CN101278298B - 执行数据对象从源到目标的信任保持迁移的系统和方法 - Google Patents
执行数据对象从源到目标的信任保持迁移的系统和方法 Download PDFInfo
- Publication number
- CN101278298B CN101278298B CN2006800367550A CN200680036755A CN101278298B CN 101278298 B CN101278298 B CN 101278298B CN 2006800367550 A CN2006800367550 A CN 2006800367550A CN 200680036755 A CN200680036755 A CN 200680036755A CN 101278298 B CN101278298 B CN 101278298B
- Authority
- CN
- China
- Prior art keywords
- data object
- data
- signature
- summary info
- goal systems
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
数据迁移系统执行用于符合法规的系统的抗窜改数据迁移。系统为数据对象生成安全散列,添加时间戳到散列,利用私钥为数据对象生成签名,并将签名包括在数据对象的签名概要中。恰在数据迁移前,系统对待迁移数据对象集合的签名概要进行签名。通过防止在迁移过程中对数据对象进行无法检测的修改,数据对象的签名维持数据对象的完好性。通过防止在迁移过程中从数据对象集合无法检测地删除数据对象或将数据对象插入数据对象集合中,签名后的签名概要维持完整性。
Description
技术领域
本发明一般涉及数据的可信存储,尤其涉及数据迁移和复制过程中以保持数据完好性(integrity)和完整性(completeness)的方式传送数据,以保持所要求的信任度。
背景技术
越来越多的政府法令限定严格的规则来管理电子记录。诸如证券交易委员会规则17a-4这样的某些法令要求以“非可擦除”且“非可重写”格式存储数据。
诸如光盘和WORM磁带这样的传统WORM(一次写多次读)介质已经被用来满足长期数据保存要求。这些传统WORM介质可存储不可改变的数据几十年。然而,目前对参考数据存储的性能和容量要求正逐渐超过传统WORM存储的能力。因此,提出“WORM盘”存储方案,其中廉价的硬盘驱动器(hard drive)被用作基本存储介质。
WORM存储的一次读特性防止数据被修改或擦除。然而,无论WORM特性被电子地实施还是通过物理材料实现,WORM存储仅能保证数据在其最初所位于的WORM存储上保持完好无损。如果数据被迁移或复制到另一可信存储设备,则由于数据在传送过程中有被修改的风险,所以信任丢失。数据迁移和复制可能在诸如系统升级或系统灾难恢复过程中发生,并且在组织的存储策略中经常是特别重要的。因此,即使数据在可信的WORM存储中被存储,在需要数据迁移时,例如在执行系统升级或灾难恢复时,数据的可信度仍然有一定风险。
与可存储数据几十年的光盘和WORM磁带不同,硬盘的寿命通常要短得多。因此,对于基于使用硬盘的WORM存储的合规系统(compliance systems),数据迁移或复制可能更频繁地发生。因此,这样的系统上所存储的数据丢失其可信度的风险更高。
由于在数据迁移或复制过程中数据有被修改的风险,现有的基于WORM存储的数据保存方案不足以保证符合诸如证券交易委员会规则17a-4这样的法令。在数据保存的环境下,对手的主要任务是隐藏或修改可能是有罪的特定记录。通常,这个对手在公司内部,并可能是数据的拥有者或管理者。这种情形下的对手经常具有最高(执行)级的支持和内部访问、特权和消息。该“内部对手”可被当作可物理地访问计算机系统并有权发布任意命令给系统的超级系统管理员。
在以可信方式维持数据以满足联邦法令的情形下,记录保持的基本数据目标不是要阻止写历史,而是要阻止改变历史,即在记录已经被创建后改变记录。假定创建记录的过程是可信的,因为对于具有内部特权的对手而言,在数据记录在WORM存储上被存储之前改变数据记录比之后更容易。对手不可能明目张胆地毁坏记录(例如,通过物理地毁坏存储设备),因为这样的毁坏很容易检测并可能导致严厉的惩罚和有罪推定。然而,当对手或公司受到调查时,对手可能发起记录的假迁移,并试图在迁移过程中修改选择的记录。
于是,要求可信数据存储系统在数据迁移或复制过程中保护数据完好性和数据完整性。保护数据完好性就确保在迁移过程中数据对象不被修改。保护数据完整性就防止在迁移过程中删除现有数据对象或插入新数据对象。
在计算机安全领域中已经广泛研究了数据完好性和数据完整性。例如,诸如加密和安全签名这样的密码算法经常被用来确保在不安全通信信道上传送的数据的数据完好性。然而,主要由于信任范围,这样的方法被不适当地给予内部对手。对于传统的安全存储系统,数据所有人通常是可信的。在确保数据完好性以满足数据保存要求的情形中,数据和系统的所有人与可能受益于窜改数据的人经常是同一组人。因此,在这样的系统中使信任范围最小化是非常重要的。
通常,假设基于WORM存储的符合法令的系统,则只可信任直接从WORM存储检索的可信数据。这个有限信任范围表明,在应用密码方法时,不能将用于对数据加密或签名的密钥托付给数据的所有人。
已经提出了一些解决类似的具有有限信任范围的问题的方法,诸如电子邮戳。虽然该技术被证明是有用的,但有期望提供额外的改进。这样的方法通常要求存在某可信第三方。假定这样的可信第三方负有责任量,则可信第三方要求是非常可靠的并且是极度安全的。因此,已经广泛开展的这类服务很少。
因此,需要一种系统、计算机程序产品、和相关方法来执行数据对象从源到目标的信任保持迁移。迄今还没有满足对这样的解决方案的需求。
发明内容
本发明满足了该需求,并提供了一种系统、服务、计算机程序产品和相关方法(这里总称为“系统”或“本系统”)来执行数据对象从源到目标的信任保持迁移。本系统包括用于数据保存系统的抗窜改(tamper-resistant)的数据迁移和复制方案。为了简洁,术语“数据迁移”指迁移和复制二者。
本系统在数据迁移过程中维持数据完好性和完整性。本系统通过防止迁移过程中对数据对象进行无法发现的修改而维持数据完好性。本系统通过防止迁移过程中对数据对象进行无法发现的删除或插入新数据对象而维持数据的完整性。
本系统包括与源数据管理系统相关联的源系统和与目标数据管理系统相关联的目标系统。数据对象在信任保持迁移中从源数据管理系统迁移到目标数据管理系统。
源系统包括抗窜改的源信任代理,其存储公钥、私钥、和用于生成密码签名并存储签名概要(signature summary)的软件。由于每个数据对象被存储在源数据管理系统中,所以源系统利用数据对象的内容和属性通过密码散列函数为数据对象生成安全散列(secure hash)。源信任代理为数据对象分配时间戳,并基于数据对象的安全散列和时间戳,利用源信任代理的私钥生成签名。源信任代理更新概要值(summary value),以包括数据对象的签名。
本系统可按组管理数据对象,从而维持该组中那些数据对象的概要值。在数据管理系统的可信储存库(repository)中可以有一个或多个组。本系统还可只对一个或多个组中的那些数据对象以信任保持数据迁移方式迁移。
当数据对象从源数据管理系统迁移到目标数据管理系统时,源信任代理以源信任代理的私钥对概要值进行签名。源数据管理系统将传输组中的数据对象、这些数据对象的签名、和该传输组的签名概要值发送给目标数据管理系统。目标系统使用数据对象的签名和源信任代理的公钥来验证每个数据对象的完好性。目标系统通过比较所计算的概要值和所传输的签名概要值来验证传输组的完整性。如果所计算的概要值与所传输的签名概要值匹配,则验证了传输组的完整性。
在迁移之后的任何时刻,可通过使用源信任代理的公钥来对每个数据对象相对于其签名进行验证,从而验证单独数据对象的完整性,且传输组的完整性可通过由该组中的所有数据对象重新计算概要值并比较所计算的概要值与来自源信任代理的签名概要值而被验证。源数据管理系统接收数据对象。对于进入的数据对象,源系统为数据对象计算散列值,为数据对象生成签名,并将数据对象的签名包括到用于数据管理系统中至少一些数据对象的概要值中。通过对传输组的概要值进行签名,源系统准备一组数据对象(传输组)用于迁移。目标数据管理系统接收传输组和签名概要值。
本系统可在实用程序、诸如信任保持数据迁移实用程序中实现。本系统提供装置供用户识别可信储存库,其中信任保持数据迁移实用程序为该可信储存库保持可信储存库中数据集合的完好性和完整性。本系统提供装置供用户调用信任保持数据迁移实用程序,以在数据对象被存放在可信储存库中时为其生成安全散列、时间戳、和安全签名,并保持可信储存库中多个数据对象集合的概要值。本系统提供用于启动数据对象集合从可信储存库到目标可信储存库的数据迁移或复制的装置,其中在数据迁移或复制过程中确保数据对象集合的完整性和数据对象的完好性。本系统还提供用于在迁移后验证数据对象的完好性和数据对象集合的完整性的装置。
附图说明
将参考下面的说明书、权利要求书和附图更详细地说明本发明的各个特征及其实现方式,其中附图标记在适当的地方被重复使用以指示相关项之间的对应关系,其中:
图1是其中可使用本发明的信任保持迁移系统的示例性操作环境的示意图;
图2的过程流程图示出了图1的信任保持数据迁移系统的操作方法;
图3由图3A和图3B组成,所示的处理流程图示出了图1的信任保持数据迁移系统在以信任保持方式迁移数据时的操作方法;以及
图4的示图示出了图1的信任保持数据迁移系统所累积的数据集合和附加数据迁移。
具体实施方式
下面的定义和解释提供关于本发明技术领域的背景信息,并且是为了有利于对本发明的理解而不限制本发明的范围:
数据完好性:涉及数据对象;如果数据对象没有被改变,则该数据对象具有完好性。
数据完整性:涉及数据对象集合;如果数据对象集合是完好无损且未改变,即没有从数据对象集合中删除数据对象或向数据对象集合添加数据对象,则该数据对象集合是完整的。
图1描绘了示例性整体环境(数据管理系统100),其中可以使用按照本发明的用于执行数据对象从源(源数据管理系统15)到目标(目标数据管理系统20)的信任保持迁移的系统、计算机程序产品、和相关方法(“系统10”)。
系统10包括源系统25和目标系统30。源系统25和目标系统30中每一个都包括至少一个信任代理。源系统25包括源信任代理35。目标系统30包括目标信任代理40。源信任代理35和目标信任代理40被统称为信任代理45。系统10还包括通常嵌入或安装在诸如源计算机50或目标计算机55这样的计算机上的软件编程代码或计算机程序产品。可替换地,系统10的软件组件可被保存在合适的存储介质上,诸如磁盘、CD、硬盘驱动器、或类似设备。源数据管理系统15中的数据对象被存储在可信储存库160中。数据对象通过网络70被迁移到目标数据管理系统20中的可信储存库2 65中。计算机50、55分别经通信链路75、80连接到网络70。虽然以网络70描述系统10,但是计算机50、55可以本地通信而非远程通信。
信任代理45是安全子系统。在一个实施例中,利用防窜改密封设备(tamper-proof sealed device)、例如安全密码协处理器(securecryptographic coprocessor)(即所谓的安全芯片)实现信任代理45。这样的安全芯片每一个都包括处理器、安全存储器、和用于密码功能的硬件支持。安全芯片通过多个物理安全措施的封装实现高度抗窜改性。存储在安全芯片中的重要信息将在窜改时被自动擦除。
在一个实施例中,在源系统25和目标系统30中使用附加的信任代理以防止源信任代理35和目标信任代理40成为系统10中的单个故障点或瓶颈。
应该理解,即使源系统25中的信任代理和目标系统30中的信任代理为了说明的目的而被分别表示为源信任代理35和目标信任代理40,但是根据数据管理系统是数据迁移的源还是数据迁移的目标,数据管理系统、诸如数据管理系统15或20中的同一信任代理可被用作源信任代理或目标信任代理。
在系统10的制造过程中,信任代理45被初始化。在初始化过程中,每个信任代理生成私钥和公钥。密钥是基于每个信任代理45中随机数发生器的输入而生成的。私钥被存储在信任代理45的安全存储区中,并决不向外部公开。因此,任何人(包括系统10的制造商)都不能获得私钥。
可以从信任代理45获取公钥。系统10的制造商公开已经制造的所有系统的公钥(例如在制造商的公共网站或知名报纸上),使得该信息可广泛得知。这阻碍了对手构建模仿合规系统的界面但允许修改所存储的数据的“克隆系统”。可容易地检测这样的克隆系统,因为公开和广泛可获知的公钥列表难以改变。
图2示出系统10的工作方法200。源数据管理系统15接收进入的数据对象,并将该数据对象存储在可信储存库160中(步骤205)。源数据管理系统25利用数据对象的内容和一个或多个属性为进入的数据对象计算安全散列(例如MD5或SHA1)。安全散列的计算可在源信任代理35外实现(例如通过源计算机50),因为对于对手而言,仅插入不同的数据对象到源数据管理系统15比干预用于生成安全散列的软件更容易。
源系统25将所计算的进入数据对象的散列值提交到源信任代理35(步骤215)。源信任代理35为数据对象发出时间戳,并基于所计算的散列值和时间戳,利用源信任代理35的私钥为进入的数据对象生成签名(步骤220)。源信任代理35所生成的加有时间戳的(timestamped)签名使得能够验证每个数据对象的内容在数据迁移过程中没有被改变。加有时间戳的签名还使得能够验证每个数据对象在可信储存库1 60中被创建或被保存到可信储存库1 60中的时间。相比较而言,传统的WORM介质、诸如光盘不提供关于每个数据对象何时被创建或被存储的信息。即使WORM存储确实能够记录数据何时被写入,但是如果没有信任代理的协助,该信息的使用是有限的。例如,可信储存库265中WORM存储为从可信储存库160迁移的数据对象分配的时间戳只能确定数据对象何时被迁移,而不能确定数据对象何时被创建。
源信任代理35维持一组中所有进入的数据对象的签名的概要值(步骤225)。利用确保实践中不可能为不同组数据对象生成相同概要值的数学函数计算概要值。签名的概要值为可信储存库、诸如可信储存库160在某时刻所包括的一组中准确的数据对象集合提供了验证。如果对手试图在迁移过程中替换数据对象、删除数据对象、或增加数据对象,则签名概要改变,从而表示数据集合已经被改变。关于签名概要的细节将在下面讨论。
