TWI696934B

TWI696934B - 資料蓄積裝置、資料處理系統、運用系統及資料處理方法

Info

Publication number: TWI696934B
Application number: TW107123074A
Authority: TW
Inventors: 磯崎宏; 永井宏一
Original assignee: 日商東芝記憶體股份有限公司
Priority date: 2018-01-30
Filing date: 2018-07-04
Publication date: 2020-06-21
Also published as: KR20190092215A; KR20190132957A; US11232044B2; JP2019133345A; TW202046147A; TW201933161A; CN110096459B; KR102342212B1; US10509735B2; TWI770506B; CN110096459A; US20190236032A1; KR102048768B1; US20200057733A1

Abstract

本發明之實施形態提供一種可處理安全性及方便性優異之初始化用個人識別資訊之資料蓄積裝置、資料處理系統、運用系統及資料處理方法。

根據實施形態，資料蓄積裝置具備控制器。控制器具備個人識別資訊管理部與個人識別資訊存取控制部。個人識別資訊管理部將第1個人識別資訊與第2個人識別資訊一同管理，該第1個人識別資訊僅具有要求讓資料無效化而使資料保護功能停用之權限，該第2個人識別資訊被授予了設定第1個人識別資訊之權限。個人識別資訊存取控制部於藉由第2個人識別資訊認證成功，且第1個人識別資訊為初始值或資料保護功能為停用狀態之情形時，允許設定第1個人識別資訊，且不論於藉由哪個個人識別資訊認證成功之情形時，均禁止獲取第1個人識別資訊。

Description

資料蓄積裝置、資料處理系統、運用系統及資料處理方法

本發明之實施形態係關於一種資料蓄積裝置、資料處理系統、運用系統及資料處理方法。

近年來，對防止資料洩露之關注有所提高。因此，搭載防止資料被不法者讀取等之資料保護功能之資料蓄積裝置正開始普及。

一般地，搭載資料保護功能之資料蓄積裝置例如管理稱為PIN(Personal Identification Number，個人識別碼)等之個人識別資訊，使用該個人識別資訊對個人進行認證。而且，僅允許認證成功之人員讀取例如該人員之資料等。

又，設想例如合法者忘記了個人識別資訊之情形等，有時會採取如下之類之措施，例如預先準備一種個人識別資訊，其雖然無法讀取資料等，但具有進行在讓資料無效化之前提下使資料保護功能停用之初始化之權限。此處，資料保護功能之停用係指使運行狀態之資料保護功能轉變為非運行狀態。使非運行狀態之資料保護功能轉變為運行狀態稱為資料保護功能之激活。關於此種初始化用個人識別資訊，亦強烈要求採取對策以用於防止被不法者知道或者被不法者進行帶有惡意之設定等。

本發明之實施形態提供一種能夠對安全性及方便性優異之初始化用個人識別資訊進行處理之資料蓄積裝置、資料處理系統、運用系統及資料處理方法。

根據實施形態，資料蓄積裝置具備非揮發性記憶體與控制器。上述控制器具有資料保護功能，且根據來自主機裝置之指令而控制對上述非揮發性記憶體之資料寫入及自上述非揮發性記憶體之資料讀出，上述資料保護功能係禁止對上述非揮發性記憶體上之被分配為用戶區之區域寫入資料及讀出資料，使上述非揮發性記憶體上之資料無效化以防止上述非揮發性記憶體上之資料洩漏。上述控制器具備個人識別資訊管理部、個人識別資訊存取控制部、初始化處理部、認證處理部、及許可處理部。上述個人識別資訊管理部將第1個人識別資訊與第2個人識別資訊或第3個人識別資訊一起管理，上述第1個人識別資訊僅具有要求停用上述資料保護功能之權限，停用上述資料保護功能係指使上述非揮發性記憶體上之資料無效化而使運行狀態之上述資料保護功能轉變為非運行狀態，上述第2個人識別資訊具有要求停用上述資料保護功能之權限、及要求激活上述資料保護功能之權限，激活上述資料保護功能係指使非運行狀態之上述資料保護功能轉變為運行狀態，上述第3個人識別資訊具有禁止對上述非揮發性記憶體上之被分配為上述用戶區之上述區域寫入及讀出資料之設定以及解除上述設定之權限。上述個人識別資訊存取控制部控制上述主機裝置對上述個人識別資訊之設定及獲取。於要求停用上述資料保護功能之情形時，上述初始化處理部執行初始化處理，上述初始化處理係將上述個人識別資訊管理部所管理之除上述第1個人識別資訊以外之至少上述第3個人識別資訊初始化，使上述非揮發性記憶體上之資料無效化，將上述資料保護功能設為停用狀態。上述認證處理部判定自上述主機裝置發送之個人識別資訊是否與上述個人識別資訊管理部所管理之個人識別資訊一致。上述許可處理部根據藉由哪一個人識別資訊認證成功，而判定可否受理自上述主機裝置發佈之指令，於藉由上述第2個人識別資訊認證成功之情形時，判定為可受理要求設定上述第1個人識別資訊之指令。上述許可處理部於藉由上述第1個人識別資訊認證成功之情形時，判定為可受理要求停用上述資料保護功能之指令。上述個人識別資訊存取控制部於藉由上述第2個人識別資訊認證成功且上述第1個人識別資訊為初始值或者上述資料保護功能為停用狀態之情形時，允許設定上述第1個人識別資訊，且不論於藉由哪一個人識別資訊認證成功之情形時，均禁止獲取上述第1個人識別資訊。

1:資料蓄積裝置

2:主機裝置

3:PC

11:控制器

12:揮發性記憶體

13:非揮發性記憶體

51:驅動器供應商

52:PC供應商

53:終端用戶

111:介面處理部

112:認證處理部

113:PIN管理部

114:許可處理部

115:PIN存取控制部

116:初始化處理部

117:read/write存取控制部

118:read/write處理部

119:LSID產生部

120:Activate參數處理部

121:PowerCycle檢測部

122:模式管理部

200:BIOS

201:模式設定部

202:PIN權限變更處理部

a1:符號

A1~A7:步驟

b1:符號

b2:符號

b3:符號

B1~B5:步驟

c1:符號

c2:符號

C1~C4:步驟

D1~D6:步驟

E1~E6:步驟

F1~F5:步驟

G1~G5:步驟

S1:符號

S2:符號

S3:符號

圖1係表示第1實施形態之資料蓄積裝置之構成之一例之圖。

圖2係表示第1實施形態之資料蓄積裝置所具備之控制器之功能區塊之一例之圖。

圖3係表示第1實施形態之資料蓄積裝置所能管理之PIN之類型之一例之圖。

圖4係表示第1實施形態之資料蓄積裝置中之有關LSID(PIN)之指令及其發佈權限之一例之圖。

圖5係表示第1實施形態之資料蓄積裝置中之用於設定或獲取PIN之指令之發佈權限之一授予例之圖。

圖6係用以說明第1實施形態之資料蓄積裝置之狀態轉移之概要之圖。

圖7係用以說明第1實施形態之資料蓄積裝置之第1用例之圖。

圖8係用以說明第1實施形態之資料蓄積裝置在LSID PIN為初始值之狀態下設定(更新)LSID PIN時之主機裝置-資料蓄積裝置間之交換的序列圖。

圖9係用以說明第1實施形態之資料蓄積裝置在LSID PIN為初始值以外之狀態下設定(更新)LSID PIN時之主機裝置-資料蓄積裝置間之交換的序列圖。

圖10係用以說明第1實施形態之資料蓄積裝置藉由LSID PIN進行初始化時之主機裝置-資料蓄積裝置間之交換的序列圖。

圖11係表示第1實施形態之資料蓄積裝置接收到LSID PIN之Set指令時之資料蓄積裝置之動作順序的流程圖。

圖12係表示第1實施形態之資料蓄積裝置接收到Revert指令時之資料蓄積裝置之動作順序的流程圖。

圖13係用以說明第1實施形態之資料蓄積裝置之第2用例之圖。

圖14係用以說明第1實施形態之資料蓄積裝置之第3用例之圖。

圖15係表示第2實施形態之資料蓄積裝置所具備之控制器之功能區塊之一例之圖。

圖16係表示第2實施形態之資料蓄積裝置中之有關LSID之指令及其發佈權限之一例之圖。

圖17係表示第2實施形態之資料蓄積裝置中之用於設定或獲取PIN之指令之發佈權限之一授予例之圖。

圖18係用以說明第2實施形態之資料蓄積裝置設定(更新)LSID PIN時之主機裝置-資料蓄積裝置間之交換的序列圖。

圖19係表示第2實施形態之資料蓄積裝置接收到Gen_LSID指令時之資料蓄積裝置之動作順序的流程圖。

圖20係表示第2實施形態之資料蓄積裝置接收到LSID PIN之Get指令時之資料蓄積裝置之動作順序的流程圖。

圖21係表示第3實施形態之資料蓄積裝置所具備之控制器之功能區塊之一例之圖。

圖22係表示第3實施形態之資料蓄積裝置中之有關LSID之指令及其發佈權限之一例之圖。

圖23係用以說明第3實施形態之資料蓄積裝置設定(更新)LSID PIN時之主機裝置-資料蓄積裝置間之交換的序列圖。

圖24係表示第3實施形態之資料蓄積裝置接收到Activate(w/param)指令時之資料蓄積裝置之動作順序的流程圖。

圖25係表示第4實施形態之資料蓄積裝置所具備之控制器之功能區塊之一例之圖。

圖26係用以說明第4實施形態之資料蓄積裝置設定LSID不可更新模式時之主機裝置-資料蓄積裝置間之第1方式下之交換的序列圖。

圖27係用以說明第4實施形態之資料蓄積裝置設定LSID不可更新模式時之主機裝置-資料蓄積裝置間之第2方式下之交換的序列圖。

圖28係表示第4實施形態之資料蓄積裝置之LSID可否更新相關之模式設定有關之資料蓄積裝置之動作順序的流程圖。

圖29係表示第5實施形態之資料蓄積裝置所具備之控制器之功能區塊之一例之圖。

圖30係用以說明第5實施形態之資料蓄積裝置之用例(第6用例)之圖。

圖31係表示第5實施形態之資料蓄積裝置接收到Activate指令時之資料蓄積裝置之動作順序的流程圖。

[相關申請案]

本申請案享有以日本專利申請案2018-14045號(申請日：2018年1月30日)為基礎申請案之優先權。本申請案藉由參照該基礎申請案而包含基礎申請案之全部內容。

以下，參照圖式對實施形態進行說明。

(第1實施形態)

首先，對第1實施形態進行說明。

圖1係表示本實施形態之資料蓄積裝置1之構成之一例之圖。該資料蓄積裝置1係搭載資料保護功能之儲存器，例如能夠以SSD(Solid State Drive，固態硬碟)或HDD(Hard Disk Drive，硬碟驅動器)等之形式實現。資料保護功能例如存在將資料編碼蓄積之基於編碼之類型、對分配給某個人之區域禁止該個人以外之人存取之基於鎖定之類型、基於編碼及鎖定之兩者之類型等各種類型。資料蓄積裝置1可應用上述各種類型中之任一種。即，資料蓄積裝置1不問其類型。作為資料保護功能之標準，例如存在TCG(Trusted Computing Group，可信賴運算組織)等。如圖1所示，資料蓄積裝置1具有控制器11、揮發性記憶體12、及非揮發性記憶體13。

控制器11係一種處理電路，其自主機裝置2受理Read(讀取)或Write(寫入)之指令，一面將揮發性記憶體12用作快取記憶體，一面將主機裝置2所要求之資料自非揮發性記憶體13讀出或者將自主機裝置2傳輸之資料寫入至非揮發性記憶體13。再者，揮發性記憶體12亦可設置於控制器11內。即，揮發性記憶體12並非必需。再者，揮發性記憶體12除了可用作快取記憶體以外，例如亦可用作來自非揮發性記憶體13之程式之載入目的地或該程式之作業區域等。

控制器11於資料保護功能基於編碼之情形時(包括基於編碼及鎖定之兩者之情形)，將資料寫入至非揮發性記憶體13時，將該資料利用密碼密鑰編碼，另一方面，將資料自非揮發性記憶體13讀出時，將編碼資料利用用於編碼之相同之密碼密鑰解碼。控制器11可藉由更新該密碼密鑰而使非揮發性記憶體13上之資料一起無效化。密碼密鑰之更新例如藉由產生隨機數並將密碼密鑰之值替換為該產生之隨機數之值而執行。

又，控制器11於資料保護功能並非基於編碼之情形時，例如使非揮發性記憶體13之(由主機裝置1辨識)管理邏輯位址與物理位址之對應關係之表格初始化，或者將特定值或隨機值遍及非揮發性記憶體13之指定區域或整體寫入，藉此使非揮發性記憶體13上之資料無效化。

再者，於TCG中，作為藉由編碼保護資料之標準，例如製定有Opal，又，作為不藉由編碼而保護資料之標準，例如製定有Pyrite。

揮發性記憶體12例如係DRAM(Dynamic RAM(Random Access Memory)，動態隨機存取記憶體)。又，非揮發性記憶體13例如係NAND(Not AND，反及)快閃記憶體或硬碟。

資料蓄積裝置1與主機裝置2例如藉由TCG SIIS(Storage Interface Interactions Specification，儲存介面互動規格)規格中規定之SCSI(Small Computer System Interface，小型電腦系統介面)介面、ATA(Advanced Technology Attachment，高級技術附加裝置)介面、NVM Express(NVMe(Non-Volatile Memory Express，非揮發記憶體標準)(註冊商標))、e‧MMC(Embedded Multi Media Card，嵌入式多媒體卡)介面等而連接。於圖1中表示資料蓄積裝置1與主機裝置2藉由NVMe(註冊商標)介面連接之例。

主機裝置2例如係利用資料蓄積裝置1作為儲存器之伺服器或個人電腦(PC)本體等。即，資料蓄積裝置1與主機裝置2一起構成1個資料處理系統。又，主機裝置2例如既可為用以作為資料蓄積裝置1之銷售商之驅動器供應商對資料蓄積裝置1進行各種設定之裝置，亦可為用以將自驅動器供應商購買之資料蓄積裝置1組入至伺服器或PC銷售之PC供應商對資料蓄積裝置1進行各種設定之裝置，還可為用以自PC供應商購買伺服器或PC使用之終端用戶對資料蓄積裝置1進行各種設定之裝置。主機裝置2之操作者可為驅動器供應商之操作員、PC供應商之操作員、終端用戶等。進而，於例如終端用戶為企業之情形時，主機裝置2之操作者可大致區分為特權用戶(IT(Information Technology，資訊科技)管理員)與普通用戶。

圖2係表示控制器11之功能區塊之一例之圖。

如圖2所示，控制器11具有介面處理部111、認證處理部112、PIN管理部113、許可處理部114、PIN存取控制部115、初始化處理部116、read/write存取控制部117、read/write處理部118等。

於圖1所示之非揮發性記憶體13(資料蓄積部)之特定區域，儲存有自主機裝置2接收到之用戶資料、及用以使控制器11執行各種順序之程式。該程式例如於資料蓄積裝置1啟動時等，藉由控制器11所具備之處理器，將其一部分或全部載入至圖1所示之揮發性記憶體12(亦可為設置於控制器11內之同時用作快取記憶體之揮發性記憶體)。控制器11之處理器執行該載入之揮發性記憶體12上之程式。即，藉由該程式之描述，可於控制器11內構築包含圖2所示之各處理部之各種處理部。

介面處理部111於與主機裝置2之間按照例如依據NVMe(註冊商標)標準之協定進行通信。更詳細而言，介面處理部111接收自主機裝置2發佈之指令，並且將與該指令對應之處理之結果發送至主機裝置2。

認證處理部112對主機裝置2之操作者進行認證。更詳細而言，於要求認證之指令自主機裝置2發佈並被介面處理部111接收之情形時，認證處理部112例如對主機裝置2側要求PIN之輸入，根據所輸入之PIN是否與PIN管理部113管理之PIN群中之某一個一致，而判定認證之成功與否。再者，PIN亦可以參數等之形式添加至要求認證之指令中。又，要求認證之指令中亦可添加與PIN對應之用戶資訊。認證處理部112進行之認證之成功與否經由介面處理部111被通知給主機裝置2。

PIN管理部113管理用於該認證之PIN群。於圖3中表示PIN管理部113所能管理之PIN之類型之一例。

如圖3所示，PIN管理部113可管理包括以符號a1表示之資料蓄積裝置1獨有之PIN即LSID(Logical SID(邏輯SID)：第1個人識別資訊)之SID(Security Identifier，安全標識符)、Admin(管理員)、User(用戶)、PSID(Physical Security Identifier，物理安全標識符)、LSID(Logical Security Identifier，邏輯安全標識符)、MSID(Manufactured Security Identifier，製造安全標識符)之6種PIN。即，資料蓄積裝置1中之PIN管理部113以可進而管理LSID之方式追加功能。

SID(對應第2個人識別資訊)係被稱為所有者PIN等之PIN，將資料保護功能激活或者進行在讓資料無效化之前提下使資料保護功能停用之初始化，具有SID PIN或下述LSID PIN之設定等權限。

Admin係被稱為管理員(Admin)PIN等之PIN，且係具有如下等權限之PIN：設定User PIN，或對某User分配區域之設定權限，或將User對分配給自身之區域施加之禁止其他人存取之鎖定解除。

User(對應第3個人識別資訊)係被稱為用戶PIN等之PIN，具有對分配給自身之區域進行存取之權限。又，User具有施加鎖定之權限及解除該鎖定之權限，上述鎖定係指禁止其他人對分配給User自身之區域進行存取。如上所述，Admin具有該解除鎖定之權限。可存在複數個User，亦可不存在User。

PSID係被稱為標籤PIN等之PIN，僅具有進行初始化之權限。PSID係設想如下等狀況而準備之PIN，且通常印刷於(只要PC之殼體不開封便不露出)資料蓄積裝置1之殼體上所貼附之標籤等，上述狀況例如係當欲將借給離職之職員A且處於資料蓄積裝置1被該職員A施加了鎖定之狀態之PC中之資料蓄積裝置1初始化後將PC再借給職員B，此時，職員A已經不在，且IT管理員忘記了SID PIN而無法進行初始化。陷入此種狀況時，IT管理員藉由將PC之殼體開封並參照資料蓄積裝置1之標籤而獲取PSID PIN，更詳細而言，藉由以PSID使認證成功，可使資料蓄積裝置1初始化。又，當為業務用PC時，一般而言，一旦將PC之殼體開封，便會成為PC供應商之保證對象以外，因此，多數情形時亦會委託PC供應商之客戶中心等進行初始化。再者，設想此種用途之PSID被定義為不可更新之PIN。PSID PIN例如於製造資料蓄積裝置1時根據驅動器供應商獨有之特殊指令等進行設定。或者，亦可於將上述程式儲存(安裝)至非揮發性記憶體13之特定區域時設定。又，設定PSID PIN為任意(可選)，亦可考慮不存在PSID PIN之情形。

然，近來，資料蓄積裝置1之小型化不斷推進，確保貼附標籤之空間逐漸變得困難。又，於大量之資料蓄積裝置1上貼附之標籤上無誤地印字PSID PIN之作業對驅動器供應商而言，負擔本來就大。又，具有進行初始化之權限之PSID於其值例如被不法者盜取之情形時，有被進行用戶所不期望之資料刪除等之虞。因此，資料蓄積裝置1導入安全性及方便性優異之LSID，作為PSID之代替PIN。再者，資料蓄積裝置1並非將PSID排除。即，資料蓄積裝置1一面維持PSID相關之功能，一面追加LSID相關之功能。此處，資料蓄積裝置1設為未設定PSID PIN者、即於PIN管理部113中不管理PSID PIN者。

如上所述，LSID係PSID之代替PIN。即，LSID與PSID同樣，具有進行資料蓄積裝置1之初始化之權限。又，LSID被定義為可於固定條件下設定之PIN。關於該方面，將於下文進行敍述。

MSID係不具有任何權限之PIN，且係為了保存SID之初始值而定義之PIN。換言之，SID PIN於資料蓄積裝置1處於初始狀態之情形時，值與MSID PIN相同。MSID亦與PSID同樣，被定義為不可更新之PIN，其值例如於製造資料蓄積裝置1時根據驅動器供應商獨有之特殊指令等進行設定。或者，亦可於將上述程式儲存(安裝)至非揮發性記憶體13之特定區域時設定。SID PIN之初始值亦與MSID PIN同樣地設定。又，MSID被定義為不認證便可讀出之PIN。例如購買了PC之終端用戶等首先讀出該MSID PIN，利用其值作為SID使認證成功，藉此可進行SID PIN之設定(更新)或資料保護功能之激活等，詳情將於下文進行敍述。又，若利用SID之權限將資料保護功能激活，則可進行Admin PIN之設定或User PIN之設定等。

返回至圖2，繼續進行控制器11之各處理部之說明。

於某些指令自主機裝置2發佈並被介面處理部111接收之情形時，許可處理部114根據是否以被授予發佈該指令之權限之PIN認證成功來判定可否受理該指令。更詳細而言，許可處理部114例如於自介面處理部111接收到發佈權限僅授予給SID之指令之情形時，根據認證處理部112是否以SID PIN使認證成功來判定可否受理該指令。

於圖4中表示本實施形態之資料蓄積裝置1中之有關LSID(PIN)之指令及其發佈權限之一例。

圖4中，Activate(激活)係用以將資料保護功能激活之指令。資料保護功能激活之狀態例如被稱為Active等。Activate之發佈權限被授予給SID。另一方面，Revert(恢復)係用以使資料保護功能停用之指令。資料保護功能停用之狀態例如被稱為inactive等。資料保護功能停用時，資料無效化。如上所述，資料之無效化係於資料保護功能基於編碼之情形時，藉由更新密碼密鑰而進行，於資料保護功能並非基於編碼之情形時，藉由使管理邏輯位址與物理位址之對應關係之表格初始化或者將特定值或隨機值遍及非揮發性記憶體13整體寫入而進行。即，Revert實質上係用以進行初始化之指令。又，初始化時，PIN管理部113所管理之SID PIN恢復為與作為初始值之MSID PIN相同之值。於設定有User之情形時，其PIN之值被刪除。被定義為不可更新之PIN之PSID不可能存在初始化之概念。又，LSID PIN維持當時之值。Inactive狀態亦被稱為OFS(Original Factory State，原始出廠狀態)等。Revert之發佈權限被授予給包括以符號b1表示之(資料蓄積裝置1獨有之)LSID之SID、PSID、LSID。即，資料蓄積裝置1中之許可處理部114以能夠利用LSID權限發佈Revert指令之方式追加功能。

Set(設定)係用以寫入(設定)包括PIN之各種設定值之指令，Get(獲取)係用以讀出(獲取)包括PIN之各種設定值之指令。Set及Get之發佈權限根據其等之對象(Object)而定義。於圖5中表示Set或Get之對象(Object)為PIN時之發佈權限之一授予例。

關於SID PIN，用以設定其值之Set指令之發佈權限僅被授予給SID，用以獲取其值之Get指令不存在。關於Admin PIN，用以設定其值之Set指令之發佈權限僅被授予給Admin，用以獲取其值之Get指令不存在。關於User PIN，用以設定其值之Set指令之發佈權限僅被授予給Admin或其User，用以獲取其值之Get指令不存在。

PSID PIN如上所述被定義為不可更新之PIN，因此用以設定其值之Set指令不存在。又，用以獲取PSID PIN之值之Get指令亦不存在。再者，此處，設想PIN管理部113不管理PSID PIN，但下述PIN存取控制部115維持判定為不可受理以PSID PIN為對象之Set指令或Get指令之功能。

關於本實施形態之資料蓄積裝置1中新設之以符號c1表示之LSID PIN，於第1條件下或第2條件下，用以設定其值之Set指令之發佈權限僅被授予給SID。用以獲取LSID PIN之值之Get指令不存在。所謂第1條件係指LSID PIN為初始值。LSID PIN之初始值設為例如高值(High value)(全部為F)等不能利用Set指令設定之特定值即可。該LSID PIN之初始值亦與PSID PIN或MSID PIN同樣，例如於製造資料蓄積裝置1時，根據驅動器供應商獨有之特殊指令等進行設定。或者，亦可於將上述程式儲存(安裝)至非揮發性記憶體13之特定區域時設定。又，所謂第2條件係指資料保護功停用之狀態，即inactive狀態。

MSID PIN如上所述被定義為不可更新之PIN，因此用於設定該值之Set指令不存在。另一方面，用於獲取MSID PIN之值之Get指令，不進行認證(任何人)即可發佈。

可否受理以PIN為對象之Set指令或Get指令，由下述PIN存取控制部113判定。許可處理部114將以PIN為對象之Set指令及Get指令，傳輸至PIN存取控制部115，委託PIN存取控制部115判定可否受理上述指令。

返回至圖2，進而繼續說明控制器11之各處理部。

PIN存取控制部115控制PIN向PIN管理部113之寫入(設定)或PIN自PIN管理部113之讀出(獲取)。更詳細而言，PIN存取控制部115於自許可處理部114接收到關於PIN之Set指令之情形時，調查是否以具有設定該PIN之權限之PIN認證成功，而判定可否受理該指令。於判定為可受理之情形時，PIN存取控制部115對PIN管理部113設定該PIN，當設定PIN時，將該內容經由介面處理部111通知給主機裝置2。同樣地，於自許可處理部114接收到關於PIN之Get指令之情形時，PIN存取控制部115調查是否以具有獲取該PIN之權限之PIN認證成功，於判定為可受理之情形時，自PIN管理部113獲取該PIN。所獲取之PIN經由介面處理部111被發送至主機裝置2。

又，關於LSID PIN相關之Get指令，無論以哪一個PIN認證成功，PIN存取控制部115均判定為不可受理。另一方面，關於LSID PIN相關之Set指令，第一，PIN存取控制部115調查認證處理部112是否藉由 SID PIN使認證成功、及PIN管理部113所管理之LSID是否為初始值，若藉由SID PIN認證成功，且LSID PIN為初始值，則判定為可受理該LSID PIN相關之Set指令。PIN存取控制部115將PIN管理部113所管理之LSID PIN，更新為以Set指令指定之值，並將該LSID PIN之更新完成，經由介面處理部111通知給主機裝置2。

又，第二，PIN存取控制部115調查認證處理部112是否藉由SID PIN使認證成功、及是否為根據Revert指令(基於下述初始化處理部116)進行了初始化之Inactive狀態。於藉由SID PIN以外認證成功之情形時，或非處於基於Revert指令初始化後之Inactive狀態之情形時，PIN存取控制部115判定為不可受理該LSID PIN相關之Set指令，並將該內容經由介面處理部111通知給主機裝置2。另一方面，於藉由SID PIN認證成功且為基於Revert指令初始化後之Inactive狀態之情形時，PIN存取控制部115判定為可受理該LSID PIN相關之Set指令。PIN存取控制部115將PIN管理部113所管理之LSID PIN更新為以Set指令指定之值，並將該LSID PIN之更新完成經由介面處理部111通知給主機裝置2。

即，於資料蓄積裝置1中，關於LSID PIN之Set指令僅被限制為如下2個時機。

(1)以SID PIN認證成功，且LSID PIN為初始值之情形。

(2)以SID PIN認證成功，且為已藉由Revert指令初始化之狀態之情形。

即，資料蓄積裝置1中之PIN存取控制部115以如下方式追加功能，即，作為對PIN管理部113所管理之PIN之存取，進而能夠以LSID PIN為對象進行存取。更詳細而言，以可將對PIN管理部113之LSID PIN 相關之存取僅限制為上述(1)、(2)之時機之方式追加功能。為PSID之代替PIN且如此控制存取之LSID PIN與PSID PIN相比所具備之優越性將於下文進行敍述。

又，PIN存取控制部115亦可以LSID PIN之變更、更詳細而言、初始值以外之狀態之LSID PIN之更新只允許1次之方式進行控制。例如，可藉由記錄初始值以外之狀態下之LSID PIN之更新次數等而進行該控制。

初始化處理部116係於已發佈Revert指令，且判定為該Revert指令可被許可處理部114受理之情形時，進行在讓資料無效化之前提下使資料保護功能停用之初始化。如上所述，Revert指令係於以SID PIN、PSID PIN或LSID PIN認證成功之情形時，判定為可被許可處理部114受理(參照圖4)。

於已發佈Read指令或Write指令之情形時，read/write存取控制部117將由該等指令指定之邏輯位址轉換為物理位址，對read/write處理部118指示將資料自該物理位址讀出或對物理位址寫入資料，即，將資料自非揮發性記憶體13讀出或對非揮發性記憶體13寫入資料。read/write存取控制部117可針對User之區域，根據來自被分配該區域之User之施加鎖定之指令或解除鎖定之指令，進行施加鎖定之處理或解除鎖定之處理。read/write存取控制部117於接收到對於被某User施加了鎖定之區域之Read指令或Write指令之情形時，判定為不可受理該Read指令或Write指令，並將該內容經由介面處理部111通知給主機裝置2。再者，於已發佈解除鎖定之指令之情形時，由許可處理部114判定可否受理上述指令。更詳細而言，許可處理部114於除上述User之PIN以外，亦以Admin PIN認證成功之情形時，亦判定為可受理。

read/write處理部118執行read/write存取控制部117所指示之資料自物理位址之讀出或資料向物理位址之寫入、即資料自非揮發性記憶體13之讀出或資料向非揮發性記憶體13之寫入。對非揮發性記憶體13存取之結果經由介面處理部111被通知給主機裝置2。例如，當發佈read指令時，自非揮發性記憶體13讀出之資料經由介面處理部111被發送至主機裝置2，當發佈write指令時，對非揮發性記憶體13之資料寫入完成經由介面處理部111被通知給主機裝置2。

此處，參照圖6，對搭載資料保護功能之資料蓄積裝置1之狀態轉移之概要進行說明。

例如，當驅動器供應商出貨時，資料蓄積裝置1處於資料保護功能停用之狀態即Inactive狀態。又，此時，SID PIN之值成為與MSID PIN相同之值。該狀態為圖6中以符號S1表示之狀態。

其次，例如，將處於以符號S1表示之狀態之資料蓄積裝置1組入至PC出貨之PC供應商藉由Get指令將不認證即可獲取之MSID PIN讀出(圖6之(1))，使用上述MSID PIN以SID權限使認證成功(圖6之(2))，並藉由Set指令設定SID PIN之值(圖6之(3))。該狀態為圖6中以符號S2表示之狀態。此處，PC本體為圖1所示之主機裝置2。再者，SID PIN之值不限於Inactive狀態之情形，亦可於Active之狀態下設定。

繼而，例如，購買組入有處於以符號S2表示之狀態之資料蓄積裝置1之PC之終端用戶(企業)之IT管理員使用PC供應商所通知之SID以SID權限使認證成功(圖6之(4))，並藉由Activate指令使Active資料保護功能激活(圖6之(5))。該狀態為圖6中以符號S3表示之狀態。若使資料保護功能激活，即，若設為Activate狀態，則IT管理員例如進行Admin PIN之設定(更新)、User PIN之設定、對哪個User分配區域之設定權限之設定、使對於區域之鎖定功能有效化之設定等(圖6之(6))，將組入有進行該等設定後鎖定功能變得有效之資料蓄積裝置1之PC借給職員。職員例如藉由使用IT管理員所通知之User PIN以User權限使認證成功，可開始使用組入有資料保護功能激活之資料蓄積裝置1之PC。

又，若使用SID PIN、PSID PIN(此處，設為未設定PSID PIN)、LISD PIN使認證成功，則可藉由Revert指令使處於以符號S3表示之狀態之借給某職員之PC恢復為以符號S1表示之狀態。

根據如上所述之資料蓄積裝置1之狀態轉移，接下來，參照圖7，對著眼於LSID之資料蓄積裝置1之第1用例進行說明。

如圖7所示，此處，設想PC供應商52將由驅動器供應商51出貨之資料蓄積裝置1組入至PC3並向企業等終端用戶53出貨(組入有資料蓄積裝置1之PC3)之實例。於該實例之情形時，組入有資料蓄積裝置1之PC3中之PC本體相當於圖1所示之主機裝置2。又，以下，有時將組入至PC3之資料蓄積裝置1之初始化簡稱為PC3之初始化。

此處，驅動器供應商51將資料蓄積裝置1以資料保護功能停用之狀態出貨，且以LSID PIN為初始值之狀態出貨。即，驅動器供應商51不進行作為PSID之代替PIN之LSID PIN之管理。因此，驅動器供應商51可削減用以將PSID PIN無誤地印字於標籤之管理PSID PIN之步驟。

另一方面，PC供應商52無須針對每個資料蓄積裝置1自驅動器供應商51接收LSID之值，由於LSID PIN為初始值，故而例如，可根據PC供應商52獨有之規則針對例如組入資料蓄積裝置1之每一PC3決定並設定LSID之值(圖7之(1))。例如，既可對各PC3分配不同之值，又可對相同之型號分配相同之值。又，亦可設為根據只有PC供應商能夠知道之密鑰或演算法、及PC3之序列號導出之值。由於接觸LSID PIN為初始值之狀態之資料蓄積裝置1之機會被限定給驅動器供應商51或PC供應商52之操作員等，故而可防止LSID PIN為初始值之狀態時被不法者進行帶有惡意之設定(更新)。再者，圖7之(1)之處理既可由組入有資料蓄積裝置1之PC3內之主機裝置2進行，又可由與PC3內之主機裝置2不同之主機裝置進行。

於自PC供應商52購買PC3之終端用戶53側，IT管理員使用MSID PIN以SID權限進行認證，更新SID PIN，並且使資料蓄積裝置1之資料保護功能激活，設定Admin PIN，以Admin權限進行User PIN之設定、對哪個User分配區域之設定權限之設定、使對於區域之鎖定功能有效化之設定等，將組入有進行該等設定後鎖定功能變得有效之資料蓄積裝置1之PC3借給職員(圖7之(2))。

此處，例如，設想如下情形：需要將借給某職員且處於被該職員施加了鎖定之狀態之PC3初始化，但該職員已經不在而無法知道User PIN，且IT管理員除了Amin PIN以外，亦忘記了SID PIN(圖7之(3))。於該情形時，終端用戶(IT管理員)53將該PC3送至PC供應商52，委託該PC3之初始化。

接受該委託之PC供應商52藉由使用設定為該PC3用之LSID PIN使認證成功，可對該PC3進行在讓資料無效化之前提下使資料保護功能停用之初始化(圖7之(4))，從而可將初始化之PC3返還給終端用戶(圖7之(5))。此處，重要點在於PC供應商52能夠管理LSID PIN。PSID PIN由驅動器供應商51產生，且PSID PIN之值不可變更，故而PC供應商52無法將用以使PC3初始化之PIN設定為任意值。但是，根據本實施形態中表示之順序，PC供應商52以圖7之(1)設定LSID PIN、即用以使PC3初始化之PIN，故而當然知道其值，而能夠進行管理。因此，PC供應商52不用向驅動器供應商51詢問其值，便可以圖7之(5)使PC3初始化。又，如上所述，解除鎖定之權限只有Admin及該User具有，利用LSID無法讀出施加鎖定之區域之資料，故而終端用戶53不用擔心本公司之資料被PC供應商52讀取，因此可放心地委託初始化。再者，圖7之(4)之處理既可由組入有資料蓄積裝置1之PC3內之主機裝置2進行，又可由與PC3內之主機裝置2不同之主機裝置進行。

再者，於IT管理員未忘記SID PIN之情形時，使用SID PIN使認證成功，發佈Revert指令，藉此可使該PC3初始化。又，於該初始化狀態下，可藉由SID權限設定(更新)LSID PIN。但是，SID PIN由IT管理員管理，藉由SID權限之LSID PIN之設定(更新)被限定為初始化狀態，故而可防止被不法者進行帶有惡意之設定(更新)。又，藉由定義下述其他實施形態中說明之將LSID PIN之更新設為不允許之模式，例如可更確實地防止如下行為，即，不正當地設定(更新)LSID PIN，威脅隨時能以該LSID刪除資料而要求財物等。

圖8係用以說明於LSID PIN為初始值之狀態下設定(更新)LSID PIN時之主機裝置2-資料蓄積裝置1間之交換之序列圖。

主機裝置2首先使用SID PIN要求資料蓄積裝置1進行SID權限之認證(圖8之(1))。若該SID PIN之值正確，則資料蓄積裝置1使該認證成功(圖8之(2))。

若使SID權限之認證成功，則主機裝置2繼而發佈LSID PIN 之Set指令(圖8之(3))。接收到該指令之資料蓄積裝置1調查LSID PIN是否為初始值，若為初始值，則將LSID PIN設定(更新)為主機裝置2所指定之值(圖8之(4))。

另一方面，圖9係用以說明於LSID PIN為初始值以外之狀態下設定(更新)LSID PIN時之主機裝置2-資料蓄積裝置1間之交換之序列圖。

主機裝置2首先使用SID PIN要求資料蓄積裝置1進行SID權限之認證(圖9之(1))。若該SID PIN之值正確，則資料蓄積裝置1使該認證成功(圖9之(2))。

若使SID權限之認證成功，則主機裝置2繼而發佈Revert指令(圖9之(3))。接收到該指令之資料蓄積裝置1調查是否以具有Revert指令之發佈權限之PIN認證成功，若成功，則使資料保護功能轉變為停用狀態(inactive)。即，執行伴隨資料之無效化之初始化(圖9之(4))。

若使資料保護功能停用，則主機裝置2發佈LSID PIN之Set指令(圖9之(5))。再者，資料蓄積裝置1、更詳細而言PIN存取控制部115較佳為能夠將於已發佈Revert指令之情形時可否受理LSID PIN之Set指令設定為選項。或者，PIN存取控制部115亦可使得只有於LSID PIN為初始值之情形時，能夠受理LSID PIN之Set指令。即，於已發佈Revert指令之情形時能夠受理LSID PIN之Set指令並非必須。此處，設為於已發佈Revert指令之情形時能夠受理LSID PIN之Set指令而進行設定。即，亦可將在Revert後是否變為能夠設定LSID之狀態設為可選功能，能夠對可否設定進行切換。接收到該指令之資料蓄積裝置1調查是否以具有LSID PIN之Set指令之發佈權限之PIN認證成功、及資料保護功能是否為inactive之狀態，於以具有LSID PIN之Set指令之發佈權限之PIN認證成功，且資料保護功能為inactive之狀態之情形時，將LSID PIN設定(更新)為主機裝置2所指定之值(圖9之(6))。

又，圖10係用以說明藉由LSID PIN進行初始化時之主機裝置2-資料蓄積裝置1間之交換之序列圖。

主機裝置2首先使用LSID PIN要求資料蓄積裝置1進行LSID權限之認證(圖10之(1))。若上述LSID PIN正確，則資料蓄積裝置1使該認證成功(圖10之(2))。

若使LSID權限之認證成功，則主機裝置2發佈Revert指令(圖10之(3))。接收到該指令之資料蓄積裝置1調查是否以具有Revert指令之發佈權限之PIN認證成功，若成功，則使資料保護功能轉變為停用狀態(inactive)。即，執行伴隨資料之無效化之初始化(圖10之(4))。

圖11係表示接收到LSID PIN之Set指令時之資料蓄積裝置1之動作順序之流程圖。

若接收LSID PIN之Set指令，則資料蓄積裝置1調查LSID PIN之Set指令之發佈權限(步驟A1)。更詳細而言，調查是否以具有LSID PIN之Set指令之發佈權限之PIN認證成功。於以不具有該指令之發佈權限之PIN認證成功之情形時(步驟A2之否(NO))，資料蓄積裝置1向該指令之發佈源回覆錯誤(步驟A3)。

於以具有LSID PIN之Set指令之發佈權限之PIN認證成功之情形時(步驟A2之是(YES))，資料蓄積裝置1繼而調查是否滿足該指令之發佈條件(步驟A4)。更詳細而言，首先，調查LSID PIN是否為初始值(步驟A5)。於初始值之情形時(步驟A5之是)，資料蓄積裝置1將LSID PIN設定為以該Set指令接收到之值(步驟A7)。於LSID PIN為初始值以外之情形時(步驟A5之否)，資料蓄積裝置1繼而調查資料保護功能是否為Inactive狀態(步驟A6)。於資料保護功能並非Inactive狀態之情形時(步驟A6之否)，資料蓄積裝置1向該指令之發佈源回覆錯誤(步驟A3)。於資料保護功能為Inactive狀態之情形時(步驟A6之是)，資料蓄積裝置1將LSID PIN設定為以該Set指令接收到之值(步驟A7)。

圖12係表示接收到Revert指令時之資料蓄積裝置1之動作順序之流程圖。

若接收Revert指令，則資料蓄積裝置1調查Revert指令之發佈權限(步驟B1)。更詳細而言，調查是否以具有Revert指令之發佈權限之PIN認證成功。於以不具有該指令之發佈權限之PIN認證成功之情形時(步驟B2之否)，資料蓄積裝置1向該指令之發佈源回覆錯誤(步驟B3)。

另一方面，於以具有包含LSID之Revert指令之發佈權限之PIN認證成功之情形時(步驟B3之是)，資料蓄積裝置1使資料無效化(步驟B4)，使資料保護功能轉變為Inactive狀態(步驟B5)。

圖13係用以說明著眼於LSID之資料蓄積裝置1之第2用例之圖。

與上述第1用例同樣地，第2用例亦設想PC供應商52將由驅動器供應商51出貨之資料蓄積裝置1組入至PC3並向企業等終端用戶53出貨(組入有資料蓄積裝置1之PC3)之實例。於該情形時，組入有資料蓄積裝置1之PC3中之PC本體相當於圖1所示之主機裝置2。

又，於第2用例中，驅動器供應商51亦將資料蓄積裝置1以資料保護功能停用之狀態出貨，且以LSID PIN為初始值之狀態出貨。即，驅動器供應商51不進行作為PSID之代替PIN之LSID PIN之管理。因此，於第2用例中，驅動器供應商51亦可削減用以將PSID PIN無誤地印字於標籤之管理PSID PIN之步驟。

於第2用例中，PC供應商52管理SID PIN。更詳細而言，除第1用例中之LSID PIN之設定以外，例如PC供應商52之操作員等使用MSID PIN以SID權限使認證成功，更新SID PIN，並且使資料蓄積裝置1之資料保護功能激活(圖13之(1))。於該第2用例中，終端用戶53管理SID PIN一事公開，因此，只要PC供應商52恰當地管理SID PIN，便可防止於終端用戶53側SID PIN被盜取。再者，圖13之(1)之處理既可由組入有資料蓄積裝置1之PC3內之主機裝置2進行，又可由與PC3內之主機裝置2不同之主機裝置進行。

另一方面，於自PC供應商52購買PC3之終端用戶53側，IT管理員進行Admin PIN之設定、及User PIN之設定、對哪個User分配區域之設定權限之設定、使對於區域之鎖定功能有效化之設定等，將組入有進行該等設定後鎖定功能變得有效之資料蓄積裝置1之PC借給職員(圖13之(2))。

此處，設想如下情形：於自PC供應商52購買PC3之終端用戶53側，例如，某用戶於對分配給自身之區域施加鎖定之狀態下，忘記了PIN(User)，且IT管理員忘記了Admin_PIN(圖13之(3))。於該情形時，終端用戶53將該PC3送至PC供應商52，(放棄資料)委託該PC3之初始化。

接受該委託之PC供應商52既可藉由使用設定為該PC3用之SID PIN使認證成功而使該PC3初始化，又可藉由使用設定為該PC3用之LSID PIN使認證成功而使該PC3初始化(圖13之(4))。該初始化後，PC供應商52再次進行除LSID PIN之設定以外之SID PIN之設定、資料保護功能之激活(圖13之(1))，然後返還給終端用戶53(圖13之(5))。

於該第2用例中，由於SID PIN由PC供應商52側管理，故而可更確實地防止LSID PIN不正當地更新。再者，圖13之(4)之處理既可由組入有資料蓄積裝置1之PC3內之主機裝置2進行，又可由與PC3內之主機裝置2不同之主機裝置進行。

接下來，引用用於說明第1用例之圖7，對資料蓄積裝置1之第3用例進行說明。

於第1用例中，例如，需要將借給某職員且處於被該職員施加了鎖定之狀態之PC初始化，但該職員已經不在而無法知道User PIN，且IT管理員除了Admin PIN以外，亦忘記了SID PIN之情形時(圖7之(3))，將該PC3送至PC供應商52，委託該PC3之初始化。

與此相對，於第3用例中，於本實施形態之資料蓄積裝置1中，著眼於PC供應商52能夠按照獨有之規則決定、管理LSID PIN，IT管理員給PC供應商52之客服中心打電話，詢問LSID PIN。換言之，設想PC供應商52提供受理來自終端用戶53之LSID PIN之詢問之服務。

若PC供應商52欲利用現有方法(PSID PIN)應對此種詢問，則PC供應商52必須進行如下等操作，即，以目視或條碼等讀取資料蓄積裝置1之PSID PIN，製作(輸入)與PC3之序列號一起管理之資料庫等。

另一方面，於本實施形態之資料蓄積裝置1中，由於PC供應商52可獨自決定資料蓄積裝置1之LSID PIN與PC3之序列號，故而可大幅度削減管理之工夫。

又，於該第3用例中，不用將PC3寄存於PC供應商52，故而終端用戶53不用擔心本公司之資料被PC供應商52讀取。

接下來，引用用以說明第2用例之圖13，對資料蓄積裝置1之第4用例進行說明。

於第2用例中，例如，某用戶於對分配給自身之區域施加鎖定之狀態下，忘記了PIN(User)，且IT管理員忘記了Admin_PIN之情形時(圖13之(3))，將該PC3送至PC供應商52，委託該PC3之初始化。

與此相對，於第4用例中，不將該PC3送至PC供應商52，而終端用戶53將PC3之殼體開封，參照資料蓄積裝置1之殼體上貼附之資料蓄積裝置1之標籤，獲取LSID PIN。然後，以該LSID PIN使認證成功，發佈Revert指令，使該PC3初始化。

即，本實施形態之LSID_PIN可與PSID_PIN同樣地利用。再者，一般而言，一旦將PC3之殼體開封，便會成為PC供應商52之保證對象以外，故而於終端用戶53側將PC3之殼體開封，獲取LSID PIN，使PC3初始化之情形時，為了將資料保護功能激活，例如，於終端用戶53側，設定SID_PIN，發佈Activate指令。當然，亦可不使資料保護功能激活便使用PC3。

圖14係用以說明著眼於LSID之資料蓄積裝置1之第5用例之圖。

與上述第1至第3用例同樣地，第3用例亦設想PC供應商52將由驅動器供應商51出貨之資料蓄積裝置1組入至PC3並向企業等終端用戶53出貨(組入有資料蓄積裝置1之PC3)之實例。於該情形時，組入有資料蓄積裝置1之PC3中之PC本體相當於圖1所示之主機裝置2。

又，於第4用例中，驅動器供應商51亦將資料蓄積裝置1以資料保護功能停用之狀態出貨，且以LSID PIN為初始值之狀態出貨。即，驅動器供應商51不進行作為PSID之代替PIN之LSID之管理。因此，於第3用例中，驅動器供應商51亦可削減用於將PSID PIN無誤地印字於標籤之管理PSID PIN之步驟。

於第4用例中，設想PC供應商52代替於小型化發展至難以確保貼附標籤之空間之程度之資料蓄積裝置1上貼附標籤，而將該標籤貼附於組入資料蓄積裝置1之PC本體側。

若PC供應商52以現有方法(PSID PIN)於貼附在組入資料蓄積裝置1之PC本體側之標籤上印字該資料蓄積裝置1之PSID PIN，則將自驅動器供應商51獲取之PSID PIN無誤地印字於標籤之PC供應商52之作業成為非常繁雜之作業。與此相對，於應用作為PSID之代替PIN之LSID之資料蓄積裝置1中，由於可根據PC供應商52獨有之規則針對例如組入資料蓄積裝置1之每一PC3決定並設定LSID PIN(圖14之(1))，故而可大幅度簡化於PC本體側貼附之標籤上印字資料蓄積裝置1之LSID PIN之作業(圖14之(2))。

更詳細而言，於既往方法(PSID)中，PC供應商52必須進行如下作業：以目視或條碼等讀取資料蓄積裝置1之PSID PIN，將其印字於貼附在PC本體之標籤，並貼附至PC本體。另一方面，於本實施形態之資料蓄積裝置1中，PC供應商52自己決定資料蓄積裝置1之LSID PIN，將其設定於資料蓄積裝置1，並且印字於標籤上。作為與此同等之作業，PC供應商52已經進行了如下作業：決定PC3之序列號，將其設定於PC3，並且印字於貼附在PC本體之標籤上，而對於資料蓄積裝置1之PSID亦只要應用此種作業即可，故而亦不會導致大幅之成本增加等。

PC供應商52出貨PC3後，例如，與第1用例同樣地，終端用戶53側之IT管理員使用MSID以SID權限進行認證，更新SID，並使資料蓄積裝置1之資料保護功能激活，設定Admin_PIN，以Admin權限，進行User_PIN之設定、對哪個User分配區域之設定權限之設定、及使對於區域之鎖定功能有效化之設定等，將組裝有進行該等設定後鎖定功能變得有效之資料蓄積裝置1之PC3借給職員(圖14之(3))。又，此處，例如亦設想如下情形：需要將借給某職員且處於被該職員施加了鎖定之狀態之PC3初始化，但該職員已經不在而無法知道User PIN，且IT管理員除了Admin PIN以外，亦忘記了SID PIN(圖14之(4))。

於第5用例中，於此種情形時，終端用戶(IT管理員)53參照貼在PC3之本體之標籤，獲取LSID PIN，使用該LSID PIN使認證成功，藉此使該PC3初始化(圖14之(5))。先前，由於印字有PSID PIN之標籤被貼在資料蓄積裝置1，故而為了獲取PSID PIN，必須將PC3之殼體開封，但於將LSID PIN印字於PC3之本體側貼附之標籤之本第5用例中，可無須將PC3之殼體開封。

再者，較佳為終端用戶(IT管理員)53於交納PC3時，在記下LSID_PIN後便將印字有LSID PIN之標籤自PC3撕下，以防被其他人參照而獲取LSID_PIN。

又，LSID_PIN之印字亦可不一定在貼在PC3之標籤上進行。例如，PC供應商52亦可將印字有LSID_PIN之紙或封條等印刷物(紙媒體)隨附於說明書而送交給終端用戶53。而且，於終端用戶53側，IT管理員亦可將上述印刷物取下，僅將說明書分發給職員。

或者，PC供應商52亦可將記錄有表示LSID_PIN與PC3之序列號之對應關係之清單之CD(Compact Disc，光碟)-ROM(Read Only Memory，唯讀記憶體)、或記載有該清單之文件等送交給終端用戶(IT管理員)53等。

該初始化後，終端用戶(IT管理員)53再次進行SID之設定、資料保護功能之激活、Admin PIN之設定、及User PIN之設定等(圖14之(3))，將該PC3再借給職員。

如此，資料蓄積裝置1可處理安全性及方便性優異之初始化用個人識別資訊。

(第2實施形態)

接下來，就第2實施形態進行說明。

圖15係表示第2實施形態之控制器11之功能區塊之一例之圖。再者，對與第1實施形態相同之構成要素使用相同符號，並省略重複說明。

於上述第1實施形態中，用以獲取LSID PIN之Get指令不存在，另一方面，關於用以設定LSID PIN之Set指令，若LSID PIN為初始值，則可以SID權限發佈，又，若LSID PIN為初始值以外，則僅限於資料保護功能為Inactive狀態時，可以SID權限發佈。即，於第1實施形態中，可將LSID PIN設定為Set指令之發佈者指定之值。

與此相對，於第2實施形態中，於SID權限下受理更新LSID PIN之指令而並非設定LSID PIN之指令，受理該指令後，於資料蓄積裝置1內產生並設定(更新)LSID PIN之值。又，於利用該指令更新了LSID PIN之情形時，資料蓄積裝置1於SID權限下只受理1次用以獲取(更新後之)LSID PIN之Get指令。

如圖15所示，本實施形態之資料蓄積裝置1進而具有LSID產生部119(對應第1個人識別資訊產生部)。LSID產生部119具有例如產生隨機數之功能，使用該功能產生LSID之值。

於圖16中表示本實施形態之資料蓄積裝置1中之有關LSID之指令及其發佈權限之一例。

如圖16所示，於本實施形態之資料蓄積裝置1中，除了Revert指令之發佈權限被授予給LSID(符號b1)以外，亦定義以符號b2表示之Gen_LSID作為有關LSID之指令。Gen_LSID係用以更新LSID PIN之指令，其發佈權限被授予給SID。

又，圖17係表示本實施形態之資料蓄積裝置1中之Set或Get之對象(Object)為PIN時之發佈權限之一授予例之圖。

於本實施形態之資料蓄積裝置1中，伴隨Gen_LSID指令之新設，關於LSID PIN(符號c1)，如符號c2所示，用以獲取其值之Get指令之發佈權限於固定條件下被授予給SID。所謂固定條件係指利用Gen_LSID指令更新LSID PIN後之第1次Get指令。又，用以設定LSID PIN之Set指令不存在。

本實施形態之資料蓄積裝置1中之許可處理部114係於Gen_LSID指令自主機裝置2發佈並被介面處理部111接收之情形時，根據認證處理部112是否以SID使認證成功，而判定可否受理該指令。以SID使認證成功，而判定為可受理該指令之許可處理部114對PIN存取控制部115及LSID產生部119指示執行與Gen_LSID指令對應之處理。接收到該指示之LSID產生部119使用上述產生隨機數之功能而產生LSID PIN之值。又，本實施形態之資料蓄積裝置1中之PIN存取控制部115將LSID PIN更新為LSID產生部119所產生之值。

又，本實施形態之資料蓄積裝置1中之PIN存取控制部115係於以LSID PIN為對象之Get指令自主機裝置2發佈並被介面處理部111接收之情形時，判定可否受理該指令之判定。更詳細而言，PIN存取控制部115根據是否為藉由Gen_LSID指令之發佈更新LSID PIN後之第1次Get指令，而判定可否受理該指令。於判定為可受理該指令之情形時，PIN存取控制部115自PIN管理部113獲取LSID PIN。所獲取之LSID PIN經由介面處理部111被發送至主機裝置2。PIN存取控制部115例如管理表示於藉由Gen_LSID指令之發佈更新LSID PIN後是否自主機裝置2發佈了以LSID PIN為對象之Get指令之旗標等。

此處，引用第1實施形態中所說明之第4用例(參照圖14)，對著眼於LSID之本實施形態之資料蓄積裝置1之用例進行說明。

例如PC供應商52之操作員當於PC本體側貼附之標籤上印字資料蓄積裝置1之LSID PIN時，首先，使用MSID PIN以SID權限使認證成功(以由驅動器供應商51出貨之資料蓄積裝置1之SID PIN為初始值、即為與MSID PIN相同之值為前提)，發佈Gen_LSID指令。藉此，組入至PC3之資料蓄積裝置1之LSID PIN自初始值更新為LSID產生部119所產生之值。

繼而，例如PC供應商52之操作員發佈以LSID PIN為對象之Get指令，獲取LSID PIN。即，無須自驅動器供應商51獲取LSID PIN，因此，於本實施形態之資料蓄積裝置1中，亦可大幅簡化於PC本體側貼附之標籤上印字資料蓄積裝置1之LSID PIN之作業。

更詳細而言，於現有方法(PSID)中，PC供應商52必須進行如下作業，即，以目視或條碼等讀取資料蓄積裝置1之PSID PIN，將其印字於貼附在PC本體之標籤，並貼附至PC本體。另一方面，於本實施形態之資料蓄積裝置1中，PC供應商52自己決定資料蓄積裝置1之LSID PIN，將其設定於資料蓄積裝置1，並且印字於標籤上。作為與此同等之作業，PC供應商52已經進行了如下作業，即，決定PC3之序列號，將其設定於PC3，並且印字於貼附在PC本體之標籤上，而對於資料蓄積裝置1之PSID亦應用此種作業即可，故而亦不會導致大幅之成本增加等。

圖18係用以說明本實施形態之資料蓄積裝置1更新LSID PIN時之主機裝置-資料蓄積裝置間之交換之序列圖。

主機裝置2使用MSID PIN(SID PIN未更新時)或SID PIN要求資料蓄積裝置1進行SID權限之認證(圖18之(1))。若該PIN之值正確，則資料蓄積裝置1使該認證成功(圖18之(2))。

若使SID權限之認證成功，則主機裝置2發佈Gen_LSID指令(圖18之(3))。接收到該指令之資料蓄積裝置1調查是否以具有Gen_LSID指令之發佈權限之PIN認證成功，若成功，則產生LSID值，並將該值設定為LSID PIN(圖18之(4))。

若發佈Gen_LSID指令，則主機裝置2此次發佈LSID PIN之Get指令。接收到該指令之資料蓄積裝置1調查是否以具有LSID PIN之Get指令之發佈權限之PIN認證成功、及是否為發佈Gen_LSID指令後之第1次LSID PIN之Get指令，於以具有LSID PIN之Get指令之發佈權限之PIN認證成功，且係發佈Gen_LSID指令後之第1次LSID PIN之Get指令之情形時，將(更新後之)LSID PIN讀出並發送至主機裝置2(圖18之(6))。

如此，資料蓄積裝置1於受理Gen_LSID指令並更新了LSID PIN之情形時，於SID權限下只受理1次用以獲取LSID PIN之Get指令。

圖19係表示接收到Gen_LSID指令時之資料蓄積裝置1之動作順序之流程圖。

若接收Gen_LSID指令，則資料蓄積裝置1調查Gen_LSID指令之發佈權限(步驟C1)。更詳細而言，調查是否以具有Gen_LSID指令之發佈權限之PIN認證成功。於以不具有該指令之發佈權限之PIN認證成功之情形時(步驟C2之否)，資料蓄積裝置1向該指令之發佈源回覆錯誤(步驟C3)。

於以具有Gen_LSID指令之發佈權限之PIN認證成功之情形時(步驟C2之是)，資料蓄積裝置1產生LSID PIN之值，並將LSID PIN設定為該值(步驟C4)。

圖20係表示接收到LSID PIN之Get指令時之資料蓄積裝置1之動作順序之流程圖。

若接收LSID之Get指令，則資料蓄積裝置1調查LSID PIN之Get指令之發佈權限(步驟D1)。更詳細而言，調查是否以具有LSID PIN之Get指令之發佈權限之PIN認證成功。於以不具有該指令之發佈權限之PIN認證成功之情形時(步驟D2之否)，資料蓄積裝置1向該指令之發佈源回覆錯誤(步驟D3)。

於以具有LSID PIN之Get指令之發佈權限之PIN認證成功之情形時(步驟D2之是)，資料蓄積裝置1繼而調查是否滿足該指令之發佈條件(步驟D4)。更詳細而言，調查是否為發佈Gen_LSID指令後之第1次LSID PIN之Get指令。於並非發佈Gen_LSID指令後之第1次LSID PIN之Get指令之情形時(步驟D5之否)，資料蓄積裝置1向該指令之發佈源回覆錯誤(步驟D3)。於為發佈Gen_LSID指令後之第1次LSID PIN之Get指令之情形時(步驟D5之是)，資料蓄積裝置1將(更新後之)LSID PIN讀出並向主機裝置2回覆(步驟D6)。

再者，步驟D1之發佈權限檢查與步驟D5之LSID PIN之Get指令之發佈次數檢查亦可不一定按照該順序進行。

如此，本實施形態之資料蓄積裝置1亦可對安全性及方便性優異之初始化用個人識別資訊進行處理。

(第3實施形態)

接下來，對第3實施形態進行說明。

圖21係表示第3實施形態之控制器11之功能區塊之一例之圖。再者，對與第1及第2實施形態相同之構成要素使用相同符號，並省略重複說明。

於本實施形態之資料蓄積裝置1中，著眼於發佈Activate指令之權限僅被授予給SID，將LSID PIN之值作為Activate指令之參數發送至資料蓄積裝置1而設定LSID PIN。例如，如第1實施形態之第2用例(參照圖13)般，PC供應商52管理SID PIN，使資料蓄積裝置1之資料保護功能激活之情形時，發佈Activate指令之機會被限定在PC供應商52內，故而LSID PIN之更新亦可限定在PC供應商52內。即，可防止LSID PIN不正當地更新。

如圖21所示，本實施形態之資料蓄積裝置1進而具備Activate參數處理部120。Activate參數處理部120具有將PIN管理部113所管理之LSID PIN更新為指定為Activate指令之參數之值之功能。

於圖22中表示本實施形態之資料蓄積裝置1中之有關LSID 之指令及其發佈權限之一例。

如圖22所示，於本實施形態之資料蓄積裝置1中，作為有關LSID之指令，定義以符號b3表示之Activate(w/param(參數))。此處，(w/param)表示附加參數。即，於本實施形態之資料蓄積裝置1中，以能夠受理附加有參數之Activate指令之方式追加功能。

更詳細而言，於自主機裝置2發佈Activate指令之情形時，許可處理部114根據是否以被授予發佈該指令之權限之PIN認證成功而判定可否受理該指令，除此以外，於判定為可接收且授予了參數之情形時，將指定為該參數之值傳送至Activate參數處理部120。Activate參數處理部120將PIN管理部113所管理之LSID PIN更新為自許可處理部114傳來之值。

圖23係用以說明本實施形態之資料蓄積裝置1更新LSID PIN時之主機裝置-資料蓄積裝置間之交換之序列圖。再者，此處，資料蓄積裝置1以資料保護功能為停用狀態(inactive)為前提。

主機裝置2使用SID PIN要求資料蓄積裝置1進行SID權限之認證(圖23之(1))。若該PIN之值正確，則資料蓄積裝置1使該認證成功(圖23之(2))。

若使SID權限之認證成功，則主機裝置2發佈附加有欲設定為LSID PIN之值作為參數之Activate指令(Activate(w/param))(圖23之(3))。接收到該指令之資料蓄積裝置1調查是否以具有Activate(w/param)指令之發佈權限之PIN認證成功，若成功，則使資料保護功能激活(向inactive轉變)，將指定為參數之值設定為LSID PIN(圖23之(4))。

圖24係表示接收到Activate(w/param)指令時之資料蓄積裝置1之動作順序之流程圖。

若接收Activate(w/param)指令，則資料蓄積裝置1調查Activate(w/param)指令之發佈權限(步驟F1)。更詳細而言，調查是否以具有Activate(w/param)指令之發佈權限之PIN認證成功。於以不具有該指令之發佈權限之PIN認證成功之情形時(步驟F2之否)，資料蓄積裝置1向該指令之發佈源回覆錯誤(步驟F3)。

於以具有Activate(w/param)指令之發佈權限之PIN認證成功之情形時(步驟F2之是)，資料蓄積裝置1使資料保護功能激活(步驟F4)，將指定為參數之值設定為LSID PIN(步驟F5)。

如此，本實施形態之資料蓄積裝置1亦可對安全性及方便性優異之初始化用個人識別資訊進行處理。(第4實施形態)

接下來，對第4實施形態進行說明。

圖25係表示第4實施形態中之控制器11之功能區塊之一例之圖。再者，對與第1至第3實施形態相同之構成要素使用相同符號，並省略重複說明。

於本實施形態之資料蓄積裝置1中，具有允許更新LSID PIN之模式(LSID可更新模式)、及不允許更新LSID之模式(LSID不可更新模式)。又，設想用以切換該等模式之指令僅自於主機裝置2上動作之BIOS(Basic Input/Output System，基本輸入輸出系統)200發佈。於主機裝置2上動作之BIOS200具有對資料蓄積裝置1進行各種設定之模式設定部201，該模式設定部201具有發佈用以進行LSID可更新模式-LSID不可更新模式間之切換之指令之功能。又，模式設定部201具有對可否發佈LSID PIN之Set指令進行控制之功能。

如圖25所示，本實施形態之資料蓄積裝置1進而具有PowerCycle(電源循環)檢測部121(對應偵測部)及模式管理部122。PowerCycle檢測部121偵測資料蓄積裝置1之電源接通或重設，並通知給模式管理部122。模式管理部122當接收來自PowerCycle檢測部121之通知時，設定LSID可更新模式。又，於已發佈用於向LSID不可更新模式切換之指令之情形時，模式管理部122設定LSID不可更新模式。於設定LSID PIN之情形時，於藉由BIOS200之模式設定部201發佈用於向LSID不可更新模式切換之指令之前，發佈LSID PIN之Set指令。

於本實施形態之資料蓄積裝置1中，作為有關LSID之指令，定義LSID_mode_change。LSID_mode_change係用以自LSID可更新模式切換為LSID不可更新模式之指令，且被定義為只能由BIOS200發佈之指令。再者，資料蓄積裝置1不判定該LSID_mode_change之發佈源是否為BIOS200。因此，被定義為只能由BIOS200發佈之指令係指定義發佈該指令之功能只能搭載於BIOS200。換言之，資料蓄積裝置1判定不進行認證(任何人)即可受理該指令。

更詳細而言，LSID_mode_change係較追究Activate或Set等之發佈權限之層之指令低一級之不問發佈權限之層之指令，介面處理部111當接收LSID_mode_change時，將該LSID_mode_change之接收直接通知給模式管理部122。接收到該通知之模式管理部122進行自LSID可更新模式向LSID不可更新模式之切換。又，模式管理部122要求認證處理部112之後以即便LSID PIN之值一致亦務必使認證失敗之方式進行基於LSID PIN之認證。即，於本實施形態之資料蓄積裝置1中，設想基於LSID權限之Revert之發佈由BIOS200進行，更詳細而言，於發佈 LSID_mode_change之前進行。

本實施形態中之PIN存取控制部115於例如已發佈以LSID PIN為對象之Set指令之情形時，向模式管理部121詢問設定LSID可更新模式或LSID不可更新模式中之哪一個。於設定LSID不可更新模式之情形時，即便以具有發佈以LSID為對象之Set指令之權限之PIN認證成功，亦判定為不可接收該指令。

圖26係用以說明設定LSID不可更新模式時之主機裝置-資料蓄積裝置間之第1方式下之交換之序列圖。

當電源接通或重設時，主機裝置2、更詳細而言、BIOS200對資料蓄積裝置1要求電源接通或重設時之處理(圖26之(1))。根據該要求，資料蓄積裝置1偵測主機裝置2之電源接通或重設，設定LSID可更新模式(圖26之(2))。

於更新LSID PIN之情形時，主機裝置2(BIOS200之模式設定部201)發佈LSID PIN之Set指令(圖26之(3))。接收到該指令之資料蓄積裝置1將LSID PIN設定(更新)為主機裝置2所指定之值(圖26之(4))。

最後，主機裝置2(BIOS200之模式設定部201)發佈LSID_mode_change指令(圖26之(5))。當接收LSID_mode_change指令時，資料蓄積裝置1執行自LSID可更新模式(對應第1模式)向LSID不可更新模式(對應第2模式)之切換(圖26之(6))。

又，圖27係用以說明設定LSID不可更新模式時之主機裝置-資料蓄積裝置間之第2方式下之交換之序列圖。

當電源接通或重設時，主機裝置2、更詳細而言、BIOS200對資料蓄積裝置1要求電源接通或重設時之處理(圖27之(1))。根據該要求，資料蓄積裝置1偵測主機裝置2之電源接通或重設，設定LSID可更新模式(圖27之(2))。

於更新LSID PIN之情形時，主機裝置2(BIOS200之模式設定部201)發佈LSID PIN之Set指令(圖27之(3))。接收到該指令之資料蓄積裝置1將LSID PIN設定(更新)為主機裝置2所指定之值(圖27之(4))。

於本第2方式中，更新LSID PIN後，BIOS200之模式設定部201產生重設信號，使主機裝置2重設(圖27之(5))。藉此，自主機裝置2，更詳細而言，自BIOS200再次將重設時之處理之要求通知給資料蓄積裝置1(圖27之(1)′)。又，如此一來，於資料蓄積裝置1中，偵測主機裝置2之重設，設定LSID可更新模式(圖27之(2)′)。

然後，主機裝置2(BIOS200之模式設定部201)發佈LSID_mode_change指令(圖27之(5))。當接收LSID_mode_change指令時，資料蓄積裝置1執行自LSID可更新模式向LSID不可更新模式之切換(圖27之(6))。

即，於本第2方式中，主機裝置2將對資料蓄積裝置1要求電源接通或重設時之處理(圖27之(1))並發佈LSID_mode_change指令(圖27之(5))之流程設為基本順序，於更新LSID PIN之情形時，更新LSID PIN後，產生重設，藉此，以該基本順序將資料蓄積裝置1設定為LSID不可更新模式。

圖28係表示LSID PIN之設定相關之資料蓄積裝置1之動作順序之流程圖。

資料蓄積裝置1偵測主機裝置2之電源接通或重設時(步驟E1)，首先設定LSID可更新模式(步驟E2)。資料蓄積裝置1若於處於LSID 可更新模式之期間接收到LSID PIN之Set指令(步驟E3之是)，則將LSID PIN設定為以該Set指令接收到之值(步驟E4)。又，當接收LSID_mode_change指令時(步驟E5之是)，資料蓄積裝置1執行自LSID可更新模式向LSID不可更新模式之切換(步驟E6)。即，進行LSID不可更新模式之設定。

於本實施形態中，設想利用Set指令由主機裝置2設定LSID PIN之值。這就意味著，於主機裝置2中安裝有不正當之應用程式之情形時，存在未經用戶允許而LSID PIN之值被不正當地設定之危險性。然，於一般之電腦架構中，首先執行BIOS200，然後，依序執行OS(Operating System，作業系統)、應用程式。於本實施形態中，藉由BIOS200，執行OS或應用程式之前藉由LSID_mode_change指令將資料蓄積裝置1設定為LSID不可更新模式。藉此，即便於主機裝置2中安裝有不正當之應用程式，亦可防止因該不正當應用程式而LSID PIN之值被不正當地設定。

如此，能夠使LSID不可更新之本實施形態之資料蓄積裝置1亦可對安全性及方便性優異之初始化用個人識別資訊進行處理。

(第5實施形態)

接下來，對第5實施形態進行說明。

圖29係表示第5實施形態中之控制器11之功能區塊之一例之圖。再者，對與第1至第4實施形態相同之構成要素使用相同符號，並省略重複說明。

首先，參照圖30，對本實施形態之資料蓄積裝置1之用例(第6用例)進行說明。

例如，於第1實施形態所說明之第2用例(參照圖13)中，PC供應商52管理SID PIN，使資料蓄積裝置1之資料保護功能激活。與此相對，於本第6用例中，PC供應商52進而設定、管理Admin PIN(圖30之(1))。PC供應商52所設定之Admin PIN被通知給終端用戶53之例如IT管理員。接收到Admin PIN之通知之IT管理員例如進行User PIN之設定等，將PC3借給職員(圖30之(2))。

於本第6用例之情形時，若因終端用戶53忘記Admin PIN等而將PC3之初始化委託給PC供應商52(圖30之(3))，由於PC供應商52知道Admin PIN之值，故而於PC供應商52側，對終端用戶53委託初始化之PC3之區域施加之鎖定於初始化前利用Admin權限被解除，無法否定資料被參照之可能性。因此，於本實施形態之資料蓄積裝置1中，具備當資料保護功能激活時剝奪對Admin授予之解除鎖定之權限之功能(圖30之(1)：Admin之解鎖權限剝奪)。

返回至圖29繼續進行說明。

如圖29所示，本實施形態之資料蓄積裝置1進而具有PIN權限變更處理部122(對應權限變更處理部)。於發佈Activate指令使資料保護功能激活之情形時，PIN權限變更處理部122對PIN存取控制部115以剝奪Admin之鎖定解除權限之方式進行指示。PIN存取控制部115對PIN管理部113及許可處理部114通知Admin之鎖定解除權限被剝奪之內容。之後，許可處理部114判定為不可受理以Admin權限解除鎖定之指令。

圖31係表示接收到Activate指令時之資料蓄積裝置1之動作順序之流程圖。

若接收Activate指令，則資料蓄積裝置1調查Activate指令之發佈權限(步驟G1)。更詳細而言，調查是否以具有Activate指令之發佈權限之PIN認證成功。於以不具有該指令之發佈權限之PIN認證成功之情形時(步驟G2之否)，資料蓄積裝置1向該指令之發佈源回覆錯誤(步驟G3)。

於以具有Activate指令之發佈權限之PIN認證成功之情形時(步驟G2之是)，資料蓄積裝置1使資料保護功能激活(步驟G4)，並剝奪Admin之鎖定解除權限(步驟G5)。

於本實施形態之資料蓄積裝置1中，即便於Admin PIN由PC供應商52設定、管理之情形時，終端用戶53亦不用擔心本公司之資料被PC供應商52讀取，故而可放心地委託初始化。

已對本發明之若干實施形態進行了說明，但該等實施形態係作為示例而提出，並不意圖限定發明之範圍。該等新穎之實施形態能以其他多種形態實施，可於不脫離發明主旨之範圍內進行各種省略、置換、變更。該等實施形態或其變化包含於發明之範圍或主旨中，並且包含於申請專利範圍所記載之發明及其均等之範圍內。