-12 | 2005-07-14 | Shaw Mark E. | Security measures in a partitionable computing system |
| US8453197B2 (en) * | 2006-09-07 | 2013-05-28 | Intel Corporation | Method, apparatus and system for isolating a temporary partition on a host |
| US7913030B2 (en) * | 2007-12-28 | 2011-03-22 | Sandisk Il Ltd. | Storage device with transaction logging capability |
| US7809873B2 (en) * | 2008-04-11 | 2010-10-05 | Sandisk Il Ltd. | Direct data transfer between slave devices |
-
2005
- 2005-05-10 US US11/125,491 patent/US8127147B2/en not_active Expired - Fee Related
-
2006
- 2006-05-10 JP JP2006131544A patent/JP4648239B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000155716A (ja) * | 1998-06-16 | 2000-06-06 | Ncr Internatl Inc | デ―タ・セキュリティ・システム |
| JP2002278838A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | メモリアクセス制御システム、デバイス管理装置、パーティション管理装置、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体 |
| US20020157010A1 (en) * | 2001-04-24 | 2002-10-24 | International Business Machines Corporation | Secure system and method for updating a protected partition of a hard drive |
| JP2004055031A (ja) * | 2002-07-19 | 2004-02-19 | Matsushita Electric Ind Co Ltd | 磁気ディスク装置とその制御方法、情報システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006318472A (ja) | 2006-11-24 |
| US8127147B2 (en) | 2012-02-28 |
| US20060259785A1 (en) | 2006-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4648239B2 (ja) | 論理的役割による制御を保証しながらデータ格納のセキュリティを確保するための方法および装置 | |
| US8898477B2 (en) | System and method for secure firmware update of a secure token having a flash memory controller and a smart card | |
| US8051052B2 (en) | Method for creating control structure for versatile content control | |
| US8601283B2 (en) | Method for versatile content control with partitioning | |
| US8504849B2 (en) | Method for versatile content control | |
| KR101238848B1 (ko) | 파티셔닝을 포함한 다기능 컨텐트 제어 | |
| US7925894B2 (en) | System and method for delivering versatile security, digital rights management, and privacy services | |
| US20100077214A1 (en) | Host Device and Method for Protecting Data Stored in a Storage Device | |
| US20050066191A1 (en) | System and method for delivering versatile security, digital rights management, and privacy services from storage controllers | |
| JP2008515060A (ja) | ソフトウェアライセンスを配布するシステムおよび方法 | |
| US20100138673A1 (en) | Method for Secure Storage and Delivery of Media Content | |
| US20060242150A1 (en) | Method using control structure for versatile content control | |
| JP5180203B2 (ja) | メモリ装置から供給される情報を制御するシステムおよび方法 | |
| JP6622275B2 (ja) | アクセス制御機能を有するモバイルデータ記憶デバイス | |
| US20060242066A1 (en) | Versatile content control with partitioning | |
| JP2003507785A (ja) | コンピュータ・プラットフォームおよびその運用方法 | |
| JPWO2006004130A1 (ja) | データ管理方法、そのプログラム及びプログラムの記録媒体 | |
| JP2009508412A (ja) | メディアコンテンツのセキュアストレージと配信のためのモバイルメモリシステム | |
| US20060242067A1 (en) | System for creating control structure for versatile content control | |
| KR20070091349A (ko) | 다기능 컨텐트 제어용 제어 생성 시스템 | |
| US20080184028A1 (en) | Methods, Apparatus and Products for Establishing a Trusted Information Handling System | |
| JP2009543211A (ja) | 汎用管理構造を使用するコンテンツ管理システムおよび方法 | |
| JP2009187547A (ja) | 安全な直接プラッタ・アクセス | |
| TWM540328U (zh) | 內建智慧安全行動裝置 | |
| JP2009543210A (ja) | アイデンティティオブジェクトを使用する制御システムおよび方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091127 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100301 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100319 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100618 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20100618 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100630 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100716 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100803 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101102 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101124 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101209 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131217 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4648239 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |