情報記録再生装置及び情報記録媒体
【課題】計時手段やその電源を内蔵することなく、また外部の時刻情報提供手段や、時刻情報提供手段に至る安全な通信路を用いることなく、不正アクセスに対して高いセキュリティを有する情報記録再生装置が必要である。
【解決手段】ユーザ・データ記録領域30のデータ消失時間よりも、暗号鍵データ記録領域32のデータ消失時間が短い磁気ディスク10を使用し、記録時にはユーザ・データに暗号化を施しながら磁気ディスク10に記録を行うとともに、暗号化に用いる暗号鍵データを暗号鍵データ記録領域32に記録し、正当なアクセス権限を有するユーザによるユーザ・データの再生時には、暗号鍵データを暗号鍵データ記録領域32から読み出し、記録時に暗号化されたユーザ・データを暗号鍵データにより生成された暗号鍵を用いて復号しながら出力するとともに、暗号鍵データを暗号鍵データ記録領域32に上書きする。
【解決手段】ユーザ・データ記録領域30のデータ消失時間よりも、暗号鍵データ記録領域32のデータ消失時間が短い磁気ディスク10を使用し、記録時にはユーザ・データに暗号化を施しながら磁気ディスク10に記録を行うとともに、暗号化に用いる暗号鍵データを暗号鍵データ記録領域32に記録し、正当なアクセス権限を有するユーザによるユーザ・データの再生時には、暗号鍵データを暗号鍵データ記録領域32から読み出し、記録時に暗号化されたユーザ・データを暗号鍵データにより生成された暗号鍵を用いて復号しながら出力するとともに、暗号鍵データを暗号鍵データ記録領域32に上書きする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は装置内に格納されている暗号鍵を用いてユーザ・データを暗号化しながら記録媒体上に記録し、同じ暗号鍵を用いて記録媒体上から読み取ったデータを復号して出力する情報記録再生装置に関する。
【背景技術】
【0002】
現在、磁気ディスク装置 (Hard Disk Drive:HDD) に代表される情報記録再生装置おいて、記録媒体上に格納されるユーザ・データを保護する方法として、Full Disk Encryption (FDE) 方式などが提案され、利用されている。FDE方式においては、データ記録時にアクセス者が提示した暗号鍵あるいは暗号鍵そのものを生成するための種データを用いてユーザ・データを暗号化した上で記録媒体上に記録し、そのデータを読み出す際には正規アクセス者のみが知りうる暗号鍵あるいは種データをアクセス者が HDD に対して供給することによって復号を実施し、ユーザ・データとして出力している。この場合、ユーザ・データの記録時に使用された正規アクセス者のみが知りうる暗号鍵あるいは種データをアクセス者が供給できなければ、誤った復号動作がなされる結果、記録時とは全く異なるデータが出力されることとなり、不正アクセスが実質的に無効化できるといった一定の効果を有している。しかしながらこのユーザ・データ保護方式においては、暗号鍵を順に生成して総当たり的にアクセス試行を行うという、いわゆるブルート・フォース・アタックにより、時間をかけさえすれば不正アクセス者が正規のユーザ・データを読み出し可能となるというセキュリティ上の脆弱性を抱えている。
【0003】
またユーザ・データの記録に際して、HDD 個体毎で異なるように生成された暗号鍵を、HDD 装置内部の回路内の安全な領域 (一般に外部からアクセス不可能な不揮発性メモリ内) あるいは磁気記録媒体上の所定の場所に別の秘密鍵を用いて暗号化した上で格納しておき、パスワード認証等によって正規アクセス者によるアクセスであると確認された際にのみこれらの暗号鍵を取り出し、記録媒体上から読み取ったデータを復号して再生ユーザ・データとする方法も存在する。すなわちこの方式では、パスワード等によるユーザ認証プロセスを通じてこの暗号鍵を正当に利用することができない場合、ユーザ・データを取り出すことが不可能となる。また仮に磁気ディスク装置の回路部分のみがユーザ認証プロセスを解除された同一機種のそれと交換されていた場合であっても、ユーザ・データの暗復号に使用される暗号鍵は HDD 個体ごとに異なるため、ユーザ・データへのアクセスを防止できるといった一定の効果を有している。しかしながら本方式のように暗号鍵の取り出しがパスワード等によるユーザ認証によるものである場合には、ユーザ・データ暗号化用の暗号鍵が十分に長く暗号鍵そのもののブルート・フォース・アタックが事実上不可能であっても、十分な時間をかけてパスワード認証を突破することにより正しい暗号鍵を利用可能とすることができれば、ユーザ・データの読み出しが可能となってしまうというセキュリティ強度上の問題を有している。
【0004】
すなわちこれらのユーザ・データ保護方式を備えた情報記録装置では、実質的なユーザ・データが記録媒体上に事実上半永久的に、言い換えればユーザ・データを格納する記録媒体領域の物理化学的寿命まで存在し、なおかつアクセス試行期間を制限する方策がとられていないため、アクセス試行に十分な時間を費やすことができさえすれば、不正なアクセス者がユーザ・データを読み出すことが可能であるという問題がある。
【0005】
これらの問題を解決するために、特許文献1には、不揮発性記憶装置に制御回路と不揮発性記憶回路とを備え、不揮発性記憶回路は利用情報に対するアクセス制限を行なう制限情報の格納領域を有するとともに、制限情報にはアクセス期限情報とアクセス時間情報とを含み、制御回路は、外部より供給される時刻情報と前記制限情報とに基いて利用情報のアクセス可否を判定し、時刻情報に基づいてアクセス時間情報を更新するアクセス判定動作を行なう技術が開示されている。
【0006】
また、特許文献2には、半導体記録媒体内に、バッテリと時計とデータ制御部とアドレス制御部とデータ格納エリアとボンディング・パッドとを備え、バッテリから電源を供給することにより時計,データ制御部,アドレス制御部を作動させるとともに、データ制御部に記録するデータの有効時間の設定を行い、時計によるデータ記録後からの経過時間とこの有効時間を常時比較して、有効時間を経過するとデータ制御部の指令により記録されているデータの再生を不可能にせしめる技術が開示されている。
【0007】
特許文献3には、記録メディアの、光学的にデータの読み出し可能な記録領域の内周の非記録領域の一部にIC部を備え、このIC部は、電気的に接続可能なように露出形成されるICインタフェースと、電力を受けることなく経時変化する経時変化部とを有し、この記録メディアの読み/書き装置は、経時変化部の状態を測定することにより、このメディアが利用できる期間にあるか否かを判断する技術が開示されている。
【0008】
【特許文献1】特開2004−326278号公報
【特許文献2】特開2004−14079号公報
【特許文献3】特開2004−296031号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
しかしながら特許文献1に記載の技術では、アクセス権限の確認のために記憶装置外部から時刻情報を提供する計時手段が必要であり、計時手段にアクセス不能な場所では記憶装置内のデータを利用することがそもそも不可能であり、使い勝手上の大きな問題がある。また計時手段にアクセス可能な場所で本記憶装置を使用する場合であっても、一般に計時手段の提供する時刻情報の正確性が保証できないというセキュリティ上の問題が存在し、計時手段からの正確な時刻情報取得を担保するためには、アクセス制御による受益者が正確な計時手段を設けるとともに、ユーザないしはアクセス制御による受益者がその計時手段まで別途暗号通信路を開設するなどの必要があり、コスト上および使い勝手上で大きな問題がある。
【0010】
また特許文献2に記載の技術では、半導体記録媒体に比して一般的に素子寿命の短いバッテリを内蔵することにより、記録媒体全体としての使用寿命が律則されるため、媒体全体の寿命制限による利用コストおよび信頼性の点で問題を有している。また仮にバッテリを交換可能であったとしても、バッテリ交換前後の有効時間の保存方法について何ら技術開示がなされておらず、実現性あるいは使い勝手の点で問題を有している。さらにバッテリは一般にその動作原理として化学反応を利用しており、化学反応速度が低下する低温環境では起電力が低下し、あるいは逆に高温環境ではその内部放電により実効発電量が減少することなどから、記憶媒体としての信頼性の点で大きな問題を有している。
【0011】
特許文献3に記載の技術では、回転する記録メディアにIC部を取り付けるものであり、取り付けの信頼性が高くなければ回転中にIC部が脱落する恐れがある。また、IC部の不揮発性メモリ部のリード/ライトを行うためには、IC部のインタフェース部にIC接続部を接続させる必要があり、接続時に塵埃が発生する可能性もある。さらに、高速で回転するディスク状の記録メディアにIC部を取り付ける場合、回転中心と重心のずれによって大きな振動が生じ、装置の動作に支障をきたしたり、回転機構を破壊に至らしめる危険性を有する。これを防止するためには、媒体駆動装置側に回転バランスを補償する機構を設けたり、IC部の質量を補償するバランス重りを媒体上に取り付け、なおかつIC部、バランス重りの取り付け位置を精密に管理する必要があるため、情報記録再生装置及び記録媒体の製造コストの上昇を招くという点で不利である。
【0012】
本発明の目的は、正当なアクセス権限を有するユーザが、所定の期間にわたり情報記録媒体にアクセスを行わなかった場合、ユーザ・データを暗号化している暗号鍵データを読み出せなくすることにより、ユーザ・データ全体を不正なアクセスから保護することにある。
本発明の他の目的は、所定の期間にわたりユーザ・データにアクセスが行われなかった場合、ユーザ・データを暗号化している暗号鍵データが読み出せなくなる情報記録媒体を提供することである。
【課題を解決するための手段】
【0013】
前記目的を達成するために、本発明の代表的な情報記録再生装置は、ユーザ・データ記録領域と暗号鍵データ記録領域を有し、ユーザ・データ記録領域の記録データが再生できなくなるまでの時間よりも、暗号鍵データ記録領域の記録データが再生できなくなるまでの時間の方が短い記録媒体を搭載し、
ユーザ・データの記録時にはユーザ・データに暗号化を施しながらユーザ・データ記録領域に記録を行うとともに、暗号化に用いる暗号鍵データを暗号鍵データ記録領域に記録し、
正当なアクセス権限を有するユーザによるユーザ・データの再生時には、暗号鍵データ記録領域から暗号鍵データを読み出し、記録時に暗号化されたユーザ・データをこの暗号鍵データを元に生成した暗号鍵により復号しながら出力するとともに、この暗号鍵データを暗号鍵データ記録領域に上書きするものである。
【0014】
さらに、正当なアクセス権限を確認するための認証データとして少なくとも2つ以上の認証データを格納するメモリを有し、
アクセス権限確認のためにユーザから提示された認証データと前記メモリに格納されている認証データとの比較を行い、
認証データの比較において、認証データが連続して一致しなかった回数を計数し、
認証不一致回数が所定の値に達する度に、前記メモリが格納しうる認証データの個数の範囲内で、認証データの比較において参照する認証データの個数を増加するものである。
【0015】
前記他の目的を達成するために、本発明の代表的な情報記録媒体は、基板と、基板の少なくとも一方の面に形成された、局所的な物理状態の変化を引き起こすことによりデータを記録する記録層とを有し、
