CH704886A1 - Server storage system eliminating redundant on the client system encrypted data from one and / or multiple client system. - Google Patents

Server storage system eliminating redundant on the client system encrypted data from one and / or multiple client system. Download PDF

Info

Publication number
CH704886A1
CH704886A1 CH00742/11A CH7422011A CH704886A1 CH 704886 A1 CH704886 A1 CH 704886A1 CH 00742/11 A CH00742/11 A CH 00742/11A CH 7422011 A CH7422011 A CH 7422011A CH 704886 A1 CH704886 A1 CH 704886A1
Authority
CH
Switzerland
Prior art keywords
data
client system
server
encrypted
data block
Prior art date
Application number
CH00742/11A
Other languages
German (de)
Inventor
Patrik Eigenheer
Original Assignee
Patrik Eigenheer
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Patrik Eigenheer filed Critical Patrik Eigenheer
Priority to CH00742/11A priority Critical patent/CH704886A1/en
Priority to PCT/CH2012/000092 priority patent/WO2012149658A1/en
Publication of CH704886A1 publication Critical patent/CH704886A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1453Management of the data involved in backup or backup restore using de-duplication of the data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/174Redundancy elimination performed by the file system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1074Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
    • H04L67/1078Resource delivery mechanisms
    • H04L67/108Resource delivery mechanisms characterised by resources being split in blocks or fragments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Abstract

Daten werden noch auf den Client-Systemen (1) in mindestens einen oder mehrere Daten-Blöcke (7), (8), (9) unterteilt und für jeden Daten-Block werden Meta-Informationen (6) erstellt für die Rekonstruierung der ursprünglichen Daten. Alle Daten-Blöcke (7), (8), (9) werden auf dem Client-System (1) mit einem Schlüssel (10), (14) verschlüsselt (11), (12), (13) und es wird mit einem Hash Algorithmus eine eindeutige Daten-Block Identifizierung (15), (16), (17) erstellt. Redundante Daten-Blöcke (7), (8) werden auf demselben Client-System nur einmal zum Server-Speicher-System (36) gesendet und gespeichert (41). Daten-Blöcke (28) welche bereits redundant auf dem Server-Speicher-System sind (41) werden nicht zusätzlich abgelegt sondern lediglich die neuen Client-System Meta-Informationen (49) welche auf dem bestehenden redundanten Daten-Block (41) verweisen mit den nötigen Zugriffsrechten.Data is still subdivided on the client systems (1) into at least one or more data blocks (7), (8), (9) and for each data block meta-information (6) is created for the reconstruction of the original one Dates. All data blocks (7), (8), (9) are encrypted on the client system (1) with a key (10), (14) (11), (12), (13) and it is with a unique data block identification (15), (16), (17) is created for a hash algorithm. Redundant data blocks (7), (8) are sent and stored on the same client system only once to the server memory system (36) (41). Data blocks (28) which are already redundant on the server memory system (41) are not additionally stored, but merely the new client system meta information (49) which refers to the existing redundant data block (41) the necessary access rights.

Description

[0001] Gegenstand der Erfindung ist ein Digitales Computer Daten Sicherung System oder auch bekannt als Server Speicher System welches Daten von Client Computer Systemen über ein Netzwerk sichert und redundante Daten von einem und/oder von mehreren Client Computer System erkennt und noch auf dem Client System verschlüsselt und nur einmal effektive auf dem Server Speicher System über ein Netzwerk ablegt. The invention relates to a digital computer data backup system or also known as server memory system which secures data from client computer systems over a network and recognizes redundant data from one and / or more client computer system and still on the client system Encrypted and stores only once effective on the server storage system over a network.

[0002] Die vorliegende Erfindung Anmeldung bezieht sich auf eine noch auf dem Client System Verschlüsselung von Daten Files, Daten Blöcke oder ein Daten Streams, und anschliessender Datenspeicherung mit eliminieren von redundanten Daten-Blöcken von einem oder mehreren Client Systems auf dem Server Speicher System, welches platzsparend wirkt. Eliminieren von redundanten und verschlüsselten Daten ist bereits mehrmals vorgeschlagen worden, wobei das verschlüsseln der Daten erst auf dem Server Speicher System und/oder Speicher System stattfindet und somit die Client System Daten auf dem Weg vom Client System bis zum Server Speicher System über ein Netzwerk selber nicht verschlüsselt sind. Als Schutz zwischen Client System und Server Speicher System wird heute oft die Verbindung vom Client System zum Server Speicher System verschlüsselt, jedoch nicht die Daten selber. Das verschlüsseln der Client System zum Server Speicher System Verbindung beinhaltet ein Risiko für unbefugte, unverschlüsselte Daten vor oder nach der Verbindung im Klar-Text zu kopieren und zu lesen. Zudem sind auch bereits Verfahren bekannt welche die Daten auf dem Client System verschlüsseln, jedoch den privaten Client System Schlüssel zum Server Speicher System senden, wodurch das Risiko entsteht, dass die Client System Daten auf dem Storage Server System unbefugt entschlüsselt werden können. Anstelle einer Verschlüsselung Technologie (z.B. AES256) nach heutigem Standard welche als sicher gilt, ist auch bekannt, dass einfache Multiplikation oder Boolesche Operationen an den Daten vorgenommen werden und so die Daten nicht mehr direkt gelesen werden können. Da die Daten jedoch nicht mit einem sicheren und bekannten Algorithmus verschlüsselt wurden, sind diese Daten mit dem nötigen Aufwand rekonstruierbar für unbefugte und können so anschliessend im Klar-Text gelesen werden, zudem sind die Daten auch nicht sicher vor allen die, die Operationen kennen mit welchen die Daten versehen wurden, speziell sind dies der Hersteller der Lösung und/oder der Betreiber der Lösung. The present invention relates to an even more on the client system encryption of data files, data blocks or data streams, and subsequent data storage with eliminating redundant data blocks from one or more client systems on the server memory system, which saves space. Eliminating redundant and encrypted data has already been proposed several times, whereby the encrypting of the data first takes place on the server storage system and / or storage system and thus the client system data on the way from the client system to the server storage system over a network itself are not encrypted. As a protection between client system and server memory system today often the connection from the client system to the server memory system is encrypted, however not the data itself. Encrypting the client system to the server storage system connection involves a risk of copying and reading unauthorized, unencrypted data before or after the connection in plain text. In addition, methods are already known which encrypt the data on the client system, but send the private client system key to the server storage system, creating the risk of unauthorized decryption of the client system data on the storage server system. Instead of an encryption technology (for example AES256) according to today's standard which is considered secure, it is also known that simple multiplication or Boolean operations are performed on the data so that the data can no longer be read directly. However, since the data was not encrypted with a secure and well-known algorithm, this data can be reconstructed with the necessary effort for unauthorized and can then be read in plain text, moreover, the data are also not safe from all those who know operations with Specifically, these are the manufacturer of the solution and / or the solution provider.

[0003] Nebst derartigen Verfahren sind heute auch Verschlüsslungen von Daten bereits auf dem Client System bekannt, welche jedoch ein anschliessendes direktes vergleichen und Erkennen von redundanten Daten auf dem Server Speicher System nicht mehr zulassen. Die selbe Datei mit zwei unterschiedlichen Schlüssel verschlüsselt ergibt auf Bit Ebene zwei unterschiedlich Daten, es kann somit durch direktes Bit-vergleichen auf dem Server Speicher System der beiden verschlüsselten Daten nicht erkannt werden, dass die beiden verschlüsselten Daten im unverschlüsselten zustand redundant sind. Die Daten sind in diesem Falle sicher, jedoch müssen die Daten redundant auf dem Server Speicher System abgelegt werden, dies bedarf Speicherkapazität für beide oder mehrere verschlüsselte Daten, obwohl diese im unverschlüsselten zustand redundant sind, kann der Speicherbedarf nicht optimiert werden mit dem Ablegen von lediglich einer verschlüsselten Datei. In addition to such methods, encryption of data is already known on the client system, which, however, a subsequent direct compare and detection of redundant data on the server memory system no longer allow. The same file encrypted with two different keys yields two different data at bit level, thus it can not be detected by direct bit compare on the server memory system of the two encrypted data that the two encrypted data in the unencrypted state are redundant. The data is safe in this case, but the data must be stored redundantly on the server memory system, this requires storage capacity for both or more encrypted data, although these are redundant in the unencrypted state, the memory requirement can not be optimized with the deposition of only an encrypted file.

[0004] Aufgabe der vorliegenden Erfindung ist es ein Server Speicher System dahingehend weiter zu entwickeln, dass die Client System Daten Files, Daten Block oder ein Daten Stream bereits auf dem Client System verschlüsseln werden, dass die Daten Files, Daten Block oder ein Daten Stream lediglich vom Besitzer mit seinem eigenen Verschlüsselung Schlüssel entschlüsselt werden können mit einem heute bekannten und als sicher eingestuften Algorithmus und Verfahren wie zum Beispiel einen AES256 Algorithmus. Um die Sicherheit der Client Daten Files, Daten Block oder ein Daten Stream zu gewährleisten, besitzt lediglich das Client System den Entschlüsselung Schlüssel für seine Daten. Da das Server Speicher System zu keinem Zeitpunkt den Client System Entschlüsselung Schlüssen besitzen darf, müssen die Client System Daten zusätzlich gekennzeichnet werden, dass redundante Daten Files, Daten Block oder ein Daten Stream oder Teile davon eindeutig über diese Kennzeichnung identifiziert werden können. Die Kennzeichnung selbst darf keinen direkten Aufschluss über den Inhalt der Daten Files, Daten Block oder ein Daten Stream geben, lediglich als Redundanz Identifizierung dienen. Redundante und verschlüsselte Daten Files, Daten Block oder ein Daten Stream müssen somit auf dem Server Speicher System eindeutig über die Kennzeichnung identifiziert werden können auch wenn die effektiven verschlüsselten Daten Files, Daten Block oder ein Daten Stream nicht direkt miteinander verglichen werden können. Redundante Daten Files, Daten Block oder ein Daten Stream müssen somit vom selben Client System wie auch von unterschiedlichen Client Systems auf dem Server Speicher System erkannt werden damit diese lediglich einmal effektive und somit platzsparend auf dem Server Speicher System abgelegt werden können und alle Client System entsprechend auf denselben redundanten Daten Files, Daten Block oder ein Daten Stream referenzieren. Object of the present invention is to develop a server memory system to the effect that the client system data files, data block or a data stream are already encrypted on the client system that the data files, data block or a data stream can only be decrypted by the owner with his own encryption key with a known today and considered safe algorithm and methods such as an AES256 algorithm. To ensure the security of the client data files, data block or data stream, only the client system has the decryption key for its data. Since the server storage system must never have the client system decryption inferences, the client system data must additionally be marked so that redundant data files, data block or a data stream or parts thereof can be uniquely identified by this identifier. The marking itself must not give any direct information about the content of the data files, data block or a data stream, merely serve as redundancy identification. Redundant and encrypted data files, data block or a data stream must thus be able to be uniquely identified on the server memory system via the tag even if the effective encrypted data files, data block or data stream can not be directly compared. Redundant data files, data block or a data stream must therefore be recognized by the same client system as well as by different client systems on the server memory system so that they can be stored only once effectively and thus save space on the server memory system and all client system accordingly refer to the same redundant data files, data block or data stream.

[0005] Die Aufgabe wird durch die Merkmale des Patentanspruchs 1 bis 6 gelöst. The object is solved by the features of patent claims 1 to 6.

[0006] Vorteilhafte Weiterbildungen ergeben sich aus den abhängigen Patentansprüchen. Der Vorteil der Erfindung besteht darin, dass Daten Files, Daten Block oder ein Daten Stream noch auf dem Client System verschlüsselt werden und nach dem Verlassen des Client Systems, zum Beispiel über ein Netzwerk, nicht mehr lesbar sind für unbefugte und dennoch auf dem Server Speicher System redundante Daten Files, Daten Block oder ein Daten Stream identifiziert werden können und somit lediglich einmal auf dem Server Speicher System abgelegt werden können und alle Client System entsprechend auf denselben redundanten Daten-Block lediglich referenzieren. Damit wird effektive weniger Daten Speicher beansprucht auf dem Server Speicher System und die Verschlüsselung und Sicherheit der Client System Daten Files, Daten Blöcke oder ein Daten Streams ist dennoch gewährleistet. Advantageous developments emerge from the dependent claims. The advantage of the invention is that data files, data block or a data stream are still encrypted on the client system and after leaving the client system, for example over a network, are no longer readable for unauthorized and yet on the server memory System redundant data files, data block or a data stream can be identified and thus only once on the server memory system can be stored and refer all client system according to the same redundant data block only. Thus, effective less data storage is claimed on the server storage system and the encryption and security of client system data files, data blocks or data streams is still ensured.

[0007] Die Erfindung wird anhand eines Ausführungsbeispiels, welches in den Zeichnungen dargestellt ist, näher erläutert. Es zeigt: <tb>Fig. 1:<sep>Mehrere Client System Daten Files, Daten Block oder ein Daten Stream Verschlüssen und nicht redundant ablegen auf einem Server Speicher System über ein Netzwerk. <tb>Fig. 2:<sep>Einzelne Daten Files, Daten Block oder Daten Stream in Daten-Blöcke unterteilen. <tb>Fig. 3:<sep>Daten-Blöcke in einem Daten Files, Daten Block oder Daten Stream mit Referenzlinks auf Daten-Blöcke ersetzen <tb>Fig. 4:<sep>Daten-Blöcke von verschiedenen Daten Files, Daten Blöcke oder Daten Streams referenzieren auf dieselben redundanten Daten-Blöcke. <tb>Fig. 5:<sep>Verschlüsseln von Daten Files, Daten Block oder ein Daten Stream bereits auf dem Client System und nicht redundanter Ablage auf dem Server Speicher System. <tb>Fig. 6:<sep>Lesen von vorschlüsselten Daten Files, Daten Block oder ein Daten Stream von dem Server Speicher System.The invention will be explained in more detail with reference to an embodiment which is illustrated in the drawings. It shows: <Tb> FIG. 1: <sep> Multiple client system data files, data block or data stream locks and not redundantly store on a server storage system over a network. <Tb> FIG. 2: <sep> Divide individual data files, data block or data stream into data blocks. <Tb> FIG. 3: <sep> Replace data blocks in a data files, data block or data stream with reference links to data blocks <Tb> FIG. 4: <sep> Data blocks of different data files, data blocks or data streams refer to the same redundant data blocks. <Tb> FIG. 5: <sep> Encrypt data files, data block or a data stream already on the client system and non-redundant storage on the server storage system. <Tb> FIG. 6: <sep> Reading Pre-encrypted Data Files, Data Block or a Data Stream from the Server Memory System.

[0008] Einzelne Daten in Daten-Blocks unterteilen auf dem Client System. [0008] Individual data in data blocks are subdivided on the client system.

[0009] Die einzelnen Daten Files, Daten Blöcke oder Daten Streams (101) auf dem Client System werden zunächst in Daten-Blöcke (102) (103) (104) (105) (106) unterteilt. Die einzelnen Daten-Blöcke werden anschliessend zur kleinsten Einheit für die Erkennung von redundanten Daten-Blöcken von demselben und/oder verschiedenen Client Systems. The individual data files, data blocks or data streams (101) on the client system are first divided into data blocks (102) (103) (104) (105) (106). The individual data blocks then become the smallest unit for the detection of redundant data blocks of the same and / or different client system.

[0010] Daten-Block Hash-Kennzeichnung auf dem Client System. Data block hash tag on the client system.

[0011] Damit die einzelnen Daten-Blöcke (408) (420) (430) eindeutig identifizierbar sind, wir einen Hash Algorithmus (437) (zum Beispiel ein SHA2) gerechnet von jedem Daten-Block (408) (420) (430). Mit dieser Referenz zwischen dem einzelnen Daten-Block (408) (420) (430) und der Hash-Kennzeichnung (419) (422) (431) ist es somit möglich über die Hash-Kennzeichnung (419) (422) (431) redundante Daten-Blöcke (408) (420) (430) zu erkennen. So that the individual data blocks (408) (420) (430) are uniquely identifiable, we generate a hash algorithm (437) (for example a SHA2) calculated from each data block (408) (420) (430). , With this reference between the individual data block (408) (420) (430) and the hash tag (419) (422) (431), it is thus possible via the hash tag (419) (422) (431) recognize redundant data blocks (408) (420) (430).

[0012] Daten-Block Verschlüsselung auf dem Client System. Data block encryption on the client system.

[0013] Der einzelne Daten-Block (407) (417) wird auf dem Client System (401) (412) Verschlüsselt. Damit redundante Daten-Blöcke (407) (419) auch im verschlüsselten zustand redundant bleiben, werden die Daten-Blöcke mit ihrem eignen Hash (409) (421) als Schlüssel verschlüsselt. Die Verschlüsselung der Daten-Blöcke (408)(420) erfolgt mit einem symmetrischen Algorithmus (404)(416) und der Hash Wert (409)(421) welcher als Schlüssel dient wir mit dem Client System publik Schlüssel (411) (423) von einem asymmetrischen Algorithmus (404) (416) Verschlüsselt. Dies stellt sicher, dass lediglich der Besitzer des Daten-Blocks (407) (417) mit seinem privaten Schlüssel in der Lage ist den Daten-Block (408)(420) zu entschlüsseln und zu lesen. The single data block (407) (417) is encrypted on the client system (401) (412). So that redundant data blocks (407) (419) remain redundant even in the encrypted state, the data blocks are encrypted with their own hash (409) (421) as a key. The encryption of the data blocks (408) (420) is done with a symmetric algorithm (404) (416) and the hash value (409) (421) which serves as the key public with the client system key (411) (423) encrypted by an asymmetric algorithm (404) (416). This ensures that only the owner of the data block (407) (417) with his private key is able to decrypt and read the data block (408) (420).

[0014] Identifizieren von Redundanten Daten-Blöcken auf dem Client System. Identifying redundant data blocks on the client system.

[0015] Da es durchaus möglich ist, dass bereits auf demselben Client System (1) redundante Daten-Blöcke (7)(8) vorhanden sind, werden zunächst auf dem Client System (1) identische Daten-Blöcke (7) (8) gesucht durch direktes Bit vergleichen der beiden Daten-Blöcke (7) (8) oder durch vergleichen von allen Hash-Kennzeichnungen (15)(16). Weissen zwei Hash-Kennzeichnungen (15) (16) denselben Wert auf, kann indirekt darüber Rückschluss genommen werden, dass die beiden dazugehörigen verschlüsselten Daten-Blöcke (11) (12) im unverschlüsselten zustand (7)(8) redundant sind. Since it is quite possible that already on the same client system (1) redundant data blocks (7) (8) are present, first on the client system (1) identical data blocks (7) (8) searched by direct bit compare of the two data blocks (7) (8) or by comparing all hash tags (15) (16). If two hash tags (15) (16) have the same value, it can indirectly be deduced that the two associated encrypted data blocks (11) (12) in the unencrypted state (7) (8) are redundant.

[0016] Daten-Blöcke von einem Daten-Files, Daten Block oder ein Daten Stream mit Referenzlinks auf Daten-Blöcke ersetzen. Replace data blocks from a data file, data block or data stream with reference links to data blocks.

[0017] Normale Daten Files, Daten Block oder ein Daten Stream (202) bestehen aus mehreren Bytes und in unserem Falle werden die Daten in einzelne Daten-Blöcke (204) (205) (206) (207) unterteilt welche grösser als ein Byte sind, zudem werden sogenannte Meta-Informationen (203) erstellt um sicher zu stellen, dass aus den einzelnen Daten-Blöcken (204) (205) (206) (207) das Daten Files, Daten Block oder ein Daten Stream (202) wieder rekonstruiert werden kann. In diesem Vorgang wir zu dem einzelnen Daten Files, Daten Block oder ein Daten Stream (208) eine weiter logische Schicht Eingebauen, indem in jedem einzelnen Daten Files, Daten Block oder ein Daten Stream (208) die beinhalteten Daten-Blöcke (214) (215) (216) (217) mit Referenzlinks (209) (210) (211) (212) für jeden Daten-Block (214) (215) (216) (217) ersetzt werden. Die Referenzlinks (209) (210) (211) (212) referenzieren anschliessend auf die eigentlichen Daten-Blöcke (214) (215) (216) (217). Durch diese weitere logische Schicht ist es nun möglich, dass mehrere Daten Files, Daten Block oder ein Daten Stream (302) (308) welche einen oder mehrere redundante Daten-Blöcke (314) (317) haben mit einem Referenzlinks (304, 309) (307, 312) auf denselben Daten-Block (314) (317) verweisen. Somit muss der eigentliche Daten-Block (314) (317) lediglich einmal abgelegt werden auf einem Speichermedium und kann von einem oder mehreren Client Systems und/oder einem oder mehreren Daten Files, Daten Block oder ein Daten Stream (302)(308) referenziert werden. Normal data files, data block or data stream (202) consists of several bytes and in our case the data is divided into individual data blocks (204) (205) (206) (207) which are larger than one byte In addition, so-called meta-information (203) are created to ensure that from the individual data blocks (204) (205) (206) (207) the data files, data block or a data stream (202) again can be reconstructed. In this process, we incorporate into the single data file, data block or data stream (208) a further logical layer by storing in each individual data file, data block or data stream (208) the data blocks (214) 215) (216) (217) are replaced with reference links (209) (210) (211) (212) for each data block (214) (215) (216) (217). The reference links (209) (210) (211) (212) then refer to the actual data blocks (214) (215) (216) (217). By this further logical layer, it is now possible for a plurality of data files, data blocks or a data stream (302) (308) which have one or more redundant data blocks (314) (317) with a reference link (304, 309). (307, 312) refer to the same data block (314) (317). Thus, the actual data block (314) (317) need only be stored once on a storage medium and may be referenced by one or more client systems and / or one or more data files, data block or data stream (302) (308) become.

[0018] Senden von Informationen vom Client System zum Server. Sending information from the client system to the server.

[0019] Durch die Verschlüsselung (404) (416) der Daten-Blöcke (407) (417) können ohne den privaten Client System Schlüssel die verschlüsselten Daten-Blöcke (408) (420) nicht im Klar-Text gelesen werden und können daher vom Client System (401) (413) zum Server Speicher System (426) gesendet werden (402) (414) über eine sichere SSL Verbindung oder eine unsichere WAN Verbindung (425) wie zum Beispiel das Internet. Sollten die Daten-Blöcke von unbefugten abgefangen und kopiert werden, können diese dank der Verschlüsselung jedes einzelnen Daten-Blockes (408) (420) (430) nicht als Klar-Text gelesen werden und gelten somit als sicher, die Verschlüsselung (404) (416) der Daten-Blöcke (407) (419) erfolgt noch auf dem Client System (401) (413) System und spätestens wenn die Daten-Blöcke das Client System (401) (413) System verlässt. By encrypting (404) (416) the data blocks (407) (417), without the private client system keys, the encrypted data blocks (408) (420) can not be read in plain text and therefore can from the client system (401) (413) to the server storage system (426) (402) (414) via a secure SSL connection or an insecure WAN connection (425) such as the Internet. If the data blocks are intercepted and copied by unauthorized persons, they can not be read as plain text thanks to the encryption of each individual data block (408) (420) (430) and are therefore considered to be secure (404) ( 416) of the data blocks (407) (419) is still on the client system (401) (413) system and at the latest when the data blocks leave the client system (401) (413) system.

[0020] Identifizieren von redundanten Daten-Blöcken auf dem Server Speicher System von verschiedenen Client Systems. Identify redundant data blocks on the server storage system of different client systems.

[0021] Da es möglich ist, dass zwei unterschiedliche Client Systems (401) (413) das identische Daten Files, Daten Block oder ein Daten Stream (405) (417) besitzen oder auch nur einzelne Daten-Blöcke (407) (419) davon, können auch redundante Daten-Blöcke (407) (419) von verschiedenen Client Systems (401) (413) auf dem Server Speicher System (426) identifiziert werden und den Daten-Block (430) nur einmal auf einem Server Speicher System (426) abgelegt werden. Durch das vergleichen aller Hash-Kennzeichnungen (410) (422) der Daten-Blöcke (408) (420) von allen Client Systems (401) (413) auf dem Server Speicher System (426) werden redundante Daten-Blöcke (407) (419) von unterschiedlichen Client Systems (401) (413) identifiziert. Die Daten Files, Daten Block oder ein Daten Stream (405) (417) der beiden Client Systems (401) (413) welche durch die Hash (410) (422) identifizierte redundante Daten-Blöcke (408) (420) haben, können nun beide Client Systems (401) (413) auf denselben Daten-Block (430) referenzieren auf dem Server Speicher System (426). Somit muss der eigentliche Client System Daten-Block (408) (420) lediglich einmal abgelegt werden auf einem Server Speicher System und kann von mehreren Daten Files, Daten Block oder ein Daten Stream (405) (417) und von mehreren Client Systems (401) (413) referenziert werden. Since it is possible for two different client systems (401) (413) to have the identical data files, data block or data stream (405) (417) or even individual data blocks (407) (419) Of these, redundant data blocks (407) (419) from different client systems (401) (413) may also be identified on the server memory system (426) and the data block (430) only once on a server memory system (430). 426) are stored. By comparing all of the hash tags (410) (422) of the data blocks (408) (420) of all client systems (401) (413) on the server memory system (426), redundant data blocks (407) (407) (Fig. 419) are identified by different client systems (401) (413). The data files, data block or data stream (405) (417) of the two client systems (401) (413) may have redundant data blocks (408) (420) identified by the hash (410) (422) Now both client systems (401) (413) refer to the same data block (430) on the server memory system (426). Thus, the actual client system data block (408) (420) needs to be stored only once on a server storage system and may consist of multiple data files, data block or data stream (405) (417) and multiple client systems (401 ) (413).

[0022] Zugriffrechtssystem von mehreren Client Systems auf denselben redundanten Daten-Block. Access control system of several client systems on the same redundant data block.

[0023] Jedes Client System (501) (513) hat seinen eignen privaten (509) (519) und publik (525) (530) Schlüssel für die Verschlüsselung, mit welchem lediglich der eigentliche Client System (501) (512) mit dem privaten (509) (519) Schlüssel in der Lage ist den Verschlüsselten Klar-Text Hash (509) (519) zu entschlüsseln und mit diesem Klar-Text Hash (510) (521) als Schlüssel den verschlüsselten Daten-Block (511) (520) zu entschlüsseln und hat somit Zugriff auf den Klar-Text Daten-Block (512) (522). Bei redundanten Daten-Blöcken (512) (522) von unterschiedlichen Client Systems (501) (512), muss daher sichergestellt werden, dass der redundante Daten-Block (528) von jedem berechtigten Client System (501) (512) welcher auf diesen Daten-Block (528) zugriff hat und darauf referenziert auch wieder entschlüsselt werden kann. Der Daten-Block (528) muss daher mit einem unterschiedlichen privaten Client System (507) (517) Schlüsseln wieder entschlüsselt werden können. Um dies zu erreichen wird der Daten-Block (512) (522) selber symmetrisch verschlüsselt (504) (515) und als Schlüssel dient der eigene Klar-Text Hash-Wert (510) (521) des Daten-Blockes (512) (522). Der Klar-Text Hash-Wert (510) (521) von dem Daten-Block (512) (522) wird somit zum Schlüssel um den verschlüsselten Daten-Block (511) (520) zu entschlüsseln. Der Daten-Block Klar-Text Hash-Wert (510) (521) wird daher für jeden Client System (501) (512) individual verschlüsselt (509) (519) mit dem publik Schlüssel (525) (530) von jedem Client System (501) (512). Jeder Client System (501)(512) kann somit lediglich mit seinem eigenen privaten Schlüssel (507) (517) den verschlüsselten Klar-Text Hash-Wert (509) (519) (527) (532) wieder entschlüsseln und somit mit dem Klar-Text Hash (510) (521) daraus, welcher als Schlüssel gilt, für den symmetrisch verschlüsselten Daten-Block (511) (520) (528), den Daten-Block entschlüsseln und hat somit Zugriff auf den redundanten Klar-Text Daten-Block (528). Each client system (501) (513) has its own private (509) (519) and public (525) (530) keys for encryption, with which only the actual client system (501) (512) communicates with the private (509) (519) key is able to decrypt the encrypted plain-text hash (509) (519) and with this plain-text hash (510) (521) as key the encrypted data-block (511) (511) 520) and thus has access to the plain text data block (512) (522). With redundant data blocks (512) (522) from different client systems (501) (512), therefore, it must be ensured that the redundant data block (528) of each authorized client system (501) (512) which is thereon Data block (528) has access and referenced it can also be decrypted again. The data block (528) must therefore be able to be decrypted with a different private client system (507) (517) keys. To achieve this, the data block (512) (522) itself is symmetrically encrypted (504) (515) and the key is the unique plaintext hash value (510) (521) of the data block (512) (FIG. 522). The plain text hash value (510) (521) from the data block (512) (522) thus becomes the key to decrypt the encrypted data block (511) (520). The plain text hash value block (510) (521) is therefore individually encrypted (509) (519) for each client system (501) (512) with the public key (525) (530) of each client system (501) (512). Thus, each client system (501) (512) can only decrypt the encrypted plain text hash value (509) (519) (527) (532) with its own private key (507) (517) and thus with the plain Text hash (510) (521) thereof, which is a key, for the symmetrically encrypted data block (511) (520) (528), decrypts the data block and thus has access to the redundant plaintext data Block (528).

[0024] Ist der Daten-Block (528) auf dem Server Speicher System (524) bereits redundant und somit im Verschlüsselten zustand vorhanden von einem Client System (501), wird der neue Client System (512) lediglich auf den bestehenden verschlüsselten Daten-Block (528) verwiesen. Der eigentlichen Daten-Block (520) muss somit nicht neu abgelegt werden auf dem Server Speicher System (524) und somit auch nicht neu vom Client System (512) zum Server Speicher System (524) gesendet werden. Die Meta Informationen (518)(531) des neuen Client System (512) werden somit lediglich vom Client System (512) zum Server Speicher System (524) gesendet für diesen Daten-Block (520) und angepasst damit für diesen Daten-Block (520) lediglich auf den bereits bestehenden Daten-Block (528) auf dem Server Speicher System (524) referenziert wird. Damit der neue Client System (512) Zugriff auf den bestehenden Daten-Block (528) hat, verschlüsselt (515) das neue Client System (512) den Klar-Text Daten-Block Hast (521) mit seinem publik Schlüssel (530) und sendet den verschlüsselten Daten-Block Hast (519) (532) zum Server Speicher System (524) zur Ablage. Somit ist sichergestellt, dass beide Client Systems (501) (512) zugriff haben auf den redundanten Daten-Block (528). Dieser Vorgang kann wiederholt werden, für jedes weitere Client System (512) welches zusätzlich auf denselben Daten-Block (528) referenziert. If the data block (528) on the server memory system (524) is already redundant and thus present in the encrypted state of a client system (501), the new client system (512) is only on the existing encrypted data Block (528). The actual data block (520) thus does not need to be re-stored on the server memory system (524) and thus not newly sent by the client system (512) to the server memory system (524). The meta information (518) (531) of the new client system (512) is thus merely sent from the client system (512) to the server storage system (524) for this data block (520) and adapted for this data block (5). 520) is referenced only to the already existing data block (528) on the server storage system (524). In order for the new client system (512) to have access to the existing data block (528), the new client system (512) encrypts (515) the plain text data block hash (521) with its public key (530) and sends the encrypted data block Hast (519) (532) to the server memory system (524) for storage. This ensures that both client systems (501) (512) have access to the redundant data block (528). This process can be repeated for each additional client system (512) which additionally references the same data block (528).

Claims (6)

1. Server Speicher System dadurch gekennzeichnet, dass es redundante Daten Files, Daten Blöcke oder ein Daten Streams oder Teile davon auf dem Client System entdeckt und noch auf dem Client System verschlüsselte und auf dem Server Speicher System nur einmal verschlüsselte ablegt. Das Server Speicher System hat zudem zu keinem Zeitpunkt den Client System Verschlüsselung Schlüssel und/oder die Daten Files, Daten Blöcke oder ein Daten Streams in Klar-Text.1. Server memory system characterized in that it detects redundant data files, data blocks or data streams or parts thereof on the client system and still on the client system encrypted and on the server memory system stores only once encrypted. In addition, the server storage system at no time has the client system encryption key and / or the data files, data blocks or a data stream in plain text. 2. Server Speicher System nach Anspruch von 1, welches redundante und verschlüsselte Daten Files, Daten Blöcke oder ein Daten Streams über mehrere Client System entdeckt und auf dem Server Speicher System von mehreren Client Systems nur einmal verschlüsselte ablegt.2. Server memory system according to claim 1, which detects redundant and encrypted data files, data blocks or data streams across multiple client system and stores on the server memory system of multiple client systems only once encrypted. 3. Server Speicher System nach Anspruch von 1 oder 2 dadurch gekennzeichnet, dass der Server und Client System Teil in Software und/oder Hardware ausgearbeitet ist.3. server memory system according to claim 1 or 2, characterized in that the server and client system part is elaborated in software and / or hardware. 4. Server Speicher System nach Anspruch von 1 oder 2 dadurch gekennzeichnet, dass der Server und Client System Teil in Software ausgearbeitet ist.4. server memory system according to claim 1 or 2, characterized in that the server and client system part is elaborated in software. 5. Server Speicher System nach Anspruch von 1 oder 2 dadurch gekennzeichnet, dass der Server und Client System Teil in Hardware ausgearbeitet ist.5. Server memory system according to claim 1 or 2, characterized in that the server and client system part is elaborated in hardware. 6. Server Speicher System nach Anspruch von 1 bis 6 dadurch gekennzeichnet, dass die Server zum Client System Verbindung zusätzlich verschlüsselt wird.6. server memory system according to claim 1 to 6, characterized in that the server is additionally encrypted to the client system connection.
CH00742/11A 2011-05-02 2011-05-02 Server storage system eliminating redundant on the client system encrypted data from one and / or multiple client system. CH704886A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CH00742/11A CH704886A1 (en) 2011-05-02 2011-05-02 Server storage system eliminating redundant on the client system encrypted data from one and / or multiple client system.
PCT/CH2012/000092 WO2012149658A1 (en) 2011-05-02 2012-04-28 Server memory system with elimination of redundant data encrypted on the client system from a and/or a plurality of client system(s)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CH00742/11A CH704886A1 (en) 2011-05-02 2011-05-02 Server storage system eliminating redundant on the client system encrypted data from one and / or multiple client system.

Publications (1)

Publication Number Publication Date
CH704886A1 true CH704886A1 (en) 2012-11-15

Family

ID=46419840

Family Applications (1)

Application Number Title Priority Date Filing Date
CH00742/11A CH704886A1 (en) 2011-05-02 2011-05-02 Server storage system eliminating redundant on the client system encrypted data from one and / or multiple client system.

Country Status (2)

Country Link
CH (1) CH704886A1 (en)
WO (1) WO2012149658A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080144079A1 (en) * 2006-10-19 2008-06-19 Oracle International Corporation System and method for data compression
US20090041230A1 (en) * 2007-08-08 2009-02-12 Palm, Inc. Mobile Client Device Driven Data Backup
WO2009134662A2 (en) * 2008-04-25 2009-11-05 Netapp, Inc. In-line content based security for data at rest in a network storage system
US20100070476A1 (en) * 2008-09-16 2010-03-18 O'keefe Matthew T Remote backup and restore system and method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8401181B2 (en) * 2009-06-09 2013-03-19 Emc Corporation Segment deduplication system with encryption of segments

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080144079A1 (en) * 2006-10-19 2008-06-19 Oracle International Corporation System and method for data compression
US20090041230A1 (en) * 2007-08-08 2009-02-12 Palm, Inc. Mobile Client Device Driven Data Backup
WO2009134662A2 (en) * 2008-04-25 2009-11-05 Netapp, Inc. In-line content based security for data at rest in a network storage system
US20100070476A1 (en) * 2008-09-16 2010-03-18 O'keefe Matthew T Remote backup and restore system and method

Also Published As

Publication number Publication date
WO2012149658A1 (en) 2012-11-08

Similar Documents

Publication Publication Date Title
DE112017000220T5 (en) Effective secure data section encrypted with a secret key
EP2013811B1 (en) Method and device for the pseudonymization of digital data
DE60006041T2 (en) METHOD FOR VERIFYING THE USE OF PUBLIC KEYS GENERATED BY A LOADED SYSTEM
DE112018000779T5 (en) Token deployment for data
EP2567501B1 (en) Method for cryptographic protection of an application
EP3552344B1 (en) Bidirectionally linked blockchain structure
DE60318633T2 (en) ADMINISTRATION OF DIGITAL RIGHTS
EP3910875A1 (en) Concept for exchanging cryptographic key information
DE102014210282A1 (en) Generate a cryptographic key
DE102011001430A1 (en) Method of operating a cashbox with custom keys
DE102015103251B4 (en) Method and system for managing user data of a user terminal
DE102018005284A1 (en) Chip personalization of an embedded system by a third party
CH704886A1 (en) Server storage system eliminating redundant on the client system encrypted data from one and / or multiple client system.
WO2016005075A1 (en) Method and system for identifying manipulation of data records
DE102018127529A1 (en) Electronic device and method for signing a message
WO2015074745A1 (en) Method, apparatuses and system for online data backup
EP2491513B1 (en) Method and system for making edrm-protected data objects available
DE112021002747T5 (en) SECURE RECOVERY OF SECRET KEYS
AT520170B1 (en) Method for the secure administration of a lock, in particular for a safe, by means of a computer
EP3629516A1 (en) Decentralised identity management solution
DE102009016419B4 (en) A method for securely storing records containing confidential data and associated identification data
DE4420967C2 (en) Decryption device for digital information and method for carrying out the encryption and decryption of this using the decryption device
EP3515033A1 (en) Method and device for transmitting a data set from a first to a second device
EP2308194B1 (en) Product security system
DE102018004935A1 (en) Method for the secure administration of a lock, in particular for a safe, by means of a computer

Legal Events

Date Code Title Description
AZW Rejection (application)
AZW Rejection (application)