外部装置にセキュリティを提供するシステムおよび方法
【課題】外部SATA記憶装置にセキュリティを提供する。
【解決手段】コンピューティングデバイスはインターフェースチップによってSATA記憶装置に結合される。SATA記憶装置の第1のパーティション108は、ROMとしてコンピューティングデバイスに与えられる。他のセキュアなパーティション110A−110Nに対するアクセスは有効なID認証が提供されるまで制限される。一例では、コンピューティングデバイスからのログオン要求の受信に応答して、ID認証プロセスは、第1のパーティションに格納されたプロセスを使用して、開始される。インターフェースチップのディスクコントローラに格納されたプロセスは、SATA記憶装置の第1のパーティションに格納されたプロセスから暗号化キーを受信し、暗号化キーを使用して、他のパーティションを暗号化解除する。
【解決手段】コンピューティングデバイスはインターフェースチップによってSATA記憶装置に結合される。SATA記憶装置の第1のパーティション108は、ROMとしてコンピューティングデバイスに与えられる。他のセキュアなパーティション110A−110Nに対するアクセスは有効なID認証が提供されるまで制限される。一例では、コンピューティングデバイスからのログオン要求の受信に応答して、ID認証プロセスは、第1のパーティションに格納されたプロセスを使用して、開始される。インターフェースチップのディスクコントローラに格納されたプロセスは、SATA記憶装置の第1のパーティションに格納されたプロセスから暗号化キーを受信し、暗号化キーを使用して、他のパーティションを暗号化解除する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、外部シリアルATA(eSATA:external Serial Advanced Technology Attachment)装置にセキュリティを提供するシステムおよび方法に関する。
【背景技術】
【0002】
外部記憶装置(external storage device)を使用して、例えば、デスクトップコンピュータおよび/またはラップトップコンピュータの内部記憶装置(internal storage device)に格納されたデータから、別の記憶装置にデータのバックアップを取ることがしばしば行われている。外部記憶装置は、USBポート、eSATAポート、FireWireポートなどの様々なタイプのポートを介して、コンピューティングデバイスに接続される。さらに、外部記憶装置は、ホットスワップ可能であることが多い、すなわち、コンピューティングデバイスに電源が入っている間に、外部記憶装置をコンピューティングデバイスから取り外すこと、およびこれに接続することができる。
【0003】
したがって、データのバックアップを取ることに加えて、外部記憶装置を使用して、あるコンピューティングデバイスから別のコンピューティングデバイスにデータを移送することもでき、外部装置(external device)の拡張性およびポータブルデジタルデータの必要性によって、さらに容易にすることができる。
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、ノートブック、ポータブル記憶装置(portable storage device)などのポータブル装置は容易に紛失され、その容易さが、データのセキュリティと個人のプライバシーに対して脅威となっている。ポータブル記憶装置の紛失は、例えば、個人のプライバシーおよび/または医療上の情報の紛失、財政上の損失、ならびに個人情報の盗難(identity theft)による、不利益な結果をもたらす可能性がある。
【課題を解決するための手段】
【0005】
eSATA装置にセキュリティを提供するシステムおよび方法を、本明細書で説明する。本開示の一部の実施形態を、このセクションにおいて要約する。
【0006】
本発明の一態様は、コンピューティングデバイスを外部記憶装置に結合するためのインターフェースを提供し、上記インターフェースは、コンピューティングデバイスと記憶装置を結合するためのコントローラおよびポートを有しており、上記コントローラは、記憶装置を、複数のパーティションとしてコンピューティングデバイスに与える(present)ように配置されており、その1つはROM(Read Only Memory)であり、かつそのパーティションまたは相互のパーティションはセキュアにされている。この上記コントローラは、ROMおよび記憶装置に格納されたセキュリティアプリケーションと情報のやりとりをし、例えば識別コードのような有効なセキュリティコードの規定において、コンピューティングデバイスが、そのパーティションまたは相互のパーティションにアクセスすることを可能にするように配置されている。記憶装置は、本発明の実施形態ではSATA記憶装置である。
【0007】
本発明のある態様は、eSATA記憶装置の第1のパーティションを作成するシステムにおいて具現化される方法であって、コンピューティングデバイスに、eSATA記憶装置の第1のパーティションをROMとして与え、コンピューティングデバイスがeSATA記憶装置のセキュアな第2のパーティションにアクセスすることを制限し、有効なID認証(valid identity authentication)の受信に応答して、eSATA記憶装置の第2のパーティションに対するアクセスを制限解除する方法を提供する。
【0008】
一実施形態では、コンピューティングデバイスからのログオン要求の受信に応答して、第1のパーティションに格納されるID認証プロセス(identity authentication process)が開始される。さらに、一実施形態では、ディスクコントローラに格納されたプロセスは、SATA(Serial Advanced Technology Attachment)記憶装置の第1のパーティションに格納されたプロセスから暗号化キー(encryption key)を受信し、ディスクコントローラに格納されたプロセスは、その暗号化キーを使用して、SATA記憶装置の第2のパーティションを暗号化解除する。
【0009】
本発明のさらなる態様は、コンピューティングデバイスに、外部記憶装置の第1のパーティションをROMとして与えることと、コンピューティングデバイスが外部記憶装置のセキュアな第2のパーティションにアクセスすることを制限することと、有効なID認証の受信に応答して、外部記憶装置の第2のパーティションに対するアクセスを制限解除することとを含む方法を提供する。一実施形態では、上記方法は、コンピューティングデバイスの第1のタイプの第1のポートを介して、ディスクコントローラと外部装置との間でデータを通信することと、少なくともコンピューティングデバイスの第2のタイプの第2のポートを介して、ディスクコントローラおよび外部装置に電力を供給することとをさらに含む。外部記憶装置は、SATAとすることができる。コンピューティングデバイスの第1のタイプの第1のポートは、eSATAポートとすることができる。
【0010】
コンピューティングデバイスの第2のタイプの第2のポートは、USB(Universal Serial Bus)ポートとすることができる。上記方法は、ディスクコントローラによって受信される第1のシリアル・データストリーム(serial data stream)を、パラレル・データストリーム(parallel data stream)に変換することをさらに含むことができ、上記第1のシリアル・データストリームは、コンピューティングデバイスの第1のタイプの第1のポートとの接続を介して受信される。上記方法は、パラレル・データストリームを、第2のシリアル・データストリームに変換することをさらに含むことができ、第2のシリアル・データストリームは、ディスクコントローラからeSATA装置に伝送される。
【0011】
本発明は、コンピューティングデバイスに、eSATA記憶装置の第1のパーティションをROMとして与える第1のユニットと、コンピューティングデバイスがセキュアな第2のパーティションにアクセスすることを制限する第2のユニットと、eSATA記憶装置の第2のパーティションを制限解除し、有効なID認証の受信に応答して、コンピューティングデバイスに、第2のパーティション対するアクセスを提供する第3のユニットとを含むシステムも提供する。
【0012】
本発明は、実行されると、コンピューティングデバイスにeSATA記憶装置の第1のパーティションをROMとして与えることと、コンピューティングデバイスがeSATA記憶装置のセキュアな第2のパーティションにアクセスすることを制限することと、有効なID認証の受信に応答してeSATA記憶装置の第2のパーティションに対するアクセスを制限解除することとを含む方法を実施する複数の命令のセットを格納したマシン読み取り可能な媒体も提供する。マシン読み取り可能な媒体に格納された方法は、コンピューティングデバイスからのログオン要求の受信に応答して、第1のパーティションに格納されたID認証プロセスを開始する命令をさらに含むことができる。マシン読み取り可能な媒体は、ディスクコントローラに格納された、SATA記憶装置の第1のパーティションに格納されたプロセスから暗号化キーを受信するプロセスを実装する命令をさらに含むことができ、ディスクコントローラに格納された上記プロセスは、上記暗号化キーを使用して、SATA記憶装置の第2のパーティションを暗号化解除する。
【0013】
本開示は、これら方法を実施する複数の方法および装置、およびこれら方法を実施する処理システムを含め、処理システムで実行されるとそのシステムにこれら方法を実施させるコンピュータ読み取り可能な媒体を含む。
【0014】
本発明の他の特徴は、添付の図面および以下の詳細な説明から明らかになるであろう。
【0015】
本開示は、同様の参照番号が同様の要素を示す添付の図面の図で、限定ではなく例示の目的で図示される。
【発明を実施するための最良の形態】
【0016】
以下の説明および図面は、例示的なものであり、限定として解釈されるべきでない。多くの具体的な詳細は、本開示の理解を提供するために記述されている。しかし、ある例では、説明をあいまいにするのを避けるために、周知のまたは従来の詳細については説明しない。
【0017】
本開示の実施形態には、外部記憶装置にセキュリティを提供するシステムおよび方法が含まれる。
【0018】
外部装置は、コンピューティングデバイスの1つまたは複数のインターフェースポートを介して、コンピューティングデバイスと通信することができる。インターフェースポートは、USBインターフェース、FireWire(IEEE1394)インターフェース、および/またはeSATAインターフェースなどの多くのインターフェースの1つとすることができる。外部記憶装置を、コンピューティングデバイスの1つまたは複数のインターフェースポートと結合されるディスクコントローラとさらに接続することができる。ディスクコントローラのタイプは、外部記憶装置のインターフェースに依存する。ディスクコントローラは、マザーボードと別個の装置、またはマザーボードに組み込まれた装置とすることができる。
【0019】
例えば、SATA記憶装置を、コンピューティングデバイスのeSATAポートと結合されるコントローラに接続することができる。一実施形態では、コントローラは、ソフトウェアインスタンスを含み、コントローラと結合されるSATA記憶装置を、複数のパーティションとしてコンピューティングデバイスに与える。したがって、コンピューティングデバイスは、SATA記憶装置を、複数の記憶装置または複数のパーティションとしてみることができる。
【0020】
一実施形態では、SATA記憶装置のパーティションの1つは、ブート可能なROM(bootable Read Only Memory)としてコンピューティングデバイスに与えられ、この例では、CD−ROM(例えば、ディスクイメージ、または.ISOファイル)としてコンピューティングデバイスのオペレーティングシステムに与えられ、SATA記憶装置の第2のパーティションは、最初はロックされている(例えば、セキュアであるか、または暗号化されている)。SATA記憶装置の第2のパーティションがロックされている間、SATA記憶装置の第2のパーティションは、コンピューティングデバイスによって識別されることはない。
【0021】
コンピューティングデバイスへのログオン要求、またはSATA記憶装置へのアクセス要求を受信すると、SATA記憶装置のCD−ROMのパーティションは、自動的に開始され得る実行ファイル(executable)を含む。一実施形態では、実行ファイルは、識別目的(identification purposes)のセキュリティアプリケーション(security application)を含む。例えば、セキュリティアプリケーションは、RFID、パスワード、および/または指紋などの他の生体認証識別子(biometrics identifiers)などを含め、様々な識別子(identifiers)の入力により、ユーザのIDが確認されるようなログオン手順(logon procedure)を、ユーザに対して開始する。
【0022】
識別手順が完了すると、SATA記憶装置のCD−ROMパーティションにおけるセキュリティアプリケーションは、完了をコントローラに知らせる。したがって、一実施形態では、コントローラにおけるソフトウェアインスタンスは、SATA記憶装置の第2のパーティションをアンロックする(例えば、暗号化解除する)。第2のパーティションは、次いで、オペレーティングシステムとコンピューティングデバイスから、可視(visible)かつアクセス可能となる。場合によっては、セキュリティアプリケーションは、SATA記憶装置の第2のパーティションをアンロックする(例えば、暗号化解除する)ために、セキュリティキー(例えば、暗号化キー)をソフトウェアインスタンスに送信する。
【0023】
図1Aは、一実施形態にかかる、コントローラ112を通じてコンピューティングデバイス102と通信するSATA記憶装置118を図示する。一実施形態では、コントローラ112は、長さが比較的長い相互接続(interconnection)を利用するeSATA接続(eSATA connection)を介して、コンピューティングデバイスとインターフェースをとる。コントローラ112は、eSATA接続またはSATAベースの接続を使用して、外部SATA記憶装置とインターフェースをとることができる。さらに、SATA記憶装置は、本明細書で説明され図示されるように、外部SATA記憶装置(例えば、eSATA)、あるいは1.5Gbps、3Gbps、またはそれ以上の速さでデータの転送をサポートする他のSATA装置のいずれかを含む。
【0024】
一実施形態では、コンピューティングデバイス102は、SATA記憶装置(例えば、SATA記憶装置118)と結合することができるコンピューティングデバイスである。例えば、コンピューティングデバイス102は、SATAインターフェースプロトコルをサポートするチップセットを含むことができる。コンピューティングデバイスは、SATA記憶装置と接続することができる外部ポートを有することもできる。
【0025】
代替的に、コンピューティングデバイスは、パネル外部からシャーシ(例えば、ブラケットコネクタ(bracket connector))までアクセス可能なeSATAポートを有するマザーボードに取り付けられた、PCIベースのSATAコントローラを有することができる。SATA装置は、したがって、外部的にアクセス可能なeSATAポートを介するeSATAコントローラカードを通じて、コンピューティングデバイスに接続することができる。
【0026】
コンピューティングデバイス102は、eSATAのインターフェース機能を有するPCMCIAベースのコントローラを利用するラップトップコンピュータ(例えば、ノートブックまたはポータブルのコンピュータ)とすることができる。場合によっては、eSATAインターフェースプロトコルの機能には、PCI−Expressカードが提供されることがある。コンピューティングデバイス102は、PDA、ラップトップ、デスクトップコンピュータ、電話、携帯電話、ポータブルデバイス、および/またはサーバ装置などのいずれかとすることができる。
【0027】
コントローラ112は、記憶装置を制御する回路と関連付けられるチップである。コントローラは、マザーボードへの組み込み(built-in)とすること、またはマザーボードと別個のスタンドアローンの装置に含めることができる。一般に、コントローラ112は、IDE(PATA)インターフェース、EIDEインターフェース、SCSIインターフェース、SATAインターフェース、および/またはeSATAインターフェースなどの、多くのインターフェースの1つまたは複数を有することができる。例えば、コントローラ112を、SATA記憶装置118に結合することができる。一実施形態では、コントローラがSATA記憶装置と通信することができるように、コントローラ112は、eSATAコンバータに対するIDEに結合されるIDE/EIDEインターフェースを有する。
【0028】
図1Bは、一実施形態にかかる、コンピューティングデバイス102のeSATAポート104およびUSBポート106を介して、インターフェースチップ200を通してコンピューティングデバイス102と通信する、SATA記憶装置118を図示する。
【0029】
コンピューティングデバイス102は、USBポート106および/またはeSATAポート104などの、複数のインターフェースポートを含むことができる。eSATAおよび/またはUSBの接続は、マザーボードへの組み込みとすること、あるいは外部のPCIブラケット(例えば、ホストバスアダプタ、またはHBA)またはカードベースのコントローラを通じたアドオン(added-on)とすることができる。コンピューティングデバイスは、図示されていないFireWire(IEEE1394)ポートなどの、USBポートまたはeSATAポート以外の追加のポートを有することもできる。
【0030】
一実施形態では、インターフェースチップ200は、コンピューティングデバイスのeSATAポート104およびUSBポート106に結合される。コンピューティングデバイス102のUSBポート106は、インターフェースチップ200、および/またはインターフェースチップに接続されたSATA記憶装置118に電力を供給することができ、一方、コンピューティングデバイスのeSATAポート104を、SATA記憶装置118とのデータの伝送に使用することができる。
【0031】
一実施形態では、インターフェースチップ200は、インターフェースチップ200のコントローラ112によって実行可能なソフトウェアインスタンス116を含む。ソフトウェアインスタンス116は、SATA記憶装置118を、複数のパーティション108〜110A−Nとして、コンピューティングデバイスのオペレーティングシステムに与えることができる。オペレーティングシステムは、例えば、Windows(登録商標)、Mac OS(登録商標)X、Linux(登録商標)、Unix(登録商標)、MacroSなどの、任意の適切なオペレーティングシステムとすることができる。
【0032】
一実施形態では、SATA記憶装置118のパーティション108の1つは、ブート可能な.ISOファイル(例えば、CDのイメージ)を含む、仮想CD−ROMパーティション(virtual CD-ROM partition)である。追加のパーティション110A−Nを、セキュアにし、認証プロセスの完了までそのままにすることができる。一実施形態では、セキュアなパーティション110A−N(例えば、パーティションを暗号化することができる)は、コンピューティングデバイスのオペレーティングシステムに対して可視ではなく、アンロックされる(例えば、暗号化解除される)ときのみデータのアクセスおよび記憶が可能になる。
【0033】
記憶装置118の第1のパーティション108におけるブート可能な.ISOファイルを、コンピューティングデバイスへのログオン要求および/またはSATA記憶装置へのアクセス要求に応答して、起動することができる。一実施形態では、ブート可能な.ISOファイルは、セキュリティアプリケーションを含み、ユーザ要求のシステムおよび/または記憶装置のアクセスに関するIDを確認する。一実施形態では、セキュリティアプリケーションは、パスワード入力のためのインターフェースを与える。他の実施形態では、RFID、指紋または他の生体認証識別子、パスワード、音声認識などの、1つまたは複数のタイプのID確認を使用することができる。
【0034】
セキュリティアプリケーションがユーザのIDを確認すると、ユーザのIDを確認したことを示すコマンドを、コントローラ112に送信することができる。一実施形態では、コントローラ112に送信されたコマンドは、SATA記憶装置の1つまたは複数のセキュアなパーティション110A−Nをアンロックするためのセキュリティキー(例えば、暗号化キー/復号化キー)を含むことができる。一実施形態では、ソフトウェアインスタンス116は、SATA記憶装置の1つまたは複数のセキュアなパーティション110A−Nをアンロックして、非セキュアのパーティション(unsecured partitions)110A−Nをオペレーティングシステムに与える。次いで、SATA記憶装置の非セキュアのパーティション110A−Nに、ユーザがアクセスすることができる。
【0035】
図2Aは、一実施形態にかかる、セキュリティアプリケーションによって提供される、パスワードの入力によるID確認のためのインターフェースのスクリーンショットの例を図示する。
【0036】
インターフェースは、SATA記憶装置の第1のパーティションに格納されたセキュリティアプリケーションによって起動される。一実施形態では、インターフェースは、ユーザに、パスワードをパスワード欄に入れるように指示する。パスワードを、表示されているオンスクリーンのキーボードによって入力することができる。一実施形態では、パスワードを、物理的なキーボードによって入力することができる。ユーザによってアクセスされることとなるSATA記憶装置の1つまたは複数のセキュアなパーティションをアンロックする前に、パスワードを使用して、ユーザのIDを確認することができる。他の実施形態では、RFID、音声識別子、指紋などの生体認証識別子などの識別子を使用して、ユーザのIDを確認することができる。
【0037】
図2Bは、一実施形態にかかる、パスワードの入力によるID確認のためのインターフェースの別のスクリーンショットの例を図示する。
【0038】
一実施形態では、インターフェースは、パスワードに加えて第2のコードを入力するための追加の欄を含む。第2のコードを、ユーザによって読み取られ、かつ「Bitmap Window(ビットマップウィンドウ)」の欄に入力される非マシン読み取り可能なフォーマット(non-machine readable format)(例えば、スクランブルされたビットマップ(scrambled bitmap))で、インターフェースに表示することができる。
【0039】
図3Aは、一実施形態にかかる、コンピューティングデバイスの複数のポートを介してコンピューティングデバイスと通信するインターフェースチップの例を図示する。コンピューティングデバイス302は、USBポート306A−Nおよび/またはeSATAポート304A−Nなどの、複数のインターフェースポートを含むことができる。コンピューティングデバイスは、図示されていないFIreWireポートなどの、USBポートおよび/またはeSATAポート以外のポートを有することもできる。
【0040】
一実施形態では、インターフェースチップ300は、コントローラ312を含む。インターフェースチップ300はさらに、eSATAインターフェース308、コンバータ310、および/またはUSBインターフェース320を含むことができる。324内に図示されるeSATAインターフェース308およびコンバータ310は、チップインターフェース300の内部にあるように示されているが、一部の実施形態では、eSATAインターフェース308およびコンバータ310は、インターフェースチップ300の外部にある。代替的に、一部の実施形態では、eSATAインターフェース308は、インターフェースチップ300の外部にあり、コンバータ310は、インターフェースチップ300の内部にある。同様に、USBインターフェース320は、インターフェースチップ300の外部または内部とすることができる。
【0041】
一実施形態では、コントローラ312は、eSATAインターフェース308、およびUSBインターフェース320を介して、それぞれ、少なくとも1つのeSATAポート304、および少なくとも1つのUSBポート306に結合される。USBインターフェース320は、コンピューティングデバイスの1つまたは複数のUSBポート306から、コントローラ312に電力を供給することができる。
【0042】
一部の実施形態では、コントローラ312、および/またはコントローラに結合されたSATA装置(例えば、記憶装置)の所要電力(power requirements)に依存して、複数のUSBポート306を利用することができる。SATA装置に電力を供給するのに利用されるUSBポートの数は、以下のメトリックの1つまたは複数に依存する可能性がある。そのメトリックは、アクティブなSATA装置(例えば、SATA記憶装置)の数、コンピューティングデバイスの電力供給/消費量、および/またはeSATAインターフェースポートのデータ転送速度(例えば、1.5Gbps、3.0Gbps、または6.0Gbps)などである。
【0043】
図3Bは、一実施形態にかかる、図3Aのコンピューティングデバイスと通信するインターフェースチップと結合された、複数のSATA記憶装置の例を図示する。一実施形態では、インターフェースチップ300は、1つまたは複数のSATA記憶装置318A−Nに接続される。一実施形態では、USBインターフェース320は、コンピューティングデバイスが、インターフェースチップ300に結合された1つまたは複数のSATA記憶装置に、1つまたは複数のUSBポート306A−Nを介して電力を供給することができる、パス(pathway)を提供する。USBインターフェース320は、コントローラ312の内部または外部とすることができる。
【0044】
図3A−3Bにおいて322内に図示されたコンバータ310および314を提供して、コントローラとSATAプロトコルとの間(例えば、コントローラとコンピューティングデバイスのeSATAポート304との間、またはコントローラとSATA装置318との間)で伝送される信号を変換することができる。変換は、SATAプロトコル以外のインターフェース規格と互換性があるコントローラの実施形態に、必要とされる。例えば、コントローラ312は、IDE(またはPATA)プロトコルと互換性があるコントローラとすることができる。したがって、コンバータ310および314は、IDEコントローラに入力して残すデータを変換する。
【0045】
一実施形態では、コントローラ312は、SATAコントローラである。したがって、コンバータ310および314は、データを結合するために、コントローラとeSATAポート、およびコントローラとSATA装置との間にそれぞれ存在している必要はない。同様に、eSATAインターフェース308は、コントローラの内部または外部とすることができる。
【0046】
図4は、一実施形態にかかる、1つまたは複数のSATA記憶装置に対するセキュアなアクセスを提供するプロセスを説明するフローチャートである。
【0047】
プロセス402では、SATA記憶装置の或るパーティションは、コンピューティングデバイスに、ブート可能なCD−ROMとして与えられる。一実施形態では、ブート可能なCD−ROMのパーティションは、ユーザのIDを確認するセキュリティアプリケーションを有する.ISOファイル(例えば、ディスクイメージ)を含む。
【0048】
プロセス404では、コンピューティングデバイスは、SATA記憶装置の第2のセキュアなパーティションにアクセスすることを制限される。制限解除されると、第2のパーティションは、オペレーティングシステムおよび/またはユーザによって使用されてアクセスされる、データドライブとすることができる。一部の実施形態では、複数のセキュアなパーティションを、SATA記憶装置内に提供することができる。
【0049】
一実施形態では、SATA記憶装置の第2のパーティションに格納されたデータは、コントローラ(例えば、ディスクコントローラ)に格納されたソフトウェアインスタンスにより、暗号化アルゴリズムによって、暗号化される。様々な暗号化アルゴリズム(例えば、3DES、Blowfish、DES−X、および/またはAESなど)を使用することができる。一実施形態では、暗号化キーは、SATA記憶装置の第1のパーティションに格納される。他の実施形態では、暗号化キーは、コントローラのソフトウェアインスタンスに格納される。
【0050】
プロセス406では、ID認証プロセスは、コンピューティングデバイスへのログオン要求の受信に応答して、またはコンピューティングデバイスがSATA記憶装置からのデータへのアクセスを試みるときに、開始される。ID認証プロセスを、SATA記憶装置の第1のパーティションに格納されたセキュリティアプリケーションによって、開始することができる。プロセス408では、ID認証プロセスは、RFID、パスワード、および/または指紋などの生体認証識別子などのID確認のための1つまたは複数の有効な識別子を入力するように、ユーザに促す。
【0051】
有効なID認証の受信に応答して、プロセス410では、SATA記憶装置のセキュアな第2のパーティションは、非セキュアにされ(例えば、暗号化解除され)、コンピューティングデバイスは、第2のパーティションに格納されたデータに対するアクセスを与えられる。一実施形態では、第2のパーティションは、コントローラのソフトウェアインスタンスによって非セキュアにされる。SATAドライブの第1のパーティションに格納されたセキュリティアプリケーションは、ID確認を実施し、一実施形態では、ユーザのIDが確認されたことを示すコマンドを、ソフトウェアインスタンスに送信する。コマンドは、SATA記憶装置の1つまたは複数のセキュアなパーティションをアンロックするために暗号化キーを、さらに含むことができる。
【0052】
図5は、コンピュータシステム500の例示的な形態におけるマシンの図表示を示しており、コンピュータシステム500内において、本明細書で検討される1つまたは複数の方法のいずれかをマシンに実施させるための命令のセットを、実行することができる。代替的な実施形態では、マシンは、スタンドアローンの装置として動作し、または他のマシンに接続(例えば、ネットワーク化)されることもある。ネットワーク化された配置では、マシンは、クライアントサーバネットワーク環境においてサーバまたはクライアントマシンの容量内で動作することができ、あるいはピアツーピア(または分散型の)ネットワーク環境においてピアマシンとして動作することができる。マシンは、サーバーコンピュータ、クライアントコンピュータ、パーソナルコンピュータ(PC)、タブレットPC、セットトップボックス(STB)、携帯情報端末(PDA)、携帯電話、ウェブアプライアンス、ネットワークルータ、スイッチまたはブリッジ、あるいはマシンによって実行されるアクションを指定する(順次または他の)命令のセットを実行することができる任意のマシンとすることができる。
【0053】
マシン読み取り可能な媒体は、例示的な実施形態では単一の媒体であるように示されているが、「マシン読み取り可能な媒体」という用語は、複数の命令の1つまたは複数のセットを格納する、単一の媒体またはマルチメディア(例えば、集中データベースまたは分散データベース、ならびに/あるいは関連するキャッシュおよびサーバ)を含むように解釈されるべきである。「マシン読み取り可能な媒体」という用語は、マシンによる実行のために、マシンに本発明の1つまたは複数の方法のいずれかを実行させる複数の命令のセットを格納し、コード化し、または実行することができる任意の媒体を含むようにも解釈されるべきである。一般に、本開示の実施形態を実装するために実行されるルーチンを、オペレーティングシステムまたは特定のアプリケーションの一部分、コンポーネント、プログラム、オブジェクト、モジュールまたは「コンピュータプログラム」と称される命令のシーケンスとして実装することができる。コンピュータプログラムは、典型的に、コンピュータ内の様々なメモリと記憶装置において、様々な時点で設定された1つまたは複数の命令を備え、そしてコンピュータ内で1つまたは複数のプロセッサによって読み取られて、実行されると、コンピュータに、本開示の種々の態様を含む要素を実行する操作を実施させる。
【0054】
さらに、実施形態を、完全に機能するコンピュータおよびコンピュータシステムとの関連で説明してきたが、当業者は、様々な実施形態をプログラム生成物として様々な形態で流通させることができること、および、本開示は、その流通(distribution)を実際にもたらすために使用されるマシンまたはコンピュータ読み取り可能な媒体の特定のタイプに関わらず、等しく適用することを、理解するであろう。コンピュータ読み取り可能な媒体の例には、揮発性および不揮発性のメモリ装置、フロッピおよび他の取り外し可能なディスク、ハードディスクドライブ、光ディスク(例えば、CD ROM、DVDなど)などの追記型の媒体(recordable type media)、ならびに、デジタルおよびアナログの通信リンクなどの伝送型の媒体(transmission type media)、または信号を含むが、これらに限定されない。
【0055】
特定の例示的な実施形態に関連して実施形態を説明してきたが、特許請求の範囲において示される広範な精神と範囲から逸脱することなく、これらの実施形態に様々な修正および変更を行うことができることは、明らかであろう。したがって、本明細書および図面は、限定的な意味ではなく、例示的な意味で考慮されるべきである。
【図面の簡単な説明】
【0056】
【図1A】一実施形態にかかる、コントローラを通じてコンピューティングデバイスと通信する外部接続を示す図である。
【図1B】一実施形態にかかる、コンピューティングデバイスのeSATAポートおよびUSBポートを介して、インターフェースチップを通じてコンピューティングデバイスと通信するSATA記憶装置を示す図である。
【図2A】一実施形態にかかる、パスワードの入力によるID確認のためのインターフェースの例示的なスクリーンショットを示す図である。
【図2B】一実施形態にかかる、パスワードの入力によるID確認のためのインターフェースの別の例示的なスクリーンショットを示す図である。
【図3A】一実施形態にかかる、コンピューティングデバイスの複数のポートを介してコンピューティングデバイスと通信するインターフェースチップの例を示す図である。
【図3B】一実施形態にかかる、図3Aのコンピューティングデバイスと通信するインターフェースチップに結合された、複数のSATA記憶装置の例を示す図である。
【図4】一実施形態にかかる、1つまたは複数のSATA記憶装置に対するセキュアなアクセスを提供するプロセスを示すフローチャートである。
【図5】一実施形態にかかる、マシン読み取り可能な媒体を有するコンピューティングデバイスのブロック図である。
【符号の説明】
【0057】
102 コンピューティングデバイス
104 eSATAポート
106 USBポート
108 CD−ROMパーティション
110A パーティション2
110B パーティション3
110N パーティションN
112 コントローラ
116 ソフトウェアインスタンス
118 SATA記憶装置
200 インターフェースチップ
300 インターフェースチップ
302 コンピューティングデバイス
304A eSATAポート
304N eSATAポート
306A USBポート
306N USBポート
308 eSATAインターフェース
310 コンバータ
312 コントローラ
314 コンバータ
316 ソフトウェアインスタンス
316 SATAインターフェース
318A SATA記憶装置
320 USBインターフェース
500 コンピュータシステム
【技術分野】
【0001】
本発明は、外部シリアルATA(eSATA:external Serial Advanced Technology Attachment)装置にセキュリティを提供するシステムおよび方法に関する。
【背景技術】
【0002】
外部記憶装置(external storage device)を使用して、例えば、デスクトップコンピュータおよび/またはラップトップコンピュータの内部記憶装置(internal storage device)に格納されたデータから、別の記憶装置にデータのバックアップを取ることがしばしば行われている。外部記憶装置は、USBポート、eSATAポート、FireWireポートなどの様々なタイプのポートを介して、コンピューティングデバイスに接続される。さらに、外部記憶装置は、ホットスワップ可能であることが多い、すなわち、コンピューティングデバイスに電源が入っている間に、外部記憶装置をコンピューティングデバイスから取り外すこと、およびこれに接続することができる。
【0003】
したがって、データのバックアップを取ることに加えて、外部記憶装置を使用して、あるコンピューティングデバイスから別のコンピューティングデバイスにデータを移送することもでき、外部装置(external device)の拡張性およびポータブルデジタルデータの必要性によって、さらに容易にすることができる。
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、ノートブック、ポータブル記憶装置(portable storage device)などのポータブル装置は容易に紛失され、その容易さが、データのセキュリティと個人のプライバシーに対して脅威となっている。ポータブル記憶装置の紛失は、例えば、個人のプライバシーおよび/または医療上の情報の紛失、財政上の損失、ならびに個人情報の盗難(identity theft)による、不利益な結果をもたらす可能性がある。
【課題を解決するための手段】
【0005】
eSATA装置にセキュリティを提供するシステムおよび方法を、本明細書で説明する。本開示の一部の実施形態を、このセクションにおいて要約する。
【0006】
本発明の一態様は、コンピューティングデバイスを外部記憶装置に結合するためのインターフェースを提供し、上記インターフェースは、コンピューティングデバイスと記憶装置を結合するためのコントローラおよびポートを有しており、上記コントローラは、記憶装置を、複数のパーティションとしてコンピューティングデバイスに与える(present)ように配置されており、その1つはROM(Read Only Memory)であり、かつそのパーティションまたは相互のパーティションはセキュアにされている。この上記コントローラは、ROMおよび記憶装置に格納されたセキュリティアプリケーションと情報のやりとりをし、例えば識別コードのような有効なセキュリティコードの規定において、コンピューティングデバイスが、そのパーティションまたは相互のパーティションにアクセスすることを可能にするように配置されている。記憶装置は、本発明の実施形態ではSATA記憶装置である。
【0007】
本発明のある態様は、eSATA記憶装置の第1のパーティションを作成するシステムにおいて具現化される方法であって、コンピューティングデバイスに、eSATA記憶装置の第1のパーティションをROMとして与え、コンピューティングデバイスがeSATA記憶装置のセキュアな第2のパーティションにアクセスすることを制限し、有効なID認証(valid identity authentication)の受信に応答して、eSATA記憶装置の第2のパーティションに対するアクセスを制限解除する方法を提供する。
【0008】
一実施形態では、コンピューティングデバイスからのログオン要求の受信に応答して、第1のパーティションに格納されるID認証プロセス(identity authentication process)が開始される。さらに、一実施形態では、ディスクコントローラに格納されたプロセスは、SATA(Serial Advanced Technology Attachment)記憶装置の第1のパーティションに格納されたプロセスから暗号化キー(encryption key)を受信し、ディスクコントローラに格納されたプロセスは、その暗号化キーを使用して、SATA記憶装置の第2のパーティションを暗号化解除する。
【0009】
本発明のさらなる態様は、コンピューティングデバイスに、外部記憶装置の第1のパーティションをROMとして与えることと、コンピューティングデバイスが外部記憶装置のセキュアな第2のパーティションにアクセスすることを制限することと、有効なID認証の受信に応答して、外部記憶装置の第2のパーティションに対するアクセスを制限解除することとを含む方法を提供する。一実施形態では、上記方法は、コンピューティングデバイスの第1のタイプの第1のポートを介して、ディスクコントローラと外部装置との間でデータを通信することと、少なくともコンピューティングデバイスの第2のタイプの第2のポートを介して、ディスクコントローラおよび外部装置に電力を供給することとをさらに含む。外部記憶装置は、SATAとすることができる。コンピューティングデバイスの第1のタイプの第1のポートは、eSATAポートとすることができる。
【0010】
コンピューティングデバイスの第2のタイプの第2のポートは、USB(Universal Serial Bus)ポートとすることができる。上記方法は、ディスクコントローラによって受信される第1のシリアル・データストリーム(serial data stream)を、パラレル・データストリーム(parallel data stream)に変換することをさらに含むことができ、上記第1のシリアル・データストリームは、コンピューティングデバイスの第1のタイプの第1のポートとの接続を介して受信される。上記方法は、パラレル・データストリームを、第2のシリアル・データストリームに変換することをさらに含むことができ、第2のシリアル・データストリームは、ディスクコントローラからeSATA装置に伝送される。
【0011】
本発明は、コンピューティングデバイスに、eSATA記憶装置の第1のパーティションをROMとして与える第1のユニットと、コンピューティングデバイスがセキュアな第2のパーティションにアクセスすることを制限する第2のユニットと、eSATA記憶装置の第2のパーティションを制限解除し、有効なID認証の受信に応答して、コンピューティングデバイスに、第2のパーティション対するアクセスを提供する第3のユニットとを含むシステムも提供する。
【0012】
本発明は、実行されると、コンピューティングデバイスにeSATA記憶装置の第1のパーティションをROMとして与えることと、コンピューティングデバイスがeSATA記憶装置のセキュアな第2のパーティションにアクセスすることを制限することと、有効なID認証の受信に応答してeSATA記憶装置の第2のパーティションに対するアクセスを制限解除することとを含む方法を実施する複数の命令のセットを格納したマシン読み取り可能な媒体も提供する。マシン読み取り可能な媒体に格納された方法は、コンピューティングデバイスからのログオン要求の受信に応答して、第1のパーティションに格納されたID認証プロセスを開始する命令をさらに含むことができる。マシン読み取り可能な媒体は、ディスクコントローラに格納された、SATA記憶装置の第1のパーティションに格納されたプロセスから暗号化キーを受信するプロセスを実装する命令をさらに含むことができ、ディスクコントローラに格納された上記プロセスは、上記暗号化キーを使用して、SATA記憶装置の第2のパーティションを暗号化解除する。
【0013】
本開示は、これら方法を実施する複数の方法および装置、およびこれら方法を実施する処理システムを含め、処理システムで実行されるとそのシステムにこれら方法を実施させるコンピュータ読み取り可能な媒体を含む。
【0014】
本発明の他の特徴は、添付の図面および以下の詳細な説明から明らかになるであろう。
【0015】
本開示は、同様の参照番号が同様の要素を示す添付の図面の図で、限定ではなく例示の目的で図示される。
【発明を実施するための最良の形態】
【0016】
以下の説明および図面は、例示的なものであり、限定として解釈されるべきでない。多くの具体的な詳細は、本開示の理解を提供するために記述されている。しかし、ある例では、説明をあいまいにするのを避けるために、周知のまたは従来の詳細については説明しない。
【0017】
本開示の実施形態には、外部記憶装置にセキュリティを提供するシステムおよび方法が含まれる。
【0018】
外部装置は、コンピューティングデバイスの1つまたは複数のインターフェースポートを介して、コンピューティングデバイスと通信することができる。インターフェースポートは、USBインターフェース、FireWire(IEEE1394)インターフェース、および/またはeSATAインターフェースなどの多くのインターフェースの1つとすることができる。外部記憶装置を、コンピューティングデバイスの1つまたは複数のインターフェースポートと結合されるディスクコントローラとさらに接続することができる。ディスクコントローラのタイプは、外部記憶装置のインターフェースに依存する。ディスクコントローラは、マザーボードと別個の装置、またはマザーボードに組み込まれた装置とすることができる。
【0019】
例えば、SATA記憶装置を、コンピューティングデバイスのeSATAポートと結合されるコントローラに接続することができる。一実施形態では、コントローラは、ソフトウェアインスタンスを含み、コントローラと結合されるSATA記憶装置を、複数のパーティションとしてコンピューティングデバイスに与える。したがって、コンピューティングデバイスは、SATA記憶装置を、複数の記憶装置または複数のパーティションとしてみることができる。
【0020】
一実施形態では、SATA記憶装置のパーティションの1つは、ブート可能なROM(bootable Read Only Memory)としてコンピューティングデバイスに与えられ、この例では、CD−ROM(例えば、ディスクイメージ、または.ISOファイル)としてコンピューティングデバイスのオペレーティングシステムに与えられ、SATA記憶装置の第2のパーティションは、最初はロックされている(例えば、セキュアであるか、または暗号化されている)。SATA記憶装置の第2のパーティションがロックされている間、SATA記憶装置の第2のパーティションは、コンピューティングデバイスによって識別されることはない。
【0021】
コンピューティングデバイスへのログオン要求、またはSATA記憶装置へのアクセス要求を受信すると、SATA記憶装置のCD−ROMのパーティションは、自動的に開始され得る実行ファイル(executable)を含む。一実施形態では、実行ファイルは、識別目的(identification purposes)のセキュリティアプリケーション(security application)を含む。例えば、セキュリティアプリケーションは、RFID、パスワード、および/または指紋などの他の生体認証識別子(biometrics identifiers)などを含め、様々な識別子(identifiers)の入力により、ユーザのIDが確認されるようなログオン手順(logon procedure)を、ユーザに対して開始する。
【0022】
識別手順が完了すると、SATA記憶装置のCD−ROMパーティションにおけるセキュリティアプリケーションは、完了をコントローラに知らせる。したがって、一実施形態では、コントローラにおけるソフトウェアインスタンスは、SATA記憶装置の第2のパーティションをアンロックする(例えば、暗号化解除する)。第2のパーティションは、次いで、オペレーティングシステムとコンピューティングデバイスから、可視(visible)かつアクセス可能となる。場合によっては、セキュリティアプリケーションは、SATA記憶装置の第2のパーティションをアンロックする(例えば、暗号化解除する)ために、セキュリティキー(例えば、暗号化キー)をソフトウェアインスタンスに送信する。
【0023】
図1Aは、一実施形態にかかる、コントローラ112を通じてコンピューティングデバイス102と通信するSATA記憶装置118を図示する。一実施形態では、コントローラ112は、長さが比較的長い相互接続(interconnection)を利用するeSATA接続(eSATA connection)を介して、コンピューティングデバイスとインターフェースをとる。コントローラ112は、eSATA接続またはSATAベースの接続を使用して、外部SATA記憶装置とインターフェースをとることができる。さらに、SATA記憶装置は、本明細書で説明され図示されるように、外部SATA記憶装置(例えば、eSATA)、あるいは1.5Gbps、3Gbps、またはそれ以上の速さでデータの転送をサポートする他のSATA装置のいずれかを含む。
【0024】
一実施形態では、コンピューティングデバイス102は、SATA記憶装置(例えば、SATA記憶装置118)と結合することができるコンピューティングデバイスである。例えば、コンピューティングデバイス102は、SATAインターフェースプロトコルをサポートするチップセットを含むことができる。コンピューティングデバイスは、SATA記憶装置と接続することができる外部ポートを有することもできる。
【0025】
代替的に、コンピューティングデバイスは、パネル外部からシャーシ(例えば、ブラケットコネクタ(bracket connector))までアクセス可能なeSATAポートを有するマザーボードに取り付けられた、PCIベースのSATAコントローラを有することができる。SATA装置は、したがって、外部的にアクセス可能なeSATAポートを介するeSATAコントローラカードを通じて、コンピューティングデバイスに接続することができる。
【0026】
コンピューティングデバイス102は、eSATAのインターフェース機能を有するPCMCIAベースのコントローラを利用するラップトップコンピュータ(例えば、ノートブックまたはポータブルのコンピュータ)とすることができる。場合によっては、eSATAインターフェースプロトコルの機能には、PCI−Expressカードが提供されることがある。コンピューティングデバイス102は、PDA、ラップトップ、デスクトップコンピュータ、電話、携帯電話、ポータブルデバイス、および/またはサーバ装置などのいずれかとすることができる。
【0027】
コントローラ112は、記憶装置を制御する回路と関連付けられるチップである。コントローラは、マザーボードへの組み込み(built-in)とすること、またはマザーボードと別個のスタンドアローンの装置に含めることができる。一般に、コントローラ112は、IDE(PATA)インターフェース、EIDEインターフェース、SCSIインターフェース、SATAインターフェース、および/またはeSATAインターフェースなどの、多くのインターフェースの1つまたは複数を有することができる。例えば、コントローラ112を、SATA記憶装置118に結合することができる。一実施形態では、コントローラがSATA記憶装置と通信することができるように、コントローラ112は、eSATAコンバータに対するIDEに結合されるIDE/EIDEインターフェースを有する。
【0028】
図1Bは、一実施形態にかかる、コンピューティングデバイス102のeSATAポート104およびUSBポート106を介して、インターフェースチップ200を通してコンピューティングデバイス102と通信する、SATA記憶装置118を図示する。
【0029】
コンピューティングデバイス102は、USBポート106および/またはeSATAポート104などの、複数のインターフェースポートを含むことができる。eSATAおよび/またはUSBの接続は、マザーボードへの組み込みとすること、あるいは外部のPCIブラケット(例えば、ホストバスアダプタ、またはHBA)またはカードベースのコントローラを通じたアドオン(added-on)とすることができる。コンピューティングデバイスは、図示されていないFireWire(IEEE1394)ポートなどの、USBポートまたはeSATAポート以外の追加のポートを有することもできる。
【0030】
一実施形態では、インターフェースチップ200は、コンピューティングデバイスのeSATAポート104およびUSBポート106に結合される。コンピューティングデバイス102のUSBポート106は、インターフェースチップ200、および/またはインターフェースチップに接続されたSATA記憶装置118に電力を供給することができ、一方、コンピューティングデバイスのeSATAポート104を、SATA記憶装置118とのデータの伝送に使用することができる。
【0031】
一実施形態では、インターフェースチップ200は、インターフェースチップ200のコントローラ112によって実行可能なソフトウェアインスタンス116を含む。ソフトウェアインスタンス116は、SATA記憶装置118を、複数のパーティション108〜110A−Nとして、コンピューティングデバイスのオペレーティングシステムに与えることができる。オペレーティングシステムは、例えば、Windows(登録商標)、Mac OS(登録商標)X、Linux(登録商標)、Unix(登録商標)、MacroSなどの、任意の適切なオペレーティングシステムとすることができる。
【0032】
一実施形態では、SATA記憶装置118のパーティション108の1つは、ブート可能な.ISOファイル(例えば、CDのイメージ)を含む、仮想CD−ROMパーティション(virtual CD-ROM partition)である。追加のパーティション110A−Nを、セキュアにし、認証プロセスの完了までそのままにすることができる。一実施形態では、セキュアなパーティション110A−N(例えば、パーティションを暗号化することができる)は、コンピューティングデバイスのオペレーティングシステムに対して可視ではなく、アンロックされる(例えば、暗号化解除される)ときのみデータのアクセスおよび記憶が可能になる。
【0033】
記憶装置118の第1のパーティション108におけるブート可能な.ISOファイルを、コンピューティングデバイスへのログオン要求および/またはSATA記憶装置へのアクセス要求に応答して、起動することができる。一実施形態では、ブート可能な.ISOファイルは、セキュリティアプリケーションを含み、ユーザ要求のシステムおよび/または記憶装置のアクセスに関するIDを確認する。一実施形態では、セキュリティアプリケーションは、パスワード入力のためのインターフェースを与える。他の実施形態では、RFID、指紋または他の生体認証識別子、パスワード、音声認識などの、1つまたは複数のタイプのID確認を使用することができる。
【0034】
セキュリティアプリケーションがユーザのIDを確認すると、ユーザのIDを確認したことを示すコマンドを、コントローラ112に送信することができる。一実施形態では、コントローラ112に送信されたコマンドは、SATA記憶装置の1つまたは複数のセキュアなパーティション110A−Nをアンロックするためのセキュリティキー(例えば、暗号化キー/復号化キー)を含むことができる。一実施形態では、ソフトウェアインスタンス116は、SATA記憶装置の1つまたは複数のセキュアなパーティション110A−Nをアンロックして、非セキュアのパーティション(unsecured partitions)110A−Nをオペレーティングシステムに与える。次いで、SATA記憶装置の非セキュアのパーティション110A−Nに、ユーザがアクセスすることができる。
【0035】
図2Aは、一実施形態にかかる、セキュリティアプリケーションによって提供される、パスワードの入力によるID確認のためのインターフェースのスクリーンショットの例を図示する。
【0036】
インターフェースは、SATA記憶装置の第1のパーティションに格納されたセキュリティアプリケーションによって起動される。一実施形態では、インターフェースは、ユーザに、パスワードをパスワード欄に入れるように指示する。パスワードを、表示されているオンスクリーンのキーボードによって入力することができる。一実施形態では、パスワードを、物理的なキーボードによって入力することができる。ユーザによってアクセスされることとなるSATA記憶装置の1つまたは複数のセキュアなパーティションをアンロックする前に、パスワードを使用して、ユーザのIDを確認することができる。他の実施形態では、RFID、音声識別子、指紋などの生体認証識別子などの識別子を使用して、ユーザのIDを確認することができる。
【0037】
図2Bは、一実施形態にかかる、パスワードの入力によるID確認のためのインターフェースの別のスクリーンショットの例を図示する。
【0038】
一実施形態では、インターフェースは、パスワードに加えて第2のコードを入力するための追加の欄を含む。第2のコードを、ユーザによって読み取られ、かつ「Bitmap Window(ビットマップウィンドウ)」の欄に入力される非マシン読み取り可能なフォーマット(non-machine readable format)(例えば、スクランブルされたビットマップ(scrambled bitmap))で、インターフェースに表示することができる。
【0039】
図3Aは、一実施形態にかかる、コンピューティングデバイスの複数のポートを介してコンピューティングデバイスと通信するインターフェースチップの例を図示する。コンピューティングデバイス302は、USBポート306A−Nおよび/またはeSATAポート304A−Nなどの、複数のインターフェースポートを含むことができる。コンピューティングデバイスは、図示されていないFIreWireポートなどの、USBポートおよび/またはeSATAポート以外のポートを有することもできる。
【0040】
一実施形態では、インターフェースチップ300は、コントローラ312を含む。インターフェースチップ300はさらに、eSATAインターフェース308、コンバータ310、および/またはUSBインターフェース320を含むことができる。324内に図示されるeSATAインターフェース308およびコンバータ310は、チップインターフェース300の内部にあるように示されているが、一部の実施形態では、eSATAインターフェース308およびコンバータ310は、インターフェースチップ300の外部にある。代替的に、一部の実施形態では、eSATAインターフェース308は、インターフェースチップ300の外部にあり、コンバータ310は、インターフェースチップ300の内部にある。同様に、USBインターフェース320は、インターフェースチップ300の外部または内部とすることができる。
【0041】
一実施形態では、コントローラ312は、eSATAインターフェース308、およびUSBインターフェース320を介して、それぞれ、少なくとも1つのeSATAポート304、および少なくとも1つのUSBポート306に結合される。USBインターフェース320は、コンピューティングデバイスの1つまたは複数のUSBポート306から、コントローラ312に電力を供給することができる。
【0042】
一部の実施形態では、コントローラ312、および/またはコントローラに結合されたSATA装置(例えば、記憶装置)の所要電力(power requirements)に依存して、複数のUSBポート306を利用することができる。SATA装置に電力を供給するのに利用されるUSBポートの数は、以下のメトリックの1つまたは複数に依存する可能性がある。そのメトリックは、アクティブなSATA装置(例えば、SATA記憶装置)の数、コンピューティングデバイスの電力供給/消費量、および/またはeSATAインターフェースポートのデータ転送速度(例えば、1.5Gbps、3.0Gbps、または6.0Gbps)などである。
【0043】
図3Bは、一実施形態にかかる、図3Aのコンピューティングデバイスと通信するインターフェースチップと結合された、複数のSATA記憶装置の例を図示する。一実施形態では、インターフェースチップ300は、1つまたは複数のSATA記憶装置318A−Nに接続される。一実施形態では、USBインターフェース320は、コンピューティングデバイスが、インターフェースチップ300に結合された1つまたは複数のSATA記憶装置に、1つまたは複数のUSBポート306A−Nを介して電力を供給することができる、パス(pathway)を提供する。USBインターフェース320は、コントローラ312の内部または外部とすることができる。
【0044】
図3A−3Bにおいて322内に図示されたコンバータ310および314を提供して、コントローラとSATAプロトコルとの間(例えば、コントローラとコンピューティングデバイスのeSATAポート304との間、またはコントローラとSATA装置318との間)で伝送される信号を変換することができる。変換は、SATAプロトコル以外のインターフェース規格と互換性があるコントローラの実施形態に、必要とされる。例えば、コントローラ312は、IDE(またはPATA)プロトコルと互換性があるコントローラとすることができる。したがって、コンバータ310および314は、IDEコントローラに入力して残すデータを変換する。
【0045】
一実施形態では、コントローラ312は、SATAコントローラである。したがって、コンバータ310および314は、データを結合するために、コントローラとeSATAポート、およびコントローラとSATA装置との間にそれぞれ存在している必要はない。同様に、eSATAインターフェース308は、コントローラの内部または外部とすることができる。
【0046】
図4は、一実施形態にかかる、1つまたは複数のSATA記憶装置に対するセキュアなアクセスを提供するプロセスを説明するフローチャートである。
【0047】
プロセス402では、SATA記憶装置の或るパーティションは、コンピューティングデバイスに、ブート可能なCD−ROMとして与えられる。一実施形態では、ブート可能なCD−ROMのパーティションは、ユーザのIDを確認するセキュリティアプリケーションを有する.ISOファイル(例えば、ディスクイメージ)を含む。
【0048】
プロセス404では、コンピューティングデバイスは、SATA記憶装置の第2のセキュアなパーティションにアクセスすることを制限される。制限解除されると、第2のパーティションは、オペレーティングシステムおよび/またはユーザによって使用されてアクセスされる、データドライブとすることができる。一部の実施形態では、複数のセキュアなパーティションを、SATA記憶装置内に提供することができる。
【0049】
一実施形態では、SATA記憶装置の第2のパーティションに格納されたデータは、コントローラ(例えば、ディスクコントローラ)に格納されたソフトウェアインスタンスにより、暗号化アルゴリズムによって、暗号化される。様々な暗号化アルゴリズム(例えば、3DES、Blowfish、DES−X、および/またはAESなど)を使用することができる。一実施形態では、暗号化キーは、SATA記憶装置の第1のパーティションに格納される。他の実施形態では、暗号化キーは、コントローラのソフトウェアインスタンスに格納される。
【0050】
プロセス406では、ID認証プロセスは、コンピューティングデバイスへのログオン要求の受信に応答して、またはコンピューティングデバイスがSATA記憶装置からのデータへのアクセスを試みるときに、開始される。ID認証プロセスを、SATA記憶装置の第1のパーティションに格納されたセキュリティアプリケーションによって、開始することができる。プロセス408では、ID認証プロセスは、RFID、パスワード、および/または指紋などの生体認証識別子などのID確認のための1つまたは複数の有効な識別子を入力するように、ユーザに促す。
【0051】
有効なID認証の受信に応答して、プロセス410では、SATA記憶装置のセキュアな第2のパーティションは、非セキュアにされ(例えば、暗号化解除され)、コンピューティングデバイスは、第2のパーティションに格納されたデータに対するアクセスを与えられる。一実施形態では、第2のパーティションは、コントローラのソフトウェアインスタンスによって非セキュアにされる。SATAドライブの第1のパーティションに格納されたセキュリティアプリケーションは、ID確認を実施し、一実施形態では、ユーザのIDが確認されたことを示すコマンドを、ソフトウェアインスタンスに送信する。コマンドは、SATA記憶装置の1つまたは複数のセキュアなパーティションをアンロックするために暗号化キーを、さらに含むことができる。
【0052】
図5は、コンピュータシステム500の例示的な形態におけるマシンの図表示を示しており、コンピュータシステム500内において、本明細書で検討される1つまたは複数の方法のいずれかをマシンに実施させるための命令のセットを、実行することができる。代替的な実施形態では、マシンは、スタンドアローンの装置として動作し、または他のマシンに接続(例えば、ネットワーク化)されることもある。ネットワーク化された配置では、マシンは、クライアントサーバネットワーク環境においてサーバまたはクライアントマシンの容量内で動作することができ、あるいはピアツーピア(または分散型の)ネットワーク環境においてピアマシンとして動作することができる。マシンは、サーバーコンピュータ、クライアントコンピュータ、パーソナルコンピュータ(PC)、タブレットPC、セットトップボックス(STB)、携帯情報端末(PDA)、携帯電話、ウェブアプライアンス、ネットワークルータ、スイッチまたはブリッジ、あるいはマシンによって実行されるアクションを指定する(順次または他の)命令のセットを実行することができる任意のマシンとすることができる。
【0053】
マシン読み取り可能な媒体は、例示的な実施形態では単一の媒体であるように示されているが、「マシン読み取り可能な媒体」という用語は、複数の命令の1つまたは複数のセットを格納する、単一の媒体またはマルチメディア(例えば、集中データベースまたは分散データベース、ならびに/あるいは関連するキャッシュおよびサーバ)を含むように解釈されるべきである。「マシン読み取り可能な媒体」という用語は、マシンによる実行のために、マシンに本発明の1つまたは複数の方法のいずれかを実行させる複数の命令のセットを格納し、コード化し、または実行することができる任意の媒体を含むようにも解釈されるべきである。一般に、本開示の実施形態を実装するために実行されるルーチンを、オペレーティングシステムまたは特定のアプリケーションの一部分、コンポーネント、プログラム、オブジェクト、モジュールまたは「コンピュータプログラム」と称される命令のシーケンスとして実装することができる。コンピュータプログラムは、典型的に、コンピュータ内の様々なメモリと記憶装置において、様々な時点で設定された1つまたは複数の命令を備え、そしてコンピュータ内で1つまたは複数のプロセッサによって読み取られて、実行されると、コンピュータに、本開示の種々の態様を含む要素を実行する操作を実施させる。
【0054】
さらに、実施形態を、完全に機能するコンピュータおよびコンピュータシステムとの関連で説明してきたが、当業者は、様々な実施形態をプログラム生成物として様々な形態で流通させることができること、および、本開示は、その流通(distribution)を実際にもたらすために使用されるマシンまたはコンピュータ読み取り可能な媒体の特定のタイプに関わらず、等しく適用することを、理解するであろう。コンピュータ読み取り可能な媒体の例には、揮発性および不揮発性のメモリ装置、フロッピおよび他の取り外し可能なディスク、ハードディスクドライブ、光ディスク(例えば、CD ROM、DVDなど)などの追記型の媒体(recordable type media)、ならびに、デジタルおよびアナログの通信リンクなどの伝送型の媒体(transmission type media)、または信号を含むが、これらに限定されない。
【0055】
特定の例示的な実施形態に関連して実施形態を説明してきたが、特許請求の範囲において示される広範な精神と範囲から逸脱することなく、これらの実施形態に様々な修正および変更を行うことができることは、明らかであろう。したがって、本明細書および図面は、限定的な意味ではなく、例示的な意味で考慮されるべきである。
【図面の簡単な説明】
【0056】
【図1A】一実施形態にかかる、コントローラを通じてコンピューティングデバイスと通信する外部接続を示す図である。
【図1B】一実施形態にかかる、コンピューティングデバイスのeSATAポートおよびUSBポートを介して、インターフェースチップを通じてコンピューティングデバイスと通信するSATA記憶装置を示す図である。
【図2A】一実施形態にかかる、パスワードの入力によるID確認のためのインターフェースの例示的なスクリーンショットを示す図である。
【図2B】一実施形態にかかる、パスワードの入力によるID確認のためのインターフェースの別の例示的なスクリーンショットを示す図である。
【図3A】一実施形態にかかる、コンピューティングデバイスの複数のポートを介してコンピューティングデバイスと通信するインターフェースチップの例を示す図である。
【図3B】一実施形態にかかる、図3Aのコンピューティングデバイスと通信するインターフェースチップに結合された、複数のSATA記憶装置の例を示す図である。
【図4】一実施形態にかかる、1つまたは複数のSATA記憶装置に対するセキュアなアクセスを提供するプロセスを示すフローチャートである。
【図5】一実施形態にかかる、マシン読み取り可能な媒体を有するコンピューティングデバイスのブロック図である。
【符号の説明】
【0057】
102 コンピューティングデバイス
104 eSATAポート
106 USBポート
108 CD−ROMパーティション
110A パーティション2
110B パーティション3
110N パーティションN
112 コントローラ
116 ソフトウェアインスタンス
118 SATA記憶装置
200 インターフェースチップ
300 インターフェースチップ
302 コンピューティングデバイス
304A eSATAポート
304N eSATAポート
306A USBポート
306N USBポート
308 eSATAインターフェース
310 コンバータ
312 コントローラ
314 コンバータ
316 ソフトウェアインスタンス
316 SATAインターフェース
318A SATA記憶装置
320 USBインターフェース
500 コンピュータシステム
【特許請求の範囲】
【請求項1】
コンピューティングデバイスに、eSATA記憶装置の第1のパーティションをROMとして与えることと、
前記コンピューティングデバイスが前記eSATA記憶装置のセキュアな第2のパーティションにアクセスすることを制限することと、
有効なID認証の受信に応答して、前記eSATA記憶装置の前記第2のパーティションに対するアクセスを制限解除することと
を含むことを特徴とする方法。
【請求項2】
前記コンピューティングデバイスからのログオン要求の受信に応答して、前記第1のパーティションに格納されるID認証プロセスを開始することをさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記eSATA記憶装置の前記第2のパーティションは、暗号化されることを特徴する請求項1または2に記載の方法。
【請求項4】
前記eSATA記憶装置の前記第2のパーティションに対するアクセスを前記コンピューティングデバイスに提供することは、前記第2のパーティションを暗号化解除することを含むことを特徴とする請求項3に記載の方法。
【請求項5】
前記ID認証プロセスは、RFID、パスワード、または生体認証識別子の少なくとも1つを確認することを含むことを特徴する請求項1から4のいずれかに記載の方法。
【請求項6】
前記SATA記憶装置の外部のディスクコントローラに格納されたプロセスを使用して、前記SATA記憶装置の前記第2のパーティションを暗号化解除することをさらに含むことを特徴とする請求項1から5のいずれかに記載の方法。
【請求項7】
ディスクコントローラに格納されたプロセスは、前記SATA記憶装置の前記第1のパーティションに格納されたプロセスから暗号化キーを受信し、前記ディスクコントローラに格納されたプロセスは、前記暗号化キーを使用して、前記SATA記憶装置の前記第2のパーティションを暗号化解除することを特徴とする請求項1から6のいずれかに記載の方法。
【請求項8】
前記コンピューティングデバイスの第1のタイプの第1のポートを介して、ディスクコントローラと前記eSATA装置との間でデータを通信することと、
少なくとも前記コンピューティングデバイスの第2のタイプの第2のポートを介して、前記ディスクコントローラおよび前記eSATA装置に電力を供給することと
をさらに含むことを特徴とする請求項1から7のいずれかに記載の方法。
【請求項9】
コンピューティングデバイスに、eSATA記憶装置の第1のパーティションをROMとして与えるための手段と、
前記コンピューティングデバイスが前記eSATA記憶装置のセキュアな第2のパーティションにアクセスすることを制限するための手段と、
有効なID認証の受信に応答して、前記eSATA記憶装置の前記第2のパーティションを制限解除し、前記コンピューティングデバイスに前記第2のパーティションに対するアクセスを提供するための手段と
を含むことを特徴とするシステム。
【請求項10】
前記コンピューティングデバイスからログオン要求の受信に応答して、前記第1のパーティションに格納されたID認証プロセスを開始するための手段をさらに含むことを特徴とする請求項9に記載のシステム。
【請求項11】
前記eSATA記憶装置の前記第2のパーティションは、暗号化されることを特徴とする請求項10に記載のシステム。
【請求項12】
前記開始する手段は、前記SATA記憶装置の前記第1のパーティションに格納されたプロセスから暗号化キーを受信する、ディスクコントローラに格納されたプロセスを含み、前記暗号化キーを使用して前記SATA記憶装置の前記第2のパーティションを暗号化解除するための手段をさらに含むことを特徴とする請求項11に記載のシステム。
【請求項13】
少なくともコンピューティングデバイスとeSATA記憶装置を含むシステムを起動すると、前記システムに、請求項1から8のいずれかに記載の方法を実行させるコンピュータプログラム。
【請求項14】
請求項13に記載のプログラムを搬送するキャリヤ。
【請求項15】
コンピュータ読み取り可能な記録媒体であることを特徴とする請求項14に記載のキャリヤ。
【請求項1】
コンピューティングデバイスに、eSATA記憶装置の第1のパーティションをROMとして与えることと、
前記コンピューティングデバイスが前記eSATA記憶装置のセキュアな第2のパーティションにアクセスすることを制限することと、
有効なID認証の受信に応答して、前記eSATA記憶装置の前記第2のパーティションに対するアクセスを制限解除することと
を含むことを特徴とする方法。
【請求項2】
前記コンピューティングデバイスからのログオン要求の受信に応答して、前記第1のパーティションに格納されるID認証プロセスを開始することをさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記eSATA記憶装置の前記第2のパーティションは、暗号化されることを特徴する請求項1または2に記載の方法。
【請求項4】
前記eSATA記憶装置の前記第2のパーティションに対するアクセスを前記コンピューティングデバイスに提供することは、前記第2のパーティションを暗号化解除することを含むことを特徴とする請求項3に記載の方法。
【請求項5】
前記ID認証プロセスは、RFID、パスワード、または生体認証識別子の少なくとも1つを確認することを含むことを特徴する請求項1から4のいずれかに記載の方法。
【請求項6】
前記SATA記憶装置の外部のディスクコントローラに格納されたプロセスを使用して、前記SATA記憶装置の前記第2のパーティションを暗号化解除することをさらに含むことを特徴とする請求項1から5のいずれかに記載の方法。
【請求項7】
ディスクコントローラに格納されたプロセスは、前記SATA記憶装置の前記第1のパーティションに格納されたプロセスから暗号化キーを受信し、前記ディスクコントローラに格納されたプロセスは、前記暗号化キーを使用して、前記SATA記憶装置の前記第2のパーティションを暗号化解除することを特徴とする請求項1から6のいずれかに記載の方法。
【請求項8】
前記コンピューティングデバイスの第1のタイプの第1のポートを介して、ディスクコントローラと前記eSATA装置との間でデータを通信することと、
少なくとも前記コンピューティングデバイスの第2のタイプの第2のポートを介して、前記ディスクコントローラおよび前記eSATA装置に電力を供給することと
をさらに含むことを特徴とする請求項1から7のいずれかに記載の方法。
【請求項9】
コンピューティングデバイスに、eSATA記憶装置の第1のパーティションをROMとして与えるための手段と、
前記コンピューティングデバイスが前記eSATA記憶装置のセキュアな第2のパーティションにアクセスすることを制限するための手段と、
有効なID認証の受信に応答して、前記eSATA記憶装置の前記第2のパーティションを制限解除し、前記コンピューティングデバイスに前記第2のパーティションに対するアクセスを提供するための手段と
を含むことを特徴とするシステム。
【請求項10】
前記コンピューティングデバイスからログオン要求の受信に応答して、前記第1のパーティションに格納されたID認証プロセスを開始するための手段をさらに含むことを特徴とする請求項9に記載のシステム。
【請求項11】
前記eSATA記憶装置の前記第2のパーティションは、暗号化されることを特徴とする請求項10に記載のシステム。
【請求項12】
前記開始する手段は、前記SATA記憶装置の前記第1のパーティションに格納されたプロセスから暗号化キーを受信する、ディスクコントローラに格納されたプロセスを含み、前記暗号化キーを使用して前記SATA記憶装置の前記第2のパーティションを暗号化解除するための手段をさらに含むことを特徴とする請求項11に記載のシステム。
【請求項13】
少なくともコンピューティングデバイスとeSATA記憶装置を含むシステムを起動すると、前記システムに、請求項1から8のいずれかに記載の方法を実行させるコンピュータプログラム。
【請求項14】
請求項13に記載のプログラムを搬送するキャリヤ。
【請求項15】
コンピュータ読み取り可能な記録媒体であることを特徴とする請求項14に記載のキャリヤ。
【図1A】
【図1B】
【図2A】
【図2B】
【図3A】
【図3B】
【図4】
【図5】
【図1B】
【図2A】
【図2B】
【図3A】
【図3B】
【図4】
【図5】
【公開番号】特開2009−76045(P2009−76045A)
【公開日】平成21年4月9日(2009.4.9)
【国際特許分類】
【外国語出願】
【出願番号】特願2008−129912(P2008−129912)
【出願日】平成20年5月16日(2008.5.16)
【出願人】(508148312)エムシーエム ポートフォリオ リミテッド ライアビリティ カンパニー (3)
【Fターム(参考)】
【公開日】平成21年4月9日(2009.4.9)
【国際特許分類】
【出願番号】特願2008−129912(P2008−129912)
【出願日】平成20年5月16日(2008.5.16)
【出願人】(508148312)エムシーエム ポートフォリオ リミテッド ライアビリティ カンパニー (3)
【Fターム(参考)】
[ Back to top ]