DE19942141A1 - Verfahren und Vorrichtung zum Löschen von Daten nach einer Fälschung - Google Patents

Verfahren und Vorrichtung zum Löschen von Daten nach einer Fälschung

Info

Publication number
DE19942141A1
DE19942141A1 DE1999142141 DE19942141A DE19942141A1 DE 19942141 A1 DE19942141 A1 DE 19942141A1 DE 1999142141 DE1999142141 DE 1999142141 DE 19942141 A DE19942141 A DE 19942141A DE 19942141 A1 DE19942141 A1 DE 19942141A1
Authority
DE
Germany
Prior art keywords
data
storage unit
storage device
volatile
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE1999142141
Other languages
English (en)
Other versions
DE19942141C2 (de
Inventor
Tetsuro Motoyama
Masuyoshi Yachida
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Publication of DE19942141A1 publication Critical patent/DE19942141A1/de
Application granted granted Critical
Publication of DE19942141C2 publication Critical patent/DE19942141C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft einen Lösungsansatz zum Speichern und Aufrechterhalten von Daten. Eine oder mehrere Sensoren sind vorgesehen, um einen nicht autorisierten Zugriff auf einen ersten nicht flüchtigen Speicher zu erfassen. Falls der nicht autorisierte Zugriff auf den ersten nicht flüchtigen Speicher detektiert wird, werden die Daten auf dem ersten nicht flüchtigen Speicher durch Überschreiben der Daten auf dem ersten nicht flüchtigen Speicher mit einem vorbestimmten Wert gelöscht, so daß die Daten nicht mehr zurückgewonnen werden können. Der erste nicht flüchtige Speicher wird mit einer Registrierungsautorität bzw. -berechtigung registriert, um eine Authentizität der Daten zur Verfügung zu stellen, die in dem ersten nicht flüchtigen Speicher aufrechterhalten werden.

Description

Die Erfindung bezieht sich auf ein Datenspeichersystem und insbesondere auf einen Ansatz zum Speichern und Beibehalten von Daten, der eine Dateivollständigkeit und -sicherheit sicherstellt, gemäß einem der Ansprüche 1, 8 bzw. 16.
Die meisten Computersysteme enthalten eine Art von nicht flüchtigem Speicher, um Daten zu speichern und aufrecht zu erhalten. Nicht flüchtige Speicher stellen ein Speichermedium zur Verfügung, dessen Inhalte zurückbehalten werden, wenn keine Listung zugeführt wird. Allgemeine Beispiele von nicht flüchtigen Speichern enthalten Disketten, Festplatten und Bänder.
Die meisten Arten von nicht flüchtigen Speichern bieten eine relativ hohe Zuverlässigkeit, insbesondere wenn redundante Speicher verwendet werden. Die Funktion von nicht flüchtigen Speichern variiert weithin zwischen verschiedenen Arten von Speichern. Z. B. bieten Festplatten traditionell eine höhere Funktionalität, ausgedrückt in den Zugriffsgeschwindigkeiten, als Festplatten oder Bänder. Die meisten Arten von nicht flüchtigen Speichern können wieder verwendet werden, da das Verfahren zum Speichern von Daten nicht zerstörerisch ist. Wenn Daten in der Form von Datenfeldern gelöscht werden, werden häufig Informationen eines Inhaltsverzeichnisses, die mit den Datenfeldern verknüpft sind, lediglich in dem nicht flüchtigen Speicher aktualisiert, und das Datenfeld selbst bleibt unverändert. Z. B. wird in vielen Computersystemen die Löschung eines Datenfeldes realisiert, indem der Name des Feldes aus einem Feldinhaltsverzeichnis oder einer Feldzuordnungstabelle entnommen, die die Plätze, die durch Datenfelder belegt werden, für andere Daten verfügbar machen. Jedoch verbleibt das Datenfeld immer noch auf dem nicht flüchtigen Speicher und kann solange zurückgewonnen werden, wie es nicht mit anderen Daten überschrieben worden ist. Dieser Lösungsansatz macht es schwierig, zu wissen, ob eine bestimmte Datenkopie eine Originalkopie ist und macht die Daten anfällig dafür, für eine dritte Partei zugänglich zu werden.
Eine andere Art von nicht flüchtigem Speicher, ermöglicht es, Daten nur einmal schreiben zu können, jedoch so häufig wie gewünscht lesbar zu sein. Auf diese Art von nicht flüchtigem Speicher wird üblicherweise als einem einmal beschreibbaren, häufig lesbaren Speichermedium Bezug genommen (WORM-Speichermedium). Ein allgemeines Beispiel eines nicht flüchtigen WORM-Speichermediums ist eine optische Scheibe bzw. CD. Diese Art von Speichermedium ist zur Archivierung von Daten nützlich, z. B. für bestimmte Arten von medizinischen und geschäftlichen Aufzeichnungen, die nur einmal geschrieben und mehrere Male gelesen werden. Dies garantiert, daß eine bestimmte Art von Kopie von Daten eine Originalkopie ist, da die Daten nicht aktualisiert oder überschrieben werden können.
Sowohl WORM-Systeme als auch herkömmliche Lese-/Schreibspeichersysteme leiden unter dem Nachteil, daß sie gegenüber der Veränderung von Daten anfällig sind. Ein Datennutzer ist nicht sicher, ob die Daten wegen der unbekannten Quellen, wenn die Daten benutzt werden, ursprünglich oder modifiziert sind. Z. B. kann in einem Plattenspeicher-Subsystem eine nicht autorisierte Person das Plattenlaufwerk entfernen und ändern, fälschen oder die Informationen, die auf dem Plattenlaufwerk gespeichert sind, kopieren.
Zusätzlich können Informationen, die in dem Speichersystem gespeichert sind, unerwünscht werden, um nach Ablauf einer ausreichenden Zeit weiter gespeichert zu werden. Deshalb ist es in einigen Zusammenhängen wünschenswert, einen Weg zur Verfügung zu stellen, um alte Informationen aus einem Speichersystem verschwinden zu lassen und nicht mehr verfügbar werden zu lassen. Ein solches Beispiel ist eine Firmenaufzeichnung, die nach fünf Jahren gemäß der Firmenpolitik vernichtet werden sollte.
Auf der Grundlage des Bedürfnisses, Daten sicher zu speichern und aufrecht zu erhalten und der Beschränkungen der früheren Lösungsansätze, ist ein Lösungsansatz zum Speichern und Aufrechterhalten von Daten, der eine relativ hohe Absicherung zur Verfügung stellt, daß eine bestimmte Kopie von Daten eine Originalkopie ist, sehr wünschenswert.
Die voranstehenden Bedürfnisse und Aufgaben und andere Notwendigkeiten und Zielsetzungen, die aus der folgenden Beschreibung ersichtlich werden, werden durch die vorliegende Erfindung erfüllt bzw. gelöst, die nach einem Gesichtspunkt ein Verfahren zum Speichern und Aufrechterhalten von Daten umfaßt. Das Verfahren weist die Schritte auf, Daten auf einer Speichereinheit zu speichern, ein Fälschungssignal zu erfassen, das einen nicht autorisierten Zugriff auf die Speichereinheit anzeigt, und in Reaktion auf die Erfassung des Fälschungssignals die Daten zu löschen, die auf der Speichereinheit gespeichert sind, in dem die Daten mit einem vorbestimmten Wert überschrieben werden.
Gemäß einem anderen Gesichtspunkt der Erfindung wird eine Datenspeichereinheit zum Speichern und Aufrechterhalten von Daten zur Verfügung gestellt. Die Datenspeichereinheit weist eine erste nicht flüchtige Speichereinrichtung und eine Verarbeitungseinheit auf, die zur Kommunikation mit der ersten nicht flüchtigen Speichereinrichtung gekoppelt ist, wobei die Verarbeitungseinheit aufgebaut ist, um zu bestimmen, ob die Speichereinheit gefälscht worden ist, und falls dem so ist, die Daten zu löschen, indem die Daten mit einem vorbestimmten Wert überschrieben werden.
Nachfolgend werden bevorzugte Ausführungsformen mit Merkmalen gemäß der Erfindung beispielhaft unter Bezugnahme auf die nachfolgenden Darstellungen beschrieben, wobei einerseits keine Beschränkungen vorgenommen werden und andererseits gleiche Bezugsziffern auf gleiche oder funktionsgleiche Bestandteile Bezug nehmen, in denen:
Fig. 1 eine Blockdarstellung ist, die ein System zum Speichern und Aufrechterhalten von Daten darstellt;
Fig. 2A eine Blockdarstellung ist, die eine Speichereinheit darstellt, die in dem System nach Fig. 1 enthalten ist;
Fig. 2B eine Blockdarstellung ist, die einen Abschnitt der Speichereinheit nach Fig. 2A darstellt;
Fig. 2C eine Blockdarstellung ist, die einen Abschnitt der Speichereinheit nach Fig. 2B darstellt;
Fig. 3 eine Blockdarstellung ist, die eine Prozesseinheit darstellt, die in der Speichereinheit nach Fig. 2 enthalten ist;
Fig. 4A eine Blockdarstellung ist, die die Inhalte einer nicht flüchtigen Speichereinrichtung darstellt, die in der Speichereinheit nach Fig. 2 enthalten ist;
Fig. 4B eine Darstellung eines registrierten Identifikationswertes ist;
Fig. 4C eine Darstellung einer Tabelle einer Registrationsbevollmächtigungsdatenba­ sis ist;
Fig. 5A die Inhalte eines Inhaltsverzeichniseingangs darstellt, der in der nicht flüchtigen Speichereinrichtung nach Fig. 4A enthalten ist;
Fig. 5B ein Flußdiagramm eines Löschungsprozesses ist;
Fig. 5C ein Flußdiagramm eines Prozesses ist, der bei einem Fehler zur Löschung führt,
Fig. 5D ein Flußdiagramm eines Prozesses ist, der zur Löschung bei Fälschung führt; und
Fig. 6 eine Blockdarstellung eines Computersystems ist, auf dem Ausführungsformen realisiert werden können.
In der folgenden Beschreibung werden zu Zwecken der Erläuterungen bestimmte Einzelheiten hervorgehoben, um ein sorgfältiges Verständnis der Erfindung zur Verfügung zu stellen. Jedoch ist es ersichtlich, daß die Erfindung ohne diese speziellen Einzelheiten realisiert werden kann. Bei einigen Beispielen sind wohl bekannte Strukturen und Einrichtungen in der Form von Blockdarstellungen dargestellt, um es zu vermeiden, daß die Erfindung unnötiger Weise unverständlich wird.
Ein Lösungsversuch zum Speichern, Aufrechterhalten und Zugreifen von Daten wird zur Verfügung gestellt. Allgemein werden gemäß einem Gesichtspunkt Daten auf einer Speichereinrichtung gespeichert und nach einer vorbestimmten Zeit gelöscht. Bei einem anderen Gesichtspunkt werden die Daten gelöscht, falls eine nicht autorisierte Fälschung der Speichereinheit auftritt. Bei einem weiteren Gesichtspunkt werden die Daten in dem Fall eines Fehlers des nicht flüchtigen Speichers in der Speichereinheit gelöscht. Ein anderer Lösungsansatz bezieht eine hardwaremäßige Speichereinheit ein, wo die Daten dauerhaft gespeichert und autentifiziert werden können. Dieser Lösungsansatz dient dazu, die Einrichtung zu erzeugen, die ihr eigenes Betriebssystem mit einer sicheren Hardware- und Softwareschnittstelle hat. Die Schnittstelle stellt sicher, daß die Veränderung der Daten nicht erlaubt wird. Die vorliegende Erfindung kann auf derartigen Einrichtungen verwendet werden, wo die Autentizität der Daten kritisch ist. Diese Gesichtspunkte werden nachfolgend in weiteren Einzelheiten beschrieben.
Zunächst wird ein Überblick über das System gegeben. Die Fig. 1 stellt ein System 100 zum Speichern von Daten dar. Eine oder mehrere Stationen 102 sind über ein Netzwerk 104 gekoppelt. Die Stationen 102 weisen jeweils einen Computer, eine Workstation oder andere ähnliche Verfahrensmechanismen auf. Z. B. kann bei einer Ausführungsform jede Station 102 ein Computersystem für allgemeine Zwecke der in Fig. 6 gezeigten Art sein, die weiters unten beschrieben wird. Die Stationen 102 können jeweils einen Teilnehmer in einer Teilnehmer-/Server-Umgebung (Client- /Server-Umgebung) darstellen. Unter Verwendung des Netzwerkes 104 kann eine Station 102 mit irgendeiner anderen Station in Verbindung treten.
Eine oder mehrere Speichereinheiten 106 sind vorgesehen, um Daten zu speichern und aufrecht zu erhalten. Speichereinheiten 106 können an das Netzwerk 104 über ein Link 108 angeschlossen sein, um mit anderen Einrichtungen betrieben zu werden, wie etwa Stationen 102, die an das Netzwerk 104 angeschlossen sind. Das Verbindungsglied bzw. Link 108 kann von irgendeiner Art von Kommunikationsmedium sein, um Daten zwischen Speichereinheiten 106 und anderen Einrichtungen auszutauschen. Beispiele von Verbindungsgliedern 108 umfassen Netzwerkanschlüsse, Ethernet, Lan- oder Wan- Anschlüsse oder irgendeine Art von drahtlosem Übertragungsmedium. Alternativ können Speichereinheiten 106 auch unmittelbar an eine bestimmte Station 102 unter Verwendung eines lokalen Links bzw. Verbindungsgliedes 112 angeschlossen werden. Speichereinheiten 106 können auch in anderen Konfigurationen verwendet werden, die z. B. unmittelbar an eine bestimmte Anzahl von Stationen 102 angeschlossen sind, um einen lokalen Speicher für die bestimmten Stationen 102 zur Verfügung zu stellen. Verbindungsglieder 108 können auch eine Schnittstelle von einer Station zu einer Speichereinrichtung aufweisen, wie etwa ein SCSI-Interface bzw. -Schnittstelle.
In dieser Anordnung kann jede Station 102 Informationen in einer Speichereinheit 106 über ein Verbindungsglied 108 speichern oder wiedergewinnen, in dem eine passende Nachricht über das Netzwerk 104 übertragen wird.
Das System 100 enthält auch eine Registrationsautorität 110, die verbindungsmäßig an das Netzwerk 104 angekoppelt ist und stellt die Registrierung von Speichereinheiten 106 zur Verfügung, wie es in weiteren Einzelheiten im folgenden beschrieben wird.
Nachfolgend werden die Speichereinheiten beschrieben. Die Fig. 2A ist eine Blockdarstellung, die eine Speichereinheit 106 darstellt. Die Speichereinheit 106 enthält eine oder mehrere nicht flüchtige Speichereinrichtungen 200 und 202. Bei einer Ausführungsform gibt es zwei nicht flüchtige Speichereinrichtungen 200 und 202, die einen redundanten Datenspeicher zur Verfügung stellen. Jedoch ist die Erfindung nicht auf eine bestimmte Anzahl von Speichereinrichtungen 200, 202 beschränkt. Wie es in Fig. 2B dargestellt ist, werden Daten sowohl in die nicht flüchtige Speichereinrichtung 200 als auch 202 hineingeschrieben. Folglich werden, wie in Fig. 2C dargestellt, falls eine der nicht flüchtigen Speichereinrichtungen 200, 202 nicht verfügbar ist, z. B. aufgrund eines Fehlers bzw. Fehlzugriffes, Daten in die andere nicht flüchtige Speichereinrichtung 200 oder 202 geschrieben. Die nicht flüchtigen Speichereinrichtungen 200 und 202 können von irgendeiner Art von nicht flüchtigem Speicher sein, z. B. einer oder mehrerer magnetischer oder optischer Platten, Bänder oder anderer Arten von nicht flüchtigen Speichern, in denen gespeicherte Daten zurückbehalten werden, falls keine Energie bzw. Leistung zugeführt wird.
Die Speichereinheit 106 enthält einen oder mehrere Sensoren, die in Fig. 2 als S1 bis S4 zu erkennen sind, um einen nicht autorisierten Zugriff auf die Speichereinheit 106 zu erfassen. Die Sensoren S1 bis S4 sind Einrichtungen, die einen Eingriff in die Speichereinheit 106, einen nicht autorisierten Zugriff auf die Speichereinheit oder eine nicht autorisierte Fälschung mit oder Sperrung einer Speichereinheit erfassen. Die Sensoren S1 bis S4 sind mechanische, elektromechanische oder elektronische Einrichtungen, die ein Signal in Reaktion auf ein erfaßtes Ereignis erzeugen. Z. B. ist bei einer Ausführungsform jeder der Sensoren S1 bis S4 ein Mikroschalter, der sich öffnet oder schließt, wenn eine Umhüllung des Speichermediums geöffnet wird. Jeder Sensor S1 bis S4 ist an eine Prozessoreinheit 204 über ein Verbindungsglied 208 angekoppelt.
Die Speichereinheit 106 enthält eine Verarbeitungseinheit 104, die den Fluß von Daten zu und von der Speichereinheit 106 über das Verbindungsglied 108 steuert und andere Verarbeitungsfunktionen durchführt. Die Verarbeitungseinheit 204 steuert auch den Betrieb der nicht flüchtigen Speichereinrichtungen 200 und 202 einschließlich dem Schreiben von Daten in die nicht flüchtigen Speichereinrichtungen 200 und 202 über ein Verbindungsglied 208 und das Lesen von Daten von diesen. Die Verarbeitungseinheit 204 ist verbindungstechnisch auch an die Sensoren S1 bis S4 über ein Verbindungsglied 208 angeschlossen. Die Verbindungsglieder bzw. Links 206 und 208 können in dergleichen Weise wie die Verbindungsglieder 108 realisiert sein und ermöglichen den Austausch von Daten zwischen der Verarbeitungseinheit 204 und den nicht flüchtigen Speichereinrichtungen 200 und 202 und zwischen der Verarbeitungseinheit 204 bzw. den Sensoren S1 und S4.
Die Speichereinheit 106 enthält optional auch Sicherungsleistungszufuhren bzw. Reserveleistungszufuhren 210 und 212, die jeweils Energie für die Speichereinheit 106 und ihre Komponenten zur Verfügung stellen, einschließlich den nicht flüchtigen Speichereinrichtungen 200 und 202, der Verarbeitungseinheit 204 und den Sensoren S1 bis S4. Die Reserveleistungszuführen 210 und 212 werden in einer idealen Weise so in die Tat umgesetzt, daß entweder die Reserveenergiezufuhr 210 oder 212 einzeln ausreichend Energie für die Speichereinheit 106 zur Verfügung stellen können, um in dem Fall eines Energieverlustes den Betrieb übernehmen zu können. Z.B. können die Reserveenergiezufuhren 210 und 212 unter Verwendung von Batterien bzw. Akkus oder einer nicht unterbrechbaren Energiezufuhr (UPS) in die Tat umgesetzt werden. Bevorzugt sind die Reserveenergiezufuhren eingebaute Batterien, die Reserveenergie für die Verarbeitungseinheit 204 zur Verfügung stellen.
Nachfolgend wird die Prozesseinheit bzw. Verfahrenseinheit beschrieben. Die Fig. 3 ist eine Blockdarstellung, die eine Verfahrenseinheit 204 darstellt. Die Verfahrenseinheit 204 enthält eine Kommunikationsschnittstelle 300, die die Kommunikation bzw. Verbindung zwischen der Verfahrenseinheit 204 und anderen Einrichtungen außerhalb der Speichereinheit 106 über ein Verbindungsglied 108 steuert, puffert und regelt. Z.B. kann die Kommunikationsschnittstelle 300 eine E-/A- Steuerung, wie etwa eine SCSI, IEEE1394 oder eine Ethernet-Steuerung sein. Die Verfahrenseinheit 204 enthält eine Sensorsteuerung 302, die als Schnittstelle dient und eine Verbindung zwischen den Sensoren S1 bis S4 und der Verfahrenseinheit 204 über das Link bzw. das Verbindungsglied 208 zur Verfügung stellt. Z. B. ist die Sensorsteuerung eine analoge E-/A-Schnittstelle.
Die Verfahrenseinheit 204 enthält auch eine nicht flüchtige Speichersteuerung 304, die die nicht flüchtigen Speichereinrichtungen 200 und 202 über ein Verbindungsglied 206 steuert. Z. B. ist die Speichersteuerung 204 eine Plattensteuerung. Die Verfahrenseinheit 204 enthält auch einen Prozessor 306, der den Betrieb der Verfahrenseinheit 204 und ihrer hier beschriebenen Komponenten steuert. Der Prozessor 306 ist z. B. ein Mikroprozessor.
Die Prozessoreinheit 204 enthält einen flüchtigen Speicher 308, wie etwa einen RAM, der Daten und Befehle für den Prozessor 306 enthält. Die Verfahrenseinheit 204 enthält auch eine nicht flüchtigen Speicher 310, wie etwa einen ROM, einen PROM, einen EPROM, eine Flash-Speicher oder andere nicht flüchtige Speicher.
Die Verbindungs- bzw. Kommunikationsschnittstelle 300, die Sensorsteuerung 302, die nicht flüchtige Speichersteuerung 304, der Prozessor 306, der flüchtige Speicher 308 und der nicht flüchtige Speicher 310 sind verbindungstechnisch über ein Verbindungsglied bzw. Link 312 gekoppelt, das eine Kommunikation zwischen diesen Bestandteilen ermöglicht. Ein Beispiel des Verbindungsgliedes 312 ist ein Kommunikationsbus oder die Kombination eines Adressbusses und eine Datenbusses.
Bevorzugt arbeitet die Verfahrenseinheit 204 unter der Steuerung eines Realzeit- Betriebssystems (OS, wie etwa UNIX). Eines oder mehrere gespeicherte Programme, die unter der Steuerung des OS betrieben werden, verwalten die Speichereinheiten und die Prozesse, die ferner hierin beschrieben werden.
Nachfolgend wird der nicht flüchtige Speicher beschrieben. Die Fig. 4A stellt die Inhalte der nicht flüchtigen Speichereinrichtungen 200 und 202 dar. Nicht flüchtige Speichereinrichtungen 200 und 202 enthalten jeweils Speicher- Identifikationsinformationen 400 oder speichern diese, die die nicht flüchtigen Speichereinrichtungen 200 und 202 eindeutig identifizieren. Z.B. können die Speicher- Identifikations(ID)-Informationen 400 eindeutige Seriennummern für nicht flüchtige Speichereinrichtungen 200 und 202 enthalten. Die Speicher-ID-Informationen 400 spezifizieren auch Informationen, die während der Registrierung der Speichereinheit 306 erhalten werden können, die versendet werden, um die Speichereinheit 106 zu autentizitieren bzw. zu berechtigen. Die Registrierung der Speichereinheiten wird im folgenden in weiteren Einzelheiten beschrieben.
Die nicht flüchtigen Speichereinrichtungen 200 und 202 enthalten auch Inhaltsinformationen 402, die Informationen über Daten 404 spezifizieren, die in den nicht flüchtigen Speichereinrichtungen 200 und 202 enthalten sind. Gemäß einer Ausführungsform enthalten Daten 404 mehrere Datenfelder und Inhaltsverzeichnisinformationen 402 enthalten mehrere Inhaltsverzeichniseinträge bzw. -eingänge 500, die Informationen über die Datenfelder in den Daten 404 entsprechen und diese spezifizieren. Ein feldorientiertes Speichersystem ist nicht erforderlich. Die Daten 404 können Informationen von irgendeiner Art speichern und die Verzeichnisinformationen 402 können irgendwelche Meta-Daten sein, die die Daten 404 beschreiben.
Fig. 5A stellt die Inhalte eines Verzeichniseinganges bzw. -eintrages 500 gemäß einer Ausführungsform dar. Der Verzeichniseintrag 500 spezifiziert den Namen des entsprechenden Datenfeldes (Feldname 502), die Erzeugungsdaten für das entsprechende Datenfeld (Erzeugungsdaten 504), das Verfallsdatum des entsprechenden Datenfeldes (Verfallsdaten bzw. -datum 506) und andere Feldverwaltungsinformationen 508, die in Abhängigkeit zu einer bestimmten Anwendung variieren können z. B. sind die anderen Feldverwaltungsinformationen von einem Feldtyp, einer verknüpften Anwendung, usw.
Der Verzeichniseintrag 500 spezifiziert auch Wiederherstellungsinformationen 510, die einen oder mehrere Verzeichniseinträge 512 (R1, R2, . . ., RN) für Quellen des Datenfeldes identifizieren, die mit dem Feld 502 verknüpft sind. Jedes Feld enthält die vollständige Historie der Stammdaten mit dem Speicher-ID-Informationen, Wiederherstellungsdaten und Verzeichnispfade zu der Speicher-ID. Der Feldname der Daten wird von dem Original nicht geändert. Die Ablaufdaten werden ebenfalls kopiert.
Wie hierin verwendet bedeutet "Verfallsdatum" eine Zeit, einen Tag oder ein Datum zu dem verknüpfte Daten ungültig oder unbrauchbar sind. Informationen in der Speichereinrichtung werden durch die OS verwaltet.
Nachfolgend wird die Löschung nach dem Verfall bzw. Ablauf beschrieben. Gemäß einer Ausführungsform werden Daten, die in nicht flüchtigen Speichereinrichtungen 200 und 202 gespeichert werden, nach einer bestimmten Zeitdauer gelöscht. Dieses Verfahren ist Daten spezifisch, was bedeutet, daß verschiedene Daten in den nicht flüchtigen Speichereinrichtungen 200 und 202 über verschiedene Zeitdauern verbleiben können. Auch unterschiedliche Verfallsdaten können auf verschiedene Daten anwendbar sein. Einige Daten können überhaupt nicht gelöscht werden und können undefiniert bzw. unendlich in den nicht flüchtigen Speichereinrichtungen 200 und 202 verbleiben.
Bezugnehmend auf die Fig. 4A, die Fig. 5A und die Fig. 5B werden Verzeichniseinträge 500, die von den Verzeichnisinformationen 402 umfaßt werden, geprüft, um zu bestimmen, ob das Verfallsdatum 506 erreicht worden ist. Dies wird durchgeführt, indem das Verfallsdatum 506 für einen bestimmten Verzeichniseintrag 500 mit dem gegenwärtigen Datum verglichen wird. Alternativ kann anstelle der Aufrechterhaltung eines Verfallsdatums 506 in jedem Verzeichniseintrag 500 eine "Zeit zur Aufbewahrung" in jedem Verzeichniseintrag aufrechterhalten werden und das Verfallsdatum kann sowohl von dem Erzeugungsdatum und der "Zeit zur Aufbewahrung" bestimmt werden. Ein alternativer Ansatz ist es, ein Mittel zu haben, daß sämtliche der Einträge in sämtlichen der Verzeichnisse besucht, um die Zeit und das Datum des Systems gegenüber dem Verfallsdatum der Einträge zu prüfen. Wenn das Verfallsdatum abgelaufen ist, löscht das Mittel die Einträge.
Die Fig. 5B ist ein Flußdiagramm eines bevorzugten Verfahrens zum Löschen von Daten. Im Block 520 wird ein gegenwärtiger Datums-/Zeitwert empfangen. Z. B. fordert die Verfahrenseinheit 204 einen Datums-/Zeitwert und empfängt diesen, indem eine Funktion eines Betriebssystemes aufgerufen wird, das den Betrieb der Verfahrenseinheit steuert. Alternativ enthält die Verfahrenseinheit eine Uhr bzw. eine Takteinrichtung, die unmittelbar durch den Prozessor 306 angefragt wird. Der gegenwärtige Datums-/Zeitwert gibt dem gegenwärtigen Tag, das Datum oder die Zeit der Ausführung des in Fig. 5D gezeigten Verfahrens wieder. Bevorzugt wird der Wert des gegenwärtigen Datums/Zeit in einem temporären Blatt zur späteren Verwendung gespeichert, wie etwa in einem CPU-Register, einem Notizblockspeicherbereich bzw. schnellen Hilfsspeicherbereich, oder einem Hauptspeicher.
Im Block 522 wird ein Verzeichniseintrag 500 zur Verarbeitung ausgewählt. Bei einer Ausführungsform bezieht der Block 522 die serielle Auswahl von sämtlichen der Verzeichniseinträge 500 in den Speichereinrichtungen 200, 202 ein. Alternativ bezieht der Block 522 die Auswahl eines Verzeichniseintrages auf der Grundlage eines heuristischen Verfahrens ein, wie etwa einem zuletzt gegenwärtig Verwendungs(LRU)- Algorithmus, der Wahrscheinlichkeit oder Statistiken.
Im Block 524 wird eine Bestimmung durchgeführt, ob Daten, die durch den gegenwärtigen Verzeichniseintrag wiedergegeben werden zu löschen sind oder nicht. Bei einer Ausführungsform bezieht der Block 524 die Prüfung ein, ob der gegenwärtige Datum-/Zeitwert, der in dem Block 520 empfangen worden ist, größer als oder gleich dem Verfallsdatumswert 506 ist, der in dem gegenwärtigen Verzeichniseintrag gespeichert ist. Falls dem so ist, wird dann der gegenwärtige Verzeichniseintrag gelöscht.
Sobald eine Bestimmung durchgeführt worden ist, daß bestimmte Daten zu löschen sind, werden die Daten, die mit dem bestimmten Verzeichniseintrag verknüpft sind, von Daten 404 gelöscht, wie es durch den Block 526 gezeigt ist. Ansonsten geht die Steuerung auf den Block 534 über. Sobald die bestimmten Daten gelöscht worden sind, wird der Verzeichniseintrag 500 gelöscht, wie es durch den Block 534 dargestellt ist. Sämtliche identischen Kopien der bestimmten Daten werden auch von den Daten 404 gelöscht, da die Kopien das gleiche Verfallsdatum enthalten und auch geprüft werden.
Gemäß einer Ausführungsform wird die Löschung von Daten 404 und des entsprechenden Verzeichniseintrags 500 aus der Verzeichnisinformation 402 in den Blöcken 526, 530 und 534 durch Überschreiben der Daten und des Verzeichniseintrages mit einem bestimmten Wert durchgeführt. Ein beispielhaft vorbestimmter Wert, der als zweckmäßig ermittelt worden ist, ist 00H, obwohl andere vorbestimmte Werte auch verwendet werden können. Einige frühere Lösungsansätze löschen lediglich den Verzeichniseintrag ohne die Daten selbst zu löschen, was es ermöglicht, die Daten wieder zurück zu gewinnen. Mit einem vorbestimmten Wert überschriebene Daten werden als sichere angesehen, weil die überschriebenen Daten schwieriger zurück zu gewinnen sind. Sobald die Daten von den Daten 404 gelöscht worden sind und der entsprechende Verzeichniseintrag aus der Verzeichnisinformation 402 gelöscht worden ist, können die überschriebenen Bereiche zum Speichern anderer Daten verwendet werden.
Gemäß einer alternativen Ausführungsform werden verschiedene vorbestimmte Werte verwendet, um verschiedene Daten zu überschreiben. Z. B. nehmen man an, das Verfallsdatum für ein bestimmtes Datenfeld, das in der nicht flüchtigen Speichereinrichtungen 200 enthalten ist, zeigt an, daß das bestimmte Datenfeld zu löschen ist. Eine Kopie des bestimmten Datenfeldes wird in der nicht flüchtigen Speichereinrichtung 202 aufrechterhalten. Das bestimmte Datenfeld in der nicht flüchtigen Speichereinrichtung 200 kann mit einem ersten vorbestimmten Wert überschrieben werden, während die Kopie des bestimmten Datenfeldes in der nicht flüchtigen Speichereinrichtung 202 mit einem zweiten vorbestimmten Wert überschrieben wird, der von dem ersten vorbestimmten Wert unterschiedlich ist.
Verschiedene vorbestimmte Werte können auch verwendet werden, um die entsprechenden Verzeichniseinträge zu überschreiben.
Gemäß einer Ausführungsform wird das Verfahren nach Fig. 5B durch die Verfahrenseinheit 204 durchgeführt. Insbesondere kann der Prozessor 306 dieses Verfahren durchführen, indem eine oder mehrere Befehle ausgeführt werden, die in dem flüchtigen Speicher 308 und dem nicht flüchtigen Speicher 310 aufrechterhalten werden. Alternativ kann der Prozess zum Prüfen von Einträge in die Verzeichnisinformationen 402 außerhalb der Speichereinheit 106 z. B. durch einen anderen Prozess oder die Station 102, die an das Netzwerk 104 angeschlossen ist, durchgeführt werden. In dieser Situation kann der andere Prozess oder die andere Station 102 über das Verbindungsglied 108 die Speichereinheit 106 fragen, um Verzeichnisinformation 402 zu erhalten.
Obwohl die Speicher-ID-Informationen 404, die Verzeichnisinformationen 402 und die Daten 404 beschrieben und dargestellt worden sind, als wenn sie zusammen in den nicht flüchtigen Speichereinrichtungen 200 und 202 aufrechterhalten werden, können einige dieser Informationen getrennt an anderen Plätzen aufrechterhalten werden. Z. B. kann ein Teil oder sämtliche der Verzeichnisinformationen 402 in dem flüchtigen Speicher 308 der Verfahrenseinheit 204 aufrechterhalten werden, wobei die Zeit verringert wird, die erforderlich ist, um zu bestimmen, ob irgendwelche Datenfelder von den Daten 404 zu löschen sind.
Nachfolgend wird die Löschung nach einem Fehler bzw. Fehlschlag beim nicht flüchtigen Speicher beschrieben.
Gemäß einer anderen Ausführungsform werden in dem Fall eines Fehlers bzw. Fehlschlags entweder der nicht flüchtigen Speichereinrichtung 200 oder 202 sämtliche Daten, die in den Daten 404 enthalten sind, und verzeichnet Einträge, die in den Verzeichnisinformationen 402 enthalten sind, wie zuvor beschrieben, gelöscht. Die andere Speichereinrichtung wird dann als die primäre Speichereinrichtung bestimmt und wird fortgesetzt verwendet. Eine beispielhafte Situation, in der dies auftreten könnte, ist wo eine Aktualisierung sowohl der nicht flüchtigen Speichereinrichtung 200 als auch 202 durchgeführt wird und ein Mediafehler bzw. -deffekt oder Versagen verhindert, daß die Aktualisierung entweder bei der nicht flüchtigen Speichereinrichtung 200 oder 202 durchgeführt wird. Da die nicht flüchtigen Speichereinrichtungen 200 und 202 einen redundanten Speicher zur Verfügung stellen, werden die Daten von den nicht flüchtigen Speichereinrichtungen 200 oder 202, die mißraten sind, gelöscht, so daß die nicht flüchtigen Speichereinrichtungen 200 und 202 keine verschiedenen (und vorausgesetzter Weise gültigen) Daten enthalten.
Die Fig. 5C ist ein Flußdiagramm eines bevorzugten Verfahrens zum Löschen einer Speichereinrichtung in dem Fall eines Fehlers bzw. Versagens. Im Block 540 wird ein Fehler bzw. ein Versagen einer Speichereinrichtung erfaßt. Z. B. kann der Block 540 die Schritte zum Erfassen bei einem Anlaufprogramm oder einem Bootstrap- Ladeprogramm erfassen, das ein Energieversagen oder andere Fehler aufgetreten sind. Gemäß einer Ausführungsform hat jede Speichereinrichtung 200, 202 einen bestimmten Speicherplatz, der einen Markierungswert speichert. Der Markierungswert bzw. Zeigerwert ist ein vorbestimmter Wert, der ein schonendes Herunterfahren bzw. schonendes Ausschalten der Speichereinrichtung bedeutet. Wenn die Speichereinrichtung schonend heruntergefahren wird, wird der vorbestimmte Markierungs- bzw. Zeigerwert in dem bestimmten Speicherplatz gespeichert. Wenn die Speichereinrichtung hochgefahren wird, wird der bestimmte Markierungswert bzw. Zeigerwert geprüft und dann mit einem unterschiedlichen Wert überschrieben. Wenn folglich ein unerwartetes Versagen bzw. ein unerwarteter Fehler auftritt, enthält der bestimmte Speicherplatz den Markierungswert bzw. Zeigerwert nicht, und die Speichereinrichtung erfaßt dadurch, daß ein Fehler bzw. ein Versagen aufgetreten ist.
Falls ein Fehler oder Versagen erfaßt worden ist, dann wird im Block 542 der nächste Verzeichniseintrag unter den Verzeichniseinträgen 500 ausgewählt. Bei einer Ausführungsform bezieht der Block 542 eine serielle Wahl von sämtlichen Verzeichniseinträgen 500 in den Speichereinrichtungen 200, 202 ein. Alternativ bezieht der Block 542 ein, daß ein Verzeichniseintrag auf der Grundlage eines heuristischen Verfahrens ausgewählt wird, wie etwa einem zuletzt gegenwärtig Benutzungs(LRO)- Algorithmus, Wahrscheinlichkeit oder Statistiken.
Im Block 544 werden sämtliche Daten, die mit dem gegenwärtigen Verzeichniseintrag verknüpft sind, gelöscht, indem beispielsweise die Daten mit einem vorbestimmten Wert überschrieben werden. Im Block 552 wird der gegenwärtige Verzeichniseintrag gelöscht, indem er beispielsweise überschrieben wird. Falls nötig wird das Verzeichnis selbst gelöscht.
Im Block 554 wird eine Bestimmung durchgeführt, ob zusätzliche Verzeichniseinträge in den Verzeichnisinformationen der Speichereinrichtung sind. Falls dem so ist, werden die Schritte der Blöcke 542 und 552 für jeden zusätzlichen Verzeichniseintrag wiederholt.
Im wahlweisen vorhandenen Block 556 wird die andere Speichereinrichtung als die primäre Speichereinrichtung der Speichereinheit bezeichnet. Eine solche Bezeichnung bedeutet, daß die Speichereinheit weiter macht, mit Schreib-/Leseoperationen zu arbeiten, die auf die nicht fehlerhafte bzw. nicht ausgefallene Speichereinrichtung gerichtet sind. Auf diese Weise bleibt die Speichereinheit betreibbar, wobei jedoch eine fehlerhafte Speichereinrichtung innerhalb der Speichereinheit unbrauchbar gemacht wird. Sobald die Daten auf den fehlerhaften bzw. ausgefallenen nicht flüchtigen Speichereinrichtungen 200 oder 202 gelöscht worden sind, kann die Einrichtung neu initialisiert werden. Sobald eine Bestimmung durchgeführt worden ist, daß die ausgefallene Einrichtung erfolgreich neu initialisiert worden ist, können die Daten, die in den nicht flüchtigen Speichereinrichtungen 200 oder 202 enthalten sind, die nicht ausgefallen sind, in die zurückgewonnenen nicht flüchtigen Speichereinrichtungen 200 oder 202 kopiert werden. In dem Fall, daß die fehlerhaften bzw. ausgefallenen nicht flüchtigen Speichereinrichtungen 200 oder 202 nicht erfolgreich neu initialisiert werden können, können die Daten von den nicht flüchtigen Speichereinrichtungen 200 oder 202, die nicht ausgefallen sind bzw. fehlerhaft sind, in eine nicht flüchtige Speichereinrichtung in einer anderen Speichereinheit 106 kopiert werden.
Die Verwendung von redundanten nicht flüchtigen Speichereinrichtungen 200, 202 stellt eine bemerkenswert bessere Datenzuverlässigkeit zur Verfügung, weil es äußerst unwahrscheinlich ist, daß beide nicht flüchtigen Speichereinrichtungen 200 und 202 zu der gleichen Zeit ausfallen bzw. fehlerhaft sind. Um eine zusätzliche Datenzuverlässigkeit zur Verfügung zu stellen, können andere Speichereinrichtungen 106, die jeweils redundante nicht flüchtige Speichereinrichtungen 200 und 202 enthalten, eingesetzt werden, um eine weitere Redundanz zur Verfügung zu stellen.
Nachfolgend wird der Schutz gegenüber einer Fälschung erörtert. Gemäß einer Ausführungsform werden Speichereinheiten 106 gegenüber einer unautorisierten Fälschung bzw. einem unautorisierten Zugriff geschützt. Die Sensoren S1 bis S4 werden durch Verfahrenseinheiten 204 über ein Link bzw. ein Verbindungsglied 208 überwacht, um ein Fälschen der Speichereinheit 106 zu erfassen. Die Auswahl und die Einstellung der Sensoren S1 bis S4 wird durch die Erfordernisse einer bestimmten Anwendung festgelegt, ist jedoch im allgemeinen dazu bestimmt, einen nicht autorisierten Zugriff auf die Speichereinheit 106 über das Brechen von Siegeln bzw. Abdichtungen, das Öffnen von gesiegelten bzw. abgedichteten Abteilen, oder einen anderen gewalttätigen Eintritt in die Speichereinheit 106 zu erfassen.
In dem Fall, daß die Sensoren S1 bis S4 einen nicht autorisierten Zugriff auf die Speichereinheit 106 erfassen, wird ein Fälschungssignal durch die Sensoren S1 bis S4 für die Verfahrenseinheit 204 zur Verfügung gestellt. In Reaktion auf das Fälschungssignal löscht die Verfahrenseinheit 204 die Speicher-ID-Informationen 404, Verzeichnisinformationen 402 und Daten 404 in der zuvor für die nicht flüchtigen Speichereinrichtungen 200 und 202 beschriebenen Weise. Dies verhindert die nicht autorisierte Verwendung von Daten, die in der Speichereinheit 106 gespeichert sind.
Die Fig. 5D ist ein Flußdiagramm eines bevorzugten Verfahrens zum Löschen einer Speichereinrichtung in dem Fall der Fälschung mit der Speichereinrichtung. Im Block 560 wird eine Störung bei einer Speichereinrichtung, wie etwa das Fälschen mit der Speichereinrichtung, ein Eingriff in die Speichereinrichtung, eine Öffnung der Speichereinrichtung, usw., erfaßt. Z. B. kann der Block 560 die Schritte einbeziehen, das erfaßt wird, daß einer oder mehrere der Sensoren S1 bis S4 aktiviert werden oder ein Erfassungssignal erzeugen.
Falls ein Fälschungsereignis erfaßt wird, dann wird im Block 562 der nächste Verzeichniseintrag unter den Verzeichniseinträgen 500 ausgewählt. Bei einer Ausführungsform bezieht der Block 562 die serielle Auswahl sämtlicher Verzeichniseinträge 500 in den Speichereinrichtungen 200, 202 ein. Alternativ bezieht der Block 562 ein, daß ein Verzeichniseintrag auf der Grundlage eines heuristischen Prozesses ausgewählt wird, wie etwa einem zuletzt gegenwärtig Benutzungs(LRO)- Algoritmus, Wahrscheinlichkeit oder Statistiken.
Im Block 564 werden sämtliche Daten, die mit dem gegenwärtigen Verzeichniseintrag verknüpft sind, gelöscht, in dem z. B. die Daten mit einem vorbestimmten Wert überschrieben werden. Im Block 572 wird der gegenwärtige Verzeichniseintrag gelöscht, indem er z. B. überschrieben wird. Falls nötig wird das Verzeichnis selbst gelöscht.
In dem Block 574 wird eine Bestimmung durchgeführt, ob zusätzliche Verzeichniseinträge in den Verzeichnisinformationen der Speichereinrichtung sind. Falls dem so ist, werden die Schritte der Blöcke 562 bis 572 für jeden zusätzlichen Verzeichniseintrag wiederholt.
Bei einer Ausführungsform beziehen der Block 562 oder andere Blöcke den Schritt zur Erzeugung eines Alarms für eine autorisierte Person ein, um erkennbar zu machen, daß ein Fälschen aufgetreten ist und die Löschungsoperationen durchgeführt worden sind. Z. B. erzeugt im Block 562 die Verfahrenseinheit 204 eine Nachricht zu einer vorbestimmten Station 102, daß die Station informiert, daß eine Fälschung erfaßt worden ist und ein Löschen unterwegs ist.
Gemäß einer anderen Ausführungsform stellen in dem Fall eines Energieausfalls Reserveenergiezufuhren 210 und 212 Energie für die Speichereinheit 106 einschließlich den Sensoren S1 bis S4 zur Verfügung. Jedoch arbeiten nicht flüchtigen Speichereinrichtungen 200 und 202 in einem Energiesparmodus. Wenn sie in Energiesparmodus betrieben werden, sind normale Schreib- und Leseoperationen für nicht flüchtige Speichereinrichtungen 200 und 202 gesperrt, um Energie zu sparen. Sobald die Energie wieder vorhanden ist, werden Schreib- und Leseoperationen für die nicht flüchtigen Speichereinrichtungen 200 und 202 fortgesetzt. Während jedoch die Speichereinheit 106 im Energiesparmodus betrieben wird, wenn die Sensoren S1 bis S4 einen nicht autorisierten Zugriff auf die Speichereinheit 106 erfassen, wird die gesamte verfügbare Energie verwendet, um die Speicher-ID-Informationen 400, die Verzeichnisinformationen 402 und die Daten 404 aus den nicht flüchtigen Speichereinrichtungen 200 und 202 zu löschen, wie zuvor beschrieben. Auf diese Weise kann der Löschprozess lediglich umgangen werden, indem die Energie von einer Speichereinheit weggenommen wird.
Nachfolgend wird die Registrierung einer Speichereinheit beschrieben. Gemäß einer Ausführungsform werden Speichereinheiten 106 mit einer Registrierungsautorität 110 registriert, um eine Berechtigung bzw. Autentifikation der Speichereinheiten 106 zur Verfügung zu stellen. Gemäß diesem Lösungsansatz wird jede Speichereinheit 106 mit einer Registrierungsberechtigung 110 bzw. Registrierungsautorität registriert, indem ein einzigartiger Identifikationswert für eine Speichereinheit für die Registrierungsautorität 110 bzw. die Registrierungsberechtigung 110 zur Verfügung gestellt wird. In Folge wird ein registrierter Identifikationswert durch die Registrierungsberechtigung bzw. -autorität 110 zur Verfügung gestellt und in der Speicher-ID-Information 400 in den nicht flüchtigen Speichereinrichtungen 200 und 202 gespeichert. Sobald eine Speichereinheit 106 in dieser Weise registriert ist, kann eine Station 102 verifizieren, daß eine bestimmte Speichereinheit 106 mit der Registrierungsautorität bzw. -berechtigung 110 registriert worden ist, indem die registrierte ID-Nummer von der bestimmten Speichereinheit 106 angefordert wird und dann mit der Registrierungsautorität bzw. -berechtigung 110 verglichen und überprüft wird, daß die registrierte Speicher-ID-Nummer gültig ist. Dies stellt sicher, daß in einer bestimmten Speichereinheit 106 enthaltene Daten ursprünglich und authentisch sind.
Die Fig. 4B ist eine Darstellung einer bevorzugten Ausführungsform des registrierten Identifikationswertes 420, der ein Kopfsegment 422, ein Einrichtungsmarkierungs- bzw. -zeigersegment 424 und ein Seriennummersegment 426 aufweist.
Das Kopfsegment 422 identifiziert die Registrierungsautorität bzw. -berechtigung 110. Z. B. enthält das Kopfsegment einen vorbestimmten Wert, der einzigartig verknüpft ist innerhalb des Kontextes der Speichereinheit oder des OS mit der Registrierungsautorität bzw. -berechtigung 110. Das Einrichtungsmarkierungssegment 424 identifiziert den Hersteller- oder Markennamen einer Speichereinheit in einzigartiger Weise. Das Einrichtungsmarkierungs- bzw. -zeigersegment 424 kann ein Herstellername oder eine Codenummer sein, die einen bestimmten Hersteller in einzigartiger Weise kenntlich macht. Das Seriennummersegment 426 enthält die Seriennummer der Speichereinheit.
Die Fig. 4C ist ein Diagramm der Datenbasis 111. Bevorzugt weist die Datenbasis 111 zumindest eine Tabelle 460 auf, die eine oder mehrere Zeilen 462 hat. Jede Zeile 462 entspricht einer Speichereinheit 106. Die Tabelle 460 weist Spalten 464 bis 468 auf, die Hersteller- oder Markennamenwerte, Seriennummerwerte und Zuordnungsdatenwerte speichern. Jeder Zuordnungsdatenwert gibt das Datum zu erkennen, an dem eine Zeile, die eine Speichereinrichtung darstellt, zu der Tabelle 460 hinzugefügt wurde.
Nachfolgend wird die Datenoriginalität bzw. -ursprünglichkeit erörtert. Unter einigen Umständen kann es wünschenswert sein, die Ursprünglichkeit und die Einzigartigkeit von bestimmten Daten sicher zu stellen, die in Dateneinheiten 106 gespeichert sind, indem die bestimmten Daten nicht geändert oder gelöscht werden. Auf diese Weise kann die Speichereinheit einem externen Prozess oder einer externen Einrichtung "garantieren", daß bestimmte Daten ungeändert sind, seit sie ursprüngliche geschrieben wurden.
Gemäß einer Ausführungsform wird ein Buchprüfungspfad erzeugt, wenn Daten von einer Einrichtung zu einer anderen kopiert werden. Wie in Fig. 5A dargestellt, spezifiziert jeder Parallel- bzw. Wiederholungseintrag (R1, R2, . . ., RM) ein Parallelversuchs- bzw. Wiederherstellungsdatum 514 und Quelleninformationen, die eine Speicher-ID 516 und einen Verzeichniseintrag 512 enthalten. Um Daten von einer Quelleneinrichtung bzw. Sourceeinrichtung zu einer Zieleinrichtung zu replizieren bzw. zu wiederholen, wird ein Wiederholungsbefehl zu der Zieleinrichtung unter Spezifikation der Quelleneinrichtung zusammen mit den Feldinformationen ausgegeben. Die Zieleinrichtung gibt dann einen speziellen Lesebefehl für die Quelleneinrichtung aus, so daß die Daten verschlüsselt werden, um eine Veränderung der Daten zu vermeiden, wenn sie von der Quelleneinrichtung zu der Zieleinrichtung übertragen werden.
Deshalb wird gemäß einer Ausführungsform ein Lösungsansatz zur Verfügung gestellt, um sicherzustellen, daß bestimmte Daten, die in einer Speichereinheit 106 gespeichert sind, nur einmal geschrieben und niemals geändert werden, obwohl die bestimmten Daten eine unbegrenzte Anzahl von Malen gelesen werden können (Nur-Lesezugriff). Der Lösungsansatz ist datenspezifisch und erfordert nicht, daß sämtliche gespeicherten Daten als nur lesbare Daten aufrechterhalten werden.
Gemäß einer Ausführungsform werden nachdem nur lesbare Daten in den nicht flüchtigen Speichern 200 und 202 gespeichert sind, der Verzeichniseintrag 500, der mit den nur lesbaren Daten verknüpft ist, aktualisiert, um wiederzugeben, daß die verknüpften Daten nur lesbare Daten sind und niemals zu überschreiben oder zu ändern sind. Die Aktualisierung wirkt als eine Erklärung für andere Einrichtungen oder Prozesse, daß die gespeicherten Daten einzigartig und ungeändert sind. Nachdem z. B. nur lesbare Daten in die nicht flüchtigen Speicher 200 und 202 geschrieben worden sind, werden andere Feldverwaltungsinformationen 508 in dem Verzeichniseintrag 500, die mit nur lesbaren Daten verknüpft sind, aktualisiert, um wiederzugeben, daß die verknüpften Daten nur lesbar sind und nicht zu ändern sind. Wenn danach Daten der nicht flüchtigen Speicher 200 und 202 zu ändern sind, wird der Verzeichniseintrag 500, der mit den Daten verknüpft ist, geprüft, um zu bestimmen, ob die bestimmten Daten nur lesbar sind. Falls nicht, werden die verknüpften Daten, wie hierin beschrieben, geändert. Falls dem so ist, werden die verknüpften Daten und der Verzeichniseintrag 500 nicht geändert.
Ein anderes Verfahren zur Zusicherung der Ursprünglichkeit ist es, Schreibbefehle zu beschränken, die auf einer bestimmten Einrichtung durchgeführt werden können. Z. B. kann die Einrichtung in Situationen, in denen die Felder, die in der Einrichtung gespeichert sind, als autentische Datenfelder aufrecht zu erhalten sind, um die Ursprünglichkeit sicher zu stellen, einen speziellen Status zum Schreiben erfordern. Ohne den speziellen Schreibstatus geht ein Schreibbefehl fehl, wenn der gleiche Feldname in einer Einrichtung vorkommt.
Dieser Lösungsansatz ist für beliebige der Lösungsansätze anwendbar, die hier beschrieben sind, einschließlich der Löschung nach Ablauf, der Löschung nach Fälschung und der Löschung nach den Fehler- bzw. Betriebsstörungsansätzen, die hierin beschrieben sind. Der Lösungsansatz stellt einen Weg zur Verfügung, um die Gültigkeit der gespeicherten Daten unempfindlich zu machen oder zu garantieren, so daß die gespeicherten Daten zuverlässiger sind, beispielsweise als gesetzlicher Beweis. Die Inhalte und die Einzigartigkeit der Daten werden sichergestellt oder garantiert.
Nachfolgend wird das Computersystem im Überblick erläutert. Die Fig. 6 ist eine Blockdarstellung, die ein Computersystem darstellt, das verwendet werden kann, um die Gesichtspunkte der Erfindung in die Tat umzusetzen; z. B. eine alternative Ausführungsform der Verfahrenseinheit 204. Die Verfahrenseinheit 204 enthält einen Bus 602 oder andere Kommunikations- bzw. Verbindungsmechanismen, um Informationen zu übertragen, und ein Prozessor 604 ist mit einem Bus 602 gekoppelt, um Informationen zu verarbeiten. Die Verfahrenseinheit 204 enthält auch einen Hauptspeicher 606, wie etwa einen Speicher mit wahlfreiem Zugriff (RAM) oder eine andere dynamische Speichereinrichtung, die an den Bus 602 gekoppelt ist, um Informationen und Befehle zu speichern, die durch den Prozessor 604 auszuführen sind. Der Hauptspeicher 606 kann auch verwendet werden, um temporäre variable oder andere Zwischeninformationen während der Ausführung der Befehle zu speichern, die durch den Prozessor 604 auszuführen sind. Die Verfahrenseinheit 204 enthält ferner einen Speicher mit ausschließlichem Lesezugriff (ROM) 608 oder eine andere statische Speichereinrichtung, die an den Bus 602 angekoppelt ist, um statische Informationen und Befehle für den Prozessor 604 zu speichern. Die Speichereinrichtung 610, wie etwa eine magnetische Platte oder eine optische Platte, ist vorgesehen und an den Bus 602 angekoppelt, um Informationen und Befehle zu speichern.
Eine Verfahrenseinheit 204 kann über einen Bus 602 an eine Anzeige bzw. ein Display 612, wie etwa eine Katodenstrahlröhre (CRT) angekoppelt sein, um Informationen für einen Computerbenutzer anzuzeigen. Eine Eingabeeinrichtung 614, die alphanumerische und andere Tasten aufweist, ist an den Bus 602 angekoppelt, um Informations- und Selektionen zu dem Prozessor 604 zu übertragen. Eine andere Art von Benutzereingabeeinrichtung ist die Cursorsteuerung 616, wie etwa eine Maus, eine Rollkugel oder Cursor-Richtungstasten, um Richtungsinformationen und Befehlsselektionen zu dem Prozessor 604 zu übertragen und um eine Cursor-Bewegung auf der Anzeige 612 zu steuern. Diese Eingabeeinrichtung hat typischerweise zwei Freiheitsgrade in zwei Achsen, einer ersten Achse (z. B. x) und einer zweiten Achse (z. B. y), die es der Einrichtung ermöglichen, Positionen in einer Ebene kenntlich zu machen.
Die Erfindung ist auf die Verwendung der Speichereinheit 106 zum Speichern und Aufrechterhalten von Daten bezogen. Gemäß einer Ausführungsform wird die Speicherung und Aufrechterhaltung von Daten durch eine Verarbeitungseinheit 204 in Reaktion darauf zur Verfügung gestellt, daß der Prozessor 604 eine oder mehrere Abfolgen von einem oder mehreren Befehlen ausführt, die in dem Hauptspeicher 606 enthalten sind. Solche Befehle können in den Hauptspeicher 606 von einem anderen Computer lesbaren Medium eingelesen werden, wie etwa einer Speichereinrichtung 610. Die Ausführung der Abfolgen von Befehlen, die in dem Hauptspeicher 606 enthalten sind, veranlassen den Prozessor 604, die Prozeßschritte, die hierin beschrieben sind, durchzuführen. Eine oder mehrere Prozessoren in einer Mehrprozessoranordnung können auch eingesetzt werden, um die Abfolgen von Befehlen, die in dem Hauptspeicher 606 enthalten sind, auszuführen. In alternativen Ausführungsformen können festverdrahtete Schaltungen anstelle oder in Kombination mit Softwarebefehlen verwendet werden, um die Erfindung in die Tat umzusetzen. Folglich sind die Ausführungsformen nicht auf bestimmte Kombinationen von Hardwareschaltungen und Software beschränkt. Die Befehle können als Softwaremittel, Prozesse, Unterprogramme oder Programm organisiert sein.
Der Ausdruck "Computer lesbares Medium", wie es hier verwendet wird, bezieht sich auf irgendein Medium, das teilnimmt, um Befehle für den Prozessor 604 zur Ausführung zur Verfügung zu stellen. Ein derartiges Medium kann viele Formen haben, einschließlich nicht flüchtigen Medien, flüchtigen Medien und Übertragungsmedien, wobei jedoch keine Beschränkung auf diese vorgenommen wird. Nicht flüchtige Medien enthalten z. B. optische und magnetische Platten, wie etwa die Speichereinrichtung 610. Flüchtige Medien enthalten dynamische Speicher, wie etwa den Hauptspeicher 606. Übertragungsmedien enthalten koaxiale Kabel, Kupferdrähte und optische Fasern, einschließlich der Drähte, die der Bus 602 aufweist. Übertragungsmedien können auch die Form von akustischen Wellen oder Lichtwellen haben, wie etwa jene, die durch Radiowellen und Infrarotdatenübertragungen erzeugt werden.
Allgemeine Formen von Computer lesbaren Medien enthalten z. B. eine Diskette, eine flexible Diskette, eine Festplatte, magnetisches Band oder irgendein anderes magnetisches Medium, eine CD-Rom, irgendein anderes optisches Medium, Lochkarten, Papierband oder andere physikalische Medien mit Mustern von Löchern, ein RA, ein PROM und ein EPROM, ein FLASH-EPROM, irgendeine andere Art von Chip oder Karte, eine Trägerwelle, wie hierin beschrieben, oder irgendein anderes Medium, von dem ein Computer lesen kann.
Verschiedene Formen von Computer lesbaren Medien können dabei beteiligt sein, eine oder mehrere Abfolgen von einem oder mehreren Befehlen zu dem Prozessor 604 zur Ausführung zu übertragen. Z. B. können die Befehle anfangs auf eine magnetische Platte eines entfernten Computers übertragen werden. Der entfernte Computer kann die Befehle in seinem dynamischen Speicher laden und die Befehle über eine Telefonleitung unter Verwendung eines Modems senden. Ein zu der Verarbeitungseinheit 204 lokales Modem kann die Daten auf der Telefonleitung empfangen und einen Infrarottransmitter verwenden, um die Daten in ein infrarotes Signal zu wandeln. Ein Infrarotdetektor, der an den Bus 602 gekoppelt ist, kann die Daten, die in dem Infrarotsignal getragen werden, empfangen und die Daten auf den Bus 602 plazieren. Der Bus 602 überträgt die Daten zu dem Hauptspeicher 606, von dem der Prozessor 604 die Befehle wiedergewinnt und ausführt. Die Befehle, die durch den Hauptspeicher 606 empfangen werden, können wahlweise auf der Speichereinrichtung 610 entweder vor oder nach der Ausführung durch den Prozessor 604 gespeichert werden.
Die Verarbeitungseinheit 204 enthält auch ein Kommunikationsinterface 618, das an den Bus 602 gekoppelt ist. Das Kommunikationsinterface 618 stellt eine Zweiweg- Datenübertragung zur Verfügung, wobei an ein Netzwerkverbindungsglied bzw. -link 620 angekoppelt wird, das an ein lokales Netzwerk 622 angeschlossen ist. Z. B. kann ein Kommunikationsinterface 618 eine Karte eines integrierten digitalen Servicenetzwerks (ISDN-Karte) oder ein Modem sein, um einen Datenkommunikationsanschluß zu einer entsprechenden Art von Telefonleitung zur Verfügung zu stellen. Als ein anderes Beispiel kann eine Kommunikationsschnittstelle 618 eine lokale Bereichsnetzwerkkarte (LAN-Karte) sein, um eine Datenkommunikationsanschluß an ein kompatibles LAN zur Verfügung zu stellen. Drahtlose Links bzw. Verbindungsglieder können auch in die Tat umgesetzt werden. Bei sämtlichen solchen Verwirklichungen sendet das Kommunikationsinterface bzw. die Kommunikationsschnittstelle 618 elektrische, elektromagnetische oder optische Signale und empfängt diese, wobei diese digitale Datenströme tragen, die verschiedene Arten von Informationen darstellen. Das Netzwerkverbindungsglied 620 stellt typischerweise eine Datenkommunikation über eines oder mehrere Netzwerke zu anderen Dateneinrichtungen zur Verfügung. Z. B. kann das Netzwerk Link 620 eine Verbindung durch ein lokales Netzwerk 622 zu einem Host-Computer 624 oder zu einer Datenanlage zur Verfügung stellen, die durch einen Internet-Serviceprovider (ISP) 626 betrieben wird. Der ISP 622 stellt in Folge Datenkommunikationsdienstleistungen über das weltweite Datenpaket- Kommunikationsnetzwerk zur Verfügung, auf das nun allgemein als das "Internet" 628 Bezug genommen wird. Das lokale Netzwerk 622 und das Internet 628 verwenden beide elektrische, elektromagnetische oder optische Signale, die digitale Datenströme tragen. Die Signale durch die verschiedenen Netzwerke und die Signale auf dem Netzwerkverbindungsglied 620 und über die Kommunikationsschnittstelle 618, die die digitalen Daten zu und von der Verarbeitungseinheit 204 tragen, sind exemplarische Arten von Trägerwellen, die Informationen befördern.
Die Verarbeitungseinheit 204 kann Nachrichten senden und Daten empfangen, einschließlich einem Programmcode, über das Netzwerk (die Netzwerke), das Netzwerklink bzw. -verbindungsglied 620 und das Kommunikations-Interface bzw. -schnittstelle 618. Bei dem Beispiel mit dem Internet kann ein Server 630 einen Anfragecode für ein Anwendungsprogramm über das Internet 628, den ISP 626, das lokale Netzwerk 622 und das Kommunikationsinterface 618 übertragen. Eine derartige heruntergeladene Anwendung stellt die Speicherung und Aufrechterhaltung von Daten, wie hierin beschrieben, zur Verfügung.
Der empfangene Code kann durch den Prozessor 604 ausgeführt werden, wie er empfangen ist, und/oder in der Speichereinrichtung 610 oder in einem anderen nicht flüchtigen Speicher zur späteren Ausführung gespeichert werden. Auf diese Weise kann die Verfahrenseinheit 204 einen Anwendungscode in der Form einer Trägerwelle erhalten.
Die hierin beschriebenen Techniken stellen verschiedene Vorteile gegenüber früheren Lösungsansätzen zum Speichern und Aufrechterhalten von Daten zur Verfügung. Insbesondere der Ansatz zum Löschen von Daten von der Speichereinheit 106 durch Überschreiben der Daten mit einem vorbestimmten Wert macht es schwieriger, Daten zurückzugewinnen. Die Fälschungsüberwachung stellt einen weiteren Schutz vor einem nicht autorisierten Zugriff auf die Speichereinheit 106 zur Verfügung. Die Verwendung der Registrierungsautorität bzw. -berechtigung 110, um Speichereinheiten 106 zu registrieren, macht die Daten, die in der Registrierungsberechtigung 110 gespeichert sind, authentisch. Schließlich stellt der Ansatz zum Vorbehalten der Ursprünglichkeit der Daten sicher, daß, wenn bestimmte Daten aus der Speichereinheit 106 gelesen werden, das die bestimmten Daten einmal geschrieben wurden und nicht geändert worden sind. Wenn gleichermaßen Daten von der Speichereinheit 106 gelöscht werden, werden Daten, die als Daten nur zum Lesen benannt sind, nicht von der Speichereinheit 106 gelöscht.
Nachfolgend werden Alternativen und Abwandlungen beschrieben. In der vorangehenden Beschreibung ist die Erfindung unter Bezugnahme auf deren bestimmte Ausführungsformen beschrieben worden. Es ist jedoch erkennbar, daß verschiedene Abwandlungen und Änderungen an dieser vorgenommen werden können, ohne den breiteren Gedanken und den Schutzbereich der Erfindung zu verlassen. Die Beschreibung und die Darstellungen sind entsprechend eher in einer darstellerischen als in einer einschränkenden Weise anzusehen.
Die Erfindung betrifft einen Lösungsansatz zum Speichern und Aufrechterhalten von Daten. Eine oder mehrere Sensoren sind vorgesehen, um einen nicht autorisierten Zugriff auf einen ersten nicht flüchtigen Speicher zu erfassen. Falls der nicht autorisierte Zugriff auf den ersten nicht flüchtigen Speicher detektiert wird, werden die Daten auf dem ersten nicht flüchtigen Speicher durch Überschreiben der Daten auf dem ersten nicht flüchtigen Speicher mit einem vorbestimmten Wert gelöscht, so daß die Daten nicht mehr zurückgewonnen werden können. Der erste nicht flüchtige Speicher wird mit einer Registrierungsautorität bzw. -berechtigung registriert, um eine Authentizität der Daten zur Verfügung zu stellen, die in dem ersten nicht flüchtigen Speicher aufrechterhalten werden.

Claims (22)

1. Verfahren zum Speichern und Aufrechterhalten von Daten, wobei das Verfahren die Schritte aufweist:
Daten werden in einer Speichereinheit gespeichert; ein Fälschungssignal wird erfaßt, das einen nicht autorisierten Zugriff auf die Speichereinheit anzeigt; und
in Reaktion auf die Erfassung des Fälschungssignals werden die Daten, die in der Speichereinheit gespeichert sind, gelöscht, indem die Daten mit einem vorbestimmten Wert überschrieben werden.
2. Verfahren nach Anspruch 1, wobei der Schritt zum Erfassen eines Fälschungssignal den Schrift enthält, ein Fälschungssignal von einem oder mehreren Sensoren zu detektieren bzw. zu erfassen, die mit der Speichereinheit verbunden bzw. verknüpft sind.
3. Verfahren nach Anspruch 1, wobei der Schritt zum Überschreiben der Daten mit einem vorbestimmten Wert das Überschreiben der Daten mit dem Wert 00H enthält.
4. Verfahren nach Anspruch 3, wobei ferner der Schritt enthalten ist, einen oder mehrere Feldverzeichniseinträge, die mit den Daten verknüpft sind, zu löschen.
5. Verfahren nach Anspruch 1, wobei die Speichereinheit eine oder mehrere nicht flüchtige Speichereinrichtungen enthält, die Kopien der Daten enthalten, und wobei das Verfahren ferner den Schritt enthält, das die Kopien der Daten auf der einen oder den mehreren nicht flüchtigen Speichereinrichtungen gelöscht werden.
6. Verfahren nach Anspruch 1, das ferner den Schritt enthält, das in Reaktion auf einen Energieausfall der Speichereinrichtung die Schritte durchgeführt werden, daß der Speichereinheit von einer Reserveenergiezufuhr Energie zur Verfügung gestellt wird, und daß es gesperrt wird, daß Daten in die Speichereinheit geschrieben oder aus dieser gelesen werden.
7. Verfahren nach Anspruch 6, das ferner den Schritt enthält, daß, nachdem die Energie wieder für die Speichereinheit zur Verfügung gestellt wird, es ermöglicht wird, Daten in die Speichereinheit zu schreiben und darauf zu lesen.
8. Datenspeichereinheit zum Speichern und Aufrechterhalten von Daten, wobei die Datenspeichereinheit aufweist:
eine erste nicht flüchtige Speichereinrichtung, die Daten darauf enthält; und
eine Verarbeitungseinheit, die kommunikativ an die erste nicht flüchtige Speichereinrichtung angekoppelt ist, wobei die Verfahrenseinheit konfiguriert ist, um zu bestimmen, ob die Speichereinheit gefälscht worden ist und falls dem so ist, die Daten durch Überschreiben der Daten mit einem vorbestimmten Wert löscht.
9. Datenspeichereinheit nach Anspruch 8, die ferner aufweist, einen oder mehrere Sensoren, die kommunikativ an die Verfahrenseinheit angekoppelt sind, um einen Zugriff auf die Datenspeichereinheit zu erfassen, wobei der eine oder die mehreren Sensoren konfiguriert sind, um ein Fälschungssignal bei der Erfassung eines Zugriffs auf die Speichereinheit zur Verfügung zu stellen, wobei die Verfahrenseinheit ferner aufgebaut ist, um die Daten von der ersten nicht flüchtigen Speichereinrichtung zu löschen, indem die Daten auf der ersten nicht flüchtigen Speichereinrichtung mit einem vorbestimmten Wert in Reaktion auf das Fälschungssignal überschrieben werden.
10. Datenspeichereinheit nach Anspruch 8, wobei die Verfahrenseinheit ferner aufgebaut ist, um die Daten mit dem Wert 00H zu überschreiben.
11. Datenspeichereinheit nach Anspruch 8, wobei die Verfahrenseinheit ferner aufgebaut ist, um einen oder mehrere Feldverzeichniseinträge zu löschen, die mit den Daten verknüpft sind.
12. Datenspeichereinheit nach Anspruch 8, wobei die Speichereinheit eine oder mehrere nicht flüchtige Speichereinrichtungen enthält, die Kopien der Daten enthalten, und die Verfahrenseinheit ist ferner aufgebaut, um die Kopien der Daten auf der einen oder den mehreren nicht flüchtigen Speichereinrichtungen zu löschen.
13. Datenspeichereinheit nach Anspruch 8, die ferner erste und zweite Reserveenergiezufuhren aufweist, die aufgebaut sind, um Energie für die Speichereinheit in dem Fall eines Energieausfalls bzw. Energieausfalls zur Verfügung zu stellen.
14. Datenspeichereinheit nach Anspruch 8, die ferner eine zweite nicht flüchtige Speichereinrichtung aufweist, die kommunikativ mit der Verfahrenseinheit verbunden ist, wobei eine Duplikatkopie der Daten, die in der ersten nicht flüchtigen Speichereinrichtung gespeichert sind, in der zweiten nicht flüchtigen Speichereinrichtung aufrechterhalten werden, und wobei die Verfahrenseinheit ferner aufgebaut ist, um zu bestimmen, ob ein Ausfall bzw. ein Fehler der ersten nicht flüchtigen Speichereinrichtung aufgetreten ist, und falls dem so ist, die Daten der ersten nicht flüchtigen Speichereinrichtung zu löschen, indem die Daten auf der ersten nicht flüchtigen Speichereinrichtung mit einem vorbestimmten Wert überschrieben werden.
15. Datenspeichereinheit nach Anspruch 8, der ferner aufweist, ein Sicherungsinterface bzw. Sicherungsschnittstelle, um eine nicht autorisierte Veränderung der Daten zu verhindern, die in dem ersten nicht flüchtigen Speicher gespeichert sind.
16. Computer lesbares Medium, das einen oder mehrere Abfolgen bzw. Sequenzen von einem oder mehreren Befehlen trägt, um Daten zu speichern und aufrecht zu erhalten, wobei die eine oder mehreren Abfolgen bzw. Sequenzen von einem oder mehreren Befehlen Befehle enthalten, die, wenn sie durch einen oder mehrere Prozessoren ausgeführt werden, den einen oder die mehreren Prozessoren dazu veranlassen, die folgenden Schritt durchzuführen:
Daten werden in einer Speichereinheit gespeichert;
ein Fälschungssignal wird erfaßt, das einen nicht autorisierten Zugriff auf die Speichereinheit anzeigt; und
in Reaktion auf die Erfassung des Fälschungssignales werden die Daten, die in der Speichereinheit gespeichert sind, durch Überschreiben der Daten mit einem vorbestimmten Wert gelöscht.
17. Computer lesbares Medium nach Anspruch 16, wobei der Schritt zum Erfassen eines Fälschungssignals den Schritt enthält, ein Fälschungssignal von einem oder mehreren Sensoren, die mit der Speichereinheit verknüpft bzw. verbunden sind, zu erfassen.
18. Computer lesbares Medium nach Anspruch 16, wobei der Schritt zum Überschreiben der Daten mit einem vorbestimmten Wert das Überschreiben der Daten mit dem Wert 00H enthält.
19. Computer lesbares Medium nach Anspruch 18, das ferner den Schritt enthält, einen oder mehrere Feldverzeichniseinträge, die mit den Daten verknüpft sind, zu löschen.
20. Computer lesbares Medium nach Anspruch 16, wobei die Speichereinheit eine oder mehrere nicht flüchtige Speichereinrichtungen, die Kopien der Daten enthalten, enthält, und das Verfahren ferner den Schritt enthält, die Kopien der Daten auf der einen oder den mehreren nicht flüchtigen Speichereinrichtungen zu löschen.
21. Computer lesbares Medium nach Anspruch 16, das ferner den Schritt enthält, in Reaktion auf einen Energieausfall der Speichereinrichtung die Schritte durchzuführen, der Speichereinrichtung von einer Reserveenergiezufuhr Energie zur Verfügung zu stellen und das Schreiben von Daten in die Speichereinheit und das Lesen von dieser zu sperren.
22. Computer lesbares Medium nach Anspruch 21, das ferner den Schritt enthält, nachdem die Speichereinheit wieder hergestellt worden ist, es zu ermöglichen, daß Daten in die Speichereinheit geschrieben und aus dieser gelesen werden.
DE1999142141 1998-10-06 1999-09-03 Verfahren und Vorrichtung zum Löschen von Daten nach einer Fälschung Expired - Fee Related DE19942141C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US16762998A 1998-10-06 1998-10-06

Publications (2)

Publication Number Publication Date
DE19942141A1 true DE19942141A1 (de) 2000-04-13
DE19942141C2 DE19942141C2 (de) 2003-12-04

Family

ID=22608137

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1999142141 Expired - Fee Related DE19942141C2 (de) 1998-10-06 1999-09-03 Verfahren und Vorrichtung zum Löschen von Daten nach einer Fälschung

Country Status (2)

Country Link
JP (1) JP4141069B2 (de)
DE (1) DE19942141C2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1316954A2 (de) * 2001-11-30 2003-06-04 Kabushiki Kaisha Toshiba Aufzeichnungs- und Wiedergabegerät und Datenlöschverfahren zur Verwendung im Aufzeichnungs- und Wiedergabegerät

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040044023A (ko) * 2002-11-20 2004-05-27 엘지엔시스(주) 메모리 데이터 관리장치 및 방법
US7171511B2 (en) * 2004-03-24 2007-01-30 Hitachi, Ltd. WORM proving storage system
JP2007058652A (ja) * 2005-08-25 2007-03-08 Nec System Technologies Ltd ファイル破壊装置、情報処理装置、情報処理方法及びプログラム
JP4675980B2 (ja) * 2008-02-08 2011-04-27 日本電産サンキョー株式会社 不正行為防止方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4135767C2 (de) * 1991-10-30 2003-04-30 Adp Gauselmann Gmbh Verfahren zum Sichern von in datenspeichernden elektronischen Bauelementen gespeicherten Daten gegen einen unbefugten Zugriff und/oder Manipulation und Vorrichtung zur Durchführung des Verfahrens
US5265159A (en) * 1992-06-23 1993-11-23 Hughes Aircraft Company Secure file erasure
FR2745112B1 (fr) * 1996-02-16 1998-04-24 Philippe Escal Dispositif de protection de donnees sur supports magnetique ou magneto-optique

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1316954A2 (de) * 2001-11-30 2003-06-04 Kabushiki Kaisha Toshiba Aufzeichnungs- und Wiedergabegerät und Datenlöschverfahren zur Verwendung im Aufzeichnungs- und Wiedergabegerät
EP1316954A3 (de) * 2001-11-30 2004-05-26 Kabushiki Kaisha Toshiba Aufzeichnungs- und Wiedergabegerät und Datenlöschverfahren zur Verwendung im Aufzeichnungs- und Wiedergabegerät

Also Published As

Publication number Publication date
DE19942141C2 (de) 2003-12-04
JP2000148597A (ja) 2000-05-30
JP4141069B2 (ja) 2008-08-27

Similar Documents

Publication Publication Date Title
DE19947827B4 (de) Verfahren zum Speichern und Aufrechterhalten von Daten und Computer-Programm sowie Speichermedium damit
DE19964475B4 (de) Verfahren und Vorrichtung zum Löschen von Daten nach Ablauf
US7152095B1 (en) Method and apparatus for erasing data after tampering
DE60033376T2 (de) Verteilte datenarchivierungsvorrichtung und system
DE69433471T2 (de) Kartenartiges Speichermedium und Ausgabeapparat für kartenartiges Speichermedium
DE10084964B3 (de) Verfahren zum sicheren Speichern, Übertragen und Wiedergewinnen inhaltsadresssierbarer Informationen
DE69733123T2 (de) Verfahren und vorrichtung zur verhinderung eines unbefugten schreibzugriffes zu einem geschützten nichtflüchtigen speicher
DE69818978T2 (de) Verfahren um die gültigkeit der beschreibung einer ausführbaredatei zu identifizieren
DE60021465T2 (de) Sicherheitsverwaltungssystem, Datenverteilungsvorrichtung und tragbares Terminalgerät
DE60029567T2 (de) Digitales datenverwaltungs-und abbildherstellungssystem und verfahren mit gesicherter datenmarkierung
US8214333B2 (en) Storage system for managing a log of access
US20050015640A1 (en) System and method for journal recovery for multinode environments
DE19960978A1 (de) System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Suchen und Abrufen von Daten
EP0965076A1 (de) Elektronische datenverarbeitungseinrichtung und -system
DE102007015385A1 (de) Verfahren und Vorrichtung zur Wiedergewinnung von Speicherplatz in Speichern
DE3318101A1 (de) Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit
DE19942141C2 (de) Verfahren und Vorrichtung zum Löschen von Daten nach einer Fälschung
Hansen Audit considerations in distributed processing systems
Seiden et al. The Auditing Facility fora VMM Security Kernel
DE102007008293B4 (de) Verfahren und Vorrichtung zum gesicherten Speichern und zum gesicherten Lesen von Nutzdaten
EP1912184A2 (de) Vorrichtung und Verfahren zur Erzeugung von Daten
Cisco Backup and Recovery Procedures
WO1999026182A2 (de) Authentifizierungssystem für elektronische dateien
WO2002009100A1 (de) Datenträger mit einem datenspeicher und einem zugriffszähler
EP1669903A2 (de) Mobiles elektronisches Gerät mit Zugriffsschutz

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8304 Grant after examination procedure
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee