[发明专利]存储装置、主机装置以及存储系统

说明书

技术领域

本发明涉及存储装置、主机装置以及存储系统，其中主机装置通过根据主机装置的证书的认证来访问存储秘密数据的秘密区域。

背景技术

作为诸如个人计算机、数码相机、数码摄像机、视频设备或游戏装置的主机装置的外部存储装置，存在一种配置有闪存的存储装置。

例如，如图1所示，用作各种主机装置的外部存储装置的存储装置包括仅由认证的主机装置访问的秘密区域1。当主机包括多个对应的应用程序(视频、游戏等)时，该秘密区域被划分为多个区域，这些区域为被用来写入诸如用于视频的数据、用于游戏的数据等的各个应用程序的区域。

发明内容

然而，在采用主机装置和存储装置的当前的存储系统中，已被认证的主机可以完全地访问介质中的秘密区域。

由于这个原因，当多个主机共享介质中的秘密区域时，存在由其他主机记录的数据可以被读取和写入的问题。

JP-T-2002-523816或JP-A-2004-247799公开了通过在存储装置侧(介质)中写入访问控制信息来防止上述问题的技术。

然而，当需要改变访问控制时，由于需要改变介质的固件(firmware)，所以这是不实用的。

期望提供存储装置、主机装置以及存储系统，所述存储装置能够识别主机特征信息并限制可访问的秘密区域。

根据本发明实施方式，提供一种存储装置，包括：存储单元，存储用于验证证书的认证中心的公匙信息，并且包括存储确保了其保密性的数据的秘密区域；以及控制单元，根据接收信息控制对存储单元的访问，其中，所述接收信息包括访问控制信息被添加到通过认证中心认证的证书信息而得到的信息，以及其中控制单元利用公钥验证所述证书，识别访问控制信息，并且限制存储单元中的可访问的秘密区域。

根据本发明另一实施方式，提供一种主机装置，包括：记忆装置，存储至少通过认证中心发布的证书信息；以及控制单元，具有与外部存储装置通信的功能，所述外部存储装置包括存储数据的秘密区域，其中，所述数据在访问和连接至存储装置的过程中被确保了安全性，其中，控制单元通过通信功能能够发送将访问控制信息添加至通过认证中心认证以作为证书信息的证书信息而得到的信息。

根据本发明又一实施方式，提供一种存储系统，包括主机装置；以及能够与主机装置通信的存储装置。其中，主机装置包括：记忆装置，存储至少通过认证中心发布的公匙证书信息；以及第一控制单元，具有与外部存储装置通信的功能，所述外部存储装置包括存储数据的秘密区域，其中，所述数据在访问和连接至存储装置的过程中被确保了安全性，其中，第一控制单元通过通信功能能够发送信息，在所述信息中，访问控制信息被添加至通过认证中心认证以作为证书信息的证书信息。其中，存储装置包括：记忆单元，存储用于验证证书的认证中心的公匙信息，并且包括存储确保了其保密性的数据的秘密区域；以及第二控制单元，根据从主机装置发送的将访问控制信息添加至由认证中心认证的证书信息而得到的信息来控制对记忆单元的访问，其中第二控制单元利用公钥验证证书，识别访问控制信息，并且限制记忆单元中可访问的秘密区域。

根据本发明实施方式，可以识别主机的特征信息，并且限制可以访问的秘密区域。

附图说明

图1是示出在典型秘密区域中写入的数据实例的示图。

图2是示出应用于该实施方式的存储系统的示意性构造的示图。

图3是示出根据该实施方式的存储装置主要部分的构造的框图。

图4是示出根据该实施方式的在秘密区域中写入的数据实例和对该数据的访问的限制的示图。

图5是示出根据该实施方式的主机装置主要部分的构造的框图。

图6是示出根据该实施方式的主机装置的证书实例的示图。

图7是示出包括特征信息的PAD访问区域的实例的示图。

图8是示出根据该实施方式的主机装置与存储装置之间的基本通信序列的示图。

图9是示出根据该实施方式的主机装置与存储装置之间的详细通信序列的示图。

图10是示出图9中的存储装置的认证状态与处理中是否执行协议之间的相关性实例的示图。

图11是示出主机装置与存储装置之间用于获得PAD的详细通信序列的示图。

图12是示出图11和13中的存储装置的认证状态与处理中是否执行协议之间的相关性实例的示图。

图13是示出主机装置与存储装置之间用于获得PAD的详细通信序列的示图。

具体实施方式

下文，将参照附图描述本发明实施方式。将以下列序列进行描述。

1.整个存储系统的示意性构造