物理的に分離可能なキーストレージデバイスを伴うハードウェア暗号化記憶装置
記憶装置が、記憶装置によってストアされたデータのハードウェア暗号化及び復号化を提供し得る。ハードウェア暗号化機能は、通信的かつ物理的に分離可能なキーデバイスの暗号化情報を参照し適用され得る。分離可能なキーデバイスの分離が、暗号化データをアクセス不可能な状態にし得る。分離可能なキーデバイスの破壊が、暗号化データの仮想的な破壊をもたらし得る。分離可能なキーデバイス上の暗号化情報は、記憶装置の製造業者か又は情報供給計算装置によって提供され得る。分離可能なキーデバイスは、情報供給計算装置と通信的に直接接続されるか、又は分離可能なキーデバイスが通信的に接続されている計算装置を介して情報供給装置とセキュア通信トンネルを確立し得る。暗号化情報は、情報供給計算装置の起動完了前にその装置によって提供され得、削除され得る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティシステムに関し、具体的にはデータセキュリティを保持する記憶装置に関する。
【背景技術】
【0002】
[0001]ますます多くの計算装置が、個人的に保持されているデータ及び情報をストアするために作動し利用されている。そのようなデータ及び情報は、政治的機密を含み得るが、しかし、より多くは、そのような情報が悪意のある関係者か又は敵対関係にある集団によって取得された場合、恐らく1人以上の個人にとって被害が大きい場合があるビジネス情報及び個人情報を含んでいる。従って、様々なセキュリティ機構が、計算装置のハードウェアに関連し及び計算装置のソフトウェアに関連する双方において、実装されている。そのようなハードウェアセキュリティ機構の例は、指紋などの生体情報に基づくセキュアパスワードを生成し、キーボードロック、通信ポートロックなど、計算装置に対する物理的なアクセスバリアを生成するために設計された周辺装置を含む。計算装置のソフトウェアに関連するセキュリティ機構の例は、様々な暗号化技術及び様々なアクセスコントロール技術を含む。
【0003】
[0002]1つ以上の計算機可読媒体にストアされたデータ保護は、計算装置と直接に関連付けられていない動作中にしばしば機能しなくなる。例えば、1つ以上の計算機可読媒体にストアされたデータは、計算機可読媒体の物理的出荷が適切に保護されておらず、その結果、失ったとき又は盗まれさえしたとき、権限のない者へ情報を漏らされ得、漏らされ続けている。同様に1つ以上の計算機可読媒体上にストアされたデータは、計算機可読媒体を含む記憶装置が機能しなくなったと考えられ、それ故、廃棄されたとき、権限のない者へ情報を漏らされ得、漏らされ続けている。そのような「機能しなくなった」記憶装置は、しばしば、計算装置によってリトリーブされアクセスされ得る形式で、それらの計算機可読媒体上にストアされるかなり大きな割合のデータを持ち続けている。
【0004】
[0003]とりわけ、そのような媒体が、悪意がある集団又は敵対する関係者に物理的にアクセス可能になった場合に計算機可読媒体にストアされたデータ保護の機能を向上するための「フルボリューム」暗号化方法論が開発されていて、それによって実質上、計算機可読媒体にストアされたデータのすべてが、悪意のある集団又は敵対関係にある者がそのような媒体の物理的管理の取得が可能であっても、適切な復号化キーなしにデータを復号化されないように暗号化された形式でストアされる。より良好な性能を提供するための、記憶装置の一部である1つ以上の計算機可読媒体にストアされたデータの暗号化は、そのようなデータをストアしリトリーブする計算装置の1つ以上の中央演算処理装置に負担させることによるよりも、むしろ記憶装置自身の一部である専用の暗号化ハードウェアによって実行され得る。フルボリューム暗号化方法論に加え、極秘データがストアされた計算機可読媒体の適切な方法による物理的破壊は、そのようなデータ保護及びセキュリティを同様に機能向上し得る。例えば、ストアされた保護データを有し得る計算機可読記憶媒体は、データが物理的に一貫していないか又は計算機可読媒体から物理的に回復可能でないなど、どちらか一方になるように物理的に細かく刻まれ得るか又は不規則で強い磁場に晒され得る。残念ながら、そのような計算機可読媒体の物理的な破壊は、両方共高価かつ手間がかかる場合があって、時間及び費用を低減するための効率が求められるにつれて、そのような媒体上にストアされているデータを危険に晒し得る手っ取り早い方法が使用され得、従って物理的な破壊努力を損なっている。加えて、政府の秘密保持規定又はプライバシー規則などの様々な規則は、計算機可読記憶媒体の適切な破壊が特定の方法によって実行され、かつ、記録する双方を要求するような付加的な負担を課し得る。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的は、物理的かつ通信的に分離可能な暗号化システムを含む記憶装置を提供することである。
【課題を解決するための手段】
【0006】
[0004]ハードウェア暗号化システムを含む記憶装置は、本明細書において「キーデバイス」として参照される、記憶装置の他の部分から物理的かつ通信的に分離され得る物理的実体と関連付けられ得る。キーデバイスは、ハードウェア暗号化システムによって利用され得、記憶装置の計算機可読媒体にストアされたデータを直接的又は間接的どちらか一方で暗号化し復号化し得る暗号化情報を含み得る。キーデバイスを記憶装置から物理的に分離することによって、キーデバイスがハードウェア暗号化システムと通信的に分離されたとき、記憶装置の計算機可読媒体にストアされた暗号化されたデータは、復号化され得ず、従って不正アクセスに対し安全である。
【0007】
[0005]一実施形態において、ストレージシステムは、物理的かつ通信的に相互に分離可能なキーデバイス及び記憶装置を含み得る。記憶装置は、記憶装置にストアされたデータを暗号化し復号化し得るハードウェア暗号化システムと、暗号化されたデータをストアし得る1つ以上の計算機可読媒体を含んでいて、キーデバイスは、ハードウェア暗号化システムによってデータを暗号化し復号化する際、利用し得る暗号化情報を含み得る。キーデバイスを記憶装置から物理的に分離するようなハードウェア暗号化システムからのキーデバイスの通信的な分離は、少なくとも同一のキーデバイスがハードウェア暗号化システムに通信的に再結合され得るまで記憶装置の記憶媒体上の暗号化されたデータをアクセス不可能な状態にし得る。分離可能なキーデバイスの暗号化情報は、記憶装置の初期化などの間、製造業者又はハードウェア暗号化システム自身によって提供され得る。
【0008】
[0006]別の実施形態において、物理的かつ通信的に分離可能なキーデバイスは、1つ以上のキーデバイスに提供され得る暗号化情報を管理する装置として作用し得る情報供給(provisioning)計算装置と独立して通信的に接続し得る。キーデバイスは、一旦そのような情報供給計算装置と通信的に接続されると、情報供給計算装置から暗号化情報の少なくとも一部を受信し得る。キーデバイスは、その後、記憶装置と接続され得、その結果、記憶装置は、情報供給計算装置によって少なくとも一部提供される暗号化情報を参照し、データを暗号化し復号化することが可能になる。
【0009】
[0007]付加的な実施形態において、情報供給計算装置からの暗号化情報は、情報供給計算装置の起動プロセス完了前に暗号化情報をキーデバイスへ提供する機構によるか、又はそれが起動を完了した後、それを情報供給計算装置上で実行し得る潜在的に悪意のある命令へ公開せずに暗号化情報を提供し得る専用RAIDコントローラーのような機構によって提供され得る。
【0010】
[0008]更なる実施形態において、キーデバイスは、計算装置と接続される記憶装置と、物理的に接続され得る。キーデバイスは、ネットワーク接続又は記憶装置が接続されている計算装置の別の通信能力を利用するなどによって、情報供給計算装置とセキュア通信トンネルを確立し得る。情報供給計算装置がその後、セキュア通信トンネルを介し暗号化情報をキーデバイスに提供し得る。
【0011】
[0009]また更なる実施形態において、記憶装置のハードウェア暗号化システムは、キーデバイスによって提供される暗号化情報だけでなく、データをストアするための記憶装置を利用している計算装置によって提供される暗号化情報も利用し得る。記憶装置の計算機可読媒体にストアされたデータはこうして、そのような暗号化情報の組み合わせによって保護され得る。
【0012】
[0010]また更なる実施形態において、異なるキーデバイスがハードウェア暗号化システムと通信的に接続された場合、以前のキーデバイスから受信された暗号化情報を参照することによって暗号化され、記憶装置の計算機可読媒体にストアされている暗号化データは、ここで「フリースペース」として又は別の方法でもはや使用可能なデータではないものとして、印付けられ得、このような方法によって安全に消去されたと考えられ得る。キーデバイスがハードウェア暗号化システムと通信的に接続されず、しかもキーデバイスが、以前に通信的に接続されていない場合、ハードウェア暗号化システムは、記憶装置が「準備ができていない」又はそれが、キーデバイスを参照せずにデータを暗号化し復号化するために利用し得る内部的暗号化情報を生成し得ることを報告し得る。そのような場合の記憶装置の動作はユーザーが選択可能であり得る。
【0013】
[0011]この「課題を解決するための手段」は更に、「発明を実施するための形態」に後述される概念のいくつかを簡易化した形式で紹介するために提供される。この「課題を解決するための手段」は、請求対象項目の重要な機能も本質的な特徴も特定するように意図されておらず、請求対象項目の範囲を限定するために利用されることも意図されない。
【0014】
[0012]付加的な機能及び利点は、添付の図面を参照し開始する以下の詳細な説明から明らかになるだろう。
[0013]以下の詳細説明は、添付図面に関連し例として挙げたときに最もよく理解されよう。
【図面の簡単な説明】
【0015】
【図1】[0014]記憶装置及び分離可能なキーデバイスを含む例示的な計算装置及び例示的なストレージシステムのブロック図である。
【図2】[0015]記憶装置及び分離可能なキーデバイスを含む例示的なストレージシステム動作のブロック図である。
【図3】[0016]記憶装置及び分離可能なキーデバイスを含む別の例示的なストレージシステム動作のブロック図である。
【図4】[0017]情報供給計算装置と組み合わせて記憶装置と分離可能なキーデバイスを含む例示的なストレージシステム動作のブロック図である。
【図5】[0018]情報供給計算装置と組み合わせて記憶装置と分離可能なキーデバイスを含む別の例示的なストレージシステム動作のブロック図である。
【図6】[0019]記憶装置上にストアされたデータのハードウェア暗号化し得る、記憶装置によって実装可能な例示的な暗号化オプションのブロック図である。
【図7】[0020]記憶装置及び分離可能なキーデバイスを含む例示的なストレージシステム動作の流れ図である。
【図8】[0021]キーデバイスによる例示的なセキュア通信トンネル確立の流れ図である。
【発明を実施するための形態】
【0016】
[0022]以下の説明は、記憶装置及び物理的かつ通信的に分離可能なキーデバイスを含むストレージシステムに関連していて、記憶装置は、記憶装置の記憶媒体上にストアされたデータを暗号化し復号化し得るハードウェア暗号化システムを含んでいて、キーデバイスは、ハードウェア暗号化システムによって利用される暗号化情報を含んでいる。記憶装置からキーデバイスを分離することによって、暗号化情報は、ハードウェア暗号化システムによってもはやアクセス不可能となり、そのような分離されたキーデバイスの暗号化情報に関し暗号化された、記憶装置の記憶媒体上にストアされた任意のデータは、読み出し不可能になる。その結果、データセキュリティ及びセキュアデータの破壊は、例えば記憶装置からキーデバイスを物理的に取り外すように、キーデバイスと記憶装置との通信的関係を単に断ち切ることによって達成され得る。キーデバイスにストアされた暗号化情報は、記憶装置の製造業者によって提供され得るか、又は記憶装置自身との任意の通信的接続と独立して、キーデバイスとの通信的接続などを介し情報供給計算装置によって提供され得る。そのような独立したキーデバイスとの通信接続は、情報供給計算装置とキーデバイスとの間に確立され得るセキュア通信トンネルを含み得る。
【0017】
[0023]本明細書に記載されている技法は、記憶装置及び物理的かつ通信的に分離可能なキーデバイスに焦点を合わせているがこれらに限定しない。実際には、以下説明した機構は、例えば、様々な記憶媒体と通信的に接続され得るが従来の記憶装置サービスとしてそれ自身は役割を果たしていないスタンドアロン暗号化コンポーネントを含む物理的に別個のコンポーネントによって等価に実装され得る。その結果、以下の説明は、後述されるエレメントを有する単一記憶装置を参照しているが、説明自身の範囲それ自身がそのように限定されることを意図していない。
【0018】
[0024]加えて、以下の説明は、要求されていないが、1つ以上の処理装置によって実行されるプログラムモジュールなどの計算機実行可能命令の一般的な文脈である。より具体的には、本説明は、別の方法で示されていない場合、1つ以上の処理装置によって実行される作用及び動作の象徴的な表現を参照する。従って、計算機によって実行されるように参照される時のそのような作用及び動作が、構造化された形式でデータを表現する電気的信号処理装置による操作を含むことを理解されよう。この操作は、データを変換するか、又はそれをメモリーに維持し、それと接続された処理装置又は周辺機器の動作を当業者によって十分に理解されている方法によって再構成するか又は別の方法で変更する。データが維持されるデータ構造は、データ形式によって定義された特定の特性を有する物理的な場所である。
【0019】
[0025]一般に、プログラムモジュールは、特定のタスクを実行するか又は特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。その上、参照されている処理装置が従来のパーソナル計算処理装置に限定される必要はなく、携帯用装置、マルチプロセッサーシステム、マイクロプロセッサーベース家電又はプログラマブル家電にしばしば見出される専用プロセッサー、特定用途プロセッサー、通信プロセッサー、バスプロセッサーなども含む、別のプロセッサー構成を含むことを当業者は十分に理解されよう。同様に、以下の説明において参照される計算装置がスタンドアロン計算装置に限定される必要はなく、本機構は、タスクが通信ネットワークを介しリンクされたリモート制御演算装置によって実行される分散計算環境においても実施される。分散計算環境において、プログラムモジュールは、ローカル及びリモート記憶装置に位置付けられ得る。
【0020】
[0026]図1に移ると、例示的な計算装置(100)及び例示的なストレージシステム(160)を含む例示的システム(99)が示されている。ストレージシステム(160)は、計算装置(100)によって利用され得、計算装置によって提供されるデータ及び情報をストアし得、ストレージシステム(160)は、計算装置(100)の特定のコンポーネントと接続されるように表示される記憶装置(141)、(146)、及び(147)のうちどれか1つとして利用され得る。
【0021】
[0027]最初に計算装置(100)に移ると、それは1つ以上の中央演算処理装置(CPU)(120)、システムメモリー(130)、及びシステムメモリー(130)を含む様々なシステムコンポーネントを処理装置(120)と接続するシステムバス(121)を含み得るがこれらに限定しない。システムバス(121)は、様々なバスアーキテクチャのどれかを使用するメモリーバス又はメモリーコントローラー、周辺機器用バス、及びローカルバスを含むいくつかのバス構造タイプのどれかであり得る。特定の物理的な実装に従って1つ以上のCPU(120)及びシステムメモリー(130)が、シングルチップのように物理的に一緒に位置付けられ得る。そのような場合、システムバス(121)のいくつか又はすべては、単にシングルチップ構造内部のシリコン経路であり得、図1の例示は、厳密に言えば例示のための記法的な都合であり得る。
【0022】
[0028]計算装置(100)は、典型的に、計算装置(100)によってアクセスされ得る利用可能な任意の媒体を含み得る計算機可読媒体も含んでいて、揮発性及び不揮発性媒体、並びに取外し可能及び取外し不可能媒体双方も含む。制限ではなく例として、計算機可読媒体は、計算機記憶媒体及び通信媒体を含み得る。計算機記憶媒体は、計算機可読命令、データ構造、プログラムモジュール又はその他のデータのような情報ストレージのための任意の方法又は技術で実装される媒体を含む。計算機記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリー、又はその他のメモリー技術、CD−ROM、デジタル多用途ディスク(DVD)、又はその他の光ディスクストレージ、磁気カセット、磁気テープ、ディスク記憶装置、又はその他の磁気記憶装置、又は所望した情報をストアするために使用され得、計算装置(100)によってアクセスされ得るその他任意の媒体も含むがこれらに限定しない。通信媒体は、典型的に、計算機可読命令、データ構造、プログラムモジュール、又は搬送波又は別の移送機構のような変調データ信号の別のデータを具現していて、任意の情報伝達媒体を含む。用語「変調データ信号」は、それに関する1つ以上の一連の特性を有する信号、又は信号中の情報を符号化するための方法によって変更される信号を意味する。前述の任意の組み合わせも計算機可読媒体の範囲内に含まれる必要がある。
【0023】
[0029]システムメモリー(130)は、読み出し専用メモリー(ROM)(131)及びランダムアクセスメモリー(RAM)(132)のような揮発性及び/又は不揮発性メモリー形式の計算機記憶媒体を含む。起動中など計算機(100)内部のエレメント間の情報送信を支援している基本ルーチンを含む基本入出力システム(BIOS)(133)は、通常、ROM(131)にストアされている。RAM(132)は、通常、処理装置(120)によって直接アクセス可能な及び/又は現在作動されているデータ及び/又はプログラムモジュールを含む。限定ではなく例として、図1は、オペレーティングシステム(134)、アプリケーションプログラム(135)、他のプログラムモジュール(136)、及びプログラムデータ(137)を示している。実施形態の中には例示されているものが、オペレーティングシステム(134)の一部であり得るフルボリューム暗号化サービス(137)であるものもある。フルボリューム暗号化サービス(137)は、計算装置(100)が、オペレーティングシステム(134)又は計算装置のその他のストレージコントローラーによって、個々のボリュームとして定義された一部などの1つ以上の計算機可読媒体又はその一部上にストアしている情報を実質上又はすべて暗号化することを可能にし得る。
【0024】
[0030]計算装置(100)は、その他の取外し可能/取外し不可能、揮発性/不揮発性の計算機記憶装置も含み得る。例えば、図1は、取外し不可能、不揮発性磁気媒体から読み出すか又はそれに書き込むハードディスク記憶装置(141)、(146)、及び(147)を例示している。例示的な計算装置を用いて使用され得る別の取外し可能/取外し不可能、揮発性/不揮発性計算機記憶媒体は、磁気カセットテープ、フラッシュメモリーカード、ソリッドステート記憶装置(SSD)、デジタル多用途ディスク、デジタル映像テープ、ソリッドステートのRAM、ソリッドステートROMなどを含むがこれらに限定しない。ハードディスク記憶装置(141)、(146)、及び(147)、又はこれらのその他の取外し可能/取外し不可能、揮発性/不揮発性コンピュータストレージ媒体のどれかが、典型的にインターフェース(140)のようなメモリーインターフェースを介しシステムバス(121)と直接又は間接的どちらか一方で接続される。図1に例示した例示的な計算装置(100)において、ハードディスク記憶装置(141)は、計算装置(100)への物理的な内部接続又はポートを介し、外部公開された接続などを経由し不揮発性のメモリーインターフェース(140)と直接接続されるように示されているが、ハードディスク記憶装置(146)及び(147)は、その後、計算装置(100)と物理的な内部接続などを介し再度インターフェース(140)と同じく接続され得、例えば、Redundant Array of Inexpensive Device(RAID)コントローラーのようなストレージホストコントローラー(145)と接続されるように示されている。不揮発性メモリーインターフェース(140)は、ユニバーサルシリアルバス(USB)インターフェース、IEEE1394規格仕様、シリアルATA(SATA)インターフェース、その他同種のインターフェースのうちどれか1つ以上に従うインターフェースを含むがこれらに限定しない任意の不揮発性のメモリーインターフェースであり得る。
【0025】
[0031]計算装置(100)は、ネットワーク環境において1つ以上のリモートコンピュータとの論理的接続を使用し作動し得る。例示の単純化のために、特定のネットワーク又はネットワークプロトコルに限定しないネットワーク(155)に接続された任意の計算装置(100)が図1に示されている。図1に示されている論理的接続は、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、又はその他のネットワークであり得る一般ネットワーク接続(151)である。計算装置(100)は、システムバス(121)と同じく接続されるネットワークインターフェース又はアダプター(150)を介し一般ネットワーク接続(151)に接続される。ネットワークの環境において、計算装置(100)に対し示したプログラムモジュール又はその一部若しくはその周辺機器が、一般ネットワーク接続(151)を介し計算装置(100)と通信的に接続されている別の1つ以上の計算装置のメモリーにストアされ得る。示されているネットワーク接続が例示的であって、計算装置間の通信リンクを確立する別の手段が使用され得ることを十分に理解されよう。
【0026】
[0032]ストレージシステム(160)に移ると、ストレージシステムは、前述したハードディスク記憶装置(141)、(146)、及び(147)のどれかと同一方法によって使用され得、置換又は作用し得る。加えて、ストレージシステム(160)の記憶装置(210)は、ハードディスクドライブであり得るか又はそれは、前述した任意の記憶媒体を利用する任意の記憶装置であり得る。例示的なストレージシステム(160)において示したように、記憶装置(210)は、1つ以上の計算機可読媒体(190)を含み得、ハードディスク記憶装置(141)、(146)、及び(147)などの場合、そのような計算機可読媒体は、取外し不可能、不揮発性磁気媒体を含み得るか、又は磁気カセットテープ、フラッシュメモリーカード、ソリッドステート記憶装置(SSD)、デジタル多用途ディスク、デジタルビデオテープ、ソリッドステートRAM、ソリッドステートROMなどのような別の取外し可能/取外し不可能、揮発性/不揮発性計算機記憶媒体を含み得る。
【0027】
[0033]ストレージシステム(160)の記憶装置(210)の計算機可読媒体(190)は、計算装置(100)によって利用され、計算装置(100)に関する計算機読み込み可能命令、データ構造、プログラムモジュール、及び他のデータをストアし得る。例えば、記憶装置(210)の計算機可読媒体(190)が、記憶装置(210)によって復号化されたとき、オペレーティングシステム(134)、その他のプログラムモジュール(135)、又はプログラムデータ(136)のいくつか又はすべてに基本を提供するデータであり得る暗号化データ(195)をストアするように例示されている。
【0028】
[0034]計算機可読媒体(190)に加えて、ストレージシステム(160)の例示的な記憶装置(210)は、計算機可読媒体(190)上のストレージ用ストレージシステム(160)へ提供されるデータを暗号化し、その後、計算装置(100)に提供される計算機可読媒体から読み出されたデータを復号化し得るハードウェア暗号化システム(180)も含み得る。従って、ハードウェア暗号化システム(180)は、CPU(120)又は計算装置(100)のその他のエレメントに負担をかけず暗号化機能を実行し得、それらのエレメントは、一実施形態において、データ暗号化及び復号化に関係なく、別の任意の記憶装置と同一の方法でストレージシステム(160)を処理し得る。
【0029】
[0035]上記、参照された暗号化機能を実行するための記憶装置(210)のハードウェア暗号化システム(180)は、1つ以上の処理装置(181)と、ストレージシステム(160)に提供されるデータの暗号化及び計算機可読媒体(190)から読み出されるデータの復号化などの暗号化機能を実行するための命令(183)と、を含み得る。ハードウェア暗号化システム(180)は、処理装置(181)を記憶媒体にリンクし得る詳細に前述したバス(121)などのバス(182)、又は命令(183)を含むメモリーも含み得る。
【0030】
[0036]以下の説明に関連し、ストレージシステム(160)は更に、暗号化情報(175)を含み得るキーデバイス(170)を含み得る。キーデバイス(170)の暗号化情報(175)が、記憶装置(210)のハードウェア暗号化システム(180)によって参照され得、実行される暗号化及び復号化を通知し得る。更に後述される一実施形態において、ハードウェア暗号化システム(180)は、キーデバイス(170)の暗号化情報(175)、及び例えばフルボリューム暗号化サービス(137)によって提供される付加的な暗号化情報双方を参照し、その暗号化機能を実行し得る。フルボリューム暗号化サービス(137)は、計算機可読媒体(190)にストアされ得る論理キーを提供し得、ハードウェア暗号化システム(180)によって参照され利用され得る。
【0031】
[0037]キーデバイス(170)は、記憶装置(210)から物理的に分離可能かつ通信的に分離可能な物理的実体である。ストレージシステム(160)の周囲の点線は、ストレージシステム(160)が、必ずしも単一の物理的構造物ではないことを強調することを意味している。具体的には、本明細書の以下説明において利用されている用語「ストレージシステム」は、そのようなコンポーネントが、単一の物理的なコンテナか又はその他の物理的な構造物中に物理的に共に位置付けられていなくてもキーデバイス(170)及び記憶装置(210)双方を含むことを意図している。
【0032】
[0038]図2に移ると、物理的かつ通信的に取外し可能なキーデバイス(170)を用いたストレージシステム(160)の一例示的な動作が示されている。例示されているような記憶装置(210)は、例示した実施形態において、前述したハードウェア暗号化システム(180)及び計算機読込み可能媒体(190)を含むだけでなく、キーデバイスインターフェース(270)も含み得る。一実施形態において、キーデバイスインターフェース(270)は、キーデバイス(170)をキーデバイスインターフェース(270)へ物理的に挿入又は別の方法によって接続し得る記憶装置(210)上のスロット又はコネクターであり得、キーデバイス(170)は挿入又は接続されたとき、実質的に記憶装置(210)の大きさを変更しない。そのような場合、記憶装置(210)は、詳細に前述した計算装置(100)のような、計算装置によって利用され得る別の任意の同様な記憶装置であり得る。例えば、記憶装置(210)が標準ハードディスクのドライブサイズに従うように設計されている場合、計算装置(100)は、そこへ物理的に接続される記憶装置(210)及びキーデバイス(170)双方を含むストレージシステム(160)を内蔵ハードディスクドライブとして利用し得、キーデバイスの存在又は不在がそのような利用を抑止するために記憶装置(210)の物理的な大きさを変えない。
【0033】
[0039]別の実施形態において、キーデバイス(170)は、携帯電話などに一般に利用されているようなGlobal System for Mobile communications(GSM)の加入者識別モジュール(SIM)形式を取り得る。そのような場合、キーデバイスインターフェース(270)も携帯電話内に典型的に含まれているGSM SIMインターフェースであり得る。そのような実施形態は、キーデバイス(170)の物理形式のファクター及びキーデバイスインターフェース(270)双方が一般的に利用され、その結果、安価であり得るためコスト上の利点を提供し得る。
【0034】
[0040]キーデバイス(170)がGSM SIMカード形式である場合、従来のGSM SIMカード機能のいくつかを活用し得る。例えば、GSM SIMカード上に一般にストアされているSIMシリアルナンバー(SSN)が、キーデバイス(170)を識別するために利用され得る。より具体的には、典型的なSSNは、2桁の電気通信識別子として配置され、その後に2桁の国コードが続き、2桁のネットワークコードが続き、GSM SIM製造年及び月を示す4桁が続き、切り換え構成コードを参照する2桁が続き、SIM番号を参照する6桁が続き、最後に単一のチェックデジットが続く19桁から成る。GSM SIMカード形式のキーデバイス(170)の場合、最初、4桁が割り当てられ得、切り換え構成を参照する2桁であり得る0を割当てられ得るが、しかし残りの桁は、類似の方法で利用され得る。
【0035】
[0041]加えて、キーデバイス(170)がGSM SIMカード形式である実施形態において、キーデバイス(170)は、関連する記憶装置(210)の物理コンテナの固有の識別をストアするためのICカード識別番号(Integrated Circuit Card IDentifier)(ICCID)が利用され得る。更に詳細に後述されるように、キーデバイス(170)上の別の視覚的、物理的な印付けを伴うそのようなICCIDが、暗号化情報(175)を参照し暗号化された暗号化データ(195)の破壊の証拠として利用され得る。
【0036】
[0042]既存のGSM SIMカード及びそれらのプロトコルそれぞれは、暗号化情報(175)をハードウェア暗号化システム(180)に提供するように設計されていないので、ISO7816プロトコルのような新しい機能が、従来のGSM SIMカードプロトコルに追加され得、ハードウェア暗号化システム(180)が、暗号化情報(175)によって署名されるデータをキーデバイス(170)へ渡すことを可能にする。そのような機能は、キーデバイス(170)がハードウェア暗号化システム(180)と通信的に接続されていない場合、暗号化データ(195)へのアクセスを不可能な状態にする一機構であり得る。
【0037】
[0043]別の実施形態において、キーデバイス(170)は同様に、対応するキーデバイスインターフェース(270)であり得るユニバーサルシリアルバス(USB)コネクターのような一般的コネクターを含み得る。前述したGSM SIMの実施形態と同様に、USBコネクターが更にその偏在性のためコスト上の利点を提供する。そのような実施形態において、キーデバイス(170)とハードウェア暗号化システム(180)との間の前述した通信が、周知のUSB通信プロトコルを介し実行され得る。
【0038】
[0044]ストレージシステム(160)が別の任意の記憶装置として利用され得るため、キーデバイスインターフェース(270)が記憶装置(210)に適応され得るか又は位置付けられ得、キーデバイス(170)の存在又は不在を検証するためのキーデバイスインターフェース(270)の簡単な目視検査が達成され得る。例えば、記憶装置(210)がハードディスクドライブの場合、記憶装置が一旦インストールされると、キーデバイスインターフェース(270)が、典型的に目に見える記憶装置周辺に沿って位置付けられ得る。そのような場合、記憶装置(210)がサーバー計算装置用の適切なラックマウント式システムなどの別の多くの記憶装置にインストールされている場合、キーデバイスインターフェース(270)の目視検査は、記憶装置(210)をラックから取り外しせずに達成され得る。代替として、記憶装置(210)は更に、透過的な一部又は物理的に存在しない一部から成り得、例えば、計算装置(100)との物理的接続から再び記憶装置(210)の取外しを必要とせずに、キーデバイスインターフェース(270)において、キーデバイス(170)の存在又は不在の視覚検証が達成され得る。
【0039】
[0045]別の実施形態において、キーデバイスインターフェース(270)は、キーデバイス(170)のようなキーデバイスが、キーデバイスインターフェース(270)と物理的に接続されたときに信号送信し得る発行ダイオード(LED)のような視覚的信号伝達機構と通信的に接続され得る。視覚的信号伝達機構は更に、ハードウェア暗号化システム(180)の処理装置(181)によって制御され得る。例えば、暗号化情報(175)が計算機可読媒体(190)にストアされた所与の暗号化データ(195)に不適切か又は無効であることを処理装置(181)が決定した場合、視覚的信号の伝達機構が、赤信号又は点滅信号のような適切な信号を生成するように命令され得、それによって、ユーザーが不正確なキーデバイス(170)を挿入していることをユーザーに通知する。
【0040】
[0046]図2に示したように、キーデバイス(170)は最初、記憶装置(210)から物理的に分離されている。一実施形態において、そのようなキーデバイス(170)と記憶装置(210)との間の物理的分離は、キーデバイス(170)と記憶装置(210)との通信的な分離ももたらし得る。キーデバイス(170)の暗号化情報(175)にアクセスせずに、ハードウェア暗号化システム(180)は、暗号化情報(175)を参照し暗号化された計算機可読媒体にストアされたどんなデータも復号化不可能である。
【0041】
[0047]次にキーデバイス(170)は、キーデバイスインターフェース(270)の中へ物理的に挿入され得るか又は別の方法で取り付けられるか若しくは接続され得る。そのような物理的な接続は更に、キーデバイス(170)と記憶装置(210)との間の通信的な接続を可能にし得る。利用可能な通信的接続は、ハードウェア暗号化システム(180)の処理装置(181)が暗号化情報(175)から計算機可読媒体(190)にストアされている前に暗号化されたデータの復号化に関連する情報をリトリーブ又は別の方法で取得可能にし得る。一実施形態において、暗号化情報(175)は、当業者に十分に知られている方法による暗号化及び復号化動作のためのキーとして利用され得る一連のビット列であり得る「物理キー」(220)を含み得る。従って、以下説明において利用される用語「物理キー」は、キーデバイス(170)のような物理的に取外し可能なソースから提供され、その上にストアされる暗号化キーとして利用されるデータ集合を参照するように意図されている。そのような物理キー(220)は、そのようなキーを用いて暗号化されたデータがストアされている媒体から、物理的に分離できない「論理キー」と対照的にあるように意味されている。
【0042】
[0048]キーデバイス(170)は、記憶装置(210)と通信的に接続されるべき記憶装置と必ずしも物理的に接続される必要はない。前述した実施形態は、記憶装置の共通タイプのインターフェース上で任意の暗号化情報(175)を送信することを避けるための、キーデバイス(170)と記憶装置(210)との物理接続を提供する。そのような方法によるキーデバイス(170)及び記憶装置(210)のハードウェア設計は、暗号化情報(175)が外部実体によって取得され得ないことを保証し得、従って、更に詳細に後述されるキーデバイス(170)の物理的な破壊は、そのような情報がキーデバイス(170)から複製されることも別の場所に保持することもできないので、暗号化情報(175)の使用不能な証拠としての役割を果たし得る。
【0043】
[0049]しかしながら、代替実施形態において、暗号化情報は、記憶装置(210)の外部通信的インターフェースを介した暗号化情報(175)の少なくともいくつかの送信にもかかわらず、保護され得る。図3に移ると、キーデバイス(170)と記憶装置(210)との物理的な分離にもかかわらず、計算装置(100)を介しキーデバイス(170)と記憶装置(210)と間の通信的な接続を例示しているシステム(300)が示されている。示したように、システム(300)は、計算装置(100)と、キーデバイス(170)及び記憶装置(210)を含むストレージシステム(160)とを含み得る。一実施形態において、キーデバイス(170)及び記憶装置(210)双方は、独立して計算装置と接続され得るが、示したように計算装置(100)とのキーデバイス(170)の接続は、任意であり得、キーデバイス(170)は、記憶装置(210)との接続など別の接続を介し計算装置(100)と通信し得る。一実施形態において、例えば、記憶装置(210)は、例えば内蔵ハードディスクドライブ形式のように、計算装置(100)と内部接続され得る。キーデバイス(170)は、一般向けの周辺機器又はストレージインターフェースのような有線及び無線インターフェース双方を含む計算装置(100)の外部インターフェースと接続され得る。そのような方法でキーデバイス(170)は、記憶装置(210)への物理的アクセスを必要とせずに記憶装置(160)の別のエレメントと通信的に分離され得る。
【0044】
[0050]キーデバイス(170)は、例示及び提示を単純にするために、その他の図に具体的に例示されていないが、暗号化情報(175)に加えたエレメントを任意に含み得る。更に後述されるように、例えば、キーデバイス(170)は、トラステッドプラットフォームモジュール(TPM)に類似したモジュールを含み得る。図3において、1つ以上の処理装置(176)及び1つ以上のインターフェース(177)を含む任意エレメントは、キーデバイス(170)と計算装置(100)との間の独立した任意関係を説明するために示されている。具体的には、インターフェース(177)は、計算装置(100)とキーデバイス(170)との間の物理的又は無線通信的な接続を可能にするための、前述したインターフェース(140)と同一タイプのインターフェースであり得る。同様に、1つ以上の処理装置(176)は、インターフェース(140)及び(177)に適切な通信的プロトコルなどを介し、キーデバイス(170)と計算装置(100)との間の通信を確立し維持し得る処理装置を含み得る。従って本説明のキーデバイス(170)への参照は、任意の選択要素、インターフェース(177)、及び処理装置(176)を含むことを意味していて、キーデバイス(170)が、例えば、計算装置(100)と独立して通信し、図4、図5、及び図8を参照し説明したキーデバイス(170)によって実行されるステップを含むこれらに限定しない後述されるステップの実行を可能にする。
【0045】
[0051]加えて、例えば、オペレーティングシステム(134)の一部であり得るストレージドライバースタック(310)又はBIOS(133)も、インターフェース(140)のような計算装置(100)のインターフェースとのキーデバイス(170)及び記憶装置(210)の接続を認識し得る。キーデバイス(170)及び記憶装置(210)双方の接続を検出すると、ストレージドライバースタック(310)は、それらの間のセキュア通信を可能にし得る。例えば、キーデバイス(170)と記憶装置(210)との間の通信は、オペレーティングシステム(134)の別のエレメント又はプログラムモジュール(135)のような通信を、より上位のソフトウェアにアクセス不可能な状態にすることによって保証され得る。
【0046】
[0052]別の実施形態において、命令(183)は、計算装置(100)の通信的な経路を介し、ハードウェア暗号化システム(180)とキーデバイス(170)との間の接続を構築するための命令を含み得る。例えば、命令(183)は、キーデバイスが計算装置(100)によって接続された周辺機器として認識されたとき、キーデバイス(170)を検索し通信を確立する命令を含み得る。そのようなセキュリティを維持するための通信が暗号化され得るか又は別のアンチマルウェアの方法が実装され得る。キーデバイスは、例えば、計算装置(100)上で実行し得るマルウェアが、キーデバイス(170)から暗号化情報(175)を読み出すための試みを防止するための非周辺ストレージ機として計算装置(100)へそれ自身を提示する。
【0047】
[0053]代替実施形態において、キーデバイス(170)は、同一の計算装置(100)と通信的に接続され得る記憶装置(210)と通信を確立するための能力を含み得る。キーデバイスは、例えば、キーデバイスが計算装置(100)と通信的に接続されたとき、特定の記憶装置の識別子を検索し得る。一方、セキュリティ方法が実装され得、計算装置(100)を実行中であり得るマルウェアが、キーデバイス(170)と記憶装置(210)と間の通信の妨害又は遮断することを防止し得る。
【0048】
[0054]通信が、一旦キーデバイス(170)とハードウェア暗号化システム(180)との間に確立されると、物理キー(220)又は別の方法で暗号化情報(175)は、処理装置(181)によってキーデバイス(170)からアクセスされ得るか、又はキーデバイスによって処理装置に提供され、処理装置は、計算機可読媒体(190)に前にストアされたデータを復号化し、計算機可読媒体(190)上のストレージへ計算装置(100)によって提供される新しいデータの暗号化を可能にし得る。一実施形態において、キーデバイス(170)は、処理装置(181)又は記憶装置(210)の物理コンテナの別コンポーネントのいくつか又はすべてをキーデバイス(170)に自らを認証させた後のみ、処理装置(181)へ物理キー(220)又は別の暗号化情報(175)を提供し得る。例えば、「信頼された」キーデバイス(TKD)は、詳細に前述したキーデバイス(170)の別のエレメントとともに、いくつかの計算装置上で見出されるTrusted Platform Module(TPM)に類似したモジュールを含み得る。そのようなTKDは、例えば、そのようなコンポーネントから固有値を取得し、その後、当業者に知られている方法でそれらの値をハッシュし組み合わせることによって、記憶装置(210)のコンポーネントのいくつか又はすべてを評価し得る。結果の評価値が唯一、記憶装置(210)を識別し得、物理キー(220)又は別の暗号化情報(175)は、また当業者に知られている方法によってそれらの評価値へこのTKDによって封印され得、TKDが通信的に接続される対象の記憶装置(210)が、TKDによって見出され、物理キー又は別の暗号化情報を封印するために使用されているものと同一の評価値を有していない場合、物理キー又は別の暗号化情報はTKDによって処理装置(181)へリリースされない。そのような方法によって、TKDは、TKDの物理キー又は暗号化情報を取得する目的で単に記憶装置(210)に「なりすます」装置に対する物理キー(220)又は別の暗号化情報(175)のリリースを防止し得る。
【0049】
[0055]キーデバイス(170)の暗号化情報(175)は、キーデバイスが製造されたとき、キーデバイス(170)上にストアされ得る。一実施形態において、例えば、一連の複数の物理キー(220)が、暗号化情報(175)としてストアされ得、キーデバイス(170)と通信し、その後、記憶装置のハードウェア暗号化システム(180)それぞれが使用中、次の物理キー(220)を取得し得、それを印付け得、その結果、次の記憶装置のハードウェア暗号化システム(180)が適切に次の物理キー(220)を選択可能にする。このような方法によって、単一のキーデバイス(170)が複数の記憶装置によって共有され得る。かくして、例えば、計算装置(100)が、RAIDシステムなどのような複数の記憶装置と通信的に接続されている場合か又は計算装置(100)がサーバー計算装置として作動している場合、単一のキーデバイス(170)が、それらの記憶装置それぞれに適切な暗号化情報(175)を提供し得る。
【0050】
[0056]代替実施形態において、キーデバイス(170)の暗号化情報(175)は、記憶装置(210)自身によって提供され得る。具体的には、キーデバイス(170)が、例えば、前述した方法などによって記憶装置(210)と通信的に接続されているが、しかしキーデバイス(170)がどんな暗号化情報(175)も含んでいない場合、記憶装置(210)のハードウェア暗号化システム(180)は、暗号化情報(175)を生成し、キーデバイス(170)にそれを提供し得る。記憶装置(210)の計算機可読媒体(190)にストアされたデータ(195)の暗号化及び復号化が、詳細に前述した方法によってその後、開始し得る。
【0051】
[0057]しかしながら、別の代替実施形態において、キーデバイス(170)の暗号化情報(175)は、データをストアしリトリーブするためのストレージシステム(160)を利用している同一の計算装置であるか又は異なる計算装置であるかどちらか一方の情報供給計算装置によって、キーデバイス(170)へ提供され得る。図4に移ると、情報供給計算装置(410)及びストレージシステム(160)を含むシステム(400)が示されている。示したような記憶装置(410)は、前述した情報供給計算装置(100)と同一であるか又は異なる計算装置であり得る。従って参照及び例示を容易にするために、情報供給計算装置(410)のエレメントは、計算装置(100)の類似のエレメントと異なって番号付けされているが、それらの機能は、同様又は同一でさえあり得る。従って、CPU(420)、システムバス(421)、システムメモリー(430)、不揮発性メモリーインターフェース(440)、及びストレージホストコントローラー(445)は、前述したCPU(120)、システムバス(121)、システムメモリー(130)、インターフェース(140)、及びストレージホストコントローラー(145)とすべて同様である。同様に、BIOS(433)を伴うROM(431)、及びオペレーティングシステム(434)を伴うRAM(432)、プログラムモジュール(435)、プログラムデータ(436)、及びフルボリューム暗号化サービス(437)も前述したROM(131)、BIOS(133)、RAM(132)、オペレーティングシステム(134)、プログラムモジュール(135)、プログラムデータ(136)、及びフルボリューム暗号化サービス(137)に類似している。
【0052】
[0058]一実施形態において、不揮発性メモリーインターフェース(440)などを直接介するか又は、それ自身がインターフェース(440)又はストレージホストコントローラー(445)と直接接続され得る記憶装置(210)を間接的に介して、キーデバイス(170)を情報供給計算装置(410)と通信的に接続し得る。キーデバイスが情報供給計算装置(410)と独立して接続されている場合、情報供給計算装置(410)は、任意に、コントローラー(445)又はインターフェース(440)を介し記憶装置(210)とも接続され得る。前述のような任意接続が点線を介し図4に例示されている。キーデバイス(170)及び情報供給計算装置(410)が一旦、相互に通信的に接続されると、情報供給計算装置(410)は、その後、暗号化情報(175)を物理キー(220)などの形式でキーデバイス(170)へ提供し得る。図4の暗号化情報(175)が、情報供給計算装置(410)によって提供されるまで、キーデバイス(170)上に少なくとも一部存在していないことを示すためにグレー表示で例示されている。
【0053】
[0059]情報供給計算装置(410)によってキーデバイス(170)へ提供される暗号化情報(175)は、複数の情報供給計算装置(410)のどのサブシステムによっても提供され得る。論理キーの利用に加えて、例えば、フルボリューム暗号化サービス(437)は、既存の機能性を活用し得、物理キー(220)を生成し、それをキーデバイス(170)へ提供し得る。代替として物理キー(220)が、ストレージホストコントローラー(445)又はその他のストレージインターフェースに存在し得るハードウェアなどの専用ハードウェアによって生成され得る。更に別の代替手段として物理キー(220)が、BIOS(433)を介しキーデバイス(170)へ提供され得る。
【0054】
[0060]物理キー(220)のセキュリティ及び秘密又はキーデバイス(170)に提供されるその他任意の暗号化情報(175)を維持するために、そのような情報は、情報供給計算装置(410)上において実行中の悪意のある計算機実行可能命令などを介し敵対関係にあるものによって取得されるような、情報に関する可能性を最小にする方法で情報供給計算装置(410)によって提供され得る。故に、一実施形態において、物理キー(220)、又はキーデバイス(170)に提供されるいかなる他の暗号化情報(175)も情報供給計算装置(410)の起動完了の前に提供され得、情報供給計算装置の起動完了前に情報供給計算装置から提供される情報をも削除し得る。悪意のある計算機実行可能命令は、典型的に、ホスト計算装置の起動完了前に作動し得ないので、情報供給計算装置(410)の起動完了前にキーデバイス(170)へ情報を提供し、その後、廃棄することによって、それが次に情報供給計算装置によって実行し得る悪意のある任意の計算機実行可能命令から、提供される情報を保護し得る。
【0055】
[0061]BIOS(433)が、例えば、情報供給計算装置(410)のインターフェースと通信的に接続されたキーデバイス(170)の存在を検出し得、例えば、オペレーティングシステム(434)の実行開始を含む、情報供給計算装置上の別の任意の処理を開始する前に、物理キー(220)をキーデバイス(170)へ提供し得る。同様に、コントローラー(445)は、その後RAIDコントローラーが最初に、初期化又はオペレーティングシステム(434)の起動開始でない場合は少なくとも完了前に、キーデバイス(170)の存在を検出し得る。RAIDコントローラー(445)はその後、物理キー(220)をキーデバイス(170)へ同様に提供し得、悪意のある任意の計算機実行可能命令が情報供給計算装置(410)を実行し得る前にそのような物理キーを廃棄し得る。別の代替手段として、フルボリューム暗号化サービス(437)は、それらの機構を利用し得、情報供給計算装置(410)上で実行中の悪意のある計算機実行可能命令から論理キーを保護するように設計された機構を既に含んでいるので、物理キー(220)を確かにキーデバイス(170)に提供し、その後、物理キーを破壊し、物理キーが情報供給計算装置(410)上に発見される可能性を更に減らす。例えば、物理キー(220)を含む暗号化情報(175)が一旦、情報供給計算装置(410)によってキーデバイス(170)に提供されると、キーデバイス(170)は、情報供給計算装置(410)から通信的かつ任意に、物理的に切断され得、その後、記憶装置の物理的なコンテナ(210)に関連し前述したように利用され得、記憶装置(160)が、計算機可読媒体(190)上に暗号化データをストアし、既にストアされた暗号化データにアクセスすることを可能にする。
【0056】
[0062]別の実施形態の図4のシステム(400)に例示したキーデバイス(170)などの情報供給計算装置(410)自身と物理的に接続されるキーデバイス(170)を情報供給するよりもむしろ、キーデバイス(170)は情報供給計算装置(410)によって情報供給され得るが、例えば、キーデバイス(170)が、物理的に記憶装置(210)のキーデバイスインターフェース(270)に挿入され、記憶装置(210)がその後、計算装置(100)にインストールされた場合、それが別の計算装置などと通信的に接続される。図5に移ると、情報供給計算装置(410)と同じく通信的に接続された計算装置(100)によって通信的に接続され利用されているストレージシステム(160)を含むシステム(500)が示されている。キーデバイス(170)を不揮発性メモリーインターフェース(140)に接続している点線によって例示したように、キーデバイスは任意に、前述したようにキーデバイスインターフェース(270)を介し、記憶装置(210)に接続され得るか又はそれが、不揮発性のメモリーインターフェース(140)に接続され得、キーデバイスと記憶装置(210)の別のコンポーネントとの間の通信は計算装置(100)を介し存在し得る。
【0057】
[0063]一実施形態において、最初に計算装置(100)に接続されたとき、記憶装置(210)は、図5の暗号化情報からグレー表示で例示したように情報がまだ提供されていないので、キーデバイス(170)の暗号化情報(175)を利用可能でない。暗号化情報(175)の少なくとも一部を取得するために、キーデバイス(170)は、情報供給計算装置(410)へセキュア通信トンネル(510)を確立し得る。一実施形態において、キーデバイス(170)は、キーデバイス(170)及び記憶装置(160)が例えば、記憶装置(100)のネットワークインターフェース(150)などに接続された計算装置のネットワークインターフェースへのアクセスをリクエストし得る機構を含み得る。キーデバイス(170)が一旦、ネットワークインターフェース(150)へのアクセスを有すると、ネットワーク(155)などを介し、情報供給計算装置(410)との通信的接続を確立し得る。一実施形態において、キーデバイス(170)の機構を単純化するために、キーデバイス(170)は、例えばコスト問題による限定された機能を有して得るので、情報供給計算装置(410)のネットワークアドレスが事前に選択され得、情報供給計算装置になろうとしている任意の計算装置は、事前選択されたそのようなアドレスを割り当てられ得る。しかしながら、代替実施形態において、キーデバイス(170)は、より進化した方法論を介しネットワーク(155)上の情報供給計算装置(410)を検索し得る機構を含み得る。
【0058】
[0064]一旦、キーデバイス(170)が、ネットワーク(155)を介し、情報供給計算装置(410)と通信的接続を確立すると、それが開始し得、Point−to−Point Tunneling Protocol(PPTP)又はLevel2 Tunneling Protocol(L2TP)のような標準トンネリング機構を介しセキュア通信トンネル(510)を確立する。当業者によって知られているように、そのようなトンネリング機構は、共有パスワード又はキーのような様々なセキュリティ証明書の交換を拠り所にし得るか、又はそれらは、ケルベロス又はラディウスサーバーのような独立した検証によって提供されるセキュリティ証明書を拠り所にし得る。セキュアトンネル(510)を確立するために要求される範囲において、キーデバイス(170)は、必要なパスワード、キー、又はセキュアトンネル(510)の確立を可能にする別の認証機構若しくは情報を含み得る。
【0059】
[0065]一旦、セキュア通信トンネル(510)が情報供給計算装置(410)とキーデバイスとの間に確立されると、(170)、情報供給計算装置(410)が、前述した方法などによって、キーデバイス(170)の暗号化情報(175)のいくつか又はすべてを情報供給し得る。かくして、図5により太い境界線によって例示したようなセキュアトンネル(510)を介し情報供給計算装置(410)によるキーデバイス(170)の情報供給は、BIOS(433)を介し、ストレージホストコントローラー(445)、フルボリューム暗号化サービス(437)、情報供給計算装置(410)、又はその他のコンポーネントに生じ得、ネットワークインターフェース(450)及び一般ネットワーク接続(451)を介し、キーデバイス及び記憶装置(210)が通信的に、あるいは物理的に接続されている計算装置(100)のネットワークインターフェース(150)へネットワーク(155)及び一般的なネットワーク接続(151)を介しその後、伝達され得る。
【0060】
[0066]キーデバイス(170)の暗号化情報(175)が、ハードウェア暗号化システム(180)によって利用され、記憶装置の計算機可読媒体(190)上のストレージに対し、計算装置(100)によって記憶装置(160)上に提供されるデータを暗号化し、そのようなデータを計算装置(100)に記憶装置(160)によって提供する前に、計算機可読媒体(190)に既にストアされているデータを復号化し得る。図6に移ると、システム(600)は、ハードウェア暗号化システム(180)がキーデバイス(170)の暗号化情報(175)を利用又は参照し得るためのいくつかの例示的な機構を例示している。示されているように、例えば、暗号化情報(175)の物理キー(220)がハードウェア暗号化システム(180)によって利用され、計算機可読媒体(190)上のデータ(195)を暗号化又は復号化し得る。例示されている代替実施形態においても、キーデバイス(170)の暗号化情報(175)から取得した物理キー(220)が生成されるような論理キー(620)に組み合わせ、フルボリューム暗号化サービス(137)によって利用され得る。例えば、それぞれ論理キー(620)及び物理キー(220)が128ビットキーを含む場合、単に2つの128ビットのキーを一緒に接続することによって256ビットの組み合わせキーが生成され得る。そのような256ビットキーがその後、ハードウェア暗号化システム(180)によって利用され、計算機可読媒体にストアされたデータ(195)を暗号化し復号化し得る。当然のこととして、論理キー(620)と物理キー(220)との別の組み合わせもハードウェア暗号化システム(180)によって実装され得る。
【0061】
[0067]従来、データ(195)などのデータの暗号化及び復号化は、複数レイヤのキーを含む。例えば、データ(195)を暗号化し復号化するために利用されるキーは、それ自身、別のキーによって暗号化され、もし最終的な暗号化及び復号化キーを暗号化したキーが失われても、新たなキーが生成され得、最終的な暗号化及び復号化キーが変更されていないので、データ(195)が再度、暗号化される必要はない。そのような最後から2番目のキーは、その後、それ自身、更に別のダウンストリームキーによって暗号化され得、特定の状況において、付加的な効率を提供し得る。そのような複数レイヤのキーの存在を例示するために、図6のシステム(600)は、ハードウェア暗号化システム(180)によって利用され、計算機可読媒体(190)上にストアされたデータ(195)を暗号化し復号化し得る暗号化/復号化キー(650)を例示している。暗号化/復号化キー(650)は、データ(195)を復号化するために直接物理キー(220)を利用するよりもむしろ物理キー(220)又は論理キー(620)と物理キー(220)との組み合わせによって復号化され得る。示したように、付加的なそのようなキーレイヤも、それらは例示の簡単さを維持するために示されていないが、想定される。
【0062】
[0068]キーデバイス(170)の少なくともいくつかの暗号化情報(175)の、情報供給計算装置(410)による前述した情報供給を実装している複数のキーレイヤが同じく利用され得る。より具体的に述べると、少なくとも暗号化情報(175)の一部をキーデバイス(170)に直接提供するよりもむしろ、その代わりに情報供給計算装置(410)が、そのような情報を記憶装置(210)に提供し得る。記憶装置(210)が、その後、内部キーを用いて受信されたそのような情報を暗号化し得、結果の暗号化情報が、キーデバイス(170)に提供され得、記憶媒体(190)上のデータ(195)を暗号化及び復号化するために利用され得る。そのような実施形態は、記憶媒体(190)上のデータ(195)を暗号化し復号化するために最終的に利用される暗号化情報の外部のインターフェースを介する送信を防止する。
【0063】
[0069]計算機可読媒体(190)上のデータ(195)のすべて又は実質的にすべてが、暗号化情報(175)を参照しハードウェア暗号化システム(180)によって暗号化され得るので、暗号化情報(175)が、もはや利用可能でなくなったとき、例えば、キーデバイス(170)が通信的に、任意に物理的にハードウェア暗号化システムから取り外されたとき、計算機可読媒体に前にストアされたデータ(195)はもはやアクセス不可能になる。更に、暗号化情報(175)がもはや回復可能も読み込みも不可能なように暗号化情報(175)を含むキーデバイス(170)が破壊された場合、計算機可読媒体にストアされたデータ(195)は、キーをそのようなデータを復号化することができた既存の機構を用いて生成し得ないので、もはやアクセスも不可能である。その結果、キーデバイス(170)の破壊は、計算機可読媒体(190)におけるデータ(195)の仮想の破壊として作用し得る。
【0064】
[0070]従ってキーデバイス(170)は、効率的かつ安全に破壊され得る装置であり得る。例えば、キーデバイス(170)は、暗号化情報(175)がもはや回復可能でなくなるような方法によって容易に細かく裂かれ得るか又は別の方法で物理的に変換され得る材料から組み立てられ得る。代替として、キーデバイス(170)は、それが容易に破壊され読み取り不可能な状態にされ得るように穿孔されるか又は別の方法で構造上1つ以上の軸に従って弱められ得る。加えて、キーデバイス(170)の破壊は、キーデバイス(170)の暗号化情報(175)に関し暗号化された計算機可読媒体(190)にストアされたデータ(195)の仮想破壊であり得るので、キーデバイス(170)は更に、キーデバイス(170)が関連付けられた計算機可読媒体(190)を含む記憶装置の物理的なコンテナ(210)の視覚表示を含み得る。例えば、キーデバイス(170)は、エッチング処理又は別の方法でそれをキーデバイス(170)が関連付けられた計算機可読媒体(190)を含む記憶装置の物理的なコンテナ(210)の固有識別子が印刷され得る。あるいはまた、既に示したように、GSM SIMカードの形式のキーデバイス(170)は、キーデバイス(170)が関連付けられた計算機可読媒体(190)を含む記憶装置の物理的なコンテナ(210)の固有識別子をストアし得るICCIDを有し得る。かくして、様々な証明プロセスに関し、キーデバイス(170)の暗号化情報(175)を参照し暗号化された計算機可読媒体(190)上のデータ(195)の仮想的破壊が物理的又はデジタル検査によって検証され得、又は別の方法でキーデバイス(170)を使用不可にされる。
【0065】
[0071]計算機可読媒体(190)上のデータ(195)の安全な輸送は、通信的かつ物理的分離可能なキーデバイス(170)によって同様に容易にされ得る。例えば、暗号化データ(195)を有する計算機可読媒体(190)を含む1つ以上の記憶装置(210)が出荷された場合、関連キーデバイス(170)は、取り外され得るか又は別の方法で記憶装置から通信的に分離され得、別個のコンテナ若しくは別個の搬送手段を介し出荷され得るか、又は別の方法で記憶装置の安全な受理の確認が受信された後、保持され得、出荷され得る。記憶装置(210)が失われたか又は盗まれた場合、そのような記憶装置の計算機可読媒体上のデータ(195)がキーデバイス(170)なしにアクセスされ得ず、それらは異なるルートを介し運ばれているのでおそらく、失われもせず、盗まれもされない。
【0066】
[0072]異なるキーデバイスが記憶装置(210)と通信的に接続された場合、フリースペースとして記憶装置(210)によって前に暗号化されたデータ(195)が処理され得、その結果、そのような前のデータを仮想的に削除する。あるいはまた、ハードウェア暗号化システム(180)は、安全な削除プロセスを自動的に実行し得、更に、データ(195)へのアクセスを防止する。また別の代替手段として、異なるキーデバイスが記憶装置(210)と通信的に接続された場合、前に暗号化されたデータが完全に保持され得、前のキーデバイス(170)のその後の使用は、異なるキーデバイスは記憶装置(210)と通信的に接続されている間に追加された任意のデータへのアクセスではなく、前のデータにアクセスすることを許可する。キーデバイス(170)が記憶装置(210)と通信的に接続されていない場合、記憶装置は、接続計算装置(100)が安全な削除コマンドを発行可能にし得ることを除き任意のアクセスリクエストを拒否出来る。しかしながら、一実施形態においては、キーデバイス(170)が記憶装置(210)と通信的に接続されず、かつ、どんなキーデバイス(170)もこれまで前に接続されなかった場合、記憶装置(210)は、ハードウェア暗号化システム(180)によって内部的に生成された暗号化情報を利用し得るか又は計算装置(100)との通信的な接続が「準備できていない」としてそれ自身を報告し得るかどちらか一方である。一実施形態において、そのようなオプションは、ユーザー又は管理者が選択可能であり得る。前に通信的に接続されたキーデバイス(170)の存在は、ログファイル又は同様の構造物などの中にハードウェア暗号化システム(180)によって維持され得る。
【0067】
[0073]図7に移ると、流れ図(700)は、キーデバイス(170)の存在又は不在に従った動作を決定する際、前述した記憶装置(210)のような記憶装置によって実行され得る例示的な一連のステップを例示している。初めに、ステップ(705)によって示したように、電力が記憶装置に供給され得る。次に、ステップ(710)において、キーデバイス(170)がハードウェア暗号化システム(180)などと通信的に接続されているか否か決定するチェックが実行され得る。通信的に接続されたキーデバイス(170)は、任意に物理的に接続され得るが、ステップ(710)において、前述した通信的な任意の接続に関するチェックも占め得る。
【0068】
[0074]ステップ(710)において、どんなキーデバイス(170)も通信的に接続されていないことが決定された場合、ステップ(715)において、キーデバイス(170)が以前に接続されたか否か決定するチェックが実行され得る。例えば、示したような記憶装置(210)のコンポーネントが、前に通信的に接続されたキーデバイス(170)を示し得るログファイル又は別の構造物を維持し得る。ステップ(715)において、キーデバイス(170)が以前に接続されたことが決定された場合、ステップ(720)において、その後、プロセスが終了し得、記憶装置が通信的に接続された計算装置(100)から記憶装置(210)の計算機可読媒体(190)のコンテンツを安全に消去するリクエスト以外のリクエストを拒否し得る。
【0069】
[0075]しかしながら、ステップ(715)において、ログファイルの参照などによって、どんなキーデバイス(170)も記憶装置(210)と以前に通信的に接続されなかったことが決定された場合、ステップ(725)において、そのような場合に選択されるデフォルト動作に関するチェックが実行され得る。ステップ(730)によって示されるように、一オプションは、通信的に接続された計算装置(100)に記憶装置(210)の「準備ができていない」として報告することによって、プロセスを終了することであり得る。ステップ(735)によって示されるように、別のオプションは、その後、ハードウェア暗号化システム(180)によって利用され得、計算機可読媒体(190)にストアされているデータを暗号化し得、そこから読み出されるデータを復号化する内部的暗号化情報を生成することであり得る。そのような内部暗号化情報の生成は、記憶装置(210)が暗号化情報(175)を生成し、それをキーデバイス(170)に提供する、前述した実施形態と異なる場合がある。このような場合、キーデバイス(170)にストアされた生成された暗号化情報(175)は、記憶装置(210)が電源を落とされるか又は再開された後、利用的なままであって、その結果、キーデバイス(170)が記憶装置(210)と通信的に接続されたままである限り、計算機可読媒体(190)にストアされた暗号化されたデータ(195)にアクセス可能である。本実施形態において、内部に生成され利用される暗号化情報は、ステップ(710)において決定されたように、どんなキーデバイスも現在通信的に接続されていないので、キーデバイス(170)にストアされない。その結果、そのような内部生成された暗号化情報を使用して計算機可読媒体(190)上に暗号化された方法でストアされたデータ(195)は、それが停電の間、失われ得るようにデータ(195)を暗号化するために使用された暗号化情報が、もはや利用可能でないので、記憶装置(210)がパワーダウン又は再開された後、回復不可能であり得る。そのリモートサイトの端末が盗まれた場合、リモートサイト上のファイル及びコンテンツを盗むことができないことを保証することが、望ましいとき、そのようなデータの一時記憶領域は、例えば、端末ドライブにおいて有用であり得る。
【0070】
[0076]関連した処理は、その後、記憶装置(210)が示したように暗号化情報を利用しデータを暗号化し復号化するように開始し得るステップ(755)において終了し得る。ステップ(710)において、通信的に接続されたキーデバイス(170)が検出された場合、処理は、ステップ(740)へ継続し得、検出されたキーデバイス(170)が以前に通信的に接続されたものと同一のキーデバイスであるか否か決定するために前述したログファイルなどのようなチェックが実行される。通信的に接続されたキーデバイス(170)が、以前に通信的に接続されていたものと同一のキーデバイスである場合、ステップ(750)において、暗号化情報(175)が、キーデバイス(170)から取得され得、関連した処理がステップ(755)において終了し得、記憶装置(160)は継続して暗号化情報を利用し、計算機可読媒体(190)にストアされたデータ(195)を暗号化し復号化する。しかしながら、ステップ(740)において、通信的に接続されたキーデバイス(170)が、以前に通信的に接続されたものと同一のキーデバイスでないことが決定された場合、ステップ(745)において、前のキーデバイス(170)の暗号化情報(175)を用いて暗号化されたデータ(195)すべては計算機可読媒体(190)上のフリースペースとして印付けられ得、当業者によって知られているようにそれは、新しいデータによって不規則に上書きされ得ることを意味している。あるいはまた、既に示したように、前のキーデバイス(170)が記憶装置(210)に再接続されていた場合、データ(195)が、再びストレージシステム(160)を利用する計算装置に利用可能になるように前のキーデバイス(170)の暗号化情報(175)を用いて暗号化されたデータ(195)を保持し得る。次に、ステップ(745)において、キーデバイス(170)に現在、通信的に接続している暗号化情報(175)が、リクエストされ得、ステップ(755)において、関連処理は、データを暗号化し復号化するために説明したように利用される新しい暗号化情報(175)で終わることができる。
【0071】
[0077]既に示したように、キーデバイス(170)は、それ自身、情報供給計算装置(410)を用いたセキュア通信トンネル(510)を確立する能力を含み得る。図8の流れ図(800)は、キーデバイス(170)がそのようなセキュア通信トンネル(510)を確立し得る例示的な一連のステップを例示している。示したように、最初に、ステップ(810)において、電力がキーデバイス(170)に提供され得る。次に、ステップ(820)において、キーデバイス(170)は、それが既に情報供給されるか否か決定するためのチェックが実行され得る。例えば、情報供給計算装置(410)は、データをキーデバイス(170)に提供し得、そのデータは、例えば、ステップ(820)において、それが適切に情報供給されていないことをキーデバイス(170)に決定させることによって、キーデバイス(170)に指定された間隔で情報供給計算装置(410)との再接続をさせ得る。一実施形態において、キーデバイス(170)が、それが適切にその後情報供給されることを決定した場合、ステップ(870)において、関連処理が終了し得る。
【0072】
[0078]しかしながら、ステップ(820)において、キーデバイス(170)が情報供給をリクエストし得ることを決定した場合、ステップ(830)において、それは、継続し得、情報供給計算装置(410)と物理的な接続又は直接的な無線接続などを介し直接情報供給計算装置(410)と接続され得るか否か決定し得る。キーデバイス(170)が情報供給計算装置(410)と直接接続された場合、ステップ(860)において、それは、情報供給計算装置から暗号化情報(175)を受信し得、次に、関連処理は、ステップ(870)において終了し得る。ステップ(830)において、キーデバイス(170)は、それが直接、情報供給計算装置(410)に関連付けられないことを決定した場合、ステップ(840)において、詳細に前述した方法のようにキーデバイス(170)が通信的に接続される対象の計算装置(100)のネットワーク接続を介し情報供給計算装置(410)と接続することを試み得る。ステップ(840)において、キーデバイス(170)は、それが情報供給計算装置(410)を見出し得ないか又は別の方法で連絡できないことを決定した場合、関連処理はステップ(870)において終了し得る。しかしながら、キーデバイス(170)が通信的に接続された計算装置(100)のネットワーク接続を介し、キーデバイス(170)が情報供給計算装置(410)と連絡し得る場合、ステップ(850)において、キーデバイスは、詳細に前述した方法などによってセキュア通信トンネル(510)を確立し得る。ステップ(860)において、キーデバイス(170)は、その後、確立されたセキュアトンネル(510)を介し情報供給計算装置(410)から暗号化情報(175)を受信し得、ステップ(870)において、関連処理が終了し得る。
【0073】
[0079]上記説明から理解され得るように、記憶装置及び通信的かつ物理的に分離可能なキーデバイスを含むストレージシステムが提供される。本明細書に記載した対象項目のあり得る多くの変形を考慮すると、我々は、そのような我々の発明の実施形態すべてが、以下の請求項及びその任意の同等物の範囲内に収まり得るものとして想定している。
【符号の説明】
【0074】
99 例示的システム
100 計算装置
120 処理装置
121 システムバス
130 システムメモリー
131 ROM
132 RAM
133 BIOS
134 オペレーティングシステム
135 プログラムモジュール
136 プログラムデータ
137 フルボリューム暗号化サービス
140 メモリーインターフェース
141 記憶装置
145 ストレージホストコントローラー
146 記憶装置
147 記憶装置
150 ネットワークインターフェース
151 ネットワーク接続
155 ネットワーク
160 ストレージシステム
170 キーデバイス
175 暗号化情報
180 ハードウェア暗号化システム
181 処理装置
182 バス
183 命令
190 計算機可読媒体
195 暗号化データ
210 記憶装置
220 物理キー
270 キーデバイスインターフェース
300 例示的システム
310 ストレージドライバースタック
400 システム
410 記憶装置
420 CPU
421 システムバス
430 システムメモリー
431 ROM
432 RAM
433 BIOS
434 オペレーティングシステム
435 プログラムモジュール
436 プログラムデータ
437 フルボリューム暗号化サービス
440 メモリーインターフェース
445 ストレージホストコントローラー
450 ネットワークインターフェース
451 一般ネットワーク接続
500 システム
510 セキュア通信トンネル
600 システム
620 論理キー
650 暗号化/復号化キー
【技術分野】
【0001】
本発明は、セキュリティシステムに関し、具体的にはデータセキュリティを保持する記憶装置に関する。
【背景技術】
【0002】
[0001]ますます多くの計算装置が、個人的に保持されているデータ及び情報をストアするために作動し利用されている。そのようなデータ及び情報は、政治的機密を含み得るが、しかし、より多くは、そのような情報が悪意のある関係者か又は敵対関係にある集団によって取得された場合、恐らく1人以上の個人にとって被害が大きい場合があるビジネス情報及び個人情報を含んでいる。従って、様々なセキュリティ機構が、計算装置のハードウェアに関連し及び計算装置のソフトウェアに関連する双方において、実装されている。そのようなハードウェアセキュリティ機構の例は、指紋などの生体情報に基づくセキュアパスワードを生成し、キーボードロック、通信ポートロックなど、計算装置に対する物理的なアクセスバリアを生成するために設計された周辺装置を含む。計算装置のソフトウェアに関連するセキュリティ機構の例は、様々な暗号化技術及び様々なアクセスコントロール技術を含む。
【0003】
[0002]1つ以上の計算機可読媒体にストアされたデータ保護は、計算装置と直接に関連付けられていない動作中にしばしば機能しなくなる。例えば、1つ以上の計算機可読媒体にストアされたデータは、計算機可読媒体の物理的出荷が適切に保護されておらず、その結果、失ったとき又は盗まれさえしたとき、権限のない者へ情報を漏らされ得、漏らされ続けている。同様に1つ以上の計算機可読媒体上にストアされたデータは、計算機可読媒体を含む記憶装置が機能しなくなったと考えられ、それ故、廃棄されたとき、権限のない者へ情報を漏らされ得、漏らされ続けている。そのような「機能しなくなった」記憶装置は、しばしば、計算装置によってリトリーブされアクセスされ得る形式で、それらの計算機可読媒体上にストアされるかなり大きな割合のデータを持ち続けている。
【0004】
[0003]とりわけ、そのような媒体が、悪意がある集団又は敵対する関係者に物理的にアクセス可能になった場合に計算機可読媒体にストアされたデータ保護の機能を向上するための「フルボリューム」暗号化方法論が開発されていて、それによって実質上、計算機可読媒体にストアされたデータのすべてが、悪意のある集団又は敵対関係にある者がそのような媒体の物理的管理の取得が可能であっても、適切な復号化キーなしにデータを復号化されないように暗号化された形式でストアされる。より良好な性能を提供するための、記憶装置の一部である1つ以上の計算機可読媒体にストアされたデータの暗号化は、そのようなデータをストアしリトリーブする計算装置の1つ以上の中央演算処理装置に負担させることによるよりも、むしろ記憶装置自身の一部である専用の暗号化ハードウェアによって実行され得る。フルボリューム暗号化方法論に加え、極秘データがストアされた計算機可読媒体の適切な方法による物理的破壊は、そのようなデータ保護及びセキュリティを同様に機能向上し得る。例えば、ストアされた保護データを有し得る計算機可読記憶媒体は、データが物理的に一貫していないか又は計算機可読媒体から物理的に回復可能でないなど、どちらか一方になるように物理的に細かく刻まれ得るか又は不規則で強い磁場に晒され得る。残念ながら、そのような計算機可読媒体の物理的な破壊は、両方共高価かつ手間がかかる場合があって、時間及び費用を低減するための効率が求められるにつれて、そのような媒体上にストアされているデータを危険に晒し得る手っ取り早い方法が使用され得、従って物理的な破壊努力を損なっている。加えて、政府の秘密保持規定又はプライバシー規則などの様々な規則は、計算機可読記憶媒体の適切な破壊が特定の方法によって実行され、かつ、記録する双方を要求するような付加的な負担を課し得る。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的は、物理的かつ通信的に分離可能な暗号化システムを含む記憶装置を提供することである。
【課題を解決するための手段】
【0006】
[0004]ハードウェア暗号化システムを含む記憶装置は、本明細書において「キーデバイス」として参照される、記憶装置の他の部分から物理的かつ通信的に分離され得る物理的実体と関連付けられ得る。キーデバイスは、ハードウェア暗号化システムによって利用され得、記憶装置の計算機可読媒体にストアされたデータを直接的又は間接的どちらか一方で暗号化し復号化し得る暗号化情報を含み得る。キーデバイスを記憶装置から物理的に分離することによって、キーデバイスがハードウェア暗号化システムと通信的に分離されたとき、記憶装置の計算機可読媒体にストアされた暗号化されたデータは、復号化され得ず、従って不正アクセスに対し安全である。
【0007】
[0005]一実施形態において、ストレージシステムは、物理的かつ通信的に相互に分離可能なキーデバイス及び記憶装置を含み得る。記憶装置は、記憶装置にストアされたデータを暗号化し復号化し得るハードウェア暗号化システムと、暗号化されたデータをストアし得る1つ以上の計算機可読媒体を含んでいて、キーデバイスは、ハードウェア暗号化システムによってデータを暗号化し復号化する際、利用し得る暗号化情報を含み得る。キーデバイスを記憶装置から物理的に分離するようなハードウェア暗号化システムからのキーデバイスの通信的な分離は、少なくとも同一のキーデバイスがハードウェア暗号化システムに通信的に再結合され得るまで記憶装置の記憶媒体上の暗号化されたデータをアクセス不可能な状態にし得る。分離可能なキーデバイスの暗号化情報は、記憶装置の初期化などの間、製造業者又はハードウェア暗号化システム自身によって提供され得る。
【0008】
[0006]別の実施形態において、物理的かつ通信的に分離可能なキーデバイスは、1つ以上のキーデバイスに提供され得る暗号化情報を管理する装置として作用し得る情報供給(provisioning)計算装置と独立して通信的に接続し得る。キーデバイスは、一旦そのような情報供給計算装置と通信的に接続されると、情報供給計算装置から暗号化情報の少なくとも一部を受信し得る。キーデバイスは、その後、記憶装置と接続され得、その結果、記憶装置は、情報供給計算装置によって少なくとも一部提供される暗号化情報を参照し、データを暗号化し復号化することが可能になる。
【0009】
[0007]付加的な実施形態において、情報供給計算装置からの暗号化情報は、情報供給計算装置の起動プロセス完了前に暗号化情報をキーデバイスへ提供する機構によるか、又はそれが起動を完了した後、それを情報供給計算装置上で実行し得る潜在的に悪意のある命令へ公開せずに暗号化情報を提供し得る専用RAIDコントローラーのような機構によって提供され得る。
【0010】
[0008]更なる実施形態において、キーデバイスは、計算装置と接続される記憶装置と、物理的に接続され得る。キーデバイスは、ネットワーク接続又は記憶装置が接続されている計算装置の別の通信能力を利用するなどによって、情報供給計算装置とセキュア通信トンネルを確立し得る。情報供給計算装置がその後、セキュア通信トンネルを介し暗号化情報をキーデバイスに提供し得る。
【0011】
[0009]また更なる実施形態において、記憶装置のハードウェア暗号化システムは、キーデバイスによって提供される暗号化情報だけでなく、データをストアするための記憶装置を利用している計算装置によって提供される暗号化情報も利用し得る。記憶装置の計算機可読媒体にストアされたデータはこうして、そのような暗号化情報の組み合わせによって保護され得る。
【0012】
[0010]また更なる実施形態において、異なるキーデバイスがハードウェア暗号化システムと通信的に接続された場合、以前のキーデバイスから受信された暗号化情報を参照することによって暗号化され、記憶装置の計算機可読媒体にストアされている暗号化データは、ここで「フリースペース」として又は別の方法でもはや使用可能なデータではないものとして、印付けられ得、このような方法によって安全に消去されたと考えられ得る。キーデバイスがハードウェア暗号化システムと通信的に接続されず、しかもキーデバイスが、以前に通信的に接続されていない場合、ハードウェア暗号化システムは、記憶装置が「準備ができていない」又はそれが、キーデバイスを参照せずにデータを暗号化し復号化するために利用し得る内部的暗号化情報を生成し得ることを報告し得る。そのような場合の記憶装置の動作はユーザーが選択可能であり得る。
【0013】
[0011]この「課題を解決するための手段」は更に、「発明を実施するための形態」に後述される概念のいくつかを簡易化した形式で紹介するために提供される。この「課題を解決するための手段」は、請求対象項目の重要な機能も本質的な特徴も特定するように意図されておらず、請求対象項目の範囲を限定するために利用されることも意図されない。
【0014】
[0012]付加的な機能及び利点は、添付の図面を参照し開始する以下の詳細な説明から明らかになるだろう。
[0013]以下の詳細説明は、添付図面に関連し例として挙げたときに最もよく理解されよう。
【図面の簡単な説明】
【0015】
【図1】[0014]記憶装置及び分離可能なキーデバイスを含む例示的な計算装置及び例示的なストレージシステムのブロック図である。
【図2】[0015]記憶装置及び分離可能なキーデバイスを含む例示的なストレージシステム動作のブロック図である。
【図3】[0016]記憶装置及び分離可能なキーデバイスを含む別の例示的なストレージシステム動作のブロック図である。
【図4】[0017]情報供給計算装置と組み合わせて記憶装置と分離可能なキーデバイスを含む例示的なストレージシステム動作のブロック図である。
【図5】[0018]情報供給計算装置と組み合わせて記憶装置と分離可能なキーデバイスを含む別の例示的なストレージシステム動作のブロック図である。
【図6】[0019]記憶装置上にストアされたデータのハードウェア暗号化し得る、記憶装置によって実装可能な例示的な暗号化オプションのブロック図である。
【図7】[0020]記憶装置及び分離可能なキーデバイスを含む例示的なストレージシステム動作の流れ図である。
【図8】[0021]キーデバイスによる例示的なセキュア通信トンネル確立の流れ図である。
【発明を実施するための形態】
【0016】
[0022]以下の説明は、記憶装置及び物理的かつ通信的に分離可能なキーデバイスを含むストレージシステムに関連していて、記憶装置は、記憶装置の記憶媒体上にストアされたデータを暗号化し復号化し得るハードウェア暗号化システムを含んでいて、キーデバイスは、ハードウェア暗号化システムによって利用される暗号化情報を含んでいる。記憶装置からキーデバイスを分離することによって、暗号化情報は、ハードウェア暗号化システムによってもはやアクセス不可能となり、そのような分離されたキーデバイスの暗号化情報に関し暗号化された、記憶装置の記憶媒体上にストアされた任意のデータは、読み出し不可能になる。その結果、データセキュリティ及びセキュアデータの破壊は、例えば記憶装置からキーデバイスを物理的に取り外すように、キーデバイスと記憶装置との通信的関係を単に断ち切ることによって達成され得る。キーデバイスにストアされた暗号化情報は、記憶装置の製造業者によって提供され得るか、又は記憶装置自身との任意の通信的接続と独立して、キーデバイスとの通信的接続などを介し情報供給計算装置によって提供され得る。そのような独立したキーデバイスとの通信接続は、情報供給計算装置とキーデバイスとの間に確立され得るセキュア通信トンネルを含み得る。
【0017】
[0023]本明細書に記載されている技法は、記憶装置及び物理的かつ通信的に分離可能なキーデバイスに焦点を合わせているがこれらに限定しない。実際には、以下説明した機構は、例えば、様々な記憶媒体と通信的に接続され得るが従来の記憶装置サービスとしてそれ自身は役割を果たしていないスタンドアロン暗号化コンポーネントを含む物理的に別個のコンポーネントによって等価に実装され得る。その結果、以下の説明は、後述されるエレメントを有する単一記憶装置を参照しているが、説明自身の範囲それ自身がそのように限定されることを意図していない。
【0018】
[0024]加えて、以下の説明は、要求されていないが、1つ以上の処理装置によって実行されるプログラムモジュールなどの計算機実行可能命令の一般的な文脈である。より具体的には、本説明は、別の方法で示されていない場合、1つ以上の処理装置によって実行される作用及び動作の象徴的な表現を参照する。従って、計算機によって実行されるように参照される時のそのような作用及び動作が、構造化された形式でデータを表現する電気的信号処理装置による操作を含むことを理解されよう。この操作は、データを変換するか、又はそれをメモリーに維持し、それと接続された処理装置又は周辺機器の動作を当業者によって十分に理解されている方法によって再構成するか又は別の方法で変更する。データが維持されるデータ構造は、データ形式によって定義された特定の特性を有する物理的な場所である。
【0019】
[0025]一般に、プログラムモジュールは、特定のタスクを実行するか又は特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。その上、参照されている処理装置が従来のパーソナル計算処理装置に限定される必要はなく、携帯用装置、マルチプロセッサーシステム、マイクロプロセッサーベース家電又はプログラマブル家電にしばしば見出される専用プロセッサー、特定用途プロセッサー、通信プロセッサー、バスプロセッサーなども含む、別のプロセッサー構成を含むことを当業者は十分に理解されよう。同様に、以下の説明において参照される計算装置がスタンドアロン計算装置に限定される必要はなく、本機構は、タスクが通信ネットワークを介しリンクされたリモート制御演算装置によって実行される分散計算環境においても実施される。分散計算環境において、プログラムモジュールは、ローカル及びリモート記憶装置に位置付けられ得る。
【0020】
[0026]図1に移ると、例示的な計算装置(100)及び例示的なストレージシステム(160)を含む例示的システム(99)が示されている。ストレージシステム(160)は、計算装置(100)によって利用され得、計算装置によって提供されるデータ及び情報をストアし得、ストレージシステム(160)は、計算装置(100)の特定のコンポーネントと接続されるように表示される記憶装置(141)、(146)、及び(147)のうちどれか1つとして利用され得る。
【0021】
[0027]最初に計算装置(100)に移ると、それは1つ以上の中央演算処理装置(CPU)(120)、システムメモリー(130)、及びシステムメモリー(130)を含む様々なシステムコンポーネントを処理装置(120)と接続するシステムバス(121)を含み得るがこれらに限定しない。システムバス(121)は、様々なバスアーキテクチャのどれかを使用するメモリーバス又はメモリーコントローラー、周辺機器用バス、及びローカルバスを含むいくつかのバス構造タイプのどれかであり得る。特定の物理的な実装に従って1つ以上のCPU(120)及びシステムメモリー(130)が、シングルチップのように物理的に一緒に位置付けられ得る。そのような場合、システムバス(121)のいくつか又はすべては、単にシングルチップ構造内部のシリコン経路であり得、図1の例示は、厳密に言えば例示のための記法的な都合であり得る。
【0022】
[0028]計算装置(100)は、典型的に、計算装置(100)によってアクセスされ得る利用可能な任意の媒体を含み得る計算機可読媒体も含んでいて、揮発性及び不揮発性媒体、並びに取外し可能及び取外し不可能媒体双方も含む。制限ではなく例として、計算機可読媒体は、計算機記憶媒体及び通信媒体を含み得る。計算機記憶媒体は、計算機可読命令、データ構造、プログラムモジュール又はその他のデータのような情報ストレージのための任意の方法又は技術で実装される媒体を含む。計算機記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリー、又はその他のメモリー技術、CD−ROM、デジタル多用途ディスク(DVD)、又はその他の光ディスクストレージ、磁気カセット、磁気テープ、ディスク記憶装置、又はその他の磁気記憶装置、又は所望した情報をストアするために使用され得、計算装置(100)によってアクセスされ得るその他任意の媒体も含むがこれらに限定しない。通信媒体は、典型的に、計算機可読命令、データ構造、プログラムモジュール、又は搬送波又は別の移送機構のような変調データ信号の別のデータを具現していて、任意の情報伝達媒体を含む。用語「変調データ信号」は、それに関する1つ以上の一連の特性を有する信号、又は信号中の情報を符号化するための方法によって変更される信号を意味する。前述の任意の組み合わせも計算機可読媒体の範囲内に含まれる必要がある。
【0023】
[0029]システムメモリー(130)は、読み出し専用メモリー(ROM)(131)及びランダムアクセスメモリー(RAM)(132)のような揮発性及び/又は不揮発性メモリー形式の計算機記憶媒体を含む。起動中など計算機(100)内部のエレメント間の情報送信を支援している基本ルーチンを含む基本入出力システム(BIOS)(133)は、通常、ROM(131)にストアされている。RAM(132)は、通常、処理装置(120)によって直接アクセス可能な及び/又は現在作動されているデータ及び/又はプログラムモジュールを含む。限定ではなく例として、図1は、オペレーティングシステム(134)、アプリケーションプログラム(135)、他のプログラムモジュール(136)、及びプログラムデータ(137)を示している。実施形態の中には例示されているものが、オペレーティングシステム(134)の一部であり得るフルボリューム暗号化サービス(137)であるものもある。フルボリューム暗号化サービス(137)は、計算装置(100)が、オペレーティングシステム(134)又は計算装置のその他のストレージコントローラーによって、個々のボリュームとして定義された一部などの1つ以上の計算機可読媒体又はその一部上にストアしている情報を実質上又はすべて暗号化することを可能にし得る。
【0024】
[0030]計算装置(100)は、その他の取外し可能/取外し不可能、揮発性/不揮発性の計算機記憶装置も含み得る。例えば、図1は、取外し不可能、不揮発性磁気媒体から読み出すか又はそれに書き込むハードディスク記憶装置(141)、(146)、及び(147)を例示している。例示的な計算装置を用いて使用され得る別の取外し可能/取外し不可能、揮発性/不揮発性計算機記憶媒体は、磁気カセットテープ、フラッシュメモリーカード、ソリッドステート記憶装置(SSD)、デジタル多用途ディスク、デジタル映像テープ、ソリッドステートのRAM、ソリッドステートROMなどを含むがこれらに限定しない。ハードディスク記憶装置(141)、(146)、及び(147)、又はこれらのその他の取外し可能/取外し不可能、揮発性/不揮発性コンピュータストレージ媒体のどれかが、典型的にインターフェース(140)のようなメモリーインターフェースを介しシステムバス(121)と直接又は間接的どちらか一方で接続される。図1に例示した例示的な計算装置(100)において、ハードディスク記憶装置(141)は、計算装置(100)への物理的な内部接続又はポートを介し、外部公開された接続などを経由し不揮発性のメモリーインターフェース(140)と直接接続されるように示されているが、ハードディスク記憶装置(146)及び(147)は、その後、計算装置(100)と物理的な内部接続などを介し再度インターフェース(140)と同じく接続され得、例えば、Redundant Array of Inexpensive Device(RAID)コントローラーのようなストレージホストコントローラー(145)と接続されるように示されている。不揮発性メモリーインターフェース(140)は、ユニバーサルシリアルバス(USB)インターフェース、IEEE1394規格仕様、シリアルATA(SATA)インターフェース、その他同種のインターフェースのうちどれか1つ以上に従うインターフェースを含むがこれらに限定しない任意の不揮発性のメモリーインターフェースであり得る。
【0025】
[0031]計算装置(100)は、ネットワーク環境において1つ以上のリモートコンピュータとの論理的接続を使用し作動し得る。例示の単純化のために、特定のネットワーク又はネットワークプロトコルに限定しないネットワーク(155)に接続された任意の計算装置(100)が図1に示されている。図1に示されている論理的接続は、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、又はその他のネットワークであり得る一般ネットワーク接続(151)である。計算装置(100)は、システムバス(121)と同じく接続されるネットワークインターフェース又はアダプター(150)を介し一般ネットワーク接続(151)に接続される。ネットワークの環境において、計算装置(100)に対し示したプログラムモジュール又はその一部若しくはその周辺機器が、一般ネットワーク接続(151)を介し計算装置(100)と通信的に接続されている別の1つ以上の計算装置のメモリーにストアされ得る。示されているネットワーク接続が例示的であって、計算装置間の通信リンクを確立する別の手段が使用され得ることを十分に理解されよう。
【0026】
[0032]ストレージシステム(160)に移ると、ストレージシステムは、前述したハードディスク記憶装置(141)、(146)、及び(147)のどれかと同一方法によって使用され得、置換又は作用し得る。加えて、ストレージシステム(160)の記憶装置(210)は、ハードディスクドライブであり得るか又はそれは、前述した任意の記憶媒体を利用する任意の記憶装置であり得る。例示的なストレージシステム(160)において示したように、記憶装置(210)は、1つ以上の計算機可読媒体(190)を含み得、ハードディスク記憶装置(141)、(146)、及び(147)などの場合、そのような計算機可読媒体は、取外し不可能、不揮発性磁気媒体を含み得るか、又は磁気カセットテープ、フラッシュメモリーカード、ソリッドステート記憶装置(SSD)、デジタル多用途ディスク、デジタルビデオテープ、ソリッドステートRAM、ソリッドステートROMなどのような別の取外し可能/取外し不可能、揮発性/不揮発性計算機記憶媒体を含み得る。
【0027】
[0033]ストレージシステム(160)の記憶装置(210)の計算機可読媒体(190)は、計算装置(100)によって利用され、計算装置(100)に関する計算機読み込み可能命令、データ構造、プログラムモジュール、及び他のデータをストアし得る。例えば、記憶装置(210)の計算機可読媒体(190)が、記憶装置(210)によって復号化されたとき、オペレーティングシステム(134)、その他のプログラムモジュール(135)、又はプログラムデータ(136)のいくつか又はすべてに基本を提供するデータであり得る暗号化データ(195)をストアするように例示されている。
【0028】
[0034]計算機可読媒体(190)に加えて、ストレージシステム(160)の例示的な記憶装置(210)は、計算機可読媒体(190)上のストレージ用ストレージシステム(160)へ提供されるデータを暗号化し、その後、計算装置(100)に提供される計算機可読媒体から読み出されたデータを復号化し得るハードウェア暗号化システム(180)も含み得る。従って、ハードウェア暗号化システム(180)は、CPU(120)又は計算装置(100)のその他のエレメントに負担をかけず暗号化機能を実行し得、それらのエレメントは、一実施形態において、データ暗号化及び復号化に関係なく、別の任意の記憶装置と同一の方法でストレージシステム(160)を処理し得る。
【0029】
[0035]上記、参照された暗号化機能を実行するための記憶装置(210)のハードウェア暗号化システム(180)は、1つ以上の処理装置(181)と、ストレージシステム(160)に提供されるデータの暗号化及び計算機可読媒体(190)から読み出されるデータの復号化などの暗号化機能を実行するための命令(183)と、を含み得る。ハードウェア暗号化システム(180)は、処理装置(181)を記憶媒体にリンクし得る詳細に前述したバス(121)などのバス(182)、又は命令(183)を含むメモリーも含み得る。
【0030】
[0036]以下の説明に関連し、ストレージシステム(160)は更に、暗号化情報(175)を含み得るキーデバイス(170)を含み得る。キーデバイス(170)の暗号化情報(175)が、記憶装置(210)のハードウェア暗号化システム(180)によって参照され得、実行される暗号化及び復号化を通知し得る。更に後述される一実施形態において、ハードウェア暗号化システム(180)は、キーデバイス(170)の暗号化情報(175)、及び例えばフルボリューム暗号化サービス(137)によって提供される付加的な暗号化情報双方を参照し、その暗号化機能を実行し得る。フルボリューム暗号化サービス(137)は、計算機可読媒体(190)にストアされ得る論理キーを提供し得、ハードウェア暗号化システム(180)によって参照され利用され得る。
【0031】
[0037]キーデバイス(170)は、記憶装置(210)から物理的に分離可能かつ通信的に分離可能な物理的実体である。ストレージシステム(160)の周囲の点線は、ストレージシステム(160)が、必ずしも単一の物理的構造物ではないことを強調することを意味している。具体的には、本明細書の以下説明において利用されている用語「ストレージシステム」は、そのようなコンポーネントが、単一の物理的なコンテナか又はその他の物理的な構造物中に物理的に共に位置付けられていなくてもキーデバイス(170)及び記憶装置(210)双方を含むことを意図している。
【0032】
[0038]図2に移ると、物理的かつ通信的に取外し可能なキーデバイス(170)を用いたストレージシステム(160)の一例示的な動作が示されている。例示されているような記憶装置(210)は、例示した実施形態において、前述したハードウェア暗号化システム(180)及び計算機読込み可能媒体(190)を含むだけでなく、キーデバイスインターフェース(270)も含み得る。一実施形態において、キーデバイスインターフェース(270)は、キーデバイス(170)をキーデバイスインターフェース(270)へ物理的に挿入又は別の方法によって接続し得る記憶装置(210)上のスロット又はコネクターであり得、キーデバイス(170)は挿入又は接続されたとき、実質的に記憶装置(210)の大きさを変更しない。そのような場合、記憶装置(210)は、詳細に前述した計算装置(100)のような、計算装置によって利用され得る別の任意の同様な記憶装置であり得る。例えば、記憶装置(210)が標準ハードディスクのドライブサイズに従うように設計されている場合、計算装置(100)は、そこへ物理的に接続される記憶装置(210)及びキーデバイス(170)双方を含むストレージシステム(160)を内蔵ハードディスクドライブとして利用し得、キーデバイスの存在又は不在がそのような利用を抑止するために記憶装置(210)の物理的な大きさを変えない。
【0033】
[0039]別の実施形態において、キーデバイス(170)は、携帯電話などに一般に利用されているようなGlobal System for Mobile communications(GSM)の加入者識別モジュール(SIM)形式を取り得る。そのような場合、キーデバイスインターフェース(270)も携帯電話内に典型的に含まれているGSM SIMインターフェースであり得る。そのような実施形態は、キーデバイス(170)の物理形式のファクター及びキーデバイスインターフェース(270)双方が一般的に利用され、その結果、安価であり得るためコスト上の利点を提供し得る。
【0034】
[0040]キーデバイス(170)がGSM SIMカード形式である場合、従来のGSM SIMカード機能のいくつかを活用し得る。例えば、GSM SIMカード上に一般にストアされているSIMシリアルナンバー(SSN)が、キーデバイス(170)を識別するために利用され得る。より具体的には、典型的なSSNは、2桁の電気通信識別子として配置され、その後に2桁の国コードが続き、2桁のネットワークコードが続き、GSM SIM製造年及び月を示す4桁が続き、切り換え構成コードを参照する2桁が続き、SIM番号を参照する6桁が続き、最後に単一のチェックデジットが続く19桁から成る。GSM SIMカード形式のキーデバイス(170)の場合、最初、4桁が割り当てられ得、切り換え構成を参照する2桁であり得る0を割当てられ得るが、しかし残りの桁は、類似の方法で利用され得る。
【0035】
[0041]加えて、キーデバイス(170)がGSM SIMカード形式である実施形態において、キーデバイス(170)は、関連する記憶装置(210)の物理コンテナの固有の識別をストアするためのICカード識別番号(Integrated Circuit Card IDentifier)(ICCID)が利用され得る。更に詳細に後述されるように、キーデバイス(170)上の別の視覚的、物理的な印付けを伴うそのようなICCIDが、暗号化情報(175)を参照し暗号化された暗号化データ(195)の破壊の証拠として利用され得る。
【0036】
[0042]既存のGSM SIMカード及びそれらのプロトコルそれぞれは、暗号化情報(175)をハードウェア暗号化システム(180)に提供するように設計されていないので、ISO7816プロトコルのような新しい機能が、従来のGSM SIMカードプロトコルに追加され得、ハードウェア暗号化システム(180)が、暗号化情報(175)によって署名されるデータをキーデバイス(170)へ渡すことを可能にする。そのような機能は、キーデバイス(170)がハードウェア暗号化システム(180)と通信的に接続されていない場合、暗号化データ(195)へのアクセスを不可能な状態にする一機構であり得る。
【0037】
[0043]別の実施形態において、キーデバイス(170)は同様に、対応するキーデバイスインターフェース(270)であり得るユニバーサルシリアルバス(USB)コネクターのような一般的コネクターを含み得る。前述したGSM SIMの実施形態と同様に、USBコネクターが更にその偏在性のためコスト上の利点を提供する。そのような実施形態において、キーデバイス(170)とハードウェア暗号化システム(180)との間の前述した通信が、周知のUSB通信プロトコルを介し実行され得る。
【0038】
[0044]ストレージシステム(160)が別の任意の記憶装置として利用され得るため、キーデバイスインターフェース(270)が記憶装置(210)に適応され得るか又は位置付けられ得、キーデバイス(170)の存在又は不在を検証するためのキーデバイスインターフェース(270)の簡単な目視検査が達成され得る。例えば、記憶装置(210)がハードディスクドライブの場合、記憶装置が一旦インストールされると、キーデバイスインターフェース(270)が、典型的に目に見える記憶装置周辺に沿って位置付けられ得る。そのような場合、記憶装置(210)がサーバー計算装置用の適切なラックマウント式システムなどの別の多くの記憶装置にインストールされている場合、キーデバイスインターフェース(270)の目視検査は、記憶装置(210)をラックから取り外しせずに達成され得る。代替として、記憶装置(210)は更に、透過的な一部又は物理的に存在しない一部から成り得、例えば、計算装置(100)との物理的接続から再び記憶装置(210)の取外しを必要とせずに、キーデバイスインターフェース(270)において、キーデバイス(170)の存在又は不在の視覚検証が達成され得る。
【0039】
[0045]別の実施形態において、キーデバイスインターフェース(270)は、キーデバイス(170)のようなキーデバイスが、キーデバイスインターフェース(270)と物理的に接続されたときに信号送信し得る発行ダイオード(LED)のような視覚的信号伝達機構と通信的に接続され得る。視覚的信号伝達機構は更に、ハードウェア暗号化システム(180)の処理装置(181)によって制御され得る。例えば、暗号化情報(175)が計算機可読媒体(190)にストアされた所与の暗号化データ(195)に不適切か又は無効であることを処理装置(181)が決定した場合、視覚的信号の伝達機構が、赤信号又は点滅信号のような適切な信号を生成するように命令され得、それによって、ユーザーが不正確なキーデバイス(170)を挿入していることをユーザーに通知する。
【0040】
[0046]図2に示したように、キーデバイス(170)は最初、記憶装置(210)から物理的に分離されている。一実施形態において、そのようなキーデバイス(170)と記憶装置(210)との間の物理的分離は、キーデバイス(170)と記憶装置(210)との通信的な分離ももたらし得る。キーデバイス(170)の暗号化情報(175)にアクセスせずに、ハードウェア暗号化システム(180)は、暗号化情報(175)を参照し暗号化された計算機可読媒体にストアされたどんなデータも復号化不可能である。
【0041】
[0047]次にキーデバイス(170)は、キーデバイスインターフェース(270)の中へ物理的に挿入され得るか又は別の方法で取り付けられるか若しくは接続され得る。そのような物理的な接続は更に、キーデバイス(170)と記憶装置(210)との間の通信的な接続を可能にし得る。利用可能な通信的接続は、ハードウェア暗号化システム(180)の処理装置(181)が暗号化情報(175)から計算機可読媒体(190)にストアされている前に暗号化されたデータの復号化に関連する情報をリトリーブ又は別の方法で取得可能にし得る。一実施形態において、暗号化情報(175)は、当業者に十分に知られている方法による暗号化及び復号化動作のためのキーとして利用され得る一連のビット列であり得る「物理キー」(220)を含み得る。従って、以下説明において利用される用語「物理キー」は、キーデバイス(170)のような物理的に取外し可能なソースから提供され、その上にストアされる暗号化キーとして利用されるデータ集合を参照するように意図されている。そのような物理キー(220)は、そのようなキーを用いて暗号化されたデータがストアされている媒体から、物理的に分離できない「論理キー」と対照的にあるように意味されている。
【0042】
[0048]キーデバイス(170)は、記憶装置(210)と通信的に接続されるべき記憶装置と必ずしも物理的に接続される必要はない。前述した実施形態は、記憶装置の共通タイプのインターフェース上で任意の暗号化情報(175)を送信することを避けるための、キーデバイス(170)と記憶装置(210)との物理接続を提供する。そのような方法によるキーデバイス(170)及び記憶装置(210)のハードウェア設計は、暗号化情報(175)が外部実体によって取得され得ないことを保証し得、従って、更に詳細に後述されるキーデバイス(170)の物理的な破壊は、そのような情報がキーデバイス(170)から複製されることも別の場所に保持することもできないので、暗号化情報(175)の使用不能な証拠としての役割を果たし得る。
【0043】
[0049]しかしながら、代替実施形態において、暗号化情報は、記憶装置(210)の外部通信的インターフェースを介した暗号化情報(175)の少なくともいくつかの送信にもかかわらず、保護され得る。図3に移ると、キーデバイス(170)と記憶装置(210)との物理的な分離にもかかわらず、計算装置(100)を介しキーデバイス(170)と記憶装置(210)と間の通信的な接続を例示しているシステム(300)が示されている。示したように、システム(300)は、計算装置(100)と、キーデバイス(170)及び記憶装置(210)を含むストレージシステム(160)とを含み得る。一実施形態において、キーデバイス(170)及び記憶装置(210)双方は、独立して計算装置と接続され得るが、示したように計算装置(100)とのキーデバイス(170)の接続は、任意であり得、キーデバイス(170)は、記憶装置(210)との接続など別の接続を介し計算装置(100)と通信し得る。一実施形態において、例えば、記憶装置(210)は、例えば内蔵ハードディスクドライブ形式のように、計算装置(100)と内部接続され得る。キーデバイス(170)は、一般向けの周辺機器又はストレージインターフェースのような有線及び無線インターフェース双方を含む計算装置(100)の外部インターフェースと接続され得る。そのような方法でキーデバイス(170)は、記憶装置(210)への物理的アクセスを必要とせずに記憶装置(160)の別のエレメントと通信的に分離され得る。
【0044】
[0050]キーデバイス(170)は、例示及び提示を単純にするために、その他の図に具体的に例示されていないが、暗号化情報(175)に加えたエレメントを任意に含み得る。更に後述されるように、例えば、キーデバイス(170)は、トラステッドプラットフォームモジュール(TPM)に類似したモジュールを含み得る。図3において、1つ以上の処理装置(176)及び1つ以上のインターフェース(177)を含む任意エレメントは、キーデバイス(170)と計算装置(100)との間の独立した任意関係を説明するために示されている。具体的には、インターフェース(177)は、計算装置(100)とキーデバイス(170)との間の物理的又は無線通信的な接続を可能にするための、前述したインターフェース(140)と同一タイプのインターフェースであり得る。同様に、1つ以上の処理装置(176)は、インターフェース(140)及び(177)に適切な通信的プロトコルなどを介し、キーデバイス(170)と計算装置(100)との間の通信を確立し維持し得る処理装置を含み得る。従って本説明のキーデバイス(170)への参照は、任意の選択要素、インターフェース(177)、及び処理装置(176)を含むことを意味していて、キーデバイス(170)が、例えば、計算装置(100)と独立して通信し、図4、図5、及び図8を参照し説明したキーデバイス(170)によって実行されるステップを含むこれらに限定しない後述されるステップの実行を可能にする。
【0045】
[0051]加えて、例えば、オペレーティングシステム(134)の一部であり得るストレージドライバースタック(310)又はBIOS(133)も、インターフェース(140)のような計算装置(100)のインターフェースとのキーデバイス(170)及び記憶装置(210)の接続を認識し得る。キーデバイス(170)及び記憶装置(210)双方の接続を検出すると、ストレージドライバースタック(310)は、それらの間のセキュア通信を可能にし得る。例えば、キーデバイス(170)と記憶装置(210)との間の通信は、オペレーティングシステム(134)の別のエレメント又はプログラムモジュール(135)のような通信を、より上位のソフトウェアにアクセス不可能な状態にすることによって保証され得る。
【0046】
[0052]別の実施形態において、命令(183)は、計算装置(100)の通信的な経路を介し、ハードウェア暗号化システム(180)とキーデバイス(170)との間の接続を構築するための命令を含み得る。例えば、命令(183)は、キーデバイスが計算装置(100)によって接続された周辺機器として認識されたとき、キーデバイス(170)を検索し通信を確立する命令を含み得る。そのようなセキュリティを維持するための通信が暗号化され得るか又は別のアンチマルウェアの方法が実装され得る。キーデバイスは、例えば、計算装置(100)上で実行し得るマルウェアが、キーデバイス(170)から暗号化情報(175)を読み出すための試みを防止するための非周辺ストレージ機として計算装置(100)へそれ自身を提示する。
【0047】
[0053]代替実施形態において、キーデバイス(170)は、同一の計算装置(100)と通信的に接続され得る記憶装置(210)と通信を確立するための能力を含み得る。キーデバイスは、例えば、キーデバイスが計算装置(100)と通信的に接続されたとき、特定の記憶装置の識別子を検索し得る。一方、セキュリティ方法が実装され得、計算装置(100)を実行中であり得るマルウェアが、キーデバイス(170)と記憶装置(210)と間の通信の妨害又は遮断することを防止し得る。
【0048】
[0054]通信が、一旦キーデバイス(170)とハードウェア暗号化システム(180)との間に確立されると、物理キー(220)又は別の方法で暗号化情報(175)は、処理装置(181)によってキーデバイス(170)からアクセスされ得るか、又はキーデバイスによって処理装置に提供され、処理装置は、計算機可読媒体(190)に前にストアされたデータを復号化し、計算機可読媒体(190)上のストレージへ計算装置(100)によって提供される新しいデータの暗号化を可能にし得る。一実施形態において、キーデバイス(170)は、処理装置(181)又は記憶装置(210)の物理コンテナの別コンポーネントのいくつか又はすべてをキーデバイス(170)に自らを認証させた後のみ、処理装置(181)へ物理キー(220)又は別の暗号化情報(175)を提供し得る。例えば、「信頼された」キーデバイス(TKD)は、詳細に前述したキーデバイス(170)の別のエレメントとともに、いくつかの計算装置上で見出されるTrusted Platform Module(TPM)に類似したモジュールを含み得る。そのようなTKDは、例えば、そのようなコンポーネントから固有値を取得し、その後、当業者に知られている方法でそれらの値をハッシュし組み合わせることによって、記憶装置(210)のコンポーネントのいくつか又はすべてを評価し得る。結果の評価値が唯一、記憶装置(210)を識別し得、物理キー(220)又は別の暗号化情報(175)は、また当業者に知られている方法によってそれらの評価値へこのTKDによって封印され得、TKDが通信的に接続される対象の記憶装置(210)が、TKDによって見出され、物理キー又は別の暗号化情報を封印するために使用されているものと同一の評価値を有していない場合、物理キー又は別の暗号化情報はTKDによって処理装置(181)へリリースされない。そのような方法によって、TKDは、TKDの物理キー又は暗号化情報を取得する目的で単に記憶装置(210)に「なりすます」装置に対する物理キー(220)又は別の暗号化情報(175)のリリースを防止し得る。
【0049】
[0055]キーデバイス(170)の暗号化情報(175)は、キーデバイスが製造されたとき、キーデバイス(170)上にストアされ得る。一実施形態において、例えば、一連の複数の物理キー(220)が、暗号化情報(175)としてストアされ得、キーデバイス(170)と通信し、その後、記憶装置のハードウェア暗号化システム(180)それぞれが使用中、次の物理キー(220)を取得し得、それを印付け得、その結果、次の記憶装置のハードウェア暗号化システム(180)が適切に次の物理キー(220)を選択可能にする。このような方法によって、単一のキーデバイス(170)が複数の記憶装置によって共有され得る。かくして、例えば、計算装置(100)が、RAIDシステムなどのような複数の記憶装置と通信的に接続されている場合か又は計算装置(100)がサーバー計算装置として作動している場合、単一のキーデバイス(170)が、それらの記憶装置それぞれに適切な暗号化情報(175)を提供し得る。
【0050】
[0056]代替実施形態において、キーデバイス(170)の暗号化情報(175)は、記憶装置(210)自身によって提供され得る。具体的には、キーデバイス(170)が、例えば、前述した方法などによって記憶装置(210)と通信的に接続されているが、しかしキーデバイス(170)がどんな暗号化情報(175)も含んでいない場合、記憶装置(210)のハードウェア暗号化システム(180)は、暗号化情報(175)を生成し、キーデバイス(170)にそれを提供し得る。記憶装置(210)の計算機可読媒体(190)にストアされたデータ(195)の暗号化及び復号化が、詳細に前述した方法によってその後、開始し得る。
【0051】
[0057]しかしながら、別の代替実施形態において、キーデバイス(170)の暗号化情報(175)は、データをストアしリトリーブするためのストレージシステム(160)を利用している同一の計算装置であるか又は異なる計算装置であるかどちらか一方の情報供給計算装置によって、キーデバイス(170)へ提供され得る。図4に移ると、情報供給計算装置(410)及びストレージシステム(160)を含むシステム(400)が示されている。示したような記憶装置(410)は、前述した情報供給計算装置(100)と同一であるか又は異なる計算装置であり得る。従って参照及び例示を容易にするために、情報供給計算装置(410)のエレメントは、計算装置(100)の類似のエレメントと異なって番号付けされているが、それらの機能は、同様又は同一でさえあり得る。従って、CPU(420)、システムバス(421)、システムメモリー(430)、不揮発性メモリーインターフェース(440)、及びストレージホストコントローラー(445)は、前述したCPU(120)、システムバス(121)、システムメモリー(130)、インターフェース(140)、及びストレージホストコントローラー(145)とすべて同様である。同様に、BIOS(433)を伴うROM(431)、及びオペレーティングシステム(434)を伴うRAM(432)、プログラムモジュール(435)、プログラムデータ(436)、及びフルボリューム暗号化サービス(437)も前述したROM(131)、BIOS(133)、RAM(132)、オペレーティングシステム(134)、プログラムモジュール(135)、プログラムデータ(136)、及びフルボリューム暗号化サービス(137)に類似している。
【0052】
[0058]一実施形態において、不揮発性メモリーインターフェース(440)などを直接介するか又は、それ自身がインターフェース(440)又はストレージホストコントローラー(445)と直接接続され得る記憶装置(210)を間接的に介して、キーデバイス(170)を情報供給計算装置(410)と通信的に接続し得る。キーデバイスが情報供給計算装置(410)と独立して接続されている場合、情報供給計算装置(410)は、任意に、コントローラー(445)又はインターフェース(440)を介し記憶装置(210)とも接続され得る。前述のような任意接続が点線を介し図4に例示されている。キーデバイス(170)及び情報供給計算装置(410)が一旦、相互に通信的に接続されると、情報供給計算装置(410)は、その後、暗号化情報(175)を物理キー(220)などの形式でキーデバイス(170)へ提供し得る。図4の暗号化情報(175)が、情報供給計算装置(410)によって提供されるまで、キーデバイス(170)上に少なくとも一部存在していないことを示すためにグレー表示で例示されている。
【0053】
[0059]情報供給計算装置(410)によってキーデバイス(170)へ提供される暗号化情報(175)は、複数の情報供給計算装置(410)のどのサブシステムによっても提供され得る。論理キーの利用に加えて、例えば、フルボリューム暗号化サービス(437)は、既存の機能性を活用し得、物理キー(220)を生成し、それをキーデバイス(170)へ提供し得る。代替として物理キー(220)が、ストレージホストコントローラー(445)又はその他のストレージインターフェースに存在し得るハードウェアなどの専用ハードウェアによって生成され得る。更に別の代替手段として物理キー(220)が、BIOS(433)を介しキーデバイス(170)へ提供され得る。
【0054】
[0060]物理キー(220)のセキュリティ及び秘密又はキーデバイス(170)に提供されるその他任意の暗号化情報(175)を維持するために、そのような情報は、情報供給計算装置(410)上において実行中の悪意のある計算機実行可能命令などを介し敵対関係にあるものによって取得されるような、情報に関する可能性を最小にする方法で情報供給計算装置(410)によって提供され得る。故に、一実施形態において、物理キー(220)、又はキーデバイス(170)に提供されるいかなる他の暗号化情報(175)も情報供給計算装置(410)の起動完了の前に提供され得、情報供給計算装置の起動完了前に情報供給計算装置から提供される情報をも削除し得る。悪意のある計算機実行可能命令は、典型的に、ホスト計算装置の起動完了前に作動し得ないので、情報供給計算装置(410)の起動完了前にキーデバイス(170)へ情報を提供し、その後、廃棄することによって、それが次に情報供給計算装置によって実行し得る悪意のある任意の計算機実行可能命令から、提供される情報を保護し得る。
【0055】
[0061]BIOS(433)が、例えば、情報供給計算装置(410)のインターフェースと通信的に接続されたキーデバイス(170)の存在を検出し得、例えば、オペレーティングシステム(434)の実行開始を含む、情報供給計算装置上の別の任意の処理を開始する前に、物理キー(220)をキーデバイス(170)へ提供し得る。同様に、コントローラー(445)は、その後RAIDコントローラーが最初に、初期化又はオペレーティングシステム(434)の起動開始でない場合は少なくとも完了前に、キーデバイス(170)の存在を検出し得る。RAIDコントローラー(445)はその後、物理キー(220)をキーデバイス(170)へ同様に提供し得、悪意のある任意の計算機実行可能命令が情報供給計算装置(410)を実行し得る前にそのような物理キーを廃棄し得る。別の代替手段として、フルボリューム暗号化サービス(437)は、それらの機構を利用し得、情報供給計算装置(410)上で実行中の悪意のある計算機実行可能命令から論理キーを保護するように設計された機構を既に含んでいるので、物理キー(220)を確かにキーデバイス(170)に提供し、その後、物理キーを破壊し、物理キーが情報供給計算装置(410)上に発見される可能性を更に減らす。例えば、物理キー(220)を含む暗号化情報(175)が一旦、情報供給計算装置(410)によってキーデバイス(170)に提供されると、キーデバイス(170)は、情報供給計算装置(410)から通信的かつ任意に、物理的に切断され得、その後、記憶装置の物理的なコンテナ(210)に関連し前述したように利用され得、記憶装置(160)が、計算機可読媒体(190)上に暗号化データをストアし、既にストアされた暗号化データにアクセスすることを可能にする。
【0056】
[0062]別の実施形態の図4のシステム(400)に例示したキーデバイス(170)などの情報供給計算装置(410)自身と物理的に接続されるキーデバイス(170)を情報供給するよりもむしろ、キーデバイス(170)は情報供給計算装置(410)によって情報供給され得るが、例えば、キーデバイス(170)が、物理的に記憶装置(210)のキーデバイスインターフェース(270)に挿入され、記憶装置(210)がその後、計算装置(100)にインストールされた場合、それが別の計算装置などと通信的に接続される。図5に移ると、情報供給計算装置(410)と同じく通信的に接続された計算装置(100)によって通信的に接続され利用されているストレージシステム(160)を含むシステム(500)が示されている。キーデバイス(170)を不揮発性メモリーインターフェース(140)に接続している点線によって例示したように、キーデバイスは任意に、前述したようにキーデバイスインターフェース(270)を介し、記憶装置(210)に接続され得るか又はそれが、不揮発性のメモリーインターフェース(140)に接続され得、キーデバイスと記憶装置(210)の別のコンポーネントとの間の通信は計算装置(100)を介し存在し得る。
【0057】
[0063]一実施形態において、最初に計算装置(100)に接続されたとき、記憶装置(210)は、図5の暗号化情報からグレー表示で例示したように情報がまだ提供されていないので、キーデバイス(170)の暗号化情報(175)を利用可能でない。暗号化情報(175)の少なくとも一部を取得するために、キーデバイス(170)は、情報供給計算装置(410)へセキュア通信トンネル(510)を確立し得る。一実施形態において、キーデバイス(170)は、キーデバイス(170)及び記憶装置(160)が例えば、記憶装置(100)のネットワークインターフェース(150)などに接続された計算装置のネットワークインターフェースへのアクセスをリクエストし得る機構を含み得る。キーデバイス(170)が一旦、ネットワークインターフェース(150)へのアクセスを有すると、ネットワーク(155)などを介し、情報供給計算装置(410)との通信的接続を確立し得る。一実施形態において、キーデバイス(170)の機構を単純化するために、キーデバイス(170)は、例えばコスト問題による限定された機能を有して得るので、情報供給計算装置(410)のネットワークアドレスが事前に選択され得、情報供給計算装置になろうとしている任意の計算装置は、事前選択されたそのようなアドレスを割り当てられ得る。しかしながら、代替実施形態において、キーデバイス(170)は、より進化した方法論を介しネットワーク(155)上の情報供給計算装置(410)を検索し得る機構を含み得る。
【0058】
[0064]一旦、キーデバイス(170)が、ネットワーク(155)を介し、情報供給計算装置(410)と通信的接続を確立すると、それが開始し得、Point−to−Point Tunneling Protocol(PPTP)又はLevel2 Tunneling Protocol(L2TP)のような標準トンネリング機構を介しセキュア通信トンネル(510)を確立する。当業者によって知られているように、そのようなトンネリング機構は、共有パスワード又はキーのような様々なセキュリティ証明書の交換を拠り所にし得るか、又はそれらは、ケルベロス又はラディウスサーバーのような独立した検証によって提供されるセキュリティ証明書を拠り所にし得る。セキュアトンネル(510)を確立するために要求される範囲において、キーデバイス(170)は、必要なパスワード、キー、又はセキュアトンネル(510)の確立を可能にする別の認証機構若しくは情報を含み得る。
【0059】
[0065]一旦、セキュア通信トンネル(510)が情報供給計算装置(410)とキーデバイスとの間に確立されると、(170)、情報供給計算装置(410)が、前述した方法などによって、キーデバイス(170)の暗号化情報(175)のいくつか又はすべてを情報供給し得る。かくして、図5により太い境界線によって例示したようなセキュアトンネル(510)を介し情報供給計算装置(410)によるキーデバイス(170)の情報供給は、BIOS(433)を介し、ストレージホストコントローラー(445)、フルボリューム暗号化サービス(437)、情報供給計算装置(410)、又はその他のコンポーネントに生じ得、ネットワークインターフェース(450)及び一般ネットワーク接続(451)を介し、キーデバイス及び記憶装置(210)が通信的に、あるいは物理的に接続されている計算装置(100)のネットワークインターフェース(150)へネットワーク(155)及び一般的なネットワーク接続(151)を介しその後、伝達され得る。
【0060】
[0066]キーデバイス(170)の暗号化情報(175)が、ハードウェア暗号化システム(180)によって利用され、記憶装置の計算機可読媒体(190)上のストレージに対し、計算装置(100)によって記憶装置(160)上に提供されるデータを暗号化し、そのようなデータを計算装置(100)に記憶装置(160)によって提供する前に、計算機可読媒体(190)に既にストアされているデータを復号化し得る。図6に移ると、システム(600)は、ハードウェア暗号化システム(180)がキーデバイス(170)の暗号化情報(175)を利用又は参照し得るためのいくつかの例示的な機構を例示している。示されているように、例えば、暗号化情報(175)の物理キー(220)がハードウェア暗号化システム(180)によって利用され、計算機可読媒体(190)上のデータ(195)を暗号化又は復号化し得る。例示されている代替実施形態においても、キーデバイス(170)の暗号化情報(175)から取得した物理キー(220)が生成されるような論理キー(620)に組み合わせ、フルボリューム暗号化サービス(137)によって利用され得る。例えば、それぞれ論理キー(620)及び物理キー(220)が128ビットキーを含む場合、単に2つの128ビットのキーを一緒に接続することによって256ビットの組み合わせキーが生成され得る。そのような256ビットキーがその後、ハードウェア暗号化システム(180)によって利用され、計算機可読媒体にストアされたデータ(195)を暗号化し復号化し得る。当然のこととして、論理キー(620)と物理キー(220)との別の組み合わせもハードウェア暗号化システム(180)によって実装され得る。
【0061】
[0067]従来、データ(195)などのデータの暗号化及び復号化は、複数レイヤのキーを含む。例えば、データ(195)を暗号化し復号化するために利用されるキーは、それ自身、別のキーによって暗号化され、もし最終的な暗号化及び復号化キーを暗号化したキーが失われても、新たなキーが生成され得、最終的な暗号化及び復号化キーが変更されていないので、データ(195)が再度、暗号化される必要はない。そのような最後から2番目のキーは、その後、それ自身、更に別のダウンストリームキーによって暗号化され得、特定の状況において、付加的な効率を提供し得る。そのような複数レイヤのキーの存在を例示するために、図6のシステム(600)は、ハードウェア暗号化システム(180)によって利用され、計算機可読媒体(190)上にストアされたデータ(195)を暗号化し復号化し得る暗号化/復号化キー(650)を例示している。暗号化/復号化キー(650)は、データ(195)を復号化するために直接物理キー(220)を利用するよりもむしろ物理キー(220)又は論理キー(620)と物理キー(220)との組み合わせによって復号化され得る。示したように、付加的なそのようなキーレイヤも、それらは例示の簡単さを維持するために示されていないが、想定される。
【0062】
[0068]キーデバイス(170)の少なくともいくつかの暗号化情報(175)の、情報供給計算装置(410)による前述した情報供給を実装している複数のキーレイヤが同じく利用され得る。より具体的に述べると、少なくとも暗号化情報(175)の一部をキーデバイス(170)に直接提供するよりもむしろ、その代わりに情報供給計算装置(410)が、そのような情報を記憶装置(210)に提供し得る。記憶装置(210)が、その後、内部キーを用いて受信されたそのような情報を暗号化し得、結果の暗号化情報が、キーデバイス(170)に提供され得、記憶媒体(190)上のデータ(195)を暗号化及び復号化するために利用され得る。そのような実施形態は、記憶媒体(190)上のデータ(195)を暗号化し復号化するために最終的に利用される暗号化情報の外部のインターフェースを介する送信を防止する。
【0063】
[0069]計算機可読媒体(190)上のデータ(195)のすべて又は実質的にすべてが、暗号化情報(175)を参照しハードウェア暗号化システム(180)によって暗号化され得るので、暗号化情報(175)が、もはや利用可能でなくなったとき、例えば、キーデバイス(170)が通信的に、任意に物理的にハードウェア暗号化システムから取り外されたとき、計算機可読媒体に前にストアされたデータ(195)はもはやアクセス不可能になる。更に、暗号化情報(175)がもはや回復可能も読み込みも不可能なように暗号化情報(175)を含むキーデバイス(170)が破壊された場合、計算機可読媒体にストアされたデータ(195)は、キーをそのようなデータを復号化することができた既存の機構を用いて生成し得ないので、もはやアクセスも不可能である。その結果、キーデバイス(170)の破壊は、計算機可読媒体(190)におけるデータ(195)の仮想の破壊として作用し得る。
【0064】
[0070]従ってキーデバイス(170)は、効率的かつ安全に破壊され得る装置であり得る。例えば、キーデバイス(170)は、暗号化情報(175)がもはや回復可能でなくなるような方法によって容易に細かく裂かれ得るか又は別の方法で物理的に変換され得る材料から組み立てられ得る。代替として、キーデバイス(170)は、それが容易に破壊され読み取り不可能な状態にされ得るように穿孔されるか又は別の方法で構造上1つ以上の軸に従って弱められ得る。加えて、キーデバイス(170)の破壊は、キーデバイス(170)の暗号化情報(175)に関し暗号化された計算機可読媒体(190)にストアされたデータ(195)の仮想破壊であり得るので、キーデバイス(170)は更に、キーデバイス(170)が関連付けられた計算機可読媒体(190)を含む記憶装置の物理的なコンテナ(210)の視覚表示を含み得る。例えば、キーデバイス(170)は、エッチング処理又は別の方法でそれをキーデバイス(170)が関連付けられた計算機可読媒体(190)を含む記憶装置の物理的なコンテナ(210)の固有識別子が印刷され得る。あるいはまた、既に示したように、GSM SIMカードの形式のキーデバイス(170)は、キーデバイス(170)が関連付けられた計算機可読媒体(190)を含む記憶装置の物理的なコンテナ(210)の固有識別子をストアし得るICCIDを有し得る。かくして、様々な証明プロセスに関し、キーデバイス(170)の暗号化情報(175)を参照し暗号化された計算機可読媒体(190)上のデータ(195)の仮想的破壊が物理的又はデジタル検査によって検証され得、又は別の方法でキーデバイス(170)を使用不可にされる。
【0065】
[0071]計算機可読媒体(190)上のデータ(195)の安全な輸送は、通信的かつ物理的分離可能なキーデバイス(170)によって同様に容易にされ得る。例えば、暗号化データ(195)を有する計算機可読媒体(190)を含む1つ以上の記憶装置(210)が出荷された場合、関連キーデバイス(170)は、取り外され得るか又は別の方法で記憶装置から通信的に分離され得、別個のコンテナ若しくは別個の搬送手段を介し出荷され得るか、又は別の方法で記憶装置の安全な受理の確認が受信された後、保持され得、出荷され得る。記憶装置(210)が失われたか又は盗まれた場合、そのような記憶装置の計算機可読媒体上のデータ(195)がキーデバイス(170)なしにアクセスされ得ず、それらは異なるルートを介し運ばれているのでおそらく、失われもせず、盗まれもされない。
【0066】
[0072]異なるキーデバイスが記憶装置(210)と通信的に接続された場合、フリースペースとして記憶装置(210)によって前に暗号化されたデータ(195)が処理され得、その結果、そのような前のデータを仮想的に削除する。あるいはまた、ハードウェア暗号化システム(180)は、安全な削除プロセスを自動的に実行し得、更に、データ(195)へのアクセスを防止する。また別の代替手段として、異なるキーデバイスが記憶装置(210)と通信的に接続された場合、前に暗号化されたデータが完全に保持され得、前のキーデバイス(170)のその後の使用は、異なるキーデバイスは記憶装置(210)と通信的に接続されている間に追加された任意のデータへのアクセスではなく、前のデータにアクセスすることを許可する。キーデバイス(170)が記憶装置(210)と通信的に接続されていない場合、記憶装置は、接続計算装置(100)が安全な削除コマンドを発行可能にし得ることを除き任意のアクセスリクエストを拒否出来る。しかしながら、一実施形態においては、キーデバイス(170)が記憶装置(210)と通信的に接続されず、かつ、どんなキーデバイス(170)もこれまで前に接続されなかった場合、記憶装置(210)は、ハードウェア暗号化システム(180)によって内部的に生成された暗号化情報を利用し得るか又は計算装置(100)との通信的な接続が「準備できていない」としてそれ自身を報告し得るかどちらか一方である。一実施形態において、そのようなオプションは、ユーザー又は管理者が選択可能であり得る。前に通信的に接続されたキーデバイス(170)の存在は、ログファイル又は同様の構造物などの中にハードウェア暗号化システム(180)によって維持され得る。
【0067】
[0073]図7に移ると、流れ図(700)は、キーデバイス(170)の存在又は不在に従った動作を決定する際、前述した記憶装置(210)のような記憶装置によって実行され得る例示的な一連のステップを例示している。初めに、ステップ(705)によって示したように、電力が記憶装置に供給され得る。次に、ステップ(710)において、キーデバイス(170)がハードウェア暗号化システム(180)などと通信的に接続されているか否か決定するチェックが実行され得る。通信的に接続されたキーデバイス(170)は、任意に物理的に接続され得るが、ステップ(710)において、前述した通信的な任意の接続に関するチェックも占め得る。
【0068】
[0074]ステップ(710)において、どんなキーデバイス(170)も通信的に接続されていないことが決定された場合、ステップ(715)において、キーデバイス(170)が以前に接続されたか否か決定するチェックが実行され得る。例えば、示したような記憶装置(210)のコンポーネントが、前に通信的に接続されたキーデバイス(170)を示し得るログファイル又は別の構造物を維持し得る。ステップ(715)において、キーデバイス(170)が以前に接続されたことが決定された場合、ステップ(720)において、その後、プロセスが終了し得、記憶装置が通信的に接続された計算装置(100)から記憶装置(210)の計算機可読媒体(190)のコンテンツを安全に消去するリクエスト以外のリクエストを拒否し得る。
【0069】
[0075]しかしながら、ステップ(715)において、ログファイルの参照などによって、どんなキーデバイス(170)も記憶装置(210)と以前に通信的に接続されなかったことが決定された場合、ステップ(725)において、そのような場合に選択されるデフォルト動作に関するチェックが実行され得る。ステップ(730)によって示されるように、一オプションは、通信的に接続された計算装置(100)に記憶装置(210)の「準備ができていない」として報告することによって、プロセスを終了することであり得る。ステップ(735)によって示されるように、別のオプションは、その後、ハードウェア暗号化システム(180)によって利用され得、計算機可読媒体(190)にストアされているデータを暗号化し得、そこから読み出されるデータを復号化する内部的暗号化情報を生成することであり得る。そのような内部暗号化情報の生成は、記憶装置(210)が暗号化情報(175)を生成し、それをキーデバイス(170)に提供する、前述した実施形態と異なる場合がある。このような場合、キーデバイス(170)にストアされた生成された暗号化情報(175)は、記憶装置(210)が電源を落とされるか又は再開された後、利用的なままであって、その結果、キーデバイス(170)が記憶装置(210)と通信的に接続されたままである限り、計算機可読媒体(190)にストアされた暗号化されたデータ(195)にアクセス可能である。本実施形態において、内部に生成され利用される暗号化情報は、ステップ(710)において決定されたように、どんなキーデバイスも現在通信的に接続されていないので、キーデバイス(170)にストアされない。その結果、そのような内部生成された暗号化情報を使用して計算機可読媒体(190)上に暗号化された方法でストアされたデータ(195)は、それが停電の間、失われ得るようにデータ(195)を暗号化するために使用された暗号化情報が、もはや利用可能でないので、記憶装置(210)がパワーダウン又は再開された後、回復不可能であり得る。そのリモートサイトの端末が盗まれた場合、リモートサイト上のファイル及びコンテンツを盗むことができないことを保証することが、望ましいとき、そのようなデータの一時記憶領域は、例えば、端末ドライブにおいて有用であり得る。
【0070】
[0076]関連した処理は、その後、記憶装置(210)が示したように暗号化情報を利用しデータを暗号化し復号化するように開始し得るステップ(755)において終了し得る。ステップ(710)において、通信的に接続されたキーデバイス(170)が検出された場合、処理は、ステップ(740)へ継続し得、検出されたキーデバイス(170)が以前に通信的に接続されたものと同一のキーデバイスであるか否か決定するために前述したログファイルなどのようなチェックが実行される。通信的に接続されたキーデバイス(170)が、以前に通信的に接続されていたものと同一のキーデバイスである場合、ステップ(750)において、暗号化情報(175)が、キーデバイス(170)から取得され得、関連した処理がステップ(755)において終了し得、記憶装置(160)は継続して暗号化情報を利用し、計算機可読媒体(190)にストアされたデータ(195)を暗号化し復号化する。しかしながら、ステップ(740)において、通信的に接続されたキーデバイス(170)が、以前に通信的に接続されたものと同一のキーデバイスでないことが決定された場合、ステップ(745)において、前のキーデバイス(170)の暗号化情報(175)を用いて暗号化されたデータ(195)すべては計算機可読媒体(190)上のフリースペースとして印付けられ得、当業者によって知られているようにそれは、新しいデータによって不規則に上書きされ得ることを意味している。あるいはまた、既に示したように、前のキーデバイス(170)が記憶装置(210)に再接続されていた場合、データ(195)が、再びストレージシステム(160)を利用する計算装置に利用可能になるように前のキーデバイス(170)の暗号化情報(175)を用いて暗号化されたデータ(195)を保持し得る。次に、ステップ(745)において、キーデバイス(170)に現在、通信的に接続している暗号化情報(175)が、リクエストされ得、ステップ(755)において、関連処理は、データを暗号化し復号化するために説明したように利用される新しい暗号化情報(175)で終わることができる。
【0071】
[0077]既に示したように、キーデバイス(170)は、それ自身、情報供給計算装置(410)を用いたセキュア通信トンネル(510)を確立する能力を含み得る。図8の流れ図(800)は、キーデバイス(170)がそのようなセキュア通信トンネル(510)を確立し得る例示的な一連のステップを例示している。示したように、最初に、ステップ(810)において、電力がキーデバイス(170)に提供され得る。次に、ステップ(820)において、キーデバイス(170)は、それが既に情報供給されるか否か決定するためのチェックが実行され得る。例えば、情報供給計算装置(410)は、データをキーデバイス(170)に提供し得、そのデータは、例えば、ステップ(820)において、それが適切に情報供給されていないことをキーデバイス(170)に決定させることによって、キーデバイス(170)に指定された間隔で情報供給計算装置(410)との再接続をさせ得る。一実施形態において、キーデバイス(170)が、それが適切にその後情報供給されることを決定した場合、ステップ(870)において、関連処理が終了し得る。
【0072】
[0078]しかしながら、ステップ(820)において、キーデバイス(170)が情報供給をリクエストし得ることを決定した場合、ステップ(830)において、それは、継続し得、情報供給計算装置(410)と物理的な接続又は直接的な無線接続などを介し直接情報供給計算装置(410)と接続され得るか否か決定し得る。キーデバイス(170)が情報供給計算装置(410)と直接接続された場合、ステップ(860)において、それは、情報供給計算装置から暗号化情報(175)を受信し得、次に、関連処理は、ステップ(870)において終了し得る。ステップ(830)において、キーデバイス(170)は、それが直接、情報供給計算装置(410)に関連付けられないことを決定した場合、ステップ(840)において、詳細に前述した方法のようにキーデバイス(170)が通信的に接続される対象の計算装置(100)のネットワーク接続を介し情報供給計算装置(410)と接続することを試み得る。ステップ(840)において、キーデバイス(170)は、それが情報供給計算装置(410)を見出し得ないか又は別の方法で連絡できないことを決定した場合、関連処理はステップ(870)において終了し得る。しかしながら、キーデバイス(170)が通信的に接続された計算装置(100)のネットワーク接続を介し、キーデバイス(170)が情報供給計算装置(410)と連絡し得る場合、ステップ(850)において、キーデバイスは、詳細に前述した方法などによってセキュア通信トンネル(510)を確立し得る。ステップ(860)において、キーデバイス(170)は、その後、確立されたセキュアトンネル(510)を介し情報供給計算装置(410)から暗号化情報(175)を受信し得、ステップ(870)において、関連処理が終了し得る。
【0073】
[0079]上記説明から理解され得るように、記憶装置及び通信的かつ物理的に分離可能なキーデバイスを含むストレージシステムが提供される。本明細書に記載した対象項目のあり得る多くの変形を考慮すると、我々は、そのような我々の発明の実施形態すべてが、以下の請求項及びその任意の同等物の範囲内に収まり得るものとして想定している。
【符号の説明】
【0074】
99 例示的システム
100 計算装置
120 処理装置
121 システムバス
130 システムメモリー
131 ROM
132 RAM
133 BIOS
134 オペレーティングシステム
135 プログラムモジュール
136 プログラムデータ
137 フルボリューム暗号化サービス
140 メモリーインターフェース
141 記憶装置
145 ストレージホストコントローラー
146 記憶装置
147 記憶装置
150 ネットワークインターフェース
151 ネットワーク接続
155 ネットワーク
160 ストレージシステム
170 キーデバイス
175 暗号化情報
180 ハードウェア暗号化システム
181 処理装置
182 バス
183 命令
190 計算機可読媒体
195 暗号化データ
210 記憶装置
220 物理キー
270 キーデバイスインターフェース
300 例示的システム
310 ストレージドライバースタック
400 システム
410 記憶装置
420 CPU
421 システムバス
430 システムメモリー
431 ROM
432 RAM
433 BIOS
434 オペレーティングシステム
435 プログラムモジュール
436 プログラムデータ
437 フルボリューム暗号化サービス
440 メモリーインターフェース
445 ストレージホストコントローラー
450 ネットワークインターフェース
451 一般ネットワーク接続
500 システム
510 セキュア通信トンネル
600 システム
620 論理キー
650 暗号化/復号化キー
【特許請求の範囲】
【請求項1】
計算装置(100)から受信される暗号化データ(195)を含む記憶装置(210)から、物理的かつ通信的に分離可能なキーデバイス(170)であって、
少なくとも1つの通信的インターフェース(177)と、
前記記憶装置(210)の前記データ(195)を保護するために利用される暗号化情報(175)を含む計算機可読媒体と、を含むキーデバイス(170)。
【請求項2】
更に、
通信的に接続された記憶装置の少なくともいくつかのコンポーネントから固有値を取得するステップと、
前記取得された固有値に基づいて、前記通信的に接続された記憶装置の評価値を導出するステップと、
前記通信的に接続された記憶装置の前記評価値が、以前に取得された評価値と同等である場合、前記通信的に接続された記憶装置に前記暗号化情報を提供するステップと、を含むステップを実行するための評価及び封印モジュールを含む請求項1記載のキーデバイス。
【請求項3】
前記通信的インターフェースが、前記記憶装置上のコネクターと物理的に接続することを特徴とする請求項1記載のキーデバイス。
【請求項4】
更に、前記少なくとも1つの計算機可読媒体及び前記少なくとも1つの通信的インターフェースを横断する構造上弱めた部分を含んでいて、前記構造上弱めた部分に沿って前記キーデバイスを物理的に破壊することが、前記暗号化情報を使用不可能な状態にすることを特徴とする請求項1記載のキーデバイス。
【請求項5】
前記計算機可読媒体が更に、別の記憶装置によって利用される付加的な暗号化情報を含むことを特徴とする請求項1記載のキーデバイス。
【請求項6】
更に、1つ以上の処理装置を含んでいて、前記計算機可読媒体が更に、前記暗号化情報を提供する前記キーデバイスと情報供給計算装置との間にセキュア通信トンネルを確立するための、前記1つ以上のプロセッサーによって実行可能な命令を含むことを特徴とする請求項1記載のキーデバイス。
【請求項7】
更に、前記暗号化情報を参照し、前記キーデバイスによって受信されたデータを保護するための1つ以上の処理装置を含む請求項1記載のキーデバイス。
【請求項8】
請求項1記載のキーデバイスを含むストレージシステムであって、更に、
ストアされたデータを有する1つ以上の計算機可読媒体と、1つ以上の処理装置と、前記1つ以上の処理装置によって実行可能な命令とを含む前記記憶装置を含んでいて、
前記1つ以上のキーデバイスの中から通信的に接続されているキーデバイスの前記暗号化情報を参照して前記1つ以上の計算機可読媒体にストアされるデータを保護し、前記1つ以上のキーデバイスのすべてが、前記記憶装置から通信的に分離され、前記1つ以上のキーデバイスの少なくとも1つが、前記記憶装置と以前に通信的に接続されていた場合、前記1つ以上の計算機可読媒体にストアされたデータにアクセスするための前記計算装置からのリクエストを拒否することを含むステップを実行することを特徴とするストレージシステム。
【請求項9】
前記暗号化情報を参照して保護するための前記命令が、前記1つ以上の計算機可読媒体にストアされた前記暗号化情報及び付加的な暗号化情報双方を参照して前記1つ以上の計算機可読媒体上にストアされた前記データを保護するための命令を含むことを特徴とする請求項8記載のストレージシステム。
【請求項10】
前記記憶装置が更に、前記1つ以上の処理装置によって実行可能な命令を含んでいて、前記1つ以上のキーデバイスの中からの現在、通信的に接続されているキーデバイスが、以前に前記通信的に接続されたキーデバイスと異なる場合、前記1つ以上の計算機可読媒体上にある暗号化されたデータを、前記1つ以上のキーデバイスの中からの以前に通信的に接続されたキーデバイスの前記暗号化情報を参照して、もはや利用不可能として印付けすることを特徴とする請求項8記載のストレージシステム。
【請求項11】
更に、前記記憶装置と現在通信的に接続されている1つ以上のキーデバイスが、前記記憶装置と以前に通信的に接続された1つ以上のキーデバイスと同等でない場合、前記1つ以上の処理装置によって実行可能な任意の命令のうち1つを選択するためのセレクターを含んでいて、前記任意の命令が、前記記憶装置が準備できていないことを前記計算装置へ報告するための命令と、前記1つ以上のキーデバイスの前記暗号化情報の代わりに利用される内部暗号化情報を生成するための命令と、を含む請求項8記載のストレージシステム。
【請求項12】
前記記憶装置が更に、前記少なくとも1つのキーデバイスの前記暗号化情報を参照して署名されるように、データを前記少なくとも1つのキーデバイスへ送信するための、前記1つ以上の処理装置によって実行可能な命令を含むことを特徴とする請求項8記載のストレージシステム。
【請求項13】
前記少なくともいくつかの暗号化情報が、情報供給計算装置によって前記1つ以上のキーデバイスへ提供されることを特徴とする請求項8記載のストレージシステム。
【請求項14】
前記1つ以上のキーデバイスのうち少なくとも1つが、1つ以上のキーデバイスの処理装置と前記情報供給計算装置とのセキュア通信トンネルを確立するための、前記1つ以上のキーデバイスの処理装置によって実行可能な命令と、を含むことを特徴とする請求項13記載のストレージシステム。
【請求項15】
前記暗号化情報が、前記情報供給計算装置のオペレーティングシステムの起動中に前記情報供給計算装置によって提供されることと、更に、前記暗号化情報が、前記情報供給計算装置の前記オペレーティングシステムの前記起動完了前に前記情報供給計算装置から除去されることと、を特徴とする請求項13記載のストレージシステム。
【請求項1】
計算装置(100)から受信される暗号化データ(195)を含む記憶装置(210)から、物理的かつ通信的に分離可能なキーデバイス(170)であって、
少なくとも1つの通信的インターフェース(177)と、
前記記憶装置(210)の前記データ(195)を保護するために利用される暗号化情報(175)を含む計算機可読媒体と、を含むキーデバイス(170)。
【請求項2】
更に、
通信的に接続された記憶装置の少なくともいくつかのコンポーネントから固有値を取得するステップと、
前記取得された固有値に基づいて、前記通信的に接続された記憶装置の評価値を導出するステップと、
前記通信的に接続された記憶装置の前記評価値が、以前に取得された評価値と同等である場合、前記通信的に接続された記憶装置に前記暗号化情報を提供するステップと、を含むステップを実行するための評価及び封印モジュールを含む請求項1記載のキーデバイス。
【請求項3】
前記通信的インターフェースが、前記記憶装置上のコネクターと物理的に接続することを特徴とする請求項1記載のキーデバイス。
【請求項4】
更に、前記少なくとも1つの計算機可読媒体及び前記少なくとも1つの通信的インターフェースを横断する構造上弱めた部分を含んでいて、前記構造上弱めた部分に沿って前記キーデバイスを物理的に破壊することが、前記暗号化情報を使用不可能な状態にすることを特徴とする請求項1記載のキーデバイス。
【請求項5】
前記計算機可読媒体が更に、別の記憶装置によって利用される付加的な暗号化情報を含むことを特徴とする請求項1記載のキーデバイス。
【請求項6】
更に、1つ以上の処理装置を含んでいて、前記計算機可読媒体が更に、前記暗号化情報を提供する前記キーデバイスと情報供給計算装置との間にセキュア通信トンネルを確立するための、前記1つ以上のプロセッサーによって実行可能な命令を含むことを特徴とする請求項1記載のキーデバイス。
【請求項7】
更に、前記暗号化情報を参照し、前記キーデバイスによって受信されたデータを保護するための1つ以上の処理装置を含む請求項1記載のキーデバイス。
【請求項8】
請求項1記載のキーデバイスを含むストレージシステムであって、更に、
ストアされたデータを有する1つ以上の計算機可読媒体と、1つ以上の処理装置と、前記1つ以上の処理装置によって実行可能な命令とを含む前記記憶装置を含んでいて、
前記1つ以上のキーデバイスの中から通信的に接続されているキーデバイスの前記暗号化情報を参照して前記1つ以上の計算機可読媒体にストアされるデータを保護し、前記1つ以上のキーデバイスのすべてが、前記記憶装置から通信的に分離され、前記1つ以上のキーデバイスの少なくとも1つが、前記記憶装置と以前に通信的に接続されていた場合、前記1つ以上の計算機可読媒体にストアされたデータにアクセスするための前記計算装置からのリクエストを拒否することを含むステップを実行することを特徴とするストレージシステム。
【請求項9】
前記暗号化情報を参照して保護するための前記命令が、前記1つ以上の計算機可読媒体にストアされた前記暗号化情報及び付加的な暗号化情報双方を参照して前記1つ以上の計算機可読媒体上にストアされた前記データを保護するための命令を含むことを特徴とする請求項8記載のストレージシステム。
【請求項10】
前記記憶装置が更に、前記1つ以上の処理装置によって実行可能な命令を含んでいて、前記1つ以上のキーデバイスの中からの現在、通信的に接続されているキーデバイスが、以前に前記通信的に接続されたキーデバイスと異なる場合、前記1つ以上の計算機可読媒体上にある暗号化されたデータを、前記1つ以上のキーデバイスの中からの以前に通信的に接続されたキーデバイスの前記暗号化情報を参照して、もはや利用不可能として印付けすることを特徴とする請求項8記載のストレージシステム。
【請求項11】
更に、前記記憶装置と現在通信的に接続されている1つ以上のキーデバイスが、前記記憶装置と以前に通信的に接続された1つ以上のキーデバイスと同等でない場合、前記1つ以上の処理装置によって実行可能な任意の命令のうち1つを選択するためのセレクターを含んでいて、前記任意の命令が、前記記憶装置が準備できていないことを前記計算装置へ報告するための命令と、前記1つ以上のキーデバイスの前記暗号化情報の代わりに利用される内部暗号化情報を生成するための命令と、を含む請求項8記載のストレージシステム。
【請求項12】
前記記憶装置が更に、前記少なくとも1つのキーデバイスの前記暗号化情報を参照して署名されるように、データを前記少なくとも1つのキーデバイスへ送信するための、前記1つ以上の処理装置によって実行可能な命令を含むことを特徴とする請求項8記載のストレージシステム。
【請求項13】
前記少なくともいくつかの暗号化情報が、情報供給計算装置によって前記1つ以上のキーデバイスへ提供されることを特徴とする請求項8記載のストレージシステム。
【請求項14】
前記1つ以上のキーデバイスのうち少なくとも1つが、1つ以上のキーデバイスの処理装置と前記情報供給計算装置とのセキュア通信トンネルを確立するための、前記1つ以上のキーデバイスの処理装置によって実行可能な命令と、を含むことを特徴とする請求項13記載のストレージシステム。
【請求項15】
前記暗号化情報が、前記情報供給計算装置のオペレーティングシステムの起動中に前記情報供給計算装置によって提供されることと、更に、前記暗号化情報が、前記情報供給計算装置の前記オペレーティングシステムの前記起動完了前に前記情報供給計算装置から除去されることと、を特徴とする請求項13記載のストレージシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2013−519124(P2013−519124A)
【公表日】平成25年5月23日(2013.5.23)
【国際特許分類】
【出願番号】特願2011−548434(P2011−548434)
【出願日】平成22年2月5日(2010.2.5)
【国際出願番号】PCT/US2010/023402
【国際公開番号】WO2010/126636
【国際公開日】平成22年11月4日(2010.11.4)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公表日】平成25年5月23日(2013.5.23)
【国際特許分類】
【出願日】平成22年2月5日(2010.2.5)
【国際出願番号】PCT/US2010/023402
【国際公開番号】WO2010/126636
【国際公開日】平成22年11月4日(2010.11.4)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]