暗号キー選択装置を具備するストレージ・システム及び暗号キー選択方法
【課題】システムのCPUを効率的に使用し、暗号化及び復号化に必要なキー選択時間を最小限とする暗号キー選択装置を具備するストレージ・システム及び暗号キー選択方法を提供する。
【解決手段】ストレージ・システムは、CPU、暗号ブロック、保存装置、及び受信した命令語に含まれたLBA範囲に対応する暗号キーを選択して暗号ブロックに伝達する暗号キー選択装置を具備する。暗号キー選択方法は、CPU、暗号ブロック、保存装置、及び外部から入力された命令語に含まれたLBA範囲を抽出する命令語解析器とLBA範囲に対応する暗号キーを選択するキー選択装置とを含む暗号キー選択装置を具備するストレージ・システムで行われ、命令語解析器で、命令語に含まれたLBA範囲を抽出する段階と、キー選択装置で、LBA範囲が新しいものである場合に、新しいLBA範囲に対応する暗号キーを選択するキー生成段階と、を有する。
【解決手段】ストレージ・システムは、CPU、暗号ブロック、保存装置、及び受信した命令語に含まれたLBA範囲に対応する暗号キーを選択して暗号ブロックに伝達する暗号キー選択装置を具備する。暗号キー選択方法は、CPU、暗号ブロック、保存装置、及び外部から入力された命令語に含まれたLBA範囲を抽出する命令語解析器とLBA範囲に対応する暗号キーを選択するキー選択装置とを含む暗号キー選択装置を具備するストレージ・システムで行われ、命令語解析器で、命令語に含まれたLBA範囲を抽出する段階と、キー選択装置で、LBA範囲が新しいものである場合に、新しいLBA範囲に対応する暗号キーを選択するキー生成段階と、を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化装置を具備するストレージ・システム(storage system)に係り、特に、外部から入力される命令語(command)に含まれたLBA(logic block address)情報に対応する暗号キーを生成させる暗号キー選択装置を具備するストレージ・システム及び暗号キー選択方法に関する。
【背景技術】
【0002】
最近、携帯が簡便でありながら保存容量が大きく、データの処理速度が向上したノート型パソコン及びラップトップ・コンピュータ(lap top computer)の使用が一般化している。性能が優秀なノート型パソコン及びラップトップ・コンピュータは、一般人はもとより、重要な情報を担当する専門家も使用しているが、特に、専門家が使用するコンピュータが紛失したとき、保存されたデータの流失は、大問題となってしまう。このような場合に対処するために、紛失したときに権限のないユーザが保存されたデータを読み取ることが不可能なように、ノート型パソコン及びラップトップ・コンピュータにも、暗号化方法が適用されて使用されている。暗号化方法が適用されたコンピュータから、使用権限が認定された場合にのみ、保存装置にデータを記録したり、記録されたデータを読み取りしたりすることができるようにすることで、コンピュータの紛失時にも、一定の情報が使用権限のない者に漏出することを防止できる。
【0003】
暗号化装置は、128ビット(bit)、192ビット、256ビット、又は512ビットのキー(key)を暗号化して使用することが一般的である。中央演算処理装置(CPU)が、1つのクロック・サイクル(clock cycle)に処理できるデータの大きさが、32ビットである場合、128ビットのデータを処理するためには、4個のクロック・サイクルが必要である。従って、暗号装置を具備するシステムの場合、中央演算処理装置を利用して、暗号化及び復号化を行う場合、使われるキーの大きさによって、暗号化及び復号化に必要な時間が相当なものになる。
【0004】
従来、メモリ装置を1つの空間と見て、空いている空間に順番にデータを保存する方式を使用していたが、最近では、メモリ装置の保存領域を複数個のブロックに区分して使用する方式が使われている。メモリ装置の保存空間を複数個のブロックに区分して使用することによって、データを保存したり、保存されたデータを読み取りしたりするときの効率が上昇するという長所がある。
【0005】
データの保存空間を複数個のブロックに区分する方式と、それぞれのブロックをアクセスするときに使用権限を付与する暗号化方法とを組み合わせた場合、使用権限のないユーザが重要なデータにアクセスするのをより強力に防止できる。即ち、各ブロックにデータを保存するとき、使用するキーをそれぞれ相違させることによって、複数個の保存空間、即ち、複数個のブロックそれぞれにアクセスできる権限を、当該ブロック別に異なって付与することができ、保存されたデータをより確実に保護することができる。
【0006】
分割された保存ブロック毎にキー値が異なるように設定されるために、当該ブロックにデータを保存しようとする場合、又は当該ブロックに保存されたデータを読み取ろうとする場合、暗号化装置には、暗号化に使われるキーが伝えられなければならない。上述のように、中央演算処理装置を利用して暗号化に使われるキーを伝達することは、時間が多くかかるだけではなく、この時間の間には、中央演算処理装置が異なる処理を並列に行うことも不可能になるので、システムの効率が低下するという問題点も共に発生することになる。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、上記従来の問題点に鑑みてなされたものであって、本発明の目的は、システムの中央演算処理装置を効率的に使用し、暗号化及び復号化に必要なキー選択時間を最小限とする暗号キー選択装置を具備するストレージ・システムを提供することにある。
また、本発明の他の目的は、暗号化及び復号化に必要なキーを選択する時間を最小限とする暗号キー選択方法を提供することにある。
【課題を解決するための手段】
【0008】
上記目的を達成するためになされた本発明によるストレージ・システムは、中央演算処理装置(CPU)、暗号ブロック、及び保存装置を具備し、受信した命令語に含まれたLBA(logic block address)範囲に対応する暗号キーを選択して前記暗号ブロックに伝達する暗号キー選択装置を更に具備することを特徴とする。
【0009】
上記他の目的を達成するためになされた本発明による暗号キー選択方法は、CPU、暗号ブロック、保存装置、及び外部から入力された命令語に含まれたLBA範囲を抽出する命令語解析器と前記LBA範囲に対応する暗号キーを選択するキー選択装置とを含む暗号キー選択装置を具備するストレージ・システムで行われ、前記命令語解析器で、前記命令語に含まれたLBA範囲を抽出する段階と、前記キー選択装置で、前記LBA範囲が新しいものである場合に、新しいLBA範囲に対応する暗号キーを選択するキー生成段階と、を有することを特徴とする。
【図面の簡単な説明】
【0010】
【図1】本発明の一実施形態による暗号キー選択装置を具備するストレージ・システムのブロック図である。
【図2】キー選択装置の内部ブロック図である。
【図3】キー保存装置の内部ブロックである。
【図4】本発明の一実施形態による暗号キー選択方法を示す信号フローチャートである。
【図5】従来のストレージ・システムのブロック図である。
【図6】本発明の一実施形態によるストレージ・システムのブロック図である。
【図7】本発明によるストレージ・システムをODD(optical disc drive)に適用した一例のブロック図である。
【図8】本発明によるストレージ・システムをHDD(hard disc drive)に適用した一例のブロック図である。
【図9】本発明によるストレージ・システムをMMC(multimedia card)カードに適用した一例のブロック図である。
【図10】本発明によるストレージ・システムをSDカードに適用した一例のブロック図である。
【発明を実施するための形態】
【0011】
本発明と、本発明の動作上のメリット及び本発明の実施によって達成される目的を十分に理解するためには、本発明の例示的な実施形態について説明する図面並びに図面に記載された内容を参照せねばならない。
【0012】
以下、本発明を実施するための形態の具体例を、図面を参照しながら詳細に説明する。各図面に示した同じ参照符号は、同じ構成要素を示す。
【0013】
図1は、本発明の一実施形態による暗号キー選択装置を具備するストレージ・システムのブロック図である。
【0014】
図1を参照すると、ストレージ・システム100は、中央演算処理装置(CPU)110、暗号ブロック120、メモリ装置(MEM)130、及び暗号キー選択装置140を具備する。
【0015】
CPU110は、暗号ブロック120からユーザの権限が確認されたとき、入力された命令語(COMMAND)に応答して、メモリ装置130にデータを保存したり、保存されたデータを読み取りしたりする。暗号ブロック120は、暗号キー選択装置140から出力された暗号キーS_KEYを利用してユーザの権限を確認する。
【0016】
暗号キー選択装置140は、命令語(COMMAND)に含まれたLBA(logic block address)範囲LBA_Rに対応する暗号キーS_KEYを出力する。ここで、LBA範囲は、複数個の保存ブロックに任意に区分されたメモリ装置130の保存ブロックの位置(該当アドレス)に関する情報を意味する。暗号キー選択装置140は、情報を介して、当該保存ブロックに割り当てられた暗号キーS_KEYを選択する。
【0017】
上記機能を遂行するために、暗号キー選択装置140は、命令語解析器(command parser)150及びキー選択装置160を具備する。命令語解析器150は、命令語(COMMAND)に含まれたLBA範囲LBA_Rを抽出する。キー選択装置160は、抽出されたLBA範囲LBA_Rに対応する暗号キーS_KEYを選択する。
【0018】
ここで、入力された命令語(COMMAND)に含まれたデータを利用してLBAを抽出でき、このとき、F/W(firmware)を使用せずに抽出が可能である。
【0019】
図2は、キー選択装置の内部ブロック図である。
【0020】
図2を参照すると、キー選択装置160は、LBAデコーダ210及びキー保存装置220を具備する。
【0021】
LBAデコーダ210は、LBA範囲LBA_Rをデコーディングし、複数(Nは整数)個の選択信号SEL_Nを生成し、生成された複数個の選択信号のうちの1つの信号だけを活性化する。キー保存装置220は、複数個の区分された保存ブロックに使われる暗号キーを保存し、それぞれの暗号キーは、活性化された選択信号SEL_Nに応答して、暗号キーS_KEYとして出力される。
【0022】
図3は、キー保存装置の内部ブロックを示す。
【0023】
図3を参照すると、キー保存装置220は、複数個の保存ブロックに、それぞれの暗号キーKEY1〜KEYN(Nは整数)を保存しており、保存された暗号キーKEY1〜KEYNは、複数個の選択信号SEL1〜SEL_Nのうち、活性化された選択信号に連結された保存ブロックに含まれたキーが、暗号キーS_KEYとして出力される。
【0024】
図4は、本発明の一実施形態による暗号キー選択方法を示す信号フローチャートである。
【0025】
図4を参照すると、暗号キー選択方法(400)は、LBA範囲を抽出する段階(ステップ410、420)及びキー生成段階(ステップ430〜450)を具備する。
【0026】
LBA範囲を抽出する段階(ステップ410、420)では、命令語(COMMAND)を受信し(ステップ410)、受信した命令語(COMMAND)に含まれたLBA範囲LBA_Rを抽出する(ステップ420)。
【0027】
キー生成段階(ステップ430〜450)では、抽出されたLBA範囲LBA_Rに含まれた情報が、新しい保存ブロックを指示するか否かを判断し(ステップ430)、新しい保存ブロックを指示すると判断した場合には(はい)、抽出されたLBA範囲LBA_Rに対応するキーフラッグ(KEY FLAG)を生成する(ステップ440)。生成されたキーフラッグ(KEY FLAG)によって、当該保存ブロックに割り当てられた暗号キー(KEY)を選択する(ステップ450)。抽出されたLBA範囲LBA_Rに含まれた情報が、現在使用している保存ブロックを指示している場合には(いいえ)、新しい暗号キー(KEY)を選択する必要がなくなる。
【0028】
図1〜図4を参照して、本発明の動作特性について説明する。
【0029】
ストレージ・システムを使用しようとするユーザは、ストレージ・システムにID及び暗証番号(password)を入力し、ストレージ・システムから使用権限を許与された後で使用すると仮定する。
【0030】
使用権限が認定された後、データをメモリ装置130に保存させようとする場合、データは、保存される位置、即ち、区分された保存ブロックに対応する暗号キーS_KEYを利用し、暗号化がなされた後で保存される。暗号化過程は、本発明の内容ではないので、ここでは、その過程について説明しないことにする。暗号化されて保存されたために、使用権限のない者が保存されたデータだけを抽出しても、抽出されたデータだけでは、保存された情報を認識することは不可能である。
【0031】
本発明によるキー選択装置を具備するストレージ・システムを取得した者が、強制的に保存されたデータを確認するためには、使用権限があるユーザのID及び暗証番号を知らなければならない。メモリに保存されたデータを強制的に抽出したとしても、暗号化されたデータに含まれた情報を容易に認識することはできない。特に、暗号化するとき、1つの暗号キーを使用するのではなく、複数個の暗号キーのうちの一つを選択して使用する場合、セキュリティ効果は、更に確実となる。
【0032】
図5は、従来のストレージ・システム500のブロック図である。
【0033】
図5を参照すると、SATA(serial advanced technology attachment)インターフェース510を介して入力された命令語(COMMAND)は、バスブリッジ530を経由してARMプロセッサ540に伝えられ、CPU(図示せず)からLBAアドレスを取得した後、暗号化エンジン550を介して、キーレジスタ560に保存された暗号キーを選択する。
【0034】
図6は、本発明の一実施形態によるストレージ・システム600のブロック図である。
【0035】
図6を参照すると、SATAインターフェース610を介して入力された命令語(COMMAND)は、本発明による命令語解析器621及びLBAデコーダ622を経由して暗号化エンジン650に直接伝えられる。ここで、命令語解析器621及びLBAデコーダ622は、図1に示した暗号キー選択装置140に対応する(参照番号620)。図2に示したキー保存装置220は、図6のキーレジスタ660に対応する。一実施形態によって、キーレジスタ660は、図6のように独立して存在することもあり、図2のように、他の機能ブロックに含まれることも可能である。
【0036】
図6に示した本発明によるストレージ・システムで採択する命令語(COMMAND)の伝達経路が、従来の信号経路と異なる点は、バスブリッジ630及びARMプロセッサ640を経ないという点である。CPUは、一般命令語に対する本来の作業を行い、使用権限と関係する命令語(COMMAND)の処理は、CPUを経ずに、暗号化エンジン650で直接処理できるようにすることによって、ユーザにより早い命令処理結果を送ることができる。
【0037】
SATAインターフェースを介して入力される命令語(COMMAND)の場合、命令語(COMMAND)に含まれた一定部門のデータを利用してLBAを抽出することは、F/Wの助けなしに可能である。
【0038】
以上では、SATAインターフェースについてのみ説明したが、本発明が適用される分野は、これに限定されるものではなく、SAS(serial attached SCSI)インターフェース、PCIe(PCI express)インターフェースを介して入力される命令語(COMMAND)についても、LBAアドレスを知ることが可能であるならば、適用が可能である。本発明は、メモリカード・インターフェースにも適用が可能であり、保存装置としては、SSD(solid state disc)以外にも、ODD(optical disc driver)、HDD(hard disc driver)、MMC(multi−media card)及びSD(super digital)カードにも適用可能である。
【0039】
図7は、本発明によるストレージ・システム700を、ODDに適用した一例のブロック図である。
【0040】
図8は、本発明によるストレージ・システム800を、HDDに適用した一例のブロック図である。
【0041】
図9は、本発明によるストレージ・システム900を、MMCカードに適用した一例のブロック図である。
【0042】
図10は、本発明によるストレージ・システム1000を、SDカードに適用した一例のブロック図である。
【0043】
以上、図面を参照しながら本発明の実施形態について説明したが、本発明は、上述の実施形態に限定されるものではなく、本発明の技術的範囲から逸脱しない範囲内で多様に変更実施することが可能である。
【符号の説明】
【0044】
100、500、600、700、800、900、1000 ストレージ・システム
110 CPU
120 暗号ブロック
130 メモリ装置
140、620 暗号キー選択装置
150、621 命令語解析器
160 キー選択装置
210、622 LBAデコーダ
220 キー保存装置
510、610 SATAインターフェース
530、630 バスブリッジ
540、640 ARMプロセッサ
550、650 暗号化エンジン
560、660 キーレジスタ
【技術分野】
【0001】
本発明は、暗号化装置を具備するストレージ・システム(storage system)に係り、特に、外部から入力される命令語(command)に含まれたLBA(logic block address)情報に対応する暗号キーを生成させる暗号キー選択装置を具備するストレージ・システム及び暗号キー選択方法に関する。
【背景技術】
【0002】
最近、携帯が簡便でありながら保存容量が大きく、データの処理速度が向上したノート型パソコン及びラップトップ・コンピュータ(lap top computer)の使用が一般化している。性能が優秀なノート型パソコン及びラップトップ・コンピュータは、一般人はもとより、重要な情報を担当する専門家も使用しているが、特に、専門家が使用するコンピュータが紛失したとき、保存されたデータの流失は、大問題となってしまう。このような場合に対処するために、紛失したときに権限のないユーザが保存されたデータを読み取ることが不可能なように、ノート型パソコン及びラップトップ・コンピュータにも、暗号化方法が適用されて使用されている。暗号化方法が適用されたコンピュータから、使用権限が認定された場合にのみ、保存装置にデータを記録したり、記録されたデータを読み取りしたりすることができるようにすることで、コンピュータの紛失時にも、一定の情報が使用権限のない者に漏出することを防止できる。
【0003】
暗号化装置は、128ビット(bit)、192ビット、256ビット、又は512ビットのキー(key)を暗号化して使用することが一般的である。中央演算処理装置(CPU)が、1つのクロック・サイクル(clock cycle)に処理できるデータの大きさが、32ビットである場合、128ビットのデータを処理するためには、4個のクロック・サイクルが必要である。従って、暗号装置を具備するシステムの場合、中央演算処理装置を利用して、暗号化及び復号化を行う場合、使われるキーの大きさによって、暗号化及び復号化に必要な時間が相当なものになる。
【0004】
従来、メモリ装置を1つの空間と見て、空いている空間に順番にデータを保存する方式を使用していたが、最近では、メモリ装置の保存領域を複数個のブロックに区分して使用する方式が使われている。メモリ装置の保存空間を複数個のブロックに区分して使用することによって、データを保存したり、保存されたデータを読み取りしたりするときの効率が上昇するという長所がある。
【0005】
データの保存空間を複数個のブロックに区分する方式と、それぞれのブロックをアクセスするときに使用権限を付与する暗号化方法とを組み合わせた場合、使用権限のないユーザが重要なデータにアクセスするのをより強力に防止できる。即ち、各ブロックにデータを保存するとき、使用するキーをそれぞれ相違させることによって、複数個の保存空間、即ち、複数個のブロックそれぞれにアクセスできる権限を、当該ブロック別に異なって付与することができ、保存されたデータをより確実に保護することができる。
【0006】
分割された保存ブロック毎にキー値が異なるように設定されるために、当該ブロックにデータを保存しようとする場合、又は当該ブロックに保存されたデータを読み取ろうとする場合、暗号化装置には、暗号化に使われるキーが伝えられなければならない。上述のように、中央演算処理装置を利用して暗号化に使われるキーを伝達することは、時間が多くかかるだけではなく、この時間の間には、中央演算処理装置が異なる処理を並列に行うことも不可能になるので、システムの効率が低下するという問題点も共に発生することになる。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、上記従来の問題点に鑑みてなされたものであって、本発明の目的は、システムの中央演算処理装置を効率的に使用し、暗号化及び復号化に必要なキー選択時間を最小限とする暗号キー選択装置を具備するストレージ・システムを提供することにある。
また、本発明の他の目的は、暗号化及び復号化に必要なキーを選択する時間を最小限とする暗号キー選択方法を提供することにある。
【課題を解決するための手段】
【0008】
上記目的を達成するためになされた本発明によるストレージ・システムは、中央演算処理装置(CPU)、暗号ブロック、及び保存装置を具備し、受信した命令語に含まれたLBA(logic block address)範囲に対応する暗号キーを選択して前記暗号ブロックに伝達する暗号キー選択装置を更に具備することを特徴とする。
【0009】
上記他の目的を達成するためになされた本発明による暗号キー選択方法は、CPU、暗号ブロック、保存装置、及び外部から入力された命令語に含まれたLBA範囲を抽出する命令語解析器と前記LBA範囲に対応する暗号キーを選択するキー選択装置とを含む暗号キー選択装置を具備するストレージ・システムで行われ、前記命令語解析器で、前記命令語に含まれたLBA範囲を抽出する段階と、前記キー選択装置で、前記LBA範囲が新しいものである場合に、新しいLBA範囲に対応する暗号キーを選択するキー生成段階と、を有することを特徴とする。
【図面の簡単な説明】
【0010】
【図1】本発明の一実施形態による暗号キー選択装置を具備するストレージ・システムのブロック図である。
【図2】キー選択装置の内部ブロック図である。
【図3】キー保存装置の内部ブロックである。
【図4】本発明の一実施形態による暗号キー選択方法を示す信号フローチャートである。
【図5】従来のストレージ・システムのブロック図である。
【図6】本発明の一実施形態によるストレージ・システムのブロック図である。
【図7】本発明によるストレージ・システムをODD(optical disc drive)に適用した一例のブロック図である。
【図8】本発明によるストレージ・システムをHDD(hard disc drive)に適用した一例のブロック図である。
【図9】本発明によるストレージ・システムをMMC(multimedia card)カードに適用した一例のブロック図である。
【図10】本発明によるストレージ・システムをSDカードに適用した一例のブロック図である。
【発明を実施するための形態】
【0011】
本発明と、本発明の動作上のメリット及び本発明の実施によって達成される目的を十分に理解するためには、本発明の例示的な実施形態について説明する図面並びに図面に記載された内容を参照せねばならない。
【0012】
以下、本発明を実施するための形態の具体例を、図面を参照しながら詳細に説明する。各図面に示した同じ参照符号は、同じ構成要素を示す。
【0013】
図1は、本発明の一実施形態による暗号キー選択装置を具備するストレージ・システムのブロック図である。
【0014】
図1を参照すると、ストレージ・システム100は、中央演算処理装置(CPU)110、暗号ブロック120、メモリ装置(MEM)130、及び暗号キー選択装置140を具備する。
【0015】
CPU110は、暗号ブロック120からユーザの権限が確認されたとき、入力された命令語(COMMAND)に応答して、メモリ装置130にデータを保存したり、保存されたデータを読み取りしたりする。暗号ブロック120は、暗号キー選択装置140から出力された暗号キーS_KEYを利用してユーザの権限を確認する。
【0016】
暗号キー選択装置140は、命令語(COMMAND)に含まれたLBA(logic block address)範囲LBA_Rに対応する暗号キーS_KEYを出力する。ここで、LBA範囲は、複数個の保存ブロックに任意に区分されたメモリ装置130の保存ブロックの位置(該当アドレス)に関する情報を意味する。暗号キー選択装置140は、情報を介して、当該保存ブロックに割り当てられた暗号キーS_KEYを選択する。
【0017】
上記機能を遂行するために、暗号キー選択装置140は、命令語解析器(command parser)150及びキー選択装置160を具備する。命令語解析器150は、命令語(COMMAND)に含まれたLBA範囲LBA_Rを抽出する。キー選択装置160は、抽出されたLBA範囲LBA_Rに対応する暗号キーS_KEYを選択する。
【0018】
ここで、入力された命令語(COMMAND)に含まれたデータを利用してLBAを抽出でき、このとき、F/W(firmware)を使用せずに抽出が可能である。
【0019】
図2は、キー選択装置の内部ブロック図である。
【0020】
図2を参照すると、キー選択装置160は、LBAデコーダ210及びキー保存装置220を具備する。
【0021】
LBAデコーダ210は、LBA範囲LBA_Rをデコーディングし、複数(Nは整数)個の選択信号SEL_Nを生成し、生成された複数個の選択信号のうちの1つの信号だけを活性化する。キー保存装置220は、複数個の区分された保存ブロックに使われる暗号キーを保存し、それぞれの暗号キーは、活性化された選択信号SEL_Nに応答して、暗号キーS_KEYとして出力される。
【0022】
図3は、キー保存装置の内部ブロックを示す。
【0023】
図3を参照すると、キー保存装置220は、複数個の保存ブロックに、それぞれの暗号キーKEY1〜KEYN(Nは整数)を保存しており、保存された暗号キーKEY1〜KEYNは、複数個の選択信号SEL1〜SEL_Nのうち、活性化された選択信号に連結された保存ブロックに含まれたキーが、暗号キーS_KEYとして出力される。
【0024】
図4は、本発明の一実施形態による暗号キー選択方法を示す信号フローチャートである。
【0025】
図4を参照すると、暗号キー選択方法(400)は、LBA範囲を抽出する段階(ステップ410、420)及びキー生成段階(ステップ430〜450)を具備する。
【0026】
LBA範囲を抽出する段階(ステップ410、420)では、命令語(COMMAND)を受信し(ステップ410)、受信した命令語(COMMAND)に含まれたLBA範囲LBA_Rを抽出する(ステップ420)。
【0027】
キー生成段階(ステップ430〜450)では、抽出されたLBA範囲LBA_Rに含まれた情報が、新しい保存ブロックを指示するか否かを判断し(ステップ430)、新しい保存ブロックを指示すると判断した場合には(はい)、抽出されたLBA範囲LBA_Rに対応するキーフラッグ(KEY FLAG)を生成する(ステップ440)。生成されたキーフラッグ(KEY FLAG)によって、当該保存ブロックに割り当てられた暗号キー(KEY)を選択する(ステップ450)。抽出されたLBA範囲LBA_Rに含まれた情報が、現在使用している保存ブロックを指示している場合には(いいえ)、新しい暗号キー(KEY)を選択する必要がなくなる。
【0028】
図1〜図4を参照して、本発明の動作特性について説明する。
【0029】
ストレージ・システムを使用しようとするユーザは、ストレージ・システムにID及び暗証番号(password)を入力し、ストレージ・システムから使用権限を許与された後で使用すると仮定する。
【0030】
使用権限が認定された後、データをメモリ装置130に保存させようとする場合、データは、保存される位置、即ち、区分された保存ブロックに対応する暗号キーS_KEYを利用し、暗号化がなされた後で保存される。暗号化過程は、本発明の内容ではないので、ここでは、その過程について説明しないことにする。暗号化されて保存されたために、使用権限のない者が保存されたデータだけを抽出しても、抽出されたデータだけでは、保存された情報を認識することは不可能である。
【0031】
本発明によるキー選択装置を具備するストレージ・システムを取得した者が、強制的に保存されたデータを確認するためには、使用権限があるユーザのID及び暗証番号を知らなければならない。メモリに保存されたデータを強制的に抽出したとしても、暗号化されたデータに含まれた情報を容易に認識することはできない。特に、暗号化するとき、1つの暗号キーを使用するのではなく、複数個の暗号キーのうちの一つを選択して使用する場合、セキュリティ効果は、更に確実となる。
【0032】
図5は、従来のストレージ・システム500のブロック図である。
【0033】
図5を参照すると、SATA(serial advanced technology attachment)インターフェース510を介して入力された命令語(COMMAND)は、バスブリッジ530を経由してARMプロセッサ540に伝えられ、CPU(図示せず)からLBAアドレスを取得した後、暗号化エンジン550を介して、キーレジスタ560に保存された暗号キーを選択する。
【0034】
図6は、本発明の一実施形態によるストレージ・システム600のブロック図である。
【0035】
図6を参照すると、SATAインターフェース610を介して入力された命令語(COMMAND)は、本発明による命令語解析器621及びLBAデコーダ622を経由して暗号化エンジン650に直接伝えられる。ここで、命令語解析器621及びLBAデコーダ622は、図1に示した暗号キー選択装置140に対応する(参照番号620)。図2に示したキー保存装置220は、図6のキーレジスタ660に対応する。一実施形態によって、キーレジスタ660は、図6のように独立して存在することもあり、図2のように、他の機能ブロックに含まれることも可能である。
【0036】
図6に示した本発明によるストレージ・システムで採択する命令語(COMMAND)の伝達経路が、従来の信号経路と異なる点は、バスブリッジ630及びARMプロセッサ640を経ないという点である。CPUは、一般命令語に対する本来の作業を行い、使用権限と関係する命令語(COMMAND)の処理は、CPUを経ずに、暗号化エンジン650で直接処理できるようにすることによって、ユーザにより早い命令処理結果を送ることができる。
【0037】
SATAインターフェースを介して入力される命令語(COMMAND)の場合、命令語(COMMAND)に含まれた一定部門のデータを利用してLBAを抽出することは、F/Wの助けなしに可能である。
【0038】
以上では、SATAインターフェースについてのみ説明したが、本発明が適用される分野は、これに限定されるものではなく、SAS(serial attached SCSI)インターフェース、PCIe(PCI express)インターフェースを介して入力される命令語(COMMAND)についても、LBAアドレスを知ることが可能であるならば、適用が可能である。本発明は、メモリカード・インターフェースにも適用が可能であり、保存装置としては、SSD(solid state disc)以外にも、ODD(optical disc driver)、HDD(hard disc driver)、MMC(multi−media card)及びSD(super digital)カードにも適用可能である。
【0039】
図7は、本発明によるストレージ・システム700を、ODDに適用した一例のブロック図である。
【0040】
図8は、本発明によるストレージ・システム800を、HDDに適用した一例のブロック図である。
【0041】
図9は、本発明によるストレージ・システム900を、MMCカードに適用した一例のブロック図である。
【0042】
図10は、本発明によるストレージ・システム1000を、SDカードに適用した一例のブロック図である。
【0043】
以上、図面を参照しながら本発明の実施形態について説明したが、本発明は、上述の実施形態に限定されるものではなく、本発明の技術的範囲から逸脱しない範囲内で多様に変更実施することが可能である。
【符号の説明】
【0044】
100、500、600、700、800、900、1000 ストレージ・システム
110 CPU
120 暗号ブロック
130 メモリ装置
140、620 暗号キー選択装置
150、621 命令語解析器
160 キー選択装置
210、622 LBAデコーダ
220 キー保存装置
510、610 SATAインターフェース
530、630 バスブリッジ
540、640 ARMプロセッサ
550、650 暗号化エンジン
560、660 キーレジスタ
【特許請求の範囲】
【請求項1】
中央演算処置装置(CPU)、暗号ブロック、及び保存装置を具備するストレージ・システムであって、
受信した命令語(COMMAND)に含まれたLBA(logic block address)範囲に対応する暗号キーを選択して前記暗号ブロックに伝達する暗号キー選択装置を更に具備することを特徴とするストレージ・システム。
【請求項2】
前記暗号キー選択装置は、
前記命令語(COMMAND)に含まれたLBA範囲を抽出する命令語解析器と、
前記LBA範囲に対応する前記暗号キーを選択するキー選択装置と、を具備することを特徴とする請求項1に記載のストレージ・システム。
【請求項3】
前記キー選択装置は、
前記LBA範囲に対応する選択信号を活性化させるLBAデコーダと、
前記選択信号に対応する前記暗号キーを選択するキー保存装置と、を具備することを特徴とする請求項2に記載のストレージ・システム。
【請求項4】
前記キー保存装置は、
LBA範囲に対応する暗号キーを保存し、前記選択信号によって保存された暗号キーを出力する複数個のキー保存ブロックを具備することを特徴とする請求項3に記載のストレージ・システム。
【請求項5】
前記CPUは、前記命令語(COMMAND)を入力したユーザが前記ストレージ・システムを使用する権限があるという使用許諾信号を、前記暗号ブロックから伝達された場合にのみ、前記ユーザが前記保存装置にデータを記録するようにし且つ前記保存装置に記録されたデータを読み取ることができるようにすることを特徴とする請求項1に記載のストレージ・システム。
【請求項6】
前記LBAは、複数個の保存ブロックに区分された前記保存装置の各区分された保存ブロックに該当するアドレスを特定する情報を含むことを特徴とする請求項1に記載のストレージ・システム。
【請求項7】
複数個の保存ブロックにデータを保存する際、又は複数個のブロックに保存されたデータを読み取る際に、それぞれ異なる暗号キーを使用することを特徴とする請求項6に記載のストレージ・システム。
【請求項8】
前記保存装置は、SSD(solid state disc)、ODD(optical disc driver)、HDD(hard disc driver)、MMC(multi−media card)、及びSD(super digital)カードのうちの一つであることを特徴とする請求項1に記載のストレージ・システム。
【請求項9】
CPUと、暗号ブロックと、保存装置と、外部から入力された命令語(COMMAND)に含まれたLBA範囲を抽出する命令語解析器、及び前記LBA範囲に対応する暗号キーを選択するキー選択装置を含む暗号キー選択装置と、を具備するストレージ・システムの暗号キー選択方法であって、
前記命令語解析器で、前記命令語(COMMAND)に含まれたLBA範囲を抽出する段階と、
前記キー選択装置で、前記LBA範囲が新しいものである場合に、新しいLBA範囲に対応する暗号キーを選択するキー生成段階と、を有することを特徴とする暗号キー選択方法。
【請求項10】
前記キー生成段階は、
前記LBA範囲が新しいものであるか否かを判断する段階と、
前記LBA範囲が新しいものである場合に、前記LBA範囲に対応するキーフラッグを生成する段階と、
前記キーフラッグに対応する暗号キーを選択する段階と、を含むことを特徴とする請求項9に記載の暗号キー選択方法。
【請求項11】
前記CPUは、前記命令語(COMMAND)を入力したユーザが前記ストレージ・システムを使用する権限があるという使用許諾信号を、前記暗号ブロックから伝達された場合にのみ、前記ユーザが前記保存装置にデータを記録するようにし且つ前記保存装置に記録されたデータを読み取ることができるようにすることを特徴とする請求項9に記載の暗号キー選択方法。
【請求項12】
前記LBAは、複数個の保存ブロックに区分された前記保存装置の各区分された保存ブロックに該当するアドレスを特定する情報を含むことを特徴とする請求項9に記載の暗号キー選択方法。
【請求項13】
複数個の保存ブロックにデータを保存する際、又は複数個のブロックに保存されたデータを読み取る際に、それぞれ異なる暗号キーを使用することを特徴とする請求項12に記載の暗号キー選択方法。
【請求項1】
中央演算処置装置(CPU)、暗号ブロック、及び保存装置を具備するストレージ・システムであって、
受信した命令語(COMMAND)に含まれたLBA(logic block address)範囲に対応する暗号キーを選択して前記暗号ブロックに伝達する暗号キー選択装置を更に具備することを特徴とするストレージ・システム。
【請求項2】
前記暗号キー選択装置は、
前記命令語(COMMAND)に含まれたLBA範囲を抽出する命令語解析器と、
前記LBA範囲に対応する前記暗号キーを選択するキー選択装置と、を具備することを特徴とする請求項1に記載のストレージ・システム。
【請求項3】
前記キー選択装置は、
前記LBA範囲に対応する選択信号を活性化させるLBAデコーダと、
前記選択信号に対応する前記暗号キーを選択するキー保存装置と、を具備することを特徴とする請求項2に記載のストレージ・システム。
【請求項4】
前記キー保存装置は、
LBA範囲に対応する暗号キーを保存し、前記選択信号によって保存された暗号キーを出力する複数個のキー保存ブロックを具備することを特徴とする請求項3に記載のストレージ・システム。
【請求項5】
前記CPUは、前記命令語(COMMAND)を入力したユーザが前記ストレージ・システムを使用する権限があるという使用許諾信号を、前記暗号ブロックから伝達された場合にのみ、前記ユーザが前記保存装置にデータを記録するようにし且つ前記保存装置に記録されたデータを読み取ることができるようにすることを特徴とする請求項1に記載のストレージ・システム。
【請求項6】
前記LBAは、複数個の保存ブロックに区分された前記保存装置の各区分された保存ブロックに該当するアドレスを特定する情報を含むことを特徴とする請求項1に記載のストレージ・システム。
【請求項7】
複数個の保存ブロックにデータを保存する際、又は複数個のブロックに保存されたデータを読み取る際に、それぞれ異なる暗号キーを使用することを特徴とする請求項6に記載のストレージ・システム。
【請求項8】
前記保存装置は、SSD(solid state disc)、ODD(optical disc driver)、HDD(hard disc driver)、MMC(multi−media card)、及びSD(super digital)カードのうちの一つであることを特徴とする請求項1に記載のストレージ・システム。
【請求項9】
CPUと、暗号ブロックと、保存装置と、外部から入力された命令語(COMMAND)に含まれたLBA範囲を抽出する命令語解析器、及び前記LBA範囲に対応する暗号キーを選択するキー選択装置を含む暗号キー選択装置と、を具備するストレージ・システムの暗号キー選択方法であって、
前記命令語解析器で、前記命令語(COMMAND)に含まれたLBA範囲を抽出する段階と、
前記キー選択装置で、前記LBA範囲が新しいものである場合に、新しいLBA範囲に対応する暗号キーを選択するキー生成段階と、を有することを特徴とする暗号キー選択方法。
【請求項10】
前記キー生成段階は、
前記LBA範囲が新しいものであるか否かを判断する段階と、
前記LBA範囲が新しいものである場合に、前記LBA範囲に対応するキーフラッグを生成する段階と、
前記キーフラッグに対応する暗号キーを選択する段階と、を含むことを特徴とする請求項9に記載の暗号キー選択方法。
【請求項11】
前記CPUは、前記命令語(COMMAND)を入力したユーザが前記ストレージ・システムを使用する権限があるという使用許諾信号を、前記暗号ブロックから伝達された場合にのみ、前記ユーザが前記保存装置にデータを記録するようにし且つ前記保存装置に記録されたデータを読み取ることができるようにすることを特徴とする請求項9に記載の暗号キー選択方法。
【請求項12】
前記LBAは、複数個の保存ブロックに区分された前記保存装置の各区分された保存ブロックに該当するアドレスを特定する情報を含むことを特徴とする請求項9に記載の暗号キー選択方法。
【請求項13】
複数個の保存ブロックにデータを保存する際、又は複数個のブロックに保存されたデータを読み取る際に、それぞれ異なる暗号キーを使用することを特徴とする請求項12に記載の暗号キー選択方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−70664(P2011−70664A)
【公開日】平成23年4月7日(2011.4.7)
【国際特許分類】
【出願番号】特願2010−209051(P2010−209051)
【出願日】平成22年9月17日(2010.9.17)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】SAMSUNG ELECTRONICS CO.,LTD.
【住所又は居所原語表記】416,Maetan−dong,Yeongtong−gu,Suwon−si,Gyeonggi−do 442−742(KR)
【Fターム(参考)】
【公開日】平成23年4月7日(2011.4.7)
【国際特許分類】
【出願日】平成22年9月17日(2010.9.17)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】SAMSUNG ELECTRONICS CO.,LTD.
【住所又は居所原語表記】416,Maetan−dong,Yeongtong−gu,Suwon−si,Gyeonggi−do 442−742(KR)
【Fターム(参考)】
[ Back to top ]