データ記憶装置、コントロール装置及び暗号化方法
【課題】再暗号化処理の効率化を実現することにより、セキュリティの向上と共に、動作効率の低下を回避できるデータ記憶装置を提供する。
【解決手段】暗号化モジュールは、データの暗号化又は復号化を行なう。ライトモジュールは、ホストから受信したデータの暗号化データを記憶媒体に書き込む。コントローラは、通常暗号化処理を行う場合にホストから受信したデータを前記暗号化手段により暗号化して当該暗号化データをバッファメモリを経由してライト手段に転送し、再暗号化処理を行う場合に前記記憶媒体に記録されているデータを再暗号化する。さらに、コントローラは前記再暗号化処理を行う場合に、前記記憶媒体からの暗号化データを前記暗号化手段により復号化し、前記復号化データを前記バッファメモリに格納し、前記バッファメモリからの前記復号化データを前記暗号化手段により再暗号化して前記ライト手段に転送する。
【解決手段】暗号化モジュールは、データの暗号化又は復号化を行なう。ライトモジュールは、ホストから受信したデータの暗号化データを記憶媒体に書き込む。コントローラは、通常暗号化処理を行う場合にホストから受信したデータを前記暗号化手段により暗号化して当該暗号化データをバッファメモリを経由してライト手段に転送し、再暗号化処理を行う場合に前記記憶媒体に記録されているデータを再暗号化する。さらに、コントローラは前記再暗号化処理を行う場合に、前記記憶媒体からの暗号化データを前記暗号化手段により復号化し、前記復号化データを前記バッファメモリに格納し、前記バッファメモリからの前記復号化データを前記暗号化手段により再暗号化して前記ライト手段に転送する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、暗号化機能を有するデータ記憶装置に関する。
【背景技術】
【0002】
従来、例えばハードディスクドライブ(HDD)やSSD(solid state drive)などのデータ記憶装置には、記憶媒体上に記録するデータ(ユーザデータ)を暗号化する暗号化機能を有するものが提案されている。記憶媒体は、HDDのディスクやSSDのフラッシュメモリなどである。
【0003】
このようなデータ記憶装置であれば、記憶媒体上には暗号化データが記録されるため、装置自体を廃棄する場合や、記憶媒体を取り外すような場合でも、記録データを保護するためのセキュリティを確保できる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2009−54255号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
暗号化機能を有するデータ記憶装置では、記録データを保護できるセキュリティの向上を図るためには、暗号化するための暗号鍵を定期的に更新することが望ましい。しかし、データ記憶装置において、暗号鍵を更新することは、記憶媒体上に記録されている全データを更新前の暗号鍵で復号化し、全ての復号化データを更新後の新しい暗号鍵で暗号化する再暗号化処理が必要となる。
【0006】
この再暗号化処理は、記憶媒体上に記録されているデータ量が大きい場合、例えば数時間のような多大な処理時間を要する。また、再暗号化処理中でも、データ記憶装置はホストからのデータアクセス(リード/ライトアクセス)を受け付けることが必要となる。従って、暗号鍵を定期的に更新するために、単に再暗号化処理を実行すると、データ記憶装置の動作効率が低下する可能性がある。
【0007】
そこで、本発明の目的は、再暗号化処理の効率化を実現することにより、セキュリティの向上と共に、動作効率の低下を回避できるデータ記憶装置を提供することにある。
【課題を解決するための手段】
【0008】
実施形態によれば、データ記憶装置は、暗号化手段と、ライト手段と、制御手段とを具備する。暗号化手段はデータの暗号化又は復号化を行なう。ライト手段は、ホストから受信したデータの暗号化データを記憶媒体に書き込む。制御手段は、通常暗号化処理を行う場合に前記ホストから受信したデータを前記暗号化手段により暗号化して当該暗号化データをバッファメモリを経由してライト手段に転送し、再暗号化処理を行う場合に前記記憶媒体に記録されているデータを再暗号化する。さらに、制御手段は前記再暗号化処理を行う場合に、前記記憶媒体からの暗号化データを前記暗号化手段により復号化し、前記復号化データを前記バッファメモリに格納し、前記バッファメモリからの前記復号化データを前記暗号化手段により再暗号化して前記ライト手段に転送するように制御する。
【図面の簡単な説明】
【0009】
【図1】実施形態に関するデータ記憶装置の要部を示すブロック図。
【図2】実施形態に関する暗号モジュールの入出力構成を説明するためのブロック図。
【図3】実施形態に関するデータ記憶装置の通常動作を説明するためのフローチャート。
【図4】実施形態に関する再暗号化処理の手順を説明するためのフローチャート。
【図5】実施形態に関する再暗号化処理時のデータアクセスの手順を説明するためのフローチャート。
【発明を実施するための形態】
【0010】
以下図面を参照して、実施形態を説明する。
【0011】
[データ記憶装置の構成]
図1は、本実施形態のデータ記憶装置10の要部を示すブロック図である。
【0012】
本実施形態は、データ記憶装置10としてハードディスクドライブ(HDD)を想定する。なお、本実施形態は、データ記憶装置10としてSSD(solid state drive)にも適用できる。
【0013】
図1に示すように、データ記憶装置10は、記憶媒体11と、リード/ライト(R/W)チャネル12と、バッファメモリ13と、マイクロプロセッサ(MPU)14と、コントローラ15とを有する。
【0014】
記憶媒体11は、HDDではディスクである。また、記憶媒体11は、SSDではフラッシュメモリである。なお、本実施形態では、HDDに組み込まれている機構において、記憶媒体11に対してデータを書き込み、読み出すためのヘッドなどを含むリード/ライト機構については省略している。
【0015】
R/Wチャネル12は、記憶媒体11に対してデータを記録又は再生するための信号処理を実行する。即ち、R/Wチャネル12は、コントローラ15から伝送されるデータ(暗号化データ)を記憶媒体11に書き込むためのライト信号を生成する。また、R/Wチャネル12は、記憶媒体11から読み出されたリード信号からデータを再生する。なお、データ記憶装置10がSSDの場合には、R/Wチャネル12はフラッシュメモリを制御するメモリコントローラに相当する。
【0016】
MPU14は、ファームウェア(FW)により、コントローラ15と連携してデータ記憶装置10の制御を実行する。本実施形態では、MPU14は、通常動作モードと再暗号化モードの設定処理や、暗号化モードと復号化モードの設定処理、及び暗号鍵の設定処理などを実行する。
【0017】
コントローラ15はバッファメモリ13を制御し、ホストシステム(以下、単にホストと表記する)20と記憶媒体11との間のデータの転送を制御する。ここで、ホスト20は、例えばパーソナルコンピュータや各種のデジタル機器のCPU等である。コントローラ15は、ホストインターフェース(ホストI/F)16と、暗号モジュール17と、レジスタ18を有する。
【0018】
ホストI/F16は、ホスト20との間でデータの送受信を行なうためのインターフェースである。暗号モジュール17は、レジスタ18に設定された暗号鍵(暗号化/復号化のキーデータ)を使用し、ホスト20から送信されたデータ(ライトデータ)を暗号化する。また、暗号モジュール17は、当該暗号鍵を使用し、記録媒体11から読み出されて、R/Wチャネル12により再生されたデータ(暗号化データ)を復号化する。
【0019】
図2は、本実施形態の暗号モジュール17の入出力構成を説明するための図である。図2に示すように、暗号モジュール17は、FIFO(first-in first-out)方式の第1から第4の入出力部171〜174を有する。
【0020】
第1の入出力部171は、通常動作モード時に、ホストI/F16間のデータ(便宜的にホストデータと表記する場合がある)の入出力を行なう。ホストデータとは、ホスト20との送受信データであり、ホスト20から受信したライトデータ又はホスト20に送信する復号化データに相当する。第2の入出力部172は、通常動作モード時に、バッファメモリ13間のデータ(便宜的にバッファデータと表記する場合がある)の入出力を行なう。第3の入出力部173は、再暗号化モード時に、R/Wチャネル12間のデータ(便宜的にメディアデータと表記する場合がある)の入出力を行なう。第4の入出力部174は、再暗号化モード時に、バッファメモリ13間のデータ(バッファデータ)の入出力を行なう。
【0021】
[再暗号化処理]
次に、図3から図5の各フローチャートを参照して、データ記憶装置10の通常動作と再暗号化処理について説明する。
【0022】
まず、図3のフローチャートを参照して、データ記憶装置10の通常動作について説明する。通常動作とは、通常のリード/ライト動作または通常コマンド処理に相当する動作モードである。
【0023】
ホストI/F16は、ホスト20からライトコマンドを受信すると、ライトコマンドに伴うデータ(ライトデータ)を暗号モジュール17に転送する(ブロック100のYES)。ここで、レジスタ18には、MPU14により暗号鍵(便宜的にカレント暗号鍵と呼ぶ)が設定されている。
【0024】
暗号モジュール17は、第1の入出力部171を介してホストI/F16から転送されたデータ(ホストデータ)を入力し、レジスタ18に設定されている暗号鍵を使用して暗号化する(ブロック101)。暗号モジュール17は、ホストデータを論理ブロックアドレス単位で暗号化する。暗号モジュール17は、第2の入出力部172を介して、暗号化データをバッファメモリ13に格納する(ブロック102)。
【0025】
本実施形態では、ホスト20との送受信データ(ホストデータ)は、記憶媒体11上に記録される暗号化データに対して平文データに相当する。しかし、ホスト20から送信されるデータには暗号化されたデータの場合もあるので、本実施形態では便宜的に平文データとは表現せずに、復号化データまたは単にデータと表記する。
【0026】
コントローラ15は、バッファメモリ13に格納された暗号化データをR/Wチャネル12に転送する。R/Wチャネル12は暗号化データをライト信号に変換して、図示しないリード/ライト機構に出力する。これにより、暗号化データは、記憶媒体11上に書き込み(ライト)される(ブロック103)。
【0027】
一方、ホストI/F16は、ホスト20からライトコマンドではなくリードコマンドを受信すると(ブロック100のNO)、コントローラ15は、バッファメモリ13にリード要求データ(暗号化データ)が格納されているか否かを判定する(ブロック104)。リード要求データが格納されている場合には、暗号モジュール17は、バッファメモリ13に格納されているリード要求データを、レジスタ18に設定されている暗号鍵を使用して復号化する(ブロック104のYES,105)。ホストI/F16は、暗号モジュール17により復号化された復号化データをホスト20に送信する(ブロック106)。
【0028】
リード要求データが格納されていない場合には、コントローラ15は、R/Wチャネル12及び図示しないリード/ライト機構を介して、記憶媒体11からリード要求データ(暗号化データ)を読み出すリード動作を実行させる(ブロック104のNO,107)。コントローラ15は、記憶媒体11から読み出された暗号化データをバッファメモリ13に格納する(ブロック108)。暗号モジュール17は、バッファメモリ13に格納されている暗号化データをレジスタ18に設定されている暗号鍵を使用して復号化する(ブロック105)。ホストI/F16は、暗号モジュール17により復号化された復号化データ(リード要求データ)をホスト20に送信する(ブロック106)。
【0029】
以上のように通常コマンド処理では、記憶媒体11上の物理的配置とは無関係に、ホスト20からの転送データを論理ブロック単位で暗号化処理を実行するため、コマンド処理の高速化が可能である。
【0030】
次に、図4及び図5のフローチャートを参照して、本実施形態の再暗号化処理を説明する。
【0031】
本実施形態の再暗号化処理は、MPU14がレジスタ18に再暗号化用モードを設定することにより開始される。MPU14は、例えば定期的またはホスト20からの指示に応じて再暗号化処理を実行する。コントローラ15は、レジスタ18に設定された再暗号化用モードに基づいて再暗号化処理を開始するときに、バッファメモリ13をクリア(消去)する(ブロック200)。これにより、バッファメモリ13において、再暗号化処理の前の暗号化データと、再暗号化処理による暗号化データ(再暗号化データ)とが混在することを回避できる。
【0032】
MPU14は、レジスタ18に再暗号化処理の復号モードを設定する(ブロック201)。さらに、MPU14は、レジスタ18にカレント暗号鍵(現在の暗号化処理で使用される暗号鍵)を設定する(ブロック202)。コントローラ15は、R/Wチャネル12及び図示しないリード/ライト機構を介して、記憶媒体11からデータ(暗号化データ)を読み出すリード動作を実行させる(ブロック203)。
【0033】
暗号モジュール17は、レジスタ18に設定されているカレント暗号鍵を使用して、記憶媒体11から読み出された暗号化データを復号化する(ブロック204)。コントローラ15は、暗号モジュール17により復号化された復号化データをバッファメモリ13に格納する(ブロック205)。
【0034】
次に、MPU14は、レジスタ18に再暗号化処理の暗号モードを設定する(ブロック206)。さらに、MPU14は、レジスタ18に再暗号化処理で使用する新暗号鍵(カレント暗号鍵とは異なる暗号鍵)を設定する(ブロック207)。コントローラ15は、バッファメモリ13に格納されている復号化データを暗号モジュール17に設定する。
【0035】
暗号モジュール17は、レジスタ18に設定されている新暗号鍵を使用して、バッファメモリ13からの復号化データを暗号化(再暗号化)する(ブロック208)。コントローラ15は、再暗号化された暗号化データを、R/Wチャネル12及び図示しないリード/ライト機構を経由して、記憶媒体11上に書き込み(書き戻し)する(ブロック209)。
【0036】
MPU14は、記憶媒体11上に記録されている全データの再暗号化処理が完了するまで、前述の処理を繰り返す(ブロック210)。MPU14は、再暗号化処理が完了すると、レジスタ18に通常モード(通常リード/ライトモード)を設定する(ブロック211)。
【0037】
ここで、再暗号化処理では、暗号モジュール17は、第2の入出力部172を使用せずに、いわば再暗号化処理専用の第4の入出力部174を使用して、バッファメモリ13に対するデータ(バッファデータ)の入出力を行なう。これにより、図1に示すように、再暗号化処理時に、ホストI/F16、暗号モジュール17、及びバッファメモリ13を経由してデータを転送するパスを確保することができる。
【0038】
以下、図5のフローチャートを参照して、再暗号化処理時に、ホスト20から通常のリード/ライトコマンドが発行された場合のデータアクセスの手順を説明する。
【0039】
前述の再暗号化処理時に、ホスト20からライトコマンドが発行されると、ホストI/F16はライトコマンド及びライトデータを受信する(ブロック300のNO,308)。コントローラ15は、ホストI/F16で受信されたライトデータをバッファメモリ13に格納する(ブロック309)。即ち、コントローラ15は、ホスト20からのデータを暗号モジュール17での暗号化処理を行なわずに、バッファメモリ13に格納する。これにより、暗号モジュール17が実行している再暗号化処理を中断することなく、ホスト20から送信されるライトデータを受信することができる。
【0040】
ここで、暗号モジュール17は、レジスタ18に設定されている新暗号鍵を使用して、バッファメモリ13に格納されている復号化データの再暗号化処理を継続している。暗号モジュール17は、バッファメモリ13に格納されているホスト20からのライトデータを、新暗号鍵を使用して暗号化する(ブロック310)。
【0041】
コントローラ15は、再暗号化処理による暗号化データと共に、ホスト20からのライトコマンドに伴う暗号化データを、R/Wチャネル12及び図示しないリード/ライト機構を経由して、記憶媒体11上に書き込みする(ブロック311)。これにより、再暗号化処理中にホスト20からライトコマンドが発行された場合、待機することなく、ライトコマンド処理を完了することが可能となる。
【0042】
一方、ホストI/F16がホスト20からリードコマンドを受信すると、コントローラ15は、バッファメモリ13にリード要求データ(復号化データ)が格納されているか否かを判定する(ブロック300のYES、301)。ここで、再暗号処理中であるため、バッファメモリ13には、記憶媒体11から読み出された暗号化データが復号化された復号化データが格納されている。
【0043】
コントローラ15は、リード要求データに対応する復号化データがバッファメモリ13に格納されている場合には、ホストI/F16を介して、当該復号化データをホスト20に送信する(ブロック302)。この場合、ホスト20からリードコマンドが発行された場合、待機することなく、リードコマンド処理を完了することが可能となる。
【0044】
ここで、リード要求データに対応する復号化データがバッファメモリ13に格納されていない場合には、コントローラ15は、再暗号処理を中断する(ブロック301のNO,303)。これは、再暗号処理が例えば数時間のように長時間を要することが多いため、ホスト20からのリードアクセス要求を優先するためである。なお、再暗号処理を中断するタイミングとしては、例えば、暗号モジュール17が再暗号化対象のセクタデータを復号化し、当該復号化データがバッファメモリ13に格納された後が望ましい。
【0045】
再暗号処理を中断後に、コントローラ15は、R/Wチャネル12及び図示しないリード/ライト機構を介して、記憶媒体11からリード要求データ(暗号化データ)を読み出すリード動作を実行させる(ブロック304)。コントローラ15は、記憶媒体11から読み出された暗号化データを、暗号モジュール17により復号化させる(ブロック305)。このとき、暗号モジュール17は、レジスタ18に設定されているカレント暗号鍵または新暗号鍵を使用して復号化し、バッファメモリ13に格納する。ホストI/F16は、バッファメモリ13に格納された復号化データ(リード要求データ)をホスト20に送信する(ブロック306)。
【0046】
このようなリードコマンド処理の完了後に、コントローラ15は、再暗号処理を再開し、完了するまで継続する(ブロック312)。ここで、再暗号処理の再開後に、リード要求データとしてカレント暗号鍵を使用して復号化された復号化データがバッファメモリ13に格納されている場合、暗号モジュール17は、新暗号鍵を使用して当該復号化データを暗号化(再暗号化)する。コントローラ15は、再暗号化された暗号化データを、R/Wチャネル12及び図示しないリード/ライト機構を経由して、記憶媒体11上に書き込み(書き戻し)する。一方、リード要求データとして新暗号鍵を使用して復号化された復号化データがバッファメモリ13に格納されている場合、再暗号化してディスクに書き込む再暗号化処理は不要となる。
【0047】
以上のように本実施形態によれば、暗号化機能を有するデータ記憶装置において、暗号鍵を定期的に更新するために、記憶媒体11上に記録されている全データの再暗号化処理を行なうことができる。この場合、本実施形態では、通常のリード/ライト動作(通常モード)時とは異なり、再暗号化処理時には、記憶媒体11とバッファメモリ13との間で再暗号化処理用のデータ入出力が実行される。具体的には、図2に示すように、暗号モジュール17は、第3の入出力部173及び第4の入出力部174を使用して、再暗号化処理時のデータの入出力を実行する。これにより、暗号モジュール17とバッファメモリ13間のデータ入出力によるオーバヘッドを削減し、再暗号化処理を高速かつ円滑に実現することが可能となる。
【0048】
さらに、本実施形態の再暗号化処理時には、再暗号化処理中に、ホスト20からのデータアクセス(リード/ライトアクセス)が発生した場合に、ライトコマンド処理の場合には、再暗号化処理を中断することなく、ライトデータを受信してバッファメモリ13に格納することができる。このバッファメモリ13に格納されたライトデータは、再暗号化処理により新暗号鍵で暗号化されて記憶媒体11に記録される。また、リードコマンド処理の場合には、リード対象データ(復号化データ)がバッファメモリ13に格納されている場合には、再暗号化処理を中断することなく、当該リード対象データをホスト20に送信できる。即ち、暗号モジュール17を経由せずに、リード対象の復号化データを直接的にホスト20に送信できる。
【0049】
従って、再暗号化処理中で暗号モジュール17が占有状態の場合でも、ホスト20からのデータアクセスに対して待機状態が発生することを回避できる。なお、リード対象データがバッファメモリ13に格納されていない場合には、再暗号化処理を中断して、記憶媒体11からリード対象データを読み出すリード動作を優先する。この場合でも、ホスト20からのデータアクセスに対して待機状態が発生することを回避できる。
【0050】
要するに、本実施形態であれば、再暗号化処理の高速化及び再暗号化処理時のコマンド処理の効率化を実現することにより、セキュリティの向上と共に、再暗号化処理時におけるデータ記憶装置の動作効率の低下を回避することができる。
【0051】
なお、本実施形態では、MPU14(FW)からの指示により再暗号化処理を実行する方式について説明したが、ホスト20からの指示により再暗号化処理を実行する方式でも良い。また、本実施形態では、MPU14が暗号鍵または新暗号鍵をレジスタ18に設定する方式について説明したが、暗号モジュール17が暗号鍵または新暗号鍵を生成する機能を有する構成でもよい。
【0052】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0053】
10…データ記憶装置、11…記憶媒体(ディスク又はフラッシュメモリ)、
12…リード/ライト(R/W)チャネル、13…バッファメモリ、
14…マイクロプロセッサ(MPU)、15…コントローラ、
16…ホストインターフェース(ホストI/F)、17…暗号モジュール、
18…レジスタ、20…ホストシステム、171〜174…第1から第4の入出力部。
【技術分野】
【0001】
本発明の実施形態は、暗号化機能を有するデータ記憶装置に関する。
【背景技術】
【0002】
従来、例えばハードディスクドライブ(HDD)やSSD(solid state drive)などのデータ記憶装置には、記憶媒体上に記録するデータ(ユーザデータ)を暗号化する暗号化機能を有するものが提案されている。記憶媒体は、HDDのディスクやSSDのフラッシュメモリなどである。
【0003】
このようなデータ記憶装置であれば、記憶媒体上には暗号化データが記録されるため、装置自体を廃棄する場合や、記憶媒体を取り外すような場合でも、記録データを保護するためのセキュリティを確保できる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2009−54255号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
暗号化機能を有するデータ記憶装置では、記録データを保護できるセキュリティの向上を図るためには、暗号化するための暗号鍵を定期的に更新することが望ましい。しかし、データ記憶装置において、暗号鍵を更新することは、記憶媒体上に記録されている全データを更新前の暗号鍵で復号化し、全ての復号化データを更新後の新しい暗号鍵で暗号化する再暗号化処理が必要となる。
【0006】
この再暗号化処理は、記憶媒体上に記録されているデータ量が大きい場合、例えば数時間のような多大な処理時間を要する。また、再暗号化処理中でも、データ記憶装置はホストからのデータアクセス(リード/ライトアクセス)を受け付けることが必要となる。従って、暗号鍵を定期的に更新するために、単に再暗号化処理を実行すると、データ記憶装置の動作効率が低下する可能性がある。
【0007】
そこで、本発明の目的は、再暗号化処理の効率化を実現することにより、セキュリティの向上と共に、動作効率の低下を回避できるデータ記憶装置を提供することにある。
【課題を解決するための手段】
【0008】
実施形態によれば、データ記憶装置は、暗号化手段と、ライト手段と、制御手段とを具備する。暗号化手段はデータの暗号化又は復号化を行なう。ライト手段は、ホストから受信したデータの暗号化データを記憶媒体に書き込む。制御手段は、通常暗号化処理を行う場合に前記ホストから受信したデータを前記暗号化手段により暗号化して当該暗号化データをバッファメモリを経由してライト手段に転送し、再暗号化処理を行う場合に前記記憶媒体に記録されているデータを再暗号化する。さらに、制御手段は前記再暗号化処理を行う場合に、前記記憶媒体からの暗号化データを前記暗号化手段により復号化し、前記復号化データを前記バッファメモリに格納し、前記バッファメモリからの前記復号化データを前記暗号化手段により再暗号化して前記ライト手段に転送するように制御する。
【図面の簡単な説明】
【0009】
【図1】実施形態に関するデータ記憶装置の要部を示すブロック図。
【図2】実施形態に関する暗号モジュールの入出力構成を説明するためのブロック図。
【図3】実施形態に関するデータ記憶装置の通常動作を説明するためのフローチャート。
【図4】実施形態に関する再暗号化処理の手順を説明するためのフローチャート。
【図5】実施形態に関する再暗号化処理時のデータアクセスの手順を説明するためのフローチャート。
【発明を実施するための形態】
【0010】
以下図面を参照して、実施形態を説明する。
【0011】
[データ記憶装置の構成]
図1は、本実施形態のデータ記憶装置10の要部を示すブロック図である。
【0012】
本実施形態は、データ記憶装置10としてハードディスクドライブ(HDD)を想定する。なお、本実施形態は、データ記憶装置10としてSSD(solid state drive)にも適用できる。
【0013】
図1に示すように、データ記憶装置10は、記憶媒体11と、リード/ライト(R/W)チャネル12と、バッファメモリ13と、マイクロプロセッサ(MPU)14と、コントローラ15とを有する。
【0014】
記憶媒体11は、HDDではディスクである。また、記憶媒体11は、SSDではフラッシュメモリである。なお、本実施形態では、HDDに組み込まれている機構において、記憶媒体11に対してデータを書き込み、読み出すためのヘッドなどを含むリード/ライト機構については省略している。
【0015】
R/Wチャネル12は、記憶媒体11に対してデータを記録又は再生するための信号処理を実行する。即ち、R/Wチャネル12は、コントローラ15から伝送されるデータ(暗号化データ)を記憶媒体11に書き込むためのライト信号を生成する。また、R/Wチャネル12は、記憶媒体11から読み出されたリード信号からデータを再生する。なお、データ記憶装置10がSSDの場合には、R/Wチャネル12はフラッシュメモリを制御するメモリコントローラに相当する。
【0016】
MPU14は、ファームウェア(FW)により、コントローラ15と連携してデータ記憶装置10の制御を実行する。本実施形態では、MPU14は、通常動作モードと再暗号化モードの設定処理や、暗号化モードと復号化モードの設定処理、及び暗号鍵の設定処理などを実行する。
【0017】
コントローラ15はバッファメモリ13を制御し、ホストシステム(以下、単にホストと表記する)20と記憶媒体11との間のデータの転送を制御する。ここで、ホスト20は、例えばパーソナルコンピュータや各種のデジタル機器のCPU等である。コントローラ15は、ホストインターフェース(ホストI/F)16と、暗号モジュール17と、レジスタ18を有する。
【0018】
ホストI/F16は、ホスト20との間でデータの送受信を行なうためのインターフェースである。暗号モジュール17は、レジスタ18に設定された暗号鍵(暗号化/復号化のキーデータ)を使用し、ホスト20から送信されたデータ(ライトデータ)を暗号化する。また、暗号モジュール17は、当該暗号鍵を使用し、記録媒体11から読み出されて、R/Wチャネル12により再生されたデータ(暗号化データ)を復号化する。
【0019】
図2は、本実施形態の暗号モジュール17の入出力構成を説明するための図である。図2に示すように、暗号モジュール17は、FIFO(first-in first-out)方式の第1から第4の入出力部171〜174を有する。
【0020】
第1の入出力部171は、通常動作モード時に、ホストI/F16間のデータ(便宜的にホストデータと表記する場合がある)の入出力を行なう。ホストデータとは、ホスト20との送受信データであり、ホスト20から受信したライトデータ又はホスト20に送信する復号化データに相当する。第2の入出力部172は、通常動作モード時に、バッファメモリ13間のデータ(便宜的にバッファデータと表記する場合がある)の入出力を行なう。第3の入出力部173は、再暗号化モード時に、R/Wチャネル12間のデータ(便宜的にメディアデータと表記する場合がある)の入出力を行なう。第4の入出力部174は、再暗号化モード時に、バッファメモリ13間のデータ(バッファデータ)の入出力を行なう。
【0021】
[再暗号化処理]
次に、図3から図5の各フローチャートを参照して、データ記憶装置10の通常動作と再暗号化処理について説明する。
【0022】
まず、図3のフローチャートを参照して、データ記憶装置10の通常動作について説明する。通常動作とは、通常のリード/ライト動作または通常コマンド処理に相当する動作モードである。
【0023】
ホストI/F16は、ホスト20からライトコマンドを受信すると、ライトコマンドに伴うデータ(ライトデータ)を暗号モジュール17に転送する(ブロック100のYES)。ここで、レジスタ18には、MPU14により暗号鍵(便宜的にカレント暗号鍵と呼ぶ)が設定されている。
【0024】
暗号モジュール17は、第1の入出力部171を介してホストI/F16から転送されたデータ(ホストデータ)を入力し、レジスタ18に設定されている暗号鍵を使用して暗号化する(ブロック101)。暗号モジュール17は、ホストデータを論理ブロックアドレス単位で暗号化する。暗号モジュール17は、第2の入出力部172を介して、暗号化データをバッファメモリ13に格納する(ブロック102)。
【0025】
本実施形態では、ホスト20との送受信データ(ホストデータ)は、記憶媒体11上に記録される暗号化データに対して平文データに相当する。しかし、ホスト20から送信されるデータには暗号化されたデータの場合もあるので、本実施形態では便宜的に平文データとは表現せずに、復号化データまたは単にデータと表記する。
【0026】
コントローラ15は、バッファメモリ13に格納された暗号化データをR/Wチャネル12に転送する。R/Wチャネル12は暗号化データをライト信号に変換して、図示しないリード/ライト機構に出力する。これにより、暗号化データは、記憶媒体11上に書き込み(ライト)される(ブロック103)。
【0027】
一方、ホストI/F16は、ホスト20からライトコマンドではなくリードコマンドを受信すると(ブロック100のNO)、コントローラ15は、バッファメモリ13にリード要求データ(暗号化データ)が格納されているか否かを判定する(ブロック104)。リード要求データが格納されている場合には、暗号モジュール17は、バッファメモリ13に格納されているリード要求データを、レジスタ18に設定されている暗号鍵を使用して復号化する(ブロック104のYES,105)。ホストI/F16は、暗号モジュール17により復号化された復号化データをホスト20に送信する(ブロック106)。
【0028】
リード要求データが格納されていない場合には、コントローラ15は、R/Wチャネル12及び図示しないリード/ライト機構を介して、記憶媒体11からリード要求データ(暗号化データ)を読み出すリード動作を実行させる(ブロック104のNO,107)。コントローラ15は、記憶媒体11から読み出された暗号化データをバッファメモリ13に格納する(ブロック108)。暗号モジュール17は、バッファメモリ13に格納されている暗号化データをレジスタ18に設定されている暗号鍵を使用して復号化する(ブロック105)。ホストI/F16は、暗号モジュール17により復号化された復号化データ(リード要求データ)をホスト20に送信する(ブロック106)。
【0029】
以上のように通常コマンド処理では、記憶媒体11上の物理的配置とは無関係に、ホスト20からの転送データを論理ブロック単位で暗号化処理を実行するため、コマンド処理の高速化が可能である。
【0030】
次に、図4及び図5のフローチャートを参照して、本実施形態の再暗号化処理を説明する。
【0031】
本実施形態の再暗号化処理は、MPU14がレジスタ18に再暗号化用モードを設定することにより開始される。MPU14は、例えば定期的またはホスト20からの指示に応じて再暗号化処理を実行する。コントローラ15は、レジスタ18に設定された再暗号化用モードに基づいて再暗号化処理を開始するときに、バッファメモリ13をクリア(消去)する(ブロック200)。これにより、バッファメモリ13において、再暗号化処理の前の暗号化データと、再暗号化処理による暗号化データ(再暗号化データ)とが混在することを回避できる。
【0032】
MPU14は、レジスタ18に再暗号化処理の復号モードを設定する(ブロック201)。さらに、MPU14は、レジスタ18にカレント暗号鍵(現在の暗号化処理で使用される暗号鍵)を設定する(ブロック202)。コントローラ15は、R/Wチャネル12及び図示しないリード/ライト機構を介して、記憶媒体11からデータ(暗号化データ)を読み出すリード動作を実行させる(ブロック203)。
【0033】
暗号モジュール17は、レジスタ18に設定されているカレント暗号鍵を使用して、記憶媒体11から読み出された暗号化データを復号化する(ブロック204)。コントローラ15は、暗号モジュール17により復号化された復号化データをバッファメモリ13に格納する(ブロック205)。
【0034】
次に、MPU14は、レジスタ18に再暗号化処理の暗号モードを設定する(ブロック206)。さらに、MPU14は、レジスタ18に再暗号化処理で使用する新暗号鍵(カレント暗号鍵とは異なる暗号鍵)を設定する(ブロック207)。コントローラ15は、バッファメモリ13に格納されている復号化データを暗号モジュール17に設定する。
【0035】
暗号モジュール17は、レジスタ18に設定されている新暗号鍵を使用して、バッファメモリ13からの復号化データを暗号化(再暗号化)する(ブロック208)。コントローラ15は、再暗号化された暗号化データを、R/Wチャネル12及び図示しないリード/ライト機構を経由して、記憶媒体11上に書き込み(書き戻し)する(ブロック209)。
【0036】
MPU14は、記憶媒体11上に記録されている全データの再暗号化処理が完了するまで、前述の処理を繰り返す(ブロック210)。MPU14は、再暗号化処理が完了すると、レジスタ18に通常モード(通常リード/ライトモード)を設定する(ブロック211)。
【0037】
ここで、再暗号化処理では、暗号モジュール17は、第2の入出力部172を使用せずに、いわば再暗号化処理専用の第4の入出力部174を使用して、バッファメモリ13に対するデータ(バッファデータ)の入出力を行なう。これにより、図1に示すように、再暗号化処理時に、ホストI/F16、暗号モジュール17、及びバッファメモリ13を経由してデータを転送するパスを確保することができる。
【0038】
以下、図5のフローチャートを参照して、再暗号化処理時に、ホスト20から通常のリード/ライトコマンドが発行された場合のデータアクセスの手順を説明する。
【0039】
前述の再暗号化処理時に、ホスト20からライトコマンドが発行されると、ホストI/F16はライトコマンド及びライトデータを受信する(ブロック300のNO,308)。コントローラ15は、ホストI/F16で受信されたライトデータをバッファメモリ13に格納する(ブロック309)。即ち、コントローラ15は、ホスト20からのデータを暗号モジュール17での暗号化処理を行なわずに、バッファメモリ13に格納する。これにより、暗号モジュール17が実行している再暗号化処理を中断することなく、ホスト20から送信されるライトデータを受信することができる。
【0040】
ここで、暗号モジュール17は、レジスタ18に設定されている新暗号鍵を使用して、バッファメモリ13に格納されている復号化データの再暗号化処理を継続している。暗号モジュール17は、バッファメモリ13に格納されているホスト20からのライトデータを、新暗号鍵を使用して暗号化する(ブロック310)。
【0041】
コントローラ15は、再暗号化処理による暗号化データと共に、ホスト20からのライトコマンドに伴う暗号化データを、R/Wチャネル12及び図示しないリード/ライト機構を経由して、記憶媒体11上に書き込みする(ブロック311)。これにより、再暗号化処理中にホスト20からライトコマンドが発行された場合、待機することなく、ライトコマンド処理を完了することが可能となる。
【0042】
一方、ホストI/F16がホスト20からリードコマンドを受信すると、コントローラ15は、バッファメモリ13にリード要求データ(復号化データ)が格納されているか否かを判定する(ブロック300のYES、301)。ここで、再暗号処理中であるため、バッファメモリ13には、記憶媒体11から読み出された暗号化データが復号化された復号化データが格納されている。
【0043】
コントローラ15は、リード要求データに対応する復号化データがバッファメモリ13に格納されている場合には、ホストI/F16を介して、当該復号化データをホスト20に送信する(ブロック302)。この場合、ホスト20からリードコマンドが発行された場合、待機することなく、リードコマンド処理を完了することが可能となる。
【0044】
ここで、リード要求データに対応する復号化データがバッファメモリ13に格納されていない場合には、コントローラ15は、再暗号処理を中断する(ブロック301のNO,303)。これは、再暗号処理が例えば数時間のように長時間を要することが多いため、ホスト20からのリードアクセス要求を優先するためである。なお、再暗号処理を中断するタイミングとしては、例えば、暗号モジュール17が再暗号化対象のセクタデータを復号化し、当該復号化データがバッファメモリ13に格納された後が望ましい。
【0045】
再暗号処理を中断後に、コントローラ15は、R/Wチャネル12及び図示しないリード/ライト機構を介して、記憶媒体11からリード要求データ(暗号化データ)を読み出すリード動作を実行させる(ブロック304)。コントローラ15は、記憶媒体11から読み出された暗号化データを、暗号モジュール17により復号化させる(ブロック305)。このとき、暗号モジュール17は、レジスタ18に設定されているカレント暗号鍵または新暗号鍵を使用して復号化し、バッファメモリ13に格納する。ホストI/F16は、バッファメモリ13に格納された復号化データ(リード要求データ)をホスト20に送信する(ブロック306)。
【0046】
このようなリードコマンド処理の完了後に、コントローラ15は、再暗号処理を再開し、完了するまで継続する(ブロック312)。ここで、再暗号処理の再開後に、リード要求データとしてカレント暗号鍵を使用して復号化された復号化データがバッファメモリ13に格納されている場合、暗号モジュール17は、新暗号鍵を使用して当該復号化データを暗号化(再暗号化)する。コントローラ15は、再暗号化された暗号化データを、R/Wチャネル12及び図示しないリード/ライト機構を経由して、記憶媒体11上に書き込み(書き戻し)する。一方、リード要求データとして新暗号鍵を使用して復号化された復号化データがバッファメモリ13に格納されている場合、再暗号化してディスクに書き込む再暗号化処理は不要となる。
【0047】
以上のように本実施形態によれば、暗号化機能を有するデータ記憶装置において、暗号鍵を定期的に更新するために、記憶媒体11上に記録されている全データの再暗号化処理を行なうことができる。この場合、本実施形態では、通常のリード/ライト動作(通常モード)時とは異なり、再暗号化処理時には、記憶媒体11とバッファメモリ13との間で再暗号化処理用のデータ入出力が実行される。具体的には、図2に示すように、暗号モジュール17は、第3の入出力部173及び第4の入出力部174を使用して、再暗号化処理時のデータの入出力を実行する。これにより、暗号モジュール17とバッファメモリ13間のデータ入出力によるオーバヘッドを削減し、再暗号化処理を高速かつ円滑に実現することが可能となる。
【0048】
さらに、本実施形態の再暗号化処理時には、再暗号化処理中に、ホスト20からのデータアクセス(リード/ライトアクセス)が発生した場合に、ライトコマンド処理の場合には、再暗号化処理を中断することなく、ライトデータを受信してバッファメモリ13に格納することができる。このバッファメモリ13に格納されたライトデータは、再暗号化処理により新暗号鍵で暗号化されて記憶媒体11に記録される。また、リードコマンド処理の場合には、リード対象データ(復号化データ)がバッファメモリ13に格納されている場合には、再暗号化処理を中断することなく、当該リード対象データをホスト20に送信できる。即ち、暗号モジュール17を経由せずに、リード対象の復号化データを直接的にホスト20に送信できる。
【0049】
従って、再暗号化処理中で暗号モジュール17が占有状態の場合でも、ホスト20からのデータアクセスに対して待機状態が発生することを回避できる。なお、リード対象データがバッファメモリ13に格納されていない場合には、再暗号化処理を中断して、記憶媒体11からリード対象データを読み出すリード動作を優先する。この場合でも、ホスト20からのデータアクセスに対して待機状態が発生することを回避できる。
【0050】
要するに、本実施形態であれば、再暗号化処理の高速化及び再暗号化処理時のコマンド処理の効率化を実現することにより、セキュリティの向上と共に、再暗号化処理時におけるデータ記憶装置の動作効率の低下を回避することができる。
【0051】
なお、本実施形態では、MPU14(FW)からの指示により再暗号化処理を実行する方式について説明したが、ホスト20からの指示により再暗号化処理を実行する方式でも良い。また、本実施形態では、MPU14が暗号鍵または新暗号鍵をレジスタ18に設定する方式について説明したが、暗号モジュール17が暗号鍵または新暗号鍵を生成する機能を有する構成でもよい。
【0052】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0053】
10…データ記憶装置、11…記憶媒体(ディスク又はフラッシュメモリ)、
12…リード/ライト(R/W)チャネル、13…バッファメモリ、
14…マイクロプロセッサ(MPU)、15…コントローラ、
16…ホストインターフェース(ホストI/F)、17…暗号モジュール、
18…レジスタ、20…ホストシステム、171〜174…第1から第4の入出力部。
【特許請求の範囲】
【請求項1】
データの暗号化又は復号化を行なう暗号化手段と、
ホストから受信したデータの暗号化データを記憶媒体に書き込むライト手段と、
通常暗号化処理を行う場合に前記ホストから受信したデータを前記暗号化手段により暗号化して当該暗号化データをバッファメモリを経由してライト手段に転送し、再暗号化処理を行う場合に前記記憶媒体に記録されているデータを再暗号化する制御手段とを具備し、
前記制御手段は前記再暗号化処理を行う場合に、
前記記憶媒体からの暗号化データを前記暗号化手段により復号化し、
前記復号化データを前記バッファメモリに格納し、
前記バッファメモリからの前記復号化データを前記暗号化手段により再暗号化して前記ライト手段に転送するように制御するデータ記憶装置。
【請求項2】
前記ホストからリードコマンドを受信したときに、リード要求データに対応する復号化データを前記ホストに送信するリード手段を有し、
前記制御手段は、
前記再暗号化処理中に前記リードコマンドを受信したとき、前記リード要求データに対応する復号化データが前記バッファメモリに格納されている場合には、前記リード手段を制御して前記復号化データを前記ホストに送信し、
前記復号化データが前記バッファメモリに格納されていない場合には前記再暗号化処理を中断するように制御する請求項1に記載のデータ記憶装置。
【請求項3】
前記リード手段は、
前記再暗号化動作の中断後に、前記記憶媒体からリード要求データに対応する暗号化データを読み出し、
前記暗号化データを復号化した復号化データを前記バッファメモリに格納し、
前記バッファメモリから前記復号化データを前記ホストに送信するように構成されている請求項2に記載のデータ記憶装置。
【請求項4】
前記制御手段は、
前記再暗号化処理中に前記ホストからライトコマンドを受信したときに、ライト対象データを前記ライト手段により前記バッファメモリに格納するように制御する請求項1または請求項2のいずれか1項に記載のデータ記憶装置。
【請求項5】
前記制御手段は、
前記再暗号化処理中に、前記バッファメモリに格納される前記ライト対象データを前記暗号化手段により前記再暗号化処理で使用される新暗号鍵で暗号化し、前記ライト手段により前記記憶媒体に書き込むように制御する請求項4に記載のデータ記憶装置。
【請求項6】
前記制御手段は前記再暗号化処理を行う場合に、
前記再暗号化処理の前に設定した暗号鍵を使用する前記暗号化手段により、前記記憶媒体からの暗号化データを復号化し、
前記復号化データを前記バッファメモリに格納し、
前記再暗号化処理を行う場合に設定した新暗号鍵を使用する前記暗号化手段により前記バッファメモリからの前記復号化データを再暗号化し、前記ライト手段を制御して前記記憶媒体に書き込む請求項1、請求項2、請求項4のいずれか1項に記載のデータ記憶装置。
【請求項7】
データ記憶装置に適用し、ホストと記憶媒体との間でデータの転送を制御するコントロール装置であって、
データの暗号化又は復号化を行なう暗号化手段と、
通常暗号化処理を行う場合に前記ホストから受信したデータを前記暗号化手段により暗号化して当該暗号化データをバッファメモリを経由してライト手段に転送し、再暗号化処理を行う場合に前記記憶媒体に記録されているデータを再暗号化する制御手段とを具備し、
前記制御手段は前記再暗号化処理を行う場合に、
前記記憶媒体からの暗号化データを前記暗号化手段により復号化し、
前記復号化データを前記バッファメモリに格納し、
前記バッファメモリからの前記復号化データを前記暗号化手段により再暗号化して前記ライト手段に転送するように制御するコントロール装置。
【請求項8】
前記暗号化手段が使用する暗号鍵を保持するレジスタを有し、
前記制御手段は前記再暗号化処理を行う場合に、
再暗号化処理の前に前記レジスタに設定した暗号鍵を使用する前記暗号化手段により、前記記憶媒体からの暗号化データを復号化し、
前記復号化データを前記バッファメモリに格納し後に、前記レジスタに前記再暗号化処理で使用する新暗号鍵を設定し、
前記新暗号鍵を使用する前記暗号化手段により、前記バッファメモリからの前記復号化データを再暗号化して前記ライト手段に転送するように構成されている請求項7に記載のコントロール装置。
【請求項9】
前記制御手段は、
前記再暗号化処理中にリードコマンドを受信したとき、前記リード要求データに対応する復号化データが前記バッファメモリに格納されている場合には、リード手段により当該復号化データを前記ホストに送信するように制御し、
前記復号化データが前記バッファメモリに格納されていない場合には前記再暗号化処理を中断するように制御する請求項7に記載のコントロール装置。
【請求項10】
前記制御手段は、
前記再暗号化処理中に前記ホストからライトコマンドを受信したときに、ライト対象データを前記バッファメモリに格納する請求項7に記載のコントロール装置。
【請求項11】
ライト動作を行う場合にホストから受信したデータを暗号化した暗号化データを記憶媒体に書き込むデータ記憶装置に適用する暗号化方法であって、
通常暗号化処理を行う場合に、前記ホストから受信したデータを暗号化して当該暗号化データをバッファメモリを経由してライト手段に転送し、
再暗号化処理を行う場合に、前記記憶媒体からの暗号化データを前記暗号化手段により復号化し、
前記復号化データを前記バッファメモリに格納し、
前記バッファメモリからの前記復号化データを再暗号化して前記ライト手段に転送する暗号化方法。
【請求項1】
データの暗号化又は復号化を行なう暗号化手段と、
ホストから受信したデータの暗号化データを記憶媒体に書き込むライト手段と、
通常暗号化処理を行う場合に前記ホストから受信したデータを前記暗号化手段により暗号化して当該暗号化データをバッファメモリを経由してライト手段に転送し、再暗号化処理を行う場合に前記記憶媒体に記録されているデータを再暗号化する制御手段とを具備し、
前記制御手段は前記再暗号化処理を行う場合に、
前記記憶媒体からの暗号化データを前記暗号化手段により復号化し、
前記復号化データを前記バッファメモリに格納し、
前記バッファメモリからの前記復号化データを前記暗号化手段により再暗号化して前記ライト手段に転送するように制御するデータ記憶装置。
【請求項2】
前記ホストからリードコマンドを受信したときに、リード要求データに対応する復号化データを前記ホストに送信するリード手段を有し、
前記制御手段は、
前記再暗号化処理中に前記リードコマンドを受信したとき、前記リード要求データに対応する復号化データが前記バッファメモリに格納されている場合には、前記リード手段を制御して前記復号化データを前記ホストに送信し、
前記復号化データが前記バッファメモリに格納されていない場合には前記再暗号化処理を中断するように制御する請求項1に記載のデータ記憶装置。
【請求項3】
前記リード手段は、
前記再暗号化動作の中断後に、前記記憶媒体からリード要求データに対応する暗号化データを読み出し、
前記暗号化データを復号化した復号化データを前記バッファメモリに格納し、
前記バッファメモリから前記復号化データを前記ホストに送信するように構成されている請求項2に記載のデータ記憶装置。
【請求項4】
前記制御手段は、
前記再暗号化処理中に前記ホストからライトコマンドを受信したときに、ライト対象データを前記ライト手段により前記バッファメモリに格納するように制御する請求項1または請求項2のいずれか1項に記載のデータ記憶装置。
【請求項5】
前記制御手段は、
前記再暗号化処理中に、前記バッファメモリに格納される前記ライト対象データを前記暗号化手段により前記再暗号化処理で使用される新暗号鍵で暗号化し、前記ライト手段により前記記憶媒体に書き込むように制御する請求項4に記載のデータ記憶装置。
【請求項6】
前記制御手段は前記再暗号化処理を行う場合に、
前記再暗号化処理の前に設定した暗号鍵を使用する前記暗号化手段により、前記記憶媒体からの暗号化データを復号化し、
前記復号化データを前記バッファメモリに格納し、
前記再暗号化処理を行う場合に設定した新暗号鍵を使用する前記暗号化手段により前記バッファメモリからの前記復号化データを再暗号化し、前記ライト手段を制御して前記記憶媒体に書き込む請求項1、請求項2、請求項4のいずれか1項に記載のデータ記憶装置。
【請求項7】
データ記憶装置に適用し、ホストと記憶媒体との間でデータの転送を制御するコントロール装置であって、
データの暗号化又は復号化を行なう暗号化手段と、
通常暗号化処理を行う場合に前記ホストから受信したデータを前記暗号化手段により暗号化して当該暗号化データをバッファメモリを経由してライト手段に転送し、再暗号化処理を行う場合に前記記憶媒体に記録されているデータを再暗号化する制御手段とを具備し、
前記制御手段は前記再暗号化処理を行う場合に、
前記記憶媒体からの暗号化データを前記暗号化手段により復号化し、
前記復号化データを前記バッファメモリに格納し、
前記バッファメモリからの前記復号化データを前記暗号化手段により再暗号化して前記ライト手段に転送するように制御するコントロール装置。
【請求項8】
前記暗号化手段が使用する暗号鍵を保持するレジスタを有し、
前記制御手段は前記再暗号化処理を行う場合に、
再暗号化処理の前に前記レジスタに設定した暗号鍵を使用する前記暗号化手段により、前記記憶媒体からの暗号化データを復号化し、
前記復号化データを前記バッファメモリに格納し後に、前記レジスタに前記再暗号化処理で使用する新暗号鍵を設定し、
前記新暗号鍵を使用する前記暗号化手段により、前記バッファメモリからの前記復号化データを再暗号化して前記ライト手段に転送するように構成されている請求項7に記載のコントロール装置。
【請求項9】
前記制御手段は、
前記再暗号化処理中にリードコマンドを受信したとき、前記リード要求データに対応する復号化データが前記バッファメモリに格納されている場合には、リード手段により当該復号化データを前記ホストに送信するように制御し、
前記復号化データが前記バッファメモリに格納されていない場合には前記再暗号化処理を中断するように制御する請求項7に記載のコントロール装置。
【請求項10】
前記制御手段は、
前記再暗号化処理中に前記ホストからライトコマンドを受信したときに、ライト対象データを前記バッファメモリに格納する請求項7に記載のコントロール装置。
【請求項11】
ライト動作を行う場合にホストから受信したデータを暗号化した暗号化データを記憶媒体に書き込むデータ記憶装置に適用する暗号化方法であって、
通常暗号化処理を行う場合に、前記ホストから受信したデータを暗号化して当該暗号化データをバッファメモリを経由してライト手段に転送し、
再暗号化処理を行う場合に、前記記憶媒体からの暗号化データを前記暗号化手段により復号化し、
前記復号化データを前記バッファメモリに格納し、
前記バッファメモリからの前記復号化データを再暗号化して前記ライト手段に転送する暗号化方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2012−114773(P2012−114773A)
【公開日】平成24年6月14日(2012.6.14)
【国際特許分類】
【出願番号】特願2010−263381(P2010−263381)
【出願日】平成22年11月26日(2010.11.26)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成24年6月14日(2012.6.14)
【国際特許分類】
【出願日】平成22年11月26日(2010.11.26)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]