JP5938997B2 - 情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法 - Google Patents

情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法 Download PDF

Info

Publication number
JP5938997B2
JP5938997B2 JP2012082770A JP2012082770A JP5938997B2 JP 5938997 B2 JP5938997 B2 JP 5938997B2 JP 2012082770 A JP2012082770 A JP 2012082770A JP 2012082770 A JP2012082770 A JP 2012082770A JP 5938997 B2 JP5938997 B2 JP 5938997B2
Authority
JP
Japan
Prior art keywords
information
storage unit
unit
identification information
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012082770A
Other languages
English (en)
Other versions
JP2013214135A (ja
Inventor
義央 青野
義央 青野
藤原 隆
隆 藤原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2012082770A priority Critical patent/JP5938997B2/ja
Priority to EP13158535.8A priority patent/EP2662798A1/en
Priority to US13/832,327 priority patent/US9195398B2/en
Priority to CN2013100928059A priority patent/CN103365605A/zh
Priority to KR1020130031750A priority patent/KR101476030B1/ko
Publication of JP2013214135A publication Critical patent/JP2013214135A/ja
Application granted granted Critical
Publication of JP5938997B2 publication Critical patent/JP5938997B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/3004Arrangements for executing specific machine instructions to perform operations on memory

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Storage Device Security (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Description

本発明は、ストレージシステムに関する。
複数のHDD(Hard Disk Drive)を一つの論理ボリュームとして扱うストレージ装置として、RAID(Redundant Arrays of Inexpensive Disks)装置が知られている。
近年、RAID装置は、銀行、病院、大学、研究所など多くの情報を取り扱う場所で使用されることが多く、重要な情報の漏洩対応としてHDDの暗号化機能を利用したセキュリティ強化を実施している現状がある。
HDDの暗号化機能として、SED(Self−Encryption Drive)制御により、HDDに書き込まれるデータを暗号化する技術が知られている。
SEDは、媒体に書き込まれるデータをHDD自体で暗号化することにより、媒体上のデータにセキュリティを与えることができる。また、SEDは、パスワード認証により、データへのアクセス自体にセキュリティを与えることができる。
SEDでは、HDD上の論理的な記憶領域の単位をBandと呼び、Band単位でディスクの管理を行う。Bandは、HDDのLBA(Logical Block Address)の任意の範囲で定義される。
SED制御によるHDDの暗号化技術において、Band単位でパスワード認証を行うストレージシステムが知られている。
特開2002−229859号公報 特開2005−202476号公報 特開2008−282440号公報
しかしながら、SEDにおいてデータにアクセスする場合に、Bandのパスワードが第三者に知られてしまうと、HDD内の情報が取得されてしまうおそれがある。近年のRAID装置は、銀行、研究所などの個人情報や研究内容の保存に使用されることが多く、このような重要な情報の漏洩は、多大な被害の発生につながる。
1つの側面では、本発明は、セキュリティの強化を図ることを目的とする。
情報記憶装置は、記憶部、第一の管理情報記憶部、アクセス制御部、及び識別情報書換部を含む。記憶部は、記憶領域が割り当てられる。第一の管理情報記憶部は、記憶領域のアドレス範囲を示すアドレス情報を、記憶領域を識別する識別情報に対応付けて格納する。アクセス制御部は、識別情報に対応するアドレス情報を第一の管理情報記憶部から取得して、取得したアドレス情報により示される記憶領域へのアクセスを行う。識別情報書換部は、第一の管理情報記憶部に格納された識別情報を、第一の管理情報記憶部において第一の識別情報に対応付けられている第一のアドレス情報とは異なる第二のアドレス情報に対応付けられた第二の識別情報に書き換える。
本実施形態に係るストレージシステムによれば、セキュリティの強化を図ることができる。
SEDを説明するための図を示す。 本実施形態に係るストレージシステムの一例を示す。 本実施形態に係るストレージシステムの構成の一例を示す。 本実施形態に係るHDD(SED)の構成の一例を示す。 Bandを説明するための図を示す。 HDD(SED)のシステム領域に保存される管理情報のデータ構造の一例を示す。 RAID装置の管理情報格納部に保存される管理情報のデータ構造の一例を示す。 初期設定時のHDD(SED)の状態を説明するための図である。 運用時のHDD(SED)の状態を説明するための図である。 盗難時のHDD(SED)の状態を説明するための図である。 再搭載時のHDD(SED)の状態を説明するための図である。 HDD(SED)の初期設定からRAID装置から切り離すまでのシーケンス図を示す。 HDD(SED)の初期設定からRAID装置から切り離すまでのフローチャートを示す。 HDD(SED)をRAID装置に再搭載し、使用可能になるまでのシーケンス図を示す。 HDD(SED)をRAID装置に再搭載し、使用可能になるまでのフローチャートを示す。 本実施形態を実現するためのストレージシステムのハードウェア構成を示す。
図1は、SED技術を用いたRAID装置のパスワード認証の仕組みを示す。
イニシエータ(Initiator)12は、接続されたHDD(SED)11に対して、データの読み書きなどの命令を出すものとする。まず、イニシエータ12はHDD(SED)11に対してパスワード13を入力する。パスワード認証部14は、入力されたパスワード13に対して認証を行う。認証が成功すると、イニシエータ12からHDD(SED)11に対するアクセス制限が解除される。そして、イニシエータ12がHDD(SED)11のディスク17に対してデータの入出力を行う際、暗号化エンジン(Encription Engine)16は、暗号化キー15を用いて、データの暗号・復号処理を行う。
暗号化キー15は、暗号化エンジン16がデータを暗号化する際に用いる計算手順に与えられるパラメータである。暗号化キー15は、HDD(SED)11がランダムに作成し、外部からの設定や参照はできない。ただし、外部からの暗号化キー15の変更の指示は可能である。暗号化キー15の変更はBand単位で行われる。
暗号化キー15を変更することは、データを消去することと同じ意味も持つ。なぜなら、暗号化キー15が新しく設定されると、ディスク17内の過去のデータは新しい暗号化キー15を用いて復号して読み出されることになるため、読み出される過去のデータは意味を消失するからである。Bandのパスワードが変更されても暗号化キー15は変更されない。暗号化キー15は、Bandを作成するごとに異なる値となる。例えば、Band1及びBand2を作成した場合、Band1の暗号化キー15とBand2の暗号化キー15は異なる値となる。
暗号化消去の際には、イレースマスターという、Bandのパスワードとは別のパスワードによる認証が行われる。暗号化が消去された後は、ディスク17はアンロック状態となる。その後新しく暗号化キー15が設定され、Bandのパスワードの初期化(ベンダーが最初に設定していたパスワードに戻る)が行われる。ベンダーが最初に設定していたパスワードはSEDのインターフェースを通して電子的に取得可能である。
尚、パスワード認証では、認証に失敗した回数が、設定されている閾値を超えると、認証行為自体が不可能になり、HDD(SED)11のディスク17は使用不可能になる。
図2は、本実施形態におけるストレージシステムの一例を示す。情報記憶装置1は、記憶部2、第一の管理情報記憶部3、アクセス制御部4、識別情報書換部5、第二の管理情報記憶部6、第一の認証情報格納部7、取得部8、認証部9、第二の認証情報格納部10を含む。
記憶部2は、記憶領域が割り当てられる。
第一の管理情報記憶部3は、記憶領域のアドレス範囲を示すアドレス情報を、記憶領域を識別する識別情報に対応付けて格納する。
アクセス制御部4は、識別情報に対応するアドレス情報を第一の管理情報記憶部3から取得して、取得したアドレス情報に対応する記憶領域へのアクセスを行う。
識別情報書換部5は、第一の管理情報記憶部3に格納された識別情報を書き換える。
第二の管理情報記憶部6は、記憶領域のアドレス範囲を示すアドレス情報を、記憶領域を識別する第二の識別情報に対応付けて格納する。
第一の認証情報格納部7は、識別情報に対応付けて設定される第一の認証情報を格納する。
取得部8は、第二の認証情報を取得する。
認証部9は、取得部8から取得した第二の認証情報と、第一の認証情報格納部7に格納された第一の認証情報とを照合し、照合の結果が一致した場合、アクセス制御部4による記憶部2に対するアクセスを可能にする。
第二の認証情報格納部10は、識別情報書換部5による第二の管理情報記憶部6に対するアクセスを可能にするための第三の認証情報を含む。認証部9は、第二の認証情報格納部10に格納された第三の認証情報を取得し、取得した第三の認証情報と、第一の認証情報格納部7に格納された第四の認証情報とを照合し、照合の結果が一致した場合、識別情報書換部5による第二の管理情報記憶部6に対するアクセスを可能にする。
このように、アクセス制御部4は、識別情報に対応するアドレス情報を取得して、取得したアドレス情報に対応する記憶領域にアクセスするので、アドレス情報に対応する識別情報が書き換えられた場合、アクセス対象となる本来の記憶領域へアクセスすることができない。これにより、情報記憶装置1においてセキュリティの強化を図ることができる。
また、認証部9は、アクセス制御部4による記憶部2に対するアクセスの認証を行うことに加えて、識別情報書換部5による第二の管理情報記憶部6に対するアクセスの認証も行うので、記憶部2が外部から使用可能になるまでに、認証が二段階で実施されることになる。これにより、情報記憶装置1においてセキュリティの強化を図ることができる。
図3は本実施形態のストレージシステムの構成の一例を示す図である。図3に示すRAID装置308は、例えば、複数のHDD(SED)309を用いて仮想的な1台のドライブを構成するRAID装置である。
RAID装置308は、コントローラモジュール(以下、CMと表記する)307、及びディスクエンクロージャ(以下、DEと表記する)306を含む。RAID装置308は上位装置としてのホストコンピュータ301に接続されており、ホストコンピュータ301はRAID装置308に対して処理要求やデータの入出力の命令を行う。DE306は、ホストコンピュータ301から入出力されるデータが保存される。CM307は、HDD(SED)309に対するアクセスを、SED技術を用いて制御する。
ここで、RAID装置308は、本実施形態のRAID装置308と同様もしくは略同様に構成された他のディスクアレイ装置(図示せず)との間でデータの送受信を可能に構成されていてもよい。
DE306には複数台のHDD(SED)309が搭載されている。
CM307は、RAID制御部302とI/O制御部303、管理情報格納部310を含む。RAID制御部302は、主にRAID装置308全体を制御する。I/O制御部303は、HDD(SED)309に対する入出力(コマンド)を制御する。RAID制御部302からの命令で、I/O制御部303がコマンドを発行し、SEDの制御を行う。
RAID制御部302は、HDD(SED)309にBandを作成し(Band1〜BandX、X=任意の整数)、Band毎にパスワードを設定(Band1〜BandX及びBand0)する。Bandの作成及びパスワードの設定については、後ほど説明する。
RAID制御部302は、アクセス制御部4、識別情報書換部5、取得部8の一例として挙げられる。管理情報格納部310は、第二の認証情報格納部10の一例として挙げられる。
次に、HDD(SED)309について、図4を参照して説明する。
図4は、本実施形態のHDD(SED)309の構成の一例を示す図である。HDD(SED)309は、暗号化エンジン311、ディスク314、認証情報格納部315、及び、パスワード認証部316を含む。
暗号化エンジン311は、暗号処理部312と領域情報格納部313を含む。暗号処理部312は、HDD(SED)309に対して入力されるデータを暗号化して、ディスク314に格納する。また、暗号処理部312は、ディスク314のデータを復号して、出力する。領域情報格納部313は、HDD(SED)309に設定されているBandの設定状況を管理する領域管理テーブルを格納する。暗号処理部312は、領域管理テーブルの情報を用いて、現在HDD(SED)309に設定されているBandを認識し、Band毎に異なる暗号化キーを用いて、データの暗号化及び復号を行う。
認証情報格納部315は、Band毎に設定されるパスワードが格納される。認証情報格納部315は、第一の認証情報格納部7の一例として挙げられる。
パスワード認証部316は、認証情報格納部315に格納されたパスワードと、RAID制御部302から入力されるパスワードを照合し、照合の結果が一致した場合、そのパスワードに対応するBandへのアクセスを許可する。Bandとパスワードはそれぞれ1対1で対応している。パスワード認証部316は、認証部9の一例として挙げられる。
なお、HDD(SED)309がRAID装置308から取り外されるなどして、HDD(SED)309の電源がOFFされると、HDD(SED)309はロックされ、アクセス不可となる。HDD(SED)309が、次に電源ONされて使用される場合には、パスワード認証部316において、再びBand毎のパスワード認証が行われ、認証が成功した場合、HDD(SED)309に対するロックが解除される。
ディスク314は、HDD(SED)309に入力されるデータが実際に格納される領域である。ディスク314は、記憶部2の一例として挙げられる。
次にBandについて説明する。
Bandは、RAID制御部302がHDD(SED)309のディスク314のLBAの範囲を指定することにより設定される。RAID制御部302が設定したBand(1〜X、X=任意の整数)以外の領域は、グローバルバンド(Band0)と呼ばれる。すなわち、HDD(SED)309に何れのBandの設定もなされていない場合は、すべての領域がグローバルバンド(Band0)である状態となっている。また、Bandの設定を行うと、グローバルバンド(Band0)の領域が、設定したBandの状態になると解釈される。さらに、Bandの設定を解除することは、その領域はグローバルバンド(Band0)になると解釈される。
Bandの設定状況は、暗号化エンジン311の領域情報格納部313に格納される領域管理テーブルにより管理される。領域情報格納部313は、第一の管理情報記憶部3の一例として挙げられる。
領域管理テーブルは、設定するBandのBand番号と、そのBand番号に対応付けられた、Bandの範囲情報を含む。Bandの範囲情報は、BandのスタートLBAおよびLBA範囲を含む。HDD(SED)309にBandを設定するという動作は、具体的には、HDD(SED)309に設定するBandの範囲情報を、設定するBand番号と対応付けて領域管理テーブルに設定する動作を指す。言い換えると、Bandを設定するという動作は、領域管理テーブルにおいて、設定する範囲情報が示す範囲に対応付けられているBand番号が、グローバルバンドを示す番号から、設定するBandの番号へと書き換えられる動作ともいえる。暗号化エンジン311は、領域管理テーブルに設定されているBand毎に、異なる暗号化キーを用いて、HDD(SED)309に書き込むデータを暗号化する。
一方、Bandの設定の解除は、領域管理テーブルにおいて、設定されているBand番号に対応付けられたBandの範囲情報の値を0に設定することにより行う。その場合、領域管理テーブルにおいて、Bandの設定解除前に設定されていた範囲情報が示す範囲は、Band0と対応付けられることになる。
尚、Band0の領域に対して、Bandを設定し、データの書き込みを行わないで、Bandの設定を解除した場合は、元のBand0のデータを読むことができる。
また、認証パスワードの設定及び暗号化キーの変更、アンロック操作等は、Band単位で行われる。設定可能なBandの数はベンダーに依存した値となる。Bandのサイズに制限はないが、Bandの境界をまたいでのデータの読み書きは出来ない。また、Bandは連続領域であり、他のBandとLBAが重なることはない。
グローバルバンド(Band0)以外のBandでは、LBAの範囲が不連続となることは不可であるが、グローバルバンド(Band0)はLBAの範囲が不連続となることが可能である。
図5は、Bandを説明するための図であり、Band1、2が設定された場合のBandとLBAの関連を示す。図5の例の場合、Band1のLBAの範囲は50〜100であり、Band2のLBAの範囲は150〜200である。Band0(グローバルバンド)のLBAの範囲は、Band1とBand2以外の領域となり、0〜50、100〜150である。このように、Band0のLBAは不連続領域となることが可能である。
本実施形態において、ホストコンピュータ301から実際のデータが入出力されるHDD(SED)309の領域をデータ領域と呼ぶ。データ領域は1以上のBandで構成される。RAID装置308の使用者は、データ領域として使用するBandの数を指定できる。使用者が指定した、データ領域として使用するBandの数に対して、RAID制御部302は、データ領域として使用するBandの番号をランダムに決定する。ここで決定されたBandの番号は、RAID装置308の使用者が確認することはできない。
また、データ領域として使用するBandの管理情報を格納する領域をシステム領域と呼ぶ。本実施形態の以下の説明では、システム領域はBand1とする。尚、HDD(SED)309におけるシステム領域は、第二の管理情報記憶部6の一例として挙げられる。
図6は、システム領域であるBand1に格納される管理情報のデータ構造の一例を示す。
Band1に格納される管理データは、データの有効範囲501、Band番号502、スタートLBA503、LBA範囲504が含まれる。データ領域として使用するBandの数が複数ある場合には、データ領域として使用するBandの数の分の、Band番号、スタートLBA、LBA範囲の情報が格納される。図6の例は、データ領域として使用するBandの数が2つである場合のデータ構造を示している。
データの有効範囲501は、Band1のデータとして有効なLBAの範囲が格納される。例えば、データ領域として使用するBandの数が2つの場合、有効範囲501には、「0x0023」が格納される。
Band番号502には、データ領域として使用するBandの番号が格納される。データ領域として使用するBandの番号はRAID制御部302によりランダムに決定される。例えば、データ領域として使用するBandの番号が「2」である場合、Band番号502には、「0x0002」が格納される。ここで、RAID装置308の使用者は、RAID制御部302により決定された、データ領域として使用するBandの番号を確認することはできない。
スタートLBA503、及びLBA範囲504には、それぞれ、Band番号502の開始LBAの値、Band番号502のLBAの範囲が格納される。例えば、Band番号502のBand範囲が「LBA=0x10000〜0x1FFFF」の場合、スタートLBA503には「0x0000000000010000」が格納され、LBA範囲504には「0x0000000000010000」が格納される。
さらに、他にもデータ領域として使用するBandがある場合は、Band番号505、スタートLBA506及びLBA範囲507に、Band番号502〜LBA範囲504と同様に、対応するBandの情報が格納される。例えば、Bandの番号が「16」の場合、Band番号505には、「0x0010」が格納される。また、例えば、Band16の範囲が「LBA=0x20000〜0x2FFFF」の場合、スタートLBA506には「0x0000000000020000」が格納され、LBA範囲507には「0x0000000000010000」が格納される。
同様に、データ領域として使用するBandが複数存在する場合、使用するBandの数の分のBand番号、スタートLBA、LBA範囲の情報がBand1に格納される。したがって、データ領域として使用するBandの数に応じて有効範囲501の値が変化する。
次に、CM307の管理情報格納部310に格納される管理情報のデータ構造について説明する。
図7は、管理情報格納部310に格納される管理情報のデータ構造の一例を示す。尚、図7は、システム領域としてBand1が使用される場合のデータ構造の例を示している。
管理情報格納部310に格納される管理情報は、有効範囲601、消去用パスワード602、ベンダーパスワード603、Band番号604、Band1のスタートLBA605、Band1のLBA範囲606を含む。また、Bandの数に応じて、Bandの数の分の、有効ビット、Band番号、スタートLBA、LBA範囲、パスワードの情報が格納される。図7の例は、Bandの数が1024である場合のデータ構造を示している。
有効範囲601は、管理情報格納部310に格納される管理情報として有効なデータの範囲を示す。
消去用パスワード602は、暗号化を消去する際の認証用パスワード(イレースマスター)の情報である。消去用パスワード602は、RAID制御部302が任意に設定する。
ベンダーパスワード603は、ベンダーが最初に設定していたBandのパスワードの情報である。Bandのパスワードの初期化が行われた際には、このパスワードにBandのパスワードが戻る。
Band番号604〜Band1のパスワード607にはBand1に関する情報が格納される。
Band番号604には、Band1のBand番号である、例えば「0x001」が格納される。Band1のスタートLBA605には、Band1の開始LBAの値が格納される。Band1のLBA範囲606には、Band1のLBAの範囲の情報が格納される。Band1のパスワード607には、Band1のパスワードの情報が格納される。ここで、システム領域であるBand1のパスワードは、RAID制御部302によって作成されるものである。
Band番号608〜有効ビット612にはBand2に関する情報が格納される。Band1と同様に、Band番号、スタートLBA、LBA範囲、パスワードの情報が格納される。有効ビット612の値は、Band2がデータ領域として使用されるか否かを示す。すなわち、Band2がデータ領域として使用される場合は、有効ビット612の値は「1」となり、そうでない場合は「0」となる。
以降、Bandの数の分だけ同様の情報が格納される。図7の例では、Bandの数は1024としているので、Band2の情報に続けて、Band3〜Band1023までの情報が格納され、最後にBand番号613〜有効ビット617にBand1024の情報が格納される。ここで、データ領域として使用するBandのパスワードは、RAID装置308の使用者が決定するものである。一方、データ領域として使用しないBandのパスワードは、RAID制御部302がランダムに決定するものである。
次に、本実施形態における、領域管理テーブルを介してHDD(SED)309へアクセスするRAID制御部302によって認識されるHDD(SED)309のBandの状態の遷移について図8〜図11を参照して説明する。尚、以下では、上記までと同様、システム領域として使用するBandは、Band1とする。また、以下の説明においては、上述したように、HDD(SED)309にBandを設定するという動作は、具体的には、RAID制御部302が、設定するBandの範囲情報を、設定するBand番号に対応付けて領域管理テーブルに設定する動作を指す。また、Bandの設定を解除するという動作は、具体的には、RAID制御部302が、領域管理テーブルおけるBandの範囲情報の値を0に設定する動作を指す。よって、Bandの設定の前後で、HDD(SED)309に格納されているデータが変更されるわけではない。
まず、RAID制御部302によって認識される、データ領域として使用するBandの初期設定時におけるHDD(SED)309の状態変化について説明する。
HDD(SED)309をRAID装置308に搭載し使用する際に、Band2−BandXのうち、データ領域として使用するBandをRAID制御部302がランダムに決定する。データ領域として使用するBandの数はRAID装置308の使用者によって指定され、RAID制御部302は、指定された数のBandをデータ領域として設定する。RAID制御部302が決定したBand番号については、RAID装置308の使用者は番号を確認することができない。本実施形態の以下の説明では、データ領域として使用するBandとして、Band2が選択されたとする。
図8(a)及び図8(b)は、データ領域として使用するBand2の領域を設定する際の様子を説明するための図である。データ領域として使用するBandが何も設定されていない場合は、HDD(SED)309は、システム領域であるBand1の領域と、グローバルバンド(Band0)の領域となっている(図8(a))。一方、RAID制御部302がBand2の領域を設定すると、図8(b)に示すように、RAID制御部302は、Band0の領域をBand2の領域として認識する。尚、図8(b)では、Band0の領域全てがBand2として認識されているが、実際にBand2として設定される領域は、スタートLBA503、LBA範囲504で指定した範囲である。
また、データ領域として使用するBand2のパスワードが、RAID装置308の使用者により設定される。すなわち、認証情報格納部315に、RAID装置308の使用者が設定したパスワードの情報が、Band番号と対応付けて格納される。
次に、Band2のBand番号「2」とBand2のスタートLBA、LBA範囲の情報がBand1に格納される。
次に、すべてのBandの情報が管理情報格納部310に管理情報として保存される。すなわち、管理情報格納部310に格納される管理情報のBand番号、スタートLBA、LBA範囲及びパスワードが、Band毎に設定される。また、管理情報格納部310に格納される管理情報のBand2のパスワード611に、RAID装置308の使用者が設定したパスワードの情報が格納される。データ領域としては使用しないBand2以外のBand0−BandXのパスワードは、RAID制御部302によりランダムに設定される。さらに、データ領域として使用されるBandの有効ビットが「1」に設定される。
尚、データ領域として使用する領域の設定と、Band1への情報の格納と、管理情報格納部310への情報の格納とは、処理の順番が前後してもよい。
次に、RAID制御部302によって認識される運用時のHDD(SED)309の状態変化について説明する。
図9は、RAID制御部302によって認識される運用時のHDD(SED)309の状態を説明するための図である。運用時、HDD(SED)309は、データ領域であるBandが設定されている状態と、データ領域であるBandの設定が解除されている状態の二つの状態の切り替えが行われる。
ホストコンピュータ301からの入出力がある場合には、領域管理テーブルにおける、データ領域のBand(図9の例ではBand2)の番号に対応するLBA範囲情報に、正しい範囲情報が設定されている状態で運用される。この状態は、RAID制御部302からは、HDD(SED)309に、システム領域であるBand1とデータ領域であるBand2が設定されている状態として認識される。
データの入出力は、データ領域として設定されたBand2に対して行われる(図9(a))。すなわち、実際に格納されるデータは、Band2に対応する暗号化キーにより暗号化され、HDD(SED)309のBand2の領域に格納される。例えば、図9(a)の例では、ホストコンピュータ301から、Band2に対して、11223344が書き込まれている。
ホストコンピュータ301から入出力がない場合は、領域管理テーブルに設定されたBand2の範囲情報の値が0に設定されている状態となる。この状態は、RAID制御部302からは、HDD(SED)309に、システム領域であるBand1とグローバルバンド(Band0)が設定されている状態として認識される(図9(b))。
図9(b)の状態では、HDD(SED)309のデータが読み出される際には、Band0の暗号化キーを用いてデータの復号が行われるため、Band2に設定されているときに書き込まれたデータは読み出すことができない。従って、図9(a)で入力された11223344のデータは、図9(b)の状態で読み出されることはない。
また、RAID制御部302から、HDD(SED)309をRAID装置308から切り離す命令が発行された場合も、図9(b)の状態になる。実際の切り離しは、図9(b)の状態に切り替わった後、管理情報格納部310からデータ領域として使用されたBandの情報が削除された後に行われる。
運用時の切替のタイミングについては、RAID制御部302は、所定時間間隔でホストコンピュータ301からBand2に対する入出力があるか否かを判定し、その判定結果に基づいて切り替えを行う。すなわち、判定結果が、入出力有の場合には、図9(a)の状態に切り替え、入出力なしの場合には、図9(b)の状態に切り替える。
このように、ホストコンピュータ301からの入出力要求発生時にのみ、データ領域であるBandを設定するため、常時データ領域のBandを設定している場合に比べて、セキュリティの強化を図ることができる。
次に、RAID制御部302によって認識される、盗難時のHDD(SED)309の状態について説明する。
図10は、RAID制御部302によって認識される、盗難時のHDD(SED)309の状態を説明するための図である。盗難時には、HDD(SED)309は、RAID装置308からの切り離しが行われた状態であるので、図9を参照して説明したように、システム領域であるBand1と、グローバルバンド(Band0)が設定されている状態である(図10(a))。この状態で、仮にBand0のパスワードを用いてBand0の領域が読み出されたとしても、読み出されるデータは、ランダムパターンデータとなる。データ領域に保存されていたデータを意味のあるデータとして読み出すには、まず、領域管理テーブルに、Band2のBand番号と対応付けてBand2の範囲情報を正しく設定しなくてはならない(図10(b))。そして、Band2の範囲情報を正しく設定した上で、さらに、Band2に対応するパスワードの認証に成功しなければならない(図10(c))。従って、単純にパスワードロックのみの場合よりもセキュリティ強化が見込める。仮にLBAの範囲が一致した場合は正しいデータが読み出されてしまうが、その場合でも、Band設定を細分化すれば読み出される範囲も限定的に留めることが出来る。
次に、HDD(SED)309をRAID装置308に再搭載したときのHDD(SED)309の状態について説明する。
図11は、RAID制御部302によって認識される、HDD(SED)309をRAID装置308に再搭載したときの、HDD(SED)309の状態を説明するための図である。HDD(SED)309がRAID装置308に再搭載された直後は、システム領域であるBand1と、グローバルバンド(Band0)が設定されている(図11(a))。再搭載後、Band1のパスワードの認証が、パスワード認証部316により行われる。Band1のパスワード認証が成功した後、データ領域として使用されるBand2の情報がBand1から読み出され、その情報に基づいて、領域管理テーブルにBand2の範囲情報の値が設定される。すなわち、RAID制御部302は、Band0の領域がBand2に設定されたと認識する(図11(b))。
次に、本実施形態における、SED制御の流れを以下で説明する。
図12は、SEDの使用開始から、HDD(SED)309がRAID装置308から切り離されるまでのシーケンス図である。図13は、SEDの使用開始から、HDD(SED)309がRAID装置308から切り離されるまでのフローチャートである。図12と図13で対応するステップの番号は共通して示している。
ホストコンピュータ301からSEDの設定を行うために、まず、RAID制御部302は、データ領域として使用するBandのパスワードの要求を行う(S1101)。ホストコンピュータ301は、RAID制御部302に対して、データ領域として使用するBandのパスワードを入力する(S1102)。
次に、RAID制御部302は、システム領域として使用するBand(本実施形態ではBand1)の設定を行う(S1103)。具体的には、RAID制御部302は、例えば、Band1のスタートLBA、LBA範囲を決定し、また、Band1のパスワードを作成する。そして、決定された値に基づいて、RAID制御部302は、管理情報格納部310の管理情報のBand番号604、Band1のスタートLBA605、Band1のLBA範囲606、Band1のパスワード607の値を設定する。さらに、RAID制御部302は、領域管理テーブルに、Band1の範囲情報を設定する。また、RAID制御部302は、Band1のパスワード情報を、Band1のBand番号と対応付けて、認証情報格納部315に格納する。
次に、RAID制御部302は、データ領域として使用する領域をBand2−BandXからランダムに決定する(本実施形態ではBand2)。
その後、決定されたBand2の情報がBand1のシステム領域に格納される(S1104)。具体的には、Band2のBand番号が、Band番号502に格納され、Band2の開始LBAの値が、スタートLBA503に格納され、Band2のLBA範囲の値が、LBA範囲504に格納される。
また、RAID制御部302は、Band2の情報を管理情報格納部310に格納する。具体的には、RAID制御部302は、Band2の情報を、管理情報格納部310の管理情報のBand番号608、Band2のスタートLBA609、Band2のLBA範囲610、Band2のパスワード611に格納する。ここで、Band2のパスワード611に格納されるパスワードは、S1102でホストコンピュータ301により入力されたパスワードである。また、RAID制御部302は、Band2の有効ビット612の値を「1」にする。
データ領域として使用するBandが複数ある場合には、データ領域として使用する全てのBandの各情報がBand1の管理領域及び管理情報格納部310に格納される。
さらに、RAID制御部302は、Band2のパスワード情報を、Band2のBand番号と対応付けて、認証情報格納部315に格納する。
次に、Band2以外のBand0−BandXのパスワードをRAID制御部302がランダムに作成する。
作成されたパスワードは、Bandの番号、範囲情報とともに、管理情報格納部310に格納される。具体的には、Band2以外のBand0−BandXの情報は、管理情報格納部310の管理情報の、各Bandに対応する、Band番号、スタートLBA、LBA範囲、パスワードに格納される。また、RAID制御部302は、作成されたパスワード情報を、それぞれのBand番号と対応付けて、認証情報格納部315に格納する。
次に、運用時の動作の説明に移る。
運用時には、RAID制御部302は、所定の時間間隔で、ホストコンピュータ301からHDD(SED)309に対してデータの入出力要求が発生したか否かの判定を行う(S1105)。
データの入出力要求が発生した場合、図9(a)に示すようにBand0の領域がBand2に設定される。具体的には、RAID制御部302は、まず、管理情報格納部310の管理情報の有効ビットの値を確認する。そして、有効ビットの値が1であるBandを、データ領域として使用するBandであると判断する(本実施形態ではBand2)。そして、Band2のスタートLBA及びLBA範囲の情報を管理情報格納部310から取得し、取得した範囲情報を、Band2のBand番号と対応付けて領域管理テーブルに設定する。次に、パスワード認証部316によるパスワード認証が行われる。RAID制御部302は、管理情報格納部310に格納されたBand2のパスワードを、パスワード認証部316に入力する。パスワード認証部316は、入力されたパスワードと、認証情報格納部315に格納されたBand2のパスワードとを比較し、比較結果が一致した場合、Band2に対するロックを解除する。その後、設定されたBand2の領域に対して、データの入出力が行われる。(S1106)。
HDD(SED)309に対する入出力が所定時間発生しない場合、RAID制御部302は、領域管理テーブルにおけるBand2の範囲情報を0に設定する(Band2をBand0に書き換える)(S1107)。
さらに、HDD(SED)309に対するデータの入出力が発生した場合はパスワード認証が行われ、認証に成功すると、再度領域管理テーブルの、Band2の範囲情報に対応するBand番号にBand2が設定され(Band0をBand2に書き換える)、Band2の領域に対してデータの入出力が行われる(S1108)。ここで、Band2の設定は、S1106と同様に、管理情報格納部310の情報が用いられて設定される。
次に、HDD(SED)309に異常が発生した場合の説明に移る。
HDD(SED)309に異常が発生した場合(S1109)、RAID制御部302がHDD(SED)309の異常を検出する(S1110)。このとき、RAID装置308からHDD(SED)309を切り離す命令が発行された場合(S1111)、HDD(SED)309を切り離すための前処理が行われる。
HDD(SED)309を切り離す命令が発行された時点で、Band2が設定されている場合、RAID制御部302は、領域管理テーブルにおけるBand2の範囲情報の値を0に設定する(Band2をBand0に書き換える)(S1112)。
その後、RAID制御部302は、データ領域としてBand2が選択されていたという情報を管理情報格納部310から削除する(S1113)。具体的には、RAID制御部302は、管理情報格納部310に格納される管理情報の、Band番号608、Band2のスタートLBA609、Band2のLBA範囲610、及び、Band2のパスワード611の情報を削除する。さらに、RAID制御部302は、有効ビット612の値を「0」にする。このように削除を行うことで、データ領域として使用されていたBand番号及びLBAの範囲情報はストレージ上には残らないため、セキュリティが高まる。
その後、RAID装置308からのHDD(SED)309の切り離しが行われる(S1114)。
図14は、HDD(SED)309がRAID装置308に再搭載され、HDD(SED)309が使用可能になるまでのシーケンス図を示す。図15は、HDD(SED)309がRAID装置308に再搭載され、HDD(SED)309が使用可能になるまでのフローチャートを示す。図14と図15で対応するステップの番号は共通して示している。
HDD(SED)309がRAID装置308に組み込まれると(S1301)、まず、システム領域であるBand1のパスワードの認証が行われる(S1302)。すなわち、RAID制御部302が、管理情報格納部310のBand1のパスワード607に格納されているパスワード情報を、パスワード認証部316に入力する。そして、パスワード認証部316は、入力されたパスワード情報を、認証情報格納部315に格納されているBand1のパスワード情報と比較し、比較の結果が一致した場合、Band1に対するロックを解除する。
Band1の認証に成功すると、RAID制御部302は、データ領域として使用するBand2のBand番号、スタートLBA、LBA範囲の情報を、Band1から取得する(S1303)。具体的には、RAID制御部302は、Band1に格納されている、Band番号502、スタートLBA503、LBA範囲504の情報を取得する(S1304)。(データ領域として使用するBandがBand2以外にも存在する場合は、Band番号505、スタートLBA506、LBA範囲507・・・から情報を取得する。)
次に、RAID制御部302は、取得したBand2の情報を、Band番号608、Band2のスタートLBA609、Band2のLBA範囲610に格納する。また、RAID制御部302は、Band2の有効ビット612の値を「1」にする。
その後、RAID制御部302は、Band2の認証パスワードをホストコンピュータ301に対して要求する(S1305)。
ホストコンピュータ301はBand2のパスワードをRAID制御部302に入力する(S1306)。
次に、RAID制御部302は、ホストコンピュータ301から受け取ったパスワードを、Band2のパスワード611に格納する。次に、Band2のロックを解除するための認証が行われる(S1307)。具体的には、RAID制御部302は、Band2のパスワード611に格納されているパスワード情報を、パスワード認証部316に入力する。そして、パスワード認証部316は、入力されたパスワード情報を、認証情報格納部315に格納されているBand2のパスワード情報と比較し、比較の結果が一致した場合、Band2に対するロックを解除する(S1308)。
パスワード認証が成功した場合、RAID制御部302は、Band0の領域に対してBand2を設定する(S1309)。具体的な設定方法は、S1106における設定方法と同じである。
以上の後、HDD(SED)309が読み書き可能となる(S1310)。
尚、データ領域として使用するBandの数が複数の場合、データ領域として使用するBandの数の分だけ、S1303からS1309の処理が繰り返された後、S1310でHDD(SED)309が使用可能となる。
図16は、本実施形態の情報記憶装置を実現するためのストレージシステムのハードウェア構成を示す図である。RAID装置は、図16に示すように、CPU101、メモリ102、記憶装置103、及び、通信インターフェース106を備える。なお、CPU101、メモリ102、記憶装置103、通信インターフェース106は、例えば、バス108を介して互いに接続されている。
CPU101は、メモリ102を利用して上述のフローチャートの手順を記述したプログラムを実行することにより、アクセス制御部4、識別情報書換部5、取得部8の一部または全部の機能を提供する。
メモリ102は、例えば半導体メモリであり、RAM領域およびROM領域を含む。また、メモリ102は、本実施形態に係わるプログラムが格納される。また、管理情報格納部310に格納される情報がメモリ102に格納されてもよい。なお、メモリ102は、フラッシュメモリ等の半導体メモリであってもよい。
RAID制御部302及びI/O制御部303は、CPU101とメモリ102を用いて、RAID装置308全体を制御し、HDD(SED)309に対する入出力処理を制御する。
記憶装置103は、ホストコンピュータ301から入力されるデータが格納される。
通信インターフェース106は、CPU101の指示又はホストコンピュータ301の指示に従ってネットワークを介してホストコンピュータ301とHDD(SED)309間のデータを送受信する。
本実施形態の制御プログラムは、例えば、下記の形態でストレージシステムに提供される。
(1)メモリ102に予めインストールされている。
(2)ホストコンピュータ301から提供される。
さらに、本実施形態のストレージ装置の一部は、ハードウェアで実現してもよい。或いは、実施形態のストレージ装置は、ソフトウェアおよびハードウェアの組み合わせで実現してもよい。
さらに、暗号化エンジン311、認証情報格納部315、パスワード認証部316は、HDD(SED)309の基板上に搭載されるチップ(半導体部品)で実現してもよい。
本実施形態では、Band1はシステム領域として使用し、Band2をデータ領域として使用するBandに指定したが、それぞれ任意のBand番号であってよい。
また、本実施形態において、RAID制御部302が作成するとしたパスワードは、RAID装置308の使用者が作成するようにしてもよい。また、データ領域として使用するBandのパスワードはRAID装置308の使用者が設定するとしたが、RAID制御部302が作成するようにしてもよい。
また、Bandの数は1024としたが、この値に限定されるものではない。
尚、本実施形態は、以上に述べた実施の形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成または実施形態を取ることができる。
上記実施形態に関し、更に以下の付記を開示する。
(付記1)
記憶領域が割り当てられた記憶部と、
前記記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する識別情報に対応付けて格納する第一の管理情報記憶部と、
前記識別情報に対応するアドレス情報を前記第一の管理情報記憶部から取得して、該アドレス情報に対応する記憶領域へのアクセスを行うアクセス制御部と、
前記第一の管理情報記憶部に格納された前記識別情報を書き換える識別情報書換部と、
を備えることを特徴とする情報記憶装置。
(付記2)
前記記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する第二の識別情報に対応付けて格納する第二の管理情報記憶部を有し、
前記識別情報書換部は、前記第二の管理情報記憶部に格納された前記記憶領域のアドレス範囲に対応する前記第一の管理情報記憶部における識別情報を第二の識別情報に書き換える
ことを特徴とする付記1に記載の情報記憶装置。
(付記3)
前記識別情報書換部は、前記記憶領域に対するアクセスが所定時間発生しない場合、前記識別情報を書き換える
ことを特徴とする付記1または2に記載の情報記憶装置。
(付記4)
前記記憶部は、着脱可能な記憶装置であり、
前記識別情報書換部は、前記記憶部の切り離し命令を外部から受信した場合、前記識別情報を書き換える
ことを特徴とする付記1〜3のうちいずれか1項に記載の情報記憶装置。
(付記5)
前記情報記憶装置は、さらに、
前記識別情報に対応付けて設定される第一の認証情報を格納する第一の認証情報格納部と、
第二の認証情報を取得する取得部と、
前記取得部から取得した前記第二の認証情報と、前記第一の認証情報格納部に格納された前記第一の認証情報とを照合し、該照合の結果が一致した場合、前記アクセス制御部による前記記憶部に対するアクセスを可能にする認証部と、
を備える
ことを特徴とする特徴とする付記1〜4のうちいずれか1項に記載の情報記憶装置。
(付記6)
前記情報記憶装置は、さらに、
前記識別情報書換部による前記第二の管理情報記憶部に対するアクセスを可能にするための第三の認証情報を含む第二の認証情報格納部
を備え、
前記第一の認証情報格納部は、前記第三の認証情報と照合するための第四の認証情報を格納し、
前記認証部は、前記第二の認証情報格納部に格納された前記第三の認証情報を取得し、該取得した第三の認証情報と、前記第一の認証情報格納部に格納された前記第四の認証情報とを照合し、該照合の結果が一致した場合、前記識別情報書換部による前記第二の管理情報記憶部に対するアクセスを可能にする
ことを特徴とする付記1〜5のうちいずれか1項に記載の情報記憶装置。
(付記7)
記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する識別情報に対応付けて格納する第一の管理情報記憶部から、前記識別情報に対応するアドレス情報を取得して、該アドレス情報に対応する記憶領域へのアクセスを行い、
前記第一の管理情報記憶部に格納された前記識別情報を書き換える
処理をコンピュータに実行させることを特徴とする情報記憶装置制御プログラム。
(付記8)
前記記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する第二の識別情報に対応付けて格納する第二の管理情報記憶部に格納された、前記記憶領域のアドレス範囲に対応する前記第一の管理情報記憶部における識別情報を、第二の識別情報に書き換える
処理をコンピュータに実行させることを特徴とする付記7に記載の情報記憶装置。
(付記9)
前記記憶領域に対するアクセスが所定時間発生しない場合、前記識別情報を書き換える
処理をコンピュータに実行させることを特徴とする付記7または8に記載の情報記憶装置。
(付記10)
前記第二の管理情報記憶部に対するアクセスを可能にするための第三の認証情報を含む第二の認証情報格納部に格納された前記第三の認証情報を取得し、該取得した第三の認証情報と、前記第一の認証情報格納部に格納された第四の認証情報とを照合し、該照合の結果が一致した場合、前記第二の管理情報記憶部に対するアクセスを可能にする
処理をコンピュータに実行させることを特徴とする付記7〜9のうちいずれか1項に記載の情報記憶装置。
(付記11)
記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する識別情報に対応付けて格納する第一の管理情報記憶部から、前記識別情報に対応するアドレス情報を取得して、該アドレス情報に対応する記憶領域へのアクセスを行い、
前記第一の管理情報記憶部に格納された前記識別情報を書き換える
処理をコンピュータに実行させることを特徴とする情報記憶装置制御方法。
(付記12)
前記記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する第二の識別情報に対応付けて格納する第二の管理情報記憶部に格納された、前記記憶領域のアドレス範囲に対応する前記第一の管理情報記憶部における識別情報を、第二の識別情報に書き換える
処理をコンピュータに実行させることを特徴とする付記11に記載の情報記憶装置制御方法。
(付記13)
前記記憶領域に対するアクセスが所定時間発生しない場合、前記識別情報を書き換える
処理をコンピュータに実行させることを特徴とする付記11または12に記載の情報記憶装置制御方法。
(付記14)
前記第二の管理情報記憶部に対するアクセスを可能にするための第三の認証情報を含む第二の認証情報格納部に格納された前記第三の認証情報を取得し、該取得した第三の認証情報と、前記第一の認証情報格納部に格納された第四の認証情報とを照合し、該照合の結果が一致した場合、前記第二の管理情報記憶部に対するアクセスを可能にする
処理をコンピュータに実行させることを特徴とする付記11〜13のうちいずれか1項に記載の情報記憶装置制御方法。
1 情報記憶装置
2 記憶部
3 第一の管理情報記憶部
4 アクセス制御部
5 識別情報書換部
6 第二の管理情報記憶部
7 第一の認証情報格納部
8 取得部
9 認証部
10 第二の認証情報格納部

Claims (9)

  1. 記憶領域が割り当てられた記憶部と、
    前記記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する識別情報に対応付けて格納する第一の管理情報記憶部と、
    前記識別情報に対応するアドレス情報を前記第一の管理情報記憶部から取得して、該アドレス情報により示される記憶領域へのアクセスを行うアクセス制御部と、
    前記第一の管理情報記憶部に格納された第一の識別情報を、前記第一の管理情報記憶部において該第一の識別情報に対応付けられている第一のアドレス情報とは異なる第二のアドレス情報に対応付けられた第二の識別情報に書き換える識別情報書換部と、
    を備えることを特徴とする情報記憶装置。
  2. 記憶領域が割り当てられた記憶部と、
    前記記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する識別情報に対応付けて格納する第一の管理情報記憶部と、
    前記識別情報に対応するアドレス情報を前記第一の管理情報記憶部から取得して、該アドレス情報より示される記憶領域へのアクセスを行うアクセス制御部と、
    前記第一の管理情報記憶部に格納された前記識別情報を書き換える識別情報書換部と、
    前記記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する第二の識別情報に対応付けて格納する第二の管理情報記憶部と、
    を備え、
    前記識別情報書換部は、前記第二の管理情報記憶部に格納された前記記憶領域のアドレス範囲に対応する前記第一の管理情報記憶部における識別情報を前記第二の識別情報に書き換える
    ことを特徴とする情報記憶装置。
  3. 記憶領域が割り当てられた記憶部と、
    前記記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する識別情報に対応付けて格納する第一の管理情報記憶部と、
    前記識別情報に対応するアドレス情報を前記第一の管理情報記憶部から取得して、該アドレス情報より示される記憶領域へのアクセスを行うアクセス制御部と、
    前記第一の管理情報記憶部に格納された前記識別情報を書き換える識別情報書換部と、
    を備え、
    前記記憶部は、着脱可能な記憶装置であり、
    前記識別情報書換部は、前記記憶部の切り離し命令を外部から受信した場合、前記識別情報を書き換える
    ことを特徴とする情報記憶装置。
  4. 記憶領域が割り当てられた記憶部と、
    前記記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する識別情報に対応付けて格納する第一の管理情報記憶部と、
    前記識別情報に対応するアドレス情報を前記第一の管理情報記憶部から取得して、該アドレス情報より示される記憶領域へのアクセスを行うアクセス制御部と、
    前記第一の管理情報記憶部に格納された前記識別情報を書き換える識別情報書換部と、
    前記識別情報に対応付けて設定される第一の認証情報を格納する第一の認証情報格納部と、
    第二の認証情報を取得する取得部と、
    前記取得部から取得した前記第二の認証情報と、前記第一の認証情報格納部に格納された前記第一の認証情報とを照合し、該照合の結果が一致した場合、前記アクセス制御部による前記記憶部に対するアクセスを可能にする認証部と、
    を備えることを特徴とする情報記憶装置。
  5. 前記情報記憶装置は、さらに、
    前記識別情報に対応付けて設定される第一の認証情報を格納する第一の認証情報格納部と、
    第二の認証情報を取得する取得部と、
    前記取得部から取得した前記第二の認証情報と、前記第一の認証情報格納部に格納された前記第一の認証情報とを照合し、該照合の結果が一致した場合、前記アクセス制御部による前記記憶部に対するアクセスを可能にする認証部と、
    前記識別情報書換部による前記第二の管理情報記憶部に対するアクセスを可能にするための第三の認証情報を含む第二の認証情報格納部と、
    を備え、
    前記第一の認証情報格納部は、前記第三の認証情報と照合するための第四の認証情報を格納し、
    前記認証部は、前記第二の認証情報格納部に格納された前記第三の認証情報を取得し、該取得した第三の認証情報と、前記第一の認証情報格納部に格納された前記第四の認証情報とを照合し、該照合の結果が一致した場合、前記識別情報書換部による前記第二の管理情報記憶部に対するアクセスを可能にする
    ことを特徴とする請求項に記載の情報記憶装置。
  6. 前記アクセス制御部は、前記識別情報に対応するアドレス情報を前記第一の管理情報記憶部から取得して行う、該アドレス情報により示される記憶領域へのアクセスを、該識別情報に対応する第一の暗号化キーを用いて行い、
    前記識別情報書換部は、前記第一の識別情報を、前記第二のアドレス情報に対応付けられた前記第二の識別情報であって、前記第一の暗号化キーとは異なる第二の暗号化キーにも対応付けられた前記第二の識別情報に書き換える、
    ことを特徴とする請求項1に記載の情報記憶装置。
  7. 前記識別情報書換部は、前記記憶領域に対するアクセスが所定時間発生しない場合、前記識別情報を書き換える
    ことを特徴とする請求項1から6のうちのいずれか一項に記載の情報記憶装置。
  8. 記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する識別情報に対応付けて格納する第一の管理情報記憶部から、前記識別情報に対応するアドレス情報を取得して、該アドレス情報により示される記憶領域へのアクセスを行い、
    前記第一の管理情報記憶部に格納された第一の識別情報を、前記第一の管理情報記憶部において該第一の識別情報に対応付けられている第一のアドレス情報とは異なる第二のアドレス情報に対応付けられた第二の識別情報に書き換える
    処理をコンピュータに実行させることを特徴とする情報記憶装置制御プログラム。
  9. 記憶領域のアドレス範囲を示すアドレス情報を、前記記憶領域を識別する識別情報に対応付けて格納する第一の管理情報記憶部から、前記識別情報に対応するアドレス情報を取得して、該アドレス情報により示される記憶領域へのアクセスを行い、
    前記第一の管理情報記憶部に格納された第一の識別情報を、前記第一の管理情報記憶部において該第一の識別情報に対応付けられている第一のアドレス情報とは異なる第二のアドレス情報に対応付けられた第二の識別情報に書き換える
    処理をコンピュータに実行させることを特徴とする情報記憶装置制御方法。
JP2012082770A 2012-03-30 2012-03-30 情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法 Expired - Fee Related JP5938997B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2012082770A JP5938997B2 (ja) 2012-03-30 2012-03-30 情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法
EP13158535.8A EP2662798A1 (en) 2012-03-30 2013-03-11 Information storage device and method
US13/832,327 US9195398B2 (en) 2012-03-30 2013-03-15 Information storage device and method
CN2013100928059A CN103365605A (zh) 2012-03-30 2013-03-21 信息存储设备及方法
KR1020130031750A KR101476030B1 (ko) 2012-03-30 2013-03-25 정보 기억 장치, 정보 기억 장치 제어 방법 및 기록 매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012082770A JP5938997B2 (ja) 2012-03-30 2012-03-30 情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法

Publications (2)

Publication Number Publication Date
JP2013214135A JP2013214135A (ja) 2013-10-17
JP5938997B2 true JP5938997B2 (ja) 2016-06-22

Family

ID=47845807

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012082770A Expired - Fee Related JP5938997B2 (ja) 2012-03-30 2012-03-30 情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法

Country Status (5)

Country Link
US (1) US9195398B2 (ja)
EP (1) EP2662798A1 (ja)
JP (1) JP5938997B2 (ja)
KR (1) KR101476030B1 (ja)
CN (1) CN103365605A (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9117086B2 (en) 2013-08-28 2015-08-25 Seagate Technology Llc Virtual bands concentration for self encrypting drives
US9304709B2 (en) 2013-09-06 2016-04-05 Western Digital Technologies, Inc. High performance system providing selective merging of dataframe segments in hardware
JP6433821B2 (ja) * 2015-03-03 2018-12-05 株式会社広田製作所 アクセス管理装置およびアクセス管理システム
US10516533B2 (en) * 2016-02-05 2019-12-24 Mohammad Mannan Password triggered trusted encryption key deletion
JP2019133345A (ja) * 2018-01-30 2019-08-08 東芝メモリ株式会社 データ蓄積装置、データ処理システムおよびデータ処理方法
CN114968129B (zh) * 2022-07-28 2022-12-06 苏州浪潮智能科技有限公司 磁盘阵列冗余方法、系统、计算机设备和存储介质

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002229859A (ja) 2001-01-31 2002-08-16 Toshiba Corp ディスク記憶装置及び同装置に適用する認証方法
JP4484529B2 (ja) 2004-01-13 2010-06-16 アルパイン株式会社 セキュリティシステム及びセキュリティ方法
JP2005301708A (ja) * 2004-04-13 2005-10-27 Hitachi Ltd 記憶装置システムにおけるソフトウェア管理方法及び記憶装置システム
KR100876084B1 (ko) * 2007-02-13 2008-12-26 삼성전자주식회사 플래시 저장 장치로 삭제 정보를 전달할 수 있는 컴퓨팅시스템
US8244958B2 (en) 2005-05-09 2012-08-14 Sandisk Il Ltd. Method and system for facilitating fast wake-up of a flash memory system
JP2008084094A (ja) * 2006-09-28 2008-04-10 Hitachi Ltd 記憶システム及びその管理方法並びに記憶制御装置
JP5042660B2 (ja) 2007-02-15 2012-10-03 株式会社日立製作所 ストレージシステム
JP2008282440A (ja) 2007-05-08 2008-11-20 Funai Electric Co Ltd 情報記録再生装置
US20090328238A1 (en) * 2007-06-29 2009-12-31 David Duncan Ridewood Glendinning Disabling encrypted data
JP4961319B2 (ja) * 2007-10-11 2012-06-27 株式会社日立製作所 仮想ボリュームにおける仮想領域に動的に実領域を割り当てるストレージシステム
JP4906674B2 (ja) * 2007-10-25 2012-03-28 株式会社日立製作所 仮想計算機システム及びその制御方法
US8291194B2 (en) * 2009-11-16 2012-10-16 Mediatek Inc. Methods of utilizing address mapping table to manage data access of storage medium without physically accessing storage medium and related storage controllers thereof
JP5691418B2 (ja) * 2010-11-11 2015-04-01 富士通株式会社 ストレージ装置、記憶装置、制御装置および記憶装置制御方法

Also Published As

Publication number Publication date
EP2662798A1 (en) 2013-11-13
US9195398B2 (en) 2015-11-24
KR20130111352A (ko) 2013-10-10
CN103365605A (zh) 2013-10-23
US20130262795A1 (en) 2013-10-03
KR101476030B1 (ko) 2014-12-23
JP2013214135A (ja) 2013-10-17

Similar Documents

Publication Publication Date Title
US8464073B2 (en) Method and system for secure data storage
US8356184B1 (en) Data storage device comprising a secure processor for maintaining plaintext access to an LBA table
US10331376B2 (en) System and method for encrypted disk drive sanitizing
JP5938997B2 (ja) 情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法
EP2335181B1 (en) External encryption and recovery management with hardware encrypted storage devices
KR102139179B1 (ko) 보안 서브시스템
US20090046858A1 (en) System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key
US20080181406A1 (en) System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key
US20130191636A1 (en) Storage device, host device, and information processing method
JP2007207239A (ja) セキュリティ応用のための柔軟性を有し保護されたアクセスを与える記憶装置
US7818567B2 (en) Method for protecting security accounts manager (SAM) files within windows operating systems
EP1953668A2 (en) System and method of data encryption and data access of a set of storage devices via a hardware key
TW201207862A (en) Memory identification code generating method, management method, controller and storage system
US20190324678A1 (en) System and Method for Encrypted Disk Drive Sanitizing
US20220123932A1 (en) Data storage device encryption
KR20090049888A (ko) 이동형 데이터 저장 장치의 로우 영역을 이용하여 보안기능을 구현한 데이터 처리 방법 및 이를 구현하기 위한장치
US20220059130A1 (en) System and method for encrypted disk drive sanitizing
KR101648262B1 (ko) Ssd에 적합한 보안 삭제 기능을 가진 패스워드 기반의 암호화 파일 관리 방법 및 이들을 이용한 암호화 파일 관리 시스템
US11995223B2 (en) Data storage device encryption
CN117235772B (zh) 数据处理方法、装置、计算机设备及介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150812

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150924

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160419

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160502

R150 Certificate of patent or registration of utility model

Ref document number: 5938997

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees