DE112017000190T5 - Durchgehende Verschlüsselung und Backup in Datenschutzumgebungen - Google Patents

Durchgehende Verschlüsselung und Backup in Datenschutzumgebungen Download PDF

Info

Publication number
DE112017000190T5
DE112017000190T5 DE112017000190.0T DE112017000190T DE112017000190T5 DE 112017000190 T5 DE112017000190 T5 DE 112017000190T5 DE 112017000190 T DE112017000190 T DE 112017000190T DE 112017000190 T5 DE112017000190 T5 DE 112017000190T5
Authority
DE
Germany
Prior art keywords
fek
backup
encryption
new
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112017000190.0T
Other languages
English (en)
Inventor
Christian Mueller
Dominic Mueller-Wicke
Erik Rueger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112017000190T5 publication Critical patent/DE112017000190T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1451Management of the data involved in backup or backup restore by selection of backup contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • G06F11/1464Management of the backup or restore process for networked environments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/80Database-specific techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Retry When Errors Occur (AREA)
  • Computer And Data Communications (AREA)

Abstract

Ein Computer empfängt einen Satz von Objekten von einem Client (201), wobei wenigstens eines der Objekte des Satzes einem eindeutigen Dateiverschlüsselungsschlüssel (FEK) zugehörig und mit diesem verschlüsselt ist. Der Computer verschlüsselt jeden der FEKs mit einem gemeinsamen Hauptverschlüsselungsschlüssel MEK, was entsprechende gesperrte Schlüssel zur Folge hat. Bei einem anfänglichen Backup werden die verschlüsselten Objekte zusammen mit ihren zugehörigen gesperrten Schlüsseln zu einem Backup-Server (205) übertragen, wo ein erstes Modul ermittelt, ob sich der gesperrte Schlüssel geändert hat, indem auf einen Verschlüsselungszustand Bezug genommen wird, der den verschlüsselten Objekten zugehörig ist. Wenn sich ein MEK geändert hat, werden die vorhandenen FEKs mit dem geänderten MEK neu verschlüsselt, um neue gesperrte Schlüssel zu erzeugen, und in einer nachfolgenden Backup-Operation werden die neuen gesperrten Schlüssel an den Backup-Server (205) gesendet, um die vorhandenen gesperrten Schlüssel zu ersetzen, während das Übertragen der Objekte, deren zugehörige FEKs von dem geänderten MEK betroffen sind, an den Backup-Server (205) vermieden wird.

Description

  • HINTERGRUND
  • Die vorliegende Erfindung bezieht sich auf das Gebiet digitaler Computersysteme und insbesondere ein Verfahren zum Sichern und Wiederherstellen von verschlüsselten Dateiobjekten in einem Computersystem. Gegenwärtig muss eine verschlüsselte Datei, die mit Dateisystemtechniken verschlüsselt ist und gesichert werden soll, zuerst unter Verwendung der Dateisystemtechniken entschlüsselt und dann erneut mit dem Backup-Client und seinen Servertechniken verschlüsselt werden, um sie in einem verschlüsselten Format in dem Backup-Server zu speichern. Umgekehrt muss eine Datei, die vom Backup-Server wiederhergestellt werden soll, zuerst mit Backup-Server-Techniken entschlüsselt und dann erneut verschlüsselt werden, nachdem sie wieder im Dateisystem angekommen ist.
  • KURZDARSTELLUNG
  • Verschiedene Ausführungsformen stellen ein System und ein Verfahren zum Sichern und Wiederherstellen von Dateien bereit, die durch Dateisystemverschlüsselungsverfahren verschlüsselt sind.
  • Gemäß einer Ausführungsform der vorliegenden Erfindung wird ein durch einen Computer implementiertes Verfahren zum Durchführen einer Sicherung eines Satzes von Objekten durch einen Client beschrieben, wobei wenigstens einige der Objekte eines Satzes von Objekten jeweils mit einem eindeutigen Dateiverschlüsselungsschlüssel FEK verknüpft und verschlüsselt sind. Das Verfahren weist auf: Verschlüsseln jedes der FEKs mit einem gemeinsamen Hauptverschlüsselungsschlüssel MEK, wobei das Verschlüsseln jeweils gesperrte Schlüssel zur Folge hat; Übertragen der verschlüsselten Objekte in einer anfänglichen Backup-Operation zusammen mit ihren zugehörigen gesperrten Schlüsseln an einen Backup-Server; durch ein erstes Modul Ermitteln, ob ein Ereignis aufgetreten ist, bei dem sich ein gesperrter Schlüssel eines Objekts aufgrund einer Änderung des MEK geändert hat, wobei die Änderung eines gesperrten Schlüssels über einen Verschlüsselungszustand ermittelt wird, der dem Objekt zugehörig ist, dessen FEKs durch die Änderung der MEK betroffen sind, wobei der Verschlüsselungszustand die Änderung anzeigt, und im Falle eines geänderten MEK Umschlüsseln der bestehenden FEKs mit dem geänderten MEK, wobei dieses Umschlüsseln neue gesperrte Schlüssel zur Folge hat. In einer nachfolgenden Backup-Operation werden die neuen gesperrten Schlüssel an den Backup-Server gesendet, um die vorhandenen gesperrten Schlüssel zu ersetzen.
  • Gemäß einer Ausführungsform der vorliegenden Erfindung wird ein durch einen Computer implementiertes Verfahren zum Wiederherstellen eines Backup eines Satzes von Objekten durch einen Client beschrieben. Hier sind wenigstens einige der Objekte des Objektsatzes jeweils einem eindeutigen Dateiverschlüsselungsschlüssel FEK zugehörig und mit diesem verschlüsselt, wobei wenigstens einige der FEKs, die in dem Backup gespeichert sind, mit einem gemeinsamen Hauptverschlüsselungsschlüssel MEK verschlüsselt sind, wobei dieses Verschlüsseln entsprechende gesperrte Schlüssel zur Folge hat, die in dem Backup gespeichert sind. Jedes in dem Backup enthaltene Objekt ist einem Verschlüsselungszustand zugehörig, wobei der Verschlüsselungszustand anzeigt, ob sich der gesperrte Schlüssel in Bezug auf das aktuelle Backup aufgrund einer Änderung der MEK geändert hat. Das Verfahren weist ferner auf Empfangen einer Anforderung für ein Wiederherstellen eines der Objekte, wobei das Verfahren aufweist: Ermitteln, ob der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand anzeigt, dass sich der gesperrte Schlüssel geändert hat, nachdem das Backup durchgeführt wurde; wenn der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass der gesperrte Schlüssel nach Ausführen des aktuellen Backup geändert wurde, Ignorieren des Objekts beim Wiederherstellen; wenn der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass der gesperrte Schlüssel seit dem Ausführen des aktuellen Backup unverändert ist, Wiederherstellen des verschlüsselten FEK, der dem Objekt zugehörig ist, und des Objekts.
  • Hier wird eine weitere Ausführungsform beschrieben, bei der ein Client-Computer zum Durchführen eines Backup eines Satzes von Objekten durch einen Client eingerichtet ist, wobei wenigstens einige der Objekte des Satzes von Objekten einem eindeutigen Dateiverschlüsselungsschlüssel FEK zugehörig bzw. mit diesem verschlüsselt sind, wobei der Client-Computer einen Prozessor und einen Speicher aufweist, wobei der Speicher durch einen Computer ausführbare Anweisungen aufweist. Dabei bewirkt das Ausführen der Anweisungen durch den Prozessor, dass der Client: jeden der FEKs mit einem gemeinsamen Hauptverschlüsselungsschlüssel MEK verschlüsselt, wobei das Verschlüsseln entsprechende gesperrte Schlüssel zur Folge hat; Übertragen der verschlüsselten Objekte in einer anfänglichen Backup-Operation zusammen mit ihren zugehörigen gesperrten Schlüsseln an einen Backup-Server; Ermitteln, ob sich ein gesperrter Schlüssel eines Objekts aufgrund einer Änderung des MEK geändert hat, wobei die Änderung des gesperrten Schlüssels über einen Verschlüsselungszustand ermittelt wird, der den Objekten zugehörig ist, deren FEKs von der Änderung des MEK betroffen sind, wobei der Verschlüsselungszustand die Veränderung angibt; und, im Falle eines geänderten gesperrten Schlüssels erneutes Verschlüsseln der vorhandenen FEKs mit dem geänderten MEK. Dieses erneute Verschlüsseln hat neue gesperrte Schlüssel zur Folge, die in einer nachfolgenden Backup-Operation an den Backup-Server gesendet werden, um die vorhandenen gesperrten Schlüssel zu ersetzen.
  • Gemäß einer Ausführungsform wird ein Client-Computer beschrieben, der zum Wiederherstellen eines Backup eines Satzes von Objekten durch einen Client eingerichtet ist, das aufweist: das Backup ist auf einem Backup-Server gespeichert, wobei wenigstens einige der Objekte des Satzes von Objekten einem eindeutigen Dateiverschlüsselungsschlüssel FEK zugehörig bzw. mit diesem verschlüsselt sind, wobei wenigstens einige der FEKs in dem Backup mit einem gemeinsamen Hauptverschlüsselungsschlüssel MEK verschlüsselt sind. Dieses Verschlüsseln hat entsprechende gesperrte Schlüssel zur Folge, die in dem Backup gespeichert sind. Jedes in dem Backup enthaltene Objekt ist einem Verschlüsselungszustand zugehörig, wobei der Verschlüsselungszustand angibt, ob sich der gesperrte Schlüssel in Bezug auf das aktuelle Backup aufgrund einer Änderung des MEK geändert hat. Der Client-Computer weist einen Prozessor und einen Speicher auf, wobei der Speicher durch einen Computer ausführbare Anweisungen aufweist.
  • Ausführen der Anweisungen durch den Prozessor bewirkt, dass der Client eine Anforderung für eine Wiederherstellung eines der Objekte empfängt und als Reaktion auf das Empfangen der Anforderung ermittelt, ob der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass sich der gesperrte Schlüssel geändert hat, nachdem das aktuelle Backup ausgeführt wurde; wenn der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass der gesperrte Schlüssel nach Ausführen des aktuellen Backup geändert wurde, Ignorieren des Objekts beim Wiederherstellen; falls der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass der gesperrte Schlüssel seit dem Ausführen des aktuellen Backup unverändert ist, Wiederherstellen des dem Objekt zugehörigen verschlüsselten FEK zusammen mit dem Objekt.
  • Gemäß einer Ausführungsform wird ein Computerprogrammprodukt beschrieben, das durch einen Computer ausführbare Anweisungen aufweist, um einen der oben beschriebenen Schritte durchzuführen, die der durchgehenden (End-to-End-) Backup- und Wiederherstellungsprozedur für verschlüsselte und unverschlüsselte Dateiobjekte zugehörig sind.
  • Figurenliste
  • Im Folgenden werden Ausführungsformen der Erfindung lediglich beispielhaft unter Bezugnahme auf die Zeichnungen genauer erläutert, in denen:
    • 1 eine Verschlüsselungsschlüsselhierarchie für das Dateisystem gemäß einer Ausführungsform der Erfindung zeigt.
    • 2 einen Ablauf zum durchgehenden (End-to-End-) Verschlüsseln/Entschlüsseln gemäß einer Ausführungsform der Erfindung veranschaulicht.
    • 3 eine Backup-Architektur für ein Cluster-Dateisystem gemäß einer Ausführungsform der Erfindung zeigt.
    • 4 einen Ablaufplan einer durchgehenden Backup-Verschlüsselung gemäß einer Ausführungsform der Erfindung zeigt.
    • 5 einen Ablaufplan zum Wiederherstellen eines gesicherten Dateiobjekts gemäß einer Ausführungsform der Erfindung zeigt.
    • 6 Beispiele einer Tabelle, die zum Verfolgen von Verschlüsselungsschlüsseländerungen erzeugt wurde, und einer Wiederherstellungs-Entscheidungsmatrix gemäß einer Ausführungsform der Erfindung zeigt.
    • 7 einen Blockschaltplan veranschaulicht, der Hardwarekomponenten von Datenverarbeitungseinheiten in dem System 200 von 2 gemäß einer Ausführungsform der Erfindung zeigt.
  • GENAUE BESCHREIBUNG
  • Die Beschreibungen der verschiedenen Ausführungsformen der vorliegenden Erfindung werden für Zwecke der Veranschaulichung präsentiert, sollen jedoch nicht erschöpfend sein oder auf die offenbarten Ausführungsformen beschränken. Dem Fachmann werden viele Modifikationen und Variationen offensichtlich sein, ohne vom Umfang und Geist der beschriebenen Ausführungsformen abzuweichen. Die hierin verwendete Terminologie wurde gewählt, um die Grundgedanken der Ausführungsformen, die praktische Anwendung oder die technische Verbesserung gegenüber Technologien, die marktüblich sind, am besten zu erklären oder anderen Fachleuten zu ermöglichen, die hierin offenbarten Ausführungsformen zu verstehen.
  • Bei einem herkömmlichen Computersystem, das einen oder mehrere Computerspeicherknoten aufweist, die über ein Netzwerk verbunden sind und ein gemeinsam genutztes Dateisystem bereitstellen, wobei mindestens ein Computerspeicherknoten einen Backup-Client beherbergt und der Backup-Client mit einem Backup-Server verbunden ist, stellt das Dateisystem die Funktionalität zum Verschlüsseln und Entschlüsseln von Dateidaten bereit, während der Backup-Client und der Backup-Server die Funktionalität zum Verschlüsseln und Entschlüsseln von Dateidaten bereitstellen. Die Verschlüsselungs- und Entschlüsselungsfunktionen des Dateisystems unterscheiden sich jedoch von den Verschlüsselungs- und Entschlüsselungsfunktionen des Backup-Client und -Servers. Das Verschlüsselungsverfahren für das Dateisystem und den Backup-Client und -Server verwendet Hierarchien von Verschlüsselungsschlüsseln, die Dateiverschlüsselungsschlüssel sind jedoch nicht kompatibel. Eine mit Dateisystemtechniken verschlüsselte Datei, die durch den Backup-Client und -Server geschützt werden soll, muss zuerst mit den Dateisystemtechniken entschlüsselt und erneut mit den Techniken von Backup-Client und -Server verschlüsselt werden, um sie in einem verschlüsselten Format auf dem Backup-Server zu speichern. Umgekehrt muss zum Wiederherstellen einer Datei auf dem Backup-Server, die mit Backup-Systemtechniken verschlüsselt wurde, die Datei zuerst mit diesen Techniken entschlüsselt und nach dem Eintreffen im Dateisystem mit Dateisystemtechniken erneut verschlüsselt werden.
  • Das vorliegende Verfahren gibt ein Mittel zum Sichern und Wiederherstellen von Dateien an, die unter Verwendung von Dateisystemverschlüsselungsverfahren verschlüsselt sind, wobei die Datei unter Verwendung der Dateisystemverschlüsselung verschlüsselt ist und in diesem Format ohne Entschlüsseln und erneutes Verschlüsseln mit Backup-Systemverfahren gesichert werden kann. Daher wird eine Datei, die mit Dateisystemverschlüsselungsverfahren verschlüsselt ist, genau in diesem Format gesichert. Dies kann den Vorteil haben, ein Entschlüsseln unter Verwendung von Dateiverschlüsselungsverfahren und ein erneutes Verschlüsseln unter Verwendung von Backup-Systemverfahren zu vermeiden, wodurch Rechenzeit eingespart wird.
  • Durch Verfolgen von Verschlüsselungsschlüsseländerungen im Fall von Dateien, deren Inhalt sich zwischen Backups nicht geändert hat, deren Verschlüsselungsschlüssel jedoch geändert wurden, ermöglicht das Verfahren bei einem nachfolgenden Backup, dass lediglich der geänderte Verschlüsselungsschlüssel und nicht der gesamte Dateiinhalt gesichert wird. Dies kann den Vorteil haben, eine Backup-Operation zu beschleunigen und die Übertragung unveränderter Dateidaten zu vermeiden, die sich bereits auf dem Backup-Server befinden.
  • Für den Fall, dass ein Dateiobjekt unter Verwendung einer Kopie davon auf dem Backup-Server wiederhergestellt werden muss, stellt das Verfahren außerdem ein Mittel bereit, um zu ermitteln, ob eine wiederherstellbare Kopie dieser Datei auf dem Backup-Server vorhanden ist. Dies kann den Vorteil haben, dass der Fall vermieden wird, bei dem sich der Verschlüsselungsschlüssel einer Datei geändert hat, was sich nicht in der Kopie widerspiegelt, die auf dem Backup-Server vorhanden ist.
  • Bei dem Begriff „Dateiverschlüsselungsschlüssel“ handelt es sich um einen Schlüssel, der zum Verschlüsseln von Abschnitten einer Datei verwendet wird. Solange der Inhalt der Datei unverändert bleibt, gilt dies auch für den Dateiverschlüsselungsschlüssel. Wenn die Datei geändert wird, wird ein neuer Dateiverschlüsselungsschlüssel erzeugt.
  • Bei dem Begriff „Hauptverschlüsselungsschlüssel“ handelt es sich um einen Schlüssel, der zum Verschlüsseln anderer Schlüssel verwendet wird, der jedoch selbst nicht verschlüsselt ist. Hauptverschlüsselungsschlüssel können auch Passwörter sein. Üblicherweise werden Hauptverschlüsselungsschlüssel in einem Schlüsselspeicher oder einer Schlüsselverwaltungssoftware außerhalb des verschlüsselten Dateisystems gespeichert. Dateiverschlüsselungsschlüssel, die mit dem Hauptverschlüsselungsschlüssel verschlüsselt sind, haben „gesperrte Schlüssel“ zur Folge.
  • Gemäß einer Ausführungsform weist das Verfahren Ermitteln durch das erste Modul auf, ob ein neuer FEK verfügbar ist, wobei die Verfügbarkeit des neuen FEK über den Verschlüsselungszustand ermittelt wird, der dem Objekt zugehörig ist, dessen FEK neu ist, und der Verschlüsselungszustand die Verfügbarkeit des neuen FEK angibt. Falls der neue FEK verfügbar ist, wird der neue FEK mit dem gegenwärtig verfügbaren MEK verschlüsselt, um den zugehörigen gesperrten Schlüssel zu erhalten. In der nachfolgenden Backup-Operation wird das Objekt, das dem neuen FEK zugehörig ist und mit diesem zusammen mit dem zugehörigen gesperrten Schlüssel verschlüsselt ist, an den Backup-Server übertragen. Dies kann den Vorteil haben, dass sowohl die Dateidaten als auch deren zugehörige Verschlüsselung auf dem Backup-Server aktuell sind.
  • Gemäß einer weiteren Ausführungsform kann der neue FEK das Ergebnis eines der folgenden Ereignisse sein: ein einem FEK zugehöriges Objekt wurde modifiziert und daher mit dem neuen FEK erneut verschlüsselt; ein neues Objekt wurde erzeugt und mit dem neuen FEK verschlüsselt; ein zuvor unverschlüsseltes Objekt des Objektsatzes wurde mit dem neuen FEK verschlüsselt.
  • Gemäß einer Ausführungsform weist das Verfahren als Reaktion auf das Erkennen des Ereignisses eines neuen FEK durch das erste Modul automatisches Aktualisieren des Verschlüsselungszustands für das Objekt auf, das dem neuen FEK zugehörig ist, wobei das Aktualisieren aufweist: wenn das Objekt bereits einen zugehörigen Verschlüsselungszustand hat, Ersetzen eines vorhandenen Verschlüsselungszustands für das Objekt; oder wenn das Objekt keine zugehörige Verschlüsselung hat, Verknüpfen eines neuen Verschlüsselungszustands mit dem Objekt, das dem neuen FEK zugehörig ist. Dies kann den Vorteil haben, dass der aktuelle Verschlüsselungs-FEK, der einer Datei zugehörig ist, in einer zukünftigen Backup-Operation ordnungsgemäß berücksichtigt und aktualisiert werden kann. Dies kann außerdem den Vorteil haben, dass im Falle eines Wiederherstellens einer Datei vom Backup-Server der aktuelle FEK zur Verfügung steht.
  • Wenn das Objekt neu erzeugt wird, kann sofort ein neuer Verschlüsselungszustand für das Objekt durch das erste Modul erzeugt werden. Oder das neu erzeugte Objekt kann zuerst bei dem nachfolgenden Backup protokolliert werden. Das automatische Aktualisieren des Verschlüsselungszustands für das Objekt, das dem neuen FEK zugehörig ist, kann den Vorteil des Sicherstellens haben, dass die Verschlüsselungsinformationen auf dem Backup-Server mit den Verschlüsselungsinformationen für das lokale Dateiobjekt übereinstimmen.
  • Gemäß einer Ausführungsform aktualisiert das erste Modul den Verschlüsselungszustand für alle Dateiobjekte nach dem Durchführen des nachfolgenden Backup, wobei das Aktualisieren aufweist: gegebenenfalls Ändern des Verschlüsselungszustands von der Angabe der Verfügbarkeit eines neuen FEK zu einer Angabe, dass der FEK unverändert ist; gegebenenfalls Ändern des Verschlüsselungszustands von der Angabe, dass sich der MEK zu einer Angabe geändert hat, dass der FEK unverändert ist. Die Angabe eines unveränderten FEK zeigt, dass sowohl der Inhalt des Dateiobjekts als auch der zugehörige FEK bei dem Backup aktuell sind. Somit wird im Falle einer Wiederherstellungsoperation aus dem unveränderten FEK-Zustand ersichtlich, dass ein Wiederherstellen des Dateiobjekts aus dem Backup zulässig ist, da das Dateiobjekt und sein zugehöriger FEK auf dem Backup-Server mit dem lokalen Dateiobjekt und seinem zugehörigen FEK übereinstimmen.
  • In einer Ausführungsform weist das Aktualisieren im Fall einer neu erzeugten verschlüsselten Datei, deren Existenz lediglich während des nachfolgenden Backup protokolliert wird, das Angeben auf, dass der zugehörige FEK der verschlüsselten Datei unverändert ist. Im Falle einer neu erzeugten unverschlüsselten Datei, deren Vorhandensein während des nachfolgenden Backup protokolliert wird, weist das Aktualisieren das Angeben auf, dass der unverschlüsselten Datei kein FEK zugehörig ist.
  • Dieses Aktualisieren kann den Vorteil haben, dass beim Durchführen eines weiteren nachfolgenden Backup alle Objekte, die einen zugehörigen Verschlüsselungszustand haben, der angibt, dass der FEK unverändert ist, von dem Backup ausgeschlossen werden. Dies kann zu einer Verringerung sowohl der Zeit als auch der Menge an Computerressourcen führen, die für das nachfolgende Backup benötigt werden.
  • Gemäß einer Ausführungsform, für die ein Objekt des Satzes von Objekten unverschlüsselt und keinem FEK zugehörig ist, gibt der zugehörige Verschlüsselungszustand die Nichtverfügbarkeit eines FEK für das Objekt an. Zum Durchführen des nachfolgenden Backup weist das Verfahren auf: durch das erste Modul Ermitteln der Objekte, für die der zugehörige Verschlüsselungszustand die Nichtverfügbarkeit der FEKs angibt; und durch ein zweites Modul Ermitteln der Notwendigkeit eines Backup der Objekte, für die der zugehörige Verschlüsselungszustand die Nichtverfügbarkeit der FEKs angibt. Das Ermitteln der Notwendigkeit des Backup beruht auf einem direkten Scannen der Objekte. Dies kann den Vorteil haben, dass Dateiobjekte, die keinem FEK zugehörig sind, trotzdem auf dem Backup-Server gesichert werden.
  • Wenn in einer Ausführungsform das erste Modul als ein Ereignis eine Anforderung zum Löschen eines verschlüsselten Objekts des Satzes von Objekten empfängt, weist das vorliegende Verfahren Ändern des dem Objekt zugehörigen Verschlüsselungszustands in einen Zustand auf, der die Nichtverfügbarkeit eines FEK für dieses Objekt angibt. Dies kann den Vorteil haben, dass eine Angabe eines gelöschten Objekts erreicht werden kann, ohne dass das Objekt physisch vom Server gelöscht werden muss. Da das physische Löschen eines großen Objekts, das einen umfangreichen Speicher belegt, ein Verlangsamen der Computeroperationen verursachen könnte, kann das Ändern des zugehörigen FEK, bei dem es sich um ein kleines und einzelnes Objekt handelt, vorteilhaft und viel schneller sein.
  • In einer Ausführungsform weist das erste Modul eine Ereignisbehandlungsroutine (event handler) auf, die das Ereignis automatisch erkennt, und als Reaktion auf das automatische Erkennen des Ereignisses führt die Ereignisbehandlungsroutine automatisch ein Aktualisieren des Verschlüsselungszustands aus, der von dem Ereignis betroffen ist. Dies kann den Vorteil haben, dass die Verschlüsselungszustände automatisch aktualisiert und auf dem neuesten Stand gehalten werden.
  • Gemäß einer Ausführungsform weist das vorliegende Verfahren Ermitteln einer Angabe des Verschlüsselungszustands auf, der dem wiederherzustellenden Objekt zugehörig ist, unabhängig davon, ob ein neuer FEK für das Objekt verfügbar ist. Der neue FEK kann das Ergebnis eines der folgenden Ereignisse sein: Das dem FEK zugehörige Objekt wurde modifiziert und daher nach dem anfänglichen Backup mit dem neuen FEK erneut verschlüsselt; bei dem Objekt handelt es sich um ein neues Objekt, das erzeugt und nach dem anfänglichen Backup mit dem neuen FEK verschlüsselt wurde und dessen Erzeugen sofort von der Ereignisbehandlungsroutine protokolliert wurde; bei dem Objekt handelt es sich um ein zuvor unverschlüsseltes Objekt, das nach dem anfänglichen Backup mit dem neuen FEK verschlüsselt wurde.
  • Wenn der Verschlüsselungszustand angibt, dass für das Objekt, das wiederhergestellt werden soll, ein neuer FEK verfügbar ist, wird das Objekt, das wiederhergestellt werden soll, beim Wiederherstellen ignoriert. Wenn der Verschlüsselungszustand angibt, dass für das Objekt, das wiederhergestellt werden soll, kein neuer FEK verfügbar ist, wird das Objekt, das zusammen mit seinem zugehörigen verschlüsselten FEK wiederhergestellt werden soll, wiederhergestellt.
  • Gemäß einer Ausführungsform weist das Verfahren, wenn das Objekt, das wiederhergestellt werden soll, seit dem letzten Backup neu erzeugt und nicht sofort bei dem Erzeugen durch die Ereignisbehandlungsroutine protokolliert wurde, Ermitteln auf, dass das Wiederherstellen nicht möglich ist, da das Objekt, das wiederhergestellt werden soll, in dem letzten Backup nicht enthalten ist.
  • Diese Wiederherstellungsprozedur kann den Vorteil haben, dass lediglich Dateien auf dem Sicherungsserver mit aktuellen FEKs in dem Dateisystem wiederhergestellt werden können.
  • Gemäß einer Ausführungsform weist das vorliegende Verfahren ferner ein Ermitteln auf, ob der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass für das Objekt kein FEK verfügbar ist. In einem solchen Fall wird das Objekt wiederhergestellt, wenn das Objekt in dem Backup enthalten ist, dem kein entsprechender gesperrter Schlüssel zugehörig ist. Wenn dem Objekt jedoch kein FEK zugehörig ist, das Objekt jedoch in dem Backup enthalten ist, das einem entsprechenden gesperrten Schlüssel zugehörig ist, wird das Objekt, das wiederhergestellt werden soll, beim Wiederherstellen ignoriert.
  • 1 zeigt eine Verschlüsselungsschlüsselhierarchie für das Dateisystem. Die Komponenten 101 (FEK1, FEK2 und FEK3) entsprechen jeweiligen FEKs für Dateisystemobjekte. Jeder dieser FEKs wird der Reihe nach von der Komponente 103, dem MEK, verschlüsselt, was gesperrte Schlüssel zur Folge hat. Der MEK 103 wird verwendet, um FEKs 101 zu verschlüsseln, ist jedoch selbst nicht verschlüsselt. Bei dem MEK 103 kann es sich außerdem um Passwörter handeln. In einem solchen System werden Dateiobjekte mit einem eindeutigen FEK 101 verschlüsselt. Diese FEKs 101 werden dann jeweils mit dem Universal-MEK 103 verschlüsselt, um gesperrte Schlüssel zu bilden. Der gesperrte Schlüssel für ein Dateiobjekt wird zusammen mit dem Dateiobjekt auf dem Backup-Server gespeichert.
  • 2 zeigt einen beispielhaften Ablauf zum durchgehenden (End-to-End-) Verschlüsseln/Entschlüsseln. Für eine Backup-Operation werden Dateiobjekte auf dem Client 201 erzeugt. Wenn ein Dateiobjekt verschlüsselt werden soll, wird ein zugehöriger FEK (101 in 1) zum Verschlüsseln verwendet. Ein gesperrter Schlüssel wird dann durch Verschlüsseln des FEK 101 mit dem MEK erzeugt (103 in 1). Bei einer Backup-Operation wird die verschlüsselte Datei über den Datenspeicherserver 203 an das Backup-System 205 übertragen. In dem Fall, dass die Datei verschlüsselt ist, wird der gesperrte Schlüssel zusammen mit der zugehörigen Datei übertragen. Bei dem Speicherserver 203 kann es sich um einen Netzwerkspeicher handeln. Für eine Wiederherstellungsoperation werden Dateien, die sich auf dem Backup-System 205 befinden, durch den Computerdatenspeicherserver 203 übertragen, um auf der Clientmaschine 201 wiederhergestellt zu werden. Wenn die Datei verschlüsselt ist, wird ihr gesperrter Schlüssel zusammen mit der wiederherzustellenden Datei übertragen. Das Verfahren zum durchgehenden Verschlüsseln stellt sicher, dass eine aktuelle Version der Datei und ihres gesperrten Schlüssels auf dem Backup-Server verfügbar ist, wenn eine Wiederherstellungsoperation zulässig sein soll.
  • 3 zeigt eine Backup-Architektur für ein Cluster-Dateisystem. Ein oder mehrere Client-Computer 301, die der Komponente 201 von 2 ähnlich sind, sind mit Speichercomputerknoten 303, 305, 307 verbunden. Einer oder mehrere dieser Speichercomputerknoten 303, 305, 307 können vorhanden sein. Jeder der Client-Computer 301 und Speichercomputerknoten 303, 305, 307 besteht aus einem Prozessor 309, einem Speicher 311 und einem Eingabe/Ausgabe-Controller 313. Die repräsentativen Client-Computer 301 sind mit einem Cluster-Speichersystem verbunden, bei dem es sich um ein Beispiel des Computerdatenspeicherservers 203 von 2 handelt. Das Cluster-Speichersystem weist die Speichercomputerknoten 303, 305, 307; ein Speicherbereichsnetzwerk 315; und eine oder mehrere Plattenspeicherkomponenten 317, 319, 321 auf. Ein Teil der Backup-Architektur des Cluster-Dateisystems weist eine Backup-Client-Komponente 323 auf, auf der sich ein Modul mit einer Verschlüsselungsschlüssel-Ereignisbehandlungsroutine (encryption key event handler module) 325 befindet.
  • Die Verschlüsselungsschlüssel-Ereignisbehandlungsroutine 325 protokolliert Änderungen in den FEK-Zuständen aller bereits vorhandenen oder neu erzeugten Dateiobjekte. Der Backup-Client 323 und seine residente Verschlüsselungsschlüssel-Ereignisbehandlungsroutine 325 sind mit einem Backup-Server 327 entsprechend der Komponente 205 von 2 verbunden. Diese Verbindung ermöglicht das Sichern und Wiederherstellen von Dateisystemobjekten zwischen den lokalen Computerknoten 303, 305, 307 und dem Backup-Server 327. In einer Backup-Operation weist der Backup-Client 323 auf der Grundlage der in der Verschlüsselungsschlüssel-Ereignisbehandlungsroutine 325 gesammelten Informationen die notwendigen Informationen auf, um zu entscheiden, ob im Fall einer geänderten oder neu erzeugten Datei die vollständige Datei mit ihrem zugehörigen FEK an den Backup-Server 327 gesendet werden muss, oder im Fall einer neu verschlüsselten vorhandenen Datei oder einer Datei, deren gesperrter Schlüssel sich aufgrund einer Änderung des MEK geändert hat (103 in 1), lediglich der gesperrte Schlüssel und nicht der Dateiinhalt an den Backup-Server 327 gesendet werden muss.
  • In ähnlicher Weise kann bei einer Wiederherstellungsoperation mit Hilfe der Verschlüsselungsschlüssel-Ereignisbehandlungsroutine 325 ermittelt werden, ob die Datei und ihr gesperrter Schlüssel auf dem Backup-Server 327 aktuell sind und somit für ein Wiederherstellen geeignet sind. Die Verschlüsselungsschlüssel-Ereignisbehandlungsroutine 325 gibt außerdem an, ob der Dateiinhalt oder sein gesperrter Schlüssel auf dem Backup-Server 327 nicht aktuell ist und verhindert daher, dass eine Wiederherstellungsoperation auftritt.
  • 4 stellt einen Ablaufplan einer durchgehenden Backup-Verschlüsselung dar, der den in 2 dargestellten Backup-Prozess ausführlicher zeigt. Block 401 entspricht dem Beginn des Prozesses. Im Block 403 werden für eine Datei, die zuvor nicht gesichert worden war, Daten eines verschlüsselten Dateiobjekts gelesen und auf den Backup-Server (Komponente 327 in 3) kopiert. Im Block 405 werden die Metadaten des Dateiobjekts, die den gesperrten Schlüssel sowie Informationen enthalten wie Quelle, Autor, kreative Software und das Erzeugungsdatum der Datei, gelesen und auf den Backup-Server kopiert. Im Block 407 werden für ein verschlüsseltes Dateiobjekt sein zugehöriger gesperrter Schlüssel, der durch Verschlüsseln des FEK (101 in 1) mit dem MEK (103 in 1) erzeugt wurde, aus den Metadaten zur Verwendung im Block 409 gelesen. In Block 409 werden die ID und ein unveränderter Verschlüsselungszustand des gesicherten Dateiobjekts zu einer Tabelle gesicherter Objekte hinzugefügt, die durch die Verschlüsselungsschlüssel-Ereignisbehandlungsroutine 325 von 3 registriert wird. Oder im Fall eines vorhandenen Eintrags in der Tabelle werden die Informationen aktualisiert, um einen unveränderten Verschlüsselungszustand relativ zu der lokalen Kopie des Objekts anzugeben. Der Prozess endet im Block 411.
  • 5 zeigt einen Ablaufplan, der den in 2 hervorgehobenen Wiederherstellungsprozess ausführlicher zeigt. Der Wiederherstellungsprozess, in dem eine gesicherte Datei in das Dateisystem zurückgespeichert wird, kann nur dann auftreten, wenn zuerst durch die in der Verschlüsselungsschlüssel-Ereignisbehandlungsroutine (325 in 3) enthaltenen Informationen ermittelt wird, dass sowohl der Inhalt der Datei als auch der gesperrte Schlüssel, der sich auf dem Backup-Server (327 in 3) befindet, aktuell sind. Das heißt, dass der Verschlüsselungsschlüssel für die Datei auf dem Backup-Server aktuell ist, was sich in der Tabelle der Dateiobjekte und ihren zugehörigen Verschlüsselungszuständen widerspiegelt. Das Ermitteln läuft wie folgt ab:
  • Wenn die Angabe in der Tabelle für die Verschlüsselungsschlüssel-Ereignisbehandlungsroutine (325 in 3) für ein wiederherzustellendes Dateiobjekt lautet, dass sein zugehöriger FEK neu ist und ein FEK auf dem Backup-Server vorhanden ist, ist ein Wiederherstellen nicht erlaubt. Dies liegt daran, dass der zugehörige FEK auf dem Backup-Server nicht mit dem aktuell für die lokale Datei zugehörigen FEK übereinstimmt, was bedeutet, dass der Inhalt der Datei auf dem Backup nicht aktuell ist und daher nicht wiederhergestellt werden kann. Wenn in diesem Fall auf dem Backup-Server kein FEK vorhanden ist, ist auch eine Wiederherstellung nicht erlaubt, da die Verschlüsselungszustände auf dem Backup-Server und dem lokalen Server, der der wiederherzustellenden Datei zugehörig ist, nicht übereinstimmen und daher ein Verschlüsselungszustand vorliegt, der der Datei zugehörig ist, der nicht aktuell ist.
  • Wenn der Tabelleneintrag für das Dateiobjekt, das wiederhergestellt werden soll, angibt, dass der zugehörige FEK geändert wurde und ein FEK auf dem Backup-Server vorhanden ist, ist kein Wiederherstellen zulässig. Dies liegt daran, dass in diesem Fall ein geänderter FEK angibt, dass sich der MEK (103 in 1), der zum Erzeugen von gesperrten Schlüsseln aus den entsprechenden FEKs verwendet wird, geändert hat. Daher kann die gesicherte Datei aufgrund des geänderten gesperrten Schlüssels beim Wiederherstellen nicht ordnungsgemäß entschlüsselt werden. Wenn in diesem Fall kein FEK auf dem Backup-Server vorhanden ist, ist auch kein Wiederherstellen erlaubt, da der Verschlüsselungszustand auf dem Backup-Server für die wiederherzustellende Datei eine unverschlüsselte Datei anzeigt, während die Datei tatsächlich verschlüsselt ist.
  • Wenn der Dateiverschlüsselungszustand für das wiederherzustellende Dateiobjekt angibt, dass kein Verschlüsselungszustand für das Dateiobjekt vorhanden ist und ein FEK auf dem Backup-Server vorhanden ist, ist kein Wiederherstellen zulässig. Dies liegt daran, dass die wiederherzustellende lokale Datei nicht verschlüsselt ist, während ihre Kopie auf dem Backup-Server verschlüsselt ist. Wenn in diesem Fall jedoch kein FEK auf dem Backup-Server vorhanden ist, ist ein Wiederherstellen für das Dateiobjekt ohne zugehörigen Verschlüsselungszustand zulässig, da sowohl die wiederherzustellende lokale Datei als auch die Sicherungskopie nicht verschlüsselt sind. In diesem Fall muss überprüft werden, ob sich der Inhalt der Datei durch eine normale Backup-Prozedur geändert hat, da sich ihr Inhalt ändern kann, aber unverschlüsselt bleibt.
  • Für den Fall, dass ein Dateiobjekt wiederhergestellt wird, dessen Tabelleneintrag einen unveränderten Dateiverschlüsselungszustand angibt und auf dem Backup-Server eine FEK vorhanden ist, ist ein Wiederherstellen zulässig, da ein unveränderter Zustand angibt, dass sowohl der Inhalt als auch der gesperrte Schlüssel für die Backup-Server-Kopie der wiederherzustellenden Datei mit dem Inhalt und dem gesperrten Schlüssel für die lokale Datei übereinstimmen. In diesem Fall ist es nicht möglich, dass auf dem Backup-Server kein FEK vorhanden ist.
  • Im Block 501 beginnt der Prozess. Im Block 503 empfängt der Wiederherstellungsclient verschlüsselte Dateiobjektdaten von dem Backup-Server und schreibt die verschlüsselten Daten in das Dateisystem. Im Block 505 empfängt der Wiederherstellungsclient Metadaten des Dateiobjekts, die den gesperrten Schlüssel des Dateiobjekts enthalten, vom Backup-Server und schreibt die Metadaten in das Dateisystem. Im Block 507 wählt der Wiederherstellungsclient den dem Objekt zugehörigen gesperrten Schlüssel des Dateiobjekts aus den empfangenen Metadaten zum Verwenden im Block 509 aus. Im Block 509 wird der Verschlüsselungszustand des wiederhergestellten Dateiobjekts in der Tabelle gesicherter Dateiobjekte zurückgesetzt, die in der Verschlüsselungsschlüssel-Ereignisbehandlungsroutine 325 von 3 resident sind, um einen unveränderten Verschlüsselungszustand anzugeben. Im Block 511 endet der Prozess.
  • 6 zeigt ein Beispiel der Tabelle 601, die in der Verschlüsselungsschlüssel-Ereignisbehandlungsroutine (325 in 3) nach einer ersten Backup-Operation geführt wird. Ein Beispiel der Tabelle nach einer nachfolgenden Backup-Operation ist in 603 gezeigt. Die erzeugte und aktualisierte Tabelle wird im Schritt 409 von 4 beschrieben. Wie im Detail für 5 beschrieben, wird beim Ermitteln, ob eine Wiederherstellungsoperation einer Datei von dem Backup-Server erlaubt ist, die Wiederherstellungsentscheidungsmatrix 605 von der Verschlüsselungsschlüssel-Ereignisbehandlungsroutine (325 in 3) verwendet.
  • Der neuartige Backup-Client (323 in 3) und der Backup-Server (327 in 3) können das Problem lösen, dass eine Datei entschlüsselt und wieder verschlüsselt werden muss, wenn eine Backup-Kopie unter Verwendung eines Verfahrens zum durchgehenden Verschlüsseln erzeugt werden muss. Ferner kann das Problem, dass Änderungen in der Verschlüsselungsschlüsselhierarchie nicht automatisch erkannt werden können, durch ein neuartiges System der Verschlüsselungs-Ereignisbehandlungsroutine (325 in 3) gelöst werden. Daher werden Änderungen in der Verschlüsselungsschlüsselhierarchie, die Backup-Kopien ungültig machen, behandelt, indem bei Bedarf neue Backup-Kopien von Dateien initiiert werden. Durch automatisches Erkennen von Verschlüsselungsschlüsseländerungen und Initiieren von Aktualisierungen der Datei auf dem Backup-Server wird das Problem vermieden, dass die Version der Datei auf dem Backup-Server aufgrund geänderter Verschlüsselungsschlüssel nicht wiederhergestellt werden kann.
  • 3 zeigt ein System zur durchgehenden Backup-Verschlüsselung, ETEBE, das das erste Modul aufweist, um ein einzelnes durchgehendes Verschlüsseln von Dateien und das kontinuierliche Erkennen von Änderungen in der Verschlüsselungsschlüsselhierarchie zu realisieren. Wenn die Backup-Kopie einer Datei aufgrund von Änderungen des Verschlüsselungsschlüssels ungültig wird, werden solche Änderungen automatisch von einem Modul mit einer Verschlüsselungsschlüssel-Ereignisbehandlungsroutine EKEH (325 in 3 und entsprechend einem Beispiel des ersten Moduls) protokolliert, das in den Backup-Client (323 in 3), integriert ist, und in einer Backup-Operation werden diese Informationen verwendet, um zu ermitteln, ob die Dateiinhalte zusammen mit ihrem zugehörigen Verschlüsselungsschlüssel gesichert werden müssen oder lediglich der Verschlüsselungsschlüssel gesichert werden muss.
  • Das EKEH-Modul (325 in 3) unterhält eine Tabelle für jedes gesicherte Dateisystem (301 in 3). Die Tabelle enthält die Dateisystem-Kennung FS-ID, die eine eindeutige Kennung zum Kennzeichnen des Dateisystems darstellt. Außerdem enthält die Tabelle eine Objektkennung, Obj-ID, bei der es sich um eine eindeutige Kennung für das bestimmte Dateisystem handelt, wie Dateien und Verzeichnisse, die bereits durch den Backup-Client gesichert wurden (323 in 3). Jedes Dateisystemobjekt, das durch die eindeutige Obj-ID gekennzeichnet ist, erscheint nur einmal in der Tabelle. Die Tabelle enthält außerdem einen Dateiverschlüsselungsschlüsselzustand, FEK-Zustand, der folgende Werte annehmen kann: NEU (Dateiverschlüsselungsschlüssel ist neu und kein Schlüssel im Backup vorhanden), GEÄNDERT (Dateiverschlüsselungsschlüssel wurde seit dem letzten Backup geändert), NO-FEK (Datei wurde entschlüsselt und in dem Dateisystem ist kein Verschlüsselungsschlüssel vorhanden), und UNCHANGED (Verschlüsselungsschlüssel im Dateisystem und Backup sind unerheblich, Rücksetzen auf UNCHANGED nach erfolgreichem Backup ohne Verschlüsselungsschlüsseländerungen).
  • Das ETEBE-System und das Verfahren sind so konfiguriert, dass Änderungen von Verschlüsselungsschlüsseln im Dateisystem automatisch wie folgt erkannt werden:
  • Beispielhaft für das erste Modul registriert das EKEH-Modul (325 in 3) Verschlüsselungsschlüsselereignisse für Dateien, die bereits gesichert sind. Die registrierten Ereignisse sind: CREATE (tritt auf, wenn ein Verschlüsselungsschlüssel für ein Dateisystemobjekt erzeugt wird - das bedeutet, dass das Dateisystemobjekt entweder aufgrund des neu erzeugten Dateisystemobjekts, einer Änderung seines Inhalts oder der Verschlüsselung eines zuvor unverschlüsselten Dateisystemobjekts neu verschlüsselt wurde.), CHANGE (tritt auf, wenn sich ein Verschlüsselungsschlüssel für ein Dateisystemobjekt aufgrund des MEK (103 in 3), der geändert wurde, geändert hat, was bewirkt, dass die FEKs (101 in 1) neu verschlüsselt werden, was neue gesperrte Schlüssel zur Folge hat), und DESTROY (tritt auf, wenn ein Verschlüsselungsschlüssel für ein Dateisystemobjekt gelöscht wurde - bedeutet, dass das Dateisystemobjekt entschlüsselt wurde).
  • Die Verschlüsselungsschlüsselereignisse werden verwendet, um die Tabelle mit den entsprechenden Informationen zu aktualisieren, die sich aus dem Ereignistyp ergeben.
  • Das System ETEBE und das Verfahren sind so konfiguriert, dass sie eine verschlüsselte Datei lesen und eine inkrementale Backup-Kopie erzeugen können, ohne die Informationen durch die Schritte zu entschlüsseln, die in 4 hervorgehoben sind. Das System ETEBE und das Verfahren sind außerdem so konfiguriert, dass sie Informationen über die Fähigkeit bereitstellen können, eine Datei aus dem Backup-Server (327 in 3) wiederherzustellen. Die Schritte zum Wiederherstellen einer verschlüsselten Datei im Dateisystem (301 in 3) sind in 5 gezeigt. Zuerst wird jedoch die Backup-Prozedur genau erläutert.
  • Während eines ersten Backup initiiert der Backup-Client (323 in 3) eine inkrementale Backup-Kopie des Dateisystems durch Durchlaufen der Dateisystemstruktur und Lesen der Dateidaten für jede Datei und ihr Kopieren in den Backup-Server (327 in 3). Wenn die Dateidaten verschlüsselt sind, werden die verschlüsselten Daten ohne Entschlüsseln gesendet, und der Verschlüsselungsschlüssel wird zusammen mit den Metadaten der Datei ebenfalls an den Backup-Server (327 in 3) gesendet. Für jedes gesicherte Dateisystemobjekt wird ein Eintrag in der Tabelle mit der angegebenen FS-ID und Obj-ID erzeugt. Die Spalte FEK-Zustand wird wie folgt gefüllt: Wenn das Dateisystemobjekt einen Dateiverschlüsselungsschlüssel (FEK) hat, wird FEK-Zustand als UNCHANGED (UNVERÄNDERT) aufgeführt. Wenn das Dateisystemobjekt keinen (NO) Dateiverschlüsselungsschlüssel (FEK) hat, wird FEK-Zustand als NO-FEK aufgeführt.
  • Nach einem anfänglichen Backup kann die Tabelle wie nach dem anfänglichen Backup 601 von 6 dargestellt erscheinen.
  • Nach einem anfänglichen Backup werden die Verschlüsselungsschlüsselereignisse CREATE (ERSTELLEN), CHANGE (ÄNDERN) und DESTROY (LÖSCHEN) zum Aktualisieren der Tabelle mit den entsprechenden Informationen in der Spalte FEK-Zustand verwendet, die sich aus dem Ereignistyp ergeben. Die EKEH (325 in 3) ruft die Obj-ID von dem Ereignis ab und durchsucht den entsprechenden Eintrag in der Tabelle. Die EKEH (325 in 3) ruft den Ereignistyp aus dem Ereignis ab und aktualisiert die FEK-Zustandsspalte in der Tabelle wie folgt: Im Falle des Ereignistyps „CREATE “ ändert sich der FEK-Zustand von „NO-FEK“ zu „NEW“. Im Fall des Ereignistyps „CHANGE“ ändert sich der FEK-Status von „NEW” oder „UNCHANGED“ zu „CHANGED“. Im Fall des Ereignistyps „DESTROY“ ändert sich der FEK-Zustand von „NEW“, „UNCHANGED“ oder „CHANGED“ zu „NO-FEK“. Das Aktualisieren der Tabelle, das auf dem empfangenen Ereignis beruht, wird kontinuierlich durchgeführt, bis das nächste Backup erfolgt.
  • Während eines nachfolgenden Backup initiiert der Backup-Client (323 in 3) eine inkrementelle Backup-Kopie des Dateisystems, indem er die Dateisystemstruktur durchläuft und die Dateidaten der geänderten Dateien liest, wie es im Stand der Technik gemacht wurde, und kopiert sie in den Backup-Server (327 in 3). Wenn die Dateidaten verschlüsselt sind, werden die verschlüsselten Daten ohne Entschlüsseln gesendet, und der Verschlüsselungsschlüssel wird zusammen mit den Metadaten der Datei ebenfalls an den Backup-Server (327 in 3) gesendet. Für jedes gesicherte Dateisystemobjekt, für das in der Tabelle kein Eintrag vorhanden ist, wird ein Eintrag mit der gegebenen FS-ID und Obj-ID erzeugt. Die Spalte FEK-Zustand ist wie folgt gefüllt: Wenn das Dateisystemobjekt einen Dateiverschlüsselungsschlüssel (FEK) hat, wird FEK-Zustand als UNCHANGED aufgeführt. Wenn das Dateisystemobjekt keinen (NO) Dateiverschlüsselungsschlüssel (FEK) hat, wird der FEK-Zustand als NO-FEK aufgeführt. Wenn ein Eintrag für das gesicherte Dateisystemobjekt in der Tabelle vorhanden ist, wird der FEK-Zustand für diesen Eintrag auf UNCHANGED gesetzt.
  • Nach einem nachfolgenden Backup kann die Tabelle so erscheinen, wie nach dem nachfolgenden Backup 603 in 6 dargestellt.
  • Während einer Dateiwiederherstellung ermittelt der Backup-Client (323 in 3) für jedes angeforderte Objekt, ob Wiederherstellen zulässig ist. Dies ist notwendig, um Situationen zu vermeiden, in denen die Datei im Dateisystem einen neuen FEK hat (101 in 1), während die gesicherte Version der Datei einen alten oder nicht vorhandenen FEK (101 in 1) hat und die lokale Datei mit falschen Informationen überschreiben würde. Für dieses Ermitteln verwendet der Backup-Client (323 in 3) eine Matrix, um zu ermitteln, ob ein Wiederherstellen zulässig ist. Die Matrix enthält den FEK-Zustand für die lokale Datei, der aus der Tabelle bekannt ist, und die Informationen, ob die entsprechende Datei, die auf dem Backup-Server (360 in 3) gespeichert ist, einen FEK hat. Die Matrixform ist durch die Wiederherstellungs-Entscheidungsmatrix 605 in 6 veranschaulicht.
  • Für ein Dateiobjekt, das in dem lokalen Dateisystem vorhanden ist und ein Überschreiben oder ein Platzieren an einem anderen Ort des Dateiobjekts erforderlich ist, beinhaltet das Verwenden der Matrix Suchen nach einem Dateiobjekt durch seine Obj-ID, Lesen seines FEK-Zustands und Abfragen des Backup-Servers (327 in 3) nach Informationen, ob das gesicherte Objekt einen FEK hat. Dann werden diese Informationen verwendet, um die Zeile mit dem entsprechenden FEK-Zustand für die lokale Datei und die Spalte mit dem entsprechenden FEK-Zustand für die gesicherte Datei auf dem Backup-Server (327 in ) zu finden. Finde den Schnittpunkt und lies ab, ob ein Wiederherstellen zulässig ist.
  • Wie aus der Matrix ersichtlich ist, gibt es lediglich zwei Zustände, für die ein Wiederherstellen zulässig ist, nämlich: i) wenn die lokale Datei keinen FEK hat und die entsprechende Datei auf dem Backup-Server (327 in 3) ebenfalls keinen FEK hat; und ii) wenn die lokale Datei einen unveränderten FEK hat und die entsprechende Datei auf dem Backup-Server (327 in 3) ebenfalls einen FEK hat.
  • Wenn das System ETEBE festgestellt hat, dass ein Wiederherstellen zulässig ist, führt der Backup-Client (323 in 3) die in 5 hervorgehobenen Schritte aus, um die gesicherte Datei vom Backup-Server in das lokale Dateisystem zu kopieren.
  • 7 zeigt einen Blockschaltplan von Komponenten von Datenverarbeitungseinheiten, die im System 200 von 2 verwendet werden, gemäß einer Ausführungsform der vorliegenden Erfindung. Es sollte beachtet werden, dass 7 lediglich eine Veranschaulichung einer Implementierung bereitstellt und keine Einschränkungen in Bezug auf die Umgebungen impliziert, in denen unterschiedliche Ausführungsformen implementiert werden können. Viele Modifikationen können an der dargestellten Umgebung vorgenommen werden.
  • Datenverarbeitungseinheiten können einen oder mehrere Prozessoren 02, einen oder mehrere durch einen Computer lesbare RAMs 04, einen oder mehrere durch einen Computer lesbare ROMs 06, ein oder mehrere durch einen Computer lesbare Speichermedien 08, Einheitentreiber 12, eine Lese/Schreib-Laufwerk oder eine Schnittstelle 14, einen Netzwerk-Adapter oder eine Netzwerk-Schnittstelle 16 aufweisen, die alle über eine Struktur zum Datenaustausch 18 miteinander verbunden sind. Die Struktur zum Datenaustausch 18 kann mit jeder Architektur implementiert sein, die zum Weiterleiten von Daten und/oder Steuerinformationen zwischen Prozessoren (wie Mikroprozessoren, Datenübertragungs- und Netzwerkprozessoren usw.), Systemspeicher, Peripherieeinheiten und allen anderen Hardwarekomponenten in einem System eingerichtet ist.
  • Ein oder mehrere Betriebssysteme 10 und ein oder mehrere Anwendungsprogramme 11 sind auf einem oder mehreren der durch einen Computer lesbaren Speichermedien 08 zum Ausführen durch einen oder mehrere der Prozessoren 02 über einen oder mehrere der entsprechenden RAMs 04 (die üblicherweise Cache-Speicher enthalten) gespeichert. In der dargestellten Ausführungsform kann jedes der durch einen Computer lesbaren Speichermedien 08 eine Magnetplattenspeichereinheit eines internen Festplattenlaufwerks, ein CD-ROM, ein DVD, ein Speicherstick, ein Magnetband, eine Magnetplatte, eine optische Platte, eine Halbleiterspeichereinheit wie z.B. RAM, ROM, EPROM, Flash-Speicher oder irgendeine andere durch einen Computer lesbare materielle Speichereinheit sein, die ein Computerprogramm und digitale Information speichern kann.
  • Die Datenverarbeitungseinheit kann außerdem ein R/W-Laufwerk oder eine Schnittstelle 14 zum Lesen von und Schreiben in ein oder mehrere tragbare, durch einen Computer lesbare Speichermedien 26 enthalten. Anwendungsprogramme 11 in der Datenverarbeitungseinheit können auf einem oder mehreren der tragbaren, durch einen Computer lesbaren Speichermedien 26 gespeichert sein, über das entsprechende R/W-Laufwerk oder die Schnittstelle 14 gelesen und in das entsprechende, durch einen Computer lesbare Speichermedium 08 geladen werden.
  • Datenverarbeitungseinheiten können außerdem einen Netzwerkadapter oder eine Schnittstelle 16 enthalten, wie etwa eine TCP/IP-Adapterkarte oder einen drahtlosen Datenübertragungsadapter (wie beispielsweise einen drahtlosen 4G-Datenübertragungsadapter, bei dem die OFDMA-Technologie verwendet wird). Anwendungsprogramme 11 auf Datenverarbeitungseinheiten können von einem externen Computer oder einer externen Speichereinheit über ein Netzwerk (z.B. das Internet, ein lokales Netzwerk oder ein anderes Weitbereichsnetzwerk oder drahtloses Netzwerk) und Netzwerkadapter oder -schnittstelle 16 auf die Datenverarbeitungseinheit heruntergeladen werden. Von dem Netzwerkadapter oder der Schnittstelle 16 können die Programme auf durch einen Computer lesbare Speichermedien 08 geladen werden. Das Netzwerk kann Kupferleitungen, Lichtwellenleiter, drahtlose Übertragungen, Router, Firewalls, Switches, Gateway-Computer und/oder Edge-Server aufweisen.
  • Datenverarbeitungseinheiten können außerdem einen Anzeigebildschirm 20, eine Tastatur oder ein Tastenfeld 22 und eine Computermaus oder ein Berührungsfeld 24 enthalten. Die Einheitentreiber 12 bilden eine Schnittstelle zum Anzeigebildschirm 20 zur Bildgebung, zur Tastatur oder zum Tastenfeld 22, zur Computermaus oder zum Berührungsfeld 24 und/oder zum Anzeigebildschirm 20 für die Druckerfassung der Eingabe von alphanumerischen Zeichen und um Benutzerauswahlen anzuzeigen. Die Einheitentreiber 12, das R/W-Laufwerk oder die Schnittstelle 14 und der Netzwerkadapter oder die Schnittstelle 16 können Hardware und Software aufweisen (gespeichert auf durch einen Computer lesbaren Speichermedien 08 und/oder ROM 06).
  • Die hierin beschriebenen Programme werden auf der Grundlage der Anwendung gekennzeichnet, für die sie in einer spezifischen Ausführungsform der Erfindung implementiert sind. Es sollte jedoch beachtet werden, dass irgendeine bestimmte Programmnomenklatur hierin lediglich aus Gründen der Zweckmäßigkeit verwendet wird, und daher sollte die Erfindung nicht auf die ausschließliche Verwendung in irgendeiner spezifischen Anwendung beschränkt sein, die durch eine derartige Nomenklatur gekennzeichnet und/oder impliziert wird.
  • Auf der Grundlage des Vorhergehenden wurden ein Computersystem, ein Verfahren und ein Computerprogrammprodukt offenbart. Es können jedoch zahlreiche Modifikationen und Ersetzungen vorgenommen werden, ohne vom Umfang der vorliegenden Erfindung abzuweichen. Daher wurde die vorliegende Erfindung beispielhaft und nicht einschränkend offenbart.
  • Bei der vorliegenden Erfindung kann es sich um ein System, ein Verfahren und/oder ein Computerprogrammprodukt handeln. Das Computerprogrammprodukt kann (ein) durch einen Computer lesbare(s) Speichermedium (oder -medien) beinhalten, auf dem/denen durch einen Computer lesbare Programmanweisungen gespeichert ist/sind, um einen Prozessor dazu zu veranlassen, Aspekte der vorliegenden Erfindung auszuführen.
  • Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, die Anweisungen zur Verwendung durch ein System zur Ausführung von Anweisungen behalten und speichern kann. Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel um eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder jede geeignete Kombination daraus handeln, ohne auf diese beschränkt zu sein. Zu einer nicht erschöpfenden Liste spezifischerer Beispiele des durch einen Computer lesbaren Speichermediums gehören die Folgenden: eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM bzw. Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), ein tragbarer Kompaktspeicherplatte-Nur-Lese-Speicher (CD-ROM), eine DVD (digital versatile disc), ein Speicher-Stick, eine Diskette, eine mechanisch kodierte Einheit wie zum Beispiel Lochkarten oder gehobene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und jede geeignete Kombination daraus. Ein durch einen Computer lesbares Speichermedium soll in der Verwendung hierin nicht als flüchtige Signale an sich aufgefasst werden, wie zum Beispiel Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Wellenleiter oder ein anderes Übertragungsmedium ausbreiten (z.B. durch ein Glasfaserkabel geleitete Lichtimpulse) oder durch einen Draht übertragene elektrische Signale.
  • Hierin beschriebene, durch einen Computer lesbare Programmanweisungen können von einem durch einen Computer lesbaren Speichermedium auf jeweilige Datenverarbeitungs-/Verarbeitungseinheiten oder über ein Netzwerk wie zum Beispiel das Internet, ein lokales Netzwerk, ein Weitverkehrsnetz und/oder ein drahtloses Netzwerk auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, drahtlose Übertragung, Leitwegrechner, Firewalls, Vermittlungseinheiten, Gateway-Computer und/oder Edge-Server aufweisen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der entsprechenden Datenverarbeitungs-/Verarbeitungseinheit weiter.
  • Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Erfindung kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben werden, darunter objektorientierte Programmiersprachen wie Smalltalk, C++ o.ä. sowie herkömmliche prozedurale Programmiersprachen wie die Programmiersprache „C“ oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem fernen Computer oder vollständig auf dem fernen Computer oder Server ausgeführt werden. In letzterem Fall kann der entfernt angeordnete Computer mit dem Computer des Benutzers durch eine beliebige Art Netzwerk verbunden sein, darunter ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetz (WAN), oder die Verbindung kann mit einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Verwendung eines Internet-Dienstanbieters). In einigen Ausführungsformen können elektronische Schaltungen, darunter zum Beispiel programmierbare Logikschaltungen, im Feld programmierbare Gatter-Anordnungen (FPGA, field programmable gate arrays) oder programmierbare Logikanordnungen (PLA, programmable logic arrays) die durch einen Computer lesbaren Programmanweisungen ausführen, indem sie Zustandsinformationen der durch einen Computer lesbaren Programmanweisungen nutzen, um die elektronischen Schaltungen zu personalisieren, um Aspekte der vorliegenden Erfindung durchzuführen.
  • Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaltbilder bzw. Schaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird darauf hingewiesen, dass jeder Block der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder sowie Kombinationen von Blöcken in den Ablaufplänen und/oder den Blockschaltbildern bzw. Schaubildern durch durch einen Computer lesbare Programmanweisungen ausgeführt werden können.
  • Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die über den Prozessor des Computers bzw. der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführten Anweisungen ein Mittel zur Umsetzung der in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte erzeugen. Diese durch einen Computer lesbaren Programmanweisungen können auch auf einem durch einen Computer lesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, so dass das durch einen Computer lesbare Speichermedium, auf dem Anweisungen gespeichert sind, ein Herstellungsprodukt aufweist, darunter Anweisungen, welche Aspekte der/des in dem Block bzw. den Blöcken des Ablaufplans und/oder der Blockschaltbilder bzw. Schaubilder angegebenen Funktion/Schritts umsetzen.
  • Die durch einen Computer lesbaren Programmanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um das Ausführen einer Reihe von Prozessschritten auf dem Computer bzw. der anderen programmierbaren Vorrichtung oder anderen Einheit zu verursachen, um einen auf einem Computer ausgeführten Prozess zu erzeugen, so dass die auf dem Computer, einer anderen programmierbaren Vorrichtung oder einer anderen Einheit ausgeführten Anweisungen die in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte umsetzen.
  • Die Ablaufpläne und die Blockschaltbilder bzw. Schaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Ausführungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in den Ablaufplänen oder Blockschaltbildern bzw. Schaubildern ein Modul, ein Segment oder einen Teil von Anweisungen darstellen, die eine oder mehrere ausführbare Anweisungen zur Ausführung der bestimmten logischen Funktion(en) aufweisen. In einigen alternativen Ausführungen können die in dem Block angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden. Zwei nacheinander gezeigte Blöcke können zum Beispiel in Wirklichkeit im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können manchmal je nach entsprechender Funktionalität in umgekehrter Reihenfolge ausgeführt werden. Es ist ferner anzumerken, dass jeder Block der Blockschaltbilder bzw. Schaubilder und/oder der Ablaufpläne sowie Kombinationen aus Blöcken in den Blockschaltbildern bzw. Schaubildern und/oder den Ablaufplänen durch spezielle auf Hardware beruhende Systeme umgesetzt werden können, welche die festgelegten Funktionen oder Schritte durchführen, oder Kombinationen aus Spezial-Hardware und Computeranweisungen ausführen.

Claims (11)

  1. Durch einen Computer implementiertes Verfahren zum Durchführen eines Backup eines Satzes von Objekten durch einen Client, wobei wenigstens eines der Objekte des Satzes von Objekten einem eindeutigen Dateiverschlüsselungsschlüssel (FEK) zugehörig bzw. mit diesem verschlüsselt ist, wobei das Verfahren aufweist: Verschlüsseln jedes der FEKs mit einem gemeinsamen Hauptverschlüsselungsschlüssel (MEK), wobei das Verschlüsseln entsprechende gesperrte Schlüssel zur Folge hat; bei einer anfänglichen Backup-Operation Übertragen der verschlüsselten Objekte zusammen mit ihren zugehörigen gesperrten Schlüsseln an einen Backup-Server; durch ein erstes Modul Ermitteln, ob ein Ereignis aufgetreten ist, bei dem sich ein gesperrter Schlüssel eines Objekts aufgrund einer Änderung des MEK geändert hat, wobei die Änderung des gesperrten Schlüssels über einen Verschlüsselungszustand ermittelt wird, der den Objekten zugehörig ist, deren FEKs durch die Änderung des MEK betroffen sind, und wobei der Verschlüsselungszustand die Änderung angibt; und auf der Grundlage des Feststellens, dass ein Ereignis aufgetreten ist, bei dem sich ein gesperrter Schlüssel eines Objekts aufgrund einer Änderung des MEK geändert hat, erneutes Verschlüsseln der vorhandenen FEKs mit dem geänderten MEK, wobei das erneute Verschlüsseln neue gesperrte Schlüssel zur Folge hat, und wobei in einer nachfolgenden Backup-Operation die neuen gesperrten Schlüssel zum Backup-Server gesendet werden, um die vorhandenen gesperrten Schlüssel zu ersetzen, während die Objekte, deren zugehörige FEKs von dem geänderten MEK betroffen sind, nicht zu dem Backup-Server übertragen werden.
  2. Verfahren nach Anspruch 1, das ferner aufweist: durch das erste Modul Ermitteln, ob ein neuer FEK verfügbar ist, wobei die Verfügbarkeit des neuen FEK über den Verschlüsselungszustand ermittelt wird, der den Objekten zugehörig ist, deren FEK neu ist, und wobei der Verschlüsselungszustand die Verfügbarkeit des neuen FEK angibt; auf der Grundlage des Feststellens, dass ein neuer FEK verfügbar ist, Verschlüsseln des neuen FEK mit dem aktuell verfügbaren MEK, um den zugehörigen gesperrten Schlüssel zu erhalten; und in der nachfolgenden Sicherungsoperation Übertragen des verschlüsselten Objekts mit dem neuen FEK zusammen mit dem zugehörigen gesperrten Schlüssel an den Backup-Server.
  3. Verfahren nach Anspruch 2, wobei der neue FEK das Ergebnis des Erkennens wenigstens eines der folgenden Ereignisse ist: ein Objekt, das einem FEK zugehörig ist, wurde modifiziert und daher mit dem neuen FEK erneut verschlüsselt, ein neues Objekt wurde erzeugt und mit dem neuen FEK verschlüsselt, und ein zuvor unverschlüsseltes Objekt des Objektsatzes wurde mit dem neuen FEK verschlüsselt.
  4. Verfahren nach Anspruch 3, wobei das Verfahren ferner aufweist: auf der Grundlage des Erkennens des Ereignisses, durch das erste Modul Aktualisieren des Verschlüsselungszustands für das Objekt, das einem neuen FEK zugehörig ist, wobei das Aktualisieren des Verschlüsselungszustands für das Objekt, das dem neuen FEK zugehörig ist, ferner aufweist: Ermitteln, ob das Objekt bereits einen zugehörigen Verschlüsselungszustand hat; auf der Grundlage des Feststellens, dass das Objekt bereits einen zugehörigen Verschlüsselungszustand hat, Ersetzen eines vorhandenen Verschlüsselungszustands für das Objekt; Ermitteln, ob das Objekt keinen zugehörigen Verschlüsselungszustand hat; auf der Grundlage des Feststellens, dass das Objekt keinen zugehörigen Verschlüsselungszustand hat, Verknüpfen eines neuen Verschlüsselungszustands mit dem Objekt, der dem neuen FEK zugehörig ist; Ermitteln, ob das Objekt neu erzeugt wurde; und auf der Grundlage des Feststellens, dass das Objekt neu erzeugt wurde, Erzeugen eines neuen Verschlüsselungsstatus für das Objekt.
  5. Verfahren nach Anspruch 2, das ferner aufweist: durch das erste Modul Aktualisieren des Verschlüsselungszustands nach dem Ausführen des nachfolgenden Backup, wobei das Aktualisieren des Verschlüsselungszustands nach dem Durchführen des nachfolgenden Backup ferner aufweist: gegebenenfalls Ändern des Verschlüsselungszustands von der Anzeige der Verfügbarkeit eines neuen FEK bis zu einem Hinweis, dass der FEK unverändert ist; und gegebenenfalls Ändern des Verschlüsselungszustands von dem Hinweis, dass sich der MEK geändert hat, bis zu einem Hinweis, dass der FEK unverändert ist, wobei Objekte mit einem zugehörigen Verschlüsselungszustand, der anzeigt, dass der FEK unverändert ist, von einem weiteren nachfolgenden Backup ausgeschlossen werden.
  6. Verfahren nach Anspruch 1, wobei der zugehörige Verschlüsselungszustand für ein Objekt des Satzes von Objekten, das unverschlüsselt ist und keinem FEK zugehörig ist, die Nichtverfügbarkeit eines FEK für das Objekt angibt, und wobei das Durchführen eines nachfolgenden Backups ferner aufweist: durch das erste Modul Ermitteln der Objekte, für die der zugehörige Verschlüsselungszustand die Nichtverfügbarkeit der FEKs angibt; und durch ein zweites Modul Ermitteln der Notwendigkeit eines Backup der Objekte, für die der zugehörige Verschlüsselungszustand die Nichtverfügbarkeit der FEKs anzeigt, wobei das Ermitteln der Notwendigkeit des Backup auf einem direkten Scannen der Objekte beruht.
  7. Verfahren nach Anspruch 1, das ferner aufweist: Empfangen, als ein Ereignis, einer Anforderung zum Löschen eines verschlüsselten Objekts des Satzes von Objekten; und Ändern des dem verschlüsselten Objekt zugehörigen Verschlüsselungszustands in einen Zustand, der die Nichtverfügbarkeit eines FEK für das verschlüsselte Objekt angibt.
  8. Verfahren nach Anspruch 1, wobei das erste Modul eine Ereignisbehandlungsroutine (event handler) enthält und wobei das Verfahren ferner aufweist: durch die Ereignisbehandlungsroutine Erkennen des Ereignisses; und als Reaktion auf das Erkennen des Ereignisses Aktualisieren des von dem Ereignis betroffenen Verschlüsselungszustands durch die Ereignisbehandlungsroutine.
  9. Durch einen Computer implementiertes Verfahren zum Wiederherstellen eines Backup eines Satzes von Objekten durch einen Client, wobei wenigstens eines der Objekte des Satzes von Objekten einem eindeutigen Dateiverschlüsselungsschlüssel (FEK) zugehörig und mit diesem verschlüsselt ist, wobei wenigstens einer der FEKs, verschlüsselt mit einem gemeinsamen Hauptverschlüsselungsschlüssel (MEK), in dem Backup gespeichert ist, wobei das Verschlüsseln entsprechende gesperrte Schlüssel zur Folge hat, wobei die gesperrten Schlüssel in dem Backup gespeichert sind, wobei jedes Objekt, das in dem Backup enthalten ist, einem Verschlüsselungszustand zugehörig ist, wobei der Verschlüsselungszustand angibt, ob sich der gesperrte Schlüssel in Bezug auf die aktuelle Sicherung aufgrund einer Änderung des MEK geändert hat, wobei das Verfahren aufweist: Empfangen einer Anforderung für ein Wiederherstellen eines der Objekte; Ermitteln, ob der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass sich der gesperrte Schlüssel geändert hat, nachdem das aktuelle Backup durchgeführt wurde; auf der Grundlage des Feststellens, dass der dem wiederherzustellenden Objekt zugehörige Verschlüsselungsstatus angibt, dass sich der gesperrte Schlüssel nach dem Ausführen des aktuellen Backup geändert hat, Ignorieren des Objekts beim Wiederherstellen; und auf der Grundlage des Feststellens, dass der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass der gesperrte Schlüssel seit dem Ausführen des aktuellen Backup unverändert geblieben ist, Wiederherstellen des verschlüsselten FEK, der dem Objekt zugehörig ist, und des Objekts.
  10. Verfahren nach Anspruch 9, das ferner aufweist: Ermitteln, ob der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass ein neuer FEK verfügbar ist, wobei der neue FEK das Ergebnis von wenigstens einem der folgenden Ereignisse ist: das dem FEK zugehörige Objekt wurde modifiziert und daher nach dem anfänglichen Backup mit dem neuen FEK erneut verschlüsselt; bei dem Objekt handelt es sich um ein neues Objekt, das nach dem anfänglichen Backup erzeugt und mit dem neuen FEK verschlüsselt wurde; und bei dem Objekt handelt es sich um ein zuvor unverschlüsseltes Objekt, das nach dem anfänglichen Backup mit dem neuen FEK verschlüsselt wurde; auf der Grundlage des Feststellens, dass der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass ein neuer FEK verfügbar ist, Ignorieren des Objekts, das wiederhergestellt werden soll; und auf der Grundlage des Feststellens, dass der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass kein neuer FEK verfügbar ist, werden das Objekt, das wiederhergestellt werden soll, und der verschlüsselte FEK, der dem Objekt zugehörig ist, wiederhergestellt.
  11. Verfahren nach Anspruch 9, das ferner aufweist: Ermitteln, ob der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass kein FEK verfügbar ist; auf der Grundlage des Feststellens, dass der dem wiederherzustellenden Objekt zugehörige Verschlüsselungszustand angibt, dass kein FEK verfügbar ist, Ermitteln, ob das wiederherzustellende Objekt einem entsprechenden gesperrten Schlüssel in dem Backup zugehörig ist; auf der Grundlage des Feststellens, dass das wiederherzustellende Objekt keinem entsprechenden gesperrten Schlüssel in dem Backup zugehörig ist, Wiederherstellen des wiederherzustellenden Objekts, und auf der Grundlage des Feststellens, dass das wiederherzustellende Objekt einem entsprechenden gesperrten Schlüssel in dem Backup zugehörig ist, Ignorieren des Objekts, das wiederhergestellt werden soll.
DE112017000190.0T 2016-02-26 2017-02-15 Durchgehende Verschlüsselung und Backup in Datenschutzumgebungen Pending DE112017000190T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/054,521 2016-02-26
US15/054,521 US9858427B2 (en) 2016-02-26 2016-02-26 End-to-end encryption and backup in data protection environments
PCT/IB2017/050839 WO2017145012A1 (en) 2016-02-26 2017-02-15 End-to-end encryption and backup in data protection environments

Publications (1)

Publication Number Publication Date
DE112017000190T5 true DE112017000190T5 (de) 2018-07-19

Family

ID=59679656

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112017000190.0T Pending DE112017000190T5 (de) 2016-02-26 2017-02-15 Durchgehende Verschlüsselung und Backup in Datenschutzumgebungen

Country Status (6)

Country Link
US (2) US9858427B2 (de)
JP (1) JP6774497B2 (de)
CN (1) CN108702289B (de)
DE (1) DE112017000190T5 (de)
GB (1) GB2564318B (de)
WO (1) WO2017145012A1 (de)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9858427B2 (en) * 2016-02-26 2018-01-02 International Business Machines Corporation End-to-end encryption and backup in data protection environments
JP6894678B2 (ja) * 2016-08-02 2021-06-30 キヤノン株式会社 情報処理装置とその制御方法、及びプログラム
CA3092068C (en) * 2018-03-08 2023-09-19 Lutron Technology Company Llc Backing up a load control system
US11095628B2 (en) * 2019-01-24 2021-08-17 Dell Products L.P. Device locking key management system
US11226867B2 (en) * 2019-04-29 2022-01-18 Hewlett Packard Enterprise Development Lp Backups of file system instances of encrypted data objects
US11860673B1 (en) 2019-11-22 2024-01-02 Amazon Technologies, Inc. Database with client-controlled encryption key
US11568063B1 (en) 2019-11-22 2023-01-31 Amazon Technologies, Inc. Database with client-controlled encryption key
US11595205B1 (en) * 2019-11-22 2023-02-28 Amazon Technologies, Inc. Database with client-controlled encryption key
US12003623B2 (en) * 2020-12-18 2024-06-04 Dell Products, L.P. Multilayer encryption for user privacy compliance and corporate confidentiality
US11983281B2 (en) * 2021-06-09 2024-05-14 EMC IP Holding Company LLC Using INQ to optimize end-to-end encryption management with backup appliances

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4328062B2 (ja) * 2002-06-11 2009-09-09 株式会社東芝 情報記憶装置及び情報記憶方法
JP2005327235A (ja) * 2004-04-13 2005-11-24 Hitachi Ltd 暗号化バックアップ方法および復号化リストア方法
US7899189B2 (en) 2004-12-09 2011-03-01 International Business Machines Corporation Apparatus, system, and method for transparent end-to-end security of storage data in a client-server environment
US8045714B2 (en) * 2005-02-07 2011-10-25 Microsoft Corporation Systems and methods for managing multiple keys for file encryption and decryption
US8667273B1 (en) 2006-05-30 2014-03-04 Leif Olov Billstrom Intelligent file encryption and secure backup system
JP4964714B2 (ja) * 2007-09-05 2012-07-04 株式会社日立製作所 ストレージ装置及びデータの管理方法
US8429425B2 (en) 2007-06-08 2013-04-23 Apple Inc. Electronic backup and restoration of encrypted data
WO2010014934A2 (en) * 2008-07-31 2010-02-04 Koolspan, Inc. System for and method of remote secure backup
JPWO2010100923A1 (ja) * 2009-03-03 2012-09-06 Kddi株式会社 鍵共有システム
US20110055559A1 (en) * 2009-08-27 2011-03-03 Jun Li Data retention management
US9176824B1 (en) * 2010-03-12 2015-11-03 Carbonite, Inc. Methods, apparatus and systems for displaying retrieved files from storage on a remote user device
US8412934B2 (en) 2010-04-07 2013-04-02 Apple Inc. System and method for backing up and restoring files encrypted with file-level content protection
US8971535B2 (en) 2010-05-27 2015-03-03 Bladelogic, Inc. Multi-level key management
US9244779B2 (en) * 2010-09-30 2016-01-26 Commvault Systems, Inc. Data recovery operations, such as recovery from modified network data management protocol data
WO2012159059A1 (en) 2011-05-18 2012-11-22 Citrix Systems, Inc. Systems and methods for secure handling of data
US20130034229A1 (en) * 2011-08-05 2013-02-07 Apple Inc. System and method for wireless data protection
JP5749855B2 (ja) * 2011-12-16 2015-07-15 株式会社日立製作所 計算機システム及びそれを用いたボリューム移行制御方法
JP2013171581A (ja) * 2012-02-17 2013-09-02 Chien-Kang Yang 記録装置および記録装置にアクセスするための方法
US8639665B2 (en) * 2012-04-04 2014-01-28 International Business Machines Corporation Hybrid backup and restore of very large file system using metadata image backup and traditional backup
US9483655B2 (en) 2013-03-12 2016-11-01 Commvault Systems, Inc. File backup with selective encryption
KR101518420B1 (ko) * 2014-11-11 2015-05-07 주식회사 에스이웍스 안드로이드 플랫폼에서의 apk 파일 관리 장치 및 방법
US9858427B2 (en) 2016-02-26 2018-01-02 International Business Machines Corporation End-to-end encryption and backup in data protection environments

Also Published As

Publication number Publication date
US20170249467A1 (en) 2017-08-31
US10121012B2 (en) 2018-11-06
CN108702289B (zh) 2021-01-08
GB2564318B (en) 2019-07-31
US9858427B2 (en) 2018-01-02
WO2017145012A1 (en) 2017-08-31
GB2564318A (en) 2019-01-09
JP2019508974A (ja) 2019-03-28
US20180039781A1 (en) 2018-02-08
GB201815487D0 (en) 2018-11-07
JP6774497B2 (ja) 2020-10-21
CN108702289A (zh) 2018-10-23

Similar Documents

Publication Publication Date Title
DE112017000190T5 (de) Durchgehende Verschlüsselung und Backup in Datenschutzumgebungen
DE102013204972B4 (de) Hybride Sicherung und Wiederherstellung eines sehr grossen Dateisystems unter Verwendung von Metadaten-Abbildsicherung und herkömmlicher Sicherung
DE102008015662B4 (de) Beseitigung von Daten
DE602004006404T2 (de) Flashback-datenbank
DE102018002899A1 (de) Verwalten von Digitalassets, die als Komponenten und gepackte Dateien gespeichert sind
DE112010002938B4 (de) Eine integrierte Herangehensweise zur Deduplizierung von Daten in einer verteiltenUmgebung, die eine Quelle und ein Ziel umfasst
DE60213867T2 (de) Vorrichtung zur verwaltung von datenreplikation
DE69724338T2 (de) Verfahren und System zur Datensicherung bei einem Drittanbieter von Internet-Netzseiten, die bei einem Netzserviceanbieter gespeichert sind
DE112017005040T5 (de) Betriebssystem und Verfahren auf Container-Grundlage
DE112014002051T5 (de) Sichern und Wiederherstellen einer Anwendung
DE112015000343T5 (de) Erstellen einer Wiederherstellungskopie von einer Quelldaten-Kopie in einem Repository, das Quelldaten an verschiedenen Zeitpunkten aufweist
DE102007015385A1 (de) Verfahren und Vorrichtung zur Wiedergewinnung von Speicherplatz in Speichern
DE102018002884A1 (de) Komponentenbasierte Synchronisierung von Digitalassets
DE102016103769A1 (de) Inkrementelle Replikation eines Quellen-Datasets
DE112011101793T5 (de) Gemeinsame Datennutzung bei Dateiklonen
DE112015000222T5 (de) Zusammenführen von mehreren Zeitpunktkopien zu einer zusammengeführten Zeitpunktkopie
DE112014000584T5 (de) Erreichen von Speichereffizienz bei durchgängiger Verschlüsselung unter Verwendung von nachgelagerten (Downstream-)Decryptern
DE112020000694T5 (de) Erzeugung und ausführung von sicheren containern
DE112011100534T5 (de) Mehrstufiger Sicherungsprozess
DE102014116393A1 (de) Verfahren und System für ein sicheres Archivieren von Daten
DE112019006676T5 (de) Blockchaintechnologie zur Regelung der Datenintegrität und zum Existenzbeweis bei Datenschutzsystemen
DE102014116369A1 (de) Verwaltung von sprachmarkern bei internationaler datenspeicherung
DE112017005588T5 (de) Speichern und abrufen von eingeschränkten datensätzen in und aus einem cloud-netzwerk mit nichteingeschränkten datensätzen
DE102016119298A1 (de) Zeitpunktkopieren mit klonen von ketten
DE112019000849T5 (de) Hostorientierter Aktualisierungsschreibvorgang

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence