数据储存装置的制作方法

本申请享有以日本专利申请2017-180715号(申请日：2017年9月20日)为基础申请的优先权。本申请通过参照该基础申请而包含基础申请的所有内容。

本发明的实施方式涉及一种数据储存装置。

背景技术：

近年来，对于防止数据漏泄的关心日益提高。作为它的对策之一，广泛推进数据的加密。另外，使用搭载将数据加密并储存的加密功能的数据储存装置也正变得普遍。

例如，ssd(solidstatedrive，固态硬盘)或hdd(harddiskdrive，硬盘驱动器)等数据储存装置设想大致划分成作为主要面向企业的服务器用途加以利用的情况与作为pc(personalcomputer，个人计算机)用途加以利用的情况。另外，搭载于数据储存装置的加密功能的现状是在服务器用途与pc用途中安装不同的模块(固件)。换句话说，搭载加密功能的数据储存装置是按照服务器用途与pc用途作为不同的产品而制造、流通。

搭载加密功能的数据储存装置按照服务器用途与pc用途作为不同的产品而存在的情况，如果站在供给者方的角度，那么需要制造2种产品，如果站在顾客方的角度，那么需要分别进行购入或库存管理。

技术实现要素：

本发明提供一种能够作为服务器用途或pc用途中的任一者加以利用的搭载加密功能的数据储存装置。

实施方式的数据储存装置具备非易失性存储器及控制器。所述控制器通过面向第1用途的第1模式或面向第2用途的第2模式中的任一者而利用加密来保护所述非易失性存储器上的数据。所述控制器具备初始设定保存部及模式设定部。所述初始设定保存部保存用来再现第1状态的第1初始设定、用来再现第2状态的第2初始设定、及用来再现第3状态的第3初始设定，所述第1状态是未设定为所述第1模式或所述第2模式中的任一者的初始状态，且是数据的保护功能为非运行的状态；所述第2状态是所述第1模式下的初始状态，且是数据的保护功能为非运行的状态；所述第3状态是所述第2模式下的初始状态，且是数据的保护功能为非运行的状态。所述模式设定部根据第1指令执行第1处理，根据第2指令执行第2处理，所述第1指令是在处于所述第1状态的情况下要求所述第1模式的设定；所述第1处理是使用所述初始设定保存部保存的所述第2初始设定从所述第1状态向所述第2状态过渡；所述第2指令是在处于所述第1状态的情况下要求所述第2模式的设定；所述第2处理是使用所述初始设定保存部保存的所述第3初始设定从所述第1状态向所述第3状态过渡。

附图说明

图1是表示第1实施方式的数据储存装置的构成的一例的图。

图2是表示第1实施方式的数据储存装置具备的控制器的功能块的一例的图。

图3是用来说明为了使第1实施方式的数据储存装置能够作为服务器用途或pc用途中的任一者加以利用而具备的结构的概要的图。

图4是表示由第1实施方式的数据储存装置管理的pin的种类的图。

图5是表示第1实施方式的数据储存装置的与状态过渡相关的指令及其发布权限的一例的图。

图6是表示第1实施方式的数据储存装置保持初始像的图案的变化的图。

图7是用来说明第1实施方式的存储装置中所能设想的使用事例的第1图。

图8是用来说明第1实施方式的存储装置中所能设想的使用事例的第2图。

图9是用来说明第1实施方式的存储装置中所能设想的使用事例的第3图。

图10是表示第2实施方式的数据储存装置具备的控制器的功能块的一例的图。

图11是表示第2实施方式的数据储存装置的与状态过渡相关的指令及其发布权限的一例的图。

图12是表示第2实施方式的数据储存装置中的密钥的保持状态的转变的一例的图。

图13是表示第3实施方式的数据储存装置具备的控制器的功能块的一例的图。

图14是用来说明为了使第3实施方式的数据储存装置能够指定shadowmbr(shadowmasterbootrecord，影子主引导记录)的删除有无而具备的结构的概要的图。

图15是用来说明shadowmbr的概要的图。

图16是表示第4实施方式的数据储存装置具备的控制器的功能块的一例的图。

图17是用来说明为了使第4实施方式的数据储存装置能够在enterprise模式-opal模式间直接转变而具备的结构的概要的图。

图18是表示第4实施方式的数据储存装置的与状态过渡相关的指令及其发布权限的一例的图。

具体实施方式

以下，参照附图对实施方式进行说明。

(第1实施方式)

首先，对第1实施方式进行说明。

图1是表示本实施方式的数据储存装置1的构成的一例的图。该数据储存装置1是搭载加密功能的储存器，例如能以ssd或hdd等形式实现。如图1所示，数据储存装置1具有控制器11、易失性存储器12、及非易失性存储器13。

控制器11是一种处理电路，其从主机装置2接收读指令或写指令，一面将易失性存储器12用作高速缓冲存储器，一面将主机装置2所要求的数据从非易失性存储器13读出，或将从主机装置2传送的数据向非易失性存储器13写入。此外，高速缓冲存储器也可以设置在控制器11内。也就是说，易失性存储器12并非必需。此外，易失性存储器12除了可以用作高速缓冲存储器以外，还可以用作例如来自非易失性存储器13的程序的载入目的地或该程序的作业区域等。

