JP6055047B1 - 不揮発性記憶装置の消去システム、不揮発性記憶装置、外部消去装置および方法 - Google Patents

不揮発性記憶装置の消去システム、不揮発性記憶装置、外部消去装置および方法 Download PDF

Info

Publication number
JP6055047B1
JP6055047B1 JP2015158616A JP2015158616A JP6055047B1 JP 6055047 B1 JP6055047 B1 JP 6055047B1 JP 2015158616 A JP2015158616 A JP 2015158616A JP 2015158616 A JP2015158616 A JP 2015158616A JP 6055047 B1 JP6055047 B1 JP 6055047B1
Authority
JP
Japan
Prior art keywords
erase
erasing
data
storage device
control block
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015158616A
Other languages
English (en)
Other versions
JP2017037497A (ja
Inventor
菅原 隆
隆 菅原
重文 織田大原
重文 織田大原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Singapore Pte Ltd
Original Assignee
Lenovo Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Singapore Pte Ltd filed Critical Lenovo Singapore Pte Ltd
Priority to JP2015158616A priority Critical patent/JP6055047B1/ja
Application granted granted Critical
Publication of JP6055047B1 publication Critical patent/JP6055047B1/ja
Publication of JP2017037497A publication Critical patent/JP2017037497A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Memory System (AREA)

Abstract

【課題】故障した電子機器が搭載する不揮発性記憶装置のデータを消去する。【解決手段】不揮発性半導体メモリ301は、動作モード切換部400と、コントロール・ブロック303とフラッシュ・メモリ305を含む。不揮発性記憶装置には、電源切換回路307とコネクタ309が接続されている。ホスト・システム11およびシステム電源13aが停止したときに、コネクタに接続された外部消去装置500が不揮発性記憶装置に対して電力の供給と消去コマンドの転送をする。消去コマンドを受け取った動作モード切換部は、コントロール・ブロックに消去コマンドを送って消去モードで動作させる。消去モードで動作した不揮発性記憶装置はフラッシュ・メモリが記録するデータを消去する。電子機器100が故障してホスト・システムが動作しないときにもデータを消去できる。【選択図】図2

Description

本発明は、不揮発性記憶装置が記録しているデータに対して再生不能化処理をする技術に関し、さらには、オンボード実装の不揮発性記憶装置を搭載する電子機器が故障したときに再生不能化処理を可能にする技術に関する。
電気的な書き換えが可能なフラッシュ・メモリを実装したソリッド・ステート・ドライブ(SSD)が、従来のハードディスク・ドライブ(HDD)に代わってコンピュータやタブレット端末などに採用されてきている。SSDは、フラッシュ・メモリやコントローラを実装したカードをマザー・ボードのコネクタに差し込む着脱タイプと、フラッシュ・メモリやメモリ・コントローラを組み込んだパッケージを半田でマザー・ボードに実装するいわゆるオンボード・タイプのものがある。
また、SSDと似た記憶装置にeMMC(embedded Multi-Media Card)がある。eMMCは、フラッシュ・メモリやコントローラを含むパッケージをBGA(Ball Grid Array)でマザー・ボードに実装する。通常SSDはSATA(Serial ATA)のインターフェースを採用し、eMMCはMMCのインターフェースを採用している。特許文献1は、データの漏洩を防止するためにNAND型フラッシュ・メモリのデータを消去する発明を開示する。同文献には、ホスト装置からNAND型フラッシュ・メモリに消去対象となるパーティション番号を指定した消去コマンドを発行して全データを消去することを記載する。
特許文献2は、SSDの廃棄や再利用の際の機密情報の消去に関する発明を開示する。同文献には、SSDを廃棄や再利用するときにホスト装置からコマンドを送ってパーティションに記憶するデータを暗号化した暗号キーを消去することで機密情報を保護することを記載する。
特開2010−176398号公報 特開2010−288123号公報
Revision 1 Department of Defense Overprint to the NATIONAL INDUSTRIAL SECURITY PROGRAM OPERATING MANUAL SUPPLEMENT、[online]、1 April 2004、National Industrial Security Program、インターネット〈URL: http://www.cdse.edu/documents/cdse/DoD5220-22M_DoD_Overprint.pdf〉
オンボード・タイプのSSDやeMMC(これらを総称して以後、オンボード・ストレージという。)は、近年、小型のコンピュータ、タブレット端末、スマートフォンなどの電子機器に実装されるようになったことに伴い、機密情報を記録することが多くなってきた。オンボード・ストレージを搭載する電子機器が故障して修理を依頼したり廃棄したりする場合は、ユーザの手から離れる前に機密情報を消去する必要がある。
電子機器が正常に動作する場合は、ホスト・システムから消去コマンドを送ってデータを消去できる場合もあるが、故障した場合はホスト・システムの動作が停止するため、特許文献1、2に記載するような方法で消去することはできない。廃棄する場合は、オンボード・ストレージを物理的に破壊することも可能であるが専門的な知識と経験が要求され手間もかかる。さらに、修理する場合は、再利用の可能性が高いオンボード・ストレージを事前に破壊することは望ましいことではない。
結果的に、機密情報を記録したオンボード・ストレージを搭載する電子機器が修理者である第3者の手に委ねられたり、そのまま破棄されたりすることがありユーザは機密漏洩の不安に陥る。これを解決するために、オンボード・ストレージに、パスワードを設定する方法がある。しかし、オンボード・ストレージを手中に収めた第3者は、さまざまな方法でパスワードをクリアする可能性がある。またパスワードを設定しても、記録媒体が平文のデータを記録していれば、第3者が直接記録媒体にアクセスしてデータを取り出すことが可能になる。
オンボード・ストレージがOSを格納したブート・ドライブの場合は、故障原因の特定や動作確認のために当該OSの動作が必要な場合があり、パスワードの開示を要求される場合もある。非特許文献1に記載のNISPOM(National Industrial Security Program Operating Manual)では、情報処理装置のメーカに対して、廃棄や修理などのために磁気抵抗メモリやEEPROMについて磁気的な処理や紫外線処理で機密情報を消去するサニタイゼーション・マニュアルを要求するが、フラッシュ・メモリなどの他の不揮発性メモリについても同様に対応できることが望ましい。
そこで本発明の目的は、不揮発性記憶装置が記録するデータに対して再生不能化処理をする消去システムを提供することにある。さらに本発明の目的は、電子機器が故障したときにも実行が可能な消去システムを提供することにある。さらに本発明の目的は、専門的な知識や設備を必要としない消去システムを提供することにある。さらに本発明の目的は、誤ってデータを消去したり悪意をもってデータを消去したりすることが困難な消去システムを提供することにある。さらに本発明の目的は、そのような消去システムを搭載した電子機器、消去システムを構成する不揮発性記憶装置、外部消去装置および再生不能化処理の方法を提供することにある。
本発明の第1の態様は、電子機器に搭載する不揮発性記憶装置の消去システムを提供する。消去システムは、記録媒体と、記録媒体が記録する消去対象データに対して再生不能化処理を実行する消去モードまたはホスト・システムからのアクセスに応答して動作する通常モードで動作することが可能なコントロール・ブロックと、コントロール・ブロックに消去モードで動作させるための消去コマンドを送る動作モード切換部と、動作モード切換部に再生不能化処理の指示をするユーザ・インターフェースとを有する。
コントロール・ブロックは、動作モード切換部から消去コマンドを受け取って消去モードで動作することができるため、故障でホスト・システムが動作できない場合でも再生不能化処理ができる。よって、電子機器が故障して修理に出す場合に機密情報を保護することができる。再生不能化処理は、消去対象データを暗号化する暗号キーの消去とすることができる。記録媒体の消去対象データが暗号化されている場合は、消去対象データよりも暗号キーを消去した方が短時間で再生不能化処理を完了できる。
不揮発性記憶装置はマザー・ボードにオンボードで実装することができる。オンボードの不揮発性記憶装置は電子機器が故障した場合に再生不能化処理が困難なため、本発明にかかる消去システムは特に有用である。ユーザ・インターフェースは、消去コマンドを出力する外部消去装置の接続が可能でマザー・ボードに実装された端子構造を含んでもよい。端子構造がマザー・ボードに実装されていると、外部消去装置の接続のために電子機器の筐体を開放する必要があるため、誤った操作または悪意のある操作を防ぐことができる。
外部消去装置が不揮発性記憶装置を消去モードで動作させるための電源を含むことができる。この場合、ホスト・システムおよび不揮発性記憶装置に電力を供給するシステム電源と端子構造に接続され、システム電源または外部消去装置のいずれかから不揮発性記憶装置に電力を供給することが可能な電源切換部を設けてもよい。外部消去装置が電源の供給と消去コマンドの出力が可能であるため、ユーザは電子機器が故障したときであっても外部消去装置を端子構造に接続するだけで再生不能化処理を実行できる。コントロール・ブロックは端子構造を通じて再生不能化処理を検証した結果を外部消去装置に出力することができる。
本発明の第2の態様にかかる消去システムは、記録媒体と、記録媒体が記録する消去対象データに対して再生不能化処理を実行する消去モードまたはホスト・システムからのアクセスに応答して動作する通常モードで動作することが可能なコントロール・ブロックと、コントロール・ブロックに消去モードで動作させるための消去信号を送るユーザ・インターフェースとを有する。コントロール・ブロックは、消去信号を受け取ると消去モードで動作することができるため、消去コマンドを受け取る機構が不要になる。
ユーザ・インターフェースは、マザー・ボードに実装された短絡ジャンパー・ピンとすることができる。短絡ジャンパー・ピンは、簡単な機構で実現できる。短絡ジャンパー・ピンの装着は特別な操作であり、かつ、マザー・ボードの開放を必要とするため、ユーザが誤って再生不能化処理をすることを防ぐことができる。ユーザ・インターフェースはまた、マザー・ボードに実装したコントロール・ブロックが再生不能化処理を検証した結果を表示する表示部を備えるようにしてもよい。
AC/DCアダプタから受け取った電力をホスト・システムおよび不揮発性記憶装置に供給するシステム電源をバイパスしてAC/DCアダプタから受け取った電力を不揮発性記憶装置に供給する予備電源を備えていてもよい。電子機器が搭載するシステム電源が故障したり、電池ユニットが放電したりした場合でも、AC/DCアダプタの電源で再生不能化処理をすることができる。
本発明の第3の態様は、ホスト・システムのバスとホスト・システムのバスとは異なるサイド・バンドのいずれかに切り換える動作モード切換部からコマンドを受け取ることができる不揮発性記憶装置にデータの再生不能化処理を実行させる外部消去装置を提供する。外部消去装置は、マザー・ボードに設けたサイド・バンドの端子構造に接続が可能な接続部と、動作モード切換部をサイド・バンドに切り換え、不揮発性記憶装置に再生不能化処理を実行させるための消去コマンドを出力する消去コントローラとを有する。外部消去装置は、不揮発性記憶装置に電力を供給する電源または不揮発性記憶装置から受け取った消去処理の完了を示すデータを表示する表示部を有していてもよい。
本発明の第4の態様は、故障した電子機器のマザー・ボードにオンボード実装された不揮発性記憶装置が記憶するデータに対して不揮発性記憶装置が再生不能化処理をする方法を提供する。不揮発性記憶装置がホスト・システムに電力を供給するシステム電源とは異なる予備電源から電力の供給を受け、マザー・ボードに形成されたホスト・システムのバスとは異なるサイド・バンドで再生不能化処理の指示を受け、指示に応じて不揮発性記憶装置が再生不能化処理をする。電子機器が故障した場合でも、不揮発性記憶装置を電子機器に搭載したままで予備電源を確保しながら、サイド・バンドを使って再生不能化処理をさせることができる。
本発明により、不揮発性記憶装置が記録するデータに対して再生不能化処理をする消去システムを提供することができた。さらに本発明により、電子機器が故障したときにも実行が可能な消去システムを提供することができた。さらに本発明により、専門的な知識や設備を必要としない消去システムを提供することができた。さらに本発明により、誤ってデータを消去したり悪意をもってデータを消去したりすることが困難な消去システムを提供することができた。さらに本発明により、そのような消去システムを搭載した電子機器、消去システムを構成する不揮発性記憶装置、外部消去装置および再生不能化処理の方法を提供することができた。
本実施の形態にかかる消去システム200の概要を説明するための機能ブロック図である。 電子機器100に適用した消去システム300を説明するための概略的な機能ブロック図である。 消去システム300を構成する不揮発性半導体メモリ301の一例を説明するための概略的な機能ブロック図である。 不揮発性半導体メモリ301を構成するコントロール・ブロック303の一例を説明するための概略的な機能ブロック図である。 消去システム300を構成する外部消去装置500の一例を説明するための概略的な機能ブロック図である。 外部消去装置500を利用して不揮発性半導体メモリ301が再生不能化処理をする手順を説明するためのフローチャートである。 電子機器100に適用した消去システム700を説明するための概略的な機能ブロック図である。 コントロール・ブロック703の一例を説明するための概略的な機能ブロック図である。
[定義]
最初に、本明細書で使用する特別な用語の意味を説明する。不揮発性記憶装置(non-volatile storage)とは、電力の供給を停止しても記憶を保持できる記録媒体と記録媒体にアクセスするコントロール・ブロックを組み合わせた記憶装置をいう。記録媒体は、EEPROM、NAND型またはNOR型のフラッシュ・メモリ、抵抗変化型メモリ(ReRAM)、および強誘電体メモリ(FeRAM)などの不揮発性半導体メモリでもよいし、磁気ディスク、磁気コア・メモリ、磁気バブル・メモリ、および光ディスクのような半導体以外のメディアでもよい。
利用面での不揮発性記憶装置は、OSを格納してブート・ドライブとして機能するSSDやeMMCでもよいし、データを補助的に記録する不揮発性半導体メモリであってもよい。修理の際に動作状態の確認のためにロックしておくことができないブート・ドライブに本発明を適用することは効果的である。また、補助的な不揮発性半導体メモリとして、システム・ファームウェアだけがアクセスできるようにブート段階でプロセッサの制御をOSに渡す前にコントローラをロックする機構を備えたセキュアな記憶装置がある。
記録媒体は種類に応じて再生不能化処理の方法が異なるが、本発明では記録媒体ごとにコントロール・ブロックが実行できる周知の方法を採用できる。オンボードとは、半導体パッケージや電気的な素子が備えるリード線や電極パッドをマザー・ボードに半田で直接接続することをいう。オンボードは、マザー・ボードに実装されたソケットに半導体パッケージの端子を挿入する方法とは対照的な接続方法である。オンボード実装したデバイスは、専門的な知識や特殊な工具がないユーザが取り外すことは困難である。特にユーザが、修理にだす前にマザー・ボードを損傷しないようにしながら当該デバイスだけを取り外すことは不可能に近い。
ホスト・システムとは、電子機器を構成するCPU、システム・メモリ、チップ・セットおよび入出力デバイスなどのハードウェアと、デバイス・ドライバ、オペレーティング・システム、およびアプリケーション・プログラムなどのソフトウェアの協働で構成され、不揮発性記憶装置に対するアクセスが可能な装置をいう。なお、ホスト・システムは、キーボードやディスプレイなどのユーザ・インターフェースも含んでいる。
データの消去または再生不能化処理とは、記録媒体に記録したデータを再生できない状態にする処理をいう。本明細書においては、適宜データの消去または再生不能化処理という用語を使用するが不揮発性記憶装置が行うこれらの処理について両者は同義である。記録媒体のすべての物理ブロック・アドレス(PBA)に0または1を書き込んだりランダムなデータを書き込んだりして元のデータを再生できないようにすることは再生不能化処理に含む。また、電気的処理、磁気的処理または紫外線照射処理などをして論理的な記憶状態を破壊することも再生不能化処理に含む。記録媒体が平文のデータを記録するときに、論理ブロック・アドレスと物理ブロック・アドレスをマッピングするアドレス管理テーブルだけを消去することは、記録媒体にデータが残るので本実施の形態における再生不能化処理に含めない。
不揮発性記憶装置が、記録媒体のデータを暗号化した暗号キーを保有する場合に、当該暗号キーを廃棄する行為は再生不能化処理に含む。不揮発性記憶装置に記録する前にホスト・システムのOSがデータを暗号化して当該暗号キーを保有する場合に、当該暗号キーを廃棄する行為も再生の不能化に相当するが、ホスト・システムが故障した場合は消去ができなくなるため、本実施の形態における再生不能化処理の範疇から外れる。
ユーザはホスト・システムを通じて不揮発性記憶装置に記録した不要なファイルを消去する場合がある。このとき、OSのファイル・システムが、論理ブロック・アドレス(LBA)のステータスを未使用または空きに設定する。このとき、ユーザからはデータが消去されたようにみえ、また、OSは当該LBAに新しいデータを書き込むことができる。しかし、新しいデータが書き込まれるまで対応するPBAには、元のデータが残っているためこのようなOSによるデータの消去は再生不能化処理に含まない。
消去対象データは、上記の「再生不能化処理」の定義にしたがって処理されるデータをいう。不揮発性記憶装置が記録または保有するデータには、不揮発性記憶装置だけが使用するシステム・データ、記録媒体のデータを不揮発性記憶装置が暗号化する際に使用する暗号キー、ホスト・システムが作成したユーザ・データおよびホスト・システムが実行するプログラムを含む。ユーザ・データは消去対象データに相当する。ユーザ・データは、消去対象データと非消去対象データに分けて記録することもできる。プログラムは、著作権に対するライセンス契約の面で第3者に渡る可能性を排除するために消去対象データに含めることができる。不揮発性記憶装置が保有する、記録媒体のデータを暗号化した暗号キーは消去対象データに相当する。暗号キーは記録媒体ではなく、コントローラのROMに記録されている場合もある。
[消去システム]
図1は、電子機器100が搭載する消去システム200の概要を説明するための機能ブロック図である。電子機器100は、ノートブック型パーソナル・コンピュータ、デスクトップ型パーソナル・コンピュータ、タブレット端末またはスマートフォンなどの不揮発性記憶装置の搭載が可能な装置である。電子機器100は、既存システム10と本実施の形態にかかる消去システム200を搭載している。既存システム10は、ホスト・システム11とシステム電源13を含んでいる。
消去システム200は、予備電源201、ユーザ・インターフェース203、動作モード切換部205、および不揮発性記憶装置207を含んでいる。ホスト・システム11は従来の不揮発性記憶装置も含んでいる。ホスト・システム11は不揮発性記憶装置207にアクセスすることが可能であるため、電子機器100に消去システム200が搭載されたときにホスト・システム11は不揮発性記憶装置を含む必要がない。
OSまたはシステム・ファームウェアを実行するホスト・システム11は、不揮発性記憶装置207にコマンドを送り、データの記録、読み取りおよび消去をする。ホスト・システム11に応答する不揮発性記憶装置207の動作を通常モードという。なお、通常モードには、ウェアレベリングや断片化処理(デフラグメンテーション)などの不揮発性記憶装置207が独自のアルゴリズムで実行する動作も含む。不揮発性記憶装置207は、ユーザ・インターフェース203からの指示で消去対象データに対する再生不能化処理をする動作およびこれに関連する動作をする。このときの不揮発性記憶装置207の動作を消去モードという。
ある種のホスト・システム11は、不揮発性記憶装置207のデータを消去するために消去コマンドを送ることができる。消去コマンドを受け取った不揮発性記憶装置207は消去対象データを消去する。一般的なホスト・システムでは、OSは消去コマンドをサポートしていないが、ブート時に実行するシステム・ファームウェアが消去コマンドを利用できる。システム・ファームウェアは、ブート処理をOSに渡すときに不揮発性記憶装置にホスト・システムからの消去コマンドをブロックするように設定する。
不揮発性記憶装置207がホスト・システム11からの消去コマンドでデータを消去する動作を本実施の形態にかかる再生不能化処理に利用できる。ただし、本実施の形態にかかる再生不能化処理の動作は、不揮発性記憶装置がホスト・システムからの消去コマンドに応答する動作とは異なるものであってもよい。故障によりホスト・システム11またはシステム電源13が動作しないときは、ホスト・システム11が消去コマンドを送ることができないか、あるいは不揮発性記憶装置207が再生不能化処理を実行できない。
本実施の形態にかかる消去モードの動作は、ホスト・システム11からの消去コマンドではなく、動作モード切換部205からの消去コマンドで開始するため、電子機器100が故障した場合でも再生不能化処理を実行できる。本発明は、電子機器100が故障した場合に、ユーザに再生不能化処理の手段がないか困難なオンボード実装の不揮発性記憶装置207に適用すると効果的である。ただし、本発明は、システム・ファームウェアのインターフェースに慣れていないユーザおよびホスト・システム11が消去コマンドをサポートしていない場合においても有益である。したがって、本発明はオンボード実装に限定する必要はなく、さらに、電子機器100が故障した場合に限定して適用する必要もない。
システム電源13は、AC/DCアダプタ、電池ユニット、充電器、およびDC/DCコンバータなどで構成しており、ホスト・システム11および不揮発性記憶装置207に所定の電圧の電力を供給する。ホスト・システム11が故障したときは、システム電源13が不揮発性記憶装置207に対する電力供給を継続するできる場合と電力供給できない場合がある。予備電源201は、電子機器100が故障してシステム電源13が電力を供給できないときに、不揮発性記憶装置207に消去モードで動作させるために必要な電力を供給する。
ユーザ・インターフェース203は、不揮発性記憶装置207を消去モードで動作させるためのユーザの指示またはユーザの操作を処理して動作モード切換部205に通知する。ユーザ・インターフェース203は、不揮発性記憶装置207がデータの再生不能化処理を完了した結果を表示することができる。動作モード切換部205は、ユーザ・インターフェース203からの指示で不揮発性記憶装置207を消去モードで動作させるためのインターフェースを提供する。
図1は、消去システム200の具体的な構成、配置および既存システム10および不揮発性記憶装置207に対する接続のタイミングなどの要素を特定していない。消去システム200を実現するこれらの要素にはさまざまな態様がある。たとえば、動作モード切換部205は、不揮発性記憶装置207の一部として組み込むこともできる。また、予備電源201は、システム電源13の一部を利用することもできる。以下においては消去システム200の、典型的な2つの実施態様を説明するが、本発明の範囲はこれらの実施態様に限定するものではなく、これらの実施態様から当業者が容易に想起し得る概念を包摂する。
[第1の実施態様]
図2は、電子機器100に適用した消去システム300を説明するための概略的な機能ブロック図である。図3は、消去システム300を構成する不揮発性半導体メモリ301の一例を説明するための概略的な機能ブロック図である。図4は、不揮発性半導体メモリ301を構成するコントロール・ブロック303の一例を説明するための概略的な機能ブロック図である。図5は、消去システム300を構成する外部消去装置500の一例を説明するための概略的な機能ブロック図である。
本願に添付する図面では、同一の要素または軽微な変更があるが発明の理解の上で同一とみなせる要素には同一の参照番号を付して説明を簡略化するかまたは省略する。図2において、レセプタクル19は、電子機器100の筐体に外部からプラグを接続できるように取り付けている。レセプタクル19に接続するプラグ51と商用電源のアウトレットに接続するプラグ55を含むAC/DCアダプタ53は、システム電源13aに直流電圧の電力を供給する。システム電源13aは、電池ユニット、充電器、およびDC/DCコンバータを含んでいる。
システム電源13aは、ホスト・システム11および電源切換部307を経由して不揮発性半導体メモリ301に複数の電圧で電力を供給する。電源切換部307は、一例としてダイオードを並列に接続したワイヤードOR回路で構成しており、入力をシステム電源13aとコネクタ309に接続し出力を不揮発性半導体メモリ301に接続している。電源切換部307は図1の予備電源201の一部に相当する。
コネクタ309は、マザー・ボード20に実装されており、筐体を開放することで電力源を備える外部消去装置500のコネクタ501を接続することができる。コネクタ309は、図1のユーザ・インターフェース203の一部に相当する。外部消去装置500は、コネクタ309に接続するコネクタ501と商用電源のアウトレットに接続するプラグ503を含む。外部消去装置500は、図1のユーザ・インターフェース203の一部および予備電源201の一部に相当する。
電源切換部307は、二つの電力源のうちいずれか電圧の高いほうからの電力を不揮発性半導体メモリ301に供給する。不揮発性半導体メモリ301は、図1の不揮発性記憶装置207に相当し、動作モード切換部400、コントロール・ブロック303、およびフラッシュ・メモリ305を含む。コントロール・ブロック303の構成は一例を図4に示している。
不揮発性半導体メモリ301は、ホスト・システム11からのアクセスに応じて動作する通常モードおよび外部消去装置500からのアクセスに応じて動作する消去モードのいずれかで動作することができる。動作モード切換部400は、コントロール・ブロック303を消去モードで動作させるために外部消去装置500から受け取った消去コマンドをコントロール・ブロック303に送るための回路で、図1の動作モード切換部205に相当する。動作モード切換部400の構成は一例を図3に示している。
動作モード切換部400は、ホスト・バス12でホスト・システム12に接続し、サイド・バンド308でコネクタ309に接続している。ホスト・バス12は、データ線、アドレス線、および制御線で構成しており、ホスト・システム11と動作モード切換部400の間でコマンドおよびデータを転送する。ホスト・バス12は一例においてSATAインターフェースの規格に従う。コントロール・ブロック303は、ホスト・バス12を通じてデータの送受をするときは通常モードに対応する動作をする。
サイド・バンド308は、不揮発性半導体メモリ301に信号およびコマンドを送る信号線に相当する。サイド・バンド308は、ホスト・バス12とは異なる信号線で、ホスト・バス12が停止しても電源が確保された不揮発性半導体メモリ301と通信することができる。サイド・バンド308は、ホスト・バス12よりも簡素な信号線であり、ここでは一例として、SPCまたはI2Cのような同期式のシリアル通信ラインとしている。サイド・バンド308は、動作モード切換部400の構成によっては、1ワイヤ・プロトコルの通信ラインやRS232−Cのような非同期式のシリアル通信ラインとすることもできる。
不揮発性半導体メモリ301は、サイド・バンド308からの指示がないときは通常モードで動作する。動作モード切換部400は、通常モードのときに、ホスト・システム11とコントロール・ブロック303を直接接続する。外部消去装置500は、動作モード切換部400を通じてコントロール・ブロック303に不揮発性半導体メモリ301を通常モードから消去モードに切り換える消去コマンドを送る。
動作モード切換部400が外部記憶装置500から受け取った消去コマンドをコントロール・ブロック303に送ると不揮発性半導体メモリ301は消去モードで動作する。動作モード切換部400は、消去を終えたコントロール・ブロック303から受け取った再生不能化処理の検証結果を、外部消去装置500に通知する。一例において、動作モード切換部400、コントロール・ブロック303およびフラッシュ・メモリ305は、それぞれのチップを一つの半導体パッケージに収納してオンボードでマザー・ボード20に実装することができる。このとき、電源切換部307も同じ半導体パッケージに組み込むことができる。他の例において、動作モード切換部400は、不揮発性半導体メモリ301から分離した状態で、マザー・ボード20に実装することができる。
動作モード切換部400は、ハードウェア・ロジック回路またはプログラマブル・ロジック回路で構成することができる。動作モード切換部400は、コントロール・ブロック303の外に設けているが、コントロール・ブロック303のチップの中に組み込んでもよい。ここでは図3に示すように、動作モード切換部400をIEEE 1149.1(JTAG Boundary Scan Test Systems)が規定するJTAG(Joint Test Action Group)という技術を利用して実現する例を説明する。
JTAGは、シリアル通信でコアロジックの周辺に設けたJTAG回路にアクセスして、半導体装置の外側の接続状態を試験したりコアロジックに信号を与えて内部の試験をしたりする技術である。図3において不揮発性半導体メモリ301は、ホスト・バス12に接続する複数の入出力ピン320およびサイド・バンド308に接続する複数のTAP(Test Access Port)ピン409を含んでいる。入出力ピン320およびTAPピン409は、BGAやリードワイヤ方式などでマザー・ボード20に半田接続される。なお、図3に示した入出力ピン320およびTAPピンの数は例示である。
動作モード切換部400は、セルといわれるバウンダリ・スキャン・レジスタ(BSR)401、インストラクション・レジスタ(IR)403、バイパス・レジスタ(BPR)405、TAP(Test Access Port)コントローラ407、およびTAPピン409を含んでいる。TAPピン409は、外部消去装置500から消去コマンドや診断コマンドを入力するTDIピン、TAPコントローラ407の動作を同期させるクロック信号を入力するTCKピン、TAPコントローラ407の状態遷移を制御するための信号を入力するTMSピン、およびコントロール・ブロック303から受け取った消去完了データや診断レポートを出力するTDOピンを含んでいる。
BSR401、IR403、BPR405はシフト・レジスタで、TDIピンから入力されたデータはTCKピンのクロックに同期して順番にTDOピンから出力されるように移動する。BSR401の各セルは、対応する入出力ピン320とコントロール・ブロック303の入出力端子303aの間に挿入され、さらに相互に直列に接続されている。入出力ピン320と入出力端子303aの間で伝送されるすべての信号は、一旦、BSR401のセルに取り込まれるが、不揮発性半導体メモリ301が通常モードのときはBSR401を通過する。
動作モード切換部401は、外部消去装置500から消去コマンドを受け取ったときに、不揮発性半導体メモリ301に消去コマンドや診断コマンドを送る動作する。動作モード切換部401は、TDIピンを通じてBSR401に書き込まれたデータをコントロール・ブロック303の入出力端子303aに入力する。また動作モード切換部401は、コントロール・ブロック303が入出力端子303aに出力したデータをBSR401に取り込んで、シリアル転送でTDOピンから出力する。
IR403は、TAPコントローラ407の動作を制御するためのインストラクションを保持する。IRが保持するインストラクションは、TDIピンからシリアル通信で入力されたデータがBSR401とBPR405のいずれに取り込むかを決める。BPR405は、BSR401をバイパスして、TDIピンに対する入力を直接TDOピンから出力する。
TAPコントローラ407は、TCKピンのクロック信号に同期して取り込んだTMS信号で動作する・TAPコントローラ407は、BSR401とBPR405の動作を制御するデータ系のパスと、IR403の動作を制御する制御系のパスを含むステート・マシーンである。TAPコントローラ407は、TMS信号とTDIピンのデータで、BSR401、IR403、BPR405の動作を制御する。
TAPコントローラ407は、TDIピンに入力された消去コマンドに応答して、動作モード切換部400が消去モードに対応する動作をするように各レジスタの動作を制御する。TAPコントローラ407は、シリアル転送でBSR401の各セルに設定したビットをコントロール・ブロック303の入出力端子303aに入力する動作を繰り返して消去コマンドや診断コマンドを入力する。TAPコントローラ407は、コントロール・ブロック303が入出力端子303aに出力したデータをシリアル転送でTDOピンに取り込む。
図4において、コントロール・ブロック303は、コントローラ351、RAM353およびキャッシュ・メモリ355を含んでいる。コントローラ351は、ホスト・バス12に接続するためのインターフェース351a、CPU351c、それぞれROMに格納したファームウェア351d、暗号鍵351eおよびアドレス管理テーブル351fを含む。
暗号鍵351eは、一例において、ホスト・システム11から受け取ったすべてのデータをeDriveという不揮発性記憶装置の内部で暗号化するハードウェアBitLocker(登録商標)で採用しているフルボリューム暗号化キー(FVEK)とすることができる。FVEKはホスト・システム11が保有するボリューム・マスター・キー(VMK)で暗号化される。ハードウェアBitLocker(登録商標)は、eDriveが記録する暗号化されたデータを読み取る際に、VMKをeDriveに転送してFVEKを復号する。FVEKが消去されると、CPU351cはフラッシュ・メモリ305のデータを正しく復号できないため、読み取りの際に意味のないデータをホスト・システム11に送る。FVEKを消去するとデータを再生することはほとんど不可能になる。
アドレス管理テーブル351fは、ホスト・システム11が認識する所定のデータのLBAとCPU351cが実際に書き込んだフラッシュ・メモリ305のPBAをマッピングするデータ構造体である。CPU351cは、ファームウェア351dを実行して、通常モードまたは消去モードで動作する。CPU351cは電源が起動したときに通常モードで動作を開始するが、外部消去装置500からBSR401を通じて消去コマンドを受け取ったときに消去モードで動作する。
通常モードのときにCPU351cは、ホスト・システム11からコマンドを受け取ってデータの書き込み、読み出しおよび消去などの処理をする。また、CPU351cは、独自のアルゴリズムとタイミングでウェアレベリングや断片化処理もする。消去モードのときにCPU351cは、フラッシュ・メモリ305が記録する消去対象データをブロック単位ごとに消去する。このときCPU351cは、消去対象データを記録していたセクタを示すアドレス管理テーブル351fのデータも同時に消去する。
CPU351cは、消去対象データを消去した後は、すべてのPBAを読み取ってすべてのセクタが、フローティング・ゲートに注入された電荷が存在しないことに対応する論理的な1になっていることを確認する検証処理を行う。フラッシュ・メモリ305のすべてのセクタからデータを読み取るためには長い時間がかかるため、コントロール・ブロック303は、アドレス管理テーブル351fが消去されたことでデータ消去の検証をするようにしてもよい。
CPU351cが消去対象データを暗号化しているときは、CPU351cは暗号鍵351eだけを消去してもよい。CPU351cは、検証が完了したときに動作モード切換部400を通じて外部消去装置500に検証結果を送る。CPU351cは検証結果を、消去の成功または失敗を示すデータで送ることができる。不揮発性半導体メモリ301は、電源が投入されたときに自動的に自己診断をしてコントロール・ブロック303やフラッシュ・メモリ305の状態を検査する。外部消去装置500は、消去の失敗を示すデータを受け取ったときに、さらに、コントロール・ブロック303にこのような診断をさせる診断コマンドを送ることができる。CPU351cは、診断の結果を外部消去装置500に送る。診断の結果、ユーザはセクタが破損していることで消去が失敗したことを知る。
図5は、外部消去装置500の構成の一例を説明するための概略の機能ブロック図である。外部消去装置500は、交流電圧を直流電圧に変換するAC/DC変換部511、AC/DC変換部511から電力の供給を受けるDC/DCコンバータ513を含む。DC/DCコンバータ513は、不揮発性半導体メモリ301が消去モードで動作するために必要な電圧を生成してコネクタ501に出力する。消去コントローラ515は、一例としてファームウェアを実行するマイクロ・コンピュータで構成することができる。
消去コントローラ515には、スイッチ519、ディスプレイ517およびコネクタ501が接続されている。消去コントローラ515は、ユーザによるスイッチ519の操作で動作する。消去コントローラ515は、不揮発性半導体メモリ301のデータを消去するための消去コマンド、必要に応じて診断を要求するための診断コマンドをTAPピン409のTDIピンに出力する。消去コントローラ515は、TCK信号、およびTMS信号をTAPピン409に出力する。消去コントローラ515は、不揮発性半導体メモリ301から受け取った消去の検証結果や診断結果を示すデータをディスプレイ517に表示する。ディスプレイ517に変えてLEDを採用することもできる。
図6は、外部消去装置500を利用して不揮発性半導体メモリ301が再生不能化処理をする手順を説明するためのフローチャートである。ブロック601で電子機器100が故障して修理にだすか、または廃棄する必要性が発生する。システム電源13aが電力を供給できるか否かは故障状態によって異なるがいずれであってもよい。ブロック603でユーザがネジで固定された筐体の蓋を取り外してマザー・ボード20を露出させる。
ブロック605でユーザが外部消去装置500のプラグ503をアウトレットに接続し、コネクタ501をコネクタ309に接続する。この手順は筐体の蓋を開放する操作であり、ユーザが誤って外部記憶装置500を接続する可能性は小さい。システム電源13aが故障していても、電源切換部307が外部消去装置500の電力を不揮発性半導体メモリ301に供給する。
ブロック607でユーザは、スイッチ519を操作して消去の指示をする。ブロック609で、消去コントローラ515がTAPピン409を通じてコントロール・ブロック303に消去コマンドを入力する。ブロック611では消去モードで動作したCPU351cが不揮発性半導体メモリ301に対して消去対象データの再生不能化処理をし、さらにその結果を検証する。
ブロック613でCPU351cが外部消去装置500の消去コントローラ515に検証結果を送ると、ディスプレイ517がそれを表示する。ブロック615でユーザが、再生不能化処理が成功したと判断したときに、ブロック651で作業は終了する。再生不能化処理が失敗したと判断したときは、ユーザはその原因を知るために、ブロック617でスイッチ519を通じて診断の指示をする。ブロック619で、消去コントローラ515がTAPピン409を通じてコントロール・ブロック303に診断コマンドを入力する。ブロック621でCPU351cが不揮発性半導体メモリ301の診断を実行する。ブロック623でCPU351cが外部消去装置500の消去コントローラ515に送った診断結果がディスプレイ417に表示される。
[第2の実施態様]
図7は、電子機器100に適用した消去システム700を説明するための概略的な機能ブロック図である。消去システム700は、図1の消去システム200をすべてマザー・ボード20に形成している。消去システム700は、不揮発性半導体メモリ701、短絡ジャンパー・ピン707、LED709、電源切換部307、およびDC/DCコンバータ711で構成している。DC/DCコンバータ711および電源切換部307は、図1の予備電源201に相当する。短絡ジャンパー・ピン707、消去端子704およびLED709は、図1のユーザ・インターフェース203に相当する。図1の動作モード切換部205は、図8に示すファームウェア723dに組み込んでいる。
AC/DCアダプタ53を接続するレセプタクル19またはシステム電源13aの一次側には、DC/DCコンバータ711を接続している。DC/DCコンバータ711は、不揮発性半導体メモリ701が再生不能化処理に必要な電圧で電力を供給する。DC/DCコンバータ711は、システム電源13aをバイパスして不揮発性半導体メモリ701に接続している。DC/DCコンバータ711は、システム電源13aが故障してもAC/DCアダプタ53から不揮発性半導体メモリ701に電力を供給することができる。DC/DCコンバータ711は、不揮発性半導体メモリ701に組み込んでもよい。
DC/DCコンバータ711は、システム電源13aを構成する電池ユニットの一次側端子の直後に接続してもよい。サイド・バンド706は、コントロール・ブロック703の消去端子704に接続している。コントロール・ブロック703とグランドの間のサイド・バンド706に挿入される短絡ジャンパー・ピン707は、マザー・ボード20に接続されたソケットを短絡することで、消去端子704をプルダウンする。LED709は、コントロール・ブロック703が消去を完了し、かつ、検証が成功したときに点灯する。
図8は、コントロール・ブロック703の一例を説明するための概略的な機能ブロック図である。コントロール・ブロック703は、コントローラ723、RAM725およびキャッシュ・メモリ727を含んでいる。コントローラ723は、ホスト・バス12と通信するためのインターフェース723a、短絡ジャンパー・ピン707とLED709に接続されたインターフェース723bを含んでいる。CPU723cは、ファームウェア723dを実行して、不揮発性半導体メモリ701を通常モードまたは消去モードで動作させる。
インターフェース723bは、サイド・バンド706の電位を検出してCPU723cを消去モードで動作させる。CPU723cは、サイド・バンド706の電位がハイのときに通常モードで動作し、短絡ジャンパー・ピン707を装着して電位がローに遷移したときに消去モードで動作することができる。たとえばインターフェース723bは、短絡ジャンパー・ピン707がセットされたときにCPU723cをリセットし、さらにリセット後にCPU723cが最初にアクセスするアドレスに消去モードに移行するデータを書き込むことで消去モードに移行させる。あるいは、短絡ジャンパー・ピン707をセットしてCPU723cの電源を起動したときに、不揮発性半導体メモリ701は同様にして消去モードで動作することができる。
CPU723cは、消去モードに移行したときにフラッシュ・メモリ705が記録する消去対象データまたは暗号鍵723eを消去する。CPU723cは、消去対象データを消去して検証が成功したときにLED709を点灯させ、検証が失敗したときにLED709を点滅させることができる。消去システム700は、さらにCPU723cに診断をさせるための短絡ジャンパー・ピンを設けてもよい。
これまで本発明について図面に示した特定の実施の形態をもって説明してきたが、本発明は図面に示した実施の形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができることはいうまでもないことである。
10 既存システム
12 ホスト・バス
15 不揮発性記憶装置
20 マザー・ボード
100 電子機器
200、300、700 消去システム
301、701 不揮発性半導体メモリ
303、703 不揮発性半導体メモリのコントロール・ブロック
305、705 フラッシュ・メモリ
307 電源切換部
308、706 サイド・バンド
320 入出力ピン
351、723 コントローラ
400 フロント・エンド(JTAG回路)
500 外部消去装置
704 消去端子
707 短絡ジャンパー・ピン
709 LED

Claims (4)

  1. 電子機器に搭載する不揮発性記憶装置の消去システムであって、
    消去対象データを記録する記録媒体と、
    前記消去対象データに対して再生不能化処理を実行する消去モードまたはホスト・システムからのコマンドに応答して前記記録媒体にアクセスする通常モードで動作することが可能なコントロール・ブロックと、
    前記コントロール・ブロックに前記消去モードで動作させるための消去信号を送るユーザ・インターフェースと、
    AC/DCアダプタから受け取った電力を前記ホスト・システムおよび前記不揮発性記憶装置に供給するシステム電源をバイパスして前記AC/DCアダプタから受け取った電力を前記不揮発性記憶装置に供給する予備電源と
    を有する消去システム。
  2. 前記ユーザ・インターフェースが、マザー・ボードに実装した短絡ジャンパー・ピンを含む請求項1に記載の消去システム。
  3. 前記ユーザ・インターフェースが、マザー・ボードに実装した前記コントロール・ブロックが前記再生不能化処理を検証した結果を表示する表示部を含む請求項1に記載の消去システム。
  4. 請求項1から請求項3のいずれかに記載の消去システムを搭載した電子機器。
JP2015158616A 2015-08-11 2015-08-11 不揮発性記憶装置の消去システム、不揮発性記憶装置、外部消去装置および方法 Active JP6055047B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015158616A JP6055047B1 (ja) 2015-08-11 2015-08-11 不揮発性記憶装置の消去システム、不揮発性記憶装置、外部消去装置および方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015158616A JP6055047B1 (ja) 2015-08-11 2015-08-11 不揮発性記憶装置の消去システム、不揮発性記憶装置、外部消去装置および方法

Publications (2)

Publication Number Publication Date
JP6055047B1 true JP6055047B1 (ja) 2016-12-27
JP2017037497A JP2017037497A (ja) 2017-02-16

Family

ID=57582263

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015158616A Active JP6055047B1 (ja) 2015-08-11 2015-08-11 不揮発性記憶装置の消去システム、不揮発性記憶装置、外部消去装置および方法

Country Status (1)

Country Link
JP (1) JP6055047B1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108009448A (zh) * 2018-01-02 2018-05-08 湖南国科微电子股份有限公司 一种固态硬盘数据销毁方法、装置及系统
US11328069B2 (en) 2017-02-02 2022-05-10 Blancco Technology Group IP Oy Method and system for verifying a data erasure process

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7400215B2 (ja) * 2019-05-23 2023-12-19 オムロン株式会社 制御装置、データ不能化プログラム、および制御システム
US12009035B2 (en) 2019-10-04 2024-06-11 Lg Innotek Co., Ltd. Apparatus for controlling NAND flash memory device and method for controlling same

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001022527A (ja) * 1999-07-12 2001-01-26 Nec Niigata Ltd コンピュータ内蔵hddへの外部からのアクセス方式
JP2012079069A (ja) * 2010-09-30 2012-04-19 Fujitsu Ltd 不揮発性メモリユニット

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001022527A (ja) * 1999-07-12 2001-01-26 Nec Niigata Ltd コンピュータ内蔵hddへの外部からのアクセス方式
JP2012079069A (ja) * 2010-09-30 2012-04-19 Fujitsu Ltd 不揮発性メモリユニット

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11328069B2 (en) 2017-02-02 2022-05-10 Blancco Technology Group IP Oy Method and system for verifying a data erasure process
CN108009448A (zh) * 2018-01-02 2018-05-08 湖南国科微电子股份有限公司 一种固态硬盘数据销毁方法、装置及系统

Also Published As

Publication number Publication date
JP2017037497A (ja) 2017-02-16

Similar Documents

Publication Publication Date Title
TWI479359B (zh) 指令執行方法、記憶體控制器與記憶體儲存裝置
US8996933B2 (en) Memory management method, controller, and storage system
TWI387023B (zh) 防止迴焊過程中資料遺失之方法及使用該方法之記憶體裝置
US9037782B2 (en) Method of programming memory cells and reading data, memory controller and memory storage apparatus using the same
JP6055047B1 (ja) 不揮発性記憶装置の消去システム、不揮発性記憶装置、外部消去装置および方法
US8589669B2 (en) Data protecting method, memory controller and memory storage device
TWI451248B (zh) 資料保護方法、記憶體控制器與記憶體儲存裝置
KR20080098511A (ko) 두 가지 형태의 저장매체를 이용한 데이터 저장장치
CN110069214A (zh) 存储设备、存储系统和操作存储设备的方法
TW201108235A (en) Preloading data into a flash storage device
CN104346103A (zh) 指令执行方法、存储器控制器与存储器储存装置
KR20100125743A (ko) 저장 장치 및 그것의 동작 방법
KR20140078893A (ko) 데이터 저장 장치의 동작 방법
CN111191214B (zh) 一种嵌入式处理器及数据保护方法
US20110231621A1 (en) System recovery method, and storage medium controller and storage system using the same
TW201243613A (en) Data synchronization system and method
US10191533B2 (en) Method of enabling sleep mode, memory control circuit unit and storage apparatus
US9514040B2 (en) Memory storage device and memory controller and access method thereof
CN112115076B (zh) 使用者数据的加解密装置及方法
KR20140008550A (ko) 멀티 칩 패키지 메모리 장치의 제어 방법
CN102982290B (zh) 存储装置及终端设备
JP2008225672A (ja) 半導体メモリ装置
KR102180972B1 (ko) 메모리 컨트롤 유닛 및 그것을 포함하는 데이터 저장 장치
US20110102997A1 (en) Mass storage device and method of accessing memory devices thereof
CN114756885A (zh) 固件加载方法、存储装置及计算机可读存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161017

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161201

R150 Certificate of patent or registration of utility model

Ref document number: 6055047

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250