数据存储装置、数据处理系统、运用系统及数据处理方法与流程
本申请享有以日本专利申请2018-14045号(申请日:2018年1月30日)为基础申请的优先权。本申请通过参照该基础申请而包含基础申请的全部内容。
本发明的实施方式涉及一种数据存储装置、数据处理系统、运用系统及数据处理方法。
背景技术:
近年来,对防止数据泄露的关注有所提高。因此,搭载防止数据被不法者读取等的数据保护功能的数据存储装置正开始普及。
一般地,搭载数据保护功能的数据存储装置例如管理称为pin(personalidentificationnumber,个人识别码)等的个人识别信息,使用该个人识别信息对个人进行认证。而且,仅允许认证成功的人员读取例如该人员的数据等。
另外,设想例如合法者忘记了个人识别信息的情况等,有时会采取如下之类的措施,例如预先准备这样一种个人识别信息,它虽然无法读取数据等,但具有进行在让数据无效的前提下使数据保护功能停用的初始化的权限。此处,数据保护功能的停用是指使运行状态的数据保护功能转变为非运行状态。使非运行状态的数据保护功能转变为运行状态被称为数据保护功能的激活。关于这种初始化用个人识别信息,也强烈要求采取对策以用来防止被不法者知道或者被不法者进行带有恶意的设定等。
技术实现要素:
本发明的实施方式提供一种能够对安全性及便利性优异的初始化用个人识别信息进行处理的数据存储装置、数据处理系统、运用系统及数据处理方法。
根据实施方式,数据存储装置具备非易失性存储器与控制器。所述控制器具有数据保护功能,且根据来自主机装置的指令来控制对所述非易失性存储器的数据写入及从所述非易失性存储器的数据读出,所述数据保护功能是禁止对所述非易失性存储器上的被分配为用户区的区域写入数据及读出数据,使所述非易失性存储器上的数据无效以防止所述非易失性存储器上的数据泄漏。所述控制器具备个人识别信息管理部、个人识别信息访问控制部、初始化处理部、认证处理部、及许可处理部。所述个人识别信息管理部将第1个人识别信息与第2个人识别信息或第3个人识别信息一起管理,所述第1个人识别信息仅具有要求停用所述数据保护功能的权限,停用所述数据保护功能是指使所述非易失性存储器上的数据无效而使运行状态的所述数据保护功能转变为非运行状态,所述第2个人识别信息具有要求停用所述数据保护功能的权限、及要求激活所述数据保护功能的权限,激活所述数据保护功能是指使非运行状态的所述数据保护功能转变为运行状态,所述第3个人识别信息具有禁止对所述非易失性存储器上的被分配为所述用户区的所述区域写入及读出数据的设定以及解除所述设定的权限。所述个人识别信息访问控制部控制所述主机装置对所述个人识别信息的设定及获取。在要求停用所述数据保护功能的情况下,所述初始化处理部执行初始化处理,所述初始化处理是将所述个人识别信息管理部所管理的除所述第1个人识别信息以外的至少所述第3个人识别信息初始化,使所述非易失性存储器上的数据无效,将所述数据保护功能设为停用状态。所述认证处理部判定从所述主机装置发送的个人识别信息是否与所述个人识别信息管理部所管理的个人识别信息一致。所述许可处理部根据通过哪一个人识别信息认证成功,来判定可否受理从所述主机装置发布的指令,在通过所述第2个人识别信息认证成功的情况下,判定为可受理要求设定所述第1个人识别信息的指令。所述许可处理部在通过所述第1个人识别信息认证成功的情况下,判定为可受理要求停用所述数据保护功能的指令。所述个人识别信息访问控制部在通过所述第2个人识别信息认证成功且所述第1个人识别信息为初始值或者所述数据保护功能为停用状态的情况下,允许设定所述第1个人识别信息,且不论在通过哪一个人识别信息认证成功的情况下,均禁止获取所述第1个人识别信息。
附图说明
图1是表示第1实施方式的数据存储装置的构成的一例的图。
图2是表示第1实施方式的数据存储装置所具备的控制器的功能区块的一例的图。
图3是表示第1实施方式的数据存储装置所能管理的pin的类型的一例的图。
图4是表示第1实施方式的数据存储装置中的有关lsid(pin)的指令及其发布权限的一例的图。
图5是表示第1实施方式的数据存储装置中的用于设定或获取pin的指令的发布权限的一授予例的图。
图6是用来说明第1实施方式的数据存储装置的状态转移的概要的图。
图7是用来说明第1实施方式的数据存储装置的第1用例的图。
图8是用来说明第1实施方式的数据存储装置在lsidpin为初始值的状态下设定(更新)lsidpin时的主机装置-数据存储装置间的交换的序列图。
图9是用来说明第1实施方式的数据存储装置在lsidpin为初始值以外的状态下设定(更新)lsidpin时的主机装置-数据存储装置间的交换的序列图。
图10是用来说明第1实施方式的数据存储装置通过lsidpin进行初始化时的主机装置-数据存储装置间的交换的序列图。
图11是表示第1实施方式的数据存储装置接收到lsidpin的set指令时的数据存储装置的动作顺序的流程图。
图12是表示第1实施方式的数据存储装置接收到revert指令时的数据存储装置的动作顺序的流程图。
图13是用来说明第1实施方式的数据存储装置的第2用例的图。
图14是用来说明第1实施方式的数据存储装置的第3用例的图。
图15是表示第2实施方式的数据存储装置所具备的控制器的功能区块的一例的图。
图16是表示第2实施方式的数据存储装置中的有关lsid的指令及其发布权限的一例的图。
图17是表示第2实施方式的数据存储装置中的用于设定或获取pin的指令的发布权限的一授予例的图。
图18是用来说明第2实施方式的数据存储装置设定(更新)lsidpin时的主机装置-数据存储装置间的交换的序列图。
图19是表示第2实施方式的数据存储装置接收到gen_lsid指令时的数据存储装置的动作顺序的流程图。
图20是表示第2实施方式的数据存储装置接收到lsidpin的get指令时的数据存储装置的动作顺序的流程图。
图21是表示第3实施方式的数据存储装置所具备的控制器的功能区块的一例的图。
图22是表示第3实施方式的数据存储装置中的有关lsid的指令及其发布权限的一例的图。
图23是用来说明第3实施方式的数据存储装置设定(更新)lsidpin时的主机装置-数据存储装置间的交换的序列图。
图24是表示第3实施方式的数据存储装置接收到activate(w/param)指令时的数据存储装置的动作顺序的流程图。
图25是表示第4实施方式的数据存储装置所具备的控制器的功能区块的一例的图。
图26是用来说明第4实施方式的数据存储装置设定lsid不可更新模式时的主机装置-数据存储装置间的第1方式下的交换的序列图。
图27是用来说明第4实施方式的数据存储装置设定lsid不可更新模式时的主机装置-数据存储装置间的第2方式下的交换的序列图。
图28是表示第4实施方式的数据存储装置的lsid可否更新相关的模式设定有关的数据存储装置的动作顺序的流程图。
图29是表示第5实施方式的数据存储装置所具备的控制器的功能区块的一例的图。
图30是用来说明第5实施方式的数据存储装置的用例(第6用例)的图。
图31是表示第5实施方式的数据存储装置接收到activate指令时的数据存储装置的动作顺序的流程图。
具体实施方式
以下,参照附图对实施方式进行说明。
(第1实施方式)
首先,对第1实施方式进行说明。
图1是表示本实施方式的数据存储装置1的构成的一例的图。该数据存储装置1是搭载数据保护功能的储存器,例如能够以ssd(solidstatedrive,固态硬盘)或hdd(harddiskdrive,硬盘驱动器)等的形式实现。数据保护功能例如存在基于加密的类型、基于锁定的类型、基于加密及锁定这两者的类型等各种类型,所述加密是指将数据加密存储,所述锁定是指对分配给某个人的区域禁止该个人以外的人访问。数据存储装置1可应用所述各种类型中的任一种。也就是说,数据存储装置1不问其类型。作为数据保护功能的标准,例如存在tcg(trustedcomputinggroup,可信计算组织)等。如图1所示,数据存储装置1具有控制器11、易失性存储器12、及非易失性存储器13。
控制器11是一种处理电路,从主机装置2受理read(读取)或write(写入)的指令,一边将易失性存储器12用作高速缓冲存储器,一边将主机装置2所要求的数据从非易失性存储器13读出或者将从主机装置2传输的数据写入到非易失性存储器13。此外,易失性存储器12也可设置在控制器11内。也就是说,易失性存储器12并非必需。此外,易失性存储器12除了可用作高速缓冲存储器以外,例如也可用作来自非易失性存储器13的程序的加载目的地或该程序的工作区域等。
控制器11在数据保护功能基于加密的情况下(包括基于加密及锁定这两者的情况),将数据写入到非易失性存储器13时,将该数据通过密码密钥加密,另一方面,将数据从非易失性存储器13读出时,将加密数据通过用于加密的相同的密码密钥解密。控制器11可通过更新该密码密钥而使非易失性存储器13上的数据一起无效。密码密钥的更新例如通过产生随机数并将密码密钥的值替换为该产生的随机数的值来执行。
另外,控制器11在数据保护功能不基于加密的情况下,例如使非易失性存储器13的(由主机装置1辨识)管理逻辑地址与物理地址的对应关系的表格初始化,或者将特定值或随机值遍及非易失性存储器13的指定区域或整体写入,由此使非易失性存储器13上的数据无效。
此外,在tcg中,作为通过加密保护数据的标准,例如制定有opal,另外,作为不通过加密来保护数据的标准,例如制定有pyrite。
易失性存储器12例如是dram(dynamicram(randomaccessmemory),动态随机存取存储器)。另外,非易失性存储器13例如是nand(notand,与非)闪速存储器或硬盘。
数据存储装置1与主机装置2例如通过tcgsiis(storageinterfaceinteractionsspecification,存储接口交互规范)规范中规定的scsi(smallcomputersysteminterface,小型计算机系统接口)接口、ata(advancedtechnologyattachment,先进技术附件)接口、nvmexpress(nvme(non-volatilememoryexpress,非易失存储器标准)(注册商标))、e·mmc(embeddedmultimediacard,嵌入式多媒体存储卡)接口等而连接。在图1中表示数据存储装置1与主机装置2通过nvme(注册商标)接口连接的例子。
主机装置2例如是利用数据存储装置1作为储存器的服务器或个人计算机(pc)主体等。也就是说,数据存储装置1与主机装置2一起构成1个数据处理系统。另外,主机装置2例如既可以是用于作为数据存储装置1的销售商的驱动器供应商对数据存储装置1进行各种设定的装置,也可以是用于将从驱动器供应商购买的数据存储装置1组入至服务器或pc销售的pc供应商对数据存储装置1进行各种设定的装置,还可以是用于从pc供应商购买服务器或pc使用的最终用户对数据存储装置1进行各种设定的装置。主机装置2的操作者可以是驱动器供应商的操作员、pc供应商的操作员、最终用户等。进而,在例如最终用户为企业的情况下,主机装置2的操作者可大致区分为特权用户(it(informationtechnology,信息技术)管理员)与普通用户。
图2是表示控制器11的功能区块的一例的图。
如图2所示,控制器11具有接口处理部111、认证处理部112、pin管理部113、许可处理部114、pin访问控制部115、初始化处理部116、read/write访问控制部117、read/write处理部118等。
在图1所示的非易失性存储器13(数据存储部)的特定区域,存储着从主机装置2接收到的用户数据、及用于使控制器11执行各种顺序的程序。该程序例如在数据存储装置1启动时等,通过控制器11所具备的处理器,将其一部分或全部加载到图1所示的易失性存储器12(也可以是设置在控制器11内的同时用作高速缓冲存储器的易失性存储器)。控制器11的处理器执行该加载的易失性存储器12上的程序。也就是说,通过该程序的描述,可在控制器11内构筑包含图2所示的各处理部的各种处理部。
接口处理部111在与主机装置2之间按照例如依据nvme(注册商标)标准的协议进行通信。更详细来说,接口处理部111接收从主机装置2发布的指令,并且将与该指令对应的处理的结果发送到主机装置2。
认证处理部112对主机装置2的操作者进行认证。更详细来说,在要求认证的指令从主机装置2发布并被接口处理部111接收的情况下,认证处理部112例如对主机装置2侧要求输入pin,根据所输入的pin是否与pin管理部113管理的pin群中的某一个一致,来判定认证的成功与否。此外,pin也可以参数等的形式添加到要求认证的指令中。另外,要求认证的指令中也可添加与pin对应的用户信息。认证处理部112进行的认证的成功与否经由接口处理部111被通知给主机装置2。
pin管理部113管理用于该认证的pin群。在图3中表示pin管理部113所能管理的pin的类型的一例。
如图3所示,pin管理部113可管理包括以符号a1表示的数据存储装置1独有的pin即lsid(logicalsid(逻辑sid):第1个人识别信息)的sid(securityidentifier,安全标识符)、admin(管理员)、user(用户)、psid(physicalsecurityidentifier,物理安全标识符)、lsid(logicalsecurityidentifier,逻辑安全标识符)、msid(manufacturedsecurityidentifier,制造安全标识符)这6种pin。也就是说,数据存储装置1中的pin管理部113以可进而管理lsid的方式追加功能。
sid是被称为所有者pin等的pin,将数据保护功能激活或者进行在让数据无效的前提下使数据保护功能停用的初始化,具有sidpin或下述lsidpin的设定等权限。
admin是被称为管理员(admin)pin等的pin,且是具有以下等权限的pin:设定userpin,或对某user分配区域的设定权限,或将user对分配给自身的区域施加的禁止其他人访问的锁定解除。
user是被称为用户pin等的pin,具有对分配给自身的区域进行访问的权限。另外,user具有施加锁定的权限及解除该锁定的权限,所述锁定是指禁止其他人对分配给user自身的区域进行访问。如上所述,admin具有该解除锁定的权限。可以存在多个user,也可以不存在user。
psid是被称为标签pin等的pin,仅具有进行初始化的权限。psid是设想如下等状况而准备的pin,且通常印刷在(只要pc的壳体不开封便不露出)数据存储装置1的壳体上所贴附的标签等,所述状况例如是,当想要将借给离职的职员a且处于数据存储装置1被该职员a施加了锁定的状态的pc中的数据存储装置1初始化后将pc再借给职员b,此时,职员a已经不在,且it管理员忘记了sidpin而无法进行初始化。陷入这样的状况时,it管理员通过将pc的壳体开封并参照数据存储装置1的标签而获取psidpin,更详细来说,通过以psid使认证成功,可使数据存储装置1初始化。另外,当为业务用pc时,一般来说,一旦将pc的壳体开封,便会成为pc供应商的保证对象以外,因此,多数情况下也会委托pc供应商的客户中心等进行初始化。此外,设想这种用途的psid被定义为不可更新的pin。psidpin例如在制造数据存储装置1时根据驱动器供应商独有的特殊指令等进行设定。或者,也可在将所述程序存储(安装)到非易失性存储器13的特定区域时设定。另外,设定psidpin为任意(可选),也可考虑不存在psidpin的情况。
且说,近来,数据存储装置1的小型化不断推进,确保贴附标签的空间逐渐变得困难。另外,在大量的数据存储装置1上贴附的标签上无误地印上psidpin的作业对驱动器供应商来说,负担本来就大。另外,具有进行初始化的权限的psid在它的值例如被不法者盗取的情况下,有被进行用户所不期望的数据删除等的危险。因此,数据存储装置1导入安全性及便利性优异的lsid,作为psid的代替pin。此外,数据存储装置1并非将psid排除。也就是说,数据存储装置1一边维持psid相关的功能,一边追加lsid相关的功能。此处,数据存储装置1未设定psidpin,也就是说,在pin管理部113中不管理psidpin。
如上所述,lsid是psid的代替pin。也就是说,lsid与psid一样,具有进行数据存储装置1的初始化的权限。另外,lsid被定义为可在固定条件下设定的pin。关于这一点,将在下文进行叙述。
msid是不具有任何权限的pin,且是为了保存sid的初始值而定义的pin。换句话说,sidpin在数据存储装置1处于初始状态的情况下,值与msidpin相同。msid也与psid一样,被定义为不可更新的pin,它的值例如在制造数据存储装置1时根据驱动器供应商独有的特殊指令等进行设定。或者,也可在将所述程序存储(安装)到非易失性存储器13的特定区域时设定。sidpin的初始值也与msidpin同样地设定。另外,msid被定义为不认证便可读出的pin。例如购买了pc的最终用户等首先读出该msidpin,利用它的值作为sid使认证成功,由此可进行sidpin的设定(更新)或数据保护功能的激活等,详情将在下文进行叙述。另外,如果利用sid的权限将数据保护功能激活,则可进行adminpin的设定或userpin的设定等。
返回到图2,继续进行控制器11的各处理部的说明。
在某些指令从主机装置2发布并被接口处理部111接收的情况下,许可处理部114根据是否通过被授予发布该指令的权限的pin认证成功来判定可否受理该指令。更详细来说,许可处理部114例如在从接口处理部111接收到发布权限仅授予给sid的指令的情况下,根据认证处理部112是否以sidpin使认证成功来判定可否受理该指令。
在图4中表示本实施方式的数据存储装置1中的有关lsid(pin)的指令及其发布权限的一例。
图4中,activate(激活)是用于将数据保护功能激活的指令。数据保护功能激活的状态例如被称为active等。activate的发布权限被授予给sid。另一方面,revert(恢复)是用于使数据保护功能停用的指令。数据保护功能停用的状态例如被称为inactive等。数据保护功能停用时,数据无效。如上所述,数据的无效是在数据保护功能基于加密的情况下,通过更新密码密钥来进行,在数据保护功能不基于加密的情况下,通过使管理逻辑地址与物理地址的对应关系的表格初始化或者将特定值或随机值遍及非易失性存储器13整体写入来进行。也就是说,revert实质上是用于进行初始化的指令。另外,初始化时,pin管理部113所管理的sidpin恢复为与作为初始值的msidpin相同的值。在设定有user的情况下,它的pin值被删除。被定义为不可更新的pin的psid不可能存在初始化的概念。另外,lsidpin维持当时的值。inactive状态也被称为ofs(originalfactorystate,原始工厂状态)等。revert的发布权限被授予给包括以符号b1表示的(数据存储装置1独有的)lsid的sid、psid、lsid。也就是说,数据存储装置1中的许可处理部114以能够利用lsid权限发布revert指令的方式追加功能。
set(设定)是用于写入(设定)包括pin的各种设定值的指令,get(获取)是用于读出(获取)包括pin的各种设定值的指令。set及get的发布权限根据它们的对象(object)来定义。在图5中表示set或get的对象(object)为pin时的发布权限的一授予例。
关于sidpin,用于设定它的值的set指令的发布权限仅被授予给sid,用于获取它的值的get指令不存在。关于adminpin,用于设定它的值的set指令的发布权限仅被授予给admin,用于获取它的值的get指令不存在。关于userpin,用于设定它的值的set指令的发布权限仅被授予给admin或它的user,用于获取它的值的get指令不存在。
psidpin如上所述被定义为不可更新的pin,所以用于设定它的值的set指令不存在。另外,用于获取psidpin的值的get指令也不存在。此外,此处,设想pin管理部113不管理psidpin,但下述pin访问控制部115维持判定为不可受理以psidpin为对象的set指令或get指令的功能。
关于本实施方式的数据存储装置1中新设的以符号c1表示的lsidpin,在第1条件下或第2条件下,用于设定它的值的set指令的发布权限仅被授予给sid。用于获取lsidpin的值的get指令不存在。所谓第1条件是指lsidpin为初始值。lsidpin的初始值设为例如高值(highvalue)(全部为f)等不能通过set指令设定的特定值即可。该lsidpin的初始值也与psidpin或msidpin一样,例如在制造数据存储装置1时根据驱动器供应商独有的特殊指令等进行设定。或者,也可在将所述程序存储(安装)到非易失性存储器13的特定区域时设定。另外,所谓第2条件是指数据保护功能停用的状态、也就是inactive状态。
msidpin如上所述被定义为不可更新的pin,所以用于设定它的值的set指令不存在。另一方面,用于获取msidpin的值的get指令不进行认证(任何人)即可发布。
可否受理以pin为对象的set指令或get指令由下述pin访问控制部113判定。许可处理部114将以pin为对象的set指令及get指令传输到pin访问控制部115,委托pin访问控制部115判定可否受理所述指令。
返回到图2,进而继续进行控制器11的各处理部的说明。
pin访问控制部115对pin向pin管理部113的写入(设定)或pin从pin管理部113的读出(获取)进行控制。更详细来说,pin访问控制部115在从许可处理部114接收到关于pin的set指令的情况下,调查是否通过具有设定该pin的权限的pin认证成功,来判定可否受理该指令。在判定为可受理的情况下,pin访问控制部115对pin管理部113设定该pin,当设定pin时,将该内容经由接口处理部111通知给主机装置2。同样地,在从许可处理部114接收到关于pin的get指令的情况下,pin访问控制部115调查是否通过具有获取该pin的权限的pin认证成功,在判定为可受理的情况下,从pin管理部113获取该pin。所获取的pin经由接口处理部111被发送到主机装置2。
另外,关于lsidpin相关的get指令,无论通过哪一个pin认证成功,pin访问控制部115均判定为不可受理。另一方面,关于lsidpin相关的set指令,第一,pin访问控制部115调查认证处理部112是否通过sidpin使认证成功、及pin管理部113所管理的lsid是否为初始值,如果通过sidpin认证成功,且lsidpin为初始值,则判定为可受理该lsidpin相关的set指令。pin访问控制部115将pin管理部113所管理的lsidpin更新为通过set指令指定的值,并将该lsidpin的更新完成经由接口处理部111通知给主机装置2。
另外,第二,pin访问控制部115调查认证处理部112是否通过sidpin使认证成功、及是否为根据revert指令(基于下述初始化处理部116)进行了初始化的inactive状态。在通过sidpin以外认证成功的情况下,或在并非基于revert指令初始化后的inactive状态的情况下,pin访问控制部115判定为不可受理该lsidpin相关的set指令,并将该内容经由接口处理部111通知给主机装置2。另一方面,在通过sidpin认证成功且为基于revert指令初始化后的inactive状态的情况下,pin访问控制部115判定为可受理该lsidpin相关的set指令。pin访问控制部115将pin管理部113所管理的lsidpin更新为通过set指令指定的值,并将该lsidpin的更新完成经由接口处理部111通知给主机装置2。
也就是说,在数据存储装置1中,关于lsidpin的set指令仅被限制为以下2个时机。
(1)通过sidpin认证成功,且lsidpin为初始值的情况。
(2)通过sidpin认证成功,且为已通过revert指令初始化的状态的情况。
也就是说,数据存储装置1中的pin访问控制部115以如下方式追加功能,即,作为对pin管理部113所管理的pin的访问,进而能够以lsidpin为对象进行访问。更详细来说,以可将对pin管理部113的lsidpin相关的访问仅限制为所述(1)、(2)的时机的方式追加功能。为psid的代替pin且像这样控制访问的lsidpin与psidpin相比所具备的优越性将在下文进行叙述。
另外,pin访问控制部115也可以lsidpin的变更、更详细来说、初始值以外的状态的lsidpin的更新只允许1次的方式进行控制。例如,可通过记录初始值以外的状态下的lsidpin的更新次数等来进行该控制。
初始化处理部116是在已发布revert指令,且判定为该revert指令可被许可处理部114受理的情况下,进行在让数据无效的前提下使数据保护功能停用的初始化。如上所述,revert指令是在通过sidpin、psidpin或lsidpin认证成功的情况下,判定为可被许可处理部114受理(参照图4)。
在已发布read指令或write指令的情况下,read/write访问控制部117将由这些指令指定的逻辑地址转换为物理地址,对read/write处理部118指示将数据从该物理地址读出或对物理地址写入数据,也就是将数据从非易失性存储器13读出或对非易失性存储器13写入数据。read/write访问控制部117可针对user的区域,根据来自被分配该区域的user的施加锁定的指令或解除锁定的指令,进行施加锁定的处理或解除锁定的处理。read/write访问控制部117在接收到对于被某user施加了锁定的区域的read指令或write指令的情况下,判定为不可受理该read指令或write指令,并将该内容经由接口处理部111通知给主机装置2。此外,在已发布解除锁定的指令的情况下,由许可处理部114判定可否受理所述指令。更详细来说,许可处理部114在除所述user的pin以外,也通过adminpin认证成功的情况下,也判定为可受理。
read/write处理部118执行read/write访问控制部117所指示的数据从物理地址的读出或数据向物理地址的写入、也就是数据从非易失性存储器13的读出或数据向非易失性存储器13的写入。对非易失性存储器13访问的结果经由接口处理部111被通知给主机装置2。例如,当发布read指令时,从非易失性存储器13读出的数据经由接口处理部111被发送到主机装置2,当发布write指令时,对非易失性存储器13的数据写入完成经由接口处理部111被通知给主机装置2。
此处,参照图6,对搭载数据保护功能的数据存储装置1的状态转移的概要进行说明。
例如,当驱动器供应商出货时,数据存储装置1处于数据保护功能停用的状态即inactive状态。另外,此时,sidpin的值成为与msidpin相同的值。该状态为图6中以符号s1表示的状态。
其次,例如,将处于以符号s1表示的状态的数据存储装置1组入至pc出货的pc供应商通过get指令将不认证即可获取的msidpin读出(图6的(1)),使用所述msidpin通过sid权限使认证成功(图6的(2)),并通过set指令设定sidpin的值(图6的(3))。该状态为图6中以符号s2表示的状态。此处,pc主体为图1所示的主机装置2。此外,sidpin的值不限于inactive状态的情况,也可在active的状态下设定。
接着,例如,购买组入有处于以符号s2表示的状态的数据存储装置1的pc的最终用户(企业)的it管理员使用pc供应商所通知的sid通过sid权限使认证成功(图6的(4)),并通过activate指令使active数据保护功能激活(图6的(5))。该状态为图6中以符号s3表示的状态。如果使数据保护功能激活,也就是说,如果设为activate状态,则it管理员例如进行adminpin的设定(更新)、userpin的设定、对哪个user分配区域的设定权限的设定、使对于区域的锁定功能有效化的设定等(图6的(6)),将组入有进行这些设定后锁定功能变得有效的数据存储装置1的pc借给职员。职员例如通过使用it管理员所通知的userpin通过user权限使认证成功,可开始使用组入有数据保护功能激活的数据存储装置1的pc。
另外,如果使用sidpin、psidpin(此处,设为未设定psidpin)、lisdpin使认证成功,则可通过revert指令使处于以符号s3表示的状态的借给某职员的pc恢复为以符号s1表示的状态。
根据如上所述的数据存储装置1的状态转移,接下来,参照图7,对着眼于lsid的数据存储装置1的第1用例进行说明。
如图7所示,此处,设想pc供应商52将由驱动器供应商51出货的数据存储装置1组入到pc3并向企业等最终用户53出货(组入有数据存储装置1的pc3)的实例。在该实例的情况下,组入有数据存储装置1的pc3中的pc主体相当于图1所示的主机装置2。另外,以下,有时将组入至pc3的数据存储装置1的初始化简称为pc3的初始化。
此处,驱动器供应商51将数据存储装置1以数据保护功能停用的状态出货,且以lsidpin为初始值的状态出货。也就是说,驱动器供应商51不进行作为psid的代替pin的lsidpin的管理。因此,驱动器供应商51可削减用于将psidpin无误地印在标签的管理psidpin的步骤。
另一方面,pc供应商52无须针对每个数据存储装置1从驱动器供应商51接收lsid的值,由于lsidpin为初始值,所以,例如,可根据pc供应商52独有的规则针对例如组入数据存储装置1的每一pc3决定并设定lsid的值(图7的(1))。例如,既可对各pc3分配不同的值,又可对相同的型号分配相同的值。另外,也可设为根据只有pc供应商能够知道的密钥或算法、及pc3的序列号导出的值。由于接触lsidpin为初始值的状态的数据存储装置1的机会被限定给驱动器供应商51或pc供应商52的操作员等,所以可防止lsidpin为初始值的状态时被不法者进行带有恶意的设定(更新)。此外,图7的(1)的处理既可由组入有数据存储装置1的pc3内的主机装置2进行,又可由与pc3内的主机装置2不同的主机装置进行。
在从pc供应商52购买pc3的最终用户53侧,it管理员使用msidpin通过sid权限进行认证,更新sidpin,并且使数据存储装置1的数据保护功能激活,设定adminpin,通过admin权限,进行userpin的设定、对哪个user分配区域的设定权限的设定、使对于区域的锁定功能有效化的设定等,将组入有进行这些设定后锁定功能变得有效的数据存储装置1的pc3借给职员(图7的(2))。
此处,例如,设想以下情况:需要将借给某职员且处于被该职员施加了锁定的状态的pc3初始化,但该职员已经不在而无法知道userpin,且it管理员除了aminpin以外,也忘记了sidpin(图7的(3))。在该情况下,最终用户(it管理员)53将该pc3送至pc供应商52,委托该pc3的初始化。
接受该委托的pc供应商52通过使用设定为该pc3用的lsidpin使认证成功,可对该pc3进行在让数据无效的前提下使数据保护功能停用的初始化(图7的(4)),从而可将初始化的pc3返还给最终用户(图7的(5))。此处,重要点在于pc供应商52能够管理lsidpin。psidpin由驱动器供应商51产生,且psidpin的值不可变更,所以pc供应商52无法将用于使pc3初始化的pin设定为任意值。但是,根据本实施方式中表示的顺序,pc供应商52以图7的(1)设定lsidpin、也就是用于使pc3初始化的pin,所以当然知道它的值,而能够进行管理。因此,pc供应商52不用向驱动器供应商51询问它的值,便可以图7的(5)使pc3初始化。另外,如上所述,解除锁定的权限只有admin及该user具有,通过lsid无法读出施加锁定的区域的数据,所以最终用户53不用担心本公司的数据被pc供应商52读取,所以可放心地委托初始化。此外,图7的(4)的处理既可由组入有数据存储装置1的pc3内的主机装置2进行,又可由与pc3内的主机装置2不同的主机装置进行。
此外,在it管理员未忘记sidpin的情况下,使用sidpin使认证成功,发布revert指令,由此可使该pc3初始化。另外,在该初始化状态下,可通过sid权限设定(更新)lsidpin。但是,sidpin由it管理员管理,通过sid权限的lsidpin的设定(更新)被限定于初始化状态,所以可防止被不法者进行带有恶意的设定(更新)。另外,通过定义下述其它实施方式中说明的将lsidpin的更新设为不允许的模式,例如可更确实地防止以下行为,即,不正当地设定(更新)lsidpin,威胁随时能以该lsid删除数据而要求财物等。
图8是用来说明在lsidpin为初始值的状态下设定(更新)lsidpin时的主机装置2-数据存储装置1间的交换的序列图。
主机装置2首先使用sidpin要求数据存储装置1进行sid权限的认证(图8的(1))。如果该sidpin的值正确,则数据存储装置1使该认证成功(图8的(2))。
如果使sid权限的认证成功,则主机装置2接着发布lsidpin的set指令(图8的(3))。接收到该指令的数据存储装置1调查lsidpin是否为初始值,如果为初始值,则将lsidpin设定(更新)为主机装置2所指定的值(图8的(4))。
另一方面,图9是用来说明在lsidpin为初始值以外的状态下设定(更新)lsidpin时的主机装置2-数据存储装置1间的交换的序列图。
主机装置2首先使用sidpin要求数据存储装置1进行sid权限的认证(图9的(1))。如果该sidpin的值正确,则数据存储装置1使该认证成功(图9的(2))。
如果使sid权限的认证成功,则主机装置2接着发布revert指令(图9的(3))。接收到该指令的数据存储装置1调查是否通过具有revert指令的发布权限的pin认证成功,如果成功,则使数据保护功能转变为停用状态(inactive)。也就是说,执行伴随数据的无效的初始化(图9的(4))。
如果使数据保护功能停用,则主机装置2发布lsidpin的set指令(图9的(5))。此外,数据存储装置1、更详细来说pin访问控制部115优选能够将在已发布revert指令的情况下可否受理lsidpin的set指令设定为选项。或者,pin访问控制部115也可使得只在lsidpin为初始值的情况下,能够受理lsidpin的set指令。也就是说,在已发布revert指令的情况下能够受理lsidpin的set指令并非必须。此处,设为在已发布revert指令的情况下能够受理lsidpin的set指令而进行设定。也就是说,可以将在revert后是否变为能够设定lsid的状态设为可选功能,能够对可否设定进行切换。接收到该指令的数据存储装置1调查是否通过具有lsidpin的set指令的发布权限的pin认证成功、及数据保护功能是否为inactive的状态,在通过具有lsidpin的set指令的发布权限的pin认证成功,且数据保护功能为inactive的状态的情况下,将lsidpin设定(更新)为主机装置2所指定的值(图9的(6))。
另外,图10是用来说明通过lsidpin进行初始化时的主机装置2-数据存储装置1间的交换的序列图。
主机装置2首先使用lsidpin要求数据存储装置1进行lsid权限的认证(图10的(1))。如果所述lsidpin正确,则数据存储装置1使该认证成功(图10的(2))。
如果使lsid权限的认证成功,则主机装置2发布revert指令(图10的(3))。接收到该指令的数据存储装置1调查是否通过具有revert指令的发布权限的pin认证成功,如果成功,则使数据保护功能转变为停用状态(inactive)。也就是说,执行伴随数据的无效的初始化(图10的(4))。
图11是表示接收到lsidpin的set指令时的数据存储装置1的动作顺序的流程图。
如果接收lsidpin的set指令,则数据存储装置1调查lsidpin的set指令的发布权限(步骤a1)。更详细来说,调查是否通过具有lsidpin的set指令的发布权限的pin认证成功。在通过不具有该指令的发布权限的pin认证成功的情况下(步骤a2的否(no)),数据存储装置1向该指令的发布源回复错误(步骤a3)。
在通过具有lsidpin的set指令的发布权限的pin认证成功的情况下(步骤a2的是(yes)),数据存储装置1接着调查是否满足该指令的发布条件(步骤a4)。更详细来说,首先,调查lsidpin是否为初始值(步骤a5)。在初始值的情况下(步骤a5的是),数据存储装置1将lsidpin设定为通过该set指令接收到的值(步骤a7)。在lsidpin为初始值以外的情况下(步骤a5的否),数据存储装置1接着调查数据保护功能是否为inactive状态(步骤a6)。在数据保护功能并非inactive状态的情况下(步骤a6的否),数据存储装置1向该指令的发布源回复错误(步骤a3)。在数据保护功能为inactive状态的情况下(步骤a6的是),数据存储装置1将lsidpin设定为通过该set指令接收到的值(步骤a7)。
图12是表示接收到revert指令时的数据存储装置1的动作顺序的流程图。
如果接收revert指令,则数据存储装置1调查revert指令的发布权限(步骤b1)。更详细来说,调查是否通过具有revert指令的发布权限的pin认证成功。在通过不具有该指令的发布权限的pin认证成功的情况下(步骤b2的否),数据存储装置1向该指令的发布源回复错误(步骤b3)。
另一方面,在通过具有包含lsid的revert指令的发布权限的pin认证成功的情况下(步骤b3的是),数据存储装置1使数据无效(步骤b4),使数据保护功能转变为inactive状态(步骤b5)。
图13是用来说明着眼于lsid的数据存储装置1的第2用例的图。
与所述第1用例同样地,第2用例也设想pc供应商52将由驱动器供应商51出货的数据存储装置1组入至pc3并向企业等最终用户53出货(组入有数据存储装置1的pc3)的实例。在该情况下,组入有数据存储装置1的pc3中的pc主体相当于图1所示的主机装置2。
另外,在第2用例中,驱动器供应商51也将数据存储装置1以数据保护功能停用的状态出货,且以lsidpin为初始值的状态出货。也就是说,驱动器供应商51不进行作为psid的代替pin的lsidpin的管理。因此,在第2用例中,驱动器供应商51也可削减用于将psidpin无误地印在标签的管理psidpin的步骤。
在第2用例中,pc供应商52管理sidpin。更详细来说,除第1用例中的lsidpin的设定以外,例如pc供应商52的操作员等使用msidpin通过sid权限使认证成功,更新sidpin,并且使数据存储装置1的数据保护功能激活(图13的(1))。在该第2用例中,最终用户53管理sidpin一事公开,所以,只要pc供应商52恰当地管理sidpin,便可防止在最终用户53侧sidpin被盗取。此外,图13的(1)的处理既可由组入有数据存储装置1的pc3内的主机装置2进行,又可由与pc3内的主机装置2不同的主机装置进行。
另一方面,在从pc供应商52购买pc3的最终用户53侧,it管理员进行adminpin的设定、及userpin的设定、对哪个user分配区域的设定权限的设定、使对于区域的锁定功能有效化的设定等,将组入有进行这些设定后锁定功能变得有效的数据存储装置1的pc借给职员(图13的(2))。
此处,设想以下情况:在从pc供应商52购买pc3的最终用户53侧,例如,某用户在对分配给自身的区域施加锁定的状态下,忘记了pin(user),且it管理员忘记了admin_pin(图13的(3))。在该情况下,最终用户53将该pc3送至pc供应商52,(放弃数据)委托该pc3的初始化。
接受该委托的pc供应商52既可通过使用设定为该pc3用的sidpin使认证成功而使该pc3初始化,又可通过使用设定为该pc3用的lsidpin使认证成功而使该pc3初始化(图13的(4))。该初始化后,pc供应商52再次进行除lsidpin的设定以外的sidpin的设定、数据保护功能的激活(图13的(1)),然后返还给最终用户53(图13的(5))。
在该第2用例中,由于sidpin由pc供应商52侧管理,所以可更确实地防止lsidpin不正当地更新。此外,图13的(4)的处理既可由组入有数据存储装置1的pc3内的主机装置2进行,又可由与pc3内的主机装置2不同的主机装置进行。
接下来,引用用于说明第1用例的图7,对数据存储装置1的第3用例进行说明。
在第1用例中,例如,需要将借给某职员且处于被该职员施加了锁定的状态的pc初始化,但该职员已经不在而无法知道userpin,且it管理员除了adminpin以外,也忘记了sidpin的情况下(图7的(3)),将该pc3送至pc供应商52,委托该pc3的初始化。
与此相对,在第3用例中,在本实施方式的数据存储装置1中,着眼于pc供应商52能够按照独有的规则决定、管理lsidpin,it管理员给pc供应商52的呼叫中心打电话,询问lsidpin。换句话说,设想pc供应商52提供受理来自最终用户53的lsidpin的询问的服务。
如果pc供应商52想要通过现有方法(psidpin)应对这种询问,则pc供应商52必须通过目视或条形码等读取数据存储装置1的psidpin,制作(输入)与pc3的序列号一起管理的数据库等等。
另一方面,在本实施方式的数据存储装置1中,由于pc供应商52可独自决定数据存储装置1的lsidpin与pc3的序列号,所以可大幅度削减管理的工夫。
另外,在该第3用例中,不用将pc3寄存在pc供应商52,所以最终用户53不用担心本公司的数据被pc供应商52读取。
接下来,引用用于说明第2用例的图13,对数据存储装置1的第4用例进行说明。
在第2用例中,例如,某用户在对分配给自身的区域施加锁定的状态下,忘记了pin(user),且it管理员忘记了admin_pin的情况下(图13的(3)),将该pc3送至pc供应商52,委托该pc3的初始化。
与此相对,在第4用例中,不将该pc3送至pc供应商52,而最终用户53将pc3的壳体开封,参照数据存储装置1的壳体上贴附的数据存储装置1的标签,获取lsidpin。然后,通过该lsidpin使认证成功,发布revert指令,使该pc3初始化。
也就是说,本实施方式的lsid_pin可与psid_pin同样地利用。此外,一般来说,一旦将pc3的壳体开封,便会成为pc供应商52的保证对象以外,所以在最终用户53侧将pc3的壳体开封,获取lsidpin,使pc3初始化的情况下,为了将数据保护功能激活,例如,在最终用户53侧,设定sid_pin,发布activate指令。当然,也可不使数据保护功能激活就使用pc3。
图14是用来说明着眼于lsid的数据存储装置1的第5用例的图。
与所述第1至第3用例同样地,第3用例也设想pc供应商52将由驱动器供应商51出货的数据存储装置1组入至pc3并向企业等最终用户53出货(组入有数据存储装置1的pc3)的实例。在该情况下,组入有数据存储装置1的pc3中的pc主体相当于图1所示的主机装置2。
另外,在第4用例中,驱动器供应商51也将数据存储装置1以数据保护功能停用的状态出货,且以lsidpin为初始值的状态出货。也就是说,驱动器供应商51不进行作为psid的代替pin的lsid的管理。因此,在第3用例中,驱动器供应商51也可削减用于将psidpin无误地印在标签的管理psidpin的步骤。
在第4用例中,设想pc供应商52代替在小型化发展至难以确保贴附标签的空间的程度的数据存储装置1上贴附标签,而将该标签贴附在组入数据存储装置1的pc主体侧。
如果pc供应商52通过现有方法(psidpin)在贴附在组入数据存储装置1的pc主体侧的标签上印上该数据存储装置1的psidpin,则将从驱动器供应商51获取的psidpin无误地印在标签的pc供应商52的作业成为非常繁琐的作业。与此相对,在应用作为psid的代替pin的lsid的数据存储装置1中,由于可根据pc供应商52独有的规则针对例如组入数据存储装置1的每一pc3决定并设定lsidpin(图14的(1)),所以可大幅度简化在pc主体侧贴附的标签上印上数据存储装置1的lsidpin的作业(图14的(2))。
更详细来说,在现有方法(psid)中,pc供应商52必须进行以下作业,即,通过目视或条形码等读取数据存储装置1的psidpin,将所述psidpin印在贴附在pc主体的标签,并贴附到pc主体。另一方面,在本实施方式的数据存储装置1中,pc供应商52自己决定数据存储装置1的lsidpin,将它设定在数据存储装置1,并且印在标签上。作为与此同等的作业,pc供应商52已经进行了以下作业,即,决定pc3的序列号,将它设定在pc3,并且印在贴附在pc主体的标签上,而对于数据存储装置1的psid也只要应用这种作业即可,所以也不会导致大幅的成本增加等。
pc供应商52出货pc3后,例如,与第1用例同样地,最终用户53侧的it管理员使用msid通过sid权限进行认证,更新sid,并且使数据存储装置1的数据保护功能激活,设定admin_pin,通过admin权限,进行user_pin的设定、对哪个user分配区域的设定权限的设定、使对于区域的锁定功能有效化的设定等,将组入有进行这些设定后锁定功能变得有效的数据存储装置1的pc3借给职员(图14的(3))。另外,此处,例如,也设想以下情况:需要将借给某职员且处于被该职员施加了锁定的状态的pc3初始化,但该职员已经不在而无法知道userpin,且it管理员除了adminpin以外,也忘记了sidpin(图14的(4))。
在第5用例中,在这种情况下,最终用户(it管理员)53参照贴附在pc3的主体的标签,获取lsidpin,使用该lsidpin使认证成功,由此使该pc3初始化(图14的(5))。以往,由于印有psidpin的标签被贴附在数据存储装置1,所以为了获取psidpin,必须将pc3的壳体开封,但在将lsidpin印在pc3的主体侧贴附的标签的本第5用例中,可无须将pc3的壳体开封。
此外,最终用户(it管理员)53优选在交纳pc3时,在记下lsid_pin后便将印有lsidpin的标签从pc3撕下,以防被其他人参照而获取lsid_pin。
另外,lsid_pin的印字也可不一定在贴附在pc3的标签上进行。例如,pc供应商52也可将印有lsid_pin的纸或封条等打印物(纸介质)随附于说明书而送交给最终用户53。而且,在最终用户53侧,it管理员也可将所述打印物取下,仅将说明书分发给职员。
或者,pc供应商52也可将记录着表示lsid_pin与pc3的序列号的对应关系的列表的cd(compactdisc,光盘)-rom(readonlymemory,只读存储器)或记载着该列表的文件等送交给最终用户(it管理员)53等。
该初始化后,最终用户(it管理员)53再次进行sid的设定、数据保护功能的激活、adminpin的设定、userpin的设定等(图14的(3)),将该pc3再借给职员。
像这样,数据存储装置1可对安全性及便利性优异的初始化用个人识别信息进行处理。
(第2实施方式)
接下来,对第2实施方式进行说明。
图15是表示第2实施方式的控制器11的功能区块的一例的图。此外,对与第1实施方式相同的构成要素使用相同符号,并省略重复说明。
在所述第1实施方式中,用于获取lsidpin的get指令不存在,另一方面,关于用于设定lsidpin的set指令,如果lsidpin为初始值,则可通过sid权限发布,另外,如果lsidpin为初始值以外,则仅限于数据保护功能为inactive状态时,可通过sid权限发布。也就是说,在第1实施方式中,可将lsidpin设定为set指令的发布者指定的值。
与此相对,在第2实施方式中,在sid权限下受理更新lsidpin的指令而并非设定lsidpin的指令,受理该指令后,在数据存储装置1内产生并设定(更新)lsidpin的值。另外,在通过该指令更新了lsidpin的情况下,数据存储装置1在sid权限下只受理1次用于获取(更新后的)lsidpin的get指令。
如图15所示,本实施方式的数据存储装置1还具有lsid产生部119。lsid产生部119具有例如产生随机数的功能,使用该功能产生lsid的值。
在图16中表示本实施方式的数据存储装置1中的有关lsid的指令及其发布权限的一例。
如图16所示,在本实施方式的数据存储装置1中,除了revert指令的发布权限被授予给lsid(符号b1)以外,也定义以符号b2表示的gen_lsid作为有关lsid的指令。gen_lsid是用于更新lsidpin的指令,它的发布权限被授予给sid。
另外,图17是表示本实施方式的数据存储装置1中的set或get的对象(object)为pin时的发布权限的一授予例的图。
在本实施方式的数据存储装置1中,伴随gen_lsid指令的新设,关于lsidpin(符号c1),如符号c2所示,用于获取它的值的get指令的发布权限在固定条件下被授予给sid。所谓固定条件是指通过gen_lsid指令更新lsidpin后的第1次get指令。另外,用于设定lsidpin的set指令不存在。
本实施方式的数据存储装置1中的许可处理部114是在gen_lsid指令从主机装置2发布并被接口处理部111接收的情况下,根据认证处理部112是否通过sid使认证成功,来判定可否受理该指令。通过sid使认证成功,而判定为可受理该指令的许可处理部114对pin访问控制部115及lsid产生部119指示执行与gen_lsid指令对应的处理。接收到该指示的lsid产生部119使用所述产生随机数的功能而产生lsidpin的值。另外,本实施方式的数据存储装置1中的pin访问控制部115将lsidpin更新为lsid产生部119所产生的值。
另外,本实施方式的数据存储装置1中的pin访问控制部115是在以lsidpin为对象的get指令从主机装置2发布并被接口处理部111接收的情况下,判定可否受理该指令的判定。更详细来说,pin访问控制部115根据是否为通过gen_lsid指令的发布更新lsidpin后的第1次get指令,来判定可否受理该指令。在判定为可受理该指令的情况下,pin访问控制部115从pin管理部113获取lsidpin。所获取的lsidpin经由接口处理部111被发送到主机装置2。pin访问控制部115例如管理表示在通过gen_lsid指令的发布更新lsidpin后是否从主机装置2发布了以lsidpin为对象的get指令的标志等。
此处,引用第1实施方式中所说明的第4用例(参照图14),对着眼于lsid的本实施方式的数据存储装置1的用例进行说明。
例如pc供应商52的操作员当在pc主体侧贴附的标签上印上数据存储装置1的lsidpin时,首先,使用msidpin通过sid权限使认证成功(以由驱动器供应商51出货的数据存储装置1的sidpin为初始值、即为与msidpin相同的值为前提),发布gen_lsid指令。由此,组入至pc3的数据存储装置1的lsidpin从初始值更新为lsid产生部119所产生的值。
接着,例如pc供应商52的操作员发布以lsidpin为对象的get指令,获取lsidpin。也就是说,无须从驱动器供应商51获取lsidpin,因此,在本实施方式的数据存储装置1中,也可大幅简化在pc主体侧贴附的标签上印上数据存储装置1的lsidpin的作业。
更详细来说,在现有方法(psid)中,pc供应商52必须进行以下作业,即,通过目视或条形码等读取数据存储装置1的psidpin,将它印在贴附在pc主体的标签上,并贴附在pc主体。另一方面,在本实施方式的数据存储装置1中,pc供应商52自己决定数据存储装置1的lsidpin,将它设定在数据存储装置1,并且印在标签上。作为与此同等的作业,pc供应商52已经进行了以下作业,即,决定pc3的序列号,将它设定在pc3,并且印在贴附在pc主体的标签上,而对于数据存储装置1的psid也应用这种作业即可,所以也不会导致大幅的成本增加等。
图18是用来说明本实施方式的数据存储装置1更新lsidpin时的主机装置-数据存储装置间的交换的序列图。
主机装置2使用msidpin(sidpin未更新时)或sidpin要求数据存储装置1进行sid权限的认证(图18的(1))。如果该pin的值正确,则数据存储装置1使该认证成功(图18的(2))。
如果使sid权限的认证成功,则主机装置2发布gen_lsid指令(图18的(3))。接收到该指令的数据存储装置1调查是否通过具有gen_lsid指令的发布权限的pin认证成功,如果成功,则产生lsid值,并将该值设定为lsidpin(图18的(4))。
如果发布gen_lsid指令,则主机装置2这次发布lsidpin的get指令。接收到该指令的数据存储装置1调查是否通过具有lsidpin的get指令的发布权限的pin认证成功、及是否为发布gen_lsid指令后的第1次lsidpin的get指令,在通过具有lsidpin的get指令的发布权限的pin认证成功,且是发布gen_lsid指令后的第1次lsidpin的get指令的情况下,将(更新后的)lsidpin读出并发送到主机装置2(图18的(6))。
像这样,数据存储装置1在受理gen_lsid指令并更新了lsidpin的情况下,在sid权限下只受理1次用于获取lsidpin的get指令。
图19是表示接收到gen_lsid指令时的数据存储装置1的动作顺序的流程图。
如果接收gen_lsid指令,则数据存储装置1调查gen_lsid指令的发布权限(步骤c1)。更详细来说,调查是否通过具有gen_lsid指令的发布权限的pin认证成功。在通过不具有该指令的发布权限的pin认证成功的情况下(步骤c2的否),数据存储装置1向该指令的发布源回复错误(步骤c3)。
在通过具有gen_lsid指令的发布权限的pin认证成功的情况下(步骤c2的是),数据存储装置1产生lsidpin的值,并将lsidpin设定为该值(步骤c4)。
图20是表示接收到lsidpin的get指令时的数据存储装置1的动作顺序的流程图。
如果接收lsid的get指令,则数据存储装置1调查lsidpin的get指令的发布权限(步骤d1)。更详细来说,调查是否通过具有lsidpin的get指令的发布权限的pin认证成功。在通过不具有该指令的发布权限的pin认证成功的情况下(步骤d2的否),数据存储装置1向该指令的发布源回复错误(步骤d3)。
在通过具有lsidpin的get指令的发布权限的pin认证成功的情况下(步骤d2的是),数据存储装置1接着调查是否满足该指令的发布条件(步骤d4)。更详细来说,调查是否为发布gen_lsid指令后的第1次lsidpin的get指令。在并非发布gen_lsid指令后的第1次lsidpin的get指令的情况下(步骤d5的否),数据存储装置1向该指令的发布源回复错误(步骤d3)。在为发布gen_lsid指令后的第1次lsidpin的get指令的情况下(步骤d5的是),数据存储装置1将(更新后的)lsidpin读出并向主机装置2回复(步骤d6)。
此外,步骤d1的发布权限检查与步骤d5的lsidpin的get指令的发布次数检查也可不一定按照该顺序进行。
像这样,本实施方式的数据存储装置1也可对安全性及便利性优异的初始化用个人识别信息进行处理。
(第3实施方式)
接下来,对第3实施方式进行说明。
图21是表示第3实施方式的控制器11的功能区块的一例的图。此外,对与第1及第2实施方式相同的构成要素使用相同符号,并省略重复说明。
在本实施方式的数据存储装置1中,着眼于发布activate指令的权限仅被授予给sid,将lsidpin的值作为activate指令的参数发送到数据存储装置1而设定lsidpin。例如,像第1实施方式的第2用例(参照图13)那样,pc供应商52管理sidpin,使数据存储装置1的数据保护功能激活的情况下,发布activate指令的机会被限定在pc供应商52内,所以,lsidpin的更新也可限定在pc供应商52内。也就是说,可防止lsidpin不正当地更新。
如图21所示,本实施方式的数据存储装置1还具备activate参数处理部120。activate参数处理部120具有将pin管理部113所管理的lsidpin更新为指定为activate指令的参数的值的功能。
在图22中表示本实施方式的数据存储装置1中的有关lsid的指令及其发布权限的一例。
如图22所示,在本实施方式的数据存储装置1中,作为有关lsid的指令,定义以符号b3表示的activate(w/param(参数))。此处,(w/param)表示附加参数。也就是说,在本实施方式的数据存储装置1中,以能够受理附加有参数的activate指令的方式追加功能。
更详细来说,在从主机装置2发布activate指令的情况下,许可处理部114根据是否通过被授予发布该指令的权限的pin认证成功来判定可否受理该指令,除此以外,在判定为可接收且授予了参数的情况下,将指定为该参数的值传送到activate参数处理部120。activate参数处理部120将pin管理部113所管理的lsidpin更新为从许可处理部114传来的值。
图23是用来说明本实施方式的数据存储装置1更新lsidpin时的主机装置-数据存储装置间的交换的序列图。此外,此处,数据存储装置1以数据保护功能为停用状态(inactive)为前提。
主机装置2使用sidpin要求数据存储装置1进行sid权限的认证(图23的(1))。如果该pin的值正确,则数据存储装置1使该认证成功(图23的(2))。
如果使sid权限的认证成功,则主机装置2发布附加有欲设定为lsidpin的值作为参数的activate指令(activate(w/param))(图23的(3))。接收到该指令的数据存储装置1调查是否通过具有activate(w/param)指令的发布权限的pin认证成功,如果成功,则使数据保护功能激活(向inactive转变),将指定为参数的值设定为lsidpin(图23的(4))。
图24是表示接收到activate(w/param)指令时的数据存储装置1的动作顺序的流程图。
如果接收activate(w/param)指令,则数据存储装置1调查activate(w/param)指令的发布权限(步骤f1)。更详细来说,调查是否通过具有activate(w/param)指令的发布权限的pin认证成功。在通过不具有该指令的发布权限的pin认证成功的情况下(步骤f2的否),数据存储装置1向该指令的发布源回复错误(步骤f3)。
在通过具有activate(w/param)指令的发布权限的pin认证成功的情况下(步骤f2的是),数据存储装置1使数据保护功能激活(步骤f4),将指定为参数的值设定为lsidpin(步骤f5)。
像这样,本实施方式的数据存储装置1也可对安全性及便利性优异的初始化用个人识别信息进行处理。(第4实施方式)
接下来,对第4实施方式进行说明。
图25是表示第4实施方式中的控制器11的功能区块的一例的图。此外,对与第1至第3实施方式相同的构成要素使用相同符号,并省略重复说明。
在本实施方式的数据存储装置1中,具有允许更新lsidpin的模式(lsid可更新模式)、及不允许更新lsid的模式(lsid不可更新模式)。另外,设想用于切换这些模式的指令仅从在主机装置2上动作的bios(basicinput/outputsystem,基本输入输出系统)200发布。在主机装置2上动作的bios200具有对数据存储装置1进行各种设定的模式设定部201,该模式设定部201具有发布用于进行lsid可更新模式-lsid不可更新模式间的切换的指令的功能。另外,模式设定部201具有对可否发布lsidpin的set指令进行控制的功能。
如图25所示,本实施方式的数据存储装置1还具有powercycle(电源循环)检测部121及模式管理部122。powercycle检测部121侦测数据存储装置1的电源接通或复位,并通知给模式管理部122。模式管理部122当接收来自powercycle检测部121的通知时,设定lsid可更新模式。另外,在已发布用于向lsid不可更新模式切换的指令的情况下,模式管理部122设定lsid不可更新模式。在设定lsidpin的情况下,在通过bios200的模式设定部201发布用于向lsid不可更新模式切换的指令之前,发布lsidpin的set指令。
在本实施方式的数据存储装置1中,作为有关lsid的指令,定义lsid_mode_change。lsid_mode_change是用于从lsid可更新模式切换为lsid不可更新模式的指令,且被定义为只能由bios200发布的指令。此外,数据存储装置1不判定该lsid_mode_change的发布源是否为bios200。因此,被定义为只能由bios200发布的指令是指定义发布该指令的功能只能搭载在bios200。换句话说,数据存储装置1判定不进行认证(任何人)即可受理该指令。
更详细来说,lsid_mode_change是比追究activate或set等的发布权限的层的指令低一级的不问发布权限的层的指令,接口处理部111当接收lsid_mode_change时,将该lsid_mode_change的接收直接通知给模式管理部122。接收到该通知的模式管理部122进行从lsid可更新模式向lsid不可更新模式的切换。另外,模式管理部122要求认证处理部112之后以即使lsidpin的值一致也务必使认证失败的方式进行基于lsidpin的认证。也就是说,在本实施方式的数据存储装置1中,设想基于lsid权限的revert的发布由bios200进行,更详细来说,在发布lsid_mode_change之前进行。
本实施方式中的pin访问控制部115在例如已发布以lsidpin为对象的set指令的情况下,向模式管理部121询问设定lsid可更新模式或lsid不可更新模式中的哪一个。在设定lsid不可更新模式的情况下,即使通过具有发布以lsid为对象的set指令的权限的pin认证成功,也判定为不可接收该指令。
图26是用来说明设定lsid不可更新模式时的主机装置-数据存储装置间的第1方式下的交换的序列图。
当电源接通或复位时,主机装置2、更详细来说、bios200对数据存储装置1要求电源接通或复位时的处理(图26的(1))。根据该要求,数据存储装置1侦测主机装置2的电源接通或复位,设定lsid可更新模式(图26的(2))。
在更新lsidpin的情况下,主机装置2(bios200的模式设定部201)发布lsidpin的set指令(图26的(3))。接收到该指令的数据存储装置1将lsidpin设定(更新)为主机装置2所指定的值(图26的(4))。
最后,主机装置2(bios200的模式设定部201)发布lsid_mode_change指令(图26的(5))。当接收lsid_mode_change指令时,数据存储装置1执行从lsid可更新模式向lsid不可更新模式的切换(图26的(6))。
另外,图27是用来说明设定lsid不可更新模式时的主机装置-数据存储装置间的第2方式下的交换的序列图。
当电源接通或复位时,主机装置2、更详细来说、bios200对数据存储装置1要求电源接通或复位时的处理(图27的(1))。根据该要求,数据存储装置1侦测主机装置2的电源接通或复位,设定lsid可更新模式(图27的(2))。
在更新lsidpin的情况下,主机装置2(bios200的模式设定部201)发布lsidpin的set指令(图27的(3))。接收到该指令的数据存储装置1将lsidpin设定(更新)为主机装置2所指定的值(图27的(4))。
在本第2方式中,更新lsidpin后,bios200的模式设定部201产生复位信号,使主机装置2复位(图27的(5))。由此,从主机装置2,更详细来说,从bios200再次将复位时的处理的要求通知给数据存储装置1(图27的(1)′)。另外,这样一来,在数据存储装置1中,侦测主机装置2的复位,设定lsid可更新模式(图27的(2)′)。
然后,主机装置2(bios200的模式设定部201)发布lsid_mode_change指令(图27的(5))。当接收lsid_mode_change指令时,数据存储装置1执行从lsid可更新模式向lsid不可更新模式的切换(图27的(6))。
也就是说,在本第2方式中,主机装置2将对数据存储装置1要求电源接通或复位时的处理(图27的(1))并发布lsid_mode_change指令(图27的(5))的流程设为基本顺序,在更新lsidpin的情况下,更新lsidpin后,产生复位,由此,以该基本顺序将数据存储装置1设定为lsid不可更新模式。
图28是表示lsidpin的设定相关的数据存储装置1的动作顺序的流程图。
数据存储装置1侦测主机装置2的电源接通或复位时(步骤e1),首先设定lsid可更新模式(步骤e2)。数据存储装置1如果在处于lsid可更新模式的期间接收到lsidpin的set指令(步骤e3的是),则将lsidpin设定为通过该set指令接收到的值(步骤e4)。另外,当接收lsid_mode_change指令时(步骤e5的是),数据存储装置1执行从lsid可更新模式向lsid不可更新模式的切换(步骤e6)。也就是说,进行lsid不可更新模式的设定。
在本实施方式中,设想通过set指令由主机装置2设定lsidpin的值。这就意味着,在主机装置2中安装着不正当的应用程序的情况下,存在未经用户允许而lsidpin的值被不正当地设定的危险性。且说,在一般的计算机体系结构中,首先执行bios200,然后,依序执行os(operatingsystem,操作系统)、应用程序。在本实施方式中,通过bios200,在执行os或应用程序之前通过lsid_mode_change指令将数据存储装置1设定为lsid不可更新模式。由此,即使在主机装置2中安装着不正当的应用程序,也可防止因该不正当应用程序而lsidpin的值被不正当地设定。
像这样,能够使lsid不可更新的本实施方式的数据存储装置1也可对安全性及便利性优异的初始化用个人识别信息进行处理。
(第5实施方式)
接下来,对第5实施方式进行说明。
图29是表示第5实施方式中的控制器11的功能区块的一例的图。此外,对与第1至第4实施方式相同的构成要素使用相同符号,并省略重复说明。
首先,参照图30,对本实施方式的数据存储装置1的用例(第6用例)进行说明。
例如,在第1实施方式所说明的第2用例(参照图13)中,pc供应商52管理sidpin,使数据存储装置1的数据保护功能激活。与此相对,在本第6用例中,pc供应商52进而设定、管理adminpin(图30的(1))。pc供应商52所设定的adminpin被通知给最终用户53的例如it管理员。接收到adminpin的通知的it管理员例如进行userpin的设定等,将pc3借给职员(图30的(2))。
在本第6用例的情况下,如果因最终用户53忘记adminpin等而将pc3的初始化委托给pc供应商52(图30的(3)),由于pc供应商52知道adminpin的值,所以,在pc供应商52侧,对最终用户53委托初始化的pc3的区域施加的锁定在初始化前通过admin权限被解除,无法否定数据被参照的可能性。因此,在本实施方式的数据存储装置1中,具备当数据保护功能激活时剥夺对admin授予的解除锁定的权限的功能(图30的(1):admin的解锁权限剥夺)。
返回到图29继续进行说明。
如图29所示,本实施方式的数据存储装置1还具有pin权限变更处理部122。在发布activate指令使数据保护功能激活的情况下,pin权限变更处理部122对pin访问控制部115以剥夺admin的锁定解除权限的方式进行指示。pin访问控制部115对pin管理部113及许可处理部114通知admin的锁定解除权限被剥夺的内容。之后,许可处理部114判定为不可受理通过admin权限解除锁定的指令。
图31是表示接收到activate指令时的数据存储装置1的动作顺序的流程图。
如果接收activate指令,则数据存储装置1调查activate指令的发布权限(步骤g1)。更详细来说,调查是否通过具有activate指令的发布权限的pin认证成功。在通过不具有该指令的发布权限的pin认证成功的情况下(步骤g2的否),数据存储装置1向该指令的发布源回复错误(步骤g3)。
在通过具有activate指令的发布权限的pin认证成功的情况下(步骤g2的是),数据存储装置1使数据保护功能激活(步骤g4),并剥夺admin的锁定解除权限(步骤g5)。
在本实施方式的数据存储装置1中,即使在adminpin由pc供应商52设定、管理的情况下,最终用户53也不用担心本公司的数据被pc供应商52读取,所以可放心地委托初始化。
已对本发明的若干实施方式进行了说明,但这些实施方式是作为例子而提出的,并不意图限定发明的范围。这些新颖的实施方式能以其它多种方式实施,能够在不脱离发明主旨的范围内进行各种省略、置换、变更。这些实施方式或其变化包含在发明的范围或主旨中,并且包含在权利要求书所记载的发明及其均等的范围内。
[符号的说明]
1:数据存储装置
2:主机装置
3:pc
11:控制器
12:易失性存储器
13:非易失性存储器
51:驱动器供应商
52:pc供应商
53:最终用户
111:接口处理部
112:认证处理部
113:pin管理部
114:许可处理部
115:pin访问控制部
116:初始化处理部
117:read/write访问控制部
118:read/write处理部
119:lsid产生部
120:activate参数处理部
121:powercycle检测部
122:模式管理部
200:bios
201:模式设定部
202:pin权限变更处理部
- 还没有人留言评论。精彩留言会获得点赞!