当数据对象例如从源数据管理系统15迁移到目标数据管理系统20时,目标系统30使用源信任代理35为每个迁移数据对象所发出的签名来验证数据对象的完好性。在从源数据管理系统15迁移到目标数据管理系统20后,数据对象随后可能被迁移到其他数据管理系统。系统10通过源信任代理35在数据对象原始创建或存储时所发出的签名来验证迁移数据对象。目标信任代理40在迁移过程中不为数据对象生成新的签名,而是假设源系统25上的源信任代理35可以是与目标系统30上的目标信任代理40同等地可信。
在一个实施例中,进入的数据对象的散列值被集合到一起,然后由源信任代理35周期性地分批地加以时间戳和签名。根据各批次之间的时间间隔,源信任代理35上的负载可显著减小。该方法在源信任代理35为数据对象所发出的时间戳与可信储存库160中数据对象的实际创建时间之间引入了额外延迟。
源信任代理35分批地对数据对象进行签名暗示该批次中所有的数据对象共享一个签名。因此,单个数据对象的验证要求签名和同一批次中所有数据对象的散列值。如果散列值被组织为线性列表,则用于验证数据对象的开销与该批次中数据对象的数目成正比。在一个实施例中,散列值以分级树状结构被组织,其中每个节点包含存储在该节点的子节点中的所有散列值的散列值。仅树的根节点要求来自源信任代理35的签名。在该实施例中,可通过计算O(log(N))散列值来验证数据对象,其中N是该批次中数据对象的总数目。
在数据管理系统10和20中,仅要求源信任代理35、目标信任代理40、可信储存库2 60、和可信储存库2 65是可信的。源信任代理35和目标信任代理40运行最小的验证码集合。源系统25中的其余软件在源信任代理35外运行;目标系统30中的其余软件在目标信任代理40外运行。将系统中可信成分仅限制为信任代理和可信储存库就允许系统实现高度安全性和灵活性。
对手可能试图获得对源系统25上部分用于管理数据对象迁移的软件的控制,以隐藏某些数据对象而免受数据迁移。为了防止这样的攻击,源信任代理35中的软件代码维持源已经由源信任代理35进行签名的每个数据对象的签名的最新概要。该签名概要被生成并完全维持在源信任代理35内,并在数据对象被添加到可信储存库1 60时随着时间被累积。因此,签名概要可以被信任以包括可信储存库1 60中所有数据对象的散列。
在一个实施例中,签名的概要值是数学和。使用签名的数学和提供了用于维持签名概要的低开销计算,从而减小了在源信任代理35处产生瓶颈的风险。在另一实施例中,可使用用于计算签名概要的其他数学函数。优选地,数学函数是可交换的,从而签名概要的计算可以以任何顺序并行地执行。数学和是可交换函数的一个例子。
图3示出系统10的将数据从源数据管理系统15迁移到目标数据管理系统20的方法。使用其私钥,源信任代理35对待迁移数据对象的签名概要进行签名(步骤305)。源数据管理系统15发送签名后的签名概要、待迁移的数据对象、待迁移的数据对象的签名到目标数据管理系统20(步骤310)。源数据管理系统15中数据对象中的一些或全部可被迁移到目标数据管理系统20。在一个实施例中,可信储存库265被划分为组,例如LUN(逻辑单元号),并且为每个组维持签名概要。因此,可逐组地验证完整性。
目标系统30使用源信任代理35的公钥以及数据对象的签名来验证每个数据对象的完好性(步骤315)。目标系统30判断完好性检查是否成功(判断步骤320)。如果不成功,则完好性检查失败的数据对象已经被改变;目标系统30生成报告(步骤325)。
目标系统30计算所传输的数据对象的签名概要(步骤330)。验证每个进入的数据对象被信任代理进行签名且数据对象保持未被修改仅验证了单独数据对象。对手可能在数据迁移过程中删除了单独数据对象或甚至数据对象的整个集合。为了确保数据完整性,通过比较所计算的签名概要与所传输的被源信任代理35签名的签名概要,目标系统30验证传输组中准确的数据对象集合被目标数据管理系统20接收(步骤335)。
如果传输集合中所有数据对象已经完好无损、无添加、无更换、或无删除数据对象地被迁移,则所计算的签名概要与所传输的签名概要匹配。如果比较成功(判断步骤340),则所计算的签名概要与所传输的签名概要匹配。如果不成功,则传输集合已经被改变,且目标系统30生成报告(步骤345)。如果比较成功,则所传输集合的完整性和所传输集合中每个数据对象的完好性被确认(步骤350)。目标系统30用已经在目标信任代理40中的任何数据对象的签名概要包括所传输集合的签名概要(步骤355)。
为了在迁移后任意时间验证所传输集合的完整性和所传输集合中每个数据对象的完好性,检查者可在迁移后验证过程中执行方法300的步骤315到步骤355。可在迁移发生后任何时间对所传输的数据对象集合执行迁移后验证过程。
因为保持时间段已经期满的数据对象可从源数据管理系统15中删除或销毁(shredded),因此可能出现这样的情况,即在数据迁移之前,迁移集合中某些数据对象可能不再存在于源数据管理系统15中。为了判断数据对象是由于合法销毁还是由于恶意窜改而丢失的,源系统35即使在数据对象被销毁后仍然保持数据对象的签名。在数据迁移过程中,传输集合中曾经存在于可信储存库1 60上的数据对象的所有签名被发送到目标系统。为了防止对手在数据对象保持时间段实际期满前宣告数据对象为被销毁,每个签名包含可利用源信任代理35的公钥验证的保持信息的附加字段。这允许目标系统30在数据迁移过程中验证所接收的签名是否表示可能已经被删除或销毁的数据对象。在一个实施例中,源信任代理35维持已经被销毁的那些数据对象的签名概要。在另一实施例中,源信任代理35维持包括被销毁数据对象和当前数据对象的散列的签名概要。
数据对象的内容和其他属性(除了保持信息)不能由数据对象的签名恢复;因此,保持这样的信息不违背销毁要求。而且,关于每个数据对象的诸如保持信息这样的信息可能已经被保持在数据保持系统的审核日志中,如许多法规所要求的那样。
为了略过在先前迁移会话后被存放的数据对象,对手可能试图重新使用从先前迁移会话所保存的签名后的签名概要。如果对手能够窃听通信链路75或通信链路80,则可执行该攻击而无需侵入源数据管理系统15。为了防止该攻击,系统10防止签名概要被重放。重放防止可通过质询响应协议实现。在数据迁移过程开始时,目标系统上的目标信任代理40生成质询并将其发送到源信任代理35。
质询可包括随机值。质询由目标信任代理40加上时间戳并进行签名。在接收到质询后,源信任代理35生成响应,其包括质询和数据对象的当前签名概要。由源信任代理35加时间戳并签名的响应被返回到目标系统30。质询响应协议保护防止重放攻击,并提供了用于校准源信任代理35和目标信任代理40上的时钟的方法。
如图4所示,系统10确保迁移过程中的数据完整性,即使数据被迁移一次以上或被迁移通过一个以上的数据管理系统。如图4所示,数据管理系统A 405包括系统10、储存库A 410和服务器415。数据管理系统B 420包括系统10、储存库B 425、和服务器430。数据管理系统C 435包括系统10、储存库C 440和服务器445。
在时间T1,数据管理系统A 405上的数据对象被迁移到数据管理系统B 420。在随后某个时间T2,数据管理系统B 420上的数据对象被迁移到数据管理系统C 435。在该例子中,数据管理系统B 420在T1时的迁移之前包括一个或多个数据对象。数据管理系统B 420在T1时的迁移期间和之后还继续接收数据对象。为了简化,在该例子中,源数据管理系统上的所有数据对象在每次数据迁移过程中被迁移,且除了图4中所示的迁移之外,不存在其他数据迁移。
系统10确保在时间T2,对于从数据管理系统A 405迁移到数据管理系统B 420的数据,数据完整性保证没有被破坏。此外,系统10确保在时间T2,对于直接存放到储存库B 425中的数据,数据完整性保证没有被破坏。为了确保数据完整性保证,在T1时的迁移期间,数据管理系统B 420中的目标信任代理40发出时间戳并对数据管理系统A 405中的源信任代理35所提供的签名概要进行签名。为了确保进一步迁移的完整性,签名概要被数据管理系统B 420的目标系统30上的目标信任代理40“记住”。
通过使用上面的例子,在数据迁移到数据管理系统C 435之后,储存库C 440包括时间T2时存在于数据管理系统B 420上的所有数据对象(包括那些已经被销毁的数据对象的签名)。在这些数据对象中,在时间T1时被迁移到数据管理系统B 420的最初在数据管理系统A 405上的数据对象被数据管理系统A 405的源信任代理35进行签名并加时间戳。不是在时间T1从数据管理系统A 405迁移的来自数据管理系统B 420的其余数据对象被数据管理系统B 420的源信任代理35进行签名并加时间戳。
在数据迁移到数据管理系统C 435之后,储存库C 440进一步包括直接存放在数据管理系统C 435中的数据对象。这些数据对象中的每一个被数据管理系统C 435的源系统25的源信任代理35进行签名和加时间戳。
在数据迁移到数据管理系统C 435之后,数据管理系统C 435的源信任代理35包括从数据管理系统A 405迁移的数据对象的签名概要,其在时间T1由数据管理系统A 405的源信任代理35进行签名并加时间戳,并且还在时间T1由数据管理系统B 420的目标信任代理40进行签名并加时间戳。
在数据迁移到数据管理系统C 435之后,数据管理系统C 435的源信任代理35进一步包括在时间T2时数据管理系统B 420上的数据对象的签名概要,其在时间T2由数据管理系统B 420的源信任代理35进行签名并加时间戳,而且还由数据管理系统C 435的目标信任代理40进行签名并加时间戳。该签名概要包括在时间T1时从数据管理系统A 405迁移的数据对象的签名概要。
在数据迁移到数据管理系统C 435之后,数据管理系统C 435的源信任代理35现在所维持的签名概要包括在时间T2从数据管理系统B 420迁移的数据对象的签名概要。
如果数据对象被迁移通过一个以上的数据管理系统,则系统10不要求为每个数据对象维持一个以上的签名或时间戳。原始签名、即由数据对象原始存放在其上的原始数据管理系统上的源信任代理进行签名的那个签名与数据对象一起被保持,因为仅原始签名可验证数据对象的创建时间。不需要使目标系统30上的目标信任代理40在数据迁移过程中再次对每个单独数据对象进行签名,因为所有的信任代理(其公钥如上所述被公开)被看做同等可信的。
应该理解,这里所述的本发明特定实施例仅说明本发明原理的某些应用。可以对这里所述的用于执行数据对象从源到目标的信任保持迁移的系统和方法进行多种修改,而不偏离本发明的精神和范围。而且,虽然为了说明的目的只结合信任代理介绍了本发明,但是显然,本发明也可应用到例如提供与信任代理相同的功能的安全提供器(secure provider)。
Claims (12)
1.一种用于将数据对象从源系统迁移到目标系统的处理器执行方法,包括:
在源系统处接收进入的数据对象;
在源系统处利用进入的数据对象的内容和属性,为每个进入的数据对象计算安全散列;
将所述散列发送给源系统的一个安全子系统;
由所述安全子系统为每个数据对象产生一个签名,以产生签名的数据对象,其中所述签名是根据相应的散列、安全子系统为所述数据对象发出的时间戳和安全子系统的私钥生成的;
根据由安全子系统产生的每个签名,由安全子系统累积更新安全概要信息;
接收请求将数据对象迁移到目标系统的请求;
由所述安全子系统根据安全子系统的私钥为所述要被迁移的数据对象的安全概要信息产生一个签名;
将签名的数据对象和签名的安全概要信息从源系统发送到目标系统;
基于由目标系统所接收的数据对象的相应签名和所述安全子系统的公钥,验证每个数据对象的完好性;
计算在目标系统处所接收的数据对象的概要信息;
将所计算的概要信息与在目标系统处所接收的签名的安全概要信息进行比较,以验证在目标系统处所接收的数据对象的完好性和完整性;和
将在目标系统处所接收的数据对象的签名的安全概要信息包括在目标系统的安全概要信息中,以用于数据随后从目标系统迁移。
2.如权利要求1所述的方法,其中安全概要信息被维持在源系统中至少一个安全子系统内,从而即使是源系统的内容、而非安全子系统被危及安全,也防止安全概要信息被窜改。
3.如权利要求2所述的方法,其中源系统处的数据对象被划分为组;并且
为每个组维持单独的安全概要信息。
4.如权利要求2所述的方法,其中在源系统处所维持的安全概要信息涵盖已经被删除的每个数据对象的签名。
5.如权利要求1所述的方法,其中在利用防窜改硬件实现的安全子系统中对安全概要信息进行签名。
6.如权利要求1所述的方法,其中每个对象的签名包括指示数据对象创建时间的时间戳。
7.如权利要求1所述的方法,其中安全概要信息被维持在安全子系统中;且
私钥在初始化过程中在安全子系统中被生成,且在公钥被公布时不能从安全子系统外部访问。
8.如权利要求6所述的方法,其中每个对象的签名包括指示对象何时可被删除的保持时间段。
9.一种用于将数据对象从源系统迁移到目标系统的装置,包括:
用于在源系统处接收进入的数据对象的模块;
用于在源系统处利用进入的数据对象的内容和属性,为每个进入的数据对象计算安全散列的模块;
用于将所述散列发送给源系统的一个安全子系统的模块;
用于由所述安全子系统为每个数据对象产生一个签名,以产生签名的数据对象的模块,其中所述签名是根据相应的散列、安全子系统为所述数据对象发出的时间戳和安全子系统的私钥生成的;
用于根据由安全子系统产生的每个签名,由安全子系统累积更新安全概要信息的模块;
用于接收请求将数据对象迁移到目标系统的请求的模块;
用于由所述安全子系统根据安全子系统的私钥为所述要被迁移的数据对象的安全概要信息产生一个签名的模块;
用于将签名的数据对象和签名的安全概要信息从源系统发送到目标系统的模块;用于基于由目标系统所接收的数据对象的相应签名和所述安全子系统的公钥,验证每个数据对象的完好性的模块;
用于计算在目标系统处所接收的数据对象的概要信息的模块;
用于将所计算的概要信息与在目标系统处所接收的签名的安全概要信息进行比较,以验证在目标系统处所接收的数据对象的完好性和完整性的模块;和
用于将在目标系统处所接收的数据对象的签名的安全概要信息包括在目标系统的安全概要信息中,以用于数据随后从目标系统迁移的模块。
10.如权利要求9所述的装置,其中安全概要信息被维持在源系统中安全子系统内,从而防止概要信息被窜改。
11.如权利要求10所述的装置,其中源系统处的数据对象被划分为组;且
为每个组维持单独的安全概要信息。
12.如权利要求10所述的装置,其中在源系统处所维持的安全概要信息包括已经被删除的每个数据对象的签名。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/243,560 | 2005-10-05 | ||
US11/243,560 US7996679B2 (en) | 2005-10-05 | 2005-10-05 | System and method for performing a trust-preserving migration of data objects from a source to a target |
PCT/EP2006/066519 WO2007039453A1 (en) | 2005-10-05 | 2006-09-20 | System and method for performing a trust-preserving migration of data objects from a source to a target |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101278298A CN101278298A (zh) | 2008-10-01 |
CN101278298B true CN101278298B (zh) | 2011-08-31 |
Family
ID=37401212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006800367550A Expired - Fee Related CN101278298B (zh) | 2005-10-05 | 2006-09-20 | 执行数据对象从源到目标的信任保持迁移的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US7996679B2 (zh) |
EP (1) | EP1941418A1 (zh) |
CN (1) | CN101278298B (zh) |
WO (1) | WO2007039453A1 (zh) |
Families Citing this family (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8234477B2 (en) * | 1998-07-31 | 2012-07-31 | Kom Networks, Inc. | Method and system for providing restricted access to a storage medium |
US7536524B2 (en) * | 1998-07-31 | 2009-05-19 | Kom Networks Inc. | Method and system for providing restricted access to a storage medium |
US9361243B2 (en) | 1998-07-31 | 2016-06-07 | Kom Networks Inc. | Method and system for providing restricted access to a storage medium |
US8219821B2 (en) * | 2007-03-27 | 2012-07-10 | Netapp, Inc. | System and method for signature based data container recognition |
US8103685B1 (en) * | 2007-03-30 | 2012-01-24 | Emc Corporation | Methods and apparatus for capturing last discovery time of managed objects |
US20090240717A1 (en) * | 2008-03-20 | 2009-09-24 | Hitachi, Ltd. | Method and apparatus for verifying archived data integrity in integrated storage systems |
WO2010037409A1 (en) * | 2008-10-02 | 2010-04-08 | Nec Europe Ltd. | Storage system and method for securely accessing data |
US8533478B2 (en) * | 2008-10-24 | 2013-09-10 | Hewlett-Packard Development Company, L. P. | System for and method of writing and reading redundant data |
US9594582B2 (en) * | 2009-01-05 | 2017-03-14 | International Business Machines Corporation | Detection and management of dynamic migration of virtual environments |
EP2402882A4 (en) * | 2009-02-27 | 2014-09-17 | Fujitsu Ltd | PROGRAM, DEVICE AND METHOD FOR ELECTRONIC SIGNATURE |
CN101516126B (zh) | 2009-03-24 | 2011-04-13 | 华为技术有限公司 | 一种无线局域网接入异种网络的方法和装置 |
US9378216B2 (en) | 2009-09-29 | 2016-06-28 | Oracle America, Inc. | Filesystem replication using a minimal filesystem metadata changelog |
JP5548419B2 (ja) * | 2009-09-30 | 2014-07-16 | 富士通株式会社 | 署名生成装置、署名検証装置、署名生成方法、署名検証方法、署名生成プログラム、および署名検証プログラム |
CN102073664B (zh) * | 2009-11-24 | 2014-03-19 | 阿里巴巴集团控股有限公司 | 一种数据回流的方法和装置 |
US9223617B2 (en) * | 2010-05-06 | 2015-12-29 | Nec Laboratories America, Inc. | Methods and systems for migrating networked systems across administrative domains |
CN102413313A (zh) * | 2010-09-26 | 2012-04-11 | 索尼公司 | 数据完整性验证信息生成方法和装置、数据完整性验证方法和装置 |
CN102170440B (zh) * | 2011-03-24 | 2013-12-04 | 北京大学 | 适用于存储云间数据安全迁移的方法 |
CN102739704A (zh) * | 2011-04-02 | 2012-10-17 | 中兴通讯股份有限公司 | 一种对等网络中数据迁移的方法及系统 |
PL3432546T3 (pl) | 2011-11-11 | 2020-09-07 | Soprano Design Limited | Bezpieczne przesyłanie wiadomości |
JP5878360B2 (ja) * | 2011-12-19 | 2016-03-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | データのメデイア移行時における改ざんを検出する方法、及び記憶装 |
US9894040B2 (en) | 2012-09-11 | 2018-02-13 | Microsoft Technology Licensing, Llc | Trust services for securing data in the cloud |
US8959351B2 (en) * | 2012-09-13 | 2015-02-17 | Microsoft Corporation | Securely filtering trust services records |
US9298390B2 (en) * | 2012-12-21 | 2016-03-29 | Cirrus Data Solutions, Inc. | Systems and methods for copying data maintained in a dynamic storage volume and verifying the copied data |
WO2014178889A1 (en) * | 2013-04-30 | 2014-11-06 | Bao Liu | Vlsi tamper detection and resistance |
US9207873B2 (en) * | 2013-12-19 | 2015-12-08 | Netapp, Inc. | Parallel migration of data objects to clustered storage |
US11030063B1 (en) * | 2015-03-30 | 2021-06-08 | Amazon Technologies, Inc. | Ensuring data integrity during large-scale data migration |
US9836367B2 (en) * | 2015-08-28 | 2017-12-05 | Netapp, Inc. | Trust relationship migration for data mirroring |
US10061611B2 (en) * | 2015-08-28 | 2018-08-28 | Vmware, Inc. | Virtual machine migration within a hybrid cloud system |
CN107292618B (zh) | 2016-04-11 | 2020-04-28 | 阿里巴巴集团控股有限公司 | 数据库中密文数据换密失败的处理方法和装置 |
US10452430B2 (en) * | 2016-08-29 | 2019-10-22 | Vmware, Inc. | Live migration of virtual computing instances between data centers |
JP6918576B2 (ja) * | 2017-05-24 | 2021-08-11 | キヤノン株式会社 | システム、情報処理装置、方法及びプログラム |
CN108023732B (zh) * | 2017-12-15 | 2020-02-14 | 北京深思数盾科技股份有限公司 | 一种数据保护方法、装置、设备和存储介质 |
US10572459B2 (en) * | 2018-01-23 | 2020-02-25 | Swoop Inc. | High-accuracy data processing and machine learning techniques for sensitive data |
CN111143331B (zh) * | 2019-12-30 | 2024-05-10 | 广州酷狗计算机科技有限公司 | 数据迁移方法、装置及计算机存储介质 |
US11182359B2 (en) | 2020-01-10 | 2021-11-23 | International Business Machines Corporation | Data deduplication in data platforms |
US11334268B2 (en) * | 2020-01-10 | 2022-05-17 | International Business Machines Corporation | Data lineage and data provenance enhancement |
US11475035B2 (en) * | 2020-03-06 | 2022-10-18 | Dropbox, Inc. | Live data conversion and migration for distributed data object systems |
US11816130B2 (en) * | 2021-10-04 | 2023-11-14 | Microsoft Technology Licensing, Llc | Generating and controlling an elastically scalable stamp data structure for storing data |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
US6199052B1 (en) * | 1998-03-06 | 2001-03-06 | Deloitte & Touche Usa Llp | Secure electronic transactions using a trusted intermediary with archive and verification request services |
EP1498799A2 (en) * | 2003-07-15 | 2005-01-19 | Hitachi, Ltd. | Electronic document authenticity assurance method and electronic document disclosure system |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5001752A (en) | 1989-10-13 | 1991-03-19 | Fischer Addison M | Public/key date-time notary facility |
US5535188A (en) * | 1994-10-03 | 1996-07-09 | International Business Machines Corporation | Data security protection for information recorded on a rewritable storage medium using a write-once read-many storage medium |
US5835953A (en) * | 1994-10-13 | 1998-11-10 | Vinca Corporation | Backup system that takes a snapshot of the locations in a mass storage device that has been identified for updating prior to updating |
US5553019A (en) * | 1995-01-23 | 1996-09-03 | Motorola, Inc. | Write-once read-many memory using EEPROM cells |
US6724554B1 (en) * | 1995-03-10 | 2004-04-20 | Iomega Corporation | Read/write protect scheme for a disk cartridge and drive |
US6153330A (en) * | 1995-09-01 | 2000-11-28 | Rayovac Corporation | Alkaline manganese dioxide electrochemical cell having coated can treated with silicon compounds |
US5787175A (en) * | 1995-10-23 | 1998-07-28 | Novell, Inc. | Method and apparatus for collaborative document control |
US6744713B1 (en) * | 1998-06-15 | 2004-06-01 | Samsung Electronics Co., Ltd. | Recording medium for storing write protection information and write protection method thereof |
US6587945B1 (en) | 1998-12-28 | 2003-07-01 | Koninklijke Philips Electronics N.V. | Transmitting reviews with digital signatures |
US7134021B2 (en) | 1999-10-22 | 2006-11-07 | Hitachi, Ltd. | Method and system for recovering the validity of cryptographically signed digital data |
US6339810B1 (en) * | 2000-01-11 | 2002-01-15 | International Business Machines Corporation | Serial data storage system with automatically adjusted data protection to implement worm media with limited overwrite allowing write appending |
US6779080B2 (en) * | 2000-01-11 | 2004-08-17 | International Business Machines Corporation | Serial data storage system with automatically adjusted data protection to implement worm media with limited overwrite allowing write appending |
CA2305078A1 (en) | 2000-04-12 | 2001-10-12 | Cloakware Corporation | Tamper resistant software - mass data encoding |
US6775703B1 (en) * | 2000-05-01 | 2004-08-10 | International Business Machines Corporation | Lease based safety protocol for distributed system with multiple networks |
US20020083095A1 (en) * | 2000-12-13 | 2002-06-27 | Wu Jackie Zhanhong | System and methods for integration of a Web site with a repository server |
US7478243B2 (en) * | 2001-03-21 | 2009-01-13 | Microsoft Corporation | On-disk file format for serverless distributed file system with signed manifest of file modifications |
US7093132B2 (en) * | 2001-09-20 | 2006-08-15 | International Business Machines Corporation | Method and apparatus for protecting ongoing system integrity of a software product using digital signatures |
US6615330B2 (en) | 2001-12-27 | 2003-09-02 | Storage Technology Corporation | Virtual worm method and system |
US20030126446A1 (en) * | 2001-12-27 | 2003-07-03 | Jacques Debiez | Method and system for providing a secure time reference in a worm environment |
US6694693B2 (en) * | 2002-03-11 | 2004-02-24 | Robert J. Alderman | Insulation block for roof structure |
US20050050342A1 (en) * | 2003-08-13 | 2005-03-03 | International Business Machines Corporation | Secure storage utility |
US8438645B2 (en) * | 2005-04-27 | 2013-05-07 | Microsoft Corporation | Secure clock with grace periods |
-
2005
- 2005-10-05 US US11/243,560 patent/US7996679B2/en not_active Expired - Fee Related
-
2006
- 2006-09-20 CN CN2006800367550A patent/CN101278298B/zh not_active Expired - Fee Related
- 2006-09-20 WO PCT/EP2006/066519 patent/WO2007039453A1/en active Application Filing
- 2006-09-20 EP EP06793653A patent/EP1941418A1/en not_active Ceased
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
US6199052B1 (en) * | 1998-03-06 | 2001-03-06 | Deloitte & Touche Usa Llp | Secure electronic transactions using a trusted intermediary with archive and verification request services |
EP1498799A2 (en) * | 2003-07-15 | 2005-01-19 | Hitachi, Ltd. | Electronic document authenticity assurance method and electronic document disclosure system |
Also Published As
Publication number | Publication date |
---|---|
EP1941418A1 (en) | 2008-07-09 |
CN101278298A (zh) | 2008-10-01 |
WO2007039453A1 (en) | 2007-04-12 |
US20070079126A1 (en) | 2007-04-05 |
US7996679B2 (en) | 2011-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101278298B (zh) | 执行数据对象从源到目标的信任保持迁移的系统和方法 | |
CN108076057B (zh) | 一种基于区块链的数据保全系统及方法 | |
US9722977B2 (en) | Secure host authentication using symmetric key crytography | |
Ganger et al. | Survivable storage systems | |
US7904475B2 (en) | Virtualized data storage vaults on a dispersed data storage network | |
US20090092252A1 (en) | Method and System for Identifying and Managing Keys | |
US11016949B2 (en) | Database system | |
CN110018924A (zh) | 一种基于区块链和纠删码的文件防破坏方法 | |
US8189790B2 (en) | Developing initial and subsequent keyID information from a unique mediaID value | |
Virvilis et al. | A cloud provider-agnostic secure storage protocol | |
Storer et al. | Long-term threats to secure archives | |
US20080229106A1 (en) | Information processing apparatus and data transmission method of information processing apparatus | |
CN116089398A (zh) | 一种数据库安全审计方法及系统 | |
Hua et al. | Secure data deletion in cloud storage: a survey | |
Tezuka et al. | ADEC: Assured deletion and verifiable version control for cloud storage | |
Sion et al. | Fighting mallory the insider: Strong write-once read-many storage assurances | |
AU2021105507A4 (en) | Platform independent backup and restore for mobile devices using blockchain technology | |
CN117997654B (zh) | 边缘计算架构中的数据处理方法、装置和计算机设备 | |
US20240154806A1 (en) | Anti-cloning of device cryptographic keys for counterfeit prevention | |
WO2023119554A1 (ja) | 制御方法、情報処理装置および制御プログラム | |
CN101470643B (zh) | 固定硬件安全单元备份、恢复方法及系统 | |
Bel et al. | Inkpack | |
Bel et al. | Inkpack: A Secure, Data-Exposure Resistant Storage System | |
Dongre et al. | A Cloud-Based Secured IoT Framework for Log Management | |
Shanthakumara et al. | Archiving-as-a-Service: A Comprehensive Reference Architecture Using Cloud Computing to Monitor and Supervise the Archive Documents from Long Term Point of View. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110831 Termination date: 20160920 |