JP5691418B2 - ストレージ装置、記憶装置、制御装置および記憶装置制御方法 - Google Patents
ストレージ装置、記憶装置、制御装置および記憶装置制御方法 Download PDFInfo
- Publication number
- JP5691418B2 JP5691418B2 JP2010252623A JP2010252623A JP5691418B2 JP 5691418 B2 JP5691418 B2 JP 5691418B2 JP 2010252623 A JP2010252623 A JP 2010252623A JP 2010252623 A JP2010252623 A JP 2010252623A JP 5691418 B2 JP5691418 B2 JP 5691418B2
- Authority
- JP
- Japan
- Prior art keywords
- storage
- band
- password
- area
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
[第1の実施の形態]
図1は、第1の実施の形態のストレージ装置を示す図である。本実施の形態のストレージ装置1は、通信回線で接続された上位装置2の要求に応じてデータの読み書きを行う。ストレージ装置1は、制御部1a、記憶部1bを有する。記憶部1bは、認証処理部1b1、記憶領域管理部1b2、記憶媒体1b3を有する。ストレージ装置1は、記憶媒体1b3等の複数の記憶媒体で構成されたRAIDを有する。
記憶領域管理部1b2は、記憶媒体1b3が有する記憶領域に対して、第1の領域および第2の領域のいずれか一方を設定可能である。第1の領域は、認証処理部1b1が第1のパスワードでアクセス認証に成功した場合にアクセス可能になると共に、上位装置2との間のデータの読み書きに使用される。第2の領域は、認証処理部1b1が第2のパスワードでアクセス認証に成功した場合に解除可能になる。記憶領域管理部1b2は、記憶媒体1b3が有する記憶領域の一部に第1の領域を設定し、他の部分に第2の領域を設定することができるが、同一の部分に対してはいずれか一方の領域を排他的に設定することができる。
次に、図1に示したストレージ装置1の、記憶部1bの切り離しの際に記憶領域全体に対して仮想的な記憶領域と、設定した仮想的な記憶領域に対するアクセスについてパスワード認証を要求するアクセス制限を設定することにより、記憶領域に記憶されているデータの漏えいや盗用を防止する機能をRAID装置100に適用した実施の形態を、第2の実施の形態として説明する。
CPU111aは、OS(Operating System:オペレーティングシステム)等に従って処理を実行し、各種制御を行う。また、制御部110aは、キャッシュメモリ112a、記憶デバイス120c,120d,120e,120f、チャネルアダプタ130c,130d等の資源管理を行う。
また、制御部110a,110bは、バス140によって接続されている。このバス140を介して、制御部110aおよび制御部110bの間で、制御情報やデータが通信される。制御部110a,110bは、それぞれ、RAID装置100に対し着脱可能である。ここで、制御部110bは、CPU111b、キャッシュメモリ112b、デバイスアダプタ113e,113fを有し、制御部110aと同一の構成であるため、説明を省略する。
以上のようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。
また、ユーザがローカルバンドの設定を解除する場合、解除するローカルバンドのLBAの範囲を0にする。これにより、解除されたローカルバンドが設定されていた記憶領域は、グローバルバンド(バンド0)に設定される。また、グローバルバンドの任意のセクタにデータを書き込んだ後、当該セクタを含む記憶領域に対してローカルバンド(例えば、バンド1)を設定し、当該セクタにデータの書き込みを行わないでバンド1の設定を解除してバンド0に戻した場合には、当該セクタに書き込んだデータを読み出すことができる。
[ステップS13]制御部110aは、受信したバンド0設定用パスワードおよびバンド1設定用パスワードをそれぞれのバンドの設定用パスワードに設定する。
[ステップS22]制御部110aは、記憶デバイス120cを切り離す処理を実行すると共に、記憶デバイス120cに対して制御部110aから記憶デバイス120cを切り離す処理を実行させる。記憶デバイス120cが有する記憶領域管理部120c3は、制御部110aの制御に基づいて記憶デバイス120cを切り離す。これにより、記憶デバイス120cは、RAID装置100から切り離される。
[ステップS122]制御部110aは、記憶デバイス120cにおいて発生した異常を検出する。
[ステップS124]制御部110aは、記憶デバイス120cに対して切り離しを指示する。
図10および図11は、第2の実施の形態のRAID装置で記憶デバイスの接続時に実行される処理の手順を示すシーケンス図である。本実施の形態のRAID装置100では、異常の発生によりRAID装置100から切り離された記憶デバイス(例えば、記憶デバイス120c)は、RAID装置100と再び接続され、バンド0設定用パスワードおよびバンド1設定用パスワードによる認証に成功した場合に、記憶領域121に記憶されているデータの読み書きが可能になる。以下に、図10および図11に従って、本実施の形態において実行される、記憶デバイスのバンド接続時に実行される処理について説明する。
[ステップS213]ホストコンピュータ300は、ステップS212で入力を受け付けたバンド1設定用パスワードを制御部110aに対して送信する。
[ステップS223]ホストコンピュータ300は、ステップS222で入力を受け付けたバンド0設定用パスワードを制御部110aに対して送信する。
次に、第3の実施の形態について説明する。上記の第2の実施の形態との相違点を中心に説明し、同様の事項については同一の符号を用いると共に説明を省略する。
図13は、第3の実施の形態の記憶デバイスバンド設定処理の手順を示すフローチャートである。本実施の形態のRAID装置200は、記憶デバイス220cの接続時や記憶デバイス220cの使用開始時等において、記憶デバイス220cの記憶領域にデータを書き込む前に、バンド0,1の設定用パスワードを設定すると共に記憶領域に対してバンド0を設定する記憶デバイスバンド設定処理を実行する。以下では、図13に示す記憶デバイスバンド設定処理をフローチャートのステップ番号に沿って説明する。
[ステップS43]制御部210aは、受信したバンド0設定用パスワードを設定する。
[ステップS45]制御部210aは、バンド1の領域のサイズを0に設定する。このように、記憶デバイス220cでは、記憶領域のすべての領域にバンド0が設定される。これにより、記憶デバイス220cに書き込まれるデータはすべてバンド0に記憶される。
図14は、第3の実施の形態の記憶デバイス切り離し処理の手順を示すフローチャートである。本実施の形態のRAID装置200は、記憶デバイス220cの異常を検出すると、記憶デバイス切り離し処理を実行する。以下では、図14に示す記憶デバイス切り離し処理をフローチャートのステップ番号に沿って説明する。
[ステップS52]制御部210aは、制御部210aが有するキャッシュメモリに記憶されているバンド1設定用のパスワードを消去する。
図15は、第3の実施の形態の記憶デバイス接続処理の手順を示すフローチャートである。本実施の形態のRAID装置200は、ユーザがRAID装置200に切り離した記憶デバイス220cを取り付け、RAID装置200と記憶デバイス220cとを再び接続する時に、バンド1設定用パスワードでユーザ認証を行ってバンド1の領域を解除してバンド0を設定すると共に、バンド0設定用パスワードでユーザ認証を行って記憶デバイス220cの記憶領域を使用可能にする記憶デバイス接続処理を実行する。以下では、図15に示す記憶デバイス接続処理をフローチャートのステップ番号に沿って説明する。
[ステップS312]ホストコンピュータ300は、ステップS311の要求に基づいて、例えば、接続されているモニタにパスワード設定用画面を表示し、ユーザによるバンド0設定用パスワードの入力を受け付ける。
[ステップS316]制御部210aは、記憶領域のバンド1の領域を0にする。すなわち、制御部210aは、記憶領域のすべての記憶領域をバンド0に設定する。
[ステップS318]制御部210aは、ホストコンピュータ300のユーザデータの読み書きについて、記憶領域に設定されたバンド0で運用する。すなわち、ホストコンピュータ300から書き込みデータがRAID装置200に送信された場合、制御部210aは、ステップS316で記憶領域に設定されたバンド0に書き込む。ホストコンピュータ300からデータの読み出しの要求がRAID装置200に送信された場合、制御部210aは、ステップS316で記憶領域に設定されたバンド0から要求されたデータを読み出して、ホストコンピュータ300に送信する。
[ステップS322]制御部210aは、記憶デバイス220cにおいて発生した異常を検出する。
[ステップS324]制御部210aは、制御部210aが有するキャッシュメモリに記憶している記憶領域に設定されているバンド1設定用パスワードを消去する。
[ステップS326]記憶デバイス220cは、切り離しを実行する。
[ステップS413]記憶デバイス220cは、バンド1設定用パスワードの初期パスワードを制御部210aに対して送信する。
[ステップS423]ホストコンピュータ300は、ステップS422で入力を受け付けたバンド0設定用パスワードを制御部210aに対して送信する。
1a 制御部
1b 記憶部
1b1 認証処理部
1b2 記憶領域管理部
1b3 記憶媒体
Claims (7)
- データが読み書きされる記憶部と、上位装置の要求に応じて前記記憶部を制御する制御部とを有するストレージ装置であって、
前記記憶部は、
データを記憶する記憶媒体と、
認証処理を実行する認証処理部と、
前記記憶媒体が有する記憶領域に対して、前記認証処理部が第1のパスワードでアクセス認証に成功した場合にアクセス可能になると共に、前記上位装置との間のデータの読み書きに使用される第1の領域と、前記認証処理部が第2のパスワードでアクセス認証に成功した場合に解除可能になる第2の領域とのいずれか一方を設定可能な記憶領域管理部と、
を有し、
前記制御部は、
前記記憶部を切り離す場合には、前記記憶領域管理部に対して前記第1の領域が設定されている前記記憶領域に前記第2の領域を設定させる、
ことを特徴とするストレージ装置。 - 前記認証処理部は、前記記憶部が接続される場合に、前記第1のパスワードで認証処理を実行すると共に前記第2のパスワードで認証処理を実行し、
前記制御部は、
前記認証処理部が前記第2のパスワードによる認証処理に成功した場合、前記記憶領域管理部に対して前記記憶領域に設定されている前記第2の領域を解除して前記第1の領域を設定させると共に、
前記認証処理部が前記第1のパスワードによる認証処理に成功した場合、前記記憶領域管理部に対して前記記憶領域に設定されている前記第1の領域に対するアクセスを可能にさせる、
ことを特徴とする請求項1記載のストレージ装置。 - 前記記憶部は、暗号化処理を実行する暗号化処理部を有し、
前記記憶領域管理部は、
前記記憶媒体が有する記憶領域に対して、前記認証処理部が前記第1のパスワードでアクセス認証に成功した場合にアクセス可能になると共に前記暗号化処理部によって第1の暗号化キーでデータが暗号化され、前記上位装置との間のデータの読み書きに使用される第1の領域と、
前記認証処理部が前記第2のパスワードでアクセス認証に成功した場合に解除可能になると共に、前記暗号化処理部によって第2の暗号化キーでデータが暗号化される第2の領域とのいずれか一方を設定可能であることを特徴とする請求項1記載のストレージ装置。 - 前記制御部は、
前記認証処理部が第3のパスワードによる認証処理に成功すると、前記認証処理部に対して前記第2のパスワードを消去させ、新たな第2のパスワードを設定させると共に前記新たに設定した第2のパスワードで認証処理を実行させ、
前記認証処理部が前記新たな第2のパスワードによる認証処理に成功した場合、前記記憶領域管理部に対して前記記憶領域に設定されている前記第2の領域を解除して前記第1の領域を設定させ、前記認証処理部に対して前記第1のパスワードで認証処理を実行させ、
前記認証処理部が前記第1のパスワードによる認証処理に成功したとき、前記記憶領域管理部に対して前記記憶領域に設定されている前記第1の領域に対するアクセスを可能にさせる、
ことを特徴とする請求項3記載のストレージ装置。 - 制御部による制御に基づき、上位装置の要求に応じてデータが読み書きされる記憶装置であって、
データを記憶する記憶媒体と、
認証処理を実行する認証処理部と、
前記記憶媒体が有する記憶領域に対して、前記認証処理部が第1のパスワードでアクセス認証に成功した場合にアクセス可能になると共に、前記上位装置との間のデータの読み書きに使用される第1の領域と、前記認証処理部が第2のパスワードでアクセス認証に成功した場合に解除可能になる第2の領域とのいずれか一方を設定可能な記憶領域管理部と、
を有し、
前記記憶領域管理部は、
前記制御部が前記記憶装置を切り離す場合には、前記記憶領域管理部に対して前記第1の領域が設定されている前記記憶領域に前記第2の領域を設定する、
ことを特徴とする記憶装置。 - 上位装置の要求に応じてデータが読み書きされる記憶部を制御する制御装置であって、
前記記憶部を切り離す場合には、前記記憶部が有するデータを記憶する記憶媒体が有する記憶領域に対して、前記記憶部が有する認証処理を実行する認証処理部が第1のパスワードでアクセス認証に成功した場合にアクセス可能になると共に、前記上位装置との間のデータの読み書きに使用される第1の領域と、前記認証処理部が第2のパスワードでアクセス認証に成功した場合に解除可能になる第2の領域とのいずれか一方を設定可能な前記記憶部が有する記憶領域管理部に対して前記第1の領域が設定されている前記記憶領域に前記第2の領域を設定させる、
ことを特徴とする制御装置。 - 上位装置の要求に応じてデータが読み書きされる記憶部を制御する記憶装置制御方法であって、
前記記憶部が有するデータを記憶する記憶媒体が有する記憶領域に対して、第1のパスワードでアクセス認証に成功した場合にアクセス可能になると共に、前記上位装置との間のデータの読み書きに使用される第1の領域が設定されている前記記憶領域に第2のパスワードで解除可能になる第2の領域を設定させ、
前記記憶部を切り離す、
ことを特徴とする記憶装置制御方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010252623A JP5691418B2 (ja) | 2010-11-11 | 2010-11-11 | ストレージ装置、記憶装置、制御装置および記憶装置制御方法 |
US13/239,682 US8966280B2 (en) | 2010-11-11 | 2011-09-22 | Storage device, memory device, control device, and method for controlling memory device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010252623A JP5691418B2 (ja) | 2010-11-11 | 2010-11-11 | ストレージ装置、記憶装置、制御装置および記憶装置制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012103943A JP2012103943A (ja) | 2012-05-31 |
JP5691418B2 true JP5691418B2 (ja) | 2015-04-01 |
Family
ID=46048918
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010252623A Expired - Fee Related JP5691418B2 (ja) | 2010-11-11 | 2010-11-11 | ストレージ装置、記憶装置、制御装置および記憶装置制御方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8966280B2 (ja) |
JP (1) | JP5691418B2 (ja) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9330244B2 (en) * | 2011-12-15 | 2016-05-03 | Kabushiki Kaisha Toshiba | Controller and method of storage apparatus |
JP5938997B2 (ja) * | 2012-03-30 | 2016-06-22 | 富士通株式会社 | 情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法 |
US9009490B2 (en) | 2012-10-08 | 2015-04-14 | International Business Machines Corporation | Implementing dynamic banding of self encrypting drive |
US9117086B2 (en) * | 2013-08-28 | 2015-08-25 | Seagate Technology Llc | Virtual bands concentration for self encrypting drives |
US9871663B2 (en) * | 2015-03-25 | 2018-01-16 | Intel Corporation | Challenge response authentication for self encrypting drives |
WO2016186109A1 (ja) * | 2015-05-18 | 2016-11-24 | Necフィールディング株式会社 | 記憶装置、アクセス禁止方法、および、プログラム |
US10726142B2 (en) | 2015-06-02 | 2020-07-28 | Viirii, Llc | Operating system independent, secure data storage system |
CN106980800B (zh) * | 2017-03-29 | 2020-05-19 | 山东超越数控电子股份有限公司 | 一种加密固态硬盘认证分区的度量方法和系统 |
US20190362075A1 (en) * | 2018-05-22 | 2019-11-28 | Fortinet, Inc. | Preventing users from accessing infected files by using multiple file storage repositories and a secure data transfer agent logically interposed therebetween |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3075856B2 (ja) | 1992-09-17 | 2000-08-14 | 株式会社東芝 | コンピュータ |
JPH1097468A (ja) * | 1996-09-19 | 1998-04-14 | Toshiba Corp | データ記録再生装置及びセキュリティ管理方法 |
JPH10177524A (ja) * | 1996-12-16 | 1998-06-30 | Nec Shizuoka Ltd | 情報処理システム |
JP2004055031A (ja) * | 2002-07-19 | 2004-02-19 | Matsushita Electric Ind Co Ltd | 磁気ディスク装置とその制御方法、情報システム |
JP2006092124A (ja) * | 2004-09-22 | 2006-04-06 | Fujitsu Ltd | 記憶装置、記憶制御方法および記憶制御プログラム |
WO2006046484A1 (ja) * | 2004-10-25 | 2006-05-04 | Matsushita Electric Industrial Co., Ltd. | 認証方法 |
JP2007272476A (ja) * | 2006-03-30 | 2007-10-18 | Fujitsu Ltd | 情報記憶装置 |
JP4872512B2 (ja) * | 2006-08-02 | 2012-02-08 | ソニー株式会社 | 記憶装置、記憶制御方法、並びに、情報処理装置および方法 |
US8924742B2 (en) * | 2009-02-11 | 2014-12-30 | Blackberry Limited | Multi-level data storage |
-
2010
- 2010-11-11 JP JP2010252623A patent/JP5691418B2/ja not_active Expired - Fee Related
-
2011
- 2011-09-22 US US13/239,682 patent/US8966280B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US8966280B2 (en) | 2015-02-24 |
JP2012103943A (ja) | 2012-05-31 |
US20120124391A1 (en) | 2012-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5691418B2 (ja) | ストレージ装置、記憶装置、制御装置および記憶装置制御方法 | |
KR101852724B1 (ko) | 컴퓨터 프로그램, 비밀관리방법 및 시스템 | |
US20170277898A1 (en) | Key management for secure memory address spaces | |
JP4782871B2 (ja) | デバイスアクセス制御プログラム、デバイスアクセス制御方法および情報処理装置 | |
JP5724118B2 (ja) | 保護デバイス管理 | |
US7269743B2 (en) | Method and apparatus for secure data mirroring a storage system | |
US8200965B2 (en) | Storage system for data encryption | |
US20090046858A1 (en) | System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key | |
US8266449B2 (en) | Security for storage devices | |
JP2006268851A (ja) | データ記憶装置内のデータ転写 | |
KR20070105359A (ko) | Usb 보안 저장 기기 및 방법 | |
US9910791B1 (en) | Managing system-wide encryption keys for data storage systems | |
CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
US10110383B1 (en) | Managing embedded and remote encryption keys on data storage systems | |
JP4980288B2 (ja) | 計算機システム、記憶領域の状態制御方法及び計算機 | |
EP1953668A2 (en) | System and method of data encryption and data access of a set of storage devices via a hardware key | |
CN102053925A (zh) | 硬盘数据加密实现方法 | |
US9251382B2 (en) | Mapping encrypted and decrypted data via key management system | |
KR102305680B1 (ko) | 복수의 스토리지를 이용한 보안정보 저장 시스템 | |
JP5127989B2 (ja) | データ処理装置およびデータ処理方法 | |
JP2011253561A (ja) | データ処理装置およびデータ処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130805 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140328 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140507 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140623 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150106 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150119 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5691418 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |