DE102016115193A1 - Verfahren zur sicheren Datenhaltung in einem Computernetzwerk - Google Patents

Verfahren zur sicheren Datenhaltung in einem Computernetzwerk Download PDF

Info

Publication number
DE102016115193A1
DE102016115193A1 DE102016115193.9A DE102016115193A DE102016115193A1 DE 102016115193 A1 DE102016115193 A1 DE 102016115193A1 DE 102016115193 A DE102016115193 A DE 102016115193A DE 102016115193 A1 DE102016115193 A1 DE 102016115193A1
Authority
DE
Germany
Prior art keywords
key
data
instances
sub
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016115193.9A
Other languages
English (en)
Inventor
Heinz-Josef Claes
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Technology Solutions Intellectual Property GmbH
Original Assignee
Fujitsu Technology Solutions Intellectual Property GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Technology Solutions Intellectual Property GmbH filed Critical Fujitsu Technology Solutions Intellectual Property GmbH
Priority to DE102016115193.9A priority Critical patent/DE102016115193A1/de
Priority to GB201712197A priority patent/GB2555183B/en
Priority to US15/674,048 priority patent/US10586065B2/en
Publication of DE102016115193A1 publication Critical patent/DE102016115193A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur sicheren Datenhaltung in einem Computernetzwerk), umfassend die Schritte automatisiertes Berechnen eines Schlüssels aus einer Anzahl von Schlüsselfragmenten für eine Verschlüsselung von Daten, Verschlüsseln von Daten eines zu sichernden Datensatzes vermittels des berechneten Schlüssels, Aufteilen des Datensatzes in eine Anzahl von Teildatensätzen, Übertragen der Schlüsselfragmente sowie der Teildatensätze an ein verteiltes Sicherungssystems (3) in dem Computernetzwerk (1), wobei jeweils ein Schlüsselfragment sowie jeweils ein Teildatensatz an jeweils eine Instanz (I1, I2, I3) aus einer Mehrzahl von Instanzen (I1, I2, I3) des verteilten Sicherungssystems (3) in dem Computernetzwerk (1) übertragen werden, und Speichern sämtlicher übertragenen Schlüsselfragmente und Teildatensätze in den jeweiligen Instanzen (I1, I2, I3) des verteilten Sicherungssystems (3).

Description

  • Die Erfindung betrifft ein Verfahren zur sicheren Datenhaltung in einem Computernetzwerk.
  • In herkömmlichen Datensicherungskonzepten erfolgt eine Sicherung bzw. Wiederherstellung von Daten zwischen einem Bearbeitungs-Computersystem, das die Daten zur Bearbeitung im Klartext benötigt, und einem Sicherungssystem, das zum Beispiel einen oder mehrere Datenserver aufweist, über einen Passwort-Mechanismus. Dabei wird im Bearbeitungs-Computersystem ein Passwort benötigt, das zur Ver- bzw. Entschlüsselung der betreffenden Daten verwendet wird. Das Passwort muss hierzu herkömmlich im Klartext von einem Benutzer am Bearbeitungs-Computersystem eingegeben werden. Dies hat den Nachteil, dass das Passwort durch einen unbefugten Dritten (Kriminellen) zum Beispiel vermittels eines Keyloggers abgegriffen oder durch einen Systemadministrator oder eine sonstige Person mit Zugriff auf das Bearbeitungs-Computersystem missbraucht werden kann. Ein weiterer Nachteil besteht darin, dass ein autorisierter Benutzer, der das Passwort kennt, bestechlich oder erpressbar ist und auch somit unbefugte Dritte Zugriff auf das Passwort erhalten können.
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, eine Datenhaltung in einem Computernetzwerk der eingangs erläuterten Art sicherer zu gestalten, um diese weitestgehend vor Manipulationen zu schützen.
  • Diese Aufgabe wird durch ein Verfahren gemäß Patentanspruch 1 gelöst.
  • Das Verfahren umfasst die folgenden Schritte zur Datensicherung:
    • – automatisiertes Berechnen eines Schlüssels aus einer vorbestimmten Anzahl von Schlüsselfragmenten vorbestimmter Länge für eine Verschlüsselung von Daten,
    • – Verschlüsseln von Daten eines zu sichernden Datensatzes vermittels des berechneten Schlüssels,
    • – Aufteilen des Datensatzes in eine vorbestimmte Anzahl von Teildatensätzen, wobei die vorgenannten Schritte von wenigstens einem Bearbeitungs-Computersystem aus einer Gruppe von Bearbeitungs-Computersystemen ausgeführt werden, sowie
    • – Übertragen der Schlüsselfragmente sowie der Teildatensätze an ein verteiltes Sicherungssystems in dem Computernetzwerk, wobei jeweils ein oder mehrere Schlüsselfragmente beziehungsweise jeweils ein oder mehrere Teildatensätze von dem wenigstens einen Bearbeitungs-Computersystem an jeweils eine Instanz aus einer Mehrzahl von Instanzen des verteilten Sicherungssystems in dem Computernetzwerk übertragen werden, und
    • – Speichern sämtlicher übertragenen Schlüsselfragmente und Teildatensätze in den jeweiligen Instanzen des verteilten Sicherungssystems.
  • Ein derartiges Verfahren hat den Vorteil gegenüber herkömmlichen Lösungen, dass zum Verschlüsseln eines zu sichernden Datensatzes in einem beteiligten Bearbeitungs-Computersystem kein Passwort erforderlich ist, das von einem Benutzer des Bearbeitungs-Computersystems eingegeben werden muss. Vielmehr wird zur Verschlüsselung des zu sichernden Datensatzes ein Schlüssel aus einer vorbestimmten Anzahl von Schlüsselfragmenten berechnet. Dies erfolgt automatisiert im wenigstens einen beteiligten Bearbeitungs-Computersystem. Unabhängig davon können sowohl der Zugriff auf einen Datensatz als auch die Übertragung des Datensatzes durch weitere Maßnahmen abgesichert werden.
  • Diese Maßnahmen haben den Vorteil, dass jegliches manipulatives Abgreifen eines durch einen Benutzer eingegebenen Passwortes und/oder sonstiges Missbrauchen des Passwortes bzw. jegliche sicherheitskritische Beeinflussung eines autorisierten Benutzers zur Erlangung der Kenntnis des Passworts systematisch unterbunden werden, weil derartige Maßnahmen in dem hier erläuterten Prozess nicht vorgesehen oder gar erforderlich sind.
  • Das automatisierte Berechnen des Schlüssels kann zum Beispiel gemäß einer vorbestimmten Berechnungsmethode (kryptografischer Algorithmus) erfolgen. Die Schlüsselfragmente können beispielsweise in vorbestimmter Weise kombiniert, zum Beispiel aneinander gehängt, werden. Es sind jedoch auch andere Möglichkeiten der Kombination der Schlüsselfragmente zur Berechnung des Schlüssels denkbar.
  • Die Schlüsselfragmente werden, wie die Teildatensätze des aufgeteilten Datensatzes, an das verteiltes Sicherungssystem in dem Computernetzwerk übertragen. Dies mag zunächst etwas erstaunlich wirken, weil auf diese Weise sämtliche Schlüsselfragmente des Schlüssels, mit dem die Daten des Datensatzes verschlüsselt worden sind, gemeinsam mit den verschlüsselten Daten im verteilten Sicherungssystem abgespeichert werden. Dieses Vorgehen hat jedoch aus Sicht des Bearbeitungs-Computersystems den Vorteil, dass auch zur erneuten Entschlüsselung des verteilt gespeicherten Datensatzes im Bearbeitungs-Computersystem kein Passwort erforderlich ist, dass von einem Benutzer am Bearbeitungs-Computersystem eingegeben werden muss (mit den bereits oben genannten Vorteilen). Vielmehr kann während einer Datenwiederherstellung, d.h. durch Laden sämtlicher Schlüsselfragmente sowie sämtlicher Teildatensätze aus dem verteilten Sicherungssystem zurück in das beteiligte Bearbeitungs-Computersystem, aus den Schlüsselfragmenten erneut automatisiert der Schlüssel berechnet werden, vermittels dem die Daten des zusammengesetzten Datensatzes wieder entschlüsselt werden können, so dass die Daten im Klartext im Bearbeitungs-Computersystem vorliegen. Dieser Prozess läuft automatisiert und intern im Bearbeitungs-Computersystem ab. Auch hier können sowohl der Zugriff auf den Datensatz als auch die Übertragung des Datensatzes durch weitere Maßnahmen abgesichert werden.
  • Zur Sicherstellung einer Verifizierung bzw. Authentifizierung des oder der beteiligten Bearbeitungs-Computersysteme können Methoden einer kryptografischen Authentifizierung eingesetzt werden. Zum Beispiel kann die Zulässigkeit eines beteiligten Bearbeitungs-Computersystems über eine (qualifizierte) Signatur des Bearbeitungs-Computersystems überprüft werden. Es ist auch denkbar, die Prozesse des Austausches von Daten zwischen der Gruppe der Bearbeitungs-Computersysteme und dem verteilten Sicherungssystem über (ggf. mehrfach) signierte Datenpakete zu verifizieren. Z.B. kann vorgesehen sein, dass ein jeweiliges Datenpaket, das Anweisungen aus der Gruppe der Bearbeitungs-Computersysteme an das verteilte Sicherungssystem enthält, durch mehrere beteiligte Bearbeitungs-Computersysteme signiert werden muss, um die Integrität und Zulässigkeit des Datenpaketes zu bestätigen.
  • Durch eine derartige dezentrale, kumulative Signatur eines Datenpaketes werden Angriffsmöglichkeiten zur Manipulation des Prozesses erheblich reduziert und die Sicherheit des Verfahrens weiter erhöht. Ferner werden vorteilhaft sämtliche Informationen zusätzlich zu den oben genannten Maßnahmen durch asymmetrische Verschlüsselungsverfahren zwischen den beteiligten Computersystemen (ggf. mehrfach) verschlüsselt und dadurch ebenfalls abgesichert.
  • Das Aufteilen des Datensatzes kann durch eine vorbestimmte Methode oder gemäß vorbestimmten Regeln erfolgen. Beispielsweise kann der Datensatz byteweise in Blöcke aufgeteilt werden. Es sind natürlich alternativ auch andere Blockgrößen denkbar. Ferner können die einzelnen Blöcke bestimmten Permutationen unterzogen werden, bevor sie an das verteilte Sicherungssystem übergeben werden. Durch derlei Maßnahmen kann die Zusammensetzbarkeit verschleiert und eine Rekonstruktion für potentielle Angreifer auf das verteilte Sicherungssystem erschwert werden.
  • Durch das Aufteilen des Datensatzes in eine vorbestimmte Anzahl von Teildatensätzen und durch Übertragen sowohl der Schlüsselfragmente als auch der Teildatensätze an das verteiltes Sicherungssystem, umfassend eine Mehrzahl von verteilten Instanzen, ist ein besonders hoher Grad an Sicherheit der Datenhaltung gewährleistet. Denn in jeder Instanz des verteilten Sicherungssystems wird lediglich ein Teil (ein oder mehrere Teildatensätze) des originären Datensatzes in verschlüsselter Form bzw. nur ein Teil (ein oder mehrere Schlüsselfragmente) zur Berechnung des Schlüssels abgelegt. Falls ein Krimineller manipulativen Zugriff auf eine Instanz des verteilten Sicherungssystems im Computernetzwerk erhält, so hat er lediglich Zugang zu einem oder mehreren verschlüsselten Teildatensätzen, die er nicht lesen kann, bzw. zu einem oder mehreren Schlüsselfragmenten, aus denen er ohne Kenntnis der anderen Schlüsselfragmente den Schlüssel zur Ver- bzw. Entschlüsselung des Datensatzes nicht rekonstruieren kann.
  • Die verteilte Speicherung der Schlüsselfragmente hat den Vorteil, dass ein Krimineller ohne weiteren (hohen) Aufwand keine Kenntnis des erforderlichen Schlüssels erlangt, selbst wenn er bei n Schlüsselfragmenten manipulativen Zugriff auf n – 1 Schlüsselfragmente erhält.
  • Die Aufteilung des Datensatzes in Teildatensätze und die verteilte Speicherung der verschlüsselten Teildatensätze haben den Vorteil, dass ein Krimineller selbst bei Aushebelung der Verschlüsselung (z.B. bei Ausnutzen eines Fehlers oder einer Sicherheitslücke im Verschlüsselungsalgorithmus, was gar keine Kenntnis des berechneten Schlüssels an sich erfordert, um letztendlich an den Klar-Datensatz zu gelangen) ohne weiteren (hohen) Aufwand keine Kenntnis des Klar-Datensatzes erlangt, selbst wenn er bei n verschlüsselten Teildatensätzen manipulativen Zugriff auf n – 1 verschlüsselte Teildatensätze erhält.
  • Die Merkmalskombination des vorgestellten Verfahrens hat somit insgesamt den Vorteil gegenüber herkömmlichen Lösungen, dass die Gefahr eines manipulativen Abgreifens eines von einem Benutzer eingegebenen Passwortes zur Ver- bzw. Entschlüsselung eines Datensatzes für eine Datenspeicherung in einem Computernetzwerk systematisch entfällt und zudem durch ein verteiltes Speichern sämtlicher Daten (sowohl der Schlüsselfragmente als auch der entsprechend verschlüsselten Teildatensätze) ein besonders hohes Maß an Sicherheit und Robustheit der Datenhaltung im Computernetzwerk gegen Manipulationen und Angriffe gewährleistet ist. Auch kann durch die verteilte Datenhaltung eine mögliche räumliche Trennung erreicht werden, sodass der physische Zugriff auf verschiedene Komponenten des verteilten Sicherungssystems erschwert wird.
  • Bei den oben erläuterten Verfahrensschritten können ein oder mehrere Bearbeitungs-Computersysteme beteiligt sein. Insbesondere können die Schritte des automatisierten Berechnens des Schlüssels aus den Schlüsselfragmenten, das Verschlüsseln der Daten des zu sichernden Datensatzes vermittels des berechneten Schlüssels und das Aufteilen des Datensatzes in die vorbestimmte Anzahl von Teildatensätzen in lediglich einem Bearbeitungs-Computersystem oder durch mehrere Bearbeitungs-Computersysteme ausgeführt werden, wobei in letzterem Fall beispielsweise jeweils ein Schritt in einem Bearbeitung-Computersystem durchgeführt wird.
  • Das verteilte Sicherungssystem kann derart eingerichtet sein, dass es verschiedene Gruppen von Instanzen gibt, wobei eine Gruppe von Instanzen lediglich zur Speicherung der Schlüsselfragmente und eine andere Gruppe von Instanzen lediglich zur Speicherung der Teildatensätze vorgesehen sind. Alternativ oder ergänzend können Instanzen aber auch derart eingerichtet sein, dass dort sowohl ein oder mehrere Schlüsselfragmente als auch ein oder mehrere Teildatensätze gespeichert werden. Eine jeweilige Instanz des verteilten Sicherungssystems speichert vorteilhaft nur Daten (einen oder mehrere Teildatensätze und/oder ein oder mehrere Schlüsselfragmente), die nicht in anderen Instanzen hinterlegt sind. Das heißt ein bestimmter Teildatensatz bzw. ein bestimmtes Schlüsselfragment ist nur in einer bestimmten Instanz des verteilten Sicherungssystems hinterlegt. Alternativ wäre jedoch denkbar, dass ein bestimmter Teildatensatz bzw. ein bestimmtes Schlüsselfragment in mehr als einer bestimmten Instanz hinterlegt ist.
  • Bevorzugt wird bei dem Verfahren der erläuterten Art jedoch pro Instanz lediglich eines der Schlüsselfragmente bzw. einer der Teildatensätze gespeichert. Das heißt, dass in dieser speziellen Ausgestaltung pro Instanz nicht mehrere unterschiedliche Schlüsselfragmente bzw. nicht mehrere unterschiedliche Teildatensätze gespeichert sind. Auf diese Weise sind die Schlüsselfragmente und Teildatensätze auf eine jeweils maximal mögliche Anzahl verschiedener Instanzen verteilt, was die Sicherheit erhöht. Es ist jedoch alternativ denkbar, dass pro Instanz mehrere verschiedene Schlüsselfragmente bzw. Teildatensätze gespeichert sind.
  • Die Reihenfolge der Schritte des Verschlüsselns der Daten des zu sichernden Datensatzes vermittels des berechneten Schlüssels und des Aufteilens des Datensatzes in eine vorbestimmte Anzahl von Teildatensätzen kann variieren. Es ist z.B. denkbar, dass zunächst der gesamte zu sichernde Datensatz (Daten) vermittels des berechneten Schlüssels verschlüsselt wird und anschließend der verschlüsselte Datensatz in die verschlüsselten Teildatensätze aufgeteilt wird. Alternativ ist denkbar, dass zunächst der Datensatz in die jeweiligen Teildatensätze aufgeteilt wird und anschließend jeder Teildatensatz (Daten) vermittels des berechneten Schlüssels verschlüsselt wird.
  • In einer vorteilhaften Ausgestaltung des Verfahrens entspricht die Anzahl der Teildatensätze der Anzahl der Schlüsselfragmente. Vorteilhaft wird vor dem Übertragen an das verteiltes Sicherungssystem jeweils ein Schlüsselfragment zu jeweils einem Teildatensatz zur Bildung von Schlüsselfragment-Teildatensatz-Paaren zugeordnet. Anschließend wird jeweils ein Schlüsselfragment-Teildatensatz-Paar an jeweils eine Instanz des verteilten Sicherungssystems übertragen und dort gespeichert.
  • In dieser Ausgestaltung umfassen die oben erläuterten Schritte des Verfahrens daher folgende Abwandlungen/Ergänzungen:
    • – Zuordnen jeweils eines Schlüsselfragments zu jeweils einem Teildatensatz zur Bildung von Schlüsselfragment-Teildatensatz-Paaren,
    • – Übertragen der Schlüsselfragment-Teildatensatz-Paare an ein verteiltes Sicherungssystem in dem Computernetzwerk, wobei jeweils ein Schlüsselfragment-Teildatensatz-Paar von dem wenigstens einen Bearbeitungs-Computersystem an jeweils eine Instanz aus einer Mehrzahl von Instanzen des verteilten Sicherungssystems in dem Computernetzwerk übertragen werden, und
    • – Speichern sämtlicher übertragenen Schlüsselfragment-Teildatensatz-Paare in den jeweiligen Instanzen des verteilten Sicherungssystems.
  • Eine Übereinstimmung der Anzahl der Teildatensätze mit der Anzahl der Schlüsselfragmente hat vor dem Hintergrund einer sicheren Datenhaltung Vorteile. Denn in diesem Fall sind die Schlüsselfragmente zum Berechnen des Schlüssels sowie die Teildatensätze des aufgeteilten verschlüsselten Datensatzes jeweils auf die gleiche Anzahl von Instanzen des verteilten Sicherungssystems verteilt. Das bedeutet, dass sowohl für die Schlüsselfragmente als auch für die Teildatensätze ein gleiches Maß an Sicherheit bzgl. der verteilten Speicherung gegeben ist. Sind beispielsweise sowohl die Schlüsselfragmente als auch die Teildatensätze auf n Instanzen verteilt, so muss ein Angreifer Zugriff auf sämtliche der n Instanzen erhalten, um entweder Kenntnis über alle Schlüsselfragmente zur Berechnung des Schlüssels oder Kenntnis über alle Teildatensätze zur Rekonstruktion des Datensatzes im Falle eines Versagens/Aushebelns/Umgehens des Verschlüsselungsalgorithmus (wie oben erläutert) zu erlangen.
  • Vorteilhaft ist im Allgemeinen die Anzahl der Teildatensätze mindestens genauso groß wie die Anzahl der Schlüsselfragmente. Anderenfalls bietet das Verfahren jedoch nur das Maß an Sicherheit, das durch die geringere Anzahl der Teildatensätze gegeben ist. Denn ist die Anzahl der Teildatensätze geringer als die Anzahl der Schlüsselfragmente, so muss ein Angreifer lediglich Zugriff auf die geringere Anzahl der Teildatensätze erlangen (was geringeren Aufwand bedeutet, als Zugriff auf die größere Anzahl von Schlüsselfragmenten) und kann somit Kenntnis über den Datensatz erlangen, falls der Verschlüsselungsalgorithmus versagt bzw. es dem Angreifer gelingt, den Verschlüsselungsalgorithmus auszuhebeln oder zu umgehen. Wenn jedoch, wie erläutert, die Anzahl der Teildatensätze mindestens genauso groß wie die Anzahl der Schlüsselfragmente, dann ist das Verfahren bzgl. des Aufwands eines manipulativen Zugriffs auf die verteilt gespeicherten Teildatensätze und Schlüsselfragmente gleichermaßen robust.
  • Vorteilhaft werden bei dem Verfahren der erläuterten Art sämtliche Schlüsselfragmente jeweils aus einer hierfür erzeugten Zufallszahl gebildet. Auf diese Weise werden sämtliche Schlüsselfragmente automatisiert und zufällig erzeugt. Das Verfahren erfordert somit keinerlei Kenntnis irgendeines Benutzers von zumindest einzelnen Schlüsselfragmenten zur Erstellung des Schlüssels. Dadurch, dass die Schlüsselfragmente aus Zufallszahlen gebildet werden, ist auch die Berechnung des Schlüssels aus den Zufallszahlen zufällig bzw. unterliegt der größtmöglichen Kombinationsvielfalt. Damit ist die geringstmögliche Wahrscheinlichkeit bzw. das geringstmögliche Risiko der korrekten Ermittlung des aus den Schlüsselfragmenten berechneten Schlüssels gegeben. Es ist denkbar, bei jedem erneuten Verschlüsseln eines Datensatzes oder z.B. nach Ablauf einer vorbestimmten Zeitdauer, Datum, usw. für eine erneute Verschlüsselung die Zufallszahlen, aus denen die Schlüsselfragmente gebildet sind, neu zu erstellen.
  • Die Zufallszahlen können zur Berechnung des Schlüssels in vorbestimmter Weise kombiniert werden, z.B. aneinander gehängt werden. Es sind jedoch auch andere Kombinationsmöglichkeiten denkbar. Anschließend kann aus dieser Kombination eine Prüfsumme berechnet werden. Die berechnete Prüfsumme bildet dann den Schlüssel zur Verschlüsselung der Daten.
  • Vorteilhaft ist die Länge, das heißt die Zeichenlänge, der jeweiligen Schlüsselfragmente mindestens genauso groß wie die Länge (Zeichenlänge) des berechneten Schlüssels. Das bedeutet, dass die einzelnen Schlüsselfragmente jeweils mindestens auf die Länge des Schlüssels selbst ausgedehnt bzw. „aufgebläht“ werden. Auf diese Weise ist die Wahrscheinlichkeit der korrekten Ermittlung eines jeweiligen Schlüsselfragments mindestens genauso gering wie die korrekte Ermittlung des Schlüssels an sich. Anders gesagt ist ein jedes Schlüsselfragment für sich genauso robust gegen Brut-Force-Angriffe wie der berechnete Schlüssel selbst.
  • Falls beispielsweise ein Angreifer bei n verschiedenen Schlüsselfragmenten Kenntnis von n – 1 Schlüsselfragmenten hat, so ist die Wahrscheinlichkeit der korrekten Ermittlung des letzten fehlenden Schlüsselfragments mindestens genauso gering wie die korrekte Ermittlung des Schlüssels selbst. Auf diese Weise erleichtert selbst die Kenntnis von n – 1 Schlüsselfragmenten einem Angreifer nicht die Berechnung des entsprechenden Schlüssels, weil der Aufwand zur Berechnung des noch fehlenden Schlüsselfragments mindestens genauso groß ist, wie die Berechnung des Schlüssels selbst.
  • Die Länge der jeweiligen Schlüsselfragmente kann auch größer, insbesondere um ein Vielfaches größer, sein als die Schlüssellänge. In diesem Fall sind die einzelnen Schlüsselfragmente sogar robuster gegen Brut-Force-Angriffe als der Schlüssel selbst.
  • Vorteilhaft wird bei dem Verfahren der erläuterten Art nach dem Verschlüsseln des zu sichernden Datensatzes in den verschlüsselten Datensatz der Schlüssel im Bearbeitungs-Computersystem, das den Schlüssel berechnet hat, wieder gelöscht. Auf diese Weise ist der Schlüssel nur temporär im Bearbeitungs-Computersystem vorhanden, wenn der zu sichernde Datensatz verschlüsselt wird. Auch nach einer entsprechenden Datenwiederherstellung, das heißt nach Entschlüsseln eines auf dem entsprechenden Bearbeitungs-Computersystem wiederhergestellten Datensatzes kann der aus den Schlüsselfragmenten berechnete Schlüssel wieder gelöscht werden. Somit wird verhindert, dass der Schlüssel dauerhaft im Bearbeitungs-Computersystem vorliegt.
  • Auf diese Weise wird einem Angreifer auf das Bearbeitungs-Computersystem ein Zugriff auf den Schlüssel selbst erschwert, da ein Angreifer lediglich in den (kurzen) Zeiträumen Kenntnis über den Schlüssel erlangen kann, in denen der Schlüssel im Bearbeitungs-Computersystem vorhanden ist, nämlich während der Ver- bzw. Entschlüsselung eines zu sichernden bzw. wiederherzustellenden Datensatzes. Derartige Maßnahmen erhöhen somit die Sicherheit der Datenhaltung hinsichtlich einer Robustheit des Bearbeitungs-Computersystems gegen Manipulationen.
  • Vorteilhaft werden zumindest sämtliche Schlüsselfragmente und gegebenenfalls auch sämtliche Teildatensätze mit einem oder mehreren zweiten Schlüsseln verschlüsselt. Der eine oder die mehreren zweiten Schlüssel unterscheiden sich vorteilhaft von dem aus den einzelnen Schlüsselfragmenten berechneten Schlüssel der vorgenannten Art. Die zusätzliche Verschlüsselung mit dem einen oder den mehreren zweiten Schlüsseln erfolgt vorteilhaft vor dem Übertragen der Schlüsselfragmente bzw. der Teildatensätze an das verteilte Sicherungssystem innerhalb des Bearbeitungs-Computersystem.
  • Die Maßnahme einer weiteren Verschlüsselung der Schlüsselfragmente und gegebenenfalls der Teildatensätze mit zumindest einem weiteren Schlüssel ermöglicht einen Schutz vor einer Lesbarkeit des verschlüsselten Datensatzes nach dem Speichern im verteilten Sicherungssystem. Dies verhindert, dass ein Storage-Administrator, der Zugriff auf das gesamte verteilte Sicherungssystem erlangt, jedoch keine Kenntnis des zweiten Schlüssels hat, den Datensatz lesen kann, indem er auf sämtliche Daten (Schlüsselfragmente und Teildatensätze) im verteilten Sicherungssystem zugreift. Die Verschlüsselung sämtlicher Schlüsselfragmente und gegebenenfalls auch sämtlicher Teildatensätze mit einem weiteren Schlüssel vor dem Übertragen der zu sichernden Daten in das verteiltes Sicherungssystem erlaubt somit im Allgemeinen einen Schutz vor unbefugtem Zugriff auf die Daten durch Personen, die auf das gesamte verteiltes Sicherungssystem Zugriff haben.
  • Ferner kann durch die erläuterte zusätzliche Verschlüsselung der Schlüsselfragmente bzw. der Teildatensätze vor dem Übertragen bzw. Speichern im verteilten Sicherungssystem erreicht werden, dass nur bestimmte Empfänger auf Seiten der Gruppe der Bearbeitungs-Computersysteme, welche spezifisch Kenntnis des zweiten Schlüssels haben, den verteilt gespeicherten Datensatz wiederherstellen und entschlüsseln können. Auf diese Weise kann eine Selektivität von Benutzern bzw. einzelnen spezifischen Bearbeitungs-Computersystemen erreicht werden, welche befugt sind, die verteilt gespeicherten Daten in Klardaten wiederherzustellen.
  • Eine zusätzliche Verschlüsselung mit einem oder mehreren zweiten Schlüsseln der genannten Art kann eine symmetrische oder asymmetrische Verschlüsselung (private/public key) sein.
  • Vorteilhaft umfasst das Verfahren der erläuterten Art die weiteren Schritte zur Datenwiederherstellung:
    • – Abfrage der jeweiligen Schlüsselfragmente sowie der jeweiligen Teildatensätze in den jeweiligen Instanzen des verteilten Sicherungssystems auf Anweisung eines aus der Gruppe der Bearbeitungs-Computersysteme, welches den Datensatz wiederherstellen möchte,
    • – Übertragen der jeweiligen Schlüsselfragmente und der jeweiligen Teildatensätze von den jeweiligen Instanzen des verteilten Sicherungssystems auf zumindest eines aus der Gruppe der Bearbeitungs-Computersysteme,
    • – Zusammenfügen der Teildatensätze zum Datensatz,
    • – Kombinieren der Schlüsselfragmente und Berechnen des Schlüssels aus den kombinierten Schlüsselfragmenten, sowie
    • – Entschlüsseln der verschlüsselten Daten des Datensatzes vermittels des berechneten Schlüssels im anweisenden Bearbeitungs-Computersystem.
  • Auf diese Weise kann der verteilt abgespeicherte Datensatz in einem anweisenden Bearbeitungs-Computersystem wiederhergestellt werden.
  • Falls die Aufteilung des verschlüsselten Datensatzes während einer Datensicherung der oben erläuterten Art gemäß einer vorbestimmten Methode oder gemäß vorbestimmten Regeln durchgeführt worden ist, müssen natürlich diese Methode bzw. diese Regeln bei einer Datenwiederherstellung von dem oder den Bearbeitungs-Computersystemen erneut herangezogen werden, um die verteilt abgespeicherten Teildatensätze korrekt zum letztendlichen Datensatz zusammenzufügen.
  • Es ist denkbar, zunächst sämtliche Teildatensätze zum verschlüsselten Datensatz zusammenzufügen und anschließend den zusammengefügten verschlüsselten Datensatz vermittels des aus den Schlüsselfragmenten berechneten Schlüssels zu entschlüsseln. Es ist jedoch alternativ auch denkbar, zunächst sämtliche Teildatensätze mit dem aus den Schlüsselfragmenten berechneten Schlüssel separat zu entschlüsseln und anschließend zum verschlüsselten Datensatz zusammenzusetzen.
  • Analog zu den obigen Erläuterungen im Zusammenhang mit einer Datensicherung können auch bei den genannten Maßnahmen der Datenwiederherstellung ein oder mehrere Bearbeitungs-Computersysteme beteiligt sein. Beispielsweise ist denkbar, einen oder mehrere der Schritte des Zusammenfügens der Teildatensätze zum kompletten Datensatz, des Kombinierens der Schlüsselfragmente, des Berechnens des Schlüssels aus den kombinierten Fragmenten sowie des Entschlüsselns des verschlüsselten Datensatzes vermittels des berechneten Schlüssels in unterschiedlichen Bearbeitungs-Computersystemen durchzuführen. Alternativ ist auch denkbar, sämtliche der genannten Maßnahmen in einem Bearbeitungs-Computersystem durchzuführen.
  • Vorteilhaft halten in einer Ausgestaltung des Verfahrens sowohl sämtliche Instanzen des verteilten Sicherungssystems als auch sämtliche Bearbeitungs-Computersysteme aus der Gruppe der Bearbeitungs-Computersysteme sämtliche für das Verfahren maßgeblichen Netzwerk-Ports derart geschlossen, dass eine Ansprechbarkeit der Instanzen des verteilten Sicherungssystems beziehungsweise der Bearbeitungs-Computersysteme von außen, d.h. ein Verbindungsaufbau zu diesen Systemen über ein Netzwerk, zum Übertragen der jeweiligen Schlüsselfragmente und der jeweiligen Teildatensätze verhindert wird. Zum Austausch der jeweiligen Schlüsselfragmente und der jeweiligen Teildatensätze ist jedoch wenigstens ein Vermittlungs-Computersystem mit wenigstens einem ansprechbaren offenen Netzwerk-Port eingerichtet und über Netzwerk derart zugänglich, dass die Instanzen des verteilten Sicherungssystems beziehungsweise die Bearbeitungs-Computersysteme auf das Vermittlungs-Computersystem zugreifen können, um die jeweiligen Schlüsselfragmente beziehungsweise die jeweiligen Teildatensätze im Vermittlungs-Computersystem abzulegen oder vom Vermittlungs-Computersystem abzuholen.
  • Die Instanzen des verteilten Sicherungssystems und die Bearbeitungs-Computersysteme verhalten sich als eingekapselte (speziell abgesicherte) Systeme. Ein Zugriff auf diese Systeme über ein Netzwerk ist zumindest unter bestimmten Betriebsbedingungen (vorteilhaft dauerhaft während der Durchführung des hier erläuterten Verfahrens) nicht oder nur deutlich erschwert möglich. Verbindungsversuche zum Aufbau einer Verbindung eines sonstigen Computersystems von außen auf die jeweiligen Instanzen des verteilten Sicherungssystems oder auf die Bearbeitungs-Computersysteme werden in diesem Fall durch diese Systeme ignoriert bzw. verworfen. Dies kann durch gezielte Portfilter, Portsperren und/oder Firewall-Regeln erreicht werden.
  • Der Begriff „sämtliche für das Verfahren maßgeblichen Netzwerk-Ports“ bedeutet, dass in den Instanzen des verteilten Sicherungssystems und in den Bearbeitungs-Computersystemen sämtliche Netzwerk-Ports dauerhaft oder vorübergehend für einen Verbindungsaufbau von außen geschlossen sind, die bei dem hier erläuterten Verfahren für eine Kommunikation erforderlich sind. Dies hat den Vorteil, dass in den Instanzen des verteilten Sicherungssystems und in den Bearbeitungs-Computersystemen keine Programme oder Dienste eingerichtet beziehungsweise verfügbar oder notwendig sind, die zum Zwecke der Ansprechbarkeit beziehungsweise des Verbindungsaufbaus von außen die entsprechenden Netzwerk-Ports abhören (so genanntes „Listening“) und somit eine potentielle Sicherheitslücke (z. B. für Buffer-Overflow oder DoS-Attacken bzw. sog. distributed DoS-Attacken) bilden. Somit bedeutet der Begriff „geschlossene Netzwerk-Ports“ in diesem Kontext, dass diese keine „Listening Ports“ sind, das heißt kein Verbindungsaufbau von außen zugelassen wird. Ein Dritter (Angreifer oder Cracker) ist in diesem Fall nicht in der Lage, sich von außen über Netzwerk an den Instanzen des verteilten Sicherungssystems oder an den Bearbeitungs-Computersystemen zu authentifizieren oder einzuloggen, z. B. bei Unix-basierten Systemen über einen Secure-Shell-(SSH-)-Daemon, einen http-Dienst oder sonstige Dienste/Applikation usw., oder spezielle Aktionen auf den Instanzen des verteilten Sicherungssystems oder auf den Bearbeitungs-Computersystemen durchzuführen.
  • Allerdings kann für eine vorbestimmte Benutzergruppe ein lokaler Zugriff auf einzelne oder sämtliche Instanzen des verteilten Sicherungssystems und/oder auf einzelne oder sämtliche Bearbeitungs-Computersysteme eingerichtet sein. Für andere Dritte wird jedoch ein lokaler Zugriff verhindert.
  • Durch diese generelle Abschottung der Instanzen des verteilten Sicherungssystems und der Bearbeitungs-Computersysteme gemäß der erläuterten Art und Weise ist somit ein Angriff über Netzwerk erschwert, weil eine entscheidende Angriffsmöglichkeit, nämlich laufende Dienste oder Programme an geöffneten („Listening“) Netzwerk-Ports der jeweiligen Systeme unterbunden sind. Somit sind bei dem erläuterten Verfahren insbesondere sicherheitskritische Daten, welche z.B. als Datensatz lokal auf den Bearbeitungs-Computersystemen verarbeitet werden oder in den Instanzen des verteilten Sicherungssystems als Teildatensätze bzw. Schlüsselfragmente gespeichert sind, gegen Angriffe geschützt.
  • Im Unterschied zu den Instanzen des verteilten Sicherungssystems und den Bearbeitungs-Computersystemen ist jedoch ein Zugriff auf das zumindest eine, eingerichtete Vermittlungs-Computersystem von außen möglich. Das Vermittlungs-Computersystem kann dabei als "offenes" System mit wenigstens einem ansprechbaren offenen Netzwerk-Port über Netzwerk zugänglich sein. Das bedeutet, dass auf dem Vermittlungs-Computersystem beispielsweise Programme laufen und/oder Applikationen vorbereitet sind, sodass die Instanzen des verteilten Sicherungssystems oder die Bearbeitungs-Computersysteme über die maßgebliche Netzwerk-Ports, wie oben erläutert, eine Verbindung zum Vermittlungs-Computersystem aufbauen können und auf das Vermittlungs-Computersystem zugreifen können, um die jeweiligen Schlüsselfragmente beziehungsweise die jeweiligen Teildatensätze im Vermittlungs-Computersystem abzulegen oder vom Vermittlungs-Computersystem abzuholen.
  • Die Instanzen des verteilten Sicherungssystems und die Bearbeitungs-Computersysteme sind somit hinsichtlich der für das Verfahren maßgeblichen Netzwerk-Ports derart eingerichtet, dass kein Verbindungsaufbau von außen zu diesen Systemen zugelassen wird, jedoch die Systeme selbst über diese Netzwerk-Ports eine Verbindung zum Vermittlungs-Computersystem aufbauen können, weil dieses im Unterschied zu den Instanzen des verteilten Sicherungssystems und den Bearbeitungs-Computersystemen von außen ansprechbar ist. Somit dient das Vermittlungs-Computersystem als Vermittler für eine Kommunikation zwischen den Instanzen des verteilten Sicherungssystems und den Bearbeitungs-Computersystemen, welche jedoch selbst jeweils für einen Verbindungsaufbau von außen eingekapselt sind.
  • Der Austausch der Schlüsselfragmente beziehungsweise der Teildatensätze zwischen den Instanzen des verteilten Sicherungssystems und den Bearbeitungs-Computersystemen erfolgt vorteilhaft in Form von sogenannten Task-Dateien. Die Task-Dateien können zur Ausführung vorbestimmter Prozesse (insbesondere Datenspeicherung in den Instanzen des verteilten Sicherungssystems und Abfrage der Daten bzw. Datenwiederherstellung in einem Bearbeitungs-Computersystem) eingerichtet sein.
  • Zur Datensicherung versieht ein beteiligtes Bearbeitungs-Computersystem eine hierfür vorbereitete oder eigens erzeugte Task-Datei mit Informationen (zu sichernde Daten bzw. Anweisungen zur Datensicherung). Die zu sichernden Daten enthalten insbesondere ein oder mehrere Schlüsselfragmente beziehungsweise einen oder mehrere Teildatensätze. Dabei erfolgt ein Zusammenstellen der Informationen in der Task-Datei lokal im abgesicherten Bearbeitungs-Computersystem ohne Zugriffsmöglichkeit via Netzwerk von außen. Somit bleiben vertrauliche Daten innerhalb des Bearbeitungs-Computersystems gegen Angriffe von entfernt liegenden Computersystemen nicht-autorisierter Dritter oder Krimineller geschützt. Anschließend wird die Task-Datei verschlüsselt, vorteilhaft mit einer Signatur des Bearbeitungs-Computersystems signiert und an das Vermittlungs-Computersystem übertragen. Es ist denkbar, dass ein oder mehrere andere Bearbeitungs-Computersysteme die Task-Datei vom Vermittlungs-Computersystem zu sich transferieren und bestimmte Aktionen an der Task-Datei vornehmen. Hierzu kann ein Prozess angestoßen werden, welcher die ausgewählte Task-Datei im Vermittlungs-Computersystem aufruft und automatisiert vom Vermittlungs-Computersystem auf das jeweilige Bearbeitungs-Computersystem überträgt. Genannte Aktionen können z.B. das Hinzufügen sonstiger Anweisungen oder einer zusätzlichen Signatur zur Verifizierung sein. Nach Durchführen einer Aktion in einem Bearbeitungs-Computersystem wird die Task-Datei zurück auf das Vermittlungs-Computersystem übertragen.
  • Im Weiteren kann dann eine Instanz des verteilten Sicherungssystems auf das Vermittlungs-Computersystem zugreifen, sodass die Task-Datei vom Vermittlungs-Computersystem auf die Instanz des verteilten Sicherungssystems übertragen wird. Hierzu kann erneut ein Prozess angestoßen werden, welcher die ausgewählte Task-Datei im Vermittlungs-Computersystem aufruft und automatisiert vom Vermittlungs-Computersystem auf die Instanz des verteilten Sicherungssystems überträgt. Vorteilhaft ist das automatisierte Übertragen der Task-Datei vom Vermittlungs-Computersystem auf die Instanz des verteilten Sicherungssystems so ausgestaltet, dass ein Dritter von außen darauf keine Einflussmöglichkeiten hat und somit eine Gefahr von Manipulationen der Instanz des verteilten Sicherungssystems über die Task-Datei ausgeschlossen ist.
  • In der Instanz des verteilten Sicherungssystems kann dann die Gültigkeit der Task-Datei lokal überprüft werden. Manipulationen (sofern möglich) am Inhalt der Task-Datei auf dem Vermittlungs-Computersystem, zum Beispiel durch einen Angreifer von außen, führen vorteilhaft lediglich zu einer Fehlermeldung innerhalb der Instanz des verteilten Sicherungssystems, welche zum Beispiel über ein Monitoring protokolliert wird.
  • Anschließend können dann die in der Task-Datei enthaltenen Informationen innerhalb der Instanz des verteilten Sicherungssystems weiterverarbeitet werden, insbesondere die einen oder mehreren Schlüsselfragmente beziehungsweise einen oder mehrere Teildatensätze gespeichert werden. Entscheidend ist, dass nach Übertragen der Task-Datei auf die Instanz des verteilten Sicherungssystems sämtliche Vorgänge lokal in der eingekapselten Instanz des verteilten Sicherungssystems ohne übliche Zugriffs- beziehungsweise Angriffsmöglichkeit von entfernt liegenden Computersystemen durch Dritte durchgeführt werden.
  • Vermittels einer oben erläuterten Task-Datei beziehungsweise des wenigstens einen Vermittlungs-Computersystems der oben erläuterten Art ist auf diese Weise eine Kommunikation zwischen den beteiligten Bearbeitungs-Computersystemen und den Instanzen des verteilten Sicherungssystems möglich, obwohl diese, wie oben erläutert, keinen Verbindungsaufbau von extern zulassen.
  • Zum Anstoßen eines Weitertransports einer entsprechenden Task-Datei kann ein Vermittlungs-Computersystem beispielsweise ein Port-Knocking gegenüber einem beteiligten Bearbeitungs-Computersystem oder gegenüber einer Instanz des verteilten Sicherungssystems durchführen, um diesem System das Vorliegen einer Task-Datei zu signalisieren. Alternativ oder ergänzend kann ein beteiligtes Bearbeitungs-Computersystem oder eine Instanz des verteilten Sicherungssystems auch von sich aus eine Anfrage an das Vermittlungs-Computersystem über das Vorliegen einer abzuholenden Task-Datei initiieren (Polling).
  • Zum Übertragen der Task-Datei vom Vermittlungs-Computersystem auf das Bearbeitungs-Computersystem oder auf eine Instanz des verteilten Sicherungssystems können letztere dann von sich aus eine Verbindung zum Vermittlungs-Computersystem aufbauen und die Task-Datei zu sich übertragen. Dies kann beispielsweise unter Unix über den Befehl „scp“ (secure copy) erfolgen.
  • Es ist für das hier erläuterte Verfahren praktikabel, innerhalb der Task-Dateien Routing-Informationen zum Routing der Daten zwischen der Gruppe der Bearbeitungs-Computersysteme, einem oder einer Mehrzahl von Vermittlungs-Computersystemen und der Mehrzahl der Instanzen des verteilten Sicherungssystems zu hinterlegen. Es ist denkbar, für unterschiedliche Kommunikationsrichtungen verschiedene Task-Dateien mit entsprechenden richtungsabhängigen Routing-Informationen zu erzeugen oder eine Task-Datei mit ggf. entsprechend vorbereiteten oder angepassten Routing-Informationen zu verwenden.
  • In einer vorteilhaften Ausgestaltung des Verfahrens sind sämtliche Instanzen des verteilten Sicherungssystems redundant ausgelegt und weisen jeweils wenigstens zwei Teilinstanzen auf, wobei die jeweiligen Schlüsselfragmente sowie die jeweiligen Teildatensätze redundant in den jeweiligen Teilinstanzen des verteilten Sicherungssystems gespeichert werden. Eine redundante Auslegung des verteilten Sicherungssystems und eine redundante Speicherung der Daten in den jeweiligen Teilinstanzen erlaubt eine Ausfallsicherheit bzw. Hochverfügbarkeit des Sicherungssystems.
  • Vorteilhaft wird in einer Ausgestaltung des Verfahrens zwischen den Teilinstanzen einer jeweiligen Instanz des verteilten Sicherungssystems eine Datenreplikation der gespeicherten Teildatensätze durchgeführt.
  • Das oben erläuterte Verfahren und weitere vorteilhafte Aspekte werden nachfolgend anhand mehrerer Ausführungsbeispiele unter Zuhilfenahme von Figuren beschrieben.
  • Es zeigen:
  • 1 eine schematisierte Darstellung eines Teils eines Computernetzwerks zur Datensicherung gemäß einer ersten Ausführungsform,
  • 2A eine schematisierte Darstellung eines Teils eines Computernetzwerks zur Datensicherung gemäß einer weiteren Ausführungsform,
  • 2B das Computernetzwerk gemäß 2A zur Replikation von Daten,
  • 3A das Computernetzwerk gemäß 2A zur Abfrage eines gespeicherten Datensatzes,
  • 3B das Computernetzwerk gemäß 3A zum Rücktransport eines gespeicherten Datensatzes oder zur Bestätigung der Sicherung eines zu speichernden Datensatzes,
  • 4 eine schematisierte Darstellung eines Teils eines Computernetzwerks zur Datensicherung gemäß einer dritten Ausführungsform.
  • 1 zeigt eine schematisierte Darstellung zumindest eines Teils eines Computernetzwerks 1 zur Datensicherung gemäß einer ersten Ausführungsform. Das Computernetzwerk 1 umfasst ein Bearbeitungs-Computersystem 2 (Client), ein verteiltes Sicherungssystem 3 mit exemplarisch drei Instanzen I1, I2 und I3, die jeweils zwei Teilinstanzen (DS1-1, DS1-2, DS2-1, DS2-2, DS3-1, DS3-2) zur redundanten Speicherung von Daten aufweisen, sowie einen Vermittlungs-Computersystem 4 (Task-Server. Sämtliche Systeme sind über ein Netzwerk N zur Kommunikation miteinander verbunden. Die Teilinstanzen (DS1-1, DS1-2, DS2-1, DS2-2, DS3-1, DS3-2) des verteilten Sicherungssystems 3 sind jeweils als Datenserver eingerichtet.
  • Die Instanzen I1 bis I3 des verteilten Sicherungssystems 3, konkret sämtliche Teilinstanzen (DS1-1, DS1-2, DS2-1, DS2-2, DS3-1, DS3-2), sowie das Bearbeitungs-Computersystem 2 halten sämtliche für das Verfahren maßgeblichen Netzwerk-Ports derart geschlossen, dass eine Ansprechbarkeit, d.h. ein Verbindungsaufbau von außen zu den Instanzen I1 bis I3 (Teilinstanzen DS1-1, DS1-2, DS2-1, DS2-2, DS3-1, DS3-2) des verteilten Sicherungssystems 3 bzw. zum Bearbeitungs-Computersystem 2 über das Netzwerk N verhindert wird (vergleiche schraffierte Ein- und Ausgänge am verteilten Sicherungssystem 3 sowie am Bearbeitungs-Computersystem 2 in 1).
  • Im Gegensatz zum verteilten Sicherungssystem 3 und zum Bearbeitungs-Computersystem 2 weist das Vermittlungs-Computersystem 4 zumindest einen ansprechbaren offenen Netzwerk-Port auf und ist über das Netzwerk N derart zugänglich, dass sowohl die Instanzen I1 bis I3 des verteilten Sicherungssystems 3 als auch das Bearbeitungs-Computersystem 2 auf das Vermittlungs-Computersystem 4 zugreifen können, d.h. eine Verbindung zum Vermittlungs-Computersystem 4 aufbauen können, um Informationen bzw. Daten im Vermittlungs-Computersystem 4 abzulegen oder vom Vermittlungs-Computersystem 4 abzuholen. Ein Verbindungsaufbau von den jeweiligen Instanzen I1 bis I3 bzw. vom Bearbeitungs-Computersystem 2 auf das Vermittlungs-Computersystem 4 kann z.B. dadurch getriggert werden, dass das Vermittlungs-Computersystem 4 ein Port-Knocking an vorbestimmten geschlossenen Netzwerk-Ports der jeweiligen Instanzen I1 bis I3 bzw. des Bearbeitungs-Computersystem 2 initiiert, um diesen Systemen zu signalisieren, dass bestimmte Daten/Informationen im Vermittlungs-Computersystem 4 vorliegen. Anschließend können dann die jeweiligen Instanzen I1 bis I3 bzw. das Bearbeitungs-Computersystem 2 jeweils eine Verbindung zum Vermittlungs-Computersystem aufbauen, um die Daten/Informationen abzuholen.
  • Nachfolgend wird in mehreren Schritten 1 bis 4 (vergleiche Nummerierung in 1) ein Verfahren zur Datensicherung im Computernetzwerk 1 gemäß 1 erläutert.
  • In Schritt 1 werden im Bearbeitungs-Computersystem 2 beispielhaft drei Zufallszahlen erzeugt. Die Anzahl der Zufallszahlen entspricht der späteren Aufteilung der zu sichernden Daten im verteilten Sicherungssystem 3, wie weiter unten erläutert wird. Die Anzahl der Zufallszahlen kann aber auch von der Anzahl der Aufteilungen abweichen.
  • Die drei erzeugten Zufallszahlen werden miteinander kombiniert (z.B. aneinandergehängt). Aus dieser Kombination wird eine Prüfsumme gebildet. Diese Prüfsumme wird als Schlüssel bzw. Passphrase für die symmetrische Verschlüsselung von zu speichernden Daten eines Datensatzes im Bearbeitungs-Computersystem 2 verwendet.
  • Ein Datensatz, der Daten enthält, im Bearbeitungs-Computersystem 2 vorliegt und zu Sicherungszwecken im verteilten Sicherungssystem 3 gespeichert werden soll, wird mit dem Schlüssel symmetrisch in einen verschlüsselten Datensatz verschlüsselt. Der verschlüsselte Datensatz wird anschließend in drei Teildatensätze aufgeteilt (z.B. byteweise reihum oder gemäß einem anderen geeigneten Verfahren mit beispielsweise anderer Blockgröße). Die drei Zufallszahlen werden den Teildatensätzen zugeordnet zur Bildung von drei Zufallszahl-Teildatensatz-Paaren. Durch eine zusätzliche (optionale) asymmetrische Verschlüsselung (public key / private key) der drei Zufallszahl-Teildatensatz-Paare kann weiterhin erreicht werden, dass die Informationen später nur von bestimmten Empfängern gelesen werden können. Die (ggf. zusätzlich verschlüsselten) Zufallszahl-Teildatensatz-Paare werden in eine oder mehrere Task-Dateien eingebettet. Es ist sinnvoll, jedes Zufallszahl-Teildatensatz-Paar in eine separate Task-Datei einzubetten, weil ein nachfolgender Transport zu unterschiedlichen Instanzen des verteilten Sicherungssystems erfolgen soll. In den Task-Dateien können auch Anweisungen bzw. vorbestimmte Routing-Informationen für den Transport und die Verarbeitung der Task-Dateien enthalten sein. Zur Authentifizierung werden die Task-Dateien durch das Bearbeitungs-Computersystem 2 signiert und (optional) nochmals verschlüsselt.
  • Die drei Zufallszahl-Teildatensatz-Paare werden – eingebettet in entsprechende Task-Dateien – in den nachfolgenden Schritten 2 bis 4 zu den zugeordneten Instanzen I1 bis I3 übertragen. Hierzu baut das Bearbeitungs-Computersystem 3 eine Verbindung zum Vermittlungs-Computersystem 4 auf, und legt die Task-Dateien im Vermittlungs-Computersystem 4 ab. Anschließend können die jeweiligen Instanzen I1 bis I3 bzw. konkret deren Teilinstanzen DS1-1, DS1-2, DS2-1, DS2-2, DS3-1, DS3-2 (ggf. getriggert durch ein vorhergehendes Port-Knocking durch das Vermittlungs-Computersystem 4) jeweils Verbindungen zum Vermittlungs-Computersystem 4 aufbauen und die jeweiligen Task-Dateien abholen und lokal weiterverarbeiten.
  • Konkret erfolgt in 1 in Schritt 2 eine Übertragung einer Task-Datei mit einem Zufallszahl-Teildatensatz-Paar an die Instanz I1 (mit deren Teil-Instanzen DS1-1 und DS1-2), in Schritt 3 eine Übertragung einer weiteren Task-Datei mit einem weiteren Zufallszahl-Teildatensatz-Paar an die Instanz I2 (mit deren Teil-Instanzen DS2-1 und DS2-2), sowie in Schritt 4 eine entsprechende Übertragung der dritten Task-Datei mit dem dritten Zufallszahl-Teildatensatz-Paar an die Instanz I3 (mit deren Teil-Instanzen DS3-1 und DS3-2). Auf diese Weise sind nach Durchführen dieser Maßnahmen dann sämtliche Zufallszahl-Teildatensatz-Paare verteilt auf die Instanzen I1 bis I3 sowie dort jeweils redundant in den Teilinstanzen DSx-1 und DSx-2 gespeichert. Die Schritte 2 bis 4 können parallel durchgeführt werden.
  • Um sicherzustellen, dass die Informationen redundant gespeichert werden, können die Informationen vom Bearbeitungs-Computersystem 2 jeweils separat an die einzelnen Teilinstanzen DSx-1 und DSx-2 gesendet werden oder durch eine vorbestimmte Definition in der entsprechenden Task-Datei mittels einer 1:2 Übertragung (allgemein 1:n bei n Teilinstanzen) direkt auf die Teilinstanzen transportiert werden. Die Redundanz auf dem Übertragungsweg wird in letzterem Fall zum Beispiel durch eine redundante Auslegung der Transportstrecke gewährleistet.
  • Nach dem Durchführen der Datensicherung wird der Schlüssel zur Verschlüsselung des Datensatzes im Bearbeitungs-Computersystem 2 wieder gelöscht.
  • 2A zeigt eine schematisierte Darstellung eines Teils eines Computernetzwerks 1 zur Datensicherung gemäß einer weiteren Ausführungsform. Hierbei ist nur ein redundant ausgelegter Teil des verteilten Sicherungssystems 3 (insbesondere Teilinstanzen DS1-1 und DS1-2 der Instanz I1) dargestellt. Für die in 1 beispielhaft dargestellten weiteren Komponenten I2 bzw. I3 mit deren Teilinstanzen DS2-1, DS2-2, DS3-1 und DS3-2 gelten die hier dargestellten Abläufe analog.
  • In 2A ist schematisiert die Vernetzung des Bearbeitungs-Computersystems 2 mit der Instanz I1 (Teilinstanzen DS1-1 und DS1-2) des verteilten Sicherungssystems 3 (vgl. 1) über zwei Vermittlungs-Computersysteme (Task-Server 1-1 und Task-Server 1-2) dargestellt. Die beiden Vermittlungs-Computersysteme (Task-Server 1-1 und Task-Server 1-2) sind über ein Netzwerk N1 mit dem Bearbeitungs-Computersystem 2 und über ein Netzwerk N2 mit den Teilinstanzen DS1-1 und DS1-2 verbunden. Auf diese Weise ist das Computernetzwerk 1 hochverfügbar eingerichtet. Der Transport über die redundanten Verbindungen kann durch direkte Verwendung derselben oder durch andere Verfahren (wie z.B. Bonding) erfolgen. Die Redundanz der Vermittlungs-Computersysteme (Task-Server 1-1 und Task-Server 1-2) könnte beispielsweise auch über eine Cluster-Software realisiert werden.
  • 2A zeigt die redundante Speicherung eines Datensatzes (vermittels der oben erläuterten Task-Dateien). Die Daten werden redundant auf beide Datenserver (Teilinstanzen DS1-1 und DS1-2) transportiert und dort gesichert. In der Abbildung ist die Speicherung ohne Rückkanal (Bestätigung) dargestellt. Hier erfolgt die Überwachung der Aktionen durch ein entsprechend konfiguriertes Monitoring. Als Variation dieses Verfahrens kann aber auch eine Bestätigung in Form einer von den Teilinstanzen DS1-1 und DS1-2 zurück gesendeten Task-Datei erfolgen.
  • Ferner sind in 2A detaillierte Verfahrensschritte 1 bis 3 (siehe Nummerierung in 2A) zur redundanten, hochverfügbaren Speicherung der Task-Dateien (vgl. obige Erläuterungen zu 1) in der Instanz I1 dargestellt und werden im Folgenden näher erläutert.
  • In einem Schritt 1 erfolgt eine parallele Übertragung einer Task-Datei vom Bearbeitungs-Computersystem 2 vermittels einer Netzwerk-Verbindung jeweils auf die Vermittlungs-Computersysteme Task-Server 1-1 und Task-Server 1-2.
  • In einem jeweiligen Schritt 2 überprüfen die Task-Server 1-1 und 1-2 (z.B. nach Abwarten einer zufälligen Zeitspanne), ob die entsprechende Task-Datei auf dem jeweils anderen Computersystem vollständig vorhanden ist. Hierzu kann beispielsweise der Task-Server 1-1 eine Anfrage an den Task-Server 1-2 senden und umgekehrt. Falls der Schritt 2 ergibt, dass in einem dieser beiden Vermittlungs-Computersysteme die Task-Datei nicht vorhanden ist (z.B. weil eine Übertragung vom Bearbeitungs-Computersystem 2 aus fehlgeschlagen ist), so wird das überprüfende Vermittlungs-Computersystem (zum Beispiel Task-Server 1-1 gegenüber Task-Server 1-2 oder umgekehrt) gemäß einem zuvor aus der Task-Datei ermittelten Routing tätig und überträgt eine Kopie der Task-Datei an das Vermittlungs-Computersystem, in dem die Task-Datei zuvor nicht vorhanden war (zum Beispiel Task-Server 1-2).
  • Auf diese Weise kann beispielsweise der Task-Server 1-2 vermittels des Task-Servers 1-1 erneut in die Kommunikation und Weiterleitung von Task-Dateien eingebunden werden, selbst wenn eine Übertragung einer Task-Datei vom Bearbeitungs-Computersystem 2 aus zu Task-Server 1-2 fehlgeschlagen ist.
  • In einem weiteren Schritt 3 überprüfen schließlich beide Task-Server 1-1 beziehungsweise 1-2, ob die Task-Datei bereits erfolgreich auf die jeweiligen Teilinstanzen DS1-1 bzw. DS1-2 (durch das jeweils andere Vermittlungs-Computersystem) übertragen worden ist oder nicht. Nachdem die Teilinstanzen DS1-1 bzw. DS1-2 mit für diesen Zweck geschlossenen Netzwerk-Ports eingekapselt sind, richten die Task-Server 1-1 beziehungsweise 1-2 jeweils einen Port-Knocking-Prozess an die Teilinstanzen DS1-1 bzw. DS1-2, wobei diese von sich aus prüfen, ob auf den Teilinstanzen DS1-1 bzw. DS1-2 bereits die Task-Datei vorhanden ist oder nicht. Falls in einer oder beiden Teilinstanzen DS1-1 bzw. DS1-2 die Task-Datei noch nicht vorhanden ist, so holen die entsprechenden Teilinstanzen DS1-1 bzw. DS1-2 in Schritt 3 von dem jeweiligen Task-Server 1-1 beziehungsweise 1-2 die Task-Datei ab.
  • 2B zeigt das Computernetzwerk 1 gemäß 2A zur Replikation bzw. Synchronisation von Daten zwischen den Teilinstanzen DS1-1 bzw. DS1-2 der Instanz I1. Das hier verwendete Transportprotokoll liefert Task-Dateien, wie oben dargestellt, redundant aus. Dies geschieht im Falle von Unterbrechungen im Prozess auch nachträglich zur gewünschten Teilinstanz DS1-1 bzw. DS1-2. Es sind aber auch Fälle denkbar, in denen eine Task-Datei nicht auf einer der redundanten Teilinstanzen DS1-1 bzw. DS1-2 ankommt oder die Teilinstanzen DS1-1 bzw. DS1-2 selbst physische Defekte haben (oder nicht unter allen Bedingungen so funktionieren, wie sie sollten) und daher der Datenbestand auf den beiden Teilinstanzen DS1-1 bzw. DS1-2 inkonsistent wird.
  • Aus diesem Grund erfolgt gemäß 2B eine Replikation der Daten zwischen den Teilinstanzen DS1-1 bzw. DS1-2. Als relevantes Merkmal für die Aktualität einer Task-Datei bzw. einer in der Task-Datei hinterlegten Information (z.B. eines Zufallszahl-Teildatensatz-Paares) kann z.B. ein Zeitstempel bei der Erzeugung auf dem Bearbeitungs-Computersystem dienen. Der Zeitstempel kann z.B. auf 1 ns genau sein. Die Replikation kann bei jeder Veränderung der Informationen zwischen den Teilinstanzen DS1-1 bzw. DS1-2 oder auch des gesamten im verteilten Sicherungssystem 3 gespeicherten Datensatzes angestoßen werden. Alternativ ist eine Synchronisation in bestimmten Zeit-Intervallen möglich. Auch kann die Kombination beider Verfahren verwendet werden, also z.B. eine Synchronisation nach spätestens n Sekunden (Minuten, Stunden), nachdem die letzte Synchronisation ausgelöst wurde. Optional kann ebenfalls eine automatische Synchronisation nach dem (Neu-)Start einer Teilinstanz DS1-1 bzw. DS1-2 erfolgen.
  • Insbesondere wird nachfolgend eine Replikation bzw. Synchronisation zwischen den beiden Teilinstanzen DS1-1 bzw. DS1-2 in mehreren Verfahrensschritten 4 bis 6 (vergleiche Nummerierung in 2B) erläutert. In einem Schritt 4 sendet beispielhaft die Teilinstanz DS1-2 die in den vorhergehenden Prozessschritten empfangene und (aus ihrer Sicht) aktuellste Task-Datei an die beiden Vermittlungs-Computersysteme Task-Server 1-1 und Task-Server 1-2. Die Aktualität der Task-Datei kann, wie oben erläutert, zum Beispiel anhand eines in der Task-Datei hinterlegten Zeitstempels erfasst werden. Für die Übertragung der Daten während der Replikation werden die Daten vorteilhaft mittels eines öffentlichen Schlüssels der empfangenden Teilinstanz DS1-1 bzw. DS1-2 verschlüsselt, damit diese nur von diesem gelesen werden können.
  • In einem Schritt 5 überprüfen die Task-Server 1-1 und 1-2 (z.B. nach Abwarten einer zufälligen Zeitspanne), ob die von der Teilinstanz DS1-2 gesendete Task-Datei auf dem jeweils anderen Computersystem vollständig vorhanden ist. Hierzu kann beispielsweise der Task-Server 1-1 eine Anfrage an den Task-Server 1-2 senden und umgekehrt. Falls der Schritt 5 ergibt, dass in einem dieser beiden Vermittlungs-Computersysteme die Task-Datei nicht vorhanden ist (z.B. weil eine Übertragung von der Teilinstanz DS1-2 aus fehlgeschlagen ist), so wird das überprüfende Vermittlungs-Computersystem (zum Beispiel Task-Server 1-1 gegenüber Task-Server 1-2 oder umgekehrt) gemäß einem zuvor aus der Task-Datei ermittelten Routing tätig und überträgt eine Kopie der Task-Datei an das Vermittlungs-Computersystem, in dem die Task-Datei zuvor nicht vorhanden war (zum Beispiel Task-Server 1-2).
  • In einem weiteren Schritt 6 überprüfen wiederum beide Task-Server 1-1 beziehungsweise 1-2, ob die Task-Datei bereits erfolgreich auf die andere Teilinstanz DS1-1 (durch das jeweils andere Vermittlungs-Computersystem) übertragen worden ist oder nicht. Hierzu richten die Task-Server 1-1 beziehungsweise 1-2 jeweils einen Port-Knocking-Prozess an die Teilinstanz DS1-1, wobei diese von sich aus prüft, ob die Task-Datei vorhanden ist oder nicht. Falls die Task-Datei noch nicht vorhanden ist, so holt die Teilinstanz DS1-1 die Task-Datei von dem jeweiligen Task-Server 1-1 beziehungsweise 1-2 ab.
  • Innerhalb der Teilinstanz DS1-1 kann die Task-Datei (die ja von der Teilinstanz DS1-2 stammt) mit dem bereits vorhandenen Datenbestand abgeglichen werden, wobei der aktuellere Datenbestand erhalten bleibt und ältere Daten archiviert oder direkt oder nach einer bestimmten Zeitspanne verworfen werden.
  • Ein umgekehrter Prozess ausgehend von der Teilinstanz DS1-1 in Richtung der Teilinstanz DS1-2 ist natürlich ebenfalls sinnvoll. Falls weitere Teilinstanzen DS1-3 bis DS1-n existieren, kann das hier beschriebene Verfahren der Replikation auf alle diese Instanzen analog angewendet werden. Dieses kann beispielsweise durch schrittweises paarweises Replizieren oder durch Replikation nach vorheriger "Gesamtanalyse" erfolgen. Auf diese Weise können sämtliche der Teilinstanzen einer Instanz I1 bis I3 des verteilten Sicherungssystems 3 ihre Daten replizieren bzw. synchronisieren. Die Prozesse haben den Vorteil, dass bei zeitlichem Versatz einer Datenspeicherung und/oder bei vorübergehendem Ausfall einer Teilinstanz dennoch jeweils der aktuellste Datenbestand redundant und hochverfügbar im verteilten Sicherungssystem 3 gesichert werden kann.
  • 3A zeigt eine schematisierte Darstellung des Computernetzwerks gemäß 2A zur Abfrage eines gemäß den oben dargestellten Prozessen verteilt gespeicherten Datensatzes in mehreren Verfahrensschritten 1 bis 5 (vgl. Nummerierung). In 3A ist, wie in den 2A und 2B, nur ein redundant ausgelegter Teil des verteilten Sicherungssystems 3 (insbesondere Teilinstanzen DS1-1 und DS1-2 der Instanz I1) dargestellt. Für die in 1 beispielhaft dargestellten weiteren Komponenten I2 bzw. I3 mit deren Teilinstanzen DS2-1, DS2-2, DS3-1 und DS3-2 gelten die hier dargestellten Abläufe analog.
  • Im Schritt 1 gemäß 3A werden im Bearbeitungs-Computersystem 2 für die Abfrage des gesicherten Datensatzes eine oder mehrere Task-Dateien erzeugt und zur Authentifizierung des Bearbeitungs-Computersystems 2 mit einer qualifizierten Signatur signiert und optional verschlüsselt. Vorteilhaft wird für jedes in einer Teilinstanz DS1-1 bzw. DS1-2 abzufragende Zufallszahl-Teildatensatz-Paar (vgl. Erläuterungen in 1) eine Task-Datei erzeugt. Es ist alternativ denkbar, die Zufallszahl-Teildatensatz-Paare über eine einzige Task-Datei abzufragen. Dies kann prozessspezifisch angepasst werden.
  • Die erzeugten Task-Dateien enthalten u.a. Informationen über den jeweiligen Speicherpfad (Ort) der im verteilten Sicherungssystem gespeicherten Zufallszahl-Teildatensatz-Paare. Auf diese Weise kann festgelegt werden, welche Daten überhaupt aus dem verteilten Sicherungssystem 3 zurückgeliefert werden sollen.
  • Ferner enthalten die Task-Dateien Informationen über ein Routing für den Hinweg (d.h. vom Bearbeitungs-Computersystem 2 hin zu den jeweiligen Teilinstanzen, hier DS1-1 und DS1-2) sowie ggf. für den Rückweg (d.h. von den jeweiligen Teilinstanzen, hier DS1-1 und DS1-2, zurück zum Bearbeitungs-Computersystem 2). Hier können optional unterschiedliche Verfahren verwendet werden:
    • – Verwendung derselben Task-Dateien mit darin hinterlegter Definition eines Routings sowohl für den Hinweg als auch für den Rückweg. Dieses setzt voraus, dass sämtliche betroffenen redundanten Teilinstanzen über dasselbe Netzwerk N erreicht werden, d.h. dass das dem Routing zugrunde liegende IP-Adress-Routing identisch verwendet werden kann.
    • – Verwendung derselben Task-Dateien sowohl für den Hinweg als auch für den Rückweg, wenn Teilinstanzen auf unterschiedlichen Wegen (z.B. in unterschiedlichen Netzwerken verschiedener Sicherheitszonen getrennt, vgl. 4) an das Netzwerk angeschlossen sind. In diesem Fall müssen unterschiedliche Konfigurationen von Routings spezifiziert für einzelne Transport- bzw. Kommunikationswege definiert sein (z.B. Übertragung gemäß einer Verteilung 1:n).
    • – Erzeugen und Abschicken einer anderen Task-Datei, die für den Rückweg speziell in den jeweiligen Teilinstanzen konfiguriert wird. Von der initialen Task-Datei des Bearbeitungs-Computersystems 2 müssen dann mindestens das Routing sowie die Informationen über den Inhalt der Abfrage übernommen werden, um eine Identifikation der zurückgelieferten Daten im Bearbeitungs-Computersystems 2 zu ermöglichen. Für das Routing kann auch hier unterschieden werden, ob der Rückweg von den Datenserverkomponenten identisch ist oder nicht.
  • Die im Bearbeitungs-Computersystem 2 erzeugten Task-Dateien werden in Schritt 2 an die Vermittlungs-Computersysteme 4 (Task-Server 1-1 bzw. Task-Server 1-2) geschickt, welche wiederum einen Verbindungsaufbau durch die Teilinstanzen DS1-1 und DS1-2 für den Weitertransport der Task-Dateien auf die Teilinstanzen ermöglichen.
  • Im Schritt 3 erfolgt zur Erhöhung der Redundanz die Übertragung zwischen den Vermittlungs-Computersystemen 4. Im Schritt 4 werden die Task-Dateien dann an die Teilinstanzen DS1-1 und DS1-2 übertragen. Im Schritt 5 werden die Authentifizierungen über die Signaturen der Task-Dateien überprüft und bei positiver Überprüfung die gewünschten Daten (über die in den jeweiligen Task-Dateien mitgelieferten Informationen) ermittelt. Die Teilinstanzen DS1-1 und DS1-2 stellen die für die Identifizierung der Anfrage notwendigen Informationen (z.B. Zeitstempel der Abfrage) sowie das gewünschte Zufallszahl-Teildatensatz-Paar zusammen und betten diese Informationen in die jeweiligen Task-Dateien ein oder erzeugen neue Task-Datei mit den entsprechenden Informationen. Das Routing zurück zum Bearbeitungs-Computersystem 2 kann z.B. aus der initialen Task-Datei des anfragenden Bearbeitungs-Computersystems 2 übernommen werden, in Form einer eingebetteten Task-Datei, die vom Bearbeitungs-Computersystems 2 mitgeschickt wurde, oder durch Weiterverwenden der Abfrage-Task-Datei vom Bearbeitungs-Computersystems 2, die die Beschreibung für das Rück-Routing bereits enthält, erfolgen.
  • 3B veranschaulicht den Rücktransport der abgefragten Informationen, d.h. hier konkret des redundant in den Teilinstanzen DS1-1 und DS1-2 gespeicherten Zufallszahl-Teildatensatz-Paares hin zum anfragenden Bearbeitungs-Computersystem 2. Es ist ergänzend ebenso denkbar, den im Weiteren dargestellten Mechanismus auch zur Bestätigung der erfolgreichen Sicherung eines zu speichernden Datensatzes einzusetzen.
  • Im Schritt 6 in 3B werden die von den Teilinstanzen DS1-1 und DS1-2 angepassten oder generierten Task-Dateien an die Vermittlungs-Computersysteme 4 (Task-Server1-1, Task-Server 1-2) übertragen. Diese werden dann im Schritt 7 zur Erhöhung der Redundanz zwischen den Vermittlungs-Computersystemen 4 versandt und anschließend im Schritt 8 an das Bearbeitungs-Computersystem 2 übertragen. Je nach – wie oben beschrieben – gewähltem Routing erfolgt dann die Zuordnung der von den Teilinstanzen DS1-1 und DS1-2 redundant rückübermittelten Informationen im Bearbeitungs-Computersystem 2.
  • Die erläuterten Prozesse erfolgen für alle Instanzen I1 bis I3 des verteilten Sicherungssystems 3 analog, sodass letztendlich sämtliche verteilt gespeicherten Zufallszahl-Teildatensatz-Paare an das Bearbeitungs-Computersystem 2 rückübermittelt werden. Im Bearbeitungs-Computersystem 2 können dann die einzelnen Zufallszahlen erneut kombiniert und der entsprechende Schlüssel berechnet werden (vgl. Erläuterungen zu 1). Ferner können die Teildatensätze zusammengefügt und mit dem berechneten Schlüssel entschlüsselt werden (Schritt 9). Es ist auch denkbar zunächst sämtliche Teildatensätze mit dem berechneten Schlüssel zu entschlüsseln und anschließend zusammenzusetzen.
  • 4 zeigt eine schematisierte Darstellung eines Teils eines Computernetzwerks 1 zur Datensicherung gemäß einer weiteren denkbaren Topologie. Hierbei sind die einzelnen Komponenten in verschiedenen (physisch und oder logisch) voneinander getrennten Sicherheitszonen (Zone 1 bis 4) aufgeteilt. Die Komponenten einer jeden Sicherheitszone sind über entsprechende Netzwerke N1 bis N4 verbunden. Eine Hochverfügbarkeit im Sinne redundanter Pfade ist aus Gründen der Übersichtlichkeit in 4 nicht dargestellt und kann wie oben beschrieben realisiert werden.
  • In Zone 1 ist neben dem Bearbeitungs-Computersystem 2 (Client) auch ein weiteres Bearbeitungs-Computersystem 2 (Task Initialization Server) dargestellt. Beispielsweise kann der Client vermittels des Vermittlungs-Computersystems 4 in Zone 1 auf den Task Initialization Server zugreifen, um eine bestimmte Aufgabe (Task) anzufordern.
  • Ein Relay-System 5 in einer zentralen Zone 0 stellt eine Überbrückung einer Kommunikation zwischen den einzelnen Sicherheitszonen her. Das Relay-System 5 weist, analog zu den Bearbeitungs-Computersystemen 2 (in Zone 1) und den Teilinstanzen DS1-1 bis DS3-2 des verteilten Sicherungssystems 3 (verteilt auf die Zonen 2 bis 4) geschlossene Netzwerk-Ports auf (siehe schraffierte Ein- und Ausgänge). Das bedeutet, dass analog zu den obigen Erläuterungen kein Verbindungsaufbau von außen auf das Relay-System 5 möglich ist. Allerdings kann das Relay-System 5 seinerseits eine Verbindung zu den Vermittlungs-Computersystemen 4 in den jeweiligen Zonen 1 bis 4 aufbauen, um Daten von dort abzuholen oder dort abzulegen und eine event-gesteuerte Kommunikation innerhalb der Struktur zu ermöglichen. Gegebenenfalls ist zur weiteren Absicherung gegen Manipulationen auch denkbar, durch das Relay-System 5 einen Protokollwechsel einer Kommunikation zwischen den einzelnen Sicherheitszonen 1 bis 4 zu implementieren.
  • Durch eine derartige spezielle Absicherung des Relay-Systems 5 ist die Topologie speziell gegen zonenübergreifende Angriffe geschützt. Dennoch fungiert das Relay-System 5 als eine Art Router zur Weiterleitung von Informationen zwischen den einzelnen Sicherheitszonen.
  • Ein Prozessablauf zur verteilten Datensicherung bzw. Wiederherstellung zwischen den Bearbeitungs-Computersystemen 2 und den weiteren Komponenten des verteilten Sicherungssystems erfolgt analog zu den oben im Zusammenhang mit den 1 bis 3B dargestellten Maßnahmen.
  • In weiteren Modifikationen des hierin dargestellten Verfahrens können die Schlüsselfragmente (Zufallszahlen) in den beteiligten Bearbeitungs-Computersystemen optional verhasht werden, wobei nur die Hash-Werte der Schlüsselfragmente übertragen und gespeichert werden, um die auf im verteilten Sicherungssystem gespeicherten Daten noch weitergehend vor Missbrauch zu schützen. Der Nachteil dieses Verfahrens ist, dass es dann nicht mehr möglich ist, eine Liste der im verteilten Sicherungssystem gespeicherten Schlüsselfragmente im Klartext abzufragen, um z.B. nicht mehr benötigte auszusortieren. Um dieses Problem zu umgehen, könnte optional eine Liste aller im verteilten Sicherungssystem abgespeicherten Schlüsselfragmente selbst verteilt gespeichert werden.
  • Da bei dem Verfahren der hierin erläuterten Art sämtliche Aktionen kryptografisch gesichert in Task-Dateien gespeichert werden können, können die einzelnen Daten (Teildatensätze und Schlüsselfragmente) auf dafür vorgesehenen Instanzen (Daten-Servern) hinterlegt werden. Ferner können die Task-Dateien und darin eingebettete Informationen für einen Audit-Prozess oder einen n-Augen-Prozess herangezogen werden.
  • Bezugszeichenliste
    • 1
    Computernetzwerk
    2
    Bearbeitungs-Computersystem
    3
    verteiltes Sicherungssystem
    4
    Vermittlungs-Computersystem
    5
    Relay-System
    I1, I2, I3
    Instanzen des verteilten Sicherungssystems
    DS1-1...DS3-2
    Teilinstanzen
    N, N1...N4
    Netzwerk

Claims (10)

  1. Verfahren zur sicheren Datenhaltung in einem Computernetzwerk (1), umfassend die folgenden Schritte zur Datensicherung: – automatisiertes Berechnen eines Schlüssels aus einer vorbestimmten Anzahl von Schlüsselfragmenten vorbestimmter Länge für eine Verschlüsselung von Daten, – Verschlüsseln von Daten eines zu sichernden Datensatzes vermittels des berechneten Schlüssels, – Aufteilen des Datensatzes in eine vorbestimmte Anzahl von Teildatensätzen, wobei die vorgenannten Schritte von wenigstens einem Bearbeitungs-Computersystem (2) aus einer Gruppe von Bearbeitungs-Computersystemen (2) ausgeführt werden, sowie – Übertragen der Schlüsselfragmente sowie der Teildatensätze an ein verteiltes Sicherungssystems (3) in dem Computernetzwerk (1), wobei jeweils ein oder mehrere Schlüsselfragmente beziehungsweise jeweils ein oder mehrere Teildatensätze von dem wenigstens einen Bearbeitungs-Computersystem (2) an jeweils eine Instanz (I1, I2, I3) aus einer Mehrzahl von Instanzen (I1, I2, I3) des verteilten Sicherungssystems (3) in dem Computernetzwerk (1) übertragen werden, und – Speichern sämtlicher übertragenen Schlüsselfragmente und Teildatensätze in den jeweiligen Instanzen (I1, I2, I3) des verteilten Sicherungssystems (3).
  2. Verfahren nach Anspruch 1, wobei die Anzahl der Teildatensätze der Anzahl der Schlüsselfragmente entspricht und vor dem Übertragen an das verteilte Sicherungssystem (3) jeweils ein Schlüsselfragment zu jeweils einem Teildatensatz zur Bildung von Schlüsselfragment-Teildatensatz-Paaren zugeordnet wird, wobei anschließend jeweils ein Schlüsselfragment-Teildatensatz-Paar an jeweils eine Instanz (I1, I2, I3) des verteilten Sicherungssystems (3) übertragen und dort gespeichert wird.
  3. Verfahren nach Anspruch 1 oder 2, wobei sämtliche Schlüsselfragmente jeweils aus einer hierfür erzeugten Zufallszahl gebildet werden.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei die Länge der jeweiligen Schlüsselfragmente mindestens genauso groß ist wie die Länge des berechneten Schlüssels.
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei nach dem Verschlüsseln des zu sichernden Datensatzes in den verschlüsselten Datensatz der Schlüssel im Bearbeitungs-Computersystem (2), das den Schlüssel berechnet hat, wieder gelöscht wird.
  6. Verfahren nach einem der Ansprüche 1 bis 5, wobei zumindest sämtliche Schlüsselfragmente und gegebenenfalls auch sämtliche Teildatensätze mit einem oder mehreren zweiten Schlüsseln verschlüsselt werden.
  7. Verfahren nach einem der Ansprüche 1 bis 6, umfassend die weiteren Schritte zur Datenwiederherstellung: – Abfrage der jeweiligen Schlüsselfragmente sowie der jeweiligen Teildatensätze in den jeweiligen Instanzen (I1, I2, I3) des verteilten Sicherungssystems (3) auf Anweisung eines aus der Gruppe der Bearbeitungs-Computersysteme (2), welches den Datensatz wiederherstellen möchte, – Übertragen der jeweiligen Schlüsselfragmente und der jeweiligen Teildatensätze von den jeweiligen Instanzen (I1, I2, I3) des verteilten Sicherungssystems (3) auf zumindest eines aus der Gruppe der Bearbeitungs-Computersysteme (2), – Zusammenfügen der Teildatensätze zum Datensatz, – Kombinieren der Schlüsselfragmente und Berechnen des Schlüssels aus den kombinierten Schlüsselfragmenten, sowie – Entschlüsseln der verschlüsselten Daten des Datensatzes vermittels des berechneten Schlüssels im anweisenden Bearbeitungs-Computersystem (2).
  8. Verfahren nach einem der Ansprüche 1 bis 7, wobei sowohl sämtliche Instanzen (I1, I2, I3) des verteilten Sicherungssystems (3) als auch sämtliche Bearbeitungs-Computersysteme (2) aus der Gruppe der Bearbeitungs-Computersysteme (2) sämtliche für das Verfahren maßgeblichen Netzwerk-Ports derart geschlossen halten, dass eine Ansprechbarkeit der Instanzen (I1, I2, I3) des verteilten Sicherungssystems (3) beziehungsweise der Bearbeitungs-Computersysteme (2) über ein Netzwerk (N) zum Übertragen der jeweiligen Schlüsselfragmente und der jeweiligen Teildatensätze verhindert wird, wobei jedoch zum Austausch der jeweiligen Schlüsselfragmente und der jeweiligen Teildatensätze wenigstens ein Vermittlungs-Computersystem (4) mit wenigstens einem ansprechbaren offenen Netzwerk-Port eingerichtet und über Netzwerk (N) derart zugänglich ist, dass die Instanzen (I1, I2, I3) des verteilten Sicherungssystems (3) beziehungsweise die Bearbeitungs-Computersysteme (2) auf das Vermittlungs-Computersystem (4) zugreifen können, um die jeweiligen Schlüsselfragmente beziehungsweise die jeweiligen Teildatensätze im Vermittlungs-Computersystem (4) abzulegen oder vom Vermittlungs-Computersystem (4) abzuholen.
  9. Verfahren nach einem der Ansprüche 1 bis 8, wobei sämtliche Instanzen (I1, I2, I3) des verteilten Sicherungssystems (3) redundant ausgelegt sind und jeweils wenigstens zwei Teilinstanzen (DS1-1, DS1-2, DS2-1, DS2-2, DS3-1, DS3-2) aufweisen, wobei die jeweiligen Schlüsselfragmente sowie die jeweiligen Teildatensätze redundant in den jeweiligen Teilinstanzen (DS1-1, DS1-2, DS2-1, DS2-2, DS3-1, DS3-2) des verteilten Sicherungssystems (3) gespeichert werden.
  10. Verfahren nach Anspruch 9, wobei zwischen den Teilinstanzen (DS1-1, DS1-2, DS2-1, DS2-2, DS3-1, DS3-2) einer jeweiligen Instanz (I1, I2, I3) des verteilten Sicherungssystems (3) eine Datenreplikation der gespeicherten Teildatensätze durchgeführt wird.
DE102016115193.9A 2016-08-16 2016-08-16 Verfahren zur sicheren Datenhaltung in einem Computernetzwerk Withdrawn DE102016115193A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102016115193.9A DE102016115193A1 (de) 2016-08-16 2016-08-16 Verfahren zur sicheren Datenhaltung in einem Computernetzwerk
GB201712197A GB2555183B (en) 2016-08-16 2017-07-28 Method for secure data management in a computer network
US15/674,048 US10586065B2 (en) 2016-08-16 2017-08-10 Method for secure data management in a computer network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016115193.9A DE102016115193A1 (de) 2016-08-16 2016-08-16 Verfahren zur sicheren Datenhaltung in einem Computernetzwerk

Publications (1)

Publication Number Publication Date
DE102016115193A1 true DE102016115193A1 (de) 2018-02-22

Family

ID=59778893

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016115193.9A Withdrawn DE102016115193A1 (de) 2016-08-16 2016-08-16 Verfahren zur sicheren Datenhaltung in einem Computernetzwerk

Country Status (3)

Country Link
US (1) US10586065B2 (de)
DE (1) DE102016115193A1 (de)
GB (1) GB2555183B (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10402271B2 (en) * 2014-12-02 2019-09-03 Pure Storage, Inc. Overcoming bottlenecks in zero information gain (ZIG) rebuild operations
US10503592B2 (en) * 2014-12-02 2019-12-10 Pure Storage, Inc. Overcoming bottlenecks in partial and traditional rebuild operations
EP4002754A1 (de) * 2017-08-31 2022-05-25 Visa International Service Association Einzelknoten-mehrpartei-verschlüsselung
CN109194465B (zh) * 2018-09-30 2022-02-18 巍乾全球技术有限责任公司 用于管理密钥的方法、用户设备、管理设备、存储介质
US11509459B2 (en) * 2019-05-10 2022-11-22 Conduent Business Services, Llc Secure and robust decentralized ledger based data management
US11620393B1 (en) * 2022-05-14 2023-04-04 Aswath Premaradj System and method for facilitating distributed peer to peer storage of data

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120243687A1 (en) * 2011-03-24 2012-09-27 Jun Li Encryption key fragment distribution
DE102014112478A1 (de) * 2014-06-03 2015-12-03 Fujitsu Technology Solutions Intellectual Property Gmbh Verfahren zur Verteilung von Tasks zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
US20160132684A1 (en) * 2014-11-06 2016-05-12 International Business Machines Corporation Secure database backup and recovery

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008004248A1 (en) * 2006-07-07 2008-01-10 Department Of Space, Isro A system and method for secured data communication in computer networks by phantom connectivity
WO2010057191A2 (en) * 2008-11-17 2010-05-20 Unisys Corporation Storage security using cryptographic splitting
US20100125730A1 (en) * 2008-11-17 2010-05-20 David Dodgson Block-level data storage security system
US10296428B2 (en) * 2010-05-17 2019-05-21 Veritas Technologies Llc Continuous replication in a distributed computer system environment
US8788849B2 (en) * 2011-02-28 2014-07-22 Sandisk Technologies Inc. Method and apparatus for protecting cached streams
US8917872B2 (en) * 2011-07-06 2014-12-23 Hewlett-Packard Development Company, L.P. Encryption key storage with key fragment stores
US10586063B2 (en) * 2015-03-20 2020-03-10 Samsung Electronics Co., Ltd. Method and apparatus for storing file by using a plurality of cloud storages
US20170222805A1 (en) * 2016-02-03 2017-08-03 Cocoon Data Holdings Pty Limited Escrow key fragmentation system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120243687A1 (en) * 2011-03-24 2012-09-27 Jun Li Encryption key fragment distribution
DE102014112478A1 (de) * 2014-06-03 2015-12-03 Fujitsu Technology Solutions Intellectual Property Gmbh Verfahren zur Verteilung von Tasks zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
US20160132684A1 (en) * 2014-11-06 2016-05-12 International Business Machines Corporation Secure database backup and recovery

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
Kryptographisch sicherer Zufallszahlengenerator – Wikipedia. Mit Stand vom 30. Apr. 2016‎. URL: https://de.wikipedia.org/wiki/Kryptographisch_sicherer_Zufallszahlengenerator *
Kryptologische Hashfunktion – Wikipedia. Mit Stand vom 14. Jun. 2016‎. URL: https://de.wikipedia.org/wiki/Kryptologische_Hashfunktion *
Offene_Ports – Wiki ubuntuusers. Mit Stand vom 1. Feb. 2015. https://wiki.ubuntuusers.de/Offene_Ports/
Offene_Ports – Wiki ubuntuusers. Mit Stand vom 1. Feb. 2015. https://wiki.ubuntuusers.de/Offene_Ports/ *
Redundanz (Technik) – Wikipedia. Mit Stand vom 4. Jul. 2016‎. URL: https://de.wikipedia.org/wiki/Redundanz_(Technik) *
Replikation (Datenverarbeitung) – Wikipedia. Mit Stand vom 29. Feb. 2016‎. URL: https://de.wikipedia.org/wiki/Replikation_(Datenverarbeitung)
Replikation (Datenverarbeitung) – Wikipedia. Mit Stand vom 29. Feb. 2016‎. URL: https://de.wikipedia.org/wiki/Replikation_(Datenverarbeitung) *

Also Published As

Publication number Publication date
US10586065B2 (en) 2020-03-10
GB201712197D0 (en) 2017-09-13
GB2555183B (en) 2019-12-25
GB2555183A (en) 2018-04-25
US20180053009A1 (en) 2018-02-22

Similar Documents

Publication Publication Date Title
DE102016115193A1 (de) Verfahren zur sicheren Datenhaltung in einem Computernetzwerk
DE102016224537B4 (de) Masterblockchain
EP2863610A2 (de) Verfahren und System zum manipulationssicheren Bereitstellen mehrerer digitaler Zertifikate für mehrere öffentliche Schlüssel eines Geräts
DE102020003739A1 (de) Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial
WO2019215262A2 (de) Verfahren zum sichern eines datenaustausches in einer verteilten infrastruktur
EP3152884B1 (de) Verfahren zur weiterleitung von daten zwischen computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
EP3648430B1 (de) Hardware-sicherheitsmodul
EP3152874A1 (de) Routing-verfahren zur weiterleitung von task-anweisungen zwischen computersystemen, computernetz-infrastruktur sowie computerporgamm-produkt
WO2015121060A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
EP3152660A1 (de) Verfahren zur verteilung von tasks zwischen computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
EP3152880B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
WO2020164927A1 (de) Verfahren und system zum übertragen von daten in einem netzwerk
WO2005074189A1 (de) Schaltungsanordnung und verfahren zur kommunikationssicherheit innerhalb von kommunikationsnetzen
EP3955511B1 (de) Gesicherte datenübertragung innerhalb eines qkd-netzwerkknotens
EP3105899B1 (de) Verfahren zum hochfahren eines produktions-computersystems
EP4270863B1 (de) Sichere wiederherstellung privater schlüssel
EP3267619A1 (de) Verfahren zur herstellung einer ausfallsicherung in einem netzwerk
EP2830277B1 (de) Verfahren und system zur manipulationssicheren übertragung von datenpaketen
EP3509267A1 (de) Primäre sicherungskettenanordnung für produkt- und systemsicherheit in datennetzen
EP4436096A1 (de) Beglaubigung von daten eines authentisierungs- und schlüsselvereinbarungsprotokoll-ablaufs
DE102016120768A1 (de) Serversystemanordnung und Verfahren zum Betrieb einer Serversystemanordnung
DE102016107644A1 (de) Verfahren zur erzwungenen Prozessierung von Datensätzen zwischen Computersystemen in einer Computernetz-Infrastruktur, Computernetz-Infrastruktur sowie Computerprogramm-Produkt

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee