本发明专利技术的实施方式提供一种提高了数据保护功能的便利性的存储装置。根据实施方式,存储装置具备存储器和控制器。所述控制器根据来自主机的指令,执行包括向所述存储器写入数据以及从所述存储器读出数据在内的所述存储器的控制。所述控制器具有安全控制部。所述安全控制部控制依据用于保护所述存储器上的数据的第一规格或者第二规格的数据保护处理。所述安全控制部能够按设置在所述存储器上的多个分区中的各个分区的每一个应用依据所述第一规格或者所述第二规格的数据保护处理的一方。
【技术实现步骤摘要】
存储装置相关申请本申请享受以日本专利申请2019-204690号(申请日:2019年11月12日)为基础申请的优先权。本申请通过参照该基础申请而包含基础申请的全部内容。
本专利技术的实施方式涉及存储装置。
技术介绍
近年来,对防止数据泄漏的关注日益高涨。因此,开始普及如下搭载有数据保护功能的存储装置:例如通过对数据进行加密并储存在存储器中,使得数据(非加密数据)不会被非正规用户切取。关于SSD(SolidStateDrive:固态驱动器)、HDD(HardDiskDrive:硬盘驱动器)等存储装置,设想大致分为如下两种用例:主要作为面向最终用户的PC(PersonalComputer:个人计算机)用而使用的情况、以及主要作为面向企业的服务器用而使用的情况。在TCG(TrustedComputingGroup:可信计算组)的SWG(StorageWorkgroup:存储工作组)中,作为SSC(SecuritySubsystemClass:安全子系统类),制定了包括设想了前者用例的Opal、以及设想了后者用例的Enterprise在内的多个规格。另外,在作为存储装置的各种接口中的一个的NVMExpress(NVMe(注册商标))中,定义了在存储器上设定被称作命名空间(Namespace)的分区的过程(日文:手続き)。CNL(ConfigurableNamespaceLocking:可配置命名空间锁定)例如是用于实现在设定了多个命名空间的情况下的以命名空间为单位的数据保护的TCG标准。>然而,在CNL中,在一个存储装置上仅能够应用一个SSC,在设定了多个命名空间的情况下,无法实现在某个命名空间应用Opal而在某个其他命名空间应用Enterprise等这样的按每个命名空间应用SSC。另外,对于CNL,指出了规格过于复杂的问题、难以确保命名空间的独立性的问题。
技术实现思路
实施方式之一提供一种提高了数据保护功能的便利性的存储装置。根据实施方式,存储装置具备存储器和控制器。所述控制器根据来自主机的指令,执行包括向所述存储器写入数据以及从所述存储器读出数据在内的所述存储器的控制。所述控制器具有安全控制部。所述安全控制部控制依据用于保护所述存储器上的数据的第一规格或者第二规格的数据保护处理。所述安全控制部能够按设置在所述存储器上的多个分区中的各个分区的每一个应用依据所述第一规格或者所述第二规格的数据保护处理的一方。附图说明图1是表示第一实施方式的存储装置的一个构成例的图。图2是表示第一实施方式的存储装置所搭载的控制器所具有的TPer的一个构成例的图。图3是表示第一实施方式的存储装置为了激活(Active)的扩展而追加的参数的一个例子的图。图4是表示在第一实施方式的存储装置中按每个命名空间分配了不同的SSC的锁定SP的情况下的一个例子的图。图5是表示第一实施方式的存储装置中的对命名空间的锁定SP的分配的流程的时序图。图6是表示第一实施方式的存储装置中的命名空间的删除或者删除拒绝的流程的时序图。图7是表示在第一实施方式的存储装置中,在两个命名空间分别构建了MBR表的例子的图。图8是表示在第一实施方式的存储装置中,在两个命名空间中共享一个MBR表的例子的图。图9是表示第一实施方式的存储装置中的支持功能的报告的流程的时序图。图10是表示第二实施方式的存储装置所搭载的控制器所具有的TPer的一个构成例的图。附图标记说明1…存储装置,2…主机,10…控制器,11…FE(FrontEnd:前端)部,12…TPer(TrustedPeripheral:可信外围设备),13…加密部,14…BE(BackEnd:后端)部,20…缓冲存储器,30…存储器,121…接口控制器(Interfacecontroller),122…TSM(TPerSessionManager:TPer会话管理器),123…管理SP,124…锁定SP。具体实施方式以下,参照附图对实施方式进行说明。(第一实施方式)首先,对第一实施方式进行说明。图1是表示本实施方式的存储装置1的一个构成例的图。在此,设想存储装置1作为搭载包含加密的数据保护功能的SSD而实现。另外,存储装置1并不限定于SSD,也可以作为HDD等而实现。数据保护功能除了加密之外,还能够进行禁止写入的设定、禁止读出的设定。数据保护功能也被称为安全功能。如图1所示,存储装置1具有:例如构成为SoC(SystemOnaChip:片上系统)的控制器10、例如作为DRAM(DynamicRandomAccessMemory:动态随机存取存储器)的缓冲存储器20、以及例如作为NAND型闪存的存储器30。存储装置1能够经由PCIe(注册商标)等接口与作为PC、服务器等的主机2连接。控制器10从主机2受理写入/读出指令,一边将缓冲存储器20用作数据的临时储存区域,一边执行从主机2传送来的数据向存储器30的写入处理、从主机2请求的数据从存储器30的读出处理。即,控制器10基于来自主机2的指令,控制存储器30。控制器10在将数据向存储器30写入的情况下,能够利用加密密钥对该数据进行加密,另外,在从存储器30读出被加密的数据的情况下,能够利用与加密中所使用的加密密钥相同的加密密钥对该被加密的数据进行解密。控制器10通过更新加密密钥,能够统一使存储器30上的数据无效化。加密密钥的更新例如通过产生随机数并将加密密钥的值置换为该产生的随机数的值来执行。控制器10按照Opal、Enterprise等这种TCGSWG作为SSC而制定的各种规格来执行这样的数据的保护。在此,设想存储装置1与主机2通过作为可以连接存储装置1与主机2的各种接口中的一个的NVMe而连接的情况。依据NVMe与存储装置1通信的主机2能够向存储装置1请求在存储器30上、更详细地说是在存储装置1从存储器30的全部存储区域之中作为用户区域而提供给主机2的区域上,设定被称作命名空间的分区。而且,本实施方式的存储装置1能够按每个该命名空间应用SSC,以下,对这一点进行详细叙述。如图1所示,控制器10具有FE(FrontEnd)部11、TPer(TrustedPeripheral:可信外围设备)12、加密部13、以及BE(BackEnd)部14。在此,主要对与数据保护功能相关的控制器10的动作进行说明。TPer12担任数据保护功能的核心。加密部13在该TPer12的控制下进行动作。除了TPer12与加密部13以外,分别将以TPer12为基准位于前段的负责靠近主机2的处理的模块整体简化为FE部11、将位于后段的负责靠近存储器30的处理的模块整体简化为BE部14而示出。TPer12是用于实现与TCGSWG规定的数据保护功能相关的全部安全服务的模块。在从主机2发送来写入指令的情况下,FE部11受理该写入指令,并将写入数据与表示写入目的地的信息等一起传递给TPer本文档来自技高网...
【技术保护点】
1.一种存储装置,具备:/n存储器;以及/n控制器,根据来自主机的指令,执行包括向所述存储器写入数据以及从所述存储器读出数据在内的所述存储器的控制,/n所述控制器具有安全控制部,该安全控制部控制依据用于保护所述存储器上的数据的第一规格或者与所述第一规格不同的第二规格的数据保护处理,/n所述安全控制部能够按设置在所述存储器上的多个分区中的各个分区的每一个应用依据所述第一规格或者所述第二规格的数据保护处理的一方。/n
【技术特征摘要】
20191112 JP 2019-2046901.一种存储装置,具备:
存储器;以及
控制器,根据来自主机的指令,执行包括向所述存储器写入数据以及从所述存储器读出数据在内的所述存储器的控制,
所述控制器具有安全控制部,该安全控制部控制依据用于保护所述存储器上的数据的第一规格或者与所述第一规格不同的第二规格的数据保护处理,
所述安全控制部能够按设置在所述存储器上的多个分区中的各个分区的每一个应用依据所述第一规格或者所述第二规格的数据保护处理的一方。
2.如权利要求1所述的存储装置,其中,
所述安全控制部具有:
第一数据保护处理部,执行依据所述第一规格的数据保护处理;以及
第二数据保护处理部,执行依据所述第二规格的数据保护处理,
能够按所述多个分区中的各个分区的每一个分配所述第一数据保护处理部或者所述第二数据保护处理部的一方。
3.如权利要求2所述的存储装置,其中,
所述控制器能够删除未被分配所述第一数据保护处理部或者所述第二数据保护处理部中的任一个的设置在所述存储器上的所述分区,无法删除被分配了所述第一数据保护处理部或者所述第二数据保护处理部中的某一个的设置在所述存储器上的所述分区。
4.如权利要求2或3所述的存储装置,其中,
所述安全控制部还具有管理部,该管理部执行包括所述第一数据保护处理部以及所述...
【专利技术属性】
技术研发人员:沼田兼一,
申请(专利权)人:铠侠股份有限公司,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。