前記記録層は、ユーザ・データ記録領域と暗号鍵データ記録領域を有し、ユーザ・データ記録領域の記録データが再生できなくなるまでの時間よりも、暗号鍵データ記録領域の記録データが再生できなくなるまでの時間の方が短いものである。
前記記録層は磁気記録層で構成され、暗号鍵データ記録領域の保磁力がユーザ・データ記録領域に比して小さいものである。
【発明の効果】
【0016】
本発明によれば、正当なアクセス権限を有するユーザが、所定の期間にわたり情報記録媒体にアクセスを行わなかった場合、ユーザ・データを暗号化している暗号鍵データを読み出せなくすることにより、結果的にユーザ・データを不正なアクセスから保護することができる。
【発明を実施するための最良の形態】
【0017】
以下、図面を参照して本発明の実施例を説明する。図1は、磁気ディスク装置のブロック構成図である。図2は、カバーを外した状態の磁気ディスク装置の内部構成を示す上面図である。本実施例においては、記録媒体として記録媒体表面の局所的な磁化方向分布によってユーザ・データを保持する磁気ディスク装置 100 を情報記録再生装置の一例として説明する。しかしながら本説明は記録媒体の記録原理について何ら限定を行う意図のものではなく、記録媒体として局所的な物理状態の変化によりデータを記録する例えば結晶相変化を用いた相変化記録媒体や、MRAM, FeRAM, PRAM, Flash Memory 等の半導体メモリ素子にも適用可能である。さらには後述するユーザ・データ記録領域を磁気記録媒体上に取り、暗号鍵データ記録領域を別途 MRAM, FeRAM, PRAM, Flash Memory 等の記録原理の異なる記録媒体上に取ることも可能である。これらの場合には、本実施例において磁気ディスク装置に固有の構成要素、たとえばヘッド・ディスク位置制御回路 108 やアクチュエータ/モータ・ドライバ 109 を適宜削除ないしは相当する構成要素に読み替えればよい。
【0018】
磁気ディスク装置 100 は、磁気ディスク装置の動作を制御するコントローラ LSI 120 を中心に、ヘッド・ディスク・アセンブリ 110 と、アクチュエータ/モータ・ドライバ 109 と、記録ヘッド・ドライバ 106 と、再生ヘッド・アンプ 107 とから主に構成されている。ヘッド・ディスク・アセンブリ 110 は、図2に示すように、記録媒体(磁気ディスク) 10 と、磁気ディスク 10 を回転させるスピンドル・モータ 11 と、記録素子(記録ヘッド)及び再生素子(再生ヘッド)を搭載した記録再生ヘッド・スライダ 12 と、記録再生ヘッド・スライダ 12 を支持するサスペンション 15 と、磁気ディスク 10 の任意の半径位置に記録再生ヘッド・スライダ 12 を位置付ける走査機構(ボイス・コイル・モータ)16 と、記録再生ヘッド・スライダ 12 が退避するランプ機構 14 とから構成されている。
【0019】
磁気ディスク 10 がスピンドル・モータ 11 によって回転され、記録再生ヘッド・スライダ 12 が磁気ディスク表面近傍に浮上している状態になると、再生ヘッドが出力した再生信号は、再生ヘッド・アンプ 107 によって電気的に増幅され、ECC 処理/変調回路 115 およびヘッド・ディスク位置制御回路 108 に入力される。ヘッド・ディスク位置制御回路 108 は、増幅された再生信号から記録再生ヘッド・スライダ 12 と磁気ディスク 10 との物理的な位置関係および相対速度を読み取り、その読み取り結果に基づいて、記録再生ヘッド・スライダ 12 が磁気ディスク上の所望の位置および相対速度で位置できるよう、アクチュエータ/モータ・ドライバ 109 を経由して、ボイス・コイル・モータ 16 およびスピンドル・モータ 11 の動作制御を行う。
【0020】
またプロセッサ 104 は、コントローラ LSI 120 内部の各機能ブロックを協調動作させるため、ECC 処理/変調回路 115 ,ヘッド・ディスク位置制御回路 108 ,暗復号器 105 ,タイマ 114 ,NV-RAM 113 ,インターフェース回路 102 ,データ転送調停回路 103 の状態をモニタし、常時適宜制御を加えている。タイマ 114 は、磁気ディスク装置 100 内の各部で必要とされるタイミング信号を生成し供給する他、磁気ディスク装置が起動されてからの時間を常時計測している。RAM 111 はユーザ・データの記録再生時におけるユーザ・データの一時格納場所として使用される他、プロセッサ 104 の動作状態を示し揮発を許容できるデータの格納エリアとして使用される。ROM 112 はプロセッサ 104 の実行すべきプログラム命令コードの他、後述する通り、磁気ディスク装置 100 の個体データを暗号化するための秘密鍵およびユーザ認証用パスワードを暗号化するための秘密鍵を安全に格納している。NV-RAM 113 は、ユーザ認証用パスワードの他、後述する磁気ディスク装置の動作ロック状態を示すフラグおよびパスワードのセキュリティ・レベルを示す現認証レベル・カウンタを安全に格納している。
【0021】
外部ホスト装置 (図示せず) から外部インターフェース 101 を経由して、インターフェース回路 102 に記録コマンドが入力されると、インターフェース回路 102 は記録コマンドに付随するパラメータ (磁気ディスク上における記録位置開始を示すセクタ番号や、記録されるべきユーザ・データの分量など) を解釈した上でプロセッサ 104 に通知し、これを受けてプロセッサ 104 は記録再生ヘッド・スライダ 12 を磁気ディスク 10 の所望の位置に位置付けるように各部の制御動作を開始する。またこれらの動作と平行して、インターフェース回路 102 は、記録コマンドに付随するパラメータを参照し、データ転送調停回路 103 に対して RAM 111 内の空き領域に対して記録すべきユーザ・データを転送するよう準備を指示する。次いで外部ホスト装置から外部インターフェース 101 を経由して記録すべきユーザ・データが入力されると、それらはインターフェース回路 102, データ転送回路 103 を経由して、RAM 111 に一時的に格納される。
【0022】
記録再生ヘッド・スライダ 12 が磁気ディスク上の記録すべき位置に到達すると、そのことはプロセッサ 104 によって検出され、データ転送調停回路 103 に通知される。するとデータ転送調停回路 103 は、RAM 内の記録すべきユーザ・データを暗復号器 105 に転送する。暗復号器 105 は、別途準備されている暗号鍵を用いて、ユーザ・データを暗号化し、ECC 処理/変調回路 115 へと出力する。ECC 処理/変調回路 115 は、磁気ディスク 10 に対する記録再生の過程で発生する少数のエラーからユーザ・データを保護するため、エラー訂正コードを付加した結果にさらに所定の変調規則に従って変換を施し、その結果を記録ヘッド・ドライバ 106 へと出力する。記録ヘッド・ドライバ 106 は記録ヘッドを駆動し、磁気ディスク上に局所的な磁化方向の分布を形成することによって、ユーザ・データの記録動作が完了する。
【0023】
外部ホスト装置から外部インターフェース 101 を経由して、インターフェース回路 102 に再生コマンドが入力されると、インターフェース回路 102 は再生コマンドに付随するパラメータ (磁気ディスク上における記録位置開始を示すセクタ番号や、再生されるべきユーザ・データの分量など) を解釈した上でプロセッサ 104 に通知し、これを受けてプロセッサ 104 は記録再生ヘッド・スライダ 12 を磁気ディスク 10 の所望の位置に位置付けるよう制御動作を開始する。またこれらの動作と平行して、インターフェース回路 102 は、再生コマンドに付随するパラメータを参照し、暗復号器 105 の出力である再生されたユーザ・データが RAM 111 内の空き領域に転送されるよう、また RAM 111 内に復元される再生ユーザ・データをインターフェース回路 102 および 外部インターフェース 101 を介して外部ホスト機器に転送できるようデータ転送調停回路 103 に対して準備を指示する。
【0024】
次いで記録再生ヘッド・スライダ 12 が磁気ディスク上の記録すべき位置に到達すると、そのことはプロセッサ 104 によって検出され、ECC 処理/変調回路 115 および暗復号器 105 に通知される。この直後、再生ヘッドによって磁気ディスク 10 から読み取られた再生信号は、再生ヘッド・アンプ 107 で電気的に増幅された後、ECC 処理/変調回路 115 で、記録時に施された変換の逆変換に次いでエラー訂正が行われ、暗復号器 105 に入力される。暗復号器 105 では別途用意されている暗号鍵を用いてユーザ・データを復号し、その結果である再生されたユーザ・データは データ転送調停回路 103 を経由して RAM 111 内に一時的に格納される。次いでこの再生されたユーザ・データは、外部ホスト機器からの要求に応じて、データ転送調停回路 103 ,インターフェース回路 102, 外部インターフェース 101 を経由して、外部ホスト機器に出力され、ユーザ・データの再生動作が完了する。
【0025】
記録再生時におけるユーザ・データの暗復号にあたって使用される暗号鍵は、後述する通り磁気ディスク上の所定の領域 (暗号鍵データ記録領域) から磁気ディスク装置の起動時に読み取られ、適宜必要な処理を施され、RAM 111 内に格納されている。ただし RAM 111 はコントローラ LSI 120 のダイ上に存在し、なおかつパッケージ内に封止されているため、ユーザが外部からそのデータを参照したり書き換えたりすることが出来ない。すなわち暗号鍵の格納はタンパ行為に対して安全に保護された状態でなされている。
【0026】
暗号鍵を磁気ディスク上の所定の領域に格納する際には、以下の手順に従う。すなわち、ユーザ・データの暗復号に用いられる暗号鍵は、ユーザがユーザ・データの記録に先立って入力したユーザ認証用パスワードなどを元データに、これを ROM 112 内に格納されている秘密鍵を用いて暗号化することにより生成されている。この暗号鍵は、磁気ディスク装置個体毎に異なる個体データ (たとえばシリアル・ナンバ等) を鍵として再度暗号化され、磁気ディスク上の所定の領域に格納される。磁気ディスク装置 100 の個体データは ROM 112 内部に、ユーザ認証用パスワードは NV-RAM 113 内部に安全に格納されている。ただし、ユーザ・データの暗復号に用いるための、ユーザ認証用パスワードなどを元データとする暗号鍵の RAM 111 内への生成は、ユーザ・データの記録時にのみ行われ、生成された暗号鍵は RAM 111 内に格納されるが、ユーザ・データの再生時に用いる復号用の暗号鍵は、ユーザ認証パスワードなどを元データとして生成されることはない。すなわち、ユーザ・データの再生時に用いる復号用の暗号鍵は、所定のユーザ認証成功後、磁気ディスク上の所定の領域に格納されている暗号化済みの暗号鍵データを、磁気ディスク装置 100 の個体データを秘密鍵として用いて復号することによってのみ復元され、RAM 111 内に格納される。ユーザ・データの暗復号に用いる暗号鍵の、磁気ディスク上への記録あるいは読み出しのタイミングに関しては後述する。
【0027】
図3は上記実施例による磁気ディスク装置で用いる磁気ディスクの構造の一例を説明する図である。磁気ディスク 10 は中央部にスピンドル・モータに対する固定用の穴を有するガラス円盤表面に情報保持用の磁性体薄膜を積層したものである。その表面の記録領域は半径によって、所定の暗号鍵データを用いて暗号化を施されたユーザ・データを記録するためのユーザ・データ記録領域 30 と、ユーザ認証用パスワードを元データとして別途用意された秘密鍵および磁気ディスク装置個体毎に異なる個体データ等を秘密鍵として用いて暗号化した暗号鍵データを記録するための暗号鍵データ記録領域 32 とに大別される。暗号鍵データ記憶領域 32 とユーザ・データ記録領域 30 の造り分けは、たとえば磁性体薄膜をスパッタリングによって積層する際のスパッタ・マスクによる。ただし暗号鍵データ記憶領域 32 とユーザ・データ記録領域 30 は、図3に示されるように同心円環状である必要性はなく、暗号鍵データ記憶領域 32 の形状は、たとえば円環の一部方位のみを切り取った形状や、扇形状であっても良い。
【0028】
図4は磁気ディスク 10 のフォーマットの一例を示す図であり、図3中の暗号鍵データ記録領域 32 の一部を拡大した模式図となっている。暗号鍵データ記録領域 32 は半径方向に同心円状に配置された複数のトラックから構成されており、このトラックはさらに円周方向に複数のセクタに分割されている。磁気ディスク 10 の回転に伴って、記録再生ヘッド・スライダ 12 は図4中左方から右方に向けて走査を行う。セクタ内部はさらにトラック中心に記録ヘッドあるいは再生ヘッドを位置付けるための基準となるサーボ・バースト A 301, サーボ・バースト B 302 が、トラック中心から半径方向等間隔の位置に千鳥状に配置されている。千鳥状に配置されているサーボ・バーストからトラック中心を見つける方法に関しては、磁気ディスク装置において広く知られている方法であるため説明を割愛する。サーボ・バースト B 302 の直後には磁気ディスク上のすべてのセクタに個別に付与され、磁気ディスク上における物理的な位置を示すセクタ ID 303 が配置されている。セクタ ID 303 の直後には、暗号鍵データ 304 が記録される。暗号鍵データ記録領域 32 は、所望のセクタ数を確保するために、上記のフォーマットが記録媒体の半径方向および円周方向に所定の回数繰り返し配置されることにより構成されている。ここで、サーボ・バースト A 301 のパターン, サーボ・バースト B 302 のパターンおよびセクタ ID 303 は磁気ディスク 10 の製造後、書き換える必要のない情報であり、磁気ディスク装置本体の使用期間内に情報が消滅した場合には、装置の動作上重大な問題が生ずる情報である。逆に暗号鍵データは必要に応じて書き換え、消去もしくは上書き更新出来ることが必要である。そこで後述する通り、本実施例による磁気ディスク装置 100 においては、ユーザ・データ記録領域 30 における記録データ消失時間よりも、暗号鍵データ記録領域 32 における記録データ消失時間の方が短いため、サーボ・バースト A 301 パターン, サーボ・バースト B 302 パターンおよびセクタ ID 303 パターンは、記録媒体表面の物理的な凹凸構造 (プリピット) によって、磁気ディスク 100 の製造時に固定情報が記録されている。
【0029】
図5は本実施例による磁気ディスク 10 の、ユーザ・データ記録領域 30 における積層構造の一例を説明する図であり、図6は暗号鍵データ記録領域 32 における積層構造の一例を説明する図である。磁気ディスク 10 の製造にあたっては、まず 0.6 mm 厚のガラス基板表面をポリッシュした後に、下地層および厚さ 50 nm の Cr による裏打ち層を順に積層する。次いで磁化方向によって情報を保持する記録層の一部として、厚さ 5 nm の CoCrPtB による下部記録層を積層する。次いでスパッタ・マスクを用いて暗号鍵データ記録領域 22 に堆積が生じないよう対策した上で、ユーザ・データ記録領域 20 に厚さ 0.6 nm の Ru による反強磁性的結合層を積層し、さらに情報を保持する記録層の残りとして、厚さ 12 nm の CoCrPtB による上部記録層を積層する。最後に記録再生ヘッド・スライダ 12 の浮上を安定化させる目的で、厚さ 3nm の DLC による保護層をスパッタした後、パーフルオロポリエーテル (PFPE) による潤滑層を 2nm 塗布する。
【0030】
この際、図5のユーザ・データ記録領域 30 においては、上部下部の CoCrPtB 記録層が Ru 層を介して反強磁性的に結合しており、記録層外部に磁気的エネルギーを蓄えにくく、磁気的に安定な構造となっている。一方、図6の暗号鍵データ記録領域 22 においては、上部下部の CoCrPtB 記録層が一体となって 17 nm の単層となっているため記録層外部に磁気的エネルギーを多く蓄え、磁気的に不安定な構造となっている。これらの構成により、ユーザ・データ記録領域 30 においては、一旦記録されたユーザ・データが磁気ディスク装置本体の設計寿命(一般に5年間以上) の間にわたって、上書き更新を受けることがなくともエラーなく安定して読み出せることが期待できる。これに対して暗号鍵データ記録領域 32 においては、記録直後から磁化パターンのランダムな反転が発生し、常温においても記録から3ヶ月経過後には、ECC データによるエラー訂正処理を併用しても、暗号鍵データを正常に読み出して復元することが不可能であった。なお別途評価装置による評価の結果、ユーザ・データ記録領域 20 の記録層全体の保磁力は 520 kA/m (6500 Oe)、暗号鍵データ記録領域 22 の記録層の保磁力は 120 kA/m (1500 Oe) であった。
【0031】
なお本実施例においては、暗号鍵データ記録領域 32 における記録データ消失速度(記録したデータを正しく再生できなくなるまでの時間)を相対的に早くする目的で、各領域における記録密度、エラー訂正能力を同一としながら、反強磁性的結合層の有無により記録層全体の保磁力を相対的に低下させる手法を採ったが、同様の目的を達成するためには、各領域における記録密度、エラー訂正能力を同一としながら、次のような方法を用いても良い。すなわち暗号鍵データ記録領域 32 の記録膜厚を引き下げ、部分的に結晶粒の体積を縮小する方法、暗号鍵データ記録領域 32 を光ビームなどで局所的に加熱し熱的構造緩和を引き起こす方法、暗号鍵データ記録領域 32 に局所的に Ar イオンを打ち込むなどして、物理的構造緩和を引き起こす方法、記録膜下地層表面の局所的な表面荒さを調整する、等の方法をとっても良い。また各領域における記録密度、エラー訂正能力を同一としながら、記録媒体の特性に差を付けるこれらの方法の他、ユーザ・データ記録領域 30 と暗号鍵データ記録領域 32 とでは記録媒体の特性、エラー訂正能力等は共通とするが、ユーザ・データ記録領域 30 に比して暗号鍵データ記録領域 32 の記録密度を高く設定し、暗号鍵データ記録領域 32 では熱励起等による結晶粒磁区の反転の影響がより顕著に現れ、再生信号の劣化によるエラー訂正前のエラー率をより速く上昇せしめる方法、ユーザ・データ記録領域 30 と暗号鍵データ記録領域 32 とでは記録媒体の特性、記録密度等は共通とするが、ユーザ・データ記録領域 30 に比して暗号鍵データ記録領域 32 のエラー訂正能力を低くしておき、暗号鍵データ記録領域 32 では熱励起等による結晶粒磁区の反転にともなう読み出しエラー発生の影響がより顕著に (早期に) 現れる、等の方法をとっても良い。
【0032】
次に図7および図8のフローチャートを用いて本実施例による磁気ディスク装置の動作を説明する。図7および図8の動作は、図1に示したプロセッサ 104 の制御によるものである。
図7において、磁気ディスク装置 100 が電源投入ないしは外部強制リセット信号によって再起動されると、ステップ700において、図1の NV-RAM 113 の中に安全に格納されている磁気ディスク装置の動作ロック状態を示すフラグを参照し、全動作がロックされている場合にはその先の動作へと進まず、外部からのあらゆる命令を受け付けないロック状態を継続する。全動作がロックされていない場合には、ステップ701において、磁気ディスク装置 100 の連続起動時間をカウントするタイマ 114 をクリアするとともに、現在ユーザ認証に使用しているパスワードのセキュリティ・レベル (複数あるパスワードを用いたパスワード認証の段階の内で、何個目のパスワード認証を行っているか、すなわち何段階目のパスワード認証を行っているか) を示す現認証レベル・カウンタをクリアし、最も低いセキュリティ・レベルのパスワード認証モードへと移行する。
【0033】
次いで、ステップ702において、外部ホスト機器から現セキュリティ・レベルにおける最初のパスワード認証試行を受け付ける準備として、そのパスワード認証試行回数を示す現認証レベル失敗カウンタ (現セキュリティ・レベルにおいて、何回連続してパスワード認証に失敗したかをカウントする) をクリアする。引き続きステップ703において、ユーザ認証用として外部ホスト機器からパスワード・データが入力されると、ステップ704において、プロセッサ 104 は別途 NV-RAM 113 内に安全に保管されているパスワード・データの中から現認証レベル・カウンタによって示される現セキュリティ・レベルのパスワード・データと比較を行う。比較の結果、パスワード・データが一致しない場合には、ステップ708において、現認証レベル失敗カウンタをインクリメントし、ステップ709において、このカウンタによって示されるパスワード認証に連続して失敗した回数が所定の上限値に達したかを判断する。判断の結果、パスワード認証に連続して失敗した回数が所定の上限値に達していなければ、引き続き現セキュリティ・レベルのパスワード認証(ステップ703)を再開する。逆にこの判断の結果、パスワード認証に連続して失敗した回数が所定の上限値に達していれば、ステップ710において、前述の NV-RAM 113 中に安全に格納されている認証レベル・カウンタをインクリメントし、最終的にユーザ認証で必要とするパスワード・データの個数すなわちパスワードを何個使って、何段階のパスワード認証を行うかを示す個数 (段階数) をインクリメントする。さらにステップ711において、この認証レベル・カウンタが所定の上限値に達していた場合には、前述の NV-RAM 113 中に安全に格納されている磁気ディスク装置 100 の動作ロック状態を示すフラグをセットし、以降いかなる命令が外部ホスト機器から与えられても、磁気ディスク装置 100 の全動作をロックする。また逆にステップ711の段階で認証レベル・カウンタが所定の上限値に達していなかった場合には、ステップ702に戻り、現認証レベル失敗カウンタをクリアし、引き続き現セキュリティ・レベルのパスワード認証(ステップ703)を再開する。
【0034】
本構成および動作により、アクセス者がパスワード認証を繰り返し失敗する場合には、認証レベル・カウンタがインクリメントされ続け、磁気ディスク装置 100 が使用可能になるまでに必要となるパスワード個数が増大し、認証段階数が増大する。このために、不正ユーザによるパスワード認証試行が繰り返された場合でも、全認証段階を通過するまでの時間が自動的に延長され、ユーザ・データに対する不正なアクセスが効果的に防止できる。なお NV-RAM 113 中に安全に格納されている認証レベル・カウンタおよび各セキュリティ・レベルにおけるパスワード・データは、磁気ディスク装置の製造時にゼロないしはヌル・クリアされた状態で出荷される。したがって磁気ディスク装置 100 の初回使用時には、ヌル・パスワード 1回のパスワード認証で、磁気ディスク装置 100 が使用可能となる。
【0035】
また、ステップ704において、パスワード・データが一致した場合、次にステップ705において認証レベル・カウンタで要求している総てのセキュリティ・レベルでのユーザ認証に成功したか否か、すなわち現認証レベル・カウンタが認証レベル・カウンタの値に一致しているか否かが判定される。認証レベル・カウンタで要求している総てのセキュリティ・レベルでのユーザ認証にまだ成功していない場合には、ステップ714において、現認証レベル・カウンタをインクリメントし、次の段階のセキュリティ・レベルにおけるパスワード認証を行うべく、ステップ702の現認証レベル失敗カウンタのクリア動作に戻る。
【0036】
もしもステップ705の段階で認証レベル・カウンタで要求している総てのセキュリティ・レベルでのユーザ認証に成功していることが確認できた場合には、磁気ディスク装置としての本来の機能である記録再生コマンド等の処理に移る。すなわちステップ706において外部ホスト機器から受け付けた未処理のコマンドがあるか否かを判断し、もし未処理コマンドが残っていた場合には図7に示される各コマンド内容の実体処理(ステップ707)へと処理を進める。各コマンドの実体処理終了後、あるいはステップ706の判断の結果、未処理コマンドが残っていなかった場合には、ステップ712において、タイマ 114 における計時結果を参照した上で、磁気ディスク装置 100 の起動後から所定の時間が経過していたか否かを判断する。この場合の所定時間とは、時間ゼロ、すなわち磁気ディスク装置 100 の全セキュリティ・レベルにおけるユーザ認証成功直後のタイミングと、前述の暗号鍵データ記録領域 32 に記録された暗号鍵データを読み出して正常に復元できる時間よりも十分に短い時間 (本実施例では約1時間) の周期に相当する、装置起動直後から計時したタイミングである。ステップ711の段階で所定時間が経過していた場合には、ステップ713において、暗号鍵データ記録領域 32 から暗号鍵データを読み出し、同じ領域に同一の暗号鍵データを再び上書きすることによって記録をリフレッシュし、暗号鍵データの消失までの時間を延長する。ステップ713の上書き動作後、あるいはステップ712の段階で所定時間が経過していない場合には、再びステップ706に戻って、外部ホスト機器から与えられた新たなコマンドの処理に戻る。
【0037】
図8は、本実施例による磁気ディスク装置 100 のコマンド処理の一例を示す図であり、図7のフローチャート中のコマンド処理ステップ707をやや詳説した図である。
コマンド処理に制御が移行すると、ステップ800において、プロセッサ 104 は、外部ホスト機器から与えられたコマンドが磁気ディスク装置 100 を完全に初期化するコマンドか否かを判断する。もしも磁気ディスク装置 100 を完全に初期化するコマンドでなかった場合には、プロセッサ 104 はさらにコマンドの種別を判定し、磁気ディスク装置 100 は適切なコマンドの処理へと動作を移す(ステップ801)。また逆にコマンドが磁気ディスク装置 100 を完全に初期化するコマンドであった場合には、ステップ802において、NV-RAM 113 中に格納されている全パスワード・データをヌル・クリアするとともに、認証レベル・カウンタをゼロ・クリアし (したがって磁気ディスク装置 100 の出荷直後と同様に、直後の使用時には、ヌル・パスワード1回のパスワード認証で、磁気ディスク装置 100 が使用可能となる)、次いでステップ804において、磁気ディスク上のユーザ・データ記録領域 30 および暗号鍵データ記録領域 32 を全消去して、工場出荷直後の状態へと復帰する。
【0038】
以上、実施例を用いて説明してきたとおり、本発明によれば、ユーザ・データの記録媒体上への記録に当たって暗号化を施している情報記録再生装置において、正当なアクセス権限を有するユーザが所定の期間にわたり情報記録再生装置に対して正規のアクセス権限確認手順を経てアクセスを行わなかった場合、ユーザ・データを暗号化している暗号鍵データが読み出せなくなることにより、ユーザ・データそのものが正常に利用できなくなってしまう。この特性により、情報記録再生装置が紛失あるいは盗難によって正当なアクセス権限を有するアクセス者の手を離れ、不正アクセスの脅威にさらされた場合であっても、暗号鍵データが読み出し不能となることによるユーザ・データ利用不能までの時間を適切に設定しておくことにより、パスワードによるユーザ認証が破られる以前にユーザ・データが正しく復号できなくなってしまうため、ユーザ・データに対する不正アクセスが実効的に阻止でき、セキュアな時刻情報提供手段や暗号通信路等を準備することなく、低コストながらセキュリティの大幅な向上が期待できる。またユーザ・データが記録された情報記録再生装置を売却、譲渡あるいは廃棄する場合でも、ユーザ・データを暗号化している暗号鍵データが利用できなくなる所定時間の経過後はユーザ・データが正しく復号できず、事実上ユーザ・データが読み出し不能となるため、ユーザ・データの消去作業が不要となり、管理、運用および廃棄コストの点できわめて有利となる。また特に、情報記録再生装置内の電気回路あるいは記録再生手段、走査手段等が故障してユーザ・データの消去作業が実行不能な状況であっても、故障部位の交換等による不正アクセスに備えたユーザ・データの消去作業あるいは物理的、機械的な作業が不要となり、情報記録再生装置の使用開始から使用終了までの管理、運用および廃棄コストの点できわめて有利となる。
【図面の簡単な説明】
【0039】
【図1】本発明の実施例による磁気ディスク装置のブロック構成図である。
【図2】本発明の実施例による磁気ディスク装置の全体構成を示す上面図である。
【図3】本発明の実施例による磁気ディスクの記録領域の構成を示す図である。
【図4】本発明の実施例による磁気ディスクの暗号鍵データ記録領域のフォーマットを示す図である。
【図5】本発明の実施例による磁気ディスクのユーザ・データ記録領域における積層構造を示す図である。
【図6】本発明の実施例による磁気ディスクの暗号鍵データ記録領域における積層構造を示す図である。
【図7】本発明の実施例による磁気ディスク装置の動作を示すフローチャートである。
【図8】図7に示す動作におけるコマンド処理のフローチャートである。
【符号の説明】
【0040】
10…磁気ディスク、
11…スピンドル・モータ、
12…記録再生ヘッド・スライダ、
14…ランプ機構、
15…サスペンション、
16…ボイス・コイル・モータ、
30…ユーザ・データ記録領域、
32…暗号鍵データ記録領域、
100…磁気ディスク装置、
101…外部インタフェース、
102…インタフェース回路、
103…データ転送調停回路、
104…プロセッサ、
105…暗復号器、
110…ヘッド・ディスク・アセンブリ、
111…RAM、
112…ROM、
113…NV-RAM、
114…タイマ、
115…ECC 処理/変調回路、
120…コントローラ LSI、
301…サーボ・バースト A、
302…サーボ・バースト B、
303…セクタ ID、
304…暗号鍵データ。
【技術分野】
【0001】
本発明は装置内に格納されている暗号鍵を用いてユーザ・データを暗号化しながら記録媒体上に記録し、同じ暗号鍵を用いて記録媒体上から読み取ったデータを復号して出力する情報記録再生装置に関する。
【背景技術】
【0002】
現在、磁気ディスク装置 (Hard Disk Drive:HDD) に代表される情報記録再生装置おいて、記録媒体上に格納されるユーザ・データを保護する方法として、Full Disk Encryption (FDE) 方式などが提案され、利用されている。FDE方式においては、データ記録時にアクセス者が提示した暗号鍵あるいは暗号鍵そのものを生成するための種データを用いてユーザ・データを暗号化した上で記録媒体上に記録し、そのデータを読み出す際には正規アクセス者のみが知りうる暗号鍵あるいは種データをアクセス者が HDD に対して供給することによって復号を実施し、ユーザ・データとして出力している。この場合、ユーザ・データの記録時に使用された正規アクセス者のみが知りうる暗号鍵あるいは種データをアクセス者が供給できなければ、誤った復号動作がなされる結果、記録時とは全く異なるデータが出力されることとなり、不正アクセスが実質的に無効化できるといった一定の効果を有している。しかしながらこのユーザ・データ保護方式においては、暗号鍵を順に生成して総当たり的にアクセス試行を行うという、いわゆるブルート・フォース・アタックにより、時間をかけさえすれば不正アクセス者が正規のユーザ・データを読み出し可能となるというセキュリティ上の脆弱性を抱えている。
【0003】
またユーザ・データの記録に際して、HDD 個体毎で異なるように生成された暗号鍵を、HDD 装置内部の回路内の安全な領域 (一般に外部からアクセス不可能な不揮発性メモリ内) あるいは磁気記録媒体上の所定の場所に別の秘密鍵を用いて暗号化した上で格納しておき、パスワード認証等によって正規アクセス者によるアクセスであると確認された際にのみこれらの暗号鍵を取り出し、記録媒体上から読み取ったデータを復号して再生ユーザ・データとする方法も存在する。すなわちこの方式では、パスワード等によるユーザ認証プロセスを通じてこの暗号鍵を正当に利用することができない場合、ユーザ・データを取り出すことが不可能となる。また仮に磁気ディスク装置の回路部分のみがユーザ認証プロセスを解除された同一機種のそれと交換されていた場合であっても、ユーザ・データの暗復号に使用される暗号鍵は HDD 個体ごとに異なるため、ユーザ・データへのアクセスを防止できるといった一定の効果を有している。しかしながら本方式のように暗号鍵の取り出しがパスワード等によるユーザ認証によるものである場合には、ユーザ・データ暗号化用の暗号鍵が十分に長く暗号鍵そのもののブルート・フォース・アタックが事実上不可能であっても、十分な時間をかけてパスワード認証を突破することにより正しい暗号鍵を利用可能とすることができれば、ユーザ・データの読み出しが可能となってしまうというセキュリティ強度上の問題を有している。
【0004】
すなわちこれらのユーザ・データ保護方式を備えた情報記録装置では、実質的なユーザ・データが記録媒体上に事実上半永久的に、言い換えればユーザ・データを格納する記録媒体領域の物理化学的寿命まで存在し、なおかつアクセス試行期間を制限する方策がとられていないため、アクセス試行に十分な時間を費やすことができさえすれば、不正なアクセス者がユーザ・データを読み出すことが可能であるという問題がある。
【0005】
これらの問題を解決するために、特許文献1には、不揮発性記憶装置に制御回路と不揮発性記憶回路とを備え、不揮発性記憶回路は利用情報に対するアクセス制限を行なう制限情報の格納領域を有するとともに、制限情報にはアクセス期限情報とアクセス時間情報とを含み、制御回路は、外部より供給される時刻情報と前記制限情報とに基いて利用情報のアクセス可否を判定し、時刻情報に基づいてアクセス時間情報を更新するアクセス判定動作を行なう技術が開示されている。
【0006】
また、特許文献2には、半導体記録媒体内に、バッテリと時計とデータ制御部とアドレス制御部とデータ格納エリアとボンディング・パッドとを備え、バッテリから電源を供給することにより時計,データ制御部,アドレス制御部を作動させるとともに、データ制御部に記録するデータの有効時間の設定を行い、時計によるデータ記録後からの経過時間とこの有効時間を常時比較して、有効時間を経過するとデータ制御部の指令により記録されているデータの再生を不可能にせしめる技術が開示されている。
【0007】
特許文献3には、記録メディアの、光学的にデータの読み出し可能な記録領域の内周の非記録領域の一部にIC部を備え、このIC部は、電気的に接続可能なように露出形成されるICインタフェースと、電力を受けることなく経時変化する経時変化部とを有し、この記録メディアの読み/書き装置は、経時変化部の状態を測定することにより、このメディアが利用できる期間にあるか否かを判断する技術が開示されている。
【0008】
【特許文献1】特開2004−326278号公報
【特許文献2】特開2004−14079号公報
【特許文献3】特開2004−296031号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
しかしながら特許文献1に記載の技術では、アクセス権限の確認のために記憶装置外部から時刻情報を提供する計時手段が必要であり、計時手段にアクセス不能な場所では記憶装置内のデータを利用することがそもそも不可能であり、使い勝手上の大きな問題がある。また計時手段にアクセス可能な場所で本記憶装置を使用する場合であっても、一般に計時手段の提供する時刻情報の正確性が保証できないというセキュリティ上の問題が存在し、計時手段からの正確な時刻情報取得を担保するためには、アクセス制御による受益者が正確な計時手段を設けるとともに、ユーザないしはアクセス制御による受益者がその計時手段まで別途暗号通信路を開設するなどの必要があり、コスト上および使い勝手上で大きな問題がある。
【0010】
また特許文献2に記載の技術では、半導体記録媒体に比して一般的に素子寿命の短いバッテリを内蔵することにより、記録媒体全体としての使用寿命が律則されるため、媒体全体の寿命制限による利用コストおよび信頼性の点で問題を有している。また仮にバッテリを交換可能であったとしても、バッテリ交換前後の有効時間の保存方法について何ら技術開示がなされておらず、実現性あるいは使い勝手の点で問題を有している。さらにバッテリは一般にその動作原理として化学反応を利用しており、化学反応速度が低下する低温環境では起電力が低下し、あるいは逆に高温環境ではその内部放電により実効発電量が減少することなどから、記憶媒体としての信頼性の点で大きな問題を有している。
【0011】
特許文献3に記載の技術では、回転する記録メディアにIC部を取り付けるものであり、取り付けの信頼性が高くなければ回転中にIC部が脱落する恐れがある。また、IC部の不揮発性メモリ部のリード/ライトを行うためには、IC部のインタフェース部にIC接続部を接続させる必要があり、接続時に塵埃が発生する可能性もある。さらに、高速で回転するディスク状の記録メディアにIC部を取り付ける場合、回転中心と重心のずれによって大きな振動が生じ、装置の動作に支障をきたしたり、回転機構を破壊に至らしめる危険性を有する。これを防止するためには、媒体駆動装置側に回転バランスを補償する機構を設けたり、IC部の質量を補償するバランス重りを媒体上に取り付け、なおかつIC部、バランス重りの取り付け位置を精密に管理する必要があるため、情報記録再生装置及び記録媒体の製造コストの上昇を招くという点で不利である。
【0012】
本発明の目的は、正当なアクセス権限を有するユーザが、所定の期間にわたり情報記録媒体にアクセスを行わなかった場合、ユーザ・データを暗号化している暗号鍵データを読み出せなくすることにより、ユーザ・データ全体を不正なアクセスから保護することにある。
本発明の他の目的は、所定の期間にわたりユーザ・データにアクセスが行われなかった場合、ユーザ・データを暗号化している暗号鍵データが読み出せなくなる情報記録媒体を提供することである。
【課題を解決するための手段】
【0013】
前記目的を達成するために、本発明の代表的な情報記録再生装置は、ユーザ・データ記録領域と暗号鍵データ記録領域を有し、ユーザ・データ記録領域の記録データが再生できなくなるまでの時間よりも、暗号鍵データ記録領域の記録データが再生できなくなるまでの時間の方が短い記録媒体を搭載し、
ユーザ・データの記録時にはユーザ・データに暗号化を施しながらユーザ・データ記録領域に記録を行うとともに、暗号化に用いる暗号鍵データを暗号鍵データ記録領域に記録し、
正当なアクセス権限を有するユーザによるユーザ・データの再生時には、暗号鍵データ記録領域から暗号鍵データを読み出し、記録時に暗号化されたユーザ・データをこの暗号鍵データを元に生成した暗号鍵により復号しながら出力するとともに、この暗号鍵データを暗号鍵データ記録領域に上書きするものである。
【0014】
さらに、正当なアクセス権限を確認するための認証データとして少なくとも2つ以上の認証データを格納するメモリを有し、
アクセス権限確認のためにユーザから提示された認証データと前記メモリに格納されている認証データとの比較を行い、
認証データの比較において、認証データが連続して一致しなかった回数を計数し、
認証不一致回数が所定の値に達する度に、前記メモリが格納しうる認証データの個数の範囲内で、認証データの比較において参照する認証データの個数を増加するものである。
【0015】
前記他の目的を達成するために、本発明の代表的な情報記録媒体は、基板と、基板の少なくとも一方の面に形成された、局所的な物理状態の変化を引き起こすことによりデータを記録する記録層とを有し、
前記記録層は、ユーザ・データ記録領域と暗号鍵データ記録領域を有し、ユーザ・データ記録領域の記録データが再生できなくなるまでの時間よりも、暗号鍵データ記録領域の記録データが再生できなくなるまでの時間の方が短いものである。
前記記録層は磁気記録層で構成され、暗号鍵データ記録領域の保磁力がユーザ・データ記録領域に比して小さいものである。
【発明の効果】
【0016】
本発明によれば、正当なアクセス権限を有するユーザが、所定の期間にわたり情報記録媒体にアクセスを行わなかった場合、ユーザ・データを暗号化している暗号鍵データを読み出せなくすることにより、結果的にユーザ・データを不正なアクセスから保護することができる。
【発明を実施するための最良の形態】
【0017】
以下、図面を参照して本発明の実施例を説明する。図1は、磁気ディスク装置のブロック構成図である。図2は、カバーを外した状態の磁気ディスク装置の内部構成を示す上面図である。本実施例においては、記録媒体として記録媒体表面の局所的な磁化方向分布によってユーザ・データを保持する磁気ディスク装置 100 を情報記録再生装置の一例として説明する。しかしながら本説明は記録媒体の記録原理について何ら限定を行う意図のものではなく、記録媒体として局所的な物理状態の変化によりデータを記録する例えば結晶相変化を用いた相変化記録媒体や、MRAM, FeRAM, PRAM, Flash Memory 等の半導体メモリ素子にも適用可能である。さらには後述するユーザ・データ記録領域を磁気記録媒体上に取り、暗号鍵データ記録領域を別途 MRAM, FeRAM, PRAM, Flash Memory 等の記録原理の異なる記録媒体上に取ることも可能である。これらの場合には、本実施例において磁気ディスク装置に固有の構成要素、たとえばヘッド・ディスク位置制御回路 108 やアクチュエータ/モータ・ドライバ 109 を適宜削除ないしは相当する構成要素に読み替えればよい。
【0018】
磁気ディスク装置 100 は、磁気ディスク装置の動作を制御するコントローラ LSI 120 を中心に、ヘッド・ディスク・アセンブリ 110 と、アクチュエータ/モータ・ドライバ 109 と、記録ヘッド・ドライバ 106 と、再生ヘッド・アンプ 107 とから主に構成されている。ヘッド・ディスク・アセンブリ 110 は、図2に示すように、記録媒体(磁気ディスク) 10 と、磁気ディスク 10 を回転させるスピンドル・モータ 11 と、記録素子(記録ヘッド)及び再生素子(再生ヘッド)を搭載した記録再生ヘッド・スライダ 12 と、記録再生ヘッド・スライダ 12 を支持するサスペンション 15 と、磁気ディスク 10 の任意の半径位置に記録再生ヘッド・スライダ 12 を位置付ける走査機構(ボイス・コイル・モータ)16 と、記録再生ヘッド・スライダ 12 が退避するランプ機構 14 とから構成されている。
【0019】
磁気ディスク 10 がスピンドル・モータ 11 によって回転され、記録再生ヘッド・スライダ 12 が磁気ディスク表面近傍に浮上している状態になると、再生ヘッドが出力した再生信号は、再生ヘッド・アンプ 107 によって電気的に増幅され、ECC 処理/変調回路 115 およびヘッド・ディスク位置制御回路 108 に入力される。ヘッド・ディスク位置制御回路 108 は、増幅された再生信号から記録再生ヘッド・スライダ 12 と磁気ディスク 10 との物理的な位置関係および相対速度を読み取り、その読み取り結果に基づいて、記録再生ヘッド・スライダ 12 が磁気ディスク上の所望の位置および相対速度で位置できるよう、アクチュエータ/モータ・ドライバ 109 を経由して、ボイス・コイル・モータ 16 およびスピンドル・モータ 11 の動作制御を行う。
【0020】
またプロセッサ 104 は、コントローラ LSI 120 内部の各機能ブロックを協調動作させるため、ECC 処理/変調回路 115 ,ヘッド・ディスク位置制御回路 108 ,暗復号器 105 ,タイマ 114 ,NV-RAM 113 ,インターフェース回路 102 ,データ転送調停回路 103 の状態をモニタし、常時適宜制御を加えている。タイマ 114 は、磁気ディスク装置 100 内の各部で必要とされるタイミング信号を生成し供給する他、磁気ディスク装置が起動されてからの時間を常時計測している。RAM 111 はユーザ・データの記録再生時におけるユーザ・データの一時格納場所として使用される他、プロセッサ 104 の動作状態を示し揮発を許容できるデータの格納エリアとして使用される。ROM 112 はプロセッサ 104 の実行すべきプログラム命令コードの他、後述する通り、磁気ディスク装置 100 の個体データを暗号化するための秘密鍵およびユーザ認証用パスワードを暗号化するための秘密鍵を安全に格納している。NV-RAM 113 は、ユーザ認証用パスワードの他、後述する磁気ディスク装置の動作ロック状態を示すフラグおよびパスワードのセキュリティ・レベルを示す現認証レベル・カウンタを安全に格納している。
【0021】
外部ホスト装置 (図示せず) から外部インターフェース 101 を経由して、インターフェース回路 102 に記録コマンドが入力されると、インターフェース回路 102 は記録コマンドに付随するパラメータ (磁気ディスク上における記録位置開始を示すセクタ番号や、記録されるべきユーザ・データの分量など) を解釈した上でプロセッサ 104 に通知し、これを受けてプロセッサ 104 は記録再生ヘッド・スライダ 12 を磁気ディスク 10 の所望の位置に位置付けるように各部の制御動作を開始する。またこれらの動作と平行して、インターフェース回路 102 は、記録コマンドに付随するパラメータを参照し、データ転送調停回路 103 に対して RAM 111 内の空き領域に対して記録すべきユーザ・データを転送するよう準備を指示する。次いで外部ホスト装置から外部インターフェース 101 を経由して記録すべきユーザ・データが入力されると、それらはインターフェース回路 102, データ転送回路 103 を経由して、RAM 111 に一時的に格納される。
【0022】
記録再生ヘッド・スライダ 12 が磁気ディスク上の記録すべき位置に到達すると、そのことはプロセッサ 104 によって検出され、データ転送調停回路 103 に通知される。するとデータ転送調停回路 103 は、RAM 内の記録すべきユーザ・データを暗復号器 105 に転送する。暗復号器 105 は、別途準備されている暗号鍵を用いて、ユーザ・データを暗号化し、ECC 処理/変調回路 115 へと出力する。ECC 処理/変調回路 115 は、磁気ディスク 10 に対する記録再生の過程で発生する少数のエラーからユーザ・データを保護するため、エラー訂正コードを付加した結果にさらに所定の変調規則に従って変換を施し、その結果を記録ヘッド・ドライバ 106 へと出力する。記録ヘッド・ドライバ 106 は記録ヘッドを駆動し、磁気ディスク上に局所的な磁化方向の分布を形成することによって、ユーザ・データの記録動作が完了する。
【0023】
外部ホスト装置から外部インターフェース 101 を経由して、インターフェース回路 102 に再生コマンドが入力されると、インターフェース回路 102 は再生コマンドに付随するパラメータ (磁気ディスク上における記録位置開始を示すセクタ番号や、再生されるべきユーザ・データの分量など) を解釈した上でプロセッサ 104 に通知し、これを受けてプロセッサ 104 は記録再生ヘッド・スライダ 12 を磁気ディスク 10 の所望の位置に位置付けるよう制御動作を開始する。またこれらの動作と平行して、インターフェース回路 102 は、再生コマンドに付随するパラメータを参照し、暗復号器 105 の出力である再生されたユーザ・データが RAM 111 内の空き領域に転送されるよう、また RAM 111 内に復元される再生ユーザ・データをインターフェース回路 102 および 外部インターフェース 101 を介して外部ホスト機器に転送できるようデータ転送調停回路 103 に対して準備を指示する。
【0024】
次いで記録再生ヘッド・スライダ 12 が磁気ディスク上の記録すべき位置に到達すると、そのことはプロセッサ 104 によって検出され、ECC 処理/変調回路 115 および暗復号器 105 に通知される。この直後、再生ヘッドによって磁気ディスク 10 から読み取られた再生信号は、再生ヘッド・アンプ 107 で電気的に増幅された後、ECC 処理/変調回路 115 で、記録時に施された変換の逆変換に次いでエラー訂正が行われ、暗復号器 105 に入力される。暗復号器 105 では別途用意されている暗号鍵を用いてユーザ・データを復号し、その結果である再生されたユーザ・データは データ転送調停回路 103 を経由して RAM 111 内に一時的に格納される。次いでこの再生されたユーザ・データは、外部ホスト機器からの要求に応じて、データ転送調停回路 103 ,インターフェース回路 102, 外部インターフェース 101 を経由して、外部ホスト機器に出力され、ユーザ・データの再生動作が完了する。
【0025】
記録再生時におけるユーザ・データの暗復号にあたって使用される暗号鍵は、後述する通り磁気ディスク上の所定の領域 (暗号鍵データ記録領域) から磁気ディスク装置の起動時に読み取られ、適宜必要な処理を施され、RAM 111 内に格納されている。ただし RAM 111 はコントローラ LSI 120 のダイ上に存在し、なおかつパッケージ内に封止されているため、ユーザが外部からそのデータを参照したり書き換えたりすることが出来ない。すなわち暗号鍵の格納はタンパ行為に対して安全に保護された状態でなされている。
【0026】
暗号鍵を磁気ディスク上の所定の領域に格納する際には、以下の手順に従う。すなわち、ユーザ・データの暗復号に用いられる暗号鍵は、ユーザがユーザ・データの記録に先立って入力したユーザ認証用パスワードなどを元データに、これを ROM 112 内に格納されている秘密鍵を用いて暗号化することにより生成されている。この暗号鍵は、磁気ディスク装置個体毎に異なる個体データ (たとえばシリアル・ナンバ等) を鍵として再度暗号化され、磁気ディスク上の所定の領域に格納される。磁気ディスク装置 100 の個体データは ROM 112 内部に、ユーザ認証用パスワードは NV-RAM 113 内部に安全に格納されている。ただし、ユーザ・データの暗復号に用いるための、ユーザ認証用パスワードなどを元データとする暗号鍵の RAM 111 内への生成は、ユーザ・データの記録時にのみ行われ、生成された暗号鍵は RAM 111 内に格納されるが、ユーザ・データの再生時に用いる復号用の暗号鍵は、ユーザ認証パスワードなどを元データとして生成されることはない。すなわち、ユーザ・データの再生時に用いる復号用の暗号鍵は、所定のユーザ認証成功後、磁気ディスク上の所定の領域に格納されている暗号化済みの暗号鍵データを、磁気ディスク装置 100 の個体データを秘密鍵として用いて復号することによってのみ復元され、RAM 111 内に格納される。ユーザ・データの暗復号に用いる暗号鍵の、磁気ディスク上への記録あるいは読み出しのタイミングに関しては後述する。
【0027】
図3は上記実施例による磁気ディスク装置で用いる磁気ディスクの構造の一例を説明する図である。磁気ディスク 10 は中央部にスピンドル・モータに対する固定用の穴を有するガラス円盤表面に情報保持用の磁性体薄膜を積層したものである。その表面の記録領域は半径によって、所定の暗号鍵データを用いて暗号化を施されたユーザ・データを記録するためのユーザ・データ記録領域 30 と、ユーザ認証用パスワードを元データとして別途用意された秘密鍵および磁気ディスク装置個体毎に異なる個体データ等を秘密鍵として用いて暗号化した暗号鍵データを記録するための暗号鍵データ記録領域 32 とに大別される。暗号鍵データ記憶領域 32 とユーザ・データ記録領域 30 の造り分けは、たとえば磁性体薄膜をスパッタリングによって積層する際のスパッタ・マスクによる。ただし暗号鍵データ記憶領域 32 とユーザ・データ記録領域 30 は、図3に示されるように同心円環状である必要性はなく、暗号鍵データ記憶領域 32 の形状は、たとえば円環の一部方位のみを切り取った形状や、扇形状であっても良い。
【0028】
図4は磁気ディスク 10 のフォーマットの一例を示す図であり、図3中の暗号鍵データ記録領域 32 の一部を拡大した模式図となっている。暗号鍵データ記録領域 32 は半径方向に同心円状に配置された複数のトラックから構成されており、このトラックはさらに円周方向に複数のセクタに分割されている。磁気ディスク 10 の回転に伴って、記録再生ヘッド・スライダ 12 は図4中左方から右方に向けて走査を行う。セクタ内部はさらにトラック中心に記録ヘッドあるいは再生ヘッドを位置付けるための基準となるサーボ・バースト A 301, サーボ・バースト B 302 が、トラック中心から半径方向等間隔の位置に千鳥状に配置されている。千鳥状に配置されているサーボ・バーストからトラック中心を見つける方法に関しては、磁気ディスク装置において広く知られている方法であるため説明を割愛する。サーボ・バースト B 302 の直後には磁気ディスク上のすべてのセクタに個別に付与され、磁気ディスク上における物理的な位置を示すセクタ ID 303 が配置されている。セクタ ID 303 の直後には、暗号鍵データ 304 が記録される。暗号鍵データ記録領域 32 は、所望のセクタ数を確保するために、上記のフォーマットが記録媒体の半径方向および円周方向に所定の回数繰り返し配置されることにより構成されている。ここで、サーボ・バースト A 301 のパターン, サーボ・バースト B 302 のパターンおよびセクタ ID 303 は磁気ディスク 10 の製造後、書き換える必要のない情報であり、磁気ディスク装置本体の使用期間内に情報が消滅した場合には、装置の動作上重大な問題が生ずる情報である。逆に暗号鍵データは必要に応じて書き換え、消去もしくは上書き更新出来ることが必要である。そこで後述する通り、本実施例による磁気ディスク装置 100 においては、ユーザ・データ記録領域 30 における記録データ消失時間よりも、暗号鍵データ記録領域 32 における記録データ消失時間の方が短いため、サーボ・バースト A 301 パターン, サーボ・バースト B 302 パターンおよびセクタ ID 303 パターンは、記録媒体表面の物理的な凹凸構造 (プリピット) によって、磁気ディスク 100 の製造時に固定情報が記録されている。
【0029】
図5は本実施例による磁気ディスク 10 の、ユーザ・データ記録領域 30 における積層構造の一例を説明する図であり、図6は暗号鍵データ記録領域 32 における積層構造の一例を説明する図である。磁気ディスク 10 の製造にあたっては、まず 0.6 mm 厚のガラス基板表面をポリッシュした後に、下地層および厚さ 50 nm の Cr による裏打ち層を順に積層する。次いで磁化方向によって情報を保持する記録層の一部として、厚さ 5 nm の CoCrPtB による下部記録層を積層する。次いでスパッタ・マスクを用いて暗号鍵データ記録領域 22 に堆積が生じないよう対策した上で、ユーザ・データ記録領域 20 に厚さ 0.6 nm の Ru による反強磁性的結合層を積層し、さらに情報を保持する記録層の残りとして、厚さ 12 nm の CoCrPtB による上部記録層を積層する。最後に記録再生ヘッド・スライダ 12 の浮上を安定化させる目的で、厚さ 3nm の DLC による保護層をスパッタした後、パーフルオロポリエーテル (PFPE) による潤滑層を 2nm 塗布する。
【0030】
この際、図5のユーザ・データ記録領域 30 においては、上部下部の CoCrPtB 記録層が Ru 層を介して反強磁性的に結合しており、記録層外部に磁気的エネルギーを蓄えにくく、磁気的に安定な構造となっている。一方、図6の暗号鍵データ記録領域 22 においては、上部下部の CoCrPtB 記録層が一体となって 17 nm の単層となっているため記録層外部に磁気的エネルギーを多く蓄え、磁気的に不安定な構造となっている。これらの構成により、ユーザ・データ記録領域 30 においては、一旦記録されたユーザ・データが磁気ディスク装置本体の設計寿命(一般に5年間以上) の間にわたって、上書き更新を受けることがなくともエラーなく安定して読み出せることが期待できる。これに対して暗号鍵データ記録領域 32 においては、記録直後から磁化パターンのランダムな反転が発生し、常温においても記録から3ヶ月経過後には、ECC データによるエラー訂正処理を併用しても、暗号鍵データを正常に読み出して復元することが不可能であった。なお別途評価装置による評価の結果、ユーザ・データ記録領域 20 の記録層全体の保磁力は 520 kA/m (6500 Oe)、暗号鍵データ記録領域 22 の記録層の保磁力は 120 kA/m (1500 Oe) であった。
【0031】
なお本実施例においては、暗号鍵データ記録領域 32 における記録データ消失速度(記録したデータを正しく再生できなくなるまでの時間)を相対的に早くする目的で、各領域における記録密度、エラー訂正能力を同一としながら、反強磁性的結合層の有無により記録層全体の保磁力を相対的に低下させる手法を採ったが、同様の目的を達成するためには、各領域における記録密度、エラー訂正能力を同一としながら、次のような方法を用いても良い。すなわち暗号鍵データ記録領域 32 の記録膜厚を引き下げ、部分的に結晶粒の体積を縮小する方法、暗号鍵データ記録領域 32 を光ビームなどで局所的に加熱し熱的構造緩和を引き起こす方法、暗号鍵データ記録領域 32 に局所的に Ar イオンを打ち込むなどして、物理的構造緩和を引き起こす方法、記録膜下地層表面の局所的な表面荒さを調整する、等の方法をとっても良い。また各領域における記録密度、エラー訂正能力を同一としながら、記録媒体の特性に差を付けるこれらの方法の他、ユーザ・データ記録領域 30 と暗号鍵データ記録領域 32 とでは記録媒体の特性、エラー訂正能力等は共通とするが、ユーザ・データ記録領域 30 に比して暗号鍵データ記録領域 32 の記録密度を高く設定し、暗号鍵データ記録領域 32 では熱励起等による結晶粒磁区の反転の影響がより顕著に現れ、再生信号の劣化によるエラー訂正前のエラー率をより速く上昇せしめる方法、ユーザ・データ記録領域 30 と暗号鍵データ記録領域 32 とでは記録媒体の特性、記録密度等は共通とするが、ユーザ・データ記録領域 30 に比して暗号鍵データ記録領域 32 のエラー訂正能力を低くしておき、暗号鍵データ記録領域 32 では熱励起等による結晶粒磁区の反転にともなう読み出しエラー発生の影響がより顕著に (早期に) 現れる、等の方法をとっても良い。
【0032】
次に図7および図8のフローチャートを用いて本実施例による磁気ディスク装置の動作を説明する。図7および図8の動作は、図1に示したプロセッサ 104 の制御によるものである。
図7において、磁気ディスク装置 100 が電源投入ないしは外部強制リセット信号によって再起動されると、ステップ700において、図1の NV-RAM 113 の中に安全に格納されている磁気ディスク装置の動作ロック状態を示すフラグを参照し、全動作がロックされている場合にはその先の動作へと進まず、外部からのあらゆる命令を受け付けないロック状態を継続する。全動作がロックされていない場合には、ステップ701において、磁気ディスク装置 100 の連続起動時間をカウントするタイマ 114 をクリアするとともに、現在ユーザ認証に使用しているパスワードのセキュリティ・レベル (複数あるパスワードを用いたパスワード認証の段階の内で、何個目のパスワード認証を行っているか、すなわち何段階目のパスワード認証を行っているか) を示す現認証レベル・カウンタをクリアし、最も低いセキュリティ・レベルのパスワード認証モードへと移行する。
【0033】
次いで、ステップ702において、外部ホスト機器から現セキュリティ・レベルにおける最初のパスワード認証試行を受け付ける準備として、そのパスワード認証試行回数を示す現認証レベル失敗カウンタ (現セキュリティ・レベルにおいて、何回連続してパスワード認証に失敗したかをカウントする) をクリアする。引き続きステップ703において、ユーザ認証用として外部ホスト機器からパスワード・データが入力されると、ステップ704において、プロセッサ 104 は別途 NV-RAM 113 内に安全に保管されているパスワード・データの中から現認証レベル・カウンタによって示される現セキュリティ・レベルのパスワード・データと比較を行う。比較の結果、パスワード・データが一致しない場合には、ステップ708において、現認証レベル失敗カウンタをインクリメントし、ステップ709において、このカウンタによって示されるパスワード認証に連続して失敗した回数が所定の上限値に達したかを判断する。判断の結果、パスワード認証に連続して失敗した回数が所定の上限値に達していなければ、引き続き現セキュリティ・レベルのパスワード認証(ステップ703)を再開する。逆にこの判断の結果、パスワード認証に連続して失敗した回数が所定の上限値に達していれば、ステップ710において、前述の NV-RAM 113 中に安全に格納されている認証レベル・カウンタをインクリメントし、最終的にユーザ認証で必要とするパスワード・データの個数すなわちパスワードを何個使って、何段階のパスワード認証を行うかを示す個数 (段階数) をインクリメントする。さらにステップ711において、この認証レベル・カウンタが所定の上限値に達していた場合には、前述の NV-RAM 113 中に安全に格納されている磁気ディスク装置 100 の動作ロック状態を示すフラグをセットし、以降いかなる命令が外部ホスト機器から与えられても、磁気ディスク装置 100 の全動作をロックする。また逆にステップ711の段階で認証レベル・カウンタが所定の上限値に達していなかった場合には、ステップ702に戻り、現認証レベル失敗カウンタをクリアし、引き続き現セキュリティ・レベルのパスワード認証(ステップ703)を再開する。
【0034】
本構成および動作により、アクセス者がパスワード認証を繰り返し失敗する場合には、認証レベル・カウンタがインクリメントされ続け、磁気ディスク装置 100 が使用可能になるまでに必要となるパスワード個数が増大し、認証段階数が増大する。このために、不正ユーザによるパスワード認証試行が繰り返された場合でも、全認証段階を通過するまでの時間が自動的に延長され、ユーザ・データに対する不正なアクセスが効果的に防止できる。なお NV-RAM 113 中に安全に格納されている認証レベル・カウンタおよび各セキュリティ・レベルにおけるパスワード・データは、磁気ディスク装置の製造時にゼロないしはヌル・クリアされた状態で出荷される。したがって磁気ディスク装置 100 の初回使用時には、ヌル・パスワード 1回のパスワード認証で、磁気ディスク装置 100 が使用可能となる。
【0035】
また、ステップ704において、パスワード・データが一致した場合、次にステップ705において認証レベル・カウンタで要求している総てのセキュリティ・レベルでのユーザ認証に成功したか否か、すなわち現認証レベル・カウンタが認証レベル・カウンタの値に一致しているか否かが判定される。認証レベル・カウンタで要求している総てのセキュリティ・レベルでのユーザ認証にまだ成功していない場合には、ステップ714において、現認証レベル・カウンタをインクリメントし、次の段階のセキュリティ・レベルにおけるパスワード認証を行うべく、ステップ702の現認証レベル失敗カウンタのクリア動作に戻る。
【0036】
もしもステップ705の段階で認証レベル・カウンタで要求している総てのセキュリティ・レベルでのユーザ認証に成功していることが確認できた場合には、磁気ディスク装置としての本来の機能である記録再生コマンド等の処理に移る。すなわちステップ706において外部ホスト機器から受け付けた未処理のコマンドがあるか否かを判断し、もし未処理コマンドが残っていた場合には図7に示される各コマンド内容の実体処理(ステップ707)へと処理を進める。各コマンドの実体処理終了後、あるいはステップ706の判断の結果、未処理コマンドが残っていなかった場合には、ステップ712において、タイマ 114 における計時結果を参照した上で、磁気ディスク装置 100 の起動後から所定の時間が経過していたか否かを判断する。この場合の所定時間とは、時間ゼロ、すなわち磁気ディスク装置 100 の全セキュリティ・レベルにおけるユーザ認証成功直後のタイミングと、前述の暗号鍵データ記録領域 32 に記録された暗号鍵データを読み出して正常に復元できる時間よりも十分に短い時間 (本実施例では約1時間) の周期に相当する、装置起動直後から計時したタイミングである。ステップ711の段階で所定時間が経過していた場合には、ステップ713において、暗号鍵データ記録領域 32 から暗号鍵データを読み出し、同じ領域に同一の暗号鍵データを再び上書きすることによって記録をリフレッシュし、暗号鍵データの消失までの時間を延長する。ステップ713の上書き動作後、あるいはステップ712の段階で所定時間が経過していない場合には、再びステップ706に戻って、外部ホスト機器から与えられた新たなコマンドの処理に戻る。
【0037】
図8は、本実施例による磁気ディスク装置 100 のコマンド処理の一例を示す図であり、図7のフローチャート中のコマンド処理ステップ707をやや詳説した図である。
コマンド処理に制御が移行すると、ステップ800において、プロセッサ 104 は、外部ホスト機器から与えられたコマンドが磁気ディスク装置 100 を完全に初期化するコマンドか否かを判断する。もしも磁気ディスク装置 100 を完全に初期化するコマンドでなかった場合には、プロセッサ 104 はさらにコマンドの種別を判定し、磁気ディスク装置 100 は適切なコマンドの処理へと動作を移す(ステップ801)。また逆にコマンドが磁気ディスク装置 100 を完全に初期化するコマンドであった場合には、ステップ802において、NV-RAM 113 中に格納されている全パスワード・データをヌル・クリアするとともに、認証レベル・カウンタをゼロ・クリアし (したがって磁気ディスク装置 100 の出荷直後と同様に、直後の使用時には、ヌル・パスワード1回のパスワード認証で、磁気ディスク装置 100 が使用可能となる)、次いでステップ804において、磁気ディスク上のユーザ・データ記録領域 30 および暗号鍵データ記録領域 32 を全消去して、工場出荷直後の状態へと復帰する。
【0038】
以上、実施例を用いて説明してきたとおり、本発明によれば、ユーザ・データの記録媒体上への記録に当たって暗号化を施している情報記録再生装置において、正当なアクセス権限を有するユーザが所定の期間にわたり情報記録再生装置に対して正規のアクセス権限確認手順を経てアクセスを行わなかった場合、ユーザ・データを暗号化している暗号鍵データが読み出せなくなることにより、ユーザ・データそのものが正常に利用できなくなってしまう。この特性により、情報記録再生装置が紛失あるいは盗難によって正当なアクセス権限を有するアクセス者の手を離れ、不正アクセスの脅威にさらされた場合であっても、暗号鍵データが読み出し不能となることによるユーザ・データ利用不能までの時間を適切に設定しておくことにより、パスワードによるユーザ認証が破られる以前にユーザ・データが正しく復号できなくなってしまうため、ユーザ・データに対する不正アクセスが実効的に阻止でき、セキュアな時刻情報提供手段や暗号通信路等を準備することなく、低コストながらセキュリティの大幅な向上が期待できる。またユーザ・データが記録された情報記録再生装置を売却、譲渡あるいは廃棄する場合でも、ユーザ・データを暗号化している暗号鍵データが利用できなくなる所定時間の経過後はユーザ・データが正しく復号できず、事実上ユーザ・データが読み出し不能となるため、ユーザ・データの消去作業が不要となり、管理、運用および廃棄コストの点できわめて有利となる。また特に、情報記録再生装置内の電気回路あるいは記録再生手段、走査手段等が故障してユーザ・データの消去作業が実行不能な状況であっても、故障部位の交換等による不正アクセスに備えたユーザ・データの消去作業あるいは物理的、機械的な作業が不要となり、情報記録再生装置の使用開始から使用終了までの管理、運用および廃棄コストの点できわめて有利となる。
【図面の簡単な説明】
【0039】
【図1】本発明の実施例による磁気ディスク装置のブロック構成図である。
【図2】本発明の実施例による磁気ディスク装置の全体構成を示す上面図である。
【図3】本発明の実施例による磁気ディスクの記録領域の構成を示す図である。
【図4】本発明の実施例による磁気ディスクの暗号鍵データ記録領域のフォーマットを示す図である。
【図5】本発明の実施例による磁気ディスクのユーザ・データ記録領域における積層構造を示す図である。
【図6】本発明の実施例による磁気ディスクの暗号鍵データ記録領域における積層構造を示す図である。
【図7】本発明の実施例による磁気ディスク装置の動作を示すフローチャートである。
【図8】図7に示す動作におけるコマンド処理のフローチャートである。
【符号の説明】
【0040】
10…磁気ディスク、
11…スピンドル・モータ、
12…記録再生ヘッド・スライダ、
14…ランプ機構、
15…サスペンション、
16…ボイス・コイル・モータ、
30…ユーザ・データ記録領域、
32…暗号鍵データ記録領域、
100…磁気ディスク装置、
101…外部インタフェース、
102…インタフェース回路、
103…データ転送調停回路、
104…プロセッサ、
105…暗復号器、
110…ヘッド・ディスク・アセンブリ、
111…RAM、
112…ROM、
113…NV-RAM、
114…タイマ、
115…ECC 処理/変調回路、
120…コントローラ LSI、
301…サーボ・バースト A、
302…サーボ・バースト B、
303…セクタ ID、
304…暗号鍵データ。
【特許請求の範囲】
【請求項1】
ユーザ・データ記録領域と暗号鍵データ記録領域を有し、ユーザ・データ記録領域の記録データが正しく再生できなくなるまでの時間よりも、暗号鍵データ記録領域の記録データが正しく再生できなくなるまでの時間の方が短い記録媒体と、
前記記録媒体上に局所的な物理状態の変化を引き起こすことによりデータを記録する記録素子と、
前記記録媒体上の局所的な物理状態の分布を読み取ることによりデータを再生する再生素子と、
前記記録媒体上の任意の位置を前記記録素子または前記再生素子で走査するための走査機構とを有し、
ユーザ・データの記録時にはユーザ・データに暗号化を施しながら前記記録媒体のユーザ・データ記録領域に記録を行うとともに、暗号化に用いる暗号鍵データを前記暗号鍵データ記録領域に記録し、
正当なアクセス権限を有するユーザによるユーザ・データの再生時には、前記暗号鍵データ記録領域から暗号鍵データを読み出し、記録時に暗号化されたユーザ・データを前記暗号鍵データを元に生成した暗号鍵により復号しながら出力するとともに、前記暗号鍵データを前記暗号鍵データ記録領域に上書きすることを特徴とする情報記録再生装置。
【請求項2】
請求項1に記載の情報記録再生装置において、
前記暗号鍵データ記憶領域における暗号鍵データに対するエラー訂正コードのエラー訂正能力が、前記ユーザ・データ記録領域におけるユーザ・データに対するエラー訂正コードのエラー訂正能力よりも低いことを特徴とする情報記録再生装置。
【請求項3】
請求項1に記載の情報記録再生装置において、
前記暗号鍵データ記憶領域の記録密度が前記ユーザ・データ記録領域に比して高いことを特徴とする情報記録再生装置。
【請求項4】
請求項1に記載の情報記録再生装置において、
さらに、正当なアクセス権限を確認するための認証データとして少なくとも2つ以上の認証データを格納するメモリを有し、
アクセス権限確認のためにユーザから提示された認証データと前記メモリに格納されている認証データとの比較を行い、
前記認証データの比較において、認証データが連続して一致しなかった回数を計数し、
前記認証不一致回数が所定の値に達する度に、前記メモリが格納しうる認証データの個数の範囲内で、前記認証データの比較において参照する認証データの個数を増加せしめることを特徴とする情報記録再生装置。
【請求項5】
基板と、
前記基板の少なくとも一方の面に形成された、局所的な物理状態の変化を引き起こすことによりデータを記録する記録層とを有し、
前記記録層は、ユーザ・データ記録領域と暗号鍵データ記録領域を有し、ユーザ・データ記録領域の記録データが再生できなくなるまでの時間よりも、暗号鍵データ記録領域の記録データが再生できなくなるまでの時間の方が短いことを特徴とする情報記録媒体。
【請求項6】
請求項5に記載の情報記録媒体において、
前記記録層は磁気記録層であり、前記暗号鍵データ記録領域の保磁力が前記ユーザ・データ記録領域に比して小さいことを特徴とする情報記録媒体。
【請求項7】
請求項5に記載の情報記録媒体において、
前記記録層は磁気記録層であり、前記暗号鍵データ記憶領域の磁気異方性が前記ユーザ・データ記録領域に比して小さいことを特徴とする情報記録媒体。
【請求項8】
請求項5に記載の情報記録媒体において、
前記記録層は磁気記録層であり、前記暗号鍵データ記憶領域の磁性結晶粒体積が前記ユーザ・データ記録領域に比して小さいことを特徴とする情報記録媒体。
【請求項9】
請求項5に記載の情報記録媒体において、
前記暗号鍵データ記憶領域における暗号鍵データに対するエラー訂正コードのエラー訂正能力が、前記ユーザ・データ記録領域におけるユーザ・データに対するエラー訂正コードのエラー訂正能力よりも低いことを特徴とする情報記録媒体。
【請求項10】
請求項5に記載の情報記録媒体において、
前記暗号鍵データ記憶領域の記録密度が前記ユーザ・データ記録領域に比して高いことを特徴とする情報記録媒体。
【請求項11】
請求項5に記載の情報記録媒体において、
前記暗号鍵データ記録領域は、前記ユーザ・データ記録領域の一領域に設けられ、
加熱により構造緩和されていることを特徴とする情報記録媒体。
【請求項12】
請求項5に記載の情報記録媒体において、
前記暗号鍵データ記録領域は、前記ユーザ・データ記録領域の一領域に設けられ、
イオン打ち込みにより物理的構造が緩和されていることを特徴とする情報記録媒体。
【請求項13】
請求項5に記載の情報記録媒体において、
前記暗号鍵データ記録領域は、前記ユーザ・データ記録領域の一領域に設けられ、
暗号鍵データ記録領域の下地層の表面粗さが、ユーザ・データ記録領域の下地層の表面粗さよりも大きいことを特徴とする情報記録媒体。
【請求項14】
請求項5記載の情報記録媒体において、
前記記録層のユーザ・データ記録領域における記録データ消失時間よりも、暗号鍵データ記録領域における記録データ消失時間の方が短いことを特徴とする情報記録媒体。
【請求項1】
ユーザ・データ記録領域と暗号鍵データ記録領域を有し、ユーザ・データ記録領域の記録データが正しく再生できなくなるまでの時間よりも、暗号鍵データ記録領域の記録データが正しく再生できなくなるまでの時間の方が短い記録媒体と、
前記記録媒体上に局所的な物理状態の変化を引き起こすことによりデータを記録する記録素子と、
前記記録媒体上の局所的な物理状態の分布を読み取ることによりデータを再生する再生素子と、
前記記録媒体上の任意の位置を前記記録素子または前記再生素子で走査するための走査機構とを有し、
ユーザ・データの記録時にはユーザ・データに暗号化を施しながら前記記録媒体のユーザ・データ記録領域に記録を行うとともに、暗号化に用いる暗号鍵データを前記暗号鍵データ記録領域に記録し、
正当なアクセス権限を有するユーザによるユーザ・データの再生時には、前記暗号鍵データ記録領域から暗号鍵データを読み出し、記録時に暗号化されたユーザ・データを前記暗号鍵データを元に生成した暗号鍵により復号しながら出力するとともに、前記暗号鍵データを前記暗号鍵データ記録領域に上書きすることを特徴とする情報記録再生装置。
【請求項2】
請求項1に記載の情報記録再生装置において、
前記暗号鍵データ記憶領域における暗号鍵データに対するエラー訂正コードのエラー訂正能力が、前記ユーザ・データ記録領域におけるユーザ・データに対するエラー訂正コードのエラー訂正能力よりも低いことを特徴とする情報記録再生装置。
【請求項3】
請求項1に記載の情報記録再生装置において、
前記暗号鍵データ記憶領域の記録密度が前記ユーザ・データ記録領域に比して高いことを特徴とする情報記録再生装置。
【請求項4】
請求項1に記載の情報記録再生装置において、
さらに、正当なアクセス権限を確認するための認証データとして少なくとも2つ以上の認証データを格納するメモリを有し、
アクセス権限確認のためにユーザから提示された認証データと前記メモリに格納されている認証データとの比較を行い、
前記認証データの比較において、認証データが連続して一致しなかった回数を計数し、
前記認証不一致回数が所定の値に達する度に、前記メモリが格納しうる認証データの個数の範囲内で、前記認証データの比較において参照する認証データの個数を増加せしめることを特徴とする情報記録再生装置。
【請求項5】
基板と、
前記基板の少なくとも一方の面に形成された、局所的な物理状態の変化を引き起こすことによりデータを記録する記録層とを有し、
前記記録層は、ユーザ・データ記録領域と暗号鍵データ記録領域を有し、ユーザ・データ記録領域の記録データが再生できなくなるまでの時間よりも、暗号鍵データ記録領域の記録データが再生できなくなるまでの時間の方が短いことを特徴とする情報記録媒体。
【請求項6】
請求項5に記載の情報記録媒体において、
前記記録層は磁気記録層であり、前記暗号鍵データ記録領域の保磁力が前記ユーザ・データ記録領域に比して小さいことを特徴とする情報記録媒体。
【請求項7】
請求項5に記載の情報記録媒体において、
前記記録層は磁気記録層であり、前記暗号鍵データ記憶領域の磁気異方性が前記ユーザ・データ記録領域に比して小さいことを特徴とする情報記録媒体。
【請求項8】
請求項5に記載の情報記録媒体において、
前記記録層は磁気記録層であり、前記暗号鍵データ記憶領域の磁性結晶粒体積が前記ユーザ・データ記録領域に比して小さいことを特徴とする情報記録媒体。
【請求項9】
請求項5に記載の情報記録媒体において、
前記暗号鍵データ記憶領域における暗号鍵データに対するエラー訂正コードのエラー訂正能力が、前記ユーザ・データ記録領域におけるユーザ・データに対するエラー訂正コードのエラー訂正能力よりも低いことを特徴とする情報記録媒体。
【請求項10】
請求項5に記載の情報記録媒体において、
前記暗号鍵データ記憶領域の記録密度が前記ユーザ・データ記録領域に比して高いことを特徴とする情報記録媒体。
【請求項11】
請求項5に記載の情報記録媒体において、
前記暗号鍵データ記録領域は、前記ユーザ・データ記録領域の一領域に設けられ、
加熱により構造緩和されていることを特徴とする情報記録媒体。
【請求項12】
請求項5に記載の情報記録媒体において、
前記暗号鍵データ記録領域は、前記ユーザ・データ記録領域の一領域に設けられ、
イオン打ち込みにより物理的構造が緩和されていることを特徴とする情報記録媒体。
【請求項13】
請求項5に記載の情報記録媒体において、
前記暗号鍵データ記録領域は、前記ユーザ・データ記録領域の一領域に設けられ、
暗号鍵データ記録領域の下地層の表面粗さが、ユーザ・データ記録領域の下地層の表面粗さよりも大きいことを特徴とする情報記録媒体。
【請求項14】
請求項5記載の情報記録媒体において、
前記記録層のユーザ・データ記録領域における記録データ消失時間よりも、暗号鍵データ記録領域における記録データ消失時間の方が短いことを特徴とする情報記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2008−171458(P2008−171458A)
【公開日】平成20年7月24日(2008.7.24)
【国際特許分類】
【出願番号】特願2007−711(P2007−711)
【出願日】平成19年1月5日(2007.1.5)
【出願人】(503116280)ヒタチグローバルストレージテクノロジーズネザーランドビーブイ (1,121)
【Fターム(参考)】
【公開日】平成20年7月24日(2008.7.24)
【国際特許分類】
【出願日】平成19年1月5日(2007.1.5)
【出願人】(503116280)ヒタチグローバルストレージテクノロジーズネザーランドビーブイ (1,121)
【Fターム(参考)】
[ Back to top ]