データ処理装置及びデータ消去方法
【課題】暗号化されて記憶されたデータを短時間かつ低消費電力で消去する。
【解決手段】CPU101はGIOコントローラ104経由で乱数発生モジュール105に対して、新しい乱数を発生させるように指示を出す。乱数発生モジュール105は、その指示に応じて新しい乱数を発生し、その乱数データを暗号/復号モジュール106の暗号キー設定レジスタにセットする。以後、HDD107に対するデータの書き込み、読み出しを行う際、暗号/復号モジュール106は、それまでとは異なる暗号キーで暗号化/復号化するので、それまでにHDD107に書き込み済みのデータは復号化できなくなり、データを消去したことと同じになる。
【解決手段】CPU101はGIOコントローラ104経由で乱数発生モジュール105に対して、新しい乱数を発生させるように指示を出す。乱数発生モジュール105は、その指示に応じて新しい乱数を発生し、その乱数データを暗号/復号モジュール106の暗号キー設定レジスタにセットする。以後、HDD107に対するデータの書き込み、読み出しを行う際、暗号/復号モジュール106は、それまでとは異なる暗号キーで暗号化/復号化するので、それまでにHDD107に書き込み済みのデータは復号化できなくなり、データを消去したことと同じになる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、記憶媒体に暗号化されて記憶されているデータを復元不能に消去することのできるデータ処理装置及びデータ消去方法に関する。
【背景技術】
【0002】
近年のセキュリティ意識の高まりとともに、オフィス等では、情報のセキュリティ管理が重要になってきている。例えば、パーソナルコンピュータ(以下、PCと言う)で扱う情報のセキュリティ管理は一般的である。また、複合機(MFP:Multi Function Printer)にもPCと同様、ハードディスク装置(以下、HDDと言う)等の記憶装置が搭載されるようになってきているため、必要に応じてセキュリティ管理が実行されている。
【0003】
従来、複合機のHDDのセキュリティ対策としては、記憶するデータを暗号キーに基づいて暗号化する方法がある(特許文献1参照)。しかし、この方法では、暗号キーが盗まれた場合、記憶されたデータも盗まれてしまう。そこで、文献に記載されたものではないが、不要となったデータを逐次消去することにより、セキュリティ上問題となるデータのHDD上の残量を低減する方法がある。消去方法としては、NAS準拠方式、DoD準拠方式等のように、記憶媒体全体に固定値(“00”、“FF”等)やランダムパターンを所定回(例.3回、5回)上書きする方法が採用されている。
【0004】
しかしながら、このような固定値やランダムパターンを所定回上書きする方法には、処理時間が長い、CPU(Central Processing Unit)の負荷が大きい、及び消費電力が多い、という問題がある。
【特許文献1】特開2003−255832号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明は、このような問題を解決するためになされたもので、その目的は、暗号化されて記憶されたデータを短時間かつ低消費電力で消去できるようにすることである。
【課題を解決するための手段】
【0006】
本発明は、記憶媒体に対してデータの書き込み及び読み出しを行うデータ処理装置において、複数の異なる暗号キーを選択的に生成する暗号キー生成手段と、生成された暗号キーを用いて、前記記憶媒体に書き込まれるデータを暗号化する手段と、その暗号キーを用いて、前記記憶媒体から読み出されたデータを復号化する手段と、前記暗号キー生成手段により生成される暗号キーが変更されたとき、前記記憶媒体の論理フォーマットを行う手段とを有することを特徴とするデータ処理装置である。
また、本発明は、暗号キーを用いて暗号化したデータが記憶されている記憶媒体のデータ消去方法において、暗号キーを変更する工程と、記憶媒体の論理フォーマットを行う工程とを有することを特徴とするデータ消去方法である。
【0007】
[作用]
暗号キーを変更すると、記憶媒体に書き込み済みのデータは復号化することができなくなるため、データを消去したことと同じになる。
【発明の効果】
【0008】
本発明によれば、暗号化されて記憶されたデータを短時間かつ低消費電力で消去することができる。
【発明を実施するための最良の形態】
【0009】
以下、本発明の実施形態について、図面を参照しながら詳細に説明する。
[第1の実施形態]
図1は、本発明の第1の実施形態のデータ処理装置のブロック図である。このデータ処理装置は複合機に内蔵されており、CPU101、ROM(Read Only Memory)108、RAM(Random Access Memory)107、ASIC(Application Specific Integrated Circuit)102、及びHDD107を備えている。
【0010】
CPU101、ROM108、RAM107、及びASIC102は、所定のバスを介して接続され、ASIC102とHDD107とは、PATA(Parallel ATA)、SATA(Serial ATA)、SCSI(Small Computer System Interface)などのI/F(インタフェース)により接続されている。
【0011】
ここで、HDD107はSSD(Solid State Disk)やナンド・フラッシュ・メモリとHDDの両方を搭載したハイブリッドHDDでもよい。また、HDD107に代えて又は加えて、USB(Universal Serial Bus)2.0或いは3.0を介してUSBメモリを接続してもよい。さらに、USB SD(Secure Digital)カードI/Fを介してSDカードを接続してもよい。
【0012】
ASIC102はDMA(Direct Memory Access)コントローラ103、GIO(General Input Output)コントローラ104、乱数発生モジュール105、及び暗号/復号化モジュール106を内蔵している。GIOコントローラ104は、CPU101から送出された「暗号キー変更信号」、「暗号/復号 オン/オフ信号」を、それぞれ乱数発生モジュール105、暗号/復号化モジュール106へ送出する。
【0013】
以上の構成を有するデータ処理装置において、HDD107に対してDMAコントローラ103の制御によりデータの書き込み(ライトDMA)、読み出し(リードDMA)を行うときの動作を説明する。
【0014】
リードDMAを行うときは、CPU101はDMAコントローラ103にDMAに必要なパラメータをセットし、DMAのスタートを掛ける。DMAコントローラ103は暗号/復号化モジュール106経由でHDD107にリードDMAコマンドを送出する。
【0015】
リードDMAコマンドを受け取ったHDD107は、記憶媒体からデータを読み出し、そのリードデータを暗号/復号化モジュール106へ送出する。暗号/復号化モジュール106は、リードデータを復号化する。DMAコントローラ103は復号化されたリードデータを受け取り、CPU101を介さずにRAM109に転送する。
【0016】
ライトDMAを行うときも、CPU101はDMAコントローラ103にDMAに必要なパラメータをセットし、DMAのスタートを掛ける。DMAコントローラ103は暗号/復号化モジュール106経由でHDD107にライトDMAコマンドを送出し、次いでCPU101を介さずにRAM109から読み出したライトデータ(書き込み用データ)を暗号/復号化モジュール106経由でHDD107に送り始める。ライトDMAコマンドを受け取ったHDD107は、暗号化されたライトデータを受け取り、記憶媒体に書き込む。
【0017】
暗号/復号化モジュール106は、「暗号/復号 オン/オフ信号」がオンのとき、セットされている暗号キーに基づいて、ライトデータの暗号化、リードデータの復号化を行うが、DMAコントローラ106から送出されるHDD107に対するコマンドやステータスの内容については、平文でやりとりし、暗号化/復号化は行わない。
【0018】
次にHDD107に記憶されたデータを消去する手順を説明する。
CPU101はGIOコントローラ104経由で乱数発生モジュール105に対して、新しい乱数を発生させるように指示を出す。乱数発生モジュール105は、その指示に応じて新しい乱数を発生し、その乱数データを暗号/復号モジュール106の暗号キー設定レジスタ(図示省略)にセットする。
【0019】
以後、HDD107に対するデータの書き込み、読み出しを行う際、暗号/復号モジュール106は、それまでとは異なる暗号キーで暗号化/復号化するので、それまでにHDD107に書き込み済みのデータは復号化することができなくなり、データを消去したことと同じになる。
【0020】
暗号キーを変更するとHDD107の記憶媒体上の論理フォーマットデータも壊れてしまうので、アクセスするには論理フォーマットが必要となる。ここではROM108に記憶されているファイルシステムの論理フォーマット情報をHDD107に書き込む。論理フォーマットとは、物理フォーマットが成された記憶媒体上に、パーティションやファイルシステムのために必要なデータ(後述するFATやディレクトリ情報)を書き込むことである。暗号キーを変更すると、パーティション内のデータは、データ領域のみならずFATやディレクトリ情報も全て、変更前と違う値が読めてしまう、要するにパーティション内のデータは全てめちゃくちゃな値となってしまうため、再フォーマットを行う。
【0021】
例えばWindows(登録商標)の場合、論理フォーマットにより3つの領域が作成される。1つはディレクトリ部である。ここはファイル名とその格納日付、及び先頭セクタIDを管理するための領域である。2つ目はFAT(File Allocation Table)部である。ここはファイルがどのセクタ(クラスタ)に格納されているかを管理するための領域である。3つ目はデータ部である。ここには実際のファイルが、等分割の領域(セクタ)に格納される。
【0022】
このように本発明の第1の実施形態のデータ処理装置によれば、暗号キーを変更し、論理フォーマットを行うことで、データを消去したのと同じ効果が得られるようにするので、NAS準拠方式、DoD準拠方式等のようにデータを複数回上書きする場合と比べ、CPUの負荷を低減するとともに、短時間かつ低消費電力で完了させることができる。また、ナンド・フラッシュ・メモリを使用した記憶媒体の場合は、書き換え回数が少なくなるため、寿命の短縮を防止することができる。
【0023】
[第2の実施形態]
図2は、本発明の第2の実施形態のデータ処理装置のブロック図である。この図において、第1の実施形態(図1)と対応するブロックには、図1と同じ参照符号を付した。また、図3は本実施形態のHDD107のアドレスマップである。
【0024】
図3に示されているように、HDD107のLBA(Logical Block Address:論理ブロックアドレス)=0〜20,971,519を管理領域、20,971,520〜41,943,039を画像一時蓄積領域、41,943,040〜83,886,079を画像蓄積領域した。つまり3つのパーティションを設定した。
【0025】
管理領域は主にOS(Operating System)が使用する。画像一時蓄積領域は、プリンタ印刷時の描画後の印刷データを一時的に格納するためのエリアであり、印刷が終了したら、その印刷データは消去される。画像一時蓄積領域は、スキャナ配信時のスキャンデータを一時的に格納するためにも使用する。スキャンデータのPCへの送信が終了したら、そのデータは消去される。画像蓄積領域は画像データを保存しておくための領域であり、ユーザの指示により蓄積や消去を行う。
【0026】
図2に示すように、HDD107の3つの領域に対応して、ASIC102内に第1〜第3の暗号/復号化モジュール201〜203を設けた。また、暗号キー、「暗号/復号 オン/オフ信号」、「暗号キー変更信号」を3つの暗号/復号化モジュール201〜203に対し、1対1で3つずつ設けた。即ち、第1〜第3の暗号/復号化モジュール201〜203に対応させて、第1〜第3の暗号キー、第1〜第3の「暗号/復号 オン/オフ信号」、第1〜第3の「暗号キー変更信号」を設けた。
【0027】
ここで、一時蓄積領域用の暗号キーである第2の暗号キーのみ変更し、第1の暗号キー及び第3の暗号キーについてはユーザが指示しない限り、変更しない。
【0028】
暗号キーを変更すると、論理フォーマットが終わるまでHDD107にアクセスできない。本実施形態では、暗号キーを変更するエリアを一部に限定することで、論理フォーマットを早く終了させ、アクセス可能になるまでの時間を短縮している。
【0029】
[第3の実施形態]
図4は、本発明の第3の実施形態のデータ処理装置のブロック図である。この図において、第2の実施形態(図2)と対応するブロックには、図1と同じ参照符号を付した。
【0030】
本実施形態は、第2の実施形態に対し、NVRAM(Non Volatile RAM:不揮発性RAM)301、省エネタイマー302、電力管理(パワー・マネージメント)モジュール303、及びPSU(電力供給ユニット)304を追加したものである。
【0031】
このデータ処理装置が実装されているMFPでは、スキャンやプリント、コピー動作が無い状態(アイドル状態)が一定時間継続すると省エネルギーモードへ移行する。NVRAM301には、アイドル状態がどれだけ連続したら省エネルギーモードになるかの設定値がCPU101により書き込まれる。
【0032】
省エネタイマー302でアイドル時間をカウントし、設定値をカウントしたらCPU101はGIOコントローラ104経由で乱数発生モジュール105に指示を出し、第2の暗号キー、若しくは第1〜第3の暗号キーを変更させる。その後、暗号キーが変更された領域の論理フォーマットを行う。次に、電力管理モジュール303経由でPSU304に対し、省エネルギーモード時にオフになるように設定されている部分に対する電力供給をオフにするための電源制御信号を送出する。
【0033】
省エネルギーモードに入るのはアイドル状態が続いた時なので、記憶媒体にアクセスする確率は小さい。このため、本実施形態では、論理フォーマットの実行中に記憶媒体に対するアクセス要求が発生し、論理フォーマットの終了まで待たされるケースは少ない。
【0034】
[第4の実施形態]
図5は、本発明の第4の実施形態のデータ処理装置におけるHDD107のアドレスマップであり、図6は、本発明の第4の実施形態のデータ処理装置のHDDに対するアクセス処理のフローチャートである。本実施形態のデータ処理装置のブロック構成は、第2の実施形態(図2)のHDD107に4つの領域を設け、それに応じて、ASIC102内に第1〜第4の暗号/復号化モジュールを設けるとともに、暗号キー、「暗号/復号 オン/オフ信号」、「暗号キー変更信号」を4つの暗号/復号化モジュールに対し、1対1で4つずつ設けたものである。
【0035】
図5に示すように、HDD107のLBA=0〜20,971,519を管理領域、20,971,520〜41,943,039を第1の画像一時蓄積領域、41,943,040〜62,914,559を第2の画像一時蓄積領域、62,914,560〜104,857,599を画像蓄積領域とした。なお、最大255個のパーティションを作成できるツールが市販されており、パーテションサイズを小さくすればするほど論理フォーマットに要する時間は短くなる。
【0036】
第1の画像一時蓄積領域又は第2の画像一時蓄積領域に対して、画像データの書き込み又は読み出しを行いたい場合、CPU101は、まず第1の画像一時蓄積領域が論理フォーマット中か否かをチェックする(図6のステップS1)。論理フォーマット中でない場合(S1:NO)、第1の画像一時蓄積領域にアクセス(ステップS2)した後に処理を終了する。
【0037】
第1の画像一時蓄積領域が論理フォーマット中の場合(S1:YES)、第2の画像一時蓄積領域が論理フォーマット中か否かをチェックする(ステップS3)。論理フォーマット中でない場合(S3:NO)、第2の画像一時蓄積領域にアクセス(ステップS4)した後に処理を終了する。
【0038】
第2の画像一時蓄積領域が論理フォーマット中の場合(S3:YES)、第1の画像一時蓄積領域又は第2の画像一時蓄積領域の論理フォーマットが終了するまで待ち(S5:YES→S6:YES)、終了したらその領域にアクセスし(S5:NO→S2、S6:NO→S4)、その後に処理を終了する。
【0039】
本実施形態によれば、一つの一時蓄積領域が論理フォーマット中でも、他の使用可能な一時蓄積領域にアクセスができるので、論理フォーマットの実行によるアクセス不能な時間を短縮することができる。
【0040】
[第5の実施形態]
図7は、本発明の第5の実施形態のデータ処理装置のHDDに対するアクセス処理のフローチャートである。本実施形態にデータ処理装置のブロック構成は、第4の実施形態と同じであり、HDD107のパーティションも第4の実施形態と同じである。
【0041】
本実施形態では、論理フォーマット動作の実行優先順位を画像一時蓄積領域に対するアクセス動作より下げることで、画像一時蓄積領域に対するアクセスを妨害しないようにした。
【0042】
第1の画像一時蓄積領域又は第2の画像一時蓄積領域に対して、画像データの書き込み又は読み出しを行いたい場合、CPU101は、第1の画像一時蓄積領域が論理フォーマット中か否かをチェックする(ステップS11)。論理フォーマット中でない場合(S11:NO)、第2の画像一時蓄積領域が論理フォーマット中か否かをチェックする(ステップS12)。
【0043】
第2の画像一時蓄積領域が論理フォーマット中の場合(S12:YES)、その領域の論理フォーマットを一時停止した後に、第1の画像一時蓄積領域にアクセスする(ステップS13→S14)。次いで第2の画像一時蓄積領域の論理フォーマットを再開し(ステップS15)、その後に処理を終了する。第2の画像一時蓄積領域が論理フォーマット中でない場合(S12:NO)、第1の画像一時蓄積領域にアクセスし(ステップS16)、その後に処理を終了する。
【0044】
第1の画像一時蓄積領域が論理フォーマット中の場合(S11:YES)、第2の画像一時蓄積領域が論理フォーマット中か否かをチェックする(ステップS17)。論理フォーマット中の場合(S17:YES)、ステップS11に戻る。論理フォーマット中でない場合(S17:NO)、第1の画像一時蓄積領域の論理フォーマットを一時停止した後に、第2の画像一時蓄積領域にアクセスし(ステップS18→S19)、次に第1の画像一時蓄積領域の論理フォーマットを再開して(ステップS20)、その後に処理を終了する。
【0045】
このように本実施形態によれば、一時蓄領域に対する書き込み又は読み出しのためのアクセスと、論理フォーマットのためのアクセスとが競合した場合は、論理フォーマットのためのアクセスを中断し、書き込み又は読み出しのためのアクセスが終了したら、論理フォーマットのためのアクセスを再開するので、論理フォーマットの実行による書き込み又は読み出しの遅れを防止することができる。
【0046】
[第6の実施形態]
本発明の第6の実施形態のデータ処理装置のブロック図は、第2の実施形態(図2)又は第4の実施形態に対し、NVRAM301(第3の実施形態)を追加したものである。そして、NVRAM301上に画像一時蓄積領域のアクセス可否フラグ301aと画像データ有無フラグ301bとを画像一時蓄積領域毎に設けた。
【0047】
図8は、本実施形態のデータ処理装置のHDD107に対するアクセス及び論理フォーマットに伴って、画像一時蓄積領域のアクセス可否フラグ301a及び画像データ有無フラグ301bが変化する様子を示す状態遷移図である。
【0048】
ここで、プリンタ動作、スキャナ動作、及びコピー動作の全てにおいて、画像一時蓄積領域に蓄積されている画像データの印刷やPCへの送出が終了した状態を画像一時蓄積領域の使用の終了と定義する。
【0049】
暗号キーを変更したら、アクセス可否フラグ301aを「否」に変更する(状態ST4→ST5)。論理フォーマットを実行したら、アクセス可否フラグ301aを「可」に変更する(状態ST6→ST1)。
【0050】
一時蓄積を実行したら、画像データ有無フラグ301bを「有り」に変更し(状態ST2→ST3)、暗号キーを変更したら、画像データ有無フラグを「無し(アクセス不可)」に変更する(状態ST4→ST5)。
【0051】
画像データ有無フラグ301bの「有り」を検知したら、直ちに暗号キーを変更する(状態ST3→ST4)。
【0052】
一時蓄積領域にアクセスしたい場合、アクセス可否フラグ301a「否」であったら、論理フォーマットを実行する(状態ST5→ST6)。その後、論理フォーマットが終了したら、アクセスを行う。
【0053】
本実施形態では、一時蓄積領域の使用が終了したら、直ぐに新しい乱数を暗号キーに設定し、論理フォーマットは後で行うようにしたので、逐次消去を確実に行える。
【図面の簡単な説明】
【0054】
【図1】本発明の第1の実施形態のデータ処理装置のブロック図である。
【図2】本発明の第2の実施形態のデータ処理装置のブロック図である。
【図3】本発明の第2の実施形態のデータ処理装置におけるHDDのアドレスマップである。
【図4】本発明の第3の実施形態のデータ処理装置のブロック図である。
【図5】本発明の第4の実施形態のデータ処理装置におけるHDDのアドレスマップである。
【図6】本発明の第4の実施形態のデータ処理装置のHDDに対するアクセス処理のフローチャートである。
【図7】本発明の第5の実施形態のデータ処理装置のHDDに対するアクセス処理のフローチャートである。
【図8】本発明の第6の実施形態のデータ処理装置のHDDに対するアクセス及び論理フォーマットに伴って、画像一時蓄積領域のアクセス可否フラグ及び画像データ有無フラグが変化する様子を示す状態遷移図である。
【符号の説明】
【0055】
101・・・CPU、102・・・ASIC、105・・・乱数発生モジュール、106,201,202,203・・・暗号/復号化モジュール、107・・・HDD、302・・・省エネタイマー302、303・・・電力管理モジュール、304・・・PSU。
【技術分野】
【0001】
本発明は、記憶媒体に暗号化されて記憶されているデータを復元不能に消去することのできるデータ処理装置及びデータ消去方法に関する。
【背景技術】
【0002】
近年のセキュリティ意識の高まりとともに、オフィス等では、情報のセキュリティ管理が重要になってきている。例えば、パーソナルコンピュータ(以下、PCと言う)で扱う情報のセキュリティ管理は一般的である。また、複合機(MFP:Multi Function Printer)にもPCと同様、ハードディスク装置(以下、HDDと言う)等の記憶装置が搭載されるようになってきているため、必要に応じてセキュリティ管理が実行されている。
【0003】
従来、複合機のHDDのセキュリティ対策としては、記憶するデータを暗号キーに基づいて暗号化する方法がある(特許文献1参照)。しかし、この方法では、暗号キーが盗まれた場合、記憶されたデータも盗まれてしまう。そこで、文献に記載されたものではないが、不要となったデータを逐次消去することにより、セキュリティ上問題となるデータのHDD上の残量を低減する方法がある。消去方法としては、NAS準拠方式、DoD準拠方式等のように、記憶媒体全体に固定値(“00”、“FF”等)やランダムパターンを所定回(例.3回、5回)上書きする方法が採用されている。
【0004】
しかしながら、このような固定値やランダムパターンを所定回上書きする方法には、処理時間が長い、CPU(Central Processing Unit)の負荷が大きい、及び消費電力が多い、という問題がある。
【特許文献1】特開2003−255832号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明は、このような問題を解決するためになされたもので、その目的は、暗号化されて記憶されたデータを短時間かつ低消費電力で消去できるようにすることである。
【課題を解決するための手段】
【0006】
本発明は、記憶媒体に対してデータの書き込み及び読み出しを行うデータ処理装置において、複数の異なる暗号キーを選択的に生成する暗号キー生成手段と、生成された暗号キーを用いて、前記記憶媒体に書き込まれるデータを暗号化する手段と、その暗号キーを用いて、前記記憶媒体から読み出されたデータを復号化する手段と、前記暗号キー生成手段により生成される暗号キーが変更されたとき、前記記憶媒体の論理フォーマットを行う手段とを有することを特徴とするデータ処理装置である。
また、本発明は、暗号キーを用いて暗号化したデータが記憶されている記憶媒体のデータ消去方法において、暗号キーを変更する工程と、記憶媒体の論理フォーマットを行う工程とを有することを特徴とするデータ消去方法である。
【0007】
[作用]
暗号キーを変更すると、記憶媒体に書き込み済みのデータは復号化することができなくなるため、データを消去したことと同じになる。
【発明の効果】
【0008】
本発明によれば、暗号化されて記憶されたデータを短時間かつ低消費電力で消去することができる。
【発明を実施するための最良の形態】
【0009】
以下、本発明の実施形態について、図面を参照しながら詳細に説明する。
[第1の実施形態]
図1は、本発明の第1の実施形態のデータ処理装置のブロック図である。このデータ処理装置は複合機に内蔵されており、CPU101、ROM(Read Only Memory)108、RAM(Random Access Memory)107、ASIC(Application Specific Integrated Circuit)102、及びHDD107を備えている。
【0010】
CPU101、ROM108、RAM107、及びASIC102は、所定のバスを介して接続され、ASIC102とHDD107とは、PATA(Parallel ATA)、SATA(Serial ATA)、SCSI(Small Computer System Interface)などのI/F(インタフェース)により接続されている。
【0011】
ここで、HDD107はSSD(Solid State Disk)やナンド・フラッシュ・メモリとHDDの両方を搭載したハイブリッドHDDでもよい。また、HDD107に代えて又は加えて、USB(Universal Serial Bus)2.0或いは3.0を介してUSBメモリを接続してもよい。さらに、USB SD(Secure Digital)カードI/Fを介してSDカードを接続してもよい。
【0012】
ASIC102はDMA(Direct Memory Access)コントローラ103、GIO(General Input Output)コントローラ104、乱数発生モジュール105、及び暗号/復号化モジュール106を内蔵している。GIOコントローラ104は、CPU101から送出された「暗号キー変更信号」、「暗号/復号 オン/オフ信号」を、それぞれ乱数発生モジュール105、暗号/復号化モジュール106へ送出する。
【0013】
以上の構成を有するデータ処理装置において、HDD107に対してDMAコントローラ103の制御によりデータの書き込み(ライトDMA)、読み出し(リードDMA)を行うときの動作を説明する。
【0014】
リードDMAを行うときは、CPU101はDMAコントローラ103にDMAに必要なパラメータをセットし、DMAのスタートを掛ける。DMAコントローラ103は暗号/復号化モジュール106経由でHDD107にリードDMAコマンドを送出する。
【0015】
リードDMAコマンドを受け取ったHDD107は、記憶媒体からデータを読み出し、そのリードデータを暗号/復号化モジュール106へ送出する。暗号/復号化モジュール106は、リードデータを復号化する。DMAコントローラ103は復号化されたリードデータを受け取り、CPU101を介さずにRAM109に転送する。
【0016】
ライトDMAを行うときも、CPU101はDMAコントローラ103にDMAに必要なパラメータをセットし、DMAのスタートを掛ける。DMAコントローラ103は暗号/復号化モジュール106経由でHDD107にライトDMAコマンドを送出し、次いでCPU101を介さずにRAM109から読み出したライトデータ(書き込み用データ)を暗号/復号化モジュール106経由でHDD107に送り始める。ライトDMAコマンドを受け取ったHDD107は、暗号化されたライトデータを受け取り、記憶媒体に書き込む。
【0017】
暗号/復号化モジュール106は、「暗号/復号 オン/オフ信号」がオンのとき、セットされている暗号キーに基づいて、ライトデータの暗号化、リードデータの復号化を行うが、DMAコントローラ106から送出されるHDD107に対するコマンドやステータスの内容については、平文でやりとりし、暗号化/復号化は行わない。
【0018】
次にHDD107に記憶されたデータを消去する手順を説明する。
CPU101はGIOコントローラ104経由で乱数発生モジュール105に対して、新しい乱数を発生させるように指示を出す。乱数発生モジュール105は、その指示に応じて新しい乱数を発生し、その乱数データを暗号/復号モジュール106の暗号キー設定レジスタ(図示省略)にセットする。
【0019】
以後、HDD107に対するデータの書き込み、読み出しを行う際、暗号/復号モジュール106は、それまでとは異なる暗号キーで暗号化/復号化するので、それまでにHDD107に書き込み済みのデータは復号化することができなくなり、データを消去したことと同じになる。
【0020】
暗号キーを変更するとHDD107の記憶媒体上の論理フォーマットデータも壊れてしまうので、アクセスするには論理フォーマットが必要となる。ここではROM108に記憶されているファイルシステムの論理フォーマット情報をHDD107に書き込む。論理フォーマットとは、物理フォーマットが成された記憶媒体上に、パーティションやファイルシステムのために必要なデータ(後述するFATやディレクトリ情報)を書き込むことである。暗号キーを変更すると、パーティション内のデータは、データ領域のみならずFATやディレクトリ情報も全て、変更前と違う値が読めてしまう、要するにパーティション内のデータは全てめちゃくちゃな値となってしまうため、再フォーマットを行う。
【0021】
例えばWindows(登録商標)の場合、論理フォーマットにより3つの領域が作成される。1つはディレクトリ部である。ここはファイル名とその格納日付、及び先頭セクタIDを管理するための領域である。2つ目はFAT(File Allocation Table)部である。ここはファイルがどのセクタ(クラスタ)に格納されているかを管理するための領域である。3つ目はデータ部である。ここには実際のファイルが、等分割の領域(セクタ)に格納される。
【0022】
このように本発明の第1の実施形態のデータ処理装置によれば、暗号キーを変更し、論理フォーマットを行うことで、データを消去したのと同じ効果が得られるようにするので、NAS準拠方式、DoD準拠方式等のようにデータを複数回上書きする場合と比べ、CPUの負荷を低減するとともに、短時間かつ低消費電力で完了させることができる。また、ナンド・フラッシュ・メモリを使用した記憶媒体の場合は、書き換え回数が少なくなるため、寿命の短縮を防止することができる。
【0023】
[第2の実施形態]
図2は、本発明の第2の実施形態のデータ処理装置のブロック図である。この図において、第1の実施形態(図1)と対応するブロックには、図1と同じ参照符号を付した。また、図3は本実施形態のHDD107のアドレスマップである。
【0024】
図3に示されているように、HDD107のLBA(Logical Block Address:論理ブロックアドレス)=0〜20,971,519を管理領域、20,971,520〜41,943,039を画像一時蓄積領域、41,943,040〜83,886,079を画像蓄積領域した。つまり3つのパーティションを設定した。
【0025】
管理領域は主にOS(Operating System)が使用する。画像一時蓄積領域は、プリンタ印刷時の描画後の印刷データを一時的に格納するためのエリアであり、印刷が終了したら、その印刷データは消去される。画像一時蓄積領域は、スキャナ配信時のスキャンデータを一時的に格納するためにも使用する。スキャンデータのPCへの送信が終了したら、そのデータは消去される。画像蓄積領域は画像データを保存しておくための領域であり、ユーザの指示により蓄積や消去を行う。
【0026】
図2に示すように、HDD107の3つの領域に対応して、ASIC102内に第1〜第3の暗号/復号化モジュール201〜203を設けた。また、暗号キー、「暗号/復号 オン/オフ信号」、「暗号キー変更信号」を3つの暗号/復号化モジュール201〜203に対し、1対1で3つずつ設けた。即ち、第1〜第3の暗号/復号化モジュール201〜203に対応させて、第1〜第3の暗号キー、第1〜第3の「暗号/復号 オン/オフ信号」、第1〜第3の「暗号キー変更信号」を設けた。
【0027】
ここで、一時蓄積領域用の暗号キーである第2の暗号キーのみ変更し、第1の暗号キー及び第3の暗号キーについてはユーザが指示しない限り、変更しない。
【0028】
暗号キーを変更すると、論理フォーマットが終わるまでHDD107にアクセスできない。本実施形態では、暗号キーを変更するエリアを一部に限定することで、論理フォーマットを早く終了させ、アクセス可能になるまでの時間を短縮している。
【0029】
[第3の実施形態]
図4は、本発明の第3の実施形態のデータ処理装置のブロック図である。この図において、第2の実施形態(図2)と対応するブロックには、図1と同じ参照符号を付した。
【0030】
本実施形態は、第2の実施形態に対し、NVRAM(Non Volatile RAM:不揮発性RAM)301、省エネタイマー302、電力管理(パワー・マネージメント)モジュール303、及びPSU(電力供給ユニット)304を追加したものである。
【0031】
このデータ処理装置が実装されているMFPでは、スキャンやプリント、コピー動作が無い状態(アイドル状態)が一定時間継続すると省エネルギーモードへ移行する。NVRAM301には、アイドル状態がどれだけ連続したら省エネルギーモードになるかの設定値がCPU101により書き込まれる。
【0032】
省エネタイマー302でアイドル時間をカウントし、設定値をカウントしたらCPU101はGIOコントローラ104経由で乱数発生モジュール105に指示を出し、第2の暗号キー、若しくは第1〜第3の暗号キーを変更させる。その後、暗号キーが変更された領域の論理フォーマットを行う。次に、電力管理モジュール303経由でPSU304に対し、省エネルギーモード時にオフになるように設定されている部分に対する電力供給をオフにするための電源制御信号を送出する。
【0033】
省エネルギーモードに入るのはアイドル状態が続いた時なので、記憶媒体にアクセスする確率は小さい。このため、本実施形態では、論理フォーマットの実行中に記憶媒体に対するアクセス要求が発生し、論理フォーマットの終了まで待たされるケースは少ない。
【0034】
[第4の実施形態]
図5は、本発明の第4の実施形態のデータ処理装置におけるHDD107のアドレスマップであり、図6は、本発明の第4の実施形態のデータ処理装置のHDDに対するアクセス処理のフローチャートである。本実施形態のデータ処理装置のブロック構成は、第2の実施形態(図2)のHDD107に4つの領域を設け、それに応じて、ASIC102内に第1〜第4の暗号/復号化モジュールを設けるとともに、暗号キー、「暗号/復号 オン/オフ信号」、「暗号キー変更信号」を4つの暗号/復号化モジュールに対し、1対1で4つずつ設けたものである。
【0035】
図5に示すように、HDD107のLBA=0〜20,971,519を管理領域、20,971,520〜41,943,039を第1の画像一時蓄積領域、41,943,040〜62,914,559を第2の画像一時蓄積領域、62,914,560〜104,857,599を画像蓄積領域とした。なお、最大255個のパーティションを作成できるツールが市販されており、パーテションサイズを小さくすればするほど論理フォーマットに要する時間は短くなる。
【0036】
第1の画像一時蓄積領域又は第2の画像一時蓄積領域に対して、画像データの書き込み又は読み出しを行いたい場合、CPU101は、まず第1の画像一時蓄積領域が論理フォーマット中か否かをチェックする(図6のステップS1)。論理フォーマット中でない場合(S1:NO)、第1の画像一時蓄積領域にアクセス(ステップS2)した後に処理を終了する。
【0037】
第1の画像一時蓄積領域が論理フォーマット中の場合(S1:YES)、第2の画像一時蓄積領域が論理フォーマット中か否かをチェックする(ステップS3)。論理フォーマット中でない場合(S3:NO)、第2の画像一時蓄積領域にアクセス(ステップS4)した後に処理を終了する。
【0038】
第2の画像一時蓄積領域が論理フォーマット中の場合(S3:YES)、第1の画像一時蓄積領域又は第2の画像一時蓄積領域の論理フォーマットが終了するまで待ち(S5:YES→S6:YES)、終了したらその領域にアクセスし(S5:NO→S2、S6:NO→S4)、その後に処理を終了する。
【0039】
本実施形態によれば、一つの一時蓄積領域が論理フォーマット中でも、他の使用可能な一時蓄積領域にアクセスができるので、論理フォーマットの実行によるアクセス不能な時間を短縮することができる。
【0040】
[第5の実施形態]
図7は、本発明の第5の実施形態のデータ処理装置のHDDに対するアクセス処理のフローチャートである。本実施形態にデータ処理装置のブロック構成は、第4の実施形態と同じであり、HDD107のパーティションも第4の実施形態と同じである。
【0041】
本実施形態では、論理フォーマット動作の実行優先順位を画像一時蓄積領域に対するアクセス動作より下げることで、画像一時蓄積領域に対するアクセスを妨害しないようにした。
【0042】
第1の画像一時蓄積領域又は第2の画像一時蓄積領域に対して、画像データの書き込み又は読み出しを行いたい場合、CPU101は、第1の画像一時蓄積領域が論理フォーマット中か否かをチェックする(ステップS11)。論理フォーマット中でない場合(S11:NO)、第2の画像一時蓄積領域が論理フォーマット中か否かをチェックする(ステップS12)。
【0043】
第2の画像一時蓄積領域が論理フォーマット中の場合(S12:YES)、その領域の論理フォーマットを一時停止した後に、第1の画像一時蓄積領域にアクセスする(ステップS13→S14)。次いで第2の画像一時蓄積領域の論理フォーマットを再開し(ステップS15)、その後に処理を終了する。第2の画像一時蓄積領域が論理フォーマット中でない場合(S12:NO)、第1の画像一時蓄積領域にアクセスし(ステップS16)、その後に処理を終了する。
【0044】
第1の画像一時蓄積領域が論理フォーマット中の場合(S11:YES)、第2の画像一時蓄積領域が論理フォーマット中か否かをチェックする(ステップS17)。論理フォーマット中の場合(S17:YES)、ステップS11に戻る。論理フォーマット中でない場合(S17:NO)、第1の画像一時蓄積領域の論理フォーマットを一時停止した後に、第2の画像一時蓄積領域にアクセスし(ステップS18→S19)、次に第1の画像一時蓄積領域の論理フォーマットを再開して(ステップS20)、その後に処理を終了する。
【0045】
このように本実施形態によれば、一時蓄領域に対する書き込み又は読み出しのためのアクセスと、論理フォーマットのためのアクセスとが競合した場合は、論理フォーマットのためのアクセスを中断し、書き込み又は読み出しのためのアクセスが終了したら、論理フォーマットのためのアクセスを再開するので、論理フォーマットの実行による書き込み又は読み出しの遅れを防止することができる。
【0046】
[第6の実施形態]
本発明の第6の実施形態のデータ処理装置のブロック図は、第2の実施形態(図2)又は第4の実施形態に対し、NVRAM301(第3の実施形態)を追加したものである。そして、NVRAM301上に画像一時蓄積領域のアクセス可否フラグ301aと画像データ有無フラグ301bとを画像一時蓄積領域毎に設けた。
【0047】
図8は、本実施形態のデータ処理装置のHDD107に対するアクセス及び論理フォーマットに伴って、画像一時蓄積領域のアクセス可否フラグ301a及び画像データ有無フラグ301bが変化する様子を示す状態遷移図である。
【0048】
ここで、プリンタ動作、スキャナ動作、及びコピー動作の全てにおいて、画像一時蓄積領域に蓄積されている画像データの印刷やPCへの送出が終了した状態を画像一時蓄積領域の使用の終了と定義する。
【0049】
暗号キーを変更したら、アクセス可否フラグ301aを「否」に変更する(状態ST4→ST5)。論理フォーマットを実行したら、アクセス可否フラグ301aを「可」に変更する(状態ST6→ST1)。
【0050】
一時蓄積を実行したら、画像データ有無フラグ301bを「有り」に変更し(状態ST2→ST3)、暗号キーを変更したら、画像データ有無フラグを「無し(アクセス不可)」に変更する(状態ST4→ST5)。
【0051】
画像データ有無フラグ301bの「有り」を検知したら、直ちに暗号キーを変更する(状態ST3→ST4)。
【0052】
一時蓄積領域にアクセスしたい場合、アクセス可否フラグ301a「否」であったら、論理フォーマットを実行する(状態ST5→ST6)。その後、論理フォーマットが終了したら、アクセスを行う。
【0053】
本実施形態では、一時蓄積領域の使用が終了したら、直ぐに新しい乱数を暗号キーに設定し、論理フォーマットは後で行うようにしたので、逐次消去を確実に行える。
【図面の簡単な説明】
【0054】
【図1】本発明の第1の実施形態のデータ処理装置のブロック図である。
【図2】本発明の第2の実施形態のデータ処理装置のブロック図である。
【図3】本発明の第2の実施形態のデータ処理装置におけるHDDのアドレスマップである。
【図4】本発明の第3の実施形態のデータ処理装置のブロック図である。
【図5】本発明の第4の実施形態のデータ処理装置におけるHDDのアドレスマップである。
【図6】本発明の第4の実施形態のデータ処理装置のHDDに対するアクセス処理のフローチャートである。
【図7】本発明の第5の実施形態のデータ処理装置のHDDに対するアクセス処理のフローチャートである。
【図8】本発明の第6の実施形態のデータ処理装置のHDDに対するアクセス及び論理フォーマットに伴って、画像一時蓄積領域のアクセス可否フラグ及び画像データ有無フラグが変化する様子を示す状態遷移図である。
【符号の説明】
【0055】
101・・・CPU、102・・・ASIC、105・・・乱数発生モジュール、106,201,202,203・・・暗号/復号化モジュール、107・・・HDD、302・・・省エネタイマー302、303・・・電力管理モジュール、304・・・PSU。
【特許請求の範囲】
【請求項1】
記憶媒体に対してデータの書き込み及び読み出しを行うデータ処理装置において、
複数の異なる暗号キーを選択的に生成する暗号キー生成手段と、生成された暗号キーを用いて、前記記憶媒体に書き込まれるデータを暗号化する手段と、その暗号キーを用いて、前記記憶媒体から読み出されたデータを復号化する手段と、前記暗号キー生成手段により生成される暗号キーが変更されたとき、前記記憶媒体の論理フォーマットを行う手段とを有することを特徴とするデータ処理装置。
【請求項2】
請求項1記載のデータ処理装置において、
暗号キー生成手段が、記憶媒体の記憶領域毎に暗号キーを生成することを特徴とするデータ処理装置。
【請求項3】
請求項2記載のデータ処理装置において、
暗号キー生成手段が、所定のタイミングで暗号キーを変更することを特徴とするデータ処理装置。
【請求項4】
請求項1記載のデータ処理装置において、
暗号キー生成手段が、ユーザの指示に基づいて暗号キーを変更することを特徴とするデータ処理装置。
【請求項5】
請求項3記載のデータ処理装置において、
所定のタイミングが、省エネルギーモードへ移行する直前であることを特徴とするデータ処理装置。
【請求項6】
請求項2記載のデータ処理装置において、
暗号キー生成手段が、データの一時蓄積領域のみの暗号キーを変更することを特徴とするデータ処理装置。
【請求項7】
請求項1記載のデータ処理装置において、
記憶媒体に対する書き込み又は読み出しと、論理フォーマットとが競合するとき、書き込み又は読み出しを優先的に実行させる手段を有することを特徴とするデータ処理装置。
【請求項8】
請求項6記載のデータ処理装置において、
データの一時蓄積領域が複数ある場合、論理フォーマットを行う手段は、それらの領域の論理フォーマットを順次に行うことを特徴とするデータ処理装置。
【請求項9】
暗号キーを用いて暗号化したデータが記憶されている記憶媒体のデータ消去方法において、
暗号キーを変更する工程と、記憶媒体の論理フォーマットを行う工程とを有することを特徴とするデータ消去方法。
【請求項1】
記憶媒体に対してデータの書き込み及び読み出しを行うデータ処理装置において、
複数の異なる暗号キーを選択的に生成する暗号キー生成手段と、生成された暗号キーを用いて、前記記憶媒体に書き込まれるデータを暗号化する手段と、その暗号キーを用いて、前記記憶媒体から読み出されたデータを復号化する手段と、前記暗号キー生成手段により生成される暗号キーが変更されたとき、前記記憶媒体の論理フォーマットを行う手段とを有することを特徴とするデータ処理装置。
【請求項2】
請求項1記載のデータ処理装置において、
暗号キー生成手段が、記憶媒体の記憶領域毎に暗号キーを生成することを特徴とするデータ処理装置。
【請求項3】
請求項2記載のデータ処理装置において、
暗号キー生成手段が、所定のタイミングで暗号キーを変更することを特徴とするデータ処理装置。
【請求項4】
請求項1記載のデータ処理装置において、
暗号キー生成手段が、ユーザの指示に基づいて暗号キーを変更することを特徴とするデータ処理装置。
【請求項5】
請求項3記載のデータ処理装置において、
所定のタイミングが、省エネルギーモードへ移行する直前であることを特徴とするデータ処理装置。
【請求項6】
請求項2記載のデータ処理装置において、
暗号キー生成手段が、データの一時蓄積領域のみの暗号キーを変更することを特徴とするデータ処理装置。
【請求項7】
請求項1記載のデータ処理装置において、
記憶媒体に対する書き込み又は読み出しと、論理フォーマットとが競合するとき、書き込み又は読み出しを優先的に実行させる手段を有することを特徴とするデータ処理装置。
【請求項8】
請求項6記載のデータ処理装置において、
データの一時蓄積領域が複数ある場合、論理フォーマットを行う手段は、それらの領域の論理フォーマットを順次に行うことを特徴とするデータ処理装置。
【請求項9】
暗号キーを用いて暗号化したデータが記憶されている記憶媒体のデータ消去方法において、
暗号キーを変更する工程と、記憶媒体の論理フォーマットを行う工程とを有することを特徴とするデータ消去方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2009−206746(P2009−206746A)
【公開日】平成21年9月10日(2009.9.10)
【国際特許分類】
【出願番号】特願2008−46215(P2008−46215)
【出願日】平成20年2月27日(2008.2.27)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成21年9月10日(2009.9.10)
【国際特許分類】
【出願日】平成20年2月27日(2008.2.27)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]