控制器11在将数据向非易失性存储器13写入的情况下，将该数据利用密钥而加密，另一方面，在将数据从非易失性存储器13读出的情况下，将经加密的数据利用与加密所用密钥相同的密钥而解密。控制器11通过更新该密钥，能够将非易失性存储器13上的数据一次性作废。密钥的更新例如为通过产生随机数并将密钥的值替换为所述产生的随机数的值而执行。另外，控制器11是通过enterprise模式(第1模式)或opal模式(第2模式)中的任一者而利用这种加密来保护数据的。enterprise模式是在将数据储存装置1作为主要面向企业的服务器用途加以利用的情况下设定的模式，opal模式是在作为pc用途加以利用的情况下设定的模式。例如，enterprise模式是根据tcg(trustedcomputinggroup，可信计算组织)enterprise标准而动作的模式，另外，opal模式是根据tcgopal标准而动作的模式。也就是说，本实施方式的数据储存装置1能够作为服务器用途或pc用途中的任一者加以利用，以下，对这一点进行详细叙述。

此外，enterprise模式与opal模式之间存在如下差异：例如，在opal模式下需要构建启动时的认证机构(shadowmbr)的功能，而相对地在enterprise模式下则不需要，在opal模式下利用管理者权限能够进行用户区域的解锁与数据删除，而相对地在enterprise模式下利用管理者权限无法进行用户区域的解锁(仅能够擦除)，只能够进行数据删除。

易失性存储器12例如为dram(dynamicram，dynamicrandom-accessmemory，动态随机存取存储器)。另外，非易失性存储器13例如为nand(notand，与非)闪速存储器或硬盘。

数据储存装置1与主机装置2例如利用被规定为tcgsiis(storageinterfaceinteractionsspecification，存储接口交互规范)规格的scsi(smallcomputersysteminterface，小型计算机系统接口)接口、ata(advancedtechnologyattachment，高级技术附件)接口、nvmexpress(nvme(注册商标))、e·mmc接口等而连接。图1中表示了数据储存装置1与主机装置2利用nvme(注册商标)接口而连接的示例。

主机装置2可以是将数据储存装置1用作储存器而对数据储存装置1发布读指令或写指令的装置，但此处，设想为：主机装置2是用来将数据储存装置1设定为enterprise模式，或将数据储存装置1设定为opal模式，或将数据储存装置1从enterprise模式切换为opal模式，或将数据储存装置1从opal模式切换为enterprise模式的模式设定、模式切换用的装置。

图2是表示控制器11的功能块的一例的图。

如图2所示，控制器11具有接口处理部111、指令处理部112、认可处理部113、设定管理部114及初始设定保存部115。另外，控制器11具有状态管理部116、模式设定部117、处理反映部118、初始化处理部119及钥管理部120。进而，控制器11具有密码处理部121及读/写处理部122。

在图1所示的非易失性存储器13的指定区域，存储着用来使控制器11执行各种顺序的程序。就该程序来说，例如在数据储存装置1启动等时，它的一部分或全部会被控制器11具备的处理器载入至图1所示的易失性存储器12(也可以为设置在控制器11内且也被用作高速缓冲存储器的易失性存储器)中。控制器11的处理器执行易失性存储器12上的程序。根据该程序的记述，能够将包含图2所示的各处理部的各种处理部构建在控制器11内。

此处，为了帮助理解控制器11的各处理部，参照图3，对为了使本实施方式的数据储存装置1能够作为服务器用途或pc用途中的任一者加以利用而具备的结构的概要进行说明。

本实施方式的数据储存装置1首先追加由符号s1表示的neutraloriginalfactorystate(neutralofs：第1状态)与由符号s2表示的enterpriseoriginalfactorystate(enterpriseofs：第2状态)，来作为数据储存装置1能够取得的状态，换句话说，数据储存装置1能够管理的状态。

neutralofs是未设定为enterprise模式或opal模式中的任一者的非运行(inactive)状态，例如出厂时的初始状态。enterpriseofs为enterprise模式下的初始状态。

由符号s3表示的opaloriginalfactorystate(opalofs：第3状态)与由符号s5表示的opalactive(第5状态)例如为在tcgopal标准下定义的、数据储存装置1能够取得的现有状态，换句话说，数据储存装置1能够管理的现有状态。opalofs为opal模式下的初始状态(出厂状态)，opalactive为正在opal模式下运行的状态。另外，由符号4表示的enterpriseactive(第4状态)为正在enterprise模式下运行的状态。以往，数据储存装置1是作为面向服务器用途或pc用途中的任一者的产品而制造，服务器用途的产品是以遵循顾客要求进行设定后的enterpriseactive状态出厂的，pc用途的产品是以由顾客来进行设定的opalofs状态出厂的。也就是说，以往，数据储存装置1在作为pc用途的产品制造、出厂的情况下，仅保持用来恢复为opalofs状态(再现opalofs状态)的初始像(初始设定)。相对于此，追加neutralofs与enterpriseofs的本实施方式的数据储存装置1保持neutralofs用的初始像、enterpriseofs用的初始像、及opalofs用的初始像这多个初始像。此处，所谓初始像，例如是指应用指定的初始设定的固件(程序)像。或者，初始像也可以为存储指定的初始设定的设定文件等。

此外，enterpriseofs及opalofs的初始像例如可以排他选择性地存在generic(标准规格)与customized(特别规格)。generic是应用由制造方、销售方决定的初始设定，另一方面，customized是应用遵循顾客要求的初始设定。例如，对于enterpriseofs，实施使用户数量(从generic时的数量)增减的变更，对于opalofs，实施使管理者pin(personalidentificationnumber，个人识别号)的初始值(例如在generic下记载在指南等中的值)为当时所有者pin的值的变更。另外，对于enterpriseofs与opalofs各者，也可以保持generic与customized两者的初始像，而选择其中任一者加以使用。

另外，本实施方式的数据储存装置1其次新设在neutralofs状态下设定enterprise模式且向enterpriseofs状态过渡的指令(enterprisemode：第1指令[b1])、在neutralofs状态下设定opal模式且向opalofs状态过渡的指令(opalmode：第2指令[b2])、及从enterpriseactive状态或opalactive状态向neutralofs状态过渡的指令(neutralrevert：第7指令[b3])。进而，本实施方式的数据储存装置1也新设从enterpriseofs状态向enterpriseactive状态过渡的指令(activate(enterprise)：第3指令[b11])、及从enterpriseactive状态向enterpriseofs状态过渡的指令(revert(enterprise)：第5指令[b12])。

此外，activate(enterprise)及revert(enterprise)也可以与下述现有的activate及revert共通化。更详细来说，也可以为：如果在enterpriseofs状态下发布activate，那么解释为activate(enterprise)，如果在opalofs状态下发布activate，那么解释为现有activate，另外，如果在enterpriseactive状态下发布revert，那么解释为revert(enterprise)，如果在opalactive状态下发布revert，那么解释为现有revert。

另外，例如，enterprisemode(w/param)的(w/param)表示enterprisemode可以带有参数而发布(withparameter)。例如，在作为enterpriseofs的初始像而保持有generic与customized两者的情况下，也可以为能够利用参数来指定选择它们中的哪一个加以使用。

进而，本实施方式的数据储存装置1定义用来发布enterprisemode、opalmode及neutralrevert的专用权限(authority)。关于权限的种类将在下文叙述，在enterprisemode下，除了管理者pin(adminpin)及用户pin(userpin)以外，还定义专用pin，在opalmode下，除了所有者pin(sidpin)、管理者pin(adminpin)及用户pin(userpin)以外，还定义专用pin。发布activate(enterprise)及revert(enterprise)的权限赋予给管理者pin。专用pin优选无法变更，或者仅能够在一定条件下变更。

从opalofs状态向opalactive状态过渡的指令(active：第4指令[b13])、及从opalactive状态向opalofs状态过渡的指令(revert：第6指令[b14])例如为在tcgopal标准下定义的现有指令，它的发布权限赋予给所有者pin。

在利用revert(enterprise)向enterpriseofs状态过渡的情况、利用revert向opalofs状态过渡的情况、及利用neutralrevert向neutralofs状态过渡的情况这三者中的任一者下，均通过更新密钥而使数据作废，另外，均使在当时的状态(enterprise模式下或opal模式下)下管理的pin初始化。

也就是说，本实施方式的数据储存装置1可以通过在出厂时的状态(neutralofs状态)下设定enterprise模式而作为服务器用途加以利用，可以通过在出厂时的状态(neutralofs状态)下设定opal模式而作为pc用途加以利用。进而，本实施方式的数据储存装置1可以将作为服务器用途加以利用者恢复至出厂时的状态(neutralofs状态)而转用作pc用途，可以将作为pc用途加以利用者恢复至出厂时的状态(neutralofs状态)而转用作服务器用途。另外，通过定义专用权限，能够限制由该权限者以外人员进行的模式切换。

根据以上情况，返回至图2，对控制器11的各处理部进行说明。

接口处理部111例如利用根据nvme(注册商标)标准的协议而与主机装置2之间进行通信。更详细来说，接口处理部111接收从主机装置2发布的指令并将其交付给指令处理部112，且从指令处理部112接收与该指令对应的处理结果并将其发送给主机装置2。

指令处理部112首先将从接口处理部111接收到的指令传送至认可处理部113。认可处理部113判定主机装置2的操作者是否具有发布该指令的权限，并将它的结果通知给指令处理部112。指令处理部112在从认可处理部113接收到具有权限的通知的情况下，将从接口处理部111接收到的指令传送至执行与该指令对应的处理的处理部。

认可处理部113通过以被赋予了发布该指令的权限的pin进行的认证是否成功来判定指令发布权限的有无。以pin进行的认证由设定管理部114的认证处理部114b来执行。设定管理部114具有pin管理部114a。认证处理部114b根据pin管理部114a管理的pin，执行认证。图4中表示了pin管理部114a管理的pin的种类。

如图4所示，pin管理部114a在enterprise模式的情况下，对管理者pin、专用pin及用户pin进行管理。专用pin是所述被赋予了发布neutralrevert的权限的新定义pin。另外，pin管理部114a在opal模式的情况下，对所有者pin、管理者pin、专用pin及用户pin进行管理。该专用pin也是所述被赋予了发布neutralrevert的权限的新定义pin。另外，pin管理部114a在未设定为enterprise模式或opal模式中的任一者的情况下，也就是说，在处于neutralofs状态的情况下，至少对专用pin进行管理。该专用pin是所述被赋予了发布enterprisemode、opalmode及neutralrevert的权限的新定义pin。也就是说，本实施方式的数据储存装置1的pin管理部114a以进而管理专用pin的方式追加了功能。

专用pin以外的pin能够通过从主机装置2发布指令来变更。该指令也经由接口处理部111及指令处理部112而传送至认可处理部113，接受其发布权限有无的判定。在具有权限的情况下，将该指令传送至设定管理部114，执行pin管理部114a管理的pin的变更。专用pin的值例如由数据储存装置1的制造方、销售方通知给顾客方的仅特定者，或者由数据储存装置1的制造方、销售方进行管理。另外，关于专用pin，例如也可以为仅能够在处于neutralofs状态的情况下变更。

另外，以pin进行的认证也是起因于来自主机装置2的指令发布而执行的动作，该指令经由接口处理部111及指令处理部112而传送至认可处理部113，进而，从认可处理部113传送至设定管理部114，而由认证处理部114b基于pin管理部114a管理的pin进行认证。认证处理部114b例如督促主机装置2的操作者输入pin，然后将所输入的pin与pin管理部114a管理的pin进行比较，而认证主机装置2的操作者。

图5中表示了本实施方式的数据储存装置1的与状态过渡相关的指令及其发布权限的一例。

在图5中，(a)表示在未设定为enterprise模式或opal模式中的任一者的neutralofs状态下发布的指令，(b)表示在enterprise模式下发布的指令，(c)表示在opal模式下发布的指令。

另外，图5中的符号b1～b3、b11～14与图5中的符号b1～b3、b11～14对应。如上所述，enterprisemode(b1)、opalmode(b2)、neutralrevert(b3)、revert(enterprise)(b12)及activate(enterprise)(b11)是新设指令，发布enterprisemode(b1)、opalmode(b2)及neutralrevert(b3)的权限赋予给专用pin，发布revert(enterprise)(b12)及activate(enterprise)(b11)的权限赋予给管理者pin。另外，revert(b14)及activate(b13)例如为在tcgopal标准下定义的现有指令，发布它们的权限赋予给所有者pin。例如，在发布enterprisemode(b1)时，认可处理部113只有在以专用pin进行的认证成功的情况下，才对于该enterprisemode的执行判定为允许。

初始设定保存部115保持neutralofs像151、enterpriseofs像152、及opalofs像153。neutralofs像151是用来通过neutralrevert的发布而向neutralofs状态过渡(再现neutralofs状态)的所述neutralofs用初始像。enterpriseofs像152是用来通过enterprisemode或revert(enterprise)的发布而向enterpriseofs状态过渡(再现enterpriseofs状态)的所述enterpriseofs用初始像。opalofs像153是用来通过opalmode或revert的发布而向opalofs状态过渡(再现opalofs状态)的所述opalofs用初始像。也就是说，本实施方式的数据储存装置1的初始设定保存部115保存enterpriseofs与opalofs两者的初始像。

此外，如上所述，enterpriseofs及opalofs的初始像可以排他选择性地存在generic与customized，或者可以存在它们两者而将它们排他选择性地加以使用。图2所示的enterpriseofs像152及opalofs像153是generic的初始像。因此，由初始设定保存部115保持的初始像并不限定于neutralofs像151、enterpriseofs像152、及opalofs像153。例如，如图6所示，也可以考虑如下等：(a)保持neutralofs像151、作为enterpriseofs的customized初始像的enterpriseofs(customized)像152-2、及opalofs像153，(b)保持neutralofs像151、enterpriseofs像152、及作为opalofs的customized初始像的opalofs(customized)像153-2，(c)保持neutralofs像151、enterpriseofs(customized)像152-2、及opalofs(customized)像153-2，(d)保持neutralofs像151、enterpriseofs像152、enterpriseofs(customized)像152-2、opalofs像153、及opalofs(customized)像153-2。

状态管理部116对数据储存装置1处于neutralofs、enterpriseofs、opalofs、enterpriseactive或opalactive中的哪个状态进行管理。也就是说，本实施方式的数据储存装置1的状态管理部116以进而管理neutralofs状态与enterpriseofs状态的方式追加了功能。

模式设定部117在已发布enterprisemode或opalmode的情况且已由认可处理部113对于它的执行判断为允许的情况下，执行与从指令处理部112传送而来的该enterprisemode或opalmode对应的处理。更详细来说，执行使数据储存装置1从neutralofs状态向enterpriseofs状态过渡的处理(第1处理)、或从neutralofs状态向opalofs状态过渡的处理(第2处理)。认可处理部113在由状态管理部116管理的状态并非neutralofs状态的情况下，将错误通知给指令处理部112。模式设定部117在从neutralofs状态向enterpriseofs状态或opalofs状态的过渡完成的情况下，将该状态转变通知给状态管理部116，并且将处理完成通知给指令处理部112。该模式设定部117是本实施方式的数据储存装置1固有的处理部。

处理反映部118在已发布activate(enterprise)或activate的情况且已由认可处理部113对于它的执行判断为允许的情况下，执行与从指令处理部112传送而来的该activate(enterprise)或activate对应的处理。更详细来说，执行使数据储存装置1从enterpriseofs状态向enterpriseactive状态过渡的处理(第3处理)、或从opalofs状态向opalactive状态过渡的处理(第4处理)。认可处理部113在由状态管理部116管理的状态并非enterpriseofs状态的情况下(发布activate(enterprise)时)或并非opalofs状态的情况下(发布activate时)，将错误通知给指令处理部112。模式设定部117在从enterpriseofs状态向enterpriseactive状态的过渡、或从opalofs状态向ofsactive状态的过渡完成的情况下，将该状态转变通知给状态管理部116，并且将处理完成通知给指令处理部112。也就是说，本实施方式的数据储存装置1的处理反映部118以根据activate(enterprise)而执行从enterpriseofs状态向enterpriseactive状态过渡的处理的方式追加了功能。

初始化处理部119在已发布revert(enterprise)、revert或neutralrevert的情况且已由认可处理部113对于它的执行判断为允许的情况下，执行与从指令处理部112传送而来的该revert(enterprise)、revert或neutralrevert对应的处理。更详细来说，使用保持在初始设定保存部115的初始像，执行使数据储存装置1从enterpriseactive状态向enterpriseofs状态过渡的处理(第5处理)、从opalactive状态向opalofs状态过渡的处理(第6处理)、或者从enterpriseactive状态或opalactive状态向neutralofs状态过渡的处理(第7处理)。认可处理部113在由状态管理部116管理的状态并非enterpriseactive状态的情况下(发布revert(enterprise)时)或并非opalactive状态的情况下(发布revert时)，将错误通知给指令处理部112(在发布neutralrevert时并非enterpriseactive或opalactive中的任一状态的情况下)。模式设定部117在从enterpriseactive状态向enterpriseofs或neutralofs状态的过渡、或者从opalactive状态向opalofs或neutralofs状态的过渡完成的情况下，将该状态转变通知给状态管理部116，并且将处理完成通知给指令处理部112。也就是说，本实施方式的数据储存装置1的初始化处理部119以根据neutralrevert而执行使数据储存装置1从enterpriseactive或opalactive状态向neutralofs状态过渡的处理的方式追加了功能。另外，本实施方式的数据储存装置1的初始化处理部119以根据revert(enterprise)也执行使数据储存装置1从enterpriseactive状态向enterpriseofs状态过渡的处理的方式追加了功能。

另外，初始化处理部119在使数据储存装置1向neutralofs、enterpriseofs或opalofs状态过渡的情况下，为了使非易失性存储器13上的数据作废，而对管理密钥的钥管理部120指示密钥的更新。如果密钥被更新，那么将无法正确解密非易失性存储器13上所储存的经加密的数据，所以数据会被一次性作废。此外，于该更新后，将使用更新后的密钥，进行数据的加密与经加密的数据的解密。也就是说，密钥的更新并非会使数据储存装置1无法使用。

密码处理部121执行如下处理：使用由钥管理部120管理的密钥，将写入至非易失性存储器13的数据加密，或者将从非易失性存储器13读出的经加密的数据解密。而且，读/写处理部122执行从非易失性存储器13读出数据、或者将数据写入至非易失性存储器13的处理。

其次，参照图7至图9，对具有如上构成的本实施方式的数据储存装置1中所能设想的使用事例进行说明。

此处，例如，设想如下情况：销售服务器或pc的企业(服务器提供商)从数据储存装置1的制造方、销售方(供应商)购入数据储存装置1，并将其应用于作为销售品的服务器或pc中。

在图7中，服务器3为服务器提供商销售的计算机，例如在它的壳体内收容数个数据储存装置1。此外，客户端机器4例如为从服务器提供商购入服务器3加以使用的企业的职员等(最终用户)使用的计算机。网络n为将服务器3与客户端机器4连接的例如因特网等网络。

另外，在图7中，储存器设定用机器2-1例如为数据储存装置1的库存管理者使用的计算机，服务器管理者机器2-2例如为服务器3的运用管理者使用的计算机，pc2-3为服务器提供商销售的例如笔记型pc等计算机。储存器设定用机器2-1可以作为(在以专用pin进行的认证成功的条件下)图1及图2所示的主机装置2来发布enterprisemode、opalmode、neutralrevert。服务器管理者机器2-2可以作为(在以管理者pin进行的认证成功的条件下)图1及图2所示的主机装置2来发布activate(enterprise)、revert(enterprise)。pc2-3可以作为(在以所有者pin进行的认证成功的条件下)图1及图2所示的主机装置2来发布activate、revert。

服务器提供商在作为服务器3用途及pc2-3用途而从供应商购入数据储存装置1来应用的情况下，以往需要在服务器3用途与pc2-3用途方面分别进行购入或库存管理，例如，购入几个服务器3用途的数据储存装置1，购入几个pc2-3用途的数据储存装置1，或库存有几个服务器3用途的数据储存装置1，库存有几个pc2-3用途的数据储存装置1等。相对于此，本实施方式的数据储存装置1能够作为服务器3用途或pc2-3用途中的任一者而利用，所以服务器提供商无须区别是服务器3用途还是pc2-3用途，能够从供应商一次性购入数据储存装置1。另一方面，供应商不需要制造服务器用途与pc用途2种产品(2种数据储存装置1)。

数据储存装置1是以neutralofs状态从供应商出厂的。另外，供应商会将已出厂数据储存装置1的专用pin的值通知给购入者(例如服务器提供商的库存管理者)。库存管理者使用该专用pin，利用储存器设定用机器2-1，对应用于服务器3中的数据储存装置1发布enterprisemode，并设定为enterprise模式，由此向enterpriseofs状态过渡(a1)，对应用于pc2-3中的数据储存装置1发布opalmode，并设定为opal模式，由此向opalofs状态过渡(a2)。

以enterpriseofs状态收容在服务器3中的数据储存装置1(以管理者pin进行的认证成功)从服务器管理者机器2-2接收active(enterprise)的发布，而过渡至enterpriseactive状态。或者，(以管理者pin进行的认证成功)也可以利用储存器设定用机器2-1使数据储存装置1过渡至enterpriseactive状态，而将enterpriseactive状态的数据储存装置1收容在服务器3中。(以管理者pin进行的认证成功)能够从服务器管理者机器2-2发布revert(enterprise)，从而可以过渡至enterpriseofs状态。

同样地，以opalofs状态收容在pc2-3中的数据储存装置1(以所有者pin进行的认证成功)从pc2-3接收active的发布，而过渡至active状态。(以所有者pin进行的认证成功)能够从pc2-3发布revert，从而可以过渡至opalofs状态。

另外，本实施方式的数据储存装置1例如能够实现从服务器3用途向pc2-3用途的挪用等(a3)。相反地，也能够从pc2-3用途向服务器3用途挪用(a4)。换句话说，能够在enterprise模式-opal模式间进行模式切换。从服务器3用途向pc2-3用途挪用的数据储存装置1是以enterpriseactive状态从服务器3卸除，(以专用pin进行的认证成功)从储存器设定用机器2-1接收neutralrevert的发布，而过渡至neutralofs状态。neutralofs状态为出厂时的状态，所以按照所述顺序过渡至opalofs状态之后，即会被收容在pc2-3中。

从pc2-3用途向服务器3用途挪用的数据储存装置1也是以opalactive状态从pc2-3卸除，(以专用pin进行的认证成功)从储存器设定用机器2-1接收neutralrevert的发布，而过渡至neutralofs状态。在过渡至neutralofs状态之后，再按照所述顺序过渡至enterpriseofs或enterpriseactive状态之后，即会被收容在服务器3中。

此外，从供应商出厂的数据储存装置1的状态也可以未必为neutralofs状态。例如，也可以为：按照服务器用途与pc用途个别地承接来自服务器提供商的订货，而交付enterpriseofs或enterpriseactive状态的数据储存装置1与opalofs状态的数据储存装置1。例如，在服务器提供商方提出希望将服务器用途的数据储存装置1向pc用途挪用这种要求的情况下，如图8所示，也可以为：将该数据储存装置1从服务器提供商回收，供应商(以专用pin进行的认证成功)利用储存器设定用机器2-1，进行从enterprise模式向opal模式的切换，然后退还给服务器提供商。在该情况下，不需要将专用pin的值通知给服务器提供商。在服务器提供商方提出希望将pc用途的数据储存装置1向服务器用途挪用这种要求的情况下，也同样如此。如果不需要将专用pin的值通知给服务器提供商，那么供应商不再需要例如为每个服务器提供商逐一分开管理专用pin的值，从而能够大幅削减应管理的专用pin的数量。

另外，例如，如图9所示，也可以为：将供应商方的储存器设定用机器2-1-1与服务器提供商方的储存器设定用机器2-1-2利用网络n2连接起来，从而能够从供应商方的储存器设定用机器2-1-1远程访问收容在服务器提供商方的储存器设定用机器2-1-2中的数据储存装置1，且能够从供应商方的储存器设定用机器2-1-1(经由服务器提供商方的储存器设定用机器2-1-2)向数据储存装置1直接发送专用pin。在该情况下，同样地，例如，在服务器提供商方提出希望将服务器用途的数据储存装置1向pc用途挪用这种要求的情况下，能够不需要将专用pin的值通知给服务器提供商。

也就是说，关于数据储存装置1的模式设定或模式切换，并非必须为服务器提供商方能够加以执行。在该情况下，同样地，有供应商不需要制造服务器用途与pc用途2种产品的效果。

这样一来，本实施方式的数据储存装置1能够作为服务器用途或pc用途中的任一者而利用。

(第2实施方式)

其次，对第2实施方式进行说明。关于与第1实施方式相同的构成要素，使用相同的符号，并省略重复的说明。

图10是表示本实施方式的数据储存装置1具备的控制器11的功能块的一例的图。

如图10所示，本实施方式的数据储存装置1中，控制器11的初始化处理部119具备钥更新选择部119a。

钥更新选择部119a是在从enterpriseactive状态向enterpriseofs状态过渡、或从opalactive状态向opalofs状态过渡的情况下，为了提供不使数据作废，也就是说，不进行密钥更新的选项而设置的处理部。因此，在本实施方式的数据储存装置1中，例如，如图11所示，新设revertsp(enterprise)(b12-2)作为用来向enterpriseofs状态过渡的指令，并且新设revertsp(b14-2)作为用来向opalofs状态过渡的指令。与图5同样地，在图11中，(a)表示在未设定为enterprise模式或opal模式中的任一者的neutralofs状态下发布的指令，(b)表示在enterprise模式下发布的指令，(c)表示在opal模式下发布的指令。在发布revertsp(enterprise)或revertsp的情况下，钥更新选择部119a判断为不进行密钥更新。此外，与activate(enterprise)及revert(enterprise)相同，revertsp(enterprise)也可以与revertsp共通化。也就是说，也可以通过处于enterpriseactive或opalactive中的哪个状态，来判断是revertsp(enterprise)或revertsp中的哪一个。另外，也可以对revert(enterprise)或revert赋予参数，以此代替新设revertsp(enterprise)及revertsp，由此能够指定是否进行密钥更新(w/param)。

在钥更新选择部119a判断为进行密钥更新的情况下，初始化处理部119对钥管理部120指示密钥的更新，另一方面，在钥更新选择部119a判断为不进行密钥更新的情况下，初始化处理部119不对钥管理部120指示密钥的更新。

通过新设revertsp(enterprise)及revertsp，在本实施方式的数据储存装置1中，可以由钥管理部120管理在enterprise模式下使用的密钥与在opal模式下使用的密钥两者。也就是说，本实施方式的数据储存装置1的钥管理部120以管理2个钥的方式追加了功能。初始化处理部119在对钥管理部120指示密钥的更新的情况下，会对更新它们中的哪一个进行指示。更详细来说，初始化处理部119在发布revertsp(enterprise)的情况且由状态管理部116管理的状态为enterpriseactive的情况下，对钥管理部120指示在enterprise模式下使用的密钥的更新，在发布revertsp的情况且由状态管理部116管理的状态为opalactive的情况下，对钥管理部120指示在opal模式下使用的密钥的更新。

图12中表示了密钥的保持状态的转变的一例。

在图12中，act-0表示activate，act-e表示activate(enterprise)。另外，rvt表示revert(enterprise)或revert，rvsp表示revertsp(enterprise)或revertsp。进而，nokey表示未保持在opal模式下使用的密钥及在enterprise模式下使用的密钥中的任一者的状态，opalkey表示仅保持有在opal模式下使用的密钥的状态，entkey表示仅保持有在enterprise模式下使用的密钥的状态，bothkeys表示保持有在opal模式下使用的密钥及在enterprise模式下使用的密钥两者的状态。

如图12所示，如果于未保持在enterprise模式下使用的密钥的状态下，发布activate(enterprise)，那么会产生在enterprise模式下使用的密钥并加以保持。同样地，如果于未保持在opal模式下使用的密钥的状态下，发布activate，那么会产生在opal模式下使用的密钥并加以保持。于保持有在enterprise模式下使用的密钥的状态下，发布了activate(enterprise)的情况下，该被保持的密钥会继续被保持(使用)。同样地，于保持有在opal模式下使用的密钥的状态下，发布了activate的情况下，该被保持的密钥会继续被保持(使用)、产生并加以保持。

另外，如图12所示，在发布revertsp(enterprise)或revertsp的情况下，不进行密钥更新，而将在该时间点保持的密钥继续保持下去，在发布revert(enterprise)的情况下，仅进行在enterprise模式下使用的密钥的更新，如果保持有在opal模式下使用的密钥，那么该密钥会被继续保持，在发布revert的情况下，仅进行在opal模式下使用的密钥的更新，如果保持有在enterprise模式下使用的密钥，那么该密钥会被继续保持。

通过该选项的提供，在本实施方式的数据储存装置1中，也能够实现允许在初始化后(向enterpriseofs或opalofs状态过渡后)进行数据访问的运用。

例如，设想某数据储存装置1被按opal模式→enterprise模式→opal模式的顺序使用的情况。另外，设想为：该数据储存装置1中，非易失性存储器13分为多个分区，在opal模式的情况下与enterprise模式的情况下使用不同的分区。在这种情况下，例如，如果以不更新opal用密钥的方式进行模式的切换，那么能够将在第1次的opal模式时储存在非易失性存储器13中的数据用在(经由enterprise模式之后的)第2次的opal模式时。

(第3实施方式)

其次，对第3实施方式进行说明。关于与第1实施方式或第2实施方式相同的构成要素，使用相同的符号，并省略重复的说明。

图13是表示本实施方式的数据储存装置1具备的控制器11的功能块的一例的图。

如图13所示，本实施方式的数据储存装置1中，控制器11的初始化处理部119具备shadowmbr更新选择部119b。

如上所述，在opal模式下，需要构建shadowmbr的功能。该shadowmbr在向opalofs状态恢复时会被删除。针对这一点，shadowmbr更新选择部119b提供在向opalofs状态恢复时不删除shadowmbr的选项。此处，所谓shadowmbr的删除，是指使shadowmbr初始化(归零)，更详细来说，是指将为了使执行预引导认证的程序运行而存储在shadowmbr中的信息删除。

例如，如图14所示，可以为：能够对从opalactive状态向opalofs状态过渡的指令即revert赋予参数，利用该参数，能够指定是否将shadowmbr删除(b14′)。或者，也可以为：新设与revert不同的指令，通过将它们分开使用，能够指定是否将shadowmbr删除。

作为不删除shadowmbr的情况下的初始化处理部119的顺序，例如，可以考虑如下等：使shadowmbr退避之后，利用保存在初始设定保存部115的opalofs像153进行初始化，然后将躲避的shadowmbr复位。

此处，参照图15，对shadowmbr的概要进行说明。

shadowmbr52为了进行被称为预引导认证等的认证而构建在数据储存装置1内。如果主机装置2对构建有shadowmbr52的数据储存装置1进行mbr(realmbr)51访问，那么首先将其访问目的地转换为shadowmbr52(f1)。shadowmbr52具有认证程序52a，认证程序52a对想要访问realmbr51的主机装置2提出例如传送pin的要求。在从主机装置2传送的pin与在数据储存装置1内管理的pin一致的情况下，认证程序52a判定为认证成立(认证成功)，使realmbr51的启动程序开始(f2)。由此，主机装置2与数据储存装置1的连接建立(f3)。

通过在向opalofs状态恢复时不删除shadowmbr的选项的提供，在本实施方式的数据储存装置1中，能够继续利用在向opalofs状态恢复前构建的shadowmbr，也就是说，能够省去再构建(再设定)shadowmbr的工夫。

(第4实施方式)

其次，对第4实施方式进行说明。关于与第1实施方式至第3实施方式相同的构成要素，使用相同的符号，并省略重复的说明。

图16是表示本实施方式的数据储存装置1具备的控制器11的功能块的一例的图。

如图16所示，本实施方式的数据储存装置1中，控制器11的初始化处理部119具备直接转变处理部119c。

第1实施方式至第3实施方式中，在enterprise模式-opal模式间的切换时，介置有neutralofs状态。更详细来说，从enterprise模式向opal模式的切换是通过如下动作实施的：在enterpriseactive状态下发布neutralrevert，而过渡至neutralofs状态，在该neutralofs状态下发布opalmode，而过渡至opalofs状态。另外，从opal模式向enterprise模式的切换是通过如下动作实施的：在opalactive状态下发布neutralrevert，而过渡至neutralofs状态，在该neutralofs状态下发布enterprisemode，而过渡至enterpriseofs状态。

直接转变处理部119c是为了如下目的而设置的处理部：按照与所述不同的顺序，如图17所示，能够从opalactive状态不经由neutralofs状态地过渡至enterpriseofs状态(b4)，能够从enterpriseactive状态不经由neutralofs状态地过渡至opalofs状态(b5)。因此，在本实施方式的数据储存装置1中，如图17及图18所示，新设enterpriserevert(第8指令[b4])作为用来从opalactive状态直接过渡至enterpriseofs状态的指令，并且新设opalrevert(第9指令[b5])作为用来从enterpriseactive状态直接过渡至opalofs状态的指令。发布enterpriserevert及opalrevert的权限赋予给专用pin。与图5同样地，在图18中，(a)表示在未设定为enterprise模式或opal模式中的任一者的neutralofs状态下发布的指令，(b)表示在enterprise模式下发布的指令，(c)表示在opal模式下发布的指令。

直接转变处理部119c在发布enterpriserevert的情况下，使用保持在初始设定保存部115的初始像，执行使数据储存装置1从opalactive状态向enterpriseofs状态过渡的处理(第8处理)。另外，直接转变处理部119c在发布opalrevert的情况下，使用保持在初始设定保存部115的初始像，执行使数据储存装置1从enterpriseactive状态向opalofs状态过渡的处理(第9处理)。

另外，关于enterpriserevert及opalrevert，也可以为：能够赋予参数，从而能够指定generic或customized中的任一者作为初始像。

例如，在利用enterpriserevert或opalrevert而向enterpriseofs或opalofs状态过渡的情况下，初始化处理部119也可以不对钥管理部120指示密钥的更新。也就是说，也可以为：能够将在enterprise模式或opal模式中的一者下储存的数据在enterprise模式或opal模式中的另一者下初始化，然后再加以使用。

这样一来，在本实施方式的数据储存装置1中，能够进行enterprise模式-opal模式间的直接转变。

如上所述，根据所述各实施方式的数据储存装置1，得以实现提供一种能够作为服务器用途或pc用途中的任一者加以利用的搭载加密功能的数据储存装置。

对本发明的几个实施方式进行了说明，但这些实施方式是作为示例而提出的，并非意图限定发明的范围。这些新颖的实施方式能够以其他各种方式实施，在不脱离发明主旨的范围内，能够进行各种省略、替换、变更。这些实施方式及其变化包含在发明的范围或主旨中，并且包含在权利要求书中所记载的发明及其等同的范围内。

[符号的说明]

1数据储存装置

11控制器

12易失性存储器

13非易失性存储器

111接口处理部

112指令处理部

113认可处理部

114设定管理部

114apin管理部

114b认证处理部

115初始设定保存部

116状态管理部

117模式设定部

118处理反映部

119初始化处理部

119a钥更新选择部

119bshadowmbr更新选择部

119c直接转变处理部

120钥管理部

121密码处理部

122读/写处理部