JP6067757B2 - ストレージ装置とホスト間でデータ伝送を保護するためのストレージ・コントローラ・バス・インターフェースの使用 - Google Patents
ストレージ装置とホスト間でデータ伝送を保護するためのストレージ・コントローラ・バス・インターフェースの使用 Download PDFInfo
- Publication number
- JP6067757B2 JP6067757B2 JP2014559992A JP2014559992A JP6067757B2 JP 6067757 B2 JP6067757 B2 JP 6067757B2 JP 2014559992 A JP2014559992 A JP 2014559992A JP 2014559992 A JP2014559992 A JP 2014559992A JP 6067757 B2 JP6067757 B2 JP 6067757B2
- Authority
- JP
- Japan
- Prior art keywords
- command
- host
- data
- bus interface
- context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Description
本実施形態は、コンピュータシステム用のストレージ装置に関する。具体的には、本実施形態は、ストレージ・コントローラ・バス・インターフェースを用いてストレージ装置、及びストレージ装置と接続するホスト装置間で伝送されるデータを暗号化、及び復号化する技術に関する。
近年のコンピュータシステムは、主として、プロセッサ及びメモリを含むマザーボードを、様々なインターフェースを介してマザーボードに接続する1組の周辺構成要素と合わせて含む。例えば、シリアル・アドバンスド・テクノロジー・アタッチメント(SATA)インターフェースは、ストレージ装置(例えば、ハードディスク・ドライブ(HDD)、光学ドライブ、固形状態ドライブ(SSD)、ハイブリッド・ハードドライブ(HHD)等)、及びマザーボード間のデータ伝送を支援可能であり、周辺機器相互接続エクスプレス(PCIe)バスでは、マザーボードと複数の統合、及び/又はアドオン周辺機器との通信が可能である。
(i)デバイス・ドライバからI/Oコマンドに関連する1組のメモリ・アドレス及び暗号コンテキストを取得することと、
(ii)直接メモリ・アクセス(DMA)を用いて、I/Oコマンド及び暗号コンテキストをホスト上のメモリ・アドレスからストレージ・コントローラ・バス・インターフェース上のバッファーへと伝送することと、を伴う。
Claims (23)
- ストレージ装置とホスト間のデータ伝送を保護する方法であって、
前記方法は、
前記ホスト上で実行するデバイス・ドライバから、入出力(I/O)コマンド、及び前記I/Oコマンドに関連する暗号コンテキストを取得することであって、前記ホストから前記I/Oコマンド及び前記暗号コンテキストを取得することは、前記I/Oコマンド及び前記暗号コンテキストを前記ホスト上の1組のメモリ・アドレスからストレージ・コントローラ・バス・インターフェース上のバッファーに伝送することと、
ストレージ・コントローラ・バス・インターフェースを用いて、前記ストレージ装置と前記ホストとの間での暗号化形式のデータ送信を可能とする前記暗号コンテキストを前記I/Oコマンドに関連するデータに適用することと、
前記I/Oコマンドが、書き込みコマンドに対応する場合には、前記I/Oコマンドを前記ストレージ装置へ発行する前に、前記ストレージ・コントローラ・バス・インターフェースを用いて、前記データを暗号化することと、
前記I/Oコマンドが、読み取りコマンドに対応する場合には、前記I/Oコマンドが、前記ストレージ装置により処理された後に、前記ストレージ・コントローラ・バス・インターフェースを用いて、前記データを復号化することとを含む、方法。 - 前記I/Oコマンドが前記ストレージ装置により完了した後、前記完了したI/Oコマンドを前記デバイス・ドライバに通知することを更に含む、請求項1に記載の方法。
- 前記I/Oコマンド、及び前記暗号コンテキストを前記ホストから取得することは、
前記デバイス・ドライバから前記I/Oコマンドに関連する前記1組のメモリ・アドレス及び前記暗号コンテキストを取得することと、
直接メモリ・アクセス(DMA)を用いて、前記I/Oコマンド及び前記暗号コンテキストを前記ホスト上の前記メモリ・アドレスから前記ストレージ・コントローラ・バス・インターフェース上のバッファーへと伝送することと、を含む、請求項1に記載の方法。 - 前記暗号コンテキストを前記I/Oコマンドに関連する前記データに適用することは、
前記I/Oコマンドが書き込みコマンドに対応しているときに、前記暗号コンテキストを用いて前記データを暗号化してから、前記I/Oコマンドを前記ストレージ装置に発行することと、
前記I/Oコマンドが読み取りコマンドに対応しているときに、前記I/Oコマンドが前記ストレージ装置により処理された後、前記暗号コンテキストを用いて前記データを復号化することと、を含む、請求項1に記載の方法。 - 前記I/Oコマンドが前記読み取りコマンドに対応する場合、前記方法は、
前記復号化データを前記ホスト上の1組のメモリ・アドレスに伝送することを更に含む、請求項4に記載の方法。 - 前記暗号コンテキストは、アプリケーション、ファイル、及び利用者の少なくとも1つに関連する、請求項1に記載の方法。
- 前記暗号コンテキストは、
1つ以上のキーと、
初期ベクトルと、を含む、請求項1に記載の方法。 - ストレージ装置とホスト間のデータ伝送を保護するシステムにおいて、前記システムは、
前記ストレージ装置と前記ホストとの間での暗号化形式のデータ送信を可能とする暗号コンテキストを前記I/Oコマンドに関連するデータに適用し、処理のために前記I/Oコマンドを前記ストレージ装置へ発行するストレージ・コントローラ・バス・インターフェースと、
前記ホスト上で実行し、前記I/Oコマンドに関連する、前記ホスト上の1組のメモリ・アドレス及び前記暗号化コンテキストをストレージ・コントローラ・バス・インターフェースに供給し、前記I/Oコマンド及び前記暗号化コンテキストに対する前記1組のメモリ・アドレスから前記ストレージ・コントローラ・バス・インターフェースへの直接メモリ・アクセス(DMA)伝送を構成するデバイス・ドライバと、
を備えるシステム。 - 前記ホストによる前記ストレージ装置の使用中に前記暗号コンテキストを作成、管理するように構成されるファイルシステムを更に備える、請求項8に記載のシステム。
- 前記I/Oコマンドが前記ストレージ装置により完了した後、前記ストレージ・コントローラは更に、
前記デバイス・ドライバに前記完了したI/Oコマンドを通知するように構成される、請求項8に記載のシステム。 - 前記ストレージ・コントローラ・バス・インターフェースは、DMAエンジンと共に、前記ホストの中央処理装置に直接アクセスせずに、前記ホストへの、又は前記ホストからの伝送を実行する、請求項8に記載のシステム。
- 前記暗号コンテキストを前記I/Oコマンドに関連する前記データに適用することは、
前記I/Oコマンドが書き込みコマンドに対応している場合、前記暗号コンテキストを用いて前記データを暗号化してから、前記I/Oコマンドを前記ストレージ装置に発行することと、
前記I/Oコマンドが読み取りコマンドに対応している場合、前記I/Oコマンドが前記ストレージ装置により処理された後、前記暗号コンテキストを用いて前記データを復号化することと、を含む、請求項8に記載のシステム。 - 前記I/Oコマンドが前記読み取りコマンドに対応する場合、前記ストレージ・コントローラ・バス・インターフェースは、
前記復号化データを前記ホスト上の1組のメモリ・アドレスに伝送するように更に構成される、請求項12に記載のシステム。 - 前記復号化データは、DMAを用いて前記1組のメモリ・アドレスに伝送される、請求項13に記載のシステム。
- 前記暗号コンテキストは、アプリケーション、ファイル、及び利用者のうちの少なくとも1つに関連する、請求項8に記載のシステム。
- 前記暗号コンテキストは、
1つ以上のキーと、
初期ベクトルと、を含む、請求項8に記載のシステム。 - 命令を記憶する持続性コンピュータ可読記憶媒体であって、前記命令が、1又は複数のプロセッサによって実行された時、ストレージ装置とホスト間のデータ伝送を保護する動作を前記1又は複数のプロセッサに実行させ、前記動作は、
前記ホスト上で実行するデバイス・ドライバから、入出力(I/O)コマンドリ、及び前記I/Oコマンドに関連する暗号コンテキストを取得することであって、前記I/Oコマンド及び前記暗号コンテキストを前記ホストから取得することは、前記I/Oコマンド及び前記暗号コンテキストを前記ホスト上の1組のメモリ・アドレスからストレージ・コントローラ・バス・インターフェース上のバッファーに伝送することと、
前記ストレージ・コントローラ・バス・インターフェースを用いて前記ストレージ装置と前記ホスト間での暗号化形式のデータ送信を可能とする前記暗号コンテキストを前記I/Oコマンドに関連するデータに適用することと、
前記I/Oコマンドが書き込みコマンドに対応しているときに、前記I/Oコマンドを前記ストレージ装置へ発行する前に、前記ストレージ・コントローラ・バス・インターフェースを用いて、前記データを暗号化することと、
前記I/Oコマンドが読み取りコマンドに対応しているときに、前記I/Oコマンドが、前記ストレージ装置により処理された後に、前記ストレージ・コントローラ・バス・インターフェースを用いて、前記データを復号化することと、
を含む、コンピュータ可読記憶媒体。 - 前記I/Oコマンドが前記ストレージ装置により完了した後、前記完了したI/Oコマンドを前記デバイス・ドライバに通知することを含む更なる動作を実行する命令を更に含む、請求項17に記載のコンピュータ可読記憶媒体。
- 前記I/Oコマンド及び前記暗号コンテキストを前記ホストから取得することは、
直接メモリ・アクセス(DMA)を用いて、前記I/Oコマンド、及び前記暗号コンテキストを前記ホスト上の前記メモリ・アドレスから前記ストレージ・コントローラ・バス・インターフェース上のバッファーへと伝送することと、を含む、請求項17に記載のコンピュータ可読記憶媒体。 - 前記DMAを用いることは、DMAエンジンを用いて、前記ホストの中央処理装置に直接アクセスせずに、前記ホスト上で、前記メモリ・アドレスへの又は前記メモリ・アドレスから伝送することを備える請求項19に記載のコンピュータ可読記憶媒体。
- 前記I/Oコマンドが前記読み取りコマンドに対応しているときに、
前記復号化データを前記ホスト上の1組のメモリ・アドレスに伝送することを含む更なる動作を実行する命令を更に含む、請求項17に記載のコンピュータ可読記憶媒体。 - 前記暗号コンテキストは、アプリケーション、ファイル、及び利用者の少なくとも1つに関連する、請求項17に記載のコンピュータ可読記憶媒体。
- 前記暗号コンテキストは、
1つ以上のキーと、
初期ベクトルと、を含む、請求項17に記載のコンピュータ可読記憶媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/408,725 | 2012-02-29 | ||
US13/408,725 US9152825B2 (en) | 2012-02-29 | 2012-02-29 | Using storage controller bus interfaces to secure data transfer between storage devices and hosts |
PCT/US2013/028053 WO2013130632A1 (en) | 2012-02-29 | 2013-02-27 | Using storage controller bus interfaces to secure data transfer between storage devices and hosts |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015513743A JP2015513743A (ja) | 2015-05-14 |
JP6067757B2 true JP6067757B2 (ja) | 2017-01-25 |
Family
ID=47892000
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014559992A Active JP6067757B2 (ja) | 2012-02-29 | 2013-02-27 | ストレージ装置とホスト間でデータ伝送を保護するためのストレージ・コントローラ・バス・インターフェースの使用 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9152825B2 (ja) |
EP (1) | EP2803012B1 (ja) |
JP (1) | JP6067757B2 (ja) |
KR (1) | KR101742364B1 (ja) |
CN (1) | CN104160407B (ja) |
AU (1) | AU2013226133B2 (ja) |
WO (1) | WO2013130632A1 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9665501B1 (en) * | 2013-06-18 | 2017-05-30 | Western Digital Technologies, Inc. | Self-encrypting data storage device supporting object-level encryption |
US9461815B2 (en) * | 2013-10-18 | 2016-10-04 | Advanced Micro Devices, Inc. | Virtualized AES computational engine |
KR102263880B1 (ko) * | 2014-06-19 | 2021-06-11 | 삼성전자주식회사 | 호스트 컨트롤러 및 시스템-온-칩 |
US9661007B2 (en) * | 2015-03-18 | 2017-05-23 | Intel Corporation | Network interface devices with remote storage control |
US10140457B2 (en) * | 2015-07-31 | 2018-11-27 | Intel Corporation | Secure input/output device management |
CN105243344B (zh) * | 2015-11-02 | 2020-09-01 | 上海兆芯集成电路有限公司 | 具有硬盘加密功能的芯片组以及主机控制器 |
US10225247B2 (en) | 2015-12-14 | 2019-03-05 | Intel Corporation | Bidirectional cryptographic IO for data streams |
US10157153B2 (en) | 2016-02-03 | 2018-12-18 | Qualcomm Incorporated | Inline cryptographic engine (ICE) for peripheral component interconnect express (PCIe) systems |
US10310990B2 (en) | 2016-06-24 | 2019-06-04 | Hewlett Packard Enterprise Development Lp | Direct memory access encryption with application provided keys |
US10476846B2 (en) * | 2016-08-05 | 2019-11-12 | The Boeing Company | Data-at-rest (DAR) encryption for integrated storage media |
US10896267B2 (en) * | 2017-01-31 | 2021-01-19 | Hewlett Packard Enterprise Development Lp | Input/output data encryption |
US10417458B2 (en) * | 2017-02-24 | 2019-09-17 | Microsoft Technology Licensing, Llc | Securing an unprotected hardware bus |
US11080409B2 (en) * | 2018-11-07 | 2021-08-03 | Ngd Systems, Inc. | SSD content encryption and authentication |
CN110245526B (zh) * | 2019-05-07 | 2021-04-23 | 杭州电子科技大学 | 一种基于PCIe接口的加密方法 |
US11249924B2 (en) * | 2019-11-25 | 2022-02-15 | Micron Technology, Inc. | Secure data communication with memory sub-system |
CN114691049B (zh) * | 2022-04-29 | 2023-03-17 | 无锡众星微系统技术有限公司 | 一种存储设备的i/o控制方法 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005505853A (ja) * | 2001-10-12 | 2005-02-24 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | ユーザデータを読出し又は書込みするための装置及び方法 |
JP2004070499A (ja) * | 2002-08-02 | 2004-03-04 | Fujitsu Ltd | メモリデバイスおよび暗号化/復号方法 |
ATE549687T1 (de) * | 2004-12-21 | 2012-03-15 | Sandisk Corp | Speichersystem mit in-stream- datenverschlüsselung/-entschlüsselung |
US20070180539A1 (en) | 2004-12-21 | 2007-08-02 | Michael Holtzman | Memory system with in stream data encryption / decryption |
US7849330B2 (en) * | 2006-03-20 | 2010-12-07 | Hitachi, Ltd. | Apparatus and method for secure data disposal |
JP2007328619A (ja) * | 2006-06-08 | 2007-12-20 | Toshiba Corp | メモリシステム |
IL177756A (en) * | 2006-08-29 | 2014-11-30 | Lior Frenkel | Encryption-based protection against attacks |
US8464073B2 (en) * | 2006-09-13 | 2013-06-11 | Stec, Inc. | Method and system for secure data storage |
KR101206542B1 (ko) * | 2006-12-18 | 2012-11-30 | 주식회사 엘지씨엔에스 | 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법 |
US20080181406A1 (en) * | 2007-01-30 | 2008-07-31 | Technology Properties Limited | System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key |
JP4347350B2 (ja) * | 2007-02-15 | 2009-10-21 | 富士通株式会社 | データ暗号転送装置、データ復号転送装置、データ暗号転送方法およびデータ復号転送方法 |
US8539245B2 (en) * | 2010-08-06 | 2013-09-17 | Intel Corporation | Apparatus and method for accessing a secure partition in non-volatile storage by a host system enabled after the system exits a first instance of a secure mode |
US8190784B1 (en) * | 2011-03-30 | 2012-05-29 | Emc Corporation | In-band transport mechanism for carrying communications among functional components of a storage I/O interface stack |
-
2012
- 2012-02-29 US US13/408,725 patent/US9152825B2/en active Active
-
2013
- 2013-02-27 CN CN201380011608.8A patent/CN104160407B/zh active Active
- 2013-02-27 WO PCT/US2013/028053 patent/WO2013130632A1/en active Application Filing
- 2013-02-27 AU AU2013226133A patent/AU2013226133B2/en active Active
- 2013-02-27 JP JP2014559992A patent/JP6067757B2/ja active Active
- 2013-02-27 KR KR1020147023864A patent/KR101742364B1/ko active IP Right Grant
- 2013-02-27 EP EP13710196.0A patent/EP2803012B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
US9152825B2 (en) | 2015-10-06 |
EP2803012A1 (en) | 2014-11-19 |
JP2015513743A (ja) | 2015-05-14 |
WO2013130632A1 (en) | 2013-09-06 |
US20130227301A1 (en) | 2013-08-29 |
AU2013226133A1 (en) | 2014-08-28 |
CN104160407B (zh) | 2017-04-05 |
AU2013226133B2 (en) | 2016-01-21 |
CN104160407A (zh) | 2014-11-19 |
KR20140117635A (ko) | 2014-10-07 |
KR101742364B1 (ko) | 2017-05-31 |
EP2803012B1 (en) | 2020-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6067757B2 (ja) | ストレージ装置とホスト間でデータ伝送を保護するためのストレージ・コントローラ・バス・インターフェースの使用 | |
US20230110230A1 (en) | Technologies for secure i/o with memory encryption engines | |
EP3355232B1 (en) | Input/output data encryption | |
US20190229924A1 (en) | Key rotating trees with split counters for efficient hardware replay protection | |
KR101880075B1 (ko) | 중복 제거 기반 데이터 보안 | |
US10810138B2 (en) | Enhanced storage encryption with total memory encryption (TME) and multi-key total memory encryption (MKTME) | |
TWI567557B (zh) | 具防護重播攻擊之用於記憶體加密的可微調加密模式 | |
JP2016517241A (ja) | ストレージデバイスによって支援されるインライン暗号化および暗号化解除 | |
JP2005303981A (ja) | データストレージシステムにおける暗号化変換の方法と装置 | |
JP2014530371A (ja) | ファイル暗号化方法及び装置、ファイル復号方法及び装置 | |
TW201723918A (zh) | 安全子系統 | |
CN111949372B (zh) | 一种虚拟机迁移方法、通用处理器及电子设备 | |
US11036652B2 (en) | Secured access control in a storage system | |
US11494351B2 (en) | Deduplication of encrypted data | |
WO2020118583A1 (zh) | 数据处理方法、电路、终端设备及存储介质 | |
JP2023542936A (ja) | チャネル暗号化区別のためのメタデータ調整(metadata tweak) | |
KR20090059602A (ko) | 세션 메모리 버스를 구비한 암호화 장치 | |
CN113536331B (zh) | 存储器和计算系统的数据安全 | |
US11861374B2 (en) | Batch transfer of commands and data in a secure computer system | |
US20230208821A1 (en) | Method and device for protecting and managing keys | |
JP6107286B2 (ja) | 分散ストレージシステム、ノード、データ管理方法、及びプログラム | |
EP4202740A1 (en) | Process object re-keying during process creation in cryptographic computing | |
CN113536331A (zh) | 存储器和计算系统的数据安全 | |
JP2009075474A (ja) | 暗号処理装置 | |
JP2011129073A (ja) | ホストコントローラ、情報処理装置および情報処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150826 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150902 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151202 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160601 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20160901 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161028 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161221 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6067757